현재 일반화되어 있는 침입탐지 시스템의 경우 중요한 서버의 보안에 유용한 호스트기반 IDS는 합법적인 사용자의 불법행위를 모니터링 가능하고 운영체계와 밀접히 결합하여 보다 정교한 모니터링, 네트워크 환경과 상관없이 사용가능 하다는 장점이 있지만 비용의 증가와 침입탐지를 위한 처리에 해당 시스템 자원소모, 네트워크 기반의 공격에 취약하며 IDS오류 시 해당 호스트의 기능이 마비될 수 있다. 네트워크기반 IDS는 네트워크 엑세스 지점에만 설치하여 비용점감 및 네트워크 자원에 대한 오버 헤드감소, 공격에 노출될 가능성이 낮으며 네트워크 환경에 관계없이 사용가능하지만 대용량의 트래픽 처리에 어려움과 제한된 탐지능력, 알려지지 않은 악성코드나 프로그램에 대처능력이 떨어지는 한계를 가지고 있다. 본 논문에서는 이러한 보안 솔루션들 중에서 개인용 방화벽을 활용하는 데스크톱 보안과 함께 적용하여 개인용 컴퓨터의 보안능력을 향상시키는 유출 트래픽 분석기반 침입탐지시스템의 설계 및 구현을 목적으로 한다. 침입이 발생하고 새로운 패턴의 악성 프로그램이 정보의 유출을 시도하는 행위를 탐지하여 차단함으로써 컴퓨터나 네트워크의 심각한 손실을 감소시킬 수 있다.
현재 일반화되어 있는 침입탐지 시스템의 경우 중요한 서버의 보안에 유용한 호스트기반 IDS는 합법적인 사용자의 불법행위를 모니터링 가능하고 운영체계와 밀접히 결합하여 보다 정교한 모니터링, 네트워크 환경과 상관없이 사용가능 하다는 장점이 있지만 비용의 증가와 침입탐지를 위한 처리에 해당 시스템 자원소모, 네트워크 기반의 공격에 취약하며 IDS오류 시 해당 호스트의 기능이 마비될 수 있다. 네트워크기반 IDS는 네트워크 엑세스 지점에만 설치하여 비용점감 및 네트워크 자원에 대한 오버 헤드감소, 공격에 노출될 가능성이 낮으며 네트워크 환경에 관계없이 사용가능하지만 대용량의 트래픽 처리에 어려움과 제한된 탐지능력, 알려지지 않은 악성코드나 프로그램에 대처능력이 떨어지는 한계를 가지고 있다. 본 논문에서는 이러한 보안 솔루션들 중에서 개인용 방화벽을 활용하는 데스크톱 보안과 함께 적용하여 개인용 컴퓨터의 보안능력을 향상시키는 유출 트래픽 분석기반 침입탐지시스템의 설계 및 구현을 목적으로 한다. 침입이 발생하고 새로운 패턴의 악성 프로그램이 정보의 유출을 시도하는 행위를 탐지하여 차단함으로써 컴퓨터나 네트워크의 심각한 손실을 감소시킬 수 있다.
An increasing variety of malware, such as worms, spyware and adware, threatens both personal and business computing. Remotely controlled bot networks of compromised systems are growing quickly. This paper proposes an intrusion detection system based outflow traffic analysis. Many research efforts an...
An increasing variety of malware, such as worms, spyware and adware, threatens both personal and business computing. Remotely controlled bot networks of compromised systems are growing quickly. This paper proposes an intrusion detection system based outflow traffic analysis. Many research efforts and commercial products have focused on preventing intrusion by filtering known exploits or unknown ones exploiting known vulnerabilities. Complementary to these solutions, the proposed IDS can detect intrusion of unknown new mal ware before their signatures are widely distributed. The proposed IDS is consists of a outflow detector, user monitor, process monitor and network monitor. To infer user intent, the proposed IDS correlates outbound connections with user-driven input at the process level under the assumption that user intent is implied by user-driven input. As a complement to existing prevention system, proposed IDS decreases the danger of information leak and protects computers and networks from more severe damage.
An increasing variety of malware, such as worms, spyware and adware, threatens both personal and business computing. Remotely controlled bot networks of compromised systems are growing quickly. This paper proposes an intrusion detection system based outflow traffic analysis. Many research efforts and commercial products have focused on preventing intrusion by filtering known exploits or unknown ones exploiting known vulnerabilities. Complementary to these solutions, the proposed IDS can detect intrusion of unknown new mal ware before their signatures are widely distributed. The proposed IDS is consists of a outflow detector, user monitor, process monitor and network monitor. To infer user intent, the proposed IDS correlates outbound connections with user-driven input at the process level under the assumption that user intent is implied by user-driven input. As a complement to existing prevention system, proposed IDS decreases the danger of information leak and protects computers and networks from more severe damage.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 이러한 보안 솔루션들 중에서 개인용 방화벽을 활용하는 데스크톱 보안과 함께 적용하여 개인용 컴퓨터의 보안능력을 향상 시키는 유출 트래픽 분석기반 침입탐지시스템의 설계 및 구현을 목적으로 한다. 침입이 발생하고 새로운 패턴의 악성 프로그램이 정보의 유출을 시도하는 행위를 탐지하여 차단함으로써 컴퓨터나 네트워크의 심각한 손실을 감소시킬 수 있다.
