[논문]센서 기반 침입 탐지 시스템의 설계와 구현

최종무; 조성제

doi:10.3745/kipstc.2005.12c.6.865

센서 기반 침입 탐지 시스템의 설계와 구현
Design and Implementation of Sensor based Intrusion Detection System 원문보기

정보처리학회논문지. The KIPS transactions. Part C Part C, v.12C no.6 = no.102, 2005년, pp.865 - 874

최종무 (단국대학교 정보컴퓨터학부) , 조성제 (단국대학교 정보컴퓨터학부)

초록
AI-Helper

컴퓨터 시스템에 저장된 정보는 불법적인 접근, 악의적인 파괴 및 변경, 우연적인 불일치 등으로부터 보호되어야 한다. 본 논문에서는 이러한 공격을 탐지하고 방어할 수 있는 센서기반 침입탐지시스템을 제안한다. 제안된 시스템은 각 중요 디렉터리에 센서 파일을 각 중요 파일에 센서 데이터를 설치한다. 이들 센서 객체는 일종의 덫으로서, 센서 객체에 대한 접근은 침입이라고 간주된다. 이를 통해 불법적으로 정보를 복사하거나 빼내 가려는 가로채기 위협을 효과적으로 방어할 수 있다. 제안된 시스템은 리눅스 시스템 상에서 적재 가능한 커널 모듈(LKM: Loadable Kernel Module) 방식을 사용하여 구현되었다. 본 시스템은 폭 넓은 침입탐지를 위해 호스트 기반의 탐지 기법과 네트워크 기반의 탐지 기법을 서로 결합함으로써 잘 알려지지 않은 가로재기 공격도 탐지 가능하게 하였다.

Abstract ▼ AI-Helper

The information stored in the computer system needs to be protected from unauthorized access, malicious destruction or alteration and accidental inconsistency. In this paper, we propose an intrusion detection system based on sensor concept for defecting and preventing malicious attacks We use software sensor objects which consist of sensor file for each important directory and sensor data for each secret file. Every sensor object is a sort of trap against the attack and it's touch tan be considered as an intrusion. The proposed system is a new challenge of setting up traps against most interception threats that try to copy or read illicitly programs or data. We have implemented the proposed system on the Linux operating system using loadable kernel module technique. The proposed system combines host~based detection approach and network-based one to achieve reasonably complete coverage, which makes it possible to detect unknown interception threats.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 새로운 침입 시도에 대해서도 탐지가 가능한 새로운 형태의 침입탐지시스템인 SIDS(Sensor based Intrusion Detection System)를 제안한다. SIDS는 침입을 탐지하기 위한 소프트웨어 객체로 “센서”를 사용한다.
본 논문에서는 센서기반 침입탐지시스템을 설계하고 구현 하였다. 사실, 본 연구에서 이용한 센서기반 시스템 보호의 개념은 이미 기존 연구 [12, 13]에서 제안되었으며, 본 논문은 이러한 개념을 센서 파일과 센서 데이터”로 구체화하고 실제 상용 시스템에 적절하게 설계 및 구현하여 효과를 검증하고 시간 부하를 정량적으로 측정한 것이다.
본 장에서는 침입탐지에 사용되는 기술 및 침입탐지시스템 (IDS : Intrusion Detection System)의 종류에 대하여 알아본 다. 침입탐지시스템은 정보시스템의 비밀성, 무결성, 가용성, 인증에 피해를 주는 모든 상황을 탐지하는 것을 목표로 개발 된 시스템이다.
본 논문에서는 센서기반 침입탐지시스템을 설계하고 구현 하였다. 사실, 본 연구에서 이용한 센서기반 시스템 보호의 개념은 이미 기존 연구 [12, 13]에서 제안되었으며, 본 논문은 이러한 개념을 센서 파일과 센서 데이터”로 구체화하고 실제 상용 시스템에 적절하게 설계 및 구현하여 효과를 검증하고 시간 부하를 정량적으로 측정한 것이다.

