컴퓨터와 네트워크의 비약적인 발전은 다양한 정보 교환을 쉽게 하였다. 하지만, 그와 동시에 다양한 위험 요소를 발생시켜 악의적 목적을 가진 사용자와 그룹은 취약한 시스템을 대상으로 공격을 하고 있다. 침입탐지시스템은 네트워크 패킷 분석을 통해 악의적인 행위를 탐지한다. 하지만, 많은 양의 패킷을 짧은 시간 내에 처리해야 하는 부담이 있다. 따라서, 이 문제를 해결하기 위하여 우리는 User Level에서 동작하는 네트워크 침입탐지시스템의 탐지 성능 향상을 위해 Kernel Level에서 동작하는 시스템을 제안한다. 실제로, kernel level에서 동작하는 네트워크 침입탐지시스템을 구현함으로써 패킷 분석 및 탐지 성능을 향상함을 확인하였다.
컴퓨터와 네트워크의 비약적인 발전은 다양한 정보 교환을 쉽게 하였다. 하지만, 그와 동시에 다양한 위험 요소를 발생시켜 악의적 목적을 가진 사용자와 그룹은 취약한 시스템을 대상으로 공격을 하고 있다. 침입탐지시스템은 네트워크 패킷 분석을 통해 악의적인 행위를 탐지한다. 하지만, 많은 양의 패킷을 짧은 시간 내에 처리해야 하는 부담이 있다. 따라서, 이 문제를 해결하기 위하여 우리는 User Level에서 동작하는 네트워크 침입탐지시스템의 탐지 성능 향상을 위해 Kernel Level에서 동작하는 시스템을 제안한다. 실제로, kernel level에서 동작하는 네트워크 침입탐지시스템을 구현함으로써 패킷 분석 및 탐지 성능을 향상함을 확인하였다.
The breakthrough in computer and network has facilitated a variety of information exchange. However, at the same time, malicious users and groups are attacking vulnerable systems. Intrusion Detection System(IDS) detects malicious behaviors through network packet analysis. However, it has a burden of...
The breakthrough in computer and network has facilitated a variety of information exchange. However, at the same time, malicious users and groups are attacking vulnerable systems. Intrusion Detection System(IDS) detects malicious behaviors through network packet analysis. However, it has a burden of processing a large amount of packets in a short time. Therefore, in order to solve these problem, we propose a network intrusion detection system that operates at kernel level to improve detection performance at user level. In fact, we confirmed that the network intrusion detection system implemented at kernel level improves packet analysis and detection performance.
The breakthrough in computer and network has facilitated a variety of information exchange. However, at the same time, malicious users and groups are attacking vulnerable systems. Intrusion Detection System(IDS) detects malicious behaviors through network packet analysis. However, it has a burden of processing a large amount of packets in a short time. Therefore, in order to solve these problem, we propose a network intrusion detection system that operates at kernel level to improve detection performance at user level. In fact, we confirmed that the network intrusion detection system implemented at kernel level improves packet analysis and detection performance.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 연구는 시스템의 User level에서 동작하는 NIDS의 패킷처리 성능을 개선하고자, Kernel level에서 동작하는 네트워크침입탐지시스템을 제안 및 구현하였다. 구현된 KNIDS(Kernel based Network Intrusion Detection System)는 NIDS의 기본 기능을 갖도록 설계하였고, User level에서 동작하는 NIDS와 달리 커널에서 동작함으로써 더욱 빠르게 많은 양의 패턴을 분석 및탐지할 수 있도록 구현하였다.
그러나 Snort, Suricata[22]와 같이 User Level에서 동작하는 NIDS는 응용프로그램 상에서 패킷을 관찰, 분석 및 탐지하는 기능을 제공함으로 대량의 패킷을 분석할 때 많은 탐지 시간이 소요되는 문제가 있다. 이 문제를 해결하기 위하여 우리는 User Level에서 동작하는 네트워크 침입탐지시스템의 탐지 성능 향상을 위해 Kernel Level에서 동작하는 네트워크 침입탐지시스템을 제안하였다. 이 논문에서 제안한 Kernel Level에서 동작하는 NIDS가 User Level에서 동작하는 NIDS에 비해 메모리 초기화 시간과 메모리양을 좀 더 필요로 하지만, 패킷에 대해 처리속도는 5배 이상 향상됨을 실험을 통해 확인하였다.
