조직이 운영하는 네트워크의 규모가 방대해지고, 인터넷 사용이 활성화되면서 보안의 중요성도 함께 증가하였다. 그러나 최근 보안의 핵심으로 부각되고 있는 침입탐지 시스템들은 인터넷상의 공격들에 대한 적절한 분석이나 효율적인 대응책을 제공해 주기보다는, 대량의 침입탐지 정보를 생성시켜 관리자의 부담을 가중시키고 있다. 본 논문에서는 침입탐지 시스템이 생성하는 대량의 침입탐지 정보들간에 존재하는 연관성을 분석하여 대응에 필요한 고 수준의 정보를 실시간으로 생성해 냄으로써 관리 및 분석의 효율성을 증진시키고, 나아가서는 분산 서비스 거부 공격(DDoS) 같은 대규모의 공격까지도 조기에 탐지해 낼 수 있는 능력을 갖춘 침입탐지 정보 분석 시스템을 제안한다. 그리고 제안된 시스템의 성능 분석을 위해 각 모듈의 처리 효율을 측정하고 알려진 공격 시나리오 기반의 시험 평가를 실시한다.
조직이 운영하는 네트워크의 규모가 방대해지고, 인터넷 사용이 활성화되면서 보안의 중요성도 함께 증가하였다. 그러나 최근 보안의 핵심으로 부각되고 있는 침입탐지 시스템들은 인터넷상의 공격들에 대한 적절한 분석이나 효율적인 대응책을 제공해 주기보다는, 대량의 침입탐지 정보를 생성시켜 관리자의 부담을 가중시키고 있다. 본 논문에서는 침입탐지 시스템이 생성하는 대량의 침입탐지 정보들간에 존재하는 연관성을 분석하여 대응에 필요한 고 수준의 정보를 실시간으로 생성해 냄으로써 관리 및 분석의 효율성을 증진시키고, 나아가서는 분산 서비스 거부 공격(DDoS) 같은 대규모의 공격까지도 조기에 탐지해 낼 수 있는 능력을 갖춘 침입탐지 정보 분석 시스템을 제안한다. 그리고 제안된 시스템의 성능 분석을 위해 각 모듈의 처리 효율을 측정하고 알려진 공격 시나리오 기반의 시험 평가를 실시한다.
With the growing deployment of network and internet, the importance of security is also increased. But, recent intrusion detection systems which have an important position in security countermeasure can't provide proper analysis and effective defence mechanism. Instead, they have overwhelmed human o...
With the growing deployment of network and internet, the importance of security is also increased. But, recent intrusion detection systems which have an important position in security countermeasure can't provide proper analysis and effective defence mechanism. Instead, they have overwhelmed human operator by large volume of intrusion detection alerts. In this paper, we propose an efficient alert analysis system that can produce high level information by analyzing and processing the large volume of alerts and can detect large-scale attacks such as DDoS in early stage. And we have measured processing rate of each elementary module and carried out a scenario-based test in order to analyzing efficiency of our proposed system.
With the growing deployment of network and internet, the importance of security is also increased. But, recent intrusion detection systems which have an important position in security countermeasure can't provide proper analysis and effective defence mechanism. Instead, they have overwhelmed human operator by large volume of intrusion detection alerts. In this paper, we propose an efficient alert analysis system that can produce high level information by analyzing and processing the large volume of alerts and can detect large-scale attacks such as DDoS in early stage. And we have measured processing rate of each elementary module and carried out a scenario-based test in order to analyzing efficiency of our proposed system.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
그리고 각 접근방법에서 무시되거나 흑은 의미가 적은 정보로 취급되었던 시간 정보에 중요한 의미를 부여하고, 과거의 연구를 참고하여 좀 더 체계적인 접근 방법을 통하여 시간 정보를 시스템에 적용하고자 한다.
본 논문에서는 대량의 침입탐지 정보를 적절히 분석 및 가공하여 관리자에게 필요한 고수준의 정보를 생성해내고, DDoS나 Worm 등의 대규모 공격을 조기에 탐지해 낼 수 있는 침입탐지 정보 연관성 분석 시스템을 제안하였다. 그리고 기존 연관성 분석 시스템들과의 비교를 통해 제안된 시스템이 가지는 특징들을 살펴보았다.
