다양한 악성코드로부터 정보자산을 보호하기 위해서 허니팟 시스템을 구축한다. 허니팟 시스템은 내부 시스템이 공격받지 않도록 공격을 유인하는 목적으로 설계되거나, 악성코드 정보를 수집하기 위한 목적으로 설계된다. 그러나 기존의 하니팟은 정보 수집을 목적으로 구축되었기 때문에 위장서버 혹은 위장 클라이언트 서버를 구축하거나 위장 콘텐츠를 제공하여 공격자의 유입을 적극적으로 유도하도록 설계되었다. 그러나 위장서버구축의 경우는 빈번한 디스크 입출력으로 약 1년 주기로 하드웨어를 재설치하여야 하고, 위장 클라이언트 서버를 구축하는 경우는 획득한 정보 분석의 자동화에는 한계가 있기 때문에 전문 인력 확보와 같은 운영상의 문제가 있다. 이처럼 기존 허니팟의 하드웨어적인 문제와 운영상의 문제들을 해결 및 보완할 수 있도록 본 연구에서는 하이브리드 허니팟을 제안하였다. 제안한 하이브리드 허니팟은 허니월, 분석서버, 통합콘솔을 두고 공격유형을 2가지 유형으로 분류하여 처리한다. 유형1인 고수준 상호작용서버와 유형2인 저수준 상호작용서버를 동작하도록 하여 위장(유인용)과 거짓응답(에뮬레이션)이 공통스위치 영역에 연계되도록 설계하였다. 이러한 하이브리드 허니팟은 허니월의 저수준 허니팟과 고수준 허니팟을 동작하도록 한다. 분석서버는 해킹유형을 해쉬값으로 변환하고 이를 상관분석알고리즘으로 분리하여 허니월에 전송한다. 통합모니터링 콘솔은 지속적인 모니터링을 실시하므로 최신 해킹기법과 공격 툴에 대한 정보 분석뿐만 아니라 악성코드에 대한 선제적인 보안대응 효과를 제공할 수 있을 것으로 기대한다.
다양한 악성코드로부터 정보자산을 보호하기 위해서 허니팟 시스템을 구축한다. 허니팟 시스템은 내부 시스템이 공격받지 않도록 공격을 유인하는 목적으로 설계되거나, 악성코드 정보를 수집하기 위한 목적으로 설계된다. 그러나 기존의 하니팟은 정보 수집을 목적으로 구축되었기 때문에 위장서버 혹은 위장 클라이언트 서버를 구축하거나 위장 콘텐츠를 제공하여 공격자의 유입을 적극적으로 유도하도록 설계되었다. 그러나 위장서버구축의 경우는 빈번한 디스크 입출력으로 약 1년 주기로 하드웨어를 재설치하여야 하고, 위장 클라이언트 서버를 구축하는 경우는 획득한 정보 분석의 자동화에는 한계가 있기 때문에 전문 인력 확보와 같은 운영상의 문제가 있다. 이처럼 기존 허니팟의 하드웨어적인 문제와 운영상의 문제들을 해결 및 보완할 수 있도록 본 연구에서는 하이브리드 허니팟을 제안하였다. 제안한 하이브리드 허니팟은 허니월, 분석서버, 통합콘솔을 두고 공격유형을 2가지 유형으로 분류하여 처리한다. 유형1인 고수준 상호작용서버와 유형2인 저수준 상호작용서버를 동작하도록 하여 위장(유인용)과 거짓응답(에뮬레이션)이 공통스위치 영역에 연계되도록 설계하였다. 이러한 하이브리드 허니팟은 허니월의 저수준 허니팟과 고수준 허니팟을 동작하도록 한다. 분석서버는 해킹유형을 해쉬값으로 변환하고 이를 상관분석 알고리즘으로 분리하여 허니월에 전송한다. 통합모니터링 콘솔은 지속적인 모니터링을 실시하므로 최신 해킹기법과 공격 툴에 대한 정보 분석뿐만 아니라 악성코드에 대한 선제적인 보안대응 효과를 제공할 수 있을 것으로 기대한다.
In order to protect information asset from various malicious code, Honeypot system is implemented. Honeypot system is designed to elicit attacks so that internal system is not attacked or it is designed to collect malicious code information. However, existing honeypot system is designed for the purp...