제안 방법

SEDS를 구현하기 위해 기존 시스템 호출 함수 중 sys_ open0, sys_read0, sys_close0, sys_socketcall0, sys_fork0, sys_unlink0에 대한 가로채기 (hooking) 함수를 구현하였다.
향후 센서 객체의 유형과 디렉터리 위치에 따른 시스템 보 안의 탐지 범위를 분류하는 연구를 진행할 계획이다. 또한 센 서 객체가 접근되었을 때 커널 수준에서의 대응뿐만 아니라 시스템 프로그램과도 연계하여 전체적으로 시스템의 작동 방 식이 변화되는 방법 및 입력의 변화에 따른 성능상의 영향, 그리고 제안된 시스템의 비도를 적절한 비도 벤치마크를 이용하여 정량적으로 분석할 계획이다.
본 연구는 센서 객체를 기반으로 침입을 탐지한다는 접근 방식 측면에서 기존의 오용침입 탐지나 이상침입 탐지 방법과 는 차별된다. 즉, 다양한 침입 사고의 패턴들을 사전에 수집하고 이러한 패턴의 상황이 발생하는지를 감시하는 오용침입 탐 지 방법과는 달리 본 연구에서 제안한 방법은 알려지지 않은 공격에 대한 탐지도 가능하다.
SIDS는 호스트 기반의 침입 탐지기법과 네트워크 기반의 침입 탐지 기법을 결합하여, 체계적으로 침입을 탐지 및 대처 할 수 있다. 제안된 시스템은 리눅스 상에서 LKM(Loadable Kernel Module)방식을 사용하여 구현되어 손쉬운 설치 및 성 능향상을 제공하며, 새로운 침입을 발견하고 프로그램 및 데 이터의 삭제, 변경과 같은 피해를 최소화 할 수 있도록 고려 되었다.
본 연구는 센서 객체를 기반으로 침입을 탐지한다는 접근 방식 측면에서 기존의 오용침입 탐지나 이상침입 탐지 방법과 는 차별된다. 즉, 다양한 침입 사고의 패턴들을 사전에 수집하고 이러한 패턴의 상황이 발생하는지를 감시하는 오용침입 탐 지 방법과는 달리 본 연구에서 제안한 방법은 알려지지 않은 공격에 대한 탐지도 가능하다. 한편, 본 연구에서 제안한 방법은 이상침입 탐지 방법에서 야기될 수 있는 오탐의 문제도 발 생하지 않는다.
즉, 다양한 침입 사고의 패턴들을 사전에 수집하고 이러한 패턴의 상황이 발생하는지를 감시하는 오용침입 탐 지 방법과는 달리 본 연구에서 제안한 방법은 알려지지 않은 공격에 대한 탐지도 가능하다. 한편, 본 연구에서 제안한 방법은 이상침입 탐지 방법에서 야기될 수 있는 오탐의 문제도 발 생하지 않는다. 이는 센서 객체를 접근하는 시도들은 정해진 모델을 벗어나는 비정상행위임이 분명하기 때문이다.

데이터처리

“센서 데이터”가 포함된 파일을 유출할 경우 SIDS의 탐지 능력을 확인하기 위해 UI冷를 사용하여 파일을 전송하는 my_server_udp 프로그램을 작성하여 실험해 보았다. SIDS가 기록한 (그림 14)와 (그림 13)의 로그 파일로부터 my_serv- er_udp 라는 프로그램이 "센서 데이터”가 포함된 lilo.

