$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

침입방지시스템(IPS)의 기술 분석 및 성능평가 방안

情報保護學會誌 = KIISC review, v.15 no.2, 2005년, pp.63 - 73  

전용희 (대구가톨릭대학교 공과대학 컴퓨터정보통신공학부)

초록
AI-Helper 아이콘AI-Helper

최근 들어 침입방지시스템이 차세대 보안 솔루션으로 자리를 굳히고 있다. 국내외의 보안 업체들이 IPS 발표하고 있는 가운데, 국내에서도 IPS의 고입에 대한 관심이 점차 증대되고 있다. 침입방지시스템은 침입탐지시스템을 이용한 보안관리의 한계를 극복하기 위하여 도입되었으나, 아직까지 침입방지시스템에 대한 정의고 명화하지 않고, 침입탐지시스템과의 파이도 확실히 규명되지 않은 실정이다. 따라서 본 논문에서는 침입방지기술에 대하여 분석하여 보고, 침입탐지시스템에 대하여 기술을 비교하여보고 성능평가 방안에 대하여 기술하고자 한다.

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • HTTP 탐지 엔진에게 부담을 주어 가변적인 평균 패킷 크기와 가변적인 초당 연결의 네트워크 부하 하 에서 어떻게 센서가 익스플로잇을 탐지하고 차단하는 가를 결정하기 위한 것이다. 가변적인 세션 길이를 가진 순수한 세션-기반 트래픽을 생성함으로써, IPS는 유효한 세션을 추적해야 하며, 그리하여 단순한 패킷- 기반 백그라운드 트래픽보다 더 높은 작업부하를 확보 한다.
  • IPS 센서가 상태를 상실하거나 상태를 부정확하게 추론하지 않고 다양한 트래픽 부하에서 장치를 통하여 설정된 스테이트풀 세션을 감시할 수 있는 지를 결정 하기 위한 것이다.
  • IPS 장비에 특별히 중요한 것으로, 센서가 오탐지 경보를 얼마나 일으키는가를 보여주기 위한 것이다. 이를 위하여 의심스러운 내용을 가진 많은 정상 트 래픽의 트레이스 파일을 사용한다.
  • IPS가 상태를 잃어버리거나 상태를 부정확하게 추론하지 않고, 다양한 트래픽 부하에서 장치를 통하여 설정된 상태 기반 세션을 감시할 수 있는 지를 결정하기 위함이 목적이다.
  • 센서가 오탐지 (false positive)에 견디면서. 광범 위한 통상적인 익스플로잇을 정확하게 탐지하고 차단 할 수 있는 능력을 검정하는 것이다. 이 절에서의 모든 시험은 백그라운드 네트워크 부하 없이 수행된다.
  • 그러나 실험실에서 사용될 수 있는 실제 환경과 가능한 유사하게 완전히 반복할 수 있는 시험 방법론이 필요하다. 따라서 본 논문에서는 NSS에서 제시한 IPS 시험 방법론에 대하여 살펴 보았다.
  • 센서가 증가하는 수의 개방 연결 전역에서 상태를 유지할 수 있는가를 결정하기 위함이다. 또한 이 시험은 상태 테 이블이 포화된 후 센서가 합법적인 트래픽을 차단할 수 있는가를 결정하기 위하여 시도한다.
  • 벤더에 의하여 지원된다고 주장된 최대 대역폭까지 증가하는 백그라운드 트래픽의 부하에서 센서가 익스 플로잇을 탐지하고 차단할 수 있는지를 검증하는 것이다. 가장 최근의 시그니처 팩이 벤더로부터 얻어져, 센서들은 모든 이용 가능한 공격 시그니처를 실행 가 능하게 하여 설치된다.
  • 본 논문에서는 또한 IPS의 성능을 시험할 수 있는 방법론에 대하여 살펴보았다. 아직까지 IPS의 정의에 대하여도 벤더에 따라 다르기 때문에, IPS 제품을 시 험하는 것은 매우 어렵다.
  • 보안 구조는 상태가 없는(stateless) 패킷 검사 및 침입탐지에서 DPI 및 침입 방지로 진화될 전망이다. 본 절에서는 DPI 기술에 대하여 소개한다.
  • 센서가 얼마나 정확하게 광범위한 통상적인 익스플로 잇, 포트 스캔 및 서비스 거부(DoS: Denial of Service) 공격 시도를 탐지하고 차단하는가를 보여 주기 위한 것이다. 모든 익스플로잇은 네트워크 상에 부하 없이, IP 단편화 없이 수행된다.
  • 센서가 여러 가지의 통상적인 회피 (evasion) 기술 에 대하여 기본적인 익스플로잇을 탐지하고 차단할 수 있는지를 검정하기 위함이다.
  • 이 시험은 실제 네트워크 트래픽을 나 타내지는 않지만. 센서가 자신을 통과하는 트래픽 플 로우에 얼마나 많은 영향을 미치는가에 대한 지표를 제공한다. 이 데이터는 네트워크 안의 주요한 지점에 위치할 어떤 형태의 인-라인 장치의 영향을 측정할 필요가 있는 네트워크 관리자에게 특별히 유용하다.
  • 어떠한 회피기술도 적용하지 않고, 센서가 정상 상태에서 여러 가지의 통상적인 기본 공격을 탐지하고 차단할 수 있는지를 확립하기 위함이다.
  • 이러한 것으로 트래픽 양, 트래픽 패턴 및 비정상 행위의 통계적 분석을 수행하는 것이 있다. 이 것의 목적은 네트워크 상에서 무슨 일들이 발생하고 있는지 알고 싶은 것뿐이다.
  • 이 시험에서는 장치를 통하여 HTTP 세션을 발생 시켜, 지연의 증가가 실패 된 연결과 증가된 웹 응답 시간 측면에서 어떻게 사용자 경험에 영향을 미치는 가 측정하기 위하여 사용된다. 이 시험은 다음과 같이 두 가지 형태로 수행된다.
  • 먼저 센서의 외부 인터 페이스가 상당한 시간에 걸쳐서 지속적인 공격 스 트림에 노출된다. 이 시험운 차단 및 경보 취급 메 커니즘의 유효성에 대한 지표를 제공하기 위한 것이다. 지속적인 익스플로잇 스트림이 합법적인 세션 에 혼합되어 추가적인 백그라운드 트래픽 없이 8시간 동안 장치 처리율의 최대 90%율로 센서를 통하여 전송된다.
  • 이 시험은 다양한 극도의 조건에서 시험하는 장비 의 안정성을 검증하기 위함이다. 장기간 안정성은.
  • 이 시험은 여러가지 극도외 상태에서 IPS 장치의 안정성을 검증한다. 장기간 안정성이 인라인 IPS 장치에게는 매우 중요한다.
  • 앞의 두 시험은 가변적인 연결율과 평균 패킷 크기를 가진 순수한 HTTP 환경을 제공하는 반면에. 이 시험의 목적은 정확하게 반복 가능하고 일관성 있는 백그라운드 트래픽 부하를 여전히 유지하면서 추가적인 프로토콜을 도입함으로써 실제 환경에 더욱 유사하 게 만들기 위함이다. 결과는 이전의 시험보다는 덜 힘 든드 심하게 사용되는 ”정상(normal)" 실제 네트워크 상에서 발견될 수 있는 것에 더욱 가까운 백그라운드 트래픽 부하이다.
  • 국내에서도 침입방지시스템에 대한 평가인증제가 실시되고 있지만, 국내 보안 제품이 세계 시장에서 경 쟁력을 가지기 위하여 IPS 제품 성능 평가 방법의 사 실상의 국제적인 표준이 되기 위하여 노■력하고 있는 NSS의 시험 방법론에 따른 성능 기준에 대하여도 관 심 있게 보아야 할 것으로 생각된다. 이에 따라 본 논문에서는 NSS에서 수행한 IPS의 성능 시험 방법론 을 중심으로 IPS 시험 방법론에 대하여도 기술하고자 한다.:12:
  • 메 모리 관리(즉, 버퍼 오버플로우 시도), 어떻게 애플리케이션이 운영체제와 상호작용하는.지, 어떻게 사용자가 애플리케이션과 상호작용하여야 하는지를 본다. 이것은 좋지 않은 프로그래밍과 알려지지 않은 공격에 대한 보호를 도와준다.