In order to protect information asset from various malicious code, Honeypot system is implemented. Honeypot system is designed to elicit attacks so that internal system is not attacked or it is designed to collect malicious code information. However, existing honeypot system is designed for the purpose of collecting information, so it is designed to induce inflows of attackers positively by establishing disguised server or disguised client server and by providing disguised contents. In case of establishing disguised server, it should reinstall hardware in a cycle of one year because of frequent disk input and output. In case of establishing disguised client server, it has operating problem such as procuring professional labor force because it has a limit to automize the analysis of acquired information. To solve and supplement operating problem and previous problem of honeypot's hardware, this thesis suggested hybrid honeypot. Suggested hybrid honeypot has honeywall, analyzed server and combined console and it processes by categorizing attacking types into two types. It is designed that disguise (inducement) and false response (emulation) are connected to common switch area to operate high level interaction server, which is type 1 and low level interaction server, which is type 2. This hybrid honeypot operates low level honeypot and high level honeypot. Analysis server converts hacking types into hash value and separates it into correlation analysis algorithm and sends it to honeywall. Integrated monitoring console implements continuous monitoring, so it is expected that not only analyzing information about recent hacking method and attacking tool but also it provides effects of anticipative security response.
In order to protect information asset from various malicious code, Honeypot system is implemented. Honeypot system is designed to elicit attacks so that internal system is not attacked or it is designed to collect malicious code information. However, existing honeypot system is designed for the purpose of collecting information, so it is designed to induce inflows of attackers positively by establishing disguised server or disguised client server and by providing disguised contents. In case of establishing disguised server, it should reinstall hardware in a cycle of one year because of frequent disk input and output. In case of establishing disguised client server, it has operating problem such as procuring professional labor force because it has a limit to automize the analysis of acquired information. To solve and supplement operating problem and previous problem of honeypot's hardware, this thesis suggested hybrid honeypot. Suggested hybrid honeypot has honeywall, analyzed server and combined console and it processes by categorizing attacking types into two types. It is designed that disguise (inducement) and false response (emulation) are connected to common switch area to operate high level interaction server, which is type 1 and low level interaction server, which is type 2. This hybrid honeypot operates low level honeypot and high level honeypot. Analysis server converts hacking types into hash value and separates it into correlation analysis algorithm and sends it to honeywall. Integrated monitoring console implements continuous monitoring, so it is expected that not only analyzing information about recent hacking method and attacking tool but also it provides effects of anticipative security response.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
또한 위장 클라이언트 서버를 두는 경우는 악성 의심사이트(URL)을 대상으로 정보를 분석을 위하여 자동화하는데 한계가 있으므로 인력부족 등의 운영상의 문제를 갖는다. 이에 본 연구에서는 이러한 문제점들을 최소화하기 위하여 하이브리드 허니팟을 제안한다. 제안하는 하이브리드 허니팟[그림 5]는 고수준 상호 작용 허니팟과 저수준 상호작용 허니팟의 2가지 유형으로 분류하여 수행되도록 설계하였다.
이에 본 연구에서는 이러한 문제점을 최소화하기 위하여 하이브리드 허니팟 시스템을 제안하였다. 제안하는 하이브리드 허니팟은 허니월, 분석서버, 통합콘솔을 허니팟 끝단에 설치하였으며, 허니월은 공격자의 공격과 공격툴에 의한 공격을 분류하며, 저수준 허니팟에서 고수준 허니팟으로의 공격자 트래픽 재전송을 위한 판단과 제어를 한다.
가설 설정
허니월의 데이터정보(해쉬값)를 상관분석하여 유형1 (고수준 상호작용 허니팟)과 유형2(저수준 상호작용 허니팟)로 수행하도록 설계하였다. 해킹공격을 모집단 X 라고하고, 공격유형(공격자의 공격 또는 공격툴에 의한 공격)을 모집단을 Y라고 가정하고, 두 변수인 해킹공격 (X)과 공격유형(Y)의 상관관계를 기반으로 제안하는 하이브리드 허니팟이 유형1과 유형2로 분리되어 처리되도록 한다. 두 변수의 X, Y축으로 이뤄지는 좌표평면 위에 데이터 점(data point) A와 같이 모든 산점이 두 변수 X, Y의 좌표로 표시될 수 있으며, [그림 11]에서 데이터 점 모두를 산점도(Scatter Plot)라 하고, 청색 회 귀선을 빼고 산점도로 두 변수 X와 Y의 상관관계를 인지할 수 있다.