성능/효과

이는 open。함수에 요청된 파일 이름이 "센서 파일”인 지 여부를 비교하기 위한 부하가 추가되었기 때문이다. 한편 "센서 파일” 접근에 대해서는 로그 기록 및 대응 시간이 추 가되어 60(陽)정도 시간이 걸리는 것을 측정할 수 있었다.
첫째, 주요 디렉터리 및 파일의 접근을 감시하여 트로이 목마 등의 공격 도구에 의해 중요한 데이터가 임의로 접근되거나 외부로 유 출되는 것을 방지할 수 있다. 둘째, 침입 패턴이 알려진 공격 뿐만 아니라 새로운 유형의 침입 시도에 대해서도 탐지가 가 능하다는 특징과 오탐(false alarm)0] 발생할 가능성이 없다 는 특징이 있다. 특히 Security에서 중요한 척도 중에 하나인 비도 측면에서 보면, 본 논문에서 제안한 방법은 침입접근 패 턴이나 비정상적인 행위를 사전에 수집하거나 관리자가 명세 하고 이를 기반으로 침입 여부를 판별하는 것이 아니라 센서 객체에 대한 접근 여부를 통해 침입 여부를 판별하는 것이기 때문에, 센서 객체가 설치된 디렉터리나 파일에 대한 침입은 모두 발견할 수 있다.
"센서 파일” 및 “센서 데이터”의 이름이 고정되어 있는 경우 악성 프로그램 및 사용자가 "센서”에 대한 정보를 알고 있다면, 센서”를 피할 수 있다. 따라서 본 연구진은 “센서” 객체 설치 시 임의적으로 이름을 바뀌게 하여 시스템의 보안 을 높일 수 있게 하였다.
“센서 더]이터”가 파일의 앞쪽에 설치되었을 경우, 존재 유 무가 확인되었다면 나머지 부분은 검사할 필요가 없으므로 가장 적은 성능저하를 나타낸다. 반면 파일의 크기가 1M이며 마지막 줄에 센서 데이터가 있는 경우에는 센서 파일”의 존 재유무를 검사하기 위한 추가적인 계산 시간은 1.64ms인 것으로 측정되었다. 리눅스 환경에서 시스템 호출의 모니터링 기반 접근 제어를 구현한 관련 연구 [20]에 따르면, 실험 결과 open 함수의 경우 3ms, null I/O의 경우 0.
48ms의 부하가 접 근 제어를 위해 추가됨을 발표하였다. 비록 [20]의 구현 내용 및 환경이 본 연구의 구현 내용 및 환경이 달라 직접적인 비 교를 할 수는 없지만, 본 연구도 밀리 초 단위의 적은 부하로 침임 탐지가 가능함을 성능 분석 결과 알 수 있었다.
특히 Security에서 중요한 척도 중에 하나인 비도 측면에서 보면, 본 논문에서 제안한 방법은 침입접근 패 턴이나 비정상적인 행위를 사전에 수집하거나 관리자가 명세 하고 이를 기반으로 침입 여부를 판별하는 것이 아니라 센서 객체에 대한 접근 여부를 통해 침입 여부를 판별하는 것이기 때문에, 센서 객체가 설치된 디렉터리나 파일에 대한 침입은 모두 발견할 수 있다. 셋째, SIDS를 리눅스 운영체제상에서 LKM 방식으로 구현함으로서 커널을 직접 컴파일 해야 하는 어려움과 시스템을 재부팅 할 필요 없이 간단히 설치가 가능 하도록 하였다.
구현된 시스템은 다음과 같은 특징을 갖는다. 첫째, 주요 디렉터리 및 파일의 접근을 감시하여 트로이 목마 등의 공격 도구에 의해 중요한 데이터가 임의로 접근되거나 외부로 유 출되는 것을 방지할 수 있다. 둘째, 침입 패턴이 알려진 공격 뿐만 아니라 새로운 유형의 침입 시도에 대해서도 탐지가 가 능하다는 특징과 오탐(false alarm)0] 발생할 가능성이 없다 는 특징이 있다.
둘째, 침입 패턴이 알려진 공격 뿐만 아니라 새로운 유형의 침입 시도에 대해서도 탐지가 가 능하다는 특징과 오탐(false alarm)0] 발생할 가능성이 없다 는 특징이 있다. 특히 Security에서 중요한 척도 중에 하나인 비도 측면에서 보면, 본 논문에서 제안한 방법은 침입접근 패 턴이나 비정상적인 행위를 사전에 수집하거나 관리자가 명세 하고 이를 기반으로 침입 여부를 판별하는 것이 아니라 센서 객체에 대한 접근 여부를 통해 침입 여부를 판별하는 것이기 때문에, 센서 객체가 설치된 디렉터리나 파일에 대한 침입은 모두 발견할 수 있다. 셋째, SIDS를 리눅스 운영체제상에서 LKM 방식으로 구현함으로서 커널을 직접 컴파일 해야 하는 어려움과 시스템을 재부팅 할 필요 없이 간단히 설치가 가능 하도록 하였다.

