Transcript IDS 기술동향 - PukA's Home

IDS 기술 동향
허영준
한국전자통신연구원
보안게이트웨이연구팀
ETRI Proprietary
목 차
▣ 침입 정의와 분류 방법
▣ 침입탐지시스템의 정의와 분류 방법
▣ 침입탐지시스템 모델
▣ 침입탐지시스템 구조
▣ 침입탐지 방법론
▣ 침입탐지시스템 Trends
▣ 침입탐지시스템 표준
▣ 침입탐지 및 대응 기술
▣ 침입탐지시스템 ISSUE
ETRI Proprietary
1
침입의 정의
ETRI Proprietary
침입 정의
▣ Intrusion
◈ 컴퓨터가 사용하는 자원의 무결성(integrity), 비밀성
(confidentiality), 가용성(availability)을 저해하는 일련의 행위
들의 집합 또는 컴퓨터 시스템의 보안정책을 파괴하는 행위
(Anderson)
–
–
–
–
Causing Denial of Service
Creating Backdoor(Trojan Horse)
Planting Viruses
Exploiting Software Vulnerability
◈ 계획적이거나 우연하게 IT 시스템으로 권한이 없는 사용자의
접근 또는 행위(ISO)
ETRI Proprietary
3
침입의 분류 방법
ETRI Proprietary
침입 분류 방법
Solo Attack
Attacker
Multi Attack
Single Target
Multiple Targets
Target
Network Target
Direct Attack
Attacks
Path
Indirect Attack
Information Theft
Resource Destruction
Intention
Pre-attack
DoS Attack
Means
Local Attack
Remote Attack
ETRI Proprietary
5
Based on Attackers
▣ Solo attack
◈ One or more target systems are attacked by a single attacker.
◈ Most general type of attack that is easy to detect.
◈ E.g. System vulnerability attack, Unauthorized access attack
▣ Multi-attack
◈ More than one attackers coordinate to a single attack
◈ E.g. IP Spoofing, Mail bomb, Flooding
Attacker(a)
Attacker
Victim
Victim
Attacker(b)
Solo Attack
ETRI Proprietary
Multi Attack
6
Attacker(c)
Based on Target Systems
▣ Single Target
◈ A single target is attacked
◈ E.g. BackOrifice, Winnuke attack
▣ Multiple Targets
Victim(a)
Victim(b)
Victim(c)
◈ More than on target systems are attacked
– Random target systems are attacked : Scanning attack, Abnormal
packet broadcast attack
– Selective targets are attacked : Anonymous FTP attack
▣ Network Target
◈ Network resources or Network itself are attacked
◈ E.g. DNS spoofing, Router attack, Network DoS attack
ETRI Proprietary
7
Based on Attacking Path
▣ Direct attack
◈ Directly attacks the target systems
◈ E.g. Buffer overflow, Ping of death attack
▣ Indirect attack
◈ Spatial Indirect Attack
– Attack via vulnerable hosts to attack the target system
– Purpose on hiding the attacker’s location
◈ Temporal Indirect Attack
– Use of timing latency to make the detection difficult
target
Attacker
ETRI Proprietary
8
Other Types of Attacks
▣ Based on Intention
◈ Information Theft
◈ Resource Destruction
◈ Pre-attack
◈ Denial of Service Attack
▣ Based on Attacking Means
◈ Local Attack : attacks after login to the system
◈ Remote Attack : attack without login to the system for
information theft or DoS attack
ETRI Proprietary
9
침입탐지시스템의 정의
ETRI Proprietary
침입탐지 시스템
▣ Intrusion Detection System
◈ 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 규정하는
시스템으로 가능하면 실시간으로 처리하는 시스템(Denning)
◈ 침입을 시도하거나, 침입행위가 일어나고 있거나, 침입이 발생
한 것을 확인하는 절차(ISO)
ETRI Proprietary
11
Why Intrusion Detection System?
▣ The underlying systems have many vulnerabilities, but
attacks are not effectively handled because of the
limited technologies and economical reasons.