가설 설정

  • . 관리성과 확장성: 효율적인 관리와 인라인의 트 래픽을 지원할 수 있는 능력을 지녀야 한다.
본문요약 정보가 도움이 되었나요?

참고문헌 (17)

  1. 권혁범, 네트워크타임즈, 침입방지시스템(IPS). 2003년 9월 

  2. 신승원, 강동호, 김기영, 장종수, 'DPI 기술 분석', 전자통신동향분석, 제 19 권 제 3 호, pp117-124, 2004년 6월 

  3. 정보흠, 김정녀, 손승원, '침입방지시스템 기술 현황 및 전망'. 주간기술동향 통권 1098호, 2003.6.3 

  4. Eric Ahlm, Is Intrusion Prevention Changing Information Security', Rev. Ver, 1.1, March 2004, Vigilar Inc 

  5. Mitchell Ashley, Layered Network Security: A best-practices approach, StillSecure White Paper, Jan, 2003 

  6. Andrew Conry-Murray. Emerging Technology: Detection vs. Prevention - Evolution or Revolution?, http://www.networkmagazine.com/shared/article/showarticle.jhtml?articleid9400017.May 2003 

  7. Neil Desai. Intrusion Prevention Systems: the Next Step in the Evolution of IDS, http://www.securityfocus.com/printable/infocus/1670, Feb. 2003 

  8. Carl Endorf. Jim Mellander and Eugene Schultz, Intrusion Detection and Prevention, Osborne Computer Books, Jan. 2004 

  9. Leon Erlanger, Ten Tips for evaluating and deploying IPS and IDS, http://www.infoworld.com/article/04/03/12/11FEidstips_1.html 

  10. Gary Golomb, IDS v . IPS Commentary, Linuxsecurity.com News, 6/16/2003, http://www.linuxsecurity.com/articles/forums_article-7476.html 

  11. Pete Lindstrom, Intrusion Prevention Systems (IPS) : Next Generation Firewalls. A Spire Research Report. Spire Security. March. 2004 

  12. An NSS Group Report V 1.0. Intrusion Prevention SystemsOPS). Group Test. NSS. Jan. 2004 

  13. Ian Poynter and Brad Doctor. Beyond the firewall: The next level of network security. StillSecure. Jan. 2003 

  14. Greg Shipley. Don't Get Bitten by NIPSHype.http//www.nwc.com/1411/1411colshipley.html 

  15. Steve Taylor and Joanie Wexler. IDS vs.IPS: Is one strategy 'better?' Network World Wide Area Networking Newsletter.10/16/03. http//www.nwfusion.com/newslettters/frame/2003/1013wan2.html 

  16. Top Layer White Paper. Beyond IDS Essentials of Network Intrusion Prevention. pp.1-18 Nov. 2002 

  17. A White Paper by NetScreen Techno logies Inc. Intrusion Detection and Preven tion: Protecting your networkfrom attacks. version 2.0.http//www.netsccreen.com 

저자의 다른 논문 :

섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트