제안 방법
Kernel Level의 NIDS는 네트워크 카드, NDIS, KNIDS, 탐지패턴 DB 및 사용자 프로그램으로 구성된다. NIC 카드와 사용자 프로그램은 구현 대상이 아니며, 본 연구를 통해서 구현된 부분은 NDIS, KNIDS 및 패턴 DB 부분이다. [그림 2]와 같이, User Level의 응용프로그램(ex.
[표 1]과 같이, 같은 패킷과 규칙을 사용한 경우에 NIDS와KNIDS의 성능을 비교하였다. 패킷 수(2,568)는 특정 웹 포털사이트에 접속할 때 input/output 되는 총 패킷 수이다.
본 연구는 시스템의 User level에서 동작하는 NIDS의 패킷처리 성능을 개선하고자, Kernel level에서 동작하는 네트워크침입탐지시스템을 제안 및 구현하였다. 구현된 KNIDS(Kernel based Network Intrusion Detection System)는 NIDS의 기본 기능을 갖도록 설계하였고, User level에서 동작하는 NIDS와 달리 커널에서 동작함으로써 더욱 빠르게 많은 양의 패턴을 분석 및탐지할 수 있도록 구현하였다.
전처리기를 통과한 패킷은 탐지 엔진을 통해 사용자에 의하여 설정된 보안규칙을 가지고 비교하여 악의적인 침입을 탐지한다. 마지막으로 탐지 엔진에서 나온 결과를 바탕으로 보안관리자에게 경보 및 로그를 기록하도록 하여 로그 파일과 데이터베이스의 형태로 탐지 기록을 저장하도록 한다[16].
패킷 스니퍼는 네트워크로부터 패킷을 받아들이며 이 패킷을 전처리기에서 Snort의 탐지 엔진에 도달하기 전에 악의적인 패킷인지 올바른 패킷인지 구별하는 과정을 거친다. 전처리기를 통과한 패킷은 탐지 엔진을 통해 사용자에 의하여 설정된 보안규칙을 가지고 비교하여 악의적인 침입을 탐지한다. 마지막으로 탐지 엔진에서 나온 결과를 바탕으로 보안관리자에게 경보 및 로그를 기록하도록 하여 로그 파일과 데이터베이스의 형태로 탐지 기록을 저장하도록 한다[16].
대상 데이터
예를 들어, 크래커에 의해 사용된 컴퓨터의 IP 리스트를 침입차단시스템의 블랙리스트에 업데이트하기도 한다. NIDS 제품으로는 Black ICE Defender, CheckPointe RealSecure, Cisco Secure IDS 등이 있으며, 오픈코드 기반의 Snort가 가장 많이 사용되고 있고[16], 엔진도 타제품에 비교해 가벼우므로 본 연구의 비교 대상 제품으로 활용하였다.
53개 규칙 파일 중의 33개 파일을 적재하면 2,362의 절반인 약 1,000개(1,075) 규칙이 존재한다. [표 1]에서 규칙 수가 2,362개인 경우와 그 절반인 1,075개 일 경우를 각각 테스트 및 비교 분석하였다. KNIDS는 메모리와 초기화 시간을 NDIS 보다 더 사용하는 반면, 처리 속도가 더 빠르고, 패턴매칭 규칙의 수가 많아질수록 초기화 시간, 메모리 사용량 및 처리시간을 많이 사용하는 것으로 분석되었다.
성능/효과
[표 1]에서 규칙 수가 2,362개인 경우와 그 절반인 1,075개 일 경우를 각각 테스트 및 비교 분석하였다. KNIDS는 메모리와 초기화 시간을 NDIS 보다 더 사용하는 반면, 처리 속도가 더 빠르고, 패턴매칭 규칙의 수가 많아질수록 초기화 시간, 메모리 사용량 및 처리시간을 많이 사용하는 것으로 분석되었다.