본 논문에서는 상기 시나리오 중 Scenario #4, Scenario #6에 대한 결과를 중심으로 Correlator 와 Situatoi■에 성능 분석 결과를 제시하고자 한다.
성능평가에 앞서 본 논문에서 제안하는 연관성 분석시스템의 특징을 기존 연관성 분석 시스템들과의 비교를 통해 살펴보고자 한다.
제안 방법
DARPA에서 제공되는 침입탐지 자료는 IDS의 성능평가를 위해서는 유용하나 본 연구에서 제안된 유형의 시스템 평가에는 부적절하며, 현재까지는 사이버공격 침입 정보의 연관성 분석 능력을 평가할 수 있는 기준이나 자료가 제공되지 않는 실정이기 때문에 우선적으로 알려진 공격 시나리오에 기반한 시험 평가만을 실시하였다. 본 논문에서는 상기 시나리오 중 Scenario #4, Scenario #6에 대한 결과를 중심으로 Correlator 와 Situatoi■에 성능 분석 결과를 제시하고자 한다.
DDoS 공격의 조기 탐지 능력 평가를 위해서 다수의 공격 호스트에서 ICMP Flood*를 이용하여 그림 11에서 보는 바와 같이 공격 대상 호스트에 대해 3000Byte 의 대용량 패킷을 계속 전송하는 서비스 거부 공격을 실행하였다. 이러한 DDoS 공격이 제안된 시스템에 의해 탐지되고 분석된 결과는 그림 12와 13에서 보는 바와 같다.
Situator 모듈의 정상 작동 여부를 검증하기 위해 1:N, N:l, N:M의 형태로 공격 시나리오를 분류하여 성능 분석을 실시하였으나, 본 논문에서는 Scenario #6에 대한 결과만을 보이고자 한다.
Thread Event의 분석을 통해 현 네트워크에 대한 공격 성향을 파악한다. 즉 여러 공격자가 하나의 목표를 집중적으로 공격하는 DDoS나 Worm으로 인한 무작위적 공격을 조기에 파악함으로써 대응시간을 줄이는데 사용할 수 있다.
⑶에서 제안된 Planning Process Model 모델은 Al 의 planning process 기법을 적용한 호스트 기반의 IDS 모델로서, 공격이 일어나기 전후의 호스트 시스템에 대한 상황과 공격의 각 단계를 포함하는 공격 시나리오를 모델링하고 이에 기반하여 침입탐지 정보들 간의 연관성을 찾아낸다. 그러나 CIDF Corr이ator와 달리 현재 상태에서 수행 불가능한 공격순서를 정의하고 그러한 경우가 발생했을 때에는 연관성 분석을 중단하는 Anti~Correlation 메커니즘을 포함하고 있으며, 네트워크에 대한 추가적인 정보가 가용하다면 연관성 분석을 위한 룰을 자동으로 생성해 주는 기능도 포함하고 있다.
각 모듈별 처리 효율을 평가하기 위해 Filter에서 생성된 하나의 Thread Event가 각 모듈에서 처리되는데 걸리는 수행 시간을 측정하였으며, 그 결과는 표 3에서 보는 바와 같다.
즉, 특정한상황하에서는 완전 일치가 되지 않더라도 최소한의 유사도만 보장되면 2개의 침입탐지 정보간에는 연관성이 존재하는 것으로 판단한다. 공격 클래스간의 유사도 분석에서는 사전에 정의된 유사도 값을 사용하며, 특정 상황 하에서는 반드시 일치되어야만 하는 요소들을 고려하여 각 요소들의 유사도에 대한 기대치를 0과 1사 이의값으로 부여하고, 침입탐지 정보들간의 종합적인 유사도를 분석하는 데 사용한다.
