기존의 Snort와 같은 침입탐지시스템은 수없이 많은 경고 메시지를 관리자의 화면상에 표시함으로써 해당 관리자를 혼란에 빠트려 해킹 초기 대응능력을 무력하게 만드는 문제점과 함께 false positive오류 가능성을 내포하고 있다. 이에 본 논문에서는 이러한 문제점들을 해결하기 위해 상관성을 이용한 웹기반의 침입 탐지 트래픽 분석 시스템을 설계하였으며 Libpcap, Snort, ACID, Nmap, Nessus를 도구로 사용, 트래픽을 일반 트래픽과 침입 트래픽으로 구분하여 관리자가 전체 침입 탐지 트래픽 상황을 웹 상에서 쉽게 확인할 수 있도록 구현하였다. 그 결과 경고메시지 및 false positive 오류를 최소화시킬 수 있었다.
기존의 Snort와 같은 침입탐지시스템은 수없이 많은 경고 메시지를 관리자의 화면상에 표시함으로써 해당 관리자를 혼란에 빠트려 해킹 초기 대응능력을 무력하게 만드는 문제점과 함께 false positive오류 가능성을 내포하고 있다. 이에 본 논문에서는 이러한 문제점들을 해결하기 위해 상관성을 이용한 웹기반의 침입 탐지 트래픽 분석 시스템을 설계하였으며 Libpcap, Snort, ACID, Nmap, Nessus를 도구로 사용, 트래픽을 일반 트래픽과 침입 트래픽으로 구분하여 관리자가 전체 침입 탐지 트래픽 상황을 웹 상에서 쉽게 확인할 수 있도록 구현하였다. 그 결과 경고메시지 및 false positive 오류를 최소화시킬 수 있었다.
A general administrator's response ability plunged in confusion as intrusion detection system like an existing Snort display much alert messages on administrator's screen. Also, there are some possibilities to cause false positive. In this paper, to solve these problems, we designed Web-based ID(...
A general administrator's response ability plunged in confusion as intrusion detection system like an existing Snort display much alert messages on administrator's screen. Also, there are some possibilities to cause false positive. In this paper, to solve these problems, we designed Web-based ID(Intrusion Detection) traffic analysis system using correlation, and implemented so that administrator can check easily whole intrusion traffic state in web which dividing into normal and intrusion traffic using Libpcap, Snort, ACID, Nmap and Nessus. As a simulation result, it is proved that alert message number and false positive rate are minimized.
A general administrator's response ability plunged in confusion as intrusion detection system like an existing Snort display much alert messages on administrator's screen. Also, there are some possibilities to cause false positive. In this paper, to solve these problems, we designed Web-based ID(Intrusion Detection) traffic analysis system using correlation, and implemented so that administrator can check easily whole intrusion traffic state in web which dividing into normal and intrusion traffic using Libpcap, Snort, ACID, Nmap and Nessus. As a simulation result, it is proved that alert message number and false positive rate are minimized.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서 본 논문에서는 ACID가 생성한 침입 탐지 트래픽 2차 데이터베이스 중 불필요한 경고메시지나 false positive의 가능성이 있는 경고메시지를 제거한다. 그 방법으로는 우선 감시하고자 하는 호스트들을 Nmap과 Nessus을 이용하여 보안 취약점 점검을 한다.
본 논문에서는 이러한 문제점들을 해결하기 위해 기존 경고메시지의 필터링 및 상관성을 이용한 웹기반의 침입 탐지트래픽 분석시스템을 설계하고 Libpcap, Snort, ACID, Nmap, Nessus를 이용하여 전체 트래 픽을 일반 트래픽과 침입 트래픽으로 구분 각각의 트래픽을 프로토콜별 서비스별, IP별로 표시하여 관리자가 전체 침입 탐지 트래픽 상황을 웹상에서 쉽게 확인할 수 있도록 하고 경고메시지 및 false positive가 최소화된 효율적인 웹기반의 침입 탐지 트래픽 분석 시스템을 구현하고자 하였다.
본 연구에 대한 향후 연구 과제로는 설계 목표에서 제시한 경고메시지의 통합에 대한 연구이다. 또한 제한 모델의 부족한 부분인 침입 탐지 트래픽의 히스토리 기능 및 검색 기능을 강화하는 방법에 대한 연구가 필요하다.
제안 방법
따라서 본 논문에서는 ACID가 생성한 침입 탐지 트래픽 2차 데이터베이스 중 불필요한 경고메시지나 false positive의 가능성이 있는 경고메시지를 제거한다. 그 방법으로는 우선 감시하고자 하는 호스트들을 Nmap과 Nessus을 이용하여 보안 취약점 점검을 한다. 그 후 보안 취약점 점검으로 인해 생성된 취약점 데이터베이스와 2차 침입 탐지 트래픽 데이터베이스를 비교하여 불필요한 데이터를 필터링 한다.