후속연구

향후 센서 객체의 유형과 디렉터리 위치에 따른 시스템 보 안의 탐지 범위를 분류하는 연구를 진행할 계획이다. 또한 센 서 객체가 접근되었을 때 커널 수준에서의 대응뿐만 아니라 시스템 프로그램과도 연계하여 전체적으로 시스템의 작동 방 식이 변화되는 방법 및 입력의 변화에 따른 성능상의 영향, 그리고 제안된 시스템의 비도를 적절한 비도 벤치마크를 이용하여 정량적으로 분석할 계획이다.

참고문헌 (20)

박장수, '리눅스 커널 분석 2.4', 가메출판사, 2003. 1
신동철, '시스템 호출 추적을 통한 리눅스 시스템에서의 침입탐지', 단국대 석사학위논문, 1999. 12
유일선, '네트워크 취약점 검색공격에 대한 개선된 탐지시스템', 단국대 박사학위논문, 2001. 11
이재규, 'C로 배우는 알고리즘', 세화, 2001. 2
이호, 심마로, '리눅스 커널의 이해', 한빛미디어, 2002.1
이호, 'Linux Kernel Programming', http://Iinuxkernel.net
한국정보보호학회 편, '정보보호 관리 및 정책', 한국정보보호진흥원, 2002. 11
한국정보보호학회 편, '차세대네트워크 보안 기술', 한국정보진흥원, 2002. 11
Christian Charras and Thierry Lecroq, 'Handbook of Exact String-Matching Algorithms', http://www-igmuniv-mlv.fr/~lecroq/string/string.pdf
Peter Jay Salzman, 'The Linux Kernel Module Programming Guide', http://tldp.org/LDP/Ikmpg/, 2003. 4
Pragmatic/THC, 'Complete Linux Loadable Kernel Modules', http://packetstormsecurity.org/docs/hackILKM_HACKING.html, 1999. 3
Seongje Cha, Chulyean Chang, Joonmo Kim and Jangmoo Choi, 'A Study on Monitoring and Protecting Computer System against Interception Threat:', LNCS(Lecture Notes in Computer Science Series) 2713, pp.96-105, June, 2003
Seongje Cho, Joonmo Kim, Hong-Geun Kim and Doohyun Kim, 'A Trojan Horse Detection System Using Sensor Concept', 2002 ICOCM(International Conferrence on Optical Communications and Multimedia), pp.83-86 , November, 2002
U. Lindqvist and P. Porras, 'Detecting Computer and Network Misuse Through the Production-Based Expert System Toolset (P-BEST)', Proceedings af the Symposium on Security and Privacy, 1999
S. Kumar and E.H. Spafford. 'A Pattern Matching Model for Misuse Intrusion Detection', Proceedings of the 17th National Computer Security Conference, 1994
C. C. Michael, Anup Ghosh, 'Simple, state-based approaches to program-based anomaly detection', ACM Transactions on Information and System Security, Vol.5, Issue 3, 2002

상세보기
SalvatoreStolfo, et aI., 'Anomaly Detection in Computer Security and an Application to File System Accesses', Proceedingsof 15th International Symposium of Foundations of Intelligent Systems, 2005
R. Sekar, et aI., 'Intrusion Detection: Specification- based anomaly detection: a new approach for detecting network intrusions', Proceedings of the 9th ACM conference on Computer and communications security, 2002
R. Sekar and P. Uppuluri, 'Synthesizing Fast Intrusion Prevention/Detection Systems from High-Level Specifications', Proceedings of USENIX Security Symposium, 1999
P. Loscocco, S. Smalley, 'Integrating Flexible Support for Security Policies into the Linux Operating System' , Proceedings of the FREENIX Track of the USENIX Annual Technical Conference, 2001

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증