이 논문에서 제안한 Kernel Level에서 동작하는 NIDS가 User Level에서 동작하는 NIDS에 비해 메모리 초기화 시간과 메모리양을 좀 더 필요로 하지만, 패킷에 대해 처리속도는 5배 이상 향상됨을 실험을 통해 확인하였다. 또한, 기존NIDS와 달리 악의적인 행위에 대한 탐지 시, 해당 패킷을 즉시 차단함으로써 침입차단시스템과 연동하여 패킷을 차단하는 불편함을 해소할 수 있다. 추가로, 향후 KNIDS에 대한 메모리 누수 및 효율적인 메모리 사용에 관한 연구가 추가로 필요할 것이다.
본 연구에서 제안한, 윈도우즈 NDIS를 활용한 커널 기반 네트워크 침입탐지시스템 (Kernel based Network Intrusion Detection System, KNIDS) 구현은 빠른 처리 속도 및 패킷을 제어하는 장점이 있지만, 시스템 구현이 복잡하고 어렵다는 단점도 존재한다.
이 문제를 해결하기 위하여 우리는 User Level에서 동작하는 네트워크 침입탐지시스템의 탐지 성능 향상을 위해 Kernel Level에서 동작하는 네트워크 침입탐지시스템을 제안하였다. 이 논문에서 제안한 Kernel Level에서 동작하는 NIDS가 User Level에서 동작하는 NIDS에 비해 메모리 초기화 시간과 메모리양을 좀 더 필요로 하지만, 패킷에 대해 처리속도는 5배 이상 향상됨을 실험을 통해 확인하였다. 또한, 기존NIDS와 달리 악의적인 행위에 대한 탐지 시, 해당 패킷을 즉시 차단함으로써 침입차단시스템과 연동하여 패킷을 차단하는 불편함을 해소할 수 있다.
후속연구
또한, 기존NIDS와 달리 악의적인 행위에 대한 탐지 시, 해당 패킷을 즉시 차단함으로써 침입차단시스템과 연동하여 패킷을 차단하는 불편함을 해소할 수 있다. 추가로, 향후 KNIDS에 대한 메모리 누수 및 효율적인 메모리 사용에 관한 연구가 추가로 필요할 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
IDS의 탐지 영역에 따른 분류는 어떻게 되는가?
IDS(Intrusion Detection System)는 일반적으로 시스템의 비정상적인 사용, 오용 및 남용 등을 실시간으로 탐지하는 보안솔루션으로, 전통적인 침입차단시스템(Firewall)이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽 및 사용을 탐지하기 위해 동작한다. IDS는 탐지 영역에 따라 네트워크 침입탐지시스템(Network Intrusion Detection System, NIDS)과 호스트 침입 탐지시스템(Host Intrusion Detection System, HIDS)으로 구분된다[1]. NIDS는 네트워크 트래픽을 검사하고[2] 여러 호스트를 관찰하여 침입을 식별하는 독립된 플랫폼으로, 쉽게 설치할 수 있고, 강력한 탐지 기능이 있으므로 널리 사용된다.
IDS란 무엇인가?
IDS(Intrusion Detection System)는 일반적으로 시스템의 비정상적인 사용, 오용 및 남용 등을 실시간으로 탐지하는 보안솔루션으로, 전통적인 침입차단시스템(Firewall)이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽 및 사용을 탐지하기 위해 동작한다. IDS는 탐지 영역에 따라 네트워크 침입탐지시스템(Network Intrusion Detection System, NIDS)과 호스트 침입 탐지시스템(Host Intrusion Detection System, HIDS)으로 구분된다[1].
비정상기반 탐지기법의 단점은 무엇인가?
비정상기반 탐지기법은 정상적인 동작 및 행위로 정의되지 않은 모든 상황을 비정상으로 간주하여 탐지하기 때문에 오용 탐지기법과 달리, Zero-day 공격에 대한 탐지에 적합하다. 그러나, 정상 동작 및 행위를 판단할 수 있는 근거를 정의하기 위해 방대한 데이터가 요구되고, 학습을 통한 모델 수립에 어려움이 있다[3][4].