제안 방법
제안하는 하이브리드 허니팟은 허니월, 분석서버, 통합콘솔을 허니팟 끝단에 설치하였으며, 허니월은 공격자의 공격과 공격툴에 의한 공격을 분류하며, 저수준 허니팟에서 고수준 허니팟으로의 공격자 트래픽 재전송을 위한 판단과 제어를 한다. 그리고 분석서버는 저수준 및 고수준 허니월의 데이터 정보를 해쉬값으로 저장하고, 이에 대해 상관분석을 적용하여 하이브리드 허니팟의 유형1과 유형2에 따른 동작이 이루어지도록 한다. 통합콘솔은 분석서버의 실시간 분석 결과와 시스템 상태 그리고 실시간 경고를 모니터링 한다.
허니월(VM)은 데이터제어(Data Control)모듈과 데이터 캡처(Data Capture)모듈로 구성된다. 데이터제어 모듈은 침입탐지 및 침입방지기능과 저수준 허니팟에서 고수준 허니팟으로의 공격자 트래픽 재전송을 판단하며, 데이터 캡처모듈은 공격정보 획득을 위한 공격자 운영체제 추적, 이상 징후 탐지를 위한 네트워크 흐름 모니터링, 고수준 허니팟의 공격자 악성행위 캡처 정보 수집 등을 수행한다.
수집된 모든 악성코드를 입력값으로 하여, MD5 알고리즘에 따른 16 바이트 해시 값을 생성된다. 생성된 악성코드 해쉬값은 분석서버에서 상관분석알고리즘에 의해 유형1과 유형2로 분리되어 처리하도록 설계하였다.
제안하는 하이브리드 허니팟 시스템은 데이터베이스 자료를 기반으로 내부 침투행위 및 공격 툴 정보를 수집하고 분석할 뿐만 아니라 해킹기법 및 해킹동향과 공격 툴의 정보 분석을 수행할 수 있다. 이러한 정보 활용을 통해 최근의 다양한 해킹공격들에 대하여 선제적인 보안대응 효과를 제공할 수 있도록 설계하였다. 차후에는 설계한 하이브리드 허니팟의 구현과 기존 허니팟시스템과의 성능평가에 대한 연구를 지속하고자 한다.
허니월은 저수준 허니팟에서 고수준 허니팟으로의 공격자 트래픽 재전송을 위한 판단 및 제어를 하며, 공격정보 획득을 위한 공격자 OS 추적, 이상 징후 탐지를 위한 네트워크 흐름 모니터링, 고수준 허니팟의 공격자 악성행위 캡쳐 정보의 수집을 진행한다. 이러한 허니월의 동작을 위해서 분석서버는 외부 데이터를 해쉬함수 알고리즘으로 해쉬값을 산출하여 데이터베이스에 저장하고, 데이터베이스에 저장된 해쉬값은 상관분석 알고리즘에 의해 저수준 및 고수준 상호작용 허니팟에 동작하도록 분류하여 허니월에 전송한다. 통합 모니터링 콘솔은 분석서버의 실시간 분석 결과와 시스템 상태 그리고 실시간 경고를 모니터링 한다.
이에 본 연구에서는 이러한 문제점들을 최소화하기 위하여 하이브리드 허니팟을 제안한다. 제안하는 하이브리드 허니팟[그림 5]는 고수준 상호 작용 허니팟과 저수준 상호작용 허니팟의 2가지 유형으로 분류하여 수행되도록 설계하였다. 유형1은 공격자 해킹행위에 대하여 고수준 실제 서비스 위장 서버가 동작하여 공격자를 유도한 후 악성코드 분석을 수행하고, 유형 2는 공격 툴로부터의 요청에 대하여 거짓응답을 수행(에뮬레이터)하며 공격 툴의 특징을 분석한다
제안하는 하이브리드 허니팟은 수집된 악성코드를 효율적으로 저장하고 관리하기 위해서 안전성 및 실용성이 뛰어난 해쉬함수 MD5(Message Digest-5)알고리즘을 사용하도록 제안한다. 수집된 모든 악성코드를 입력값으로 하여, MD5 알고리즘에 따른 16 바이트 해시 값을 생성된다.