▣ It is difficult to reform the safe system due to high cost
and already developed applications
▣ It is almost impossible to develop completely secure
systems.
▣ Even secure systems have weak points to the inside
attackers.
ETRI Proprietary
12
Primary Objectives of IDS
Victim
1472
Hacker
ETRI Proprietary
13
-
Real-Time Alarm
Report/Recovery
Statistical Analysis
Attack Prevention
Real-Time Alarm and Response
▣Misused Action & Abnormal Behavior
◈ Denial
of Service
◈Race Condition & Stack Overflow
◈Unauthorized System File Modification
◈Exposure to External or Internal Threats
◈Other Critical Intrusions
▣Alarm and Report via
◈System Console
◈E-mail
◈Web User Interface
▣Automated Responses
ETRI Proprietary
14
Statistical Analysis and Report
▣Generating Statistics Using
◈Audit log
◈Daily, weekly, monthly and yearly events
▣Statistics of
◈Intrusion attempts
◈Intrusion classes
Statistics: IDS
Audit Record
ETRI Proprietary
15
Building New Intrusion Types
▣Based on
◈Intrusion Event Collection and Analysis
◈Classification of Intrusion Attempts
▣Creating New Patterns of Abnormal Behaviors
- Event Collection
& Analysis
- Audit Log Analysis
ETRI Proprietary
New Intrusion Pattern
Generation
16
침입탐지시스템 분류 방법
ETRI Proprietary
Purdue, COAST
▣ 국내에서 가장 많이 사용하는 분류 방식
▣ 침입모델을 기반으로 하는 분류
◈ Misuse Detection
◈ Anomaly Detection
◈ Hybrid Detection
▣ Data Source를 기반으로 하는 분류
◈ Host Based Detection
◈ Multi-Host Based Detection
◈ Network Based
ETRI Proprietary
18
IBM Zurich Research Lab.
▣ 99년 4월 ISO/IEC JTC1/SC27 "IT 침입탐지프레임워크" 회의에
서 독일 NB(National Body)가 침입탐지 분류 기준으로 제안
ETRI Proprietary
19
ICSA IDSC
▣ ICSA가 침입탐지시스템 평가를 준비하기 위하여 분류
▣ 모니터링 접근방식에 따른 분류
◈ Application Based
◈ Host Based
◈ Target Based
◈ Network Based
◈ Integrated
▣ 감사데이터의 분석 시점에 따른 분류
◈ Batch/Interval Analysis
◈ Real Time Analysis
▣ 침입 분석 기법에 따른 분류
◈ Signature Analysis
◈ Statistical Analysis
◈ Integrity Analysis
ETRI Proprietary
20
ISO/IEC JTC1/SC27/WG1
▣ IT Intrusion Detection Framework(ISO/IEC TR 15947)
ETRI Proprietary
21
침입탐지시스템 모델
ETRI Proprietary
침입탐지시스템의 기본 모델
▣Dorothy Denning(1987) : IDES
Audit Trail/Network Packets/Application Trails
Event Generator
Assert New Rules
Modify Existing Rules
Update Profile
Activity Profile
Rule Set
Generate Anomaly
Records
Generate New Profiles Dynamically
ETRI Proprietary
CLOCK
23
침입탐지시스템 모델의 형태
▣Misuse Detection Model
◈Based on the pattern of known misuse or abnormal behavior
Modify existing rule
Audit data
System profile
Timing
information
Compromised
state
Rule match?
Add new rules
▣Anomaly Detection Model
◈Based on the database of normal behavior
Update profile
Audit data
System profile
Generate new
profiles dynamically
ETRI Proprietary
24
Statistically
deviant?