표현하였다. 그리고 근원지 정보(Source), 공격 목표 (Target), 공격 클래스(Attack 시ass) 둥의 요소에 대해 공통적인 값을 갖는 침입탐지 정보들의 집합을 7가지의 상황(Situation)으로 분류하였다. 센서에서 탐지되는 침입 정보들 온 판별기준에 따라 해당되는 상황으로 통합되어 나타남으로써 현 네트워크에서 발생되는 상황을 신속하게 파악할 수 있다는 장점을 가진다.
그리고 기존 연관성 분석 시스템들과의 비교를 통해 제안된 시스템이 가지는 특징들을 살펴보았다.
그리고 운영체제 및 버전 정보, 하드웨어, 운영 중인 네트워크 서비스 및 응용 프로그램 등의 토폴로지 정보를 이용하여, 현재 탐지된 침입이 토폴로지에 얼마나 관련성을 가지는지를 판별하고 0부터 255까지의 관련성 점수(Relevance Score)를 부여한다. 최종적으로 각각의 침입사고들에 대한 우선순위 산출에는 “Bayes Calculation" 기법이 적용되며, 조건부 우선순위 테이블값과 관련성 점수 및 센서로부터의 출력값(공격의 성공 여부) 등이 입력으로 사용된다.
또한 확률론적 접근 방법뿐만 아니라 대부분의 기존 연구에서 등한시하거나 체계적이지 못한 방법으로 시스템에 적용되었던 시간 정보에 중요한 의미를 부과하고, Browne의 연구를 참고하여 체계적으로 접근 및 적용하였기에 기존의 시스템들에 비해서는 정확한 결과를 얻을 수 있다. 그리고 제안된 시스템은 공격 클래스의 유사도 분석에 사용되는 행렬의 초기치를 구하기 위해 DARPA에서 제공하는 자료에 대해 데이타마이닝 기법을 적용하였다.
측정하였다. 그리고 제안된 시스템의 성능 평가를 위해 테스트베드 상에서 알려진 공격 기법과 도구들을 이용하여 다음과 같은 공격 시나리오들을 구성하여 시험 평가를 실시하였다.
네트워크 상에서 서비스 호출을 위해 사용되는 RPC 서비스의 취약점을 이용한 공격으로서, 다음과 같은 단계로 공격을 진행하였다.
이기종 센서들 간에는 공격 클래스에만 높은 수준의 유사도 기대치를 적용하여 유사도를 분석하고 Security Incident로 통합한다. 다단계로 수행되는 공격들에 대해서는 공격 클래스에 낮은 유사도 기준을 적용함으로써, 예상되는 공격 시나리오를 찾아내고 Con■이ated Attack Report를 생성한다.
또한, 현 네트워크의 상황과 공격 성향을 신속하게 파악하고 나아가서는 DDoS 나 Worm 등의 대형화된 공격을 조기에 탐지해 낼 수 있는 시스템을 목표로 하여, Situation-aware approach에서의 'situation' 개념을 발전 시켜 시스템에 적용한다.
만약 두 이벤트의 근원지 주소가 같은 서브 네트워크에 포함된다면 두 공격자는 동일인일 가능성이 매우 높아지므로, 이를 고려해서 계산한다. 유사도 분석대상이 되는 두 IP 주소의 불일치하는 길이가 길어질수록 동일인일 확률은 급격하게 감소하므로, 유사도는 로그 스케일(log scaleX 따름을 유추할 수 있다.
본 논문에서 제안된 시스템은 확률론적 접근 방법과 동일하게 침입탐지 정보 내에 포함된 각 요소들간의 유사도를 이용해 연관성 분석을 실시하며, 이 때 사용되는 요소들은 IP 주소 포트(Port), 공격 클래스(Attack class), 시간 정보(Time information) 이다.
본 논문에서 제안된 연관성 분석 시스템의 센서는 NIDS 인 Snort# 기반으로 하고 있으며, 관제 센터는 Unix에서 C 언어를 사용하여 구현하였다. 센서와 Filter 는 Linux 기반으로 운용되며, 관제센터에서 사용된 데이타베이스는 Unix용 Oracle이다.
본 논문에서 제안하고 있는 시스템은 정형화된 룰에 의한 연관성 분석보다는 네트워크 형태나 특정 상황에 따라 유연성을 발휘할 수 있는 시스템을 목표로 한다 따라서 확률론적 접근방법에서와 유사하게 침입탐지 정보에 포함된 각 요소들 간의 유사도에 기반한 연관성 분석을 실시한다.