Snort[Internet], Available : http://www.snort.org.
S. Chakrabarti, M. Chakraborty, and I. Mukhopadhyay, "Study of snort-based IDS", Proceedings of the International Conference and Workshop on Emerging Trends in Technology, ACM, 2010.
Jay Beale, James C, Foster Jeffery Posluns, Brian Caswell, "Snort 2.0 Magic Box", Acorn, 2003.
Myeong-Ki Jeong, Seong-Jin Ahn, Won-Hyung Park, "A Comparative Study on Function and Performance of Snort and Suricata", The Journal of Information and Security, Vol. 14, No 5, pp.3-8, Sep 2014.
Yong-Sik Jeon, "Cost-Based Optimizer Detection Tree configuration plan for performance improvement of Signature-Based IDS", M.S. dissertation, Korea, Seoul, 2017.05.
Snort, Snort User Manual[Internet], Available : http://manual-snort-org.s3-wesite-us-east-1.
In-Kyoung Kim, Eul-Gyu Im, "A Study on the Analysis Rule for Network Intrusion Detection System using Snort", The Journal of Korean Institute of Communications and Information Sciences, Vol. 2011, No. 6, pp. 656-658, Jun 2011.
Ji-yong Han, In-bok Lee, Jung-Hee Han, "Accelerating PCRE Performance of Signature-based IDS", The Journal of Korean Instityte of Information Scientistics and Engineering : System and Theory, Vol. 40, No. 2, pp. 53-60, Feb 2013.
M. Alicherry, M. Muthuprasanna, and V. Kumar, "High speed pattern matching for network IDS/IPS", Proceedings of the 2006 14th IEEE International Conference on. IEEE, Santa Barbara, CA, Feb 2006.
M. Roesch, "Snort : Light weight Intrusion Detection for Networks", Proceedings of LISA '99:13th Systems Administration Conference, Seattle, WA, Nov 1999.
Kil-Ho Lee, "A Study of Network Intrusion Detection System using Snort", M.S., Gyeongsang, Aug 2017.
Security Tools, Security Tool Top 100[Internet], Available : http://www.sectools.org
Ho-Sung Jo, Sung-Il Oh, In-Bok Lee, Hee-Jin Park, Joong-Chae Na, "Development and Application of a Similarity Analysis Program for Snort-based Detection Rules", The Journal of Korean Institute of Next Generation Computing, Vol.11, No.1, pp. 32-43, Feb 2015.
K. Scarfone and P. Mell, "Guide to intrusion detection and prevention systems(IDPS)", NIST, Gaithersburg, MD, Special Publication 800-94, Feb 2007.
Seok-Jin Ug, Moon-Seok Choi, Ji-Myung Kim, Jong-Soon Park, "A Comparative Study on Performance of Open Source IDS/IPS Snort and Suricata", The Journal of Korea Society of Digital Industry and Information Management, Vol. 12, No. 1, pp. 89-95, Mar 2016.
Yong-Woo Jung, "A Study on Normalized Rules of Security System", M.S. dissertation, Soongsil, Seoul, Jun 2017.
Keon-Woong Kong, Yong-gwan Won, "Implementation of Encrypted Mail Program using SMTP and POP3", the Journal of Digital Contents Society, Vol. 18, No. 7, pp.1403-1409, Nov 2017.
Doo-Won Sik, "A Study on the False Positive detection method of Intrusion Prevention System Using SVM", M.S. dissertation, Sungkyunkwan, Seoul, Apr 2017.
Dong-Hee Han, "A Study on the Method for Selecting Snort Intrusion Detection Rules for Improvement of Efficiency and Reduction of False Positive", M.S. dissertation, Korea, Seoul, 2015.12.
Kedar Namjoshi, Girija Narlikar, "Robust and Fast Pattern Matching for IDS", 2010 Proceedings IEEE, 2010.03.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.