Compromised
state
IETF의 IDS 모델
ETRI Proprietary
25
ISO/IEC의 IDS 모델
ETRI Proprietary
26
국내 평가에서의 IDS 모델
축약감사데이터 생성
감사데이터 수집
감사데이터 축약
감사데이터 관리
침입분석/탐지
축약된 감사데이터
비정상
행위탐지
오용탐지
IDS 감사데이터
탐지결과 조정
보안감사 대응
ETRI Proprietary
27
침입탐지시스템 구조
ETRI Proprietary
STAT 구조
▣STAT : UCSB
◈Real-Time IDS using State Transition and Rule Based Expert
System
◈Audit Record about Harmful Behavior
Audit Record
Audit Collection
Mechanism
Intrusion Detection
System Boundary
Audit Record
Preprocessor
State Transition
Analysis Tool
Profile-Based
Anomaly Detector
ETRI Proprietary
SSO
Interface
Audit Data
Archiver/Retriever
Site Security Officer(SSO)
Archival Storage
Unit
29
IDIOT 구조
▣IDIOT : COAST Lab. at Purdue
◈Pattern Matching based Expert System
◈Colored Petri-net based Analysis
◈Sun BSM audit trail(Solaris 2.4) based IDS
Audit
Data
Collector
ETRI Proprietary
Pattern
Matching
&
State
Transition
IDIOT
Audit
Format
Convertor
30
Pattern
State
Machine
..
.
Pattern
State
Machine
IDES 구조
▣IDES : SRI International
◈Misuse Based Real-Time IDS
◈Learning User’s Behavior by System Monitoring
◈Host based IDS
Audit
Record
Monitored
System
Audit
Record
IDES
Monitor
Audit
Records
Profiles
Suggested
Profiles
IDES
DBMS
Activity
Rules
Anomaly
Records
ETRI Proprietary
31
NIDES 구조
▣NIDES : SRI
International
◈Combination of Statistical
Approach and Rule Based
Expert System
◈Multi-Host based IDS
◈Real-Time IDS extended
from IDES
ETRI Proprietary
32
EMERALD 구조
▣EMERALD : SRI International
◈A scalable surveillance and response architecture for large
distributed networks
◈Statistical Anomaly Detection & Misuse Detection
Monitor API
Monitor API
(Correlation of External Results)(Results Dissemination)
3rd-PARTY
SECURITY
MODULE
(Analysis Engine)
Monitor API
(Event Reporting)
3rd-PARTY
SECURITY
MODULE
(Event Logger)
RESOLVER
Monitor
API
Target-Specific
Resource
Object
Statistical Anomaly
Detection Unit
Monitor API
(Event Reporting)
ETRI Proprietary
3rd-PARTY
SECURITY
MODULE
(Results Processor)
Monitor
API
Signature based
Inference Unit
Target-Specific
Event Stream
33
Monitor API
(Event Reporting)
AAFID 구조
▣AAFID : COAST Lab. at Purdue
◈A Distributed IDS based on Multiple Independent-running
Entities(Autonomous Agent)
D
A
C
Legend
Hosts
B
E
Agents
Transceivers
Monitors
Control flow
Data flow
ETRI Proprietary
34
User
interface
CIDF 구조
▣CIDF(Common Intrusion Detection Framework) : UC
DAVIS
ETRI Proprietary
Event
Generator
E-box1
Event
Analyzer
A-box2
Event
Generator
E-box2
Event
Analyzer
A-box1
Event
Analyzer
A-box3
Response
Generator
R-box1
Event
Database
D-box1
35
GrIDS 구조
▣GrIDS(Graph Based Intrusion Detection System for
Large Networks) : UC DAVIS
ETRI Proprietary
36
ISO/IEC의 IDS구조
▣ Two primary architecture
◈ The way in which the several IDSs are interconnected and interrelated
◈ The concentration or distribution of tasks within the IDS architecture
▣ Hierarchical intrusion detection architecture
ETRI Proprietary
37
DJIDS : DaeJeong I&C Co.
▣Kernel Event Monitoring and Real-Time Audit Trail
▣Real-Time Intrusion Detection & Response
▣Manager-defined Detection Rule based IDS
Intrusion Detection Unit
Report
& Response
SecDB
Data
Collection
Event
Monitoring
Kernel Event
ETRI Proprietary
38
Danger
Intrusion
Alarm
Intrusion
Info.
Response
Execution
Log File
Compression
Real-Time
Monitoring
NeoWatcher : Inzen Co.
