공표되지 않은 취약성을 이용하는 악성코드에 의한 제로데이 공격에 대응하기 위한 목적으로 최근 시그니처 자동생성 시스템이 개발되었다. 자동 생성된 시그니처의 효용성을 높이기 위해서는 탐지 정확도가 우수한 고품질 시그니처를 식별하여 보안시스템에 적시에 공급할 수 있어야 한다. 이러한 자동화된 시그니처 교환 및 분배, 갱신 작업은 네트워크의 관리 경계를 넘어 보안상 안전한 방법으로 범용성 있게 이루어져야 하며, 보안시스템의 성능저하를 초래하는 시그니처 집합의 노이즈를 제거할 수 있어야 한다. 본 논문은 시그니처 재평가를 통해 고품질 시그니처의 식별과 공유를 지원하는 시스템 구조를 제시하고 시그니처의 교환 및 분배, 갱신을 다루는 알고리즘을 제시한다. 제시한 시스템과 알고리즘을 테스트베드로 구현 실험한 결과, 보안시스템에서 시그니처 집합의 노이즈를 줄이면서 제로데이 공격 대응력을 향상시키는 시그니처의 축적이 자동화됨을 확인하였다. 본 논문에서 제안한 시스템 구조와 알고리즘은 제로데이 공격 대응력을 향상시키는 시그니처 자동 공유 프레임워크로 활용할 수 있으리라 기대한다.
공표되지 않은 취약성을 이용하는 악성코드에 의한 제로데이 공격에 대응하기 위한 목적으로 최근 시그니처 자동생성 시스템이 개발되었다. 자동 생성된 시그니처의 효용성을 높이기 위해서는 탐지 정확도가 우수한 고품질 시그니처를 식별하여 보안시스템에 적시에 공급할 수 있어야 한다. 이러한 자동화된 시그니처 교환 및 분배, 갱신 작업은 네트워크의 관리 경계를 넘어 보안상 안전한 방법으로 범용성 있게 이루어져야 하며, 보안시스템의 성능저하를 초래하는 시그니처 집합의 노이즈를 제거할 수 있어야 한다. 본 논문은 시그니처 재평가를 통해 고품질 시그니처의 식별과 공유를 지원하는 시스템 구조를 제시하고 시그니처의 교환 및 분배, 갱신을 다루는 알고리즘을 제시한다. 제시한 시스템과 알고리즘을 테스트베드로 구현 실험한 결과, 보안시스템에서 시그니처 집합의 노이즈를 줄이면서 제로데이 공격 대응력을 향상시키는 시그니처의 축적이 자동화됨을 확인하였다. 본 논문에서 제안한 시스템 구조와 알고리즘은 제로데이 공격 대응력을 향상시키는 시그니처 자동 공유 프레임워크로 활용할 수 있으리라 기대한다.
Recently, automated signature generation systems(ASGSs) have been developed in order to cope with zero-day attacks with malicious codes exploiting vulnerabilities which are not yet publically noticed. To enhance the usefulness of the signatures generated by (ASGSs) it is essential to identify signat...
Recently, automated signature generation systems(ASGSs) have been developed in order to cope with zero-day attacks with malicious codes exploiting vulnerabilities which are not yet publically noticed. To enhance the usefulness of the signatures generated by (ASGSs) it is essential to identify signatures only with the high accuracy of intrusion detection among a number of generated signatures and to provide them to target security systems in a timely manner. This automated signature exchange, distribution, and update operations have to be performed in a secure and universal manner beyond the border of network administrations, and also should be able to eliminate the noise in a signature set which causes performance degradation of the security systems. In this paper, we present a system architecture to support the identification of high quality signatures and to share them among security systems through a scheme which can evaluate the detection accuracy of individual signatures, and also propose a set of algorithms dealing with exchanging, distributing and updating signatures. Though the experiment on a test-bed, we have confirmed that the high quality signatures are automatically saved at the level that the noise rate of a signature set is reduced. The system architecture and the algorithm proposed in the paper can be adopted to a automated signature sharing framework.