이에 본 연구에서는 이러한 문제점을 최소화하기 위하여 하이브리드 허니팟 시스템을 제안하였다. 제안하는 하이브리드 허니팟은 허니월, 분석서버, 통합콘솔을 허니팟 끝단에 설치하였으며, 허니월은 공격자의 공격과 공격툴에 의한 공격을 분류하며, 저수준 허니팟에서 고수준 허니팟으로의 공격자 트래픽 재전송을 위한 판단과 제어를 한다. 그리고 분석서버는 저수준 및 고수준 허니월의 데이터 정보를 해쉬값으로 저장하고, 이에 대해 상관분석을 적용하여 하이브리드 허니팟의 유형1과 유형2에 따른 동작이 이루어지도록 한다.
허니월의 데이터정보(해쉬값)를 상관분석하여 유형1 (고수준 상호작용 허니팟)과 유형2(저수준 상호작용 허니팟)로 수행하도록 설계하였다. 해킹공격을 모집단 X 라고하고, 공격유형(공격자의 공격 또는 공격툴에 의한 공격)을 모집단을 Y라고 가정하고, 두 변수인 해킹공격 (X)과 공격유형(Y)의 상관관계를 기반으로 제안하는 하이브리드 허니팟이 유형1과 유형2로 분리되어 처리되도록 한다.
데이터처리
두 변수의 X, Y축으로 이뤄지는 좌표평면 위에 데이터 점(data point) A와 같이 모든 산점이 두 변수 X, Y의 좌표로 표시될 수 있으며, [그림 11]에서 데이터 점 모두를 산점도(Scatter Plot)라 하고, 청색 회 귀선을 빼고 산점도로 두 변수 X와 Y의 상관관계를 인지할 수 있다. 데이터 점의 두 변수 X와 Y의 상관관계를 나타내는 피어슨 상관계수(Pearson correlation coefficient)공식을 인용하여 수식 (1)에서 (4)와 같이 정리하였다[9~10].
성능/효과
그러므로 하이브리드 허니팟시스템은 외부로부터의 공격에 대하여 1차적으로 허니월과 분석서버를 통과하므로 기존의 허니팟시스템의 불필요한 장비의 입출력(Device I/O)을 줄일 수 있으며, 공격자의 공격과 공격 툴에 의한 공격에 대하여 유형별로 대응하므로 인력부족으로 인한 운영상의 문제점을 다소 해결할 수 있을 것으로 기대한다. 제안하는 하이브리드 허니팟 시스템은 데이터베이스 자료를 기반으로 내부 침투행위 및 공격 툴 정보를 수집하고 분석할 뿐만 아니라 해킹기법 및 해킹동향과 공격 툴의 정보 분석을 수행할 수 있다. 이러한 정보 활용을 통해 최근의 다양한 해킹공격들에 대하여 선제적인 보안대응 효과를 제공할 수 있도록 설계하였다.
후속연구
통합콘솔은 분석서버의 실시간 분석 결과와 시스템 상태 그리고 실시간 경고를 모니터링 한다. 그러므로 하이브리드 허니팟시스템은 외부로부터의 공격에 대하여 1차적으로 허니월과 분석서버를 통과하므로 기존의 허니팟시스템의 불필요한 장비의 입출력(Device I/O)을 줄일 수 있으며, 공격자의 공격과 공격 툴에 의한 공격에 대하여 유형별로 대응하므로 인력부족으로 인한 운영상의 문제점을 다소 해결할 수 있을 것으로 기대한다. 제안하는 하이브리드 허니팟 시스템은 데이터베이스 자료를 기반으로 내부 침투행위 및 공격 툴 정보를 수집하고 분석할 뿐만 아니라 해킹기법 및 해킹동향과 공격 툴의 정보 분석을 수행할 수 있다.