▣Rule based Real-Time Intrusion Detection & Response
▣Network-based IDS
User Interface
LogDB
Manager
State
Watcher
NeoWatcher API
TCP
Watcher
UDP
Watcher
Packet Collector
Network Packet
ETRI Proprietary
39
...
Intrusion
Watcher
Siren : Penta Security System
▣Real-Time Intrusion Detection & Response
▣Anomaly Detection & Misuse Detection
▣Server/Client Model by Siren Server and Agents
Native audit data
Format Adaptor
Server with Siren Agent
Transport module
Server with Siren Agent
Response Module
Receiver
Aduit Records
Detection Engine
Response Module
Server with Siren Agent
ETRI Proprietary
40
Siren Server
침입탐지 방법론
ETRI Proprietary
침입탐지 방법론
▣ Misuse Detection
◈ Signature Analysis
◈ Expert Systems
◈ State-Transition Analysis
◈ Petri-nets 등
▣ Anomaly Detection
◈ Statistics
◈ Expert Systems
◈ Computer Immunology
◈ Data Mining
◈ HMM 등
ETRI Proprietary
42
Signature Analysis
▣ Knowledge-based approach
▣ Semantic level of the attacks description
◈ Audit Event를 Audit Trail에서 직접 찾을 수 있는 정보로 변환
(Audit Event의 Sequence, Data Pattern 등)
▣ Commercial Products에서 많이 사용
▣ Snort - Lightweight Intrusion Detection for Networks
◈ DRAGON, DEFENSEWORX, PAKEMON 등도 유사함
alert tcp any any -> 192.168.1.0/24 80
(content: “ cgi-bin/phf ”; offset: 3; depth: 22; msg: "CGI-PHF access";)
ETRI Proprietary
43
Expert System
▣ Knowledge-based Intrusion Detection
◈ Compare the Audit Trail Event to the set of rules established a priori
(abstraction level of the audit data)
◈ Rule Set에서 공격 패턴들에 대한 지식을 표현하고
◈ Audit Event를 Fact로 변환
▣ Inference Engine은 Rule과 Fact를 이용하여 침입을 탐지
▣ Rule-based languages 사용
▣ ASAX(Advanced Security audit trail Analysis on uniX)
◈ RUSSEL이라는 규칙기반언어 사용
Event-x?
Event-x?
Event-x?
Event-x?
Attack
if
Yes
no
if
if
Yes
Yes
no
no
if
Yes
no
Nopp
ETRI Proprietary
44
State Transition Analysis
▣ State Transition을 이용하여 해킹을 표현, UCSB에서 개
발
▣ USTAT, NSTAT, NetSTAT 등
ETRI Proprietary
45
Colored Petri-Net
▣ Knowledge-based Intrusion Detection
▣ Colored Petri Nets(CPN)을 사용하여 Purdue University에서 개발
▣ 개념적 단순화, 그래픽한 표현 가능
▣ 복잡한 Signature를 쉽게 표기
▣ Purdue의 IDIOT
ETRI Proprietary
46
Other Misuse Detection 방법론
▣ Neural Network
◈ 타당한 방법으로 새로운 입출력쌍을 얻기 위해 두 집합의 정보
간 관련성을 확습하고 일반화하는데 사용되는 알고리즘 기법
◈ 알려진 공격을 학습하고 감사스트림에서 탐색하는데 사용
◈ 입출력간의 관계를 알 수 있는 믿을만한 방법이 없으므로 신경
망은 공격을 추론하거나 설명할 수 없어 주로 비정상행위탐지
기법으로 많이 연구되고 있음
▣ Genetic Algorithm
◈ 자연 선택의 원리와 자연계의 생물 유전학에 기본 이론을 두고,
모든 생물은 주어진 다양한 환경 속에 적응함으로써 살아남는
다는 다윈의 적자생존의 이론을 기본 개념으로 하는 알고리즘
◈ GSSATA는 패턴 매칭에서 생기는 문제(Back referencing