본 논문에서 제안하고자 하는 Situator의 구조 및 처리 흐름은 그림 6에서 보는 바와 같고, 개별적인 공격이벤트들이 후보 리스트에 저장되어 있다가 사전에 정의된 한계값을 초과하여 발생된 경우에는 각각의 공격 유형별로 분류된다. 이러한 한계값은 네트워크의 상황이나 공격 트랜드에 따라 관리자가 조정 가능하다.
본 논문에서 제안하는 시스템은 Snort만을 대상으로 하기 때문에 앞서 언급한 문제점이 발생할 가능성은 없지만, 차후 다양한 이기종의 IDS를 수용할 수 있는 시스템으로 확장하기 위해서는 클래스의 분류가 필요하기에 Snort에서 정의된 34개의 클래스를 시스템에 적용하고자 한다.
성능 분석 결과에서 알 수 있는 바와 같이, 제안된 시스템은 연관성 분석을 통해 실시간으로 관리 및 분석에 필요한 고수준의 정보를 제공해 주며, 현 네트워크에서 발생되고 있는 다단계 공격이나 기타 공격 유형들을 조기에 파악할 수 있도록 해 준다.
따라서 확률론적 기법에 의한 유사도 산출을 통해 연관성을 분석한다는 기본적인 전략은 동일하지만, 기존의 확률론적 접근 방법과는 차별화된 특징들을 가지고 있다. 우선 제안된 시스템은 대량의 침입탐지 정보에서 중복되는 요소를 제거하고 필수적인 정보들만 추출하기 위해 1차적으로 침입탐지 시스템과 연동되는 필터에서 필터링을 실시하고 2차적으로는 관제센터 내에서 Aggregator0^] 의한 통합이 이루어진다. 즉 모든 침입탐지 정보를 대상으로 하는 확률론적 접근방법과는 달리 중복 요소를 제거한 정보들만올 대상으로 연관성 분석을 실시함으로써 시스템의 부하를 줄이고 있다.
제안된 시스템은 3장의 설계 고려사항에서 기술한 바와 같이 확률론적 접근방법에 기반하고 있다. 따라서 확률론적 기법에 의한 유사도 산출을 통해 연관성을 분석한다는 기본적인 전략은 동일하지만, 기존의 확률론적 접근 방법과는 차별화된 특징들을 가지고 있다.
제안된 연관성 분석 시스템의 처리 능력 및 동작 성능을 평가하기 위해 2단계에 걸쳐 대량의 침입탐지 정보를 줄여주는 역할을 수행하는 Filter■와 Aggregator 모듈의 압축률 및 각 단위 모듈별 수행시간을 측정하였다. 그리고 제안된 시스템의 성능 평가를 위해 테스트베드 상에서 알려진 공격 기법과 도구들을 이용하여 다음과 같은 공격 시나리오들을 구성하여 시험 평가를 실시하였다.
침입탐지 정보의 연관성 분석을 위한 기존 연구들을 5가지 범주로 나누어 살펴보고자 한다.
대상 데이터
단위 네트워크에 설치된 센서로부터 오는 침입 탐지정보를 수신하는 모듈로서, 본 연구에서 적용 대상으로 하는 네트워크용 침입탐지 시스템 Snort의 로그 정보구조체인 Alertpkt 구조체의 형식으로 전송 받는다.
시스템에서 사용되는 이벤트는 Thread Event, Agg regation Event, Correlation Event, Situation Event의 4가지 종류가 있으며, 각 이벤트 간의 계층 관계는 그림 2와 같다.
데이터처리
성능분석을 위해 사용된 초기 S값은 DARPA에서 제공하는 침입탐지 데이타에 대한 통계적 분석을 통해 설정하였다.