동작을 감시해야 한다. 본 논문에서는 단일 프로세스(parent-child) 환경하의 통신만 고려하여 설계한다.
본 논문은 보안 솔루션들 중에서 개인용 방화벽을 활용하는 데스크톱 보안과 함께 적용하여 개인용 컴퓨터의 보안능력을 향상 시키는 유출 트래픽 분석기반 침입 탐지시스템의 설계 및 구현을 목표로 제안되었다. 이를 위해 기반 기술의 소개와 전체 시스템 설계 및 각 구성 모듈의 기능과 역할에 대해서 정의하였고, 유출 탐지와 침입 탐지를 위한 기능 블록별 알고리즘을 정의하였으며, 설계를 바탕으로 유출 트래픽 분석기반 침입 탐지시스템을 구현하였다.
제안 방법
따라서 알려지지 않은 악성코드에 대응하는 침입 탐지 알고리즘은 침입이 발생한 후에 악성코드의 침입을 신속하게 자동적으로 탐지하는 구조에 중점을 두고 컴퓨터 시스템상의 손실을 완화시키는 구현방식의 실현이 필요하며 본 논문에서는 개인용 컴퓨터에 침입이 발생한 후에 새로운 악성코드의 침입을 신속하게 자동적으로 탐지하는 구조에 중점을 둔 유출트래픽 분석기반의 침입탐지 시스템을 제안하고 설계한다.
내부네트워크로 유입되는 트래픽에 대한 침입탐지는 방화벽(firewall), 호스트 기반이나 네트워크 기반의 침입 방지시스템(IPS)이나 침입탐지시스템(IDS)에 의하여 실현된다고 전제하며, 악성 코드는 침입 후 필연적으로 컴퓨터 사용자의 정보를 탈취하기 위하여 사용자의 의도와는 관계없는 프로세스를 생성하거나 악성 코드가 침입에 앞서 설정한 외부 목적지를 향한 네트워크 트래픽을 발생시키게 된다. 따라서 제안된 시스템은 이러한 악성 코드의 특성을 컴퓨터 사용자의 정상적인 시스템사용 행위와 비교하여 악성 코드인지를 판단하게 된다.
제안 시스템은 사용자 레벨(user level)과 커널 레벨 (kernel level)의 구조로 설계되었으며 침입탐지 엔진 (IDS Engin)으로 사용자 모니터 (user monitor), 프로세스 모니터(prosess monitor), 네트워크 모니터 (network monitnr) 그리고 유출 탐지 모듈(outflow detector) 로 구성된다. 사용자 허가 목록(UPL : User Permission List)은 외부 네트워크로 접속이 허용된 시스템이나 응용 프로그램에 대한 목록을 관리하는 데이터베이스로 사용자에 의해 관리되는 구조를 갖는다.
제안된 시스템은 개인용 컴퓨터의 새로운 알려지지 않은 악성 코드의 침입을 탐지하고 효율성과 타당성을 제고하기 위하여 악성 코드에 대한 시그니처 데이터베이스를 갖지 않으며 악성 코드의 유형과 알려져 있는 여부에 관계없이 동작되도록 설계한다.
제안 시스템은 1단계에서 외부 네트워크로의 접속을 시도하는 트래픽을 감시하고 2단계에서 외부 네트워크로의 접속이 사용자가 의도한 능동적인 접속인지, 사용자가 의도하지는 않았지만 시스템의 사용이나 능동적인 접속 후에 발생하는 간접적인 접속인지, 악성 코드에 의한 사용자 비의도적 접속인지를 판단한다. 3단계에서는 정상적인 행위로 판단된 트래픽은 정상 트래픽처리를 수행하고, 악성 코드로 판단된 트래픽은 경보를 발생하고 유출을 차단하는 처리과정을 수행한다.
유출탐지처리는 사용자 허가목록(UPL)을 참조하여 유출 트래픽 처리시에 수록한 사용자 허가목록을 포함한 사용자 의도접속 여부를 결정한다.
기능 블록으로 구성된다. 각각의 기능 블록들은 독립적으로 구성되며 유출탐지를 위해 유출탐지 (outflow detector) 모듈로 실시간 정보를 제공하기 때문에 상호 교차적으로 설계한다.