operator in a string)을 해결하기 위해 공격 시나리오로부터 시간
에 대한 개념을 제거하고 여기에 John Helland가 제안한 유전알
고리즘을 사용
ETRI Proprietary
47
Statistics
▣ 가장 많이 사용
▣ statistical formulas 사용
▣ original model
◈ 모든 variable의 평균을 유지 ® 판정에 사용
◈ 대부분의 상용시스템에서 사용하는 방법
▣ IDES, NIDES
◈ 사용자 activity에 대하여 빈도수(frequencies), 평균(means), 분산
(covariance)와 같은 통계치 프로파일로 유지
◈ short-term profile과 long-term profile을 비교
ETRI Proprietary
48
Expert System
▣ Rule-based Anomaly Detection
▣ usage pattern을 표현하는 rule set 사용
▣ Wisdom & Sense
◈ 주기적 사용자 activity 기록 ® inconsistant behavior를 탐지
◈ 사용자 행위를 통계적으로 표현
▣ ComputerWatch
◈ usage policy를 표현한 rule set 사용
ETRI Proprietary
49
Neural Networks
▣ 이론적으로 오용탐지에 적합하나 통계적 기법과 유사하게 비정상행
위 탐지에 많이 사용
▣ 변수들간의 비선형적 관계를 표현하는 간단한 방법을 가지고 있으며
신경망을 통하여 자동 학습이 가능
▣ 많은 계산을 요구하기 때문에 널리 사용되고 있지는 않으나 개발된 시
스템으로는 SecureNet 등이 있음
ls
현재의
chmod
명령어와
과거의
w 개의
명령어
:
:
:
:
next predicted command
:
:
pwd
vi
input layer
ETRI Proprietary
output layer
50
Computer Immunology
▣Forrest 등이 제안한 방식으로 New Mexico 대학 등에서 연구
▣현재 사용자 보다 UNIX 네트워크 서비스의 정상행위를 모델
▣system call의 sequence 사용
ETRI Proprietary
51
Data Mining
▣Columbia 대학의 JAM 프로젝트에서 사용
▣JAM은 분산환경에서의 이식성과 확장성을 제공하는 에이전트 기반 침입탐
지시스템으로 비정상행위 탐지를 위해 meta-learning을 사용
▣COAST에서는 유사도 평가 알고리즘과 Greedy 클러스터링 기법을 사용
▣’98년 MIT Linclon Lab.에서 평가한 자료에 의하면 STAT나 통계적 기법보다
성능이 뛰어난 것으로 보고
ETRI Proprietary
시스템 이벤트 데이터
각 사용자 별 순차 규칙
UID
Time
Sy stem call
UID
1
1
95/06/25
95/06/30
30
90
2
2
2
95/06/10
95/06/15
95/06/20
10,20
30
40,60,70
1
2
3
4
5
3
95/06/25
30,50,70
4
4
4
95/06/25
95/06/30
95/07/25
30
40,70
90
5
95/06/12
90
52
Sequence
<(30) (90)>
<(10,20) (30) (40,60,70)>
<(30,50,70)>
<(30) (40,70) (90)>
<(90)>
사용자들의 공통적 규칙
(최대 순차 패턴 지지율 > 25 %)
<(30) (90)>
<(30) (40,70)>
침입탐지시스템의 Trends
ETRI Proprietary
53
Trend of IDS architecture
▣ Cooperative Intrusion Detection
▣ Coordinated Attack Detection in Global Network
▣ CIDF(Common Intrusion Detection Framework)
◈ The reusability issue (DARPA)
◈ Designing a framework in which ID&R systems may cooperate with
one another
ETRI Proprietary
Event
Generator
E-box1
Event
Analyzer
A-box2
Event
Generator
E-box2
Event
Analyzer
A-box1
Event
Analyzer
A-box3
Response
Generator
R-box1
Event
Database
D-box1
54
OPSEC framework
Check Point Management Console
with Account Management
CA
Directory Server
Content Security Server
URL Categorization Server
Policy Verification
Reporting and Analysis
Intranet
Internet
VPN-1/Firewall-1
Gateway
VPN-1/Firewall-1
Gateway
Enterprise Management
Platform
OpenView, Tivoli, etc.