이론/모형
그리고 운영체제 및 버전 정보, 하드웨어, 운영 중인 네트워크 서비스 및 응용 프로그램 등의 토폴로지 정보를 이용하여, 현재 탐지된 침입이 토폴로지에 얼마나 관련성을 가지는지를 판별하고 0부터 255까지의 관련성 점수(Relevance Score)를 부여한다. 최종적으로 각각의 침입사고들에 대한 우선순위 산출에는 “Bayes Calculation" 기법이 적용되며, 조건부 우선순위 테이블값과 관련성 점수 및 센서로부터의 출력값(공격의 성공 여부) 등이 입력으로 사용된다.
성능/효과
Stanford CIDF Corr 시 ator 나 Planning Process Mod이 같은 룰 기반의 접근방법과 제안된 시스템은 기본적인 접근전략에서 차이가 있으며, 정형화된 룰에 의해 일부 공격에 대해서만 연관성 분석이 가능한 룰 기반의 접근방법과 달리 제안된 시스템은 새로운 공격 유형에 대해서도 탐지가 가능하다는 장점을 가진다.
관제 센서로 Thread Event를 전송하는 주기를 1분으로 설정했을 경우 Filter의 압축률은 평균 11% 수준이었으며, ICMP Ping CyberKit에 의한 Nachi Worm의 경우에는 Thread Event 하나당 평균 20개 정도의 침입 탐지 정보가 통합되어 최대 5%의 압축률을 보였다.
그러나 본 논문에서 제안된 연관성 분석 시스템의 Situator 모듈은 실시간에 가까운 수준으로 현 네트워크에서 DDoS 유형의 공격이 행해지고 있음을 탐지하였다.
둘째, 네트워크의 현재 상황이나 공격의 변화 추세에 대한 판단은 전적으로 관리자의 수작업에 의존할 수밖에 없다.
즉 모든 침입탐지 정보를 대상으로 하는 확률론적 접근방법과는 달리 중복 요소를 제거한 정보들만올 대상으로 연관성 분석을 실시함으로써 시스템의 부하를 줄이고 있다. 또한 확률론적 접근 방법뿐만 아니라 대부분의 기존 연구에서 등한시하거나 체계적이지 못한 방법으로 시스템에 적용되었던 시간 정보에 중요한 의미를 부과하고, Browne의 연구를 참고하여 체계적으로 접근 및 적용하였기에 기존의 시스템들에 비해서는 정확한 결과를 얻을 수 있다. 그리고 제안된 시스템은 공격 클래스의 유사도 분석에 사용되는 행렬의 초기치를 구하기 위해 DARPA에서 제공하는 자료에 대해 데이타마이닝 기법을 적용하였다.
셋째, 현재의 공격들은 그 기법이 점점 다양해지면서, 하나의 공격이 서로 연관된 다수의 침입정보를 발생시킨다. 그러나 대부분의 침입탐지 시스템들은 그러한 연관된 침입탐지 정보들을 분석하여 연관성을 가진 하나의 공격이 발생한 것으로 판단하는 것이 아니라, 다수의 공격이 개별적으로 발생하였다고 판단한다.
요컨대 제안된 시스템은 기존의 시스템들에 비해 연관성 분석 과정에서 유연성을 가지며, 체계적인 방식에 의한 시간 정보 적용으로 비교적 정확한 연관성 분석 결과를 도출해 낸다. 또한, 자동화된 실시간 정보처리로 관리자의 오버헤드를 감소시킴은 물론 기존의 시스템에서는 볼 수 없었던 대형화된 공격의 조기 탐지 또한 가능하다는 장점을 가진다.
첫째, 네트워크의 규모가 방대해지고 인터넷이 활성화되면서 트래픽량도 증가하였고 상대적으로 침입탐지 시스템이 생성해내는 정보도 기하급수적으로 증가하였다. 그러나 대부분의 침입탐지 시스템들은 그러한 대량의 탐지 정보들을 가공이나 분석 없이 있는 그대로 관리자에게 전달함으로써 관리자의 부담만 가중시킨다.
후속연구
그러나 제안된 시스템의 성능 평가에 필요한 객관적인 기준이나 평가용 자료가 없어 이미 알려진 공격 시나리오만으로 평가를 진행하였는데, 차후에는 좀 더 다양한 공격 시나리오를 구성하여 실험을 진행하고자 한다. 그리고 현재 NIDS인 Snort만을 대상으로 하고 있는 시스템을 확장하여 호스트 기반의 IDS와 다른 종류의 NIDS를 수용할 수 있는 시스템으로 개선해 나갈 예정이다.