본 논문에서 제안한 유출 트래픽 분석기반 침입 탐지시스템은 Windows XP상에서 기반 프레임워크로 뛰어난 객체지향 프레임워크인 비주얼 컴포넌트 라이브러리 (VCL)를 사용하는 델파이 (Delphi)로 구현하였으며, 알려지지 않은 악성 코드에 대한 유출탐지 기능에 대한성능 비교 실험을 위해 악성 코드의 유형별 동작특성을 감안하여 대표적인 악성 코드를 분류하고 기존 상용화된 소프트웨어(안티바이러스 소프트웨어)와의 기능을 비교하였다. [표 기과 같이 실험환경을 1, 2단계로 구분한 것은 시그니처 방식의 상용화된 안티바이러스 소프트웨어를 해당 악성코드가 발표된 연도보다 이전 버전으로 구성함으로 새로운 악성코드에 대응하지 못하는 것을 실험하였다.
[표 기과 같이 실험환경을 1, 2단계로 구분한 것은 시그니처 방식의 상용화된 안티바이러스 소프트웨어를 해당 악성코드가 발표된 연도보다 이전 버전으로 구성함으로 새로운 악성코드에 대응하지 못하는 것을 실험하였다.
많은 상용화 제품들은 분산된 컴퓨터 시스템들이 감염되거나 침해를 당하지 않도록 시그니처를 적용시키는 방법을 채택하고 있기 때문에 새로운 악성 코드의 출연은 기존의 안티바이러스 소프트웨어로 탐지할 수 없는 실험의 타당성을 위하여 실험환경을 구분하였다.
실험결과와 같이 기존의 안티 바이러스 제품은 알려진(악성코드의 출연 년도 안티바이 러스 소프트웨어 제작(업데이트) 년도) 악성코드에 대해서는 프로세스 실행 상태로 탐지를 지속하였다.
제안 시스템은 알려지지 않은 악성 코드에 의해 사용자의 시스템이 감염되었다는 전제하에 사용자 비의도 접속을 식별하는 것으로 침입에 대한 탐지를 실현하기 때문에 기존의 안티 바이러스 제품과 비교하는 직접적인 성능 실험에 부가하여 제안시스템의 특성을 중심으로 결과를 평가하였다.
이를 위해 기반 기술의 소개와 전체 시스템 설계 및 각 구성 모듈의 기능과 역할에 대해서 정의하였고, 유출 탐지와 침입 탐지를 위한 기능 블록별 알고리즘을 정의하였으며, 설계를 바탕으로 유출 트래픽 분석기반 침입 탐지시스템을 구현하였다.
유출 트래픽의 사용자 의도 접속에 대한 효율적인 관리를 위해 사용자 레벨(level)의 UPL(User Permission List)관리와 침입탐지에 대한 과부하(overload)를 최소화하기 위하여 커널(kernel) 레벨로 분리 설계하였다. 유출 트래픽 분석기반 침입탐지 시스템이 알려지지 않은 새로운 악성코드에 대한 탐지가 가능해야 하기 때문에 기존의 유형별 대표적인 악성코드를 대상으로 악성코드가 출연하기 전후의 인티 바이러스 소프트웨어 버전(version)을 기준으로 실험을 진행하였다.
설계하였다. 유출 트래픽 분석기반 침입탐지 시스템이 알려지지 않은 새로운 악성코드에 대한 탐지가 가능해야 하기 때문에 기존의 유형별 대표적인 악성코드를 대상으로 악성코드가 출연하기 전후의 인티 바이러스 소프트웨어 버전(version)을 기준으로 실험을 진행하였다.
제안된 시스템은 알려지지 않은 악성코드에 감염된 후 사용자가 의도하지 않은 접속을 탐지하는 것으로 침입을 탐지한다. 특히 기존의 시그니처 방식은 관리해야 할 패턴(n개 기준)이 증가하면 최소 (log2 n)번에서 최대 d번의 검색시간이 소요되지만 제안 시스템은 외부네트워크로 접속을 요청하는 트래픽의 수에 고정된 검색 시간으로 침입을 탐지한다.
후속연구
향후 연구 과제로는 제안 시스템을 기반으로 유출 트래픽 분석의 부하(load)를 줄이고 다양한 다중 프로세스 환경하에서도 유출분석을 통하여 침입탐지가 가능한 시스템을 설계하는 연구가 필요하다.
참고문헌 (15)
한국정보보호진흥원, 2007-정보보호 실태조사, 한국정보보호진흥원, 1997.
E. Carl, S. Eugene, and M. Jim, Intrusion Detection & Prevention, McGraw -Hill, 2004.
H. Debar, D. Curry, and B. Feinstein, "The Intrusion Detection Message Exchange Format," IETF Internet Draft, draft-ietf-idwgidmef- xm, pp.1-14, 2005.
K. McCloghrie and M. Rose, "Management Information Base for Network Management of TCP/IP-based Internets : MIB-II," RFC1213, 1991.
C. Frederic and M. Alexander, "Alert Correlation in a Cooperative Intrusion Detection Framework," IEEE Symposium on Security and Privacy, 2002.
W. Lee and S. Stolfo, A framework for constructing features and models for intrusion detection systems, ACM Transactions on Information and System Security, 2000.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.