Intrusion Detection
VPN-1 SecuRemote/
VPN-1 SecuClient
Meta IP Address Management
with User-to-Address Mapping
ETRI Proprietary
55
Remote
office
Active security
▣ Security Policy
◈ Decide what is important and how to respond
▣ Event Orchestra
◈ Accepts all alerts, compares with security policy, then initiates responses
▣ Intrusion Detection System
◈ Detection Attacks against environment
▣ Actions for security
◈ Helpdesk, Firewall, Administrator Alerts
Security Policy
Helpdesk
Firewall
Intrusion Detection System
ETRI Proprietary
Event Orchestra
56
Administrator
Alerts
Active Security Illustration
A Actor agent
Firewall
1. Incoming mail message
S Sensor agent
2. Redirect mail
to anti-virus server
A
Network Virus
Protection Gateway
4. action : do not accept
mail from [email protected]
S
3. Virus found in message
From : [email protected]
To : [email protected]
5. action :Scan all files
owned by 'joe'
Event Orchestra
7. Intrusion detected
Related finger service
IDS
Host1
A
57
A
8. action :Shutdown 'finger'
service on Host1
6. Detecting Intrusions for Host 1
S
ETRI Proprietary
Network File Server
Integrated Security Management
Web based
security
management
web
client
Access
Control
External
Firewall
User's request
Control message
ISMS Engine
request
/result
Policy
update
Internal
Firewall 1
Internal Network 2
Internet
Internal
Firewall 2
Virus
Scanner
IDS
Internal Network 1
ETRI Proprietary
58
Internal Network 3
Conceptual View of ISMS
security
management
Web client
ISMS Engine
SNMP
Agent
SNMP
Agent
Network A
ETRI Proprietary
Central
policy database
SNMP
Agent
policy
policy
Firewall
DBMS
IDS
policy
VPN
Network B
59
Network C
침입탐지시스템 표준화
ETRI Proprietary
IETF의 IDS 표준
▣ 침입탐지 표준화 그룹
◈ IETF IDWG(Intrusion Detection Working Group)
◈ 1998년 12월에 조직
▣ 목적
◈ IDS와 대응 시스템, 그리고 이들과 상호 작동하는 관리시스템 사
이의 정보를 공유하기 위한 데이터 포맷 및 교환 절차 정의
▣ The outputs of IDWG
◈ A requirements documents
◈ A common intrusion language specification
◈ A framework document
ETRI Proprietary
61
▣ Internet-Drafts:
◈ Intrusion Detection Mesage Exchange Requirements
◈ IAP: Intrusion Alert Protocol
◈ Intrusion Detection Message Exchange Format Extensible
Markup Language (XML) Document Type Definition
◈ Intrusion Detection Message Exchange Format Comparison of
SMI and XML Implementations
◈ The TUNNEL Profile Registration
◈ The Intrusion Detection Exchange Protocol (IDXP)
▣ No Request For Comments
ETRI Proprietary
62
ISO/IEC의 IDS 표준
▣ 침입탐지 표준화 그룹
◈ JTC1/SC27/WG1
▣ 범위
◈ IT 위험 관리에서 침입 탐지의 역할을 설명한다. 침입 탐지 용어
와 개념을 위해 공통의 정의를 확립하고 침입 탐지 시스템에 대
한 프레임 워크를 정의
▣ 주요 내용
◈ IT 시스템의 침입 탐지에 대한 프레임워크를 정의
◈ 침입 탐지 용어와 개념을 위해 공통의 정의를 확립하고 방법론