그리고 현재 NIDS인 Snort만을 대상으로 하고 있는 시스템을 확장하여 호스트 기반의 IDS와 다른 종류의 NIDS를 수용할 수 있는 시스템으로 개선해 나갈 예정이다.
유사도 분석대상이 되는 두 IP 주소의 불일치하는 길이가 길어질수록 동일인일 확률은 급격하게 감소하므로, 유사도는 로그 스케일(log scaleX 따름을 유추할 수 있다. 두 IP 주소의 유사도에 대한 상세한 기준은 아래와 같으며, 실제적인 기준값은 추후 실험을 통해 계속적으로 변동 시켜 나갈 것이다.
이러한 이유들로 인해 침입탐지 시스템이 생성해 내는 다수의 침입탐지 정보들 간에 존재하는 연관성 들을 적절한 방법으로 분석하고 가공하여 고수준의 새로운 정보를 생성해 냄으로써, 관리자로 하여금 적시적 판단과 효율적 대응이 가능하도록 해 주고 DDoS 같은 대규모의 공격을 조기에 탐지해 낼 수 있는 능력을 갖춘 시스템의 개발은 필수적이라고 할 수 있으며, 향후 침해사고 대응과 종합적인 보안관리를 위한 기반이 될 것이다.
참고문헌 (16)
Wenke Lee,. 'A Framework for Constructing Features and Models for Intrusion Detection System,' PhD thesis, Columbia University, June 1999
L. Perrochon, E. Jang, and D.C. Luckham, 'Enlisting Event Patterns for Cyber Battlefield Awareness,' DARPA Information Survivability Conference & Exposition (DISCEX'00), Hilton Head, South Carolina, January 2000
F. Cuppens, 'Correlation in an intrusion detection process,' Internet Security Communication Workshop(SECI02), Tunis- Tunisia, September 2002
H. Debar and A. Wespi, 'Aggregation and Correlation of Intrusion-Detection Alerts,' Proceedings of 2001 International Workshop on Recent Advances in Intrusion Detection, Davis, CA, October 2001
A. Valdes and K. Skinne, 'Probabilistic Alert Correlation,' Fourth International Workshop on the Recent Advances in Intrusion Detection, Davis, USA, October 2001
Phillip A. Porras, et aI, 'A Mission impact-Based Approach to INFOSEC Alarm Correlation,' Fifth International Workshop on the Recent Advances in Intrusion Detection, Zurich, Switzerland, October 2002
P. Porras and P. Neumann, 'Emerald: Event Monitoring Enabling Responses to Anomalous Live Disturbances,' National Security Conference, 1997
E. Bloedorn, et aI, 'Data Mining for Network Intrusion Detection: How to Get Started,' MITRE Technical Report, August 2001
F. Cuppens, 'Cooperative Intrusion Detection,' International Symposium 'Information Superiority: Tools for Crisis & Conflict-Management,' Paris, France, September, 2001
F. Cuppens, 'Managing alerts in a multi intrusion detection environment,' 17th Annual Computer Security Applications Conference (ACSAC), New Orleans, December 2001
C. Kahn, P.A. Porras, S. Staniford-Chen, and B. Tung, 'A Common Intrusion Detection Framework,' http://www.gidos.org
K. Kendall, 'A Database of Computer Attacks for the Evaluation of Intrusion Detection Systems,' Master's Thesis, Massachusetts Institute of Technology, June 1999
W. Lee, R.A. Nimbalkar, K.K. Yee, S.B. Patil, P.H. Desai, T.T. Tran, and S,J. Stolfo, 'A Data Mining and CIDF-Based Approach for Detecting Novel and Distributed Intrusions,' Proceedings 2000 International Workshop on Recent Advances in Intrusion Detection (RAID), Toulouse, France, October 2000
※ AI-Helper는 부적절한 답변을 할 수 있습니다.