Recently, automated signature generation systems(ASGSs) have been developed in order to cope with zero-day attacks with malicious codes exploiting vulnerabilities which are not yet publically noticed. To enhance the usefulness of the signatures generated by (ASGSs) it is essential to identify signatures only with the high accuracy of intrusion detection among a number of generated signatures and to provide them to target security systems in a timely manner. This automated signature exchange, distribution, and update operations have to be performed in a secure and universal manner beyond the border of network administrations, and also should be able to eliminate the noise in a signature set which causes performance degradation of the security systems. In this paper, we present a system architecture to support the identification of high quality signatures and to share them among security systems through a scheme which can evaluate the detection accuracy of individual signatures, and also propose a set of algorithms dealing with exchanging, distributing and updating signatures. Though the experiment on a test-bed, we have confirmed that the high quality signatures are automatically saved at the level that the noise rate of a signature set is reduced. The system architecture and the algorithm proposed in the paper can be adopted to a automated signature sharing framework.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 이 문제를 해결하기 위해서 탐지 정확도를 신뢰할 수 있는 고품질 시그니처의 식별방안을 제시하였고, 범용성과 적시성을 고려하여 보안시스템에 자동적인 시그니처 공유를 지원할 수 있는 알고리즘과 시스템 구조를 제시하였다.
본 논문에서는 이러한 네 가지 문제점을 해결하기 위한 프레임워크로서 탐지 정확도가 높은 시그니처의 교환 및 분배, 갱신을 지원하는 시스템 구조와 알고리즘을 제안하고 실험한 결과를 논한다.
본 논문에서는 제로데이 공격에 대한 대응력 향상을 위해 시그니처의 공유를 자동화 할 수 있는 프레임워크를 제시하였다.
가설 설정
실험 환경은 아래 그림 7과 같이 구성하였다. IDS 소프트웨어는 공개 IDS 소프트웨어인 Snort를 이용하였고, ASGS는 임의의 시그니처들을 선정하여 XM에게 제공하는 일종의 서버로 가정하고 실험에서는 준비된 시그니처 집합을 사용하는 것으로 대신하였다. 침입실험은 알려진 취약점을 실제로 공격할 수 있는 도구를 제공하여 시스템 침입시험용으로 널리 알려져 있는 Metasploit 프레임워크[17]와 30) 가지의 다양한 보안
제안 방법
4.3 XM에서 시그니처의 변환과 교환 메시지 형식 본 논문에서 제안하는 시스템에서는 XM에서 ASGS 가 생성한 snort 기반 원시 시그니처를 XML 형식의 시그니처로 변환하는 과정을 수행한다. 이것은 시그니처를 그림 1에서 제시한 데이터 구조를 갖도록 표현함으로써 개별 시그니처를 식별하고 품질이력을 관리하기 위함이다.
분석 결과는 각 IDS의 시그니처 DB에 저장된 시그니처들에 대해 서품 질 속성 값의 변경으로 나타난다. 각 에이전트는 시그니처 품질속성 값을 참고하여 시그니처들을 재평가한다. 이때 탐지 적중률이 높은 고품질 시그니처들은 Primary IDS 의 시그니처 DB로 모이도록 교환이 이루어진다.
실험은 시:!니처를 교환, 갱신하였을 때, IDS가 보유한 시그니처 집합의 Noise Rate와 연산비용을 측정하였다. 실험에 사용되는 모든 탐지 시그니처들은 XM에서 XML 형식의 품질표시 시그니처로 변환될 때, 각 시그니처들의 FPR 초기값이 임의로 설정된다.
Snort IDS는 패킷의 수집과 분류, 패턴 매칭, 기타 연산 등을 수행하기 때문에 침입 탐지 수행에 따른 부하가 네트워크 트래픽량과 보유 중인 시그니처의 수에 큰 영향을 받는다. 따라서 본 논문의 실험에서는 일정한 트래픽량(=22.3Kpkts/sec)의조건하에서 IDS의 시그니처 집합의 노이즈가 끼치는 영항을 분석하였다.
본 논문에서 제안하는 시그니처 자동 공유 프레임워크가 제로데이 공격 대응력 향상에 어떻게 기여하는지 알아보기 위해서 그림 2에서 제시한 시스템의 일부를 구현하였다. 실험 환경은 아래 그림 7과 같이 구성하였다.
본 논문에서 제안하는 시스템은 다음 그림 3과 같이 시스템 구성 엔티티간의 보안성을 제공한다.