과 개념, 관계를 기술
◈ 침입 탐지 타스크와 관련 행위의 순서를 언급하며 이러한 타스
크와 절차를 기업 보안 정책에서 침입 탐지의 실제적인 통합을
보여주기 위해 조직이나 기업의 프로세스와 연관
ETRI Proprietary
63
▣ 다른 표준과의 관계
◈ ISO/IEC TR 13335-1,2,3,4,5
 Guidelines for the management of IT Security(GMITS)
◈ ITU-T Recommendation X.816 | ISO/IEC TR 10181-7
 Security audit and alarms framework
◈ ISO/IEC 15408-2 : 1999
 Evaluation criteria for IT security - Security functional requirements
▣ 개발 연혁
◈ WD 1998-12
◈ PDTR 1999-10
◈ (DTR 2000-05)
◈ (TR 2000-11)
▣ 표준화 문서명
◈ ISO/IEC TR 15947 - IT intrusion detection framework
ETRI Proprietary
64
국내 IDS 표준
▣ 침입탐지 표준화 그룹
◈ TTA TC10/SG3, 인터넷보안기술포럼
▣ 목적
◈ 다양한 보안 제품들이 침입탐지시스템의 분석 결과를 이용할
수 있도록 하기 위하여 침입탐지시스템의 로그 형식에 대한 표
준을 정의
▣ 범위 및 내용
◈ 침입탐지시스템의 로그 형식을 정의하고 로그의 세부 속성에
대한 설명과 요구사항을 기술
◈ 침입탐지시스템의 로그 형식을 객체 지향 방법론의 클래스 다
이어그램을 사용하여 정의
◈ 각 클래스의 속성을 필수 속성과 선택속성으로 구분
▣ IETF IDWG Internet-Draft “Intrusion Detection Message
Exchange Format” 참조
ETRI Proprietary
65
침입탐지 및 대응 기술
ETRI Proprietary
침입대응 기술
▣개요
◈ 침입 대응 기술은 사용자나 시스템관리자에 의하여 실행되거나
자동화된 대응 시스템을 통하여 실행
◈ 보통 해커의 공격은 자동화된 도구를 사용하는 경우가 많으므로
이러한 공격에 대하여 효과적으로 대응이 가능한 자동화된 실시
간 대응 방법과 복구 시스템이 필요
▣침입대응 기술
◈ 침입자에 대한 반격
◈ 침입정보수집
◈ 환경의 수정
ETRI Proprietary
67
침입탐지와 대응
▣ 침입탐지시스템에서의 대응 기술(ICSA)
◈ 수동적 대응
– Alert
– Logging
◈ 능동적 대응
– Network Base
– Hijacking/Termination
– Firewall/Router/Switch Reconfiguration
– Host base
– Log off/ lock out a user
– Shutdown and AP or system
– Vulnerability Correction
ETRI Proprietary
68
Collaboration with Firewall
▣Firewall/Switch/Router Reconfiguration
dual homed host with
packet filtering facility
(ex ; ipfwadm)
Network based IDS
1472
1472
External
network
Filtering configuration
module
Network Packet
Analysis module
notify result
ETRI Proprietary
69
System based IDS
1472
System Data
Analysis module
notify result
Collaboration with Wrapper
▣Host-based Firewall/Wrapper Reconfiguration
Real Daemon
Login
Wrapper(inetd)
Socket
Intrusion
Detection
System
TCP/IP
LLC/MAC
LAN Card
Physical
ETRI Proprietary
70
IDIP Concept
▣IDIP Communities
◈Discovery Coordinator
◈Boundary Controller
◈Intrusion Detection System
ETRI Proprietary
71
Integrated Components
ETRI Proprietary
72
침입대응 기술
▣ 침입 대응 및 복구 기술
◈ 미 국방부의 DARPA의 주도로 부정행위 탐지·대응·복구를 위한 연구를
1996년부터 1999년까지 "대규모 네트워크 생존성"이라는 제목 하에 진
행
◈ 2000년부터 수행하고 있는 DARPA/ISO의 AIA(Automatic Information
Assurance) 프로젝트에서의 대응 개념도
ETRI Proprietary
73
침입탐지 ISSUE
ETRI Proprietary
침입탐지 ISSUE
▣ Privacy
▣ Host vs Network Based
▣ Misuse vs Anomaly Detection
▣ Burglar Alarms
▣ Honey Pots
▣ Fooling IDS
▣ IDS and Firewall/Switch/VPN
▣ IDS Performance
▣ IDS and Forensics
▣ Large Scale Networks
ETRI Proprietary
75