정보통신망의 빠른 발달과 이로 인한 인터넷 사용의 급증으로 인하여 해킹, 바이러스 등의 정보통신 역기능 또한 빠르게 발전하고 있다 이를 방지하기 위해 F/W, IDS, VPN 등의 보안 제품이 많이 사용되고 있다. 그러나, 1.25 인터넷 대란에서 알 수 있듯이 현 상황은 관리자가 보안 제품들에서 발생하는 경고 메시지를 확인하고 해당 내용을 대응할 수 없을 정도로 빠른 시간에 확산된다. 따라서, IDS와 더불어 자동 대응 기능을 갖추고 있는 침입방지시스템(IPS)이 절실히 요구되어지고 있고, 널리 사용되어지고 있다. 본 논문에서는 linux 운영 체제 환경에서의 공개된 도구인 snort와 iptables를 이용하여 시스템 구축 비용이 최소화될 수 있는 방향으로 설계되었다. 또한, snort에서 발생시킨 경보 메시지를 iptables와 연계하여 자동 대응을 수행하도록 구성되었으며, 이를 통하여 관리자 개입을 최소화하고 해킹사고에 대한 피해를 최소화 할 수 있도록 제안되었다.
정보통신망의 빠른 발달과 이로 인한 인터넷 사용의 급증으로 인하여 해킹, 바이러스 등의 정보통신 역기능 또한 빠르게 발전하고 있다 이를 방지하기 위해 F/W, IDS, VPN 등의 보안 제품이 많이 사용되고 있다. 그러나, 1.25 인터넷 대란에서 알 수 있듯이 현 상황은 관리자가 보안 제품들에서 발생하는 경고 메시지를 확인하고 해당 내용을 대응할 수 없을 정도로 빠른 시간에 확산된다. 따라서, IDS와 더불어 자동 대응 기능을 갖추고 있는 침입방지시스템(IPS)이 절실히 요구되어지고 있고, 널리 사용되어지고 있다. 본 논문에서는 linux 운영 체제 환경에서의 공개된 도구인 snort와 iptables를 이용하여 시스템 구축 비용이 최소화될 수 있는 방향으로 설계되었다. 또한, snort에서 발생시킨 경보 메시지를 iptables와 연계하여 자동 대응을 수행하도록 구성되었으며, 이를 통하여 관리자 개입을 최소화하고 해킹사고에 대한 피해를 최소화 할 수 있도록 제안되었다.
The growth of incidents on the Internet has reflected growth of the internet itself and growth of the computing Power. while in Previous years, external attacks tended to originate from those interested trend in exploring the Internet for its own sake and testing their skills, there is an increasing...
The growth of incidents on the Internet has reflected growth of the internet itself and growth of the computing Power. while in Previous years, external attacks tended to originate from those interested trend in exploring the Internet for its own sake and testing their skills, there is an increasing trend towards intrusions motivated by financial, Political, and military objectives. so, attacks on the nation's computer infrastructures are becoming an increasingly serious problem. Even though the problem is ubiquitious, government agencies are particularly appealing targets and they tend to be more willing to reveal such events than commercial organizations. The threat of damage made necessity of security's recognition, as a result, many researches have been carried out into security of system actively. Intrusion Detection technology is detection of intrusion using audit data differently from using traditional simple filtering and informs manager of it. It has security manager of system deal with the intrusion more quickly. but, cause current environment of Internet manager can't doing response Intrusion alert immediately That's why IPS needed. IPS can response automatically the intrusion alert. so, manager is more comfortable and can response quickly.
The growth of incidents on the Internet has reflected growth of the internet itself and growth of the computing Power. while in Previous years, external attacks tended to originate from those interested trend in exploring the Internet for its own sake and testing their skills, there is an increasing trend towards intrusions motivated by financial, Political, and military objectives. so, attacks on the nation's computer infrastructures are becoming an increasingly serious problem. Even though the problem is ubiquitious, government agencies are particularly appealing targets and they tend to be more willing to reveal such events than commercial organizations. The threat of damage made necessity of security's recognition, as a result, many researches have been carried out into security of system actively. Intrusion Detection technology is detection of intrusion using audit data differently from using traditional simple filtering and informs manager of it. It has security manager of system deal with the intrusion more quickly. but, cause current environment of Internet manager can't doing response Intrusion alert immediately That's why IPS needed. IPS can response automatically the intrusion alert. so, manager is more comfortable and can response quickly.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
이러한 IPS 는 관리의 편의성과 신속한 대응 능력 등 기존 침입탐지시스템에서 가지지 못한 능력인 대응 능력을 탑재하여 현재 빠르게 발전하고 있는 추세이다. 본 논문에서는 공개용 침입탐지시스템인 snort와 linux에서 패킷 필터링을 수행할 수 있는 공개용 도구인 iptables를 이용하여 IPS를 구성할 수 있는 방안을 제시하였다. 이러한 방법은 상용 IPS에 비하여 공개용 도구를 사용하기 때문에 비용 소요가 적고 iptables와 snort를 연계하여 사용함으로써, 관리자의 개입 없이 공격 발생시 자동 대응을 수행할 수 있도록 설계되었다.
가설 설정
・ 패킷의 목적지가 내부의 호스트인 경우 패킷은 전달돼 입력체인에 도달한다. 패킷이 입력 체인을 통과하면 패킷을 기다리고 있던 프로세서가 수신한다.
최근 제품들이 세션 기반 탐지 기능을 강화하기는 했지만 아직까지 오탐지율을 줄이기에는 부족한 형편이다. 두 번째로 네트워크 침입탐지시스템은 실시간으로 공격을 막을 수 없다는 것이다. 이는 네트워크상에 있는 패킷들을 감지하지만 차단하지 못하기 때문이며 대부분의 패킷은 네트워크 침입탐지시스템이 판별하기 전에 침입에 성공하게 된다.
제안 방법
본 논문에서는 공개용 침입탐지시스템인 snort와 linux에서 패킷 필터링을 수행할 수 있는 공개용 도구인 iptables를 이용하여 IPS를 구성할 수 있는 방안을 제시하였다. 이러한 방법은 상용 IPS에 비하여 공개용 도구를 사용하기 때문에 비용 소요가 적고 iptables와 snort를 연계하여 사용함으로써, 관리자의 개입 없이 공격 발생시 자동 대응을 수행할 수 있도록 설계되었다.
이론/모형
본 논문에서는 이러한 IPS를 리눅스용 공개 보안 도구인 snort와 iptables를 이용하여 구성하였다. 이 구성의 장점은 공개용 도구를 사용하여 비용 소요가 적고, 기존의 상용 IDS보다 rule의 업데이트가 신속하고 용이하며, iptables를 통하여 snort에서 경보 발생 시 신속하게 자동 대응을 수행하는 것에 있다.
후속연구
것이다. 그리고, snort에서 발생하는 false alarm을 최소화하는 연구를 병행하여 침입 판단의 정확성을 높이며, 이를 통하여 Limix_IPS의 향상시킬 것이다.
향후 연구 방향은 기 설계된 내용을 구현하여 시뮬레이션을 수행함으로써, 기 설계된 내용을 검증할 것이다. 그리고, snort에서 발생하는 false alarm을 최소화하는 연구를 병행하여 침입 판단의 정확성을 높이며, 이를 통하여 Limix_IPS의 향상시킬 것이다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.