이러한 정보 활용을 통해 최근의 다양한 해킹공격들에 대하여 선제적인 보안대응 효과를 제공할 수 있도록 설계하였다. 차후에는 설계한 하이브리드 허니팟의 구현과 기존 허니팟시스템과의 성능평가에 대한 연구를 지속하고자 한다.
질의응답
핵심어
질문
논문에서 추출한 답변
악성코드에 감염된 시스템의 문제점은 무엇인가?
최근 악성코드의 감염은 네트워크를 통한 취약한 서비스를 공격하는 방식보다는 사용자가 웹 서핑 중 악의적인 웹 사이트에 접속하는 순간 악성코드에 감염되는 Drive-by-download 방식을 통해 유포되고 있다[1~2]. 이러한 악성코드에 감염된 시스템은 DDoS, 스팸 메일 발송, 개인 정보 탈취와 같은 2차 피해를 유발할 수 있다 [3~4]. 본 연구의 구성은 Ⅱ장에서는 허니팟 관련연구로 허니팟의 운영목적과 기대효과, 기존 허니팟의 종류를 소개하고, Ⅲ장에서는 기존 허니팟의 문제점을 보완할 수 있는 하이브리드 허니팟을 구성과 동작방식을 제안하였으며, 마지막으로 Ⅳ장에서는 제안한 하이브리드 허니팟의 장점과 기대효과 등에 대하여 기술하였다.
공격 유인목적의 허니팟은 어떤 목적을 갖는가?
공격 유인목적의 허니팟은 고객사의 웹페이지로 위장하거나 매력적인 위장 콘텐츠를 제공함으로써, 공격자의 유입을 적극적으로 유도하는 방식으로, 해킹과 같은 공격자의 침입을 능동적으로 유도하여 보호해야 되는 정보자산인 내부시스템을 보호하는 목적을 갖는다.
허니팟 한 대로는 크래커의 유도가 쉽지 않은 이유는?
이러한 공격 유인 목적의 허니팟은 쉽게 해커에게 노출되어야하고, 해킹이 가능한 것처럼 취약해 보여야한다. 그렇기 때문에 허니팟 한 대로는 크래커의 유도가 쉽지 않다 따라서, 다수의 허니팟으로 구성된 네트워크 즉, 허니넷(Honeynet)을 구성하는 방법으로 구현된다.
참고문헌 (10)
M. Cova, C. Kruegel, G. Vigna, "Detection and Analysis of Drive-by-Download Attacks and Malicious JavaScript Code", IW3C2, Apr. 2010.
M. Egele, P. Wurzinger, C. Kruegel and E. Kirda, "Defending browsers against drive-by downloads: Mitigating heap spraying code injection attacks," 2009. Available from http://www.iseclab.org/papers/ driveby.pdf; accessed on 15 May. 2010.
B. Endicott-popovsky, J. Narvaez, C. Seifert, D. A. Frincke, L. R. O'Neil, and C. Aval, "Use of deception to improve client honeypot detection of drive-by-download attacks," Proc. of the 5th Inter-national Conference on Foundations of Augmented Cognition (FAC), 2009.
KrCERT, "Monthly Report: Internet Incident Trends and Analysis", Mar. 2009.
H. Kim, D. Kim, S. Cho, M. Park, M. Park, "An efficient visitation algorithm to improve the detection speed of high-ineraction client honeypots" RACS 2011, Nev. 2-5, 2011.
C. Seifert, P. Komisarczuk, and I. Welch, "True Positive Cost Curve: A Cost-Based Evaluation Method for High-Interaction Client Honeypots", SECUREWARE, 2009.
Janaka Deepakumara, Howard Heys and R. Venkatesan, "FPGA Implementation of MD5 Hash Algorithm", Canadian Conference on Electrical and Computer Engineering, Vol.2, pp.13-16, May. 2001.
Diez J. M., et al., "Hash Algorithm for Cryptographic Protocols: FPGA Implementations", 10th TELFOR' 2002, Nov. 2002.
Hayes, A. F., "Statistical methods for communication science", 2005
Gravetter, F. J., & Wallnau, L B."Statistics for the behavioral sciences 8th ed.", 2008.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.