본 논문에서 제안하는 프레임워크에서는 하나의 시그니처 표현을 위해 다음 그림 1과 같은 시그니처 변수들을 포함하는 데이터구조를 사용한다. 시그니처 표현을 위한 데이터구조는 시그니처 식별을 위한 변수들과 품질 이력을 관리하기 위한 변수, 시그니처가 탐지한 패킷의 정보를 담고 있는 변수들로 구성된다.
XMe 이를 위해 그림 1과 같은 구조화된 데이터를 유지한다. 수집된 시그니처를 대상으로 Reference ID를 참조하여 시그니처 바인딩을 수행한다.
Builder■를 이용하였다. 수집된 정상 트래픽 패킷 파일과 앞 절에서 소개한 공격 소프트웨어 도구를 통해 수집한 공격패킷파일을 병합하였다. 모든 패킷에 대해서 발신지 및 수진지 IP 주소, 서비스 포트를 그림 7의 실험환경에 맞도록 수정한 후, 트래픽을 재연하였다.
시그니처의 자동공유는 세 가지 태스크 즉, 시그니처를 안전하고 적시성 있게 교환, 분배, 갱신하는 일을 포함한다 본 논문에서는 분산된 IDS 간에 이러한 시그니처자동 공유 태스크를 수행하는 시스템 구조를 제안한다. 본 논문에서 제안하는 시스템 구조의 특징은 역할이 다른 이중화된 IDS를 통해서 시그니처 갱신에 따른 노이즈를 최소화한다.
실험은 XM에서 주기적으로 루키 시그니처를 가져오는 것을 가정하여 임의로 선택된 n 개의 시그니처를 비교용 IDS와 Secondary IDS에게 제공한다. 실험에 사용한 시그니처의 수는 8, 184 개이며, 본 논문의 실험에서 명백히 침입이라 판정한 시그니처의 수는 366개(공격의 수이다.
이들 도구를 이용하여 공격대상 호스트에 대해 명백히 침입이라고 판정할 수 있는 공격과 대응 시그니처집합을 사전에 식별하여 구분하였다. 표적 호스트는 공격 도구를 참조하여 Windows 용과 Linux(또는 BSD Unix) 용으로 구분하고 알려진 취약점이 상대적으로 많은 버전의 OS와 응용들을 설치하였다.
제안하는 시스템은 관리 도메인 단위로 시그니처 자동생성시스템(ASGS), 시그니처 교환관리자(XM : ex change Manger), 에이전트 소프트웨어로 구성된다. 에이전트 소프트웨어는 각 IDS로 분산되며 각 도메인의 교환 관리자(XM)는 하나의 연합체를 이루도록 상호 신뢰 관계를 유지하는 인프라스트럭처를 가지고 있다.
대상 데이터
IDS와 Secondary IDS에게 제공한다. 실험에 사용한 시그니처의 수는 8, 184 개이며, 본 논문의 실험에서 명백히 침입이라 판정한 시그니처의 수는 366개(공격의 수이다.
이론/모형
관련 도구들을 제공하는 BackTrack[18]을 이용하였다. Metasploite 다양한 공격 페이로드를 추가할 수 있는 스크립트 언어기반의 개발 환경을 제공하여 취약점을 찾아내는 도구로도 활용가능하며, Snort 는 이러한 도구를 통해 발견한 공격패턴을 잡아내는 시그니처의 작성과 추가를 지원한다.
정상 트래픽과 공격 트래픽의 혼합을 위해 Colasoft Packet Builder■를 이용하였다. 수집된 정상 트래픽 패킷 파일과 앞 절에서 소개한 공격 소프트웨어 도구를 통해 수집한 공격패킷파일을 병합하였다.
성능/효과
결론적으로 본 논문에서 제시한 실험 결과는 시그니처 분배가 이루어지더라도 시그니처가 효용성을 갖는 고품질 시그니처의 수는 제한된다는 사실을 보여준다. 즉 발생 가능한 모든 공격에 대한 준비로 모든 대응 시그니처를 보유하는 것이 중요한 것이 아니라 네트워크환경과 응용에 따라 효용성 있는 시그니처의 선별을 위한 실시간 관리가 중요함을 뜻한다.
제안한다. 본 논문에서 제안하는 시스템 구조의 특징은 역할이 다른 이중화된 IDS를 통해서 시그니처 갱신에 따른 노이즈를 최소화한다. 두 IDS 중 하나는 탐지 정확도가 높다는 것이 검증된 시그니처를 보유하고 있고 다른 하나는 품질이 검증되지 않은, 새로이 생성된 시그니처나 교환을 통해 수입한 시그니처, 탐지 정확도가 낮은 시그니처를 보유한다.
시그니처를 분리한 결과이다. 실험을 통해서 Primary IDS에서는 개별 시그니처에 대해 Hit Rate 의임계치를 높이고, Secondary IDS에서는 FPR의 임계치를 낮출수록 탐지 정확도가 높은 시그니처의 식별이 가능함과 동시에 시그니처의 수입과 수출을 위한 교환 횟수가 감소함을 발견하였다.
후속연구
갱신하기 위해서는 침입탐지 정보를 교환하고 공유할 수 있는 시스템 구조 연구가 필요하다. 이와 관련한 연구로는 AAFID(Auto-nomous Agents for Intrustion Detecton)[7], GrIDS (Graph based IDS)[8], EMERALD (Event Monitoring Enabling Response Anomalous Live Disturbance)[9], SHOMARH이가 있다.
즉 공격이 없어서 “미탐지样 인지 공격이 있음에도 불구하고 “미탐지” 인지 단정하기 어렵다. 더욱이 취약점이 제거되어 실제 공격이 있어도 아무런 영향을 끼치지 않는다면 시그니처의 탐지정보는 보안시스템의 과탐지율을 높이는데 기여할 것이다. 결국 이러한 시그니처의 증가는 IDS/IPS 의 성능을 저하시키는 노이즈로 작용하여 [5] 에서 지적하고 있는 오탐지율올 높이는 요인이 될 수 있다.
참고문헌 (20)
C. Kreibich and J Crowcroft, "Honeycomb - Creating Intresion Detection Signatures Using Honeypots," Workshop on Hot Topics in Networks, 2003.
H.A. Kim and B. Karp, "Autograph: Toward Automated, Distributed, Worm Signature Detection," 13th Usenix Security Symposium, 2004.
S. Sinh, et. al., "Automated Worm Fingerprinting," 6th Symposium on Operating System Design and Implementation, 2004.
오진태, 김익균, 장종수, 전용희, "제로데이 웜 공격 대 응을 위한 ZASMIN 시스템 구조", 한국정보보호학회, 제18권 제1호, 2008. 2.
Eric Frimpong, M.H.MacGregor, "A Performance Study of the Snort IDS," TR08-04, Department of Computing Science, University of Alberta, Feb, 2008.
L. Perrochon. Using context-based correlation in network operations management. Technical report, Stanford University Department of Computer Science, 1999. http://pavg.stanford.edu/cep/ cidf.ps.gz.
Eugene H. Spafford and Diego Zamboni, Intrusion detection using autonomous agents, Elsevier, Computer Networks, 34(4):547-570, October 2000.
Philip A Porras and Peter G Neumann. EMERALD: Event monitoring enabling responses to anomalous live disturbances. In Proceedings of the 20th National Information SystXMs Security Conference, pages 353.365, Baltimore, Maryland, USA, 7.10 October 1997. NIST, National Institute of Standards and Technology/National Computer Security Center.
Undercoer, J.L., Perich, F., Nicholas, C.: SHOMAR: An Open Architecture for Distributed Intrusion Detection Services. Technical report, University of Maryland, Baltimore County (2002).
Julia Allen, Alan Christie,William Fithen, John McHugh, Jed Pickel, and Ed Stoner. State of the Practice of Intrusion Detection Technologies. Technical Report 99tr028, Carnegie Mellon - Software Engineering Institute, 2000.
Adriano M. Cansian, Artur R. A. da Silva, Marcelo de Souza : An Attack Signature Model To Computer Security Intrusion Detection. IEEE 2002.
Internet Engineering Task Force - Common Intrusion Detection Signature Standard. http://tools.ietf.org/html/draft-wierzbicki-cidss-05. SeptXMber 4, .
Common Vulnerability Exposure, http://cve.mitre.org/
※ AI-Helper는 부적절한 답변을 할 수 있습니다.