그 방법으로는 우선 감시하고자 하는 호스트들을 Nmap과 Nessus을 이용하여 보안 취약점 점검을 한다. 그 후 보안 취약점 점검으로 인해 생성된 취약점 데이터베이스와 2차 침입 탐지 트래픽 데이터베이스를 비교하여 불필요한 데이터를 필터링 한다. 마지막으로 생성된 필터링 데이터베이스의 자료 중 동일한 목적지주 포트번호, 공격유형별로 그룹화하고 식 2에 따라 상관 분석 작업을 진행한 후 지정한 임계치를 초과할 경우 침입 트래픽으로 최종 판단을 내리고 웹상에서 일반 트래픽과 침입 트래픽으로 구분하여 프로토콜별, 서비스별, IP별로 네트워크 관리자에게 보여준다.
그리고 침입탐지시스템의 false positive 및 false negative로 인한 탐지 오류가 발생할 가능성이 매우 크다. 따라서 본 논문에서 제시하는 시스템에서는 그림 3과 같은 관심 사건 대상인 EOKEvents of Interest)[5]의 필터링 을 통하여 false positive가 최소화된 침입 탐지 트래픽을 분석한다.
본 논문에서 구현한 시스템은 그림 5와 같이 우선 침입 트래픽과 일반 트래픽을 따로 데이터베이스에 저장한다 Libpcap을 이용하여 LAN상의 모든 패킷을 실시간으로 캡쳐한 후 침입 트래픽일 경우 NIDS인 Snort가 자동으로 감지하여 침입 탐지 트래픽 1차 데이터베이스에 저장하고 일반 트래픽일 경우 감시 하고 자 하는 호스트에 해당하는 정보만을 일반 트래픽 데이터베이스에 저장한다. 침입 트래픽으로 판단되어 MySQL 데이터베이스에 저장된 Snort의 각종 경고메 시지들은 ACID을 거쳐 침입 탐지 트래픽 2차 MySQL 데이터베이스에 저장된다.
본 논문에서는 경고메시지 및 false positive rate 감소를 위해 Libpcap, Snort, ACID, Nmap, Nessus를 도구로 사용, 상관성을 이용한 웹 기반의 침입 탐지 트래픽 분석 시스템을 설계하였으며 트래픽을 일반 트래픽과 침입 트래픽으로 분류하고 각각의 트래픽을 프로 토콜별 서비스별, IP별로 구분하여 관리자가 전체 침입 탐지 트래픽 상황을 웹상에서 쉽게 확인할 수 있도록 구현하였다. 구현된 상관성을 이용한 웹 기반의 침입 탐지 트래픽 분석 시스템의 성능 분석 결과 경고메시지 및 false positive를 줄일 수 있었으며 크래커에 의한 외부 공격이 발생할 경우 관리자의 초기 대응 능력 향상을 기대할 수 있었다.
세부적인 기법은 식 1과 같이 기존 메타 경고메시지 와 새로운 침입 경고메시지간의 유사가능성을 구해 상관성 분석을 한다.
성능/효과
(1) 필터링을 통한 최소한의 false positive E0I 선택 네트워크의 속도가 점차 고속화됨으로 인해 모든 트래픽의 침입탐지 여부 판별 자체는 불가능하다. 그리고 침입탐지시스템의 false positive 및 false negative로 인한 탐지 오류가 발생할 가능성이 매우 크다.
본 논문에서는 경고메시지 및 false positive rate 감소를 위해 Libpcap, Snort, ACID, Nmap, Nessus를 도구로 사용, 상관성을 이용한 웹 기반의 침입 탐지 트래픽 분석 시스템을 설계하였으며 트래픽을 일반 트래픽과 침입 트래픽으로 분류하고 각각의 트래픽을 프로 토콜별 서비스별, IP별로 구분하여 관리자가 전체 침입 탐지 트래픽 상황을 웹상에서 쉽게 확인할 수 있도록 구현하였다. 구현된 상관성을 이용한 웹 기반의 침입 탐지 트래픽 분석 시스템의 성능 분석 결과 경고메시지 및 false positive를 줄일 수 있었으며 크래커에 의한 외부 공격이 발생할 경우 관리자의 초기 대응 능력 향상을 기대할 수 있었다. 특히 침입 트래픽이 많이 발생한 IP 사용자에게 보안의 필요성을 확연히 설명해 줄 수 있는 계기를 마련하였다.
또한 제안 모델의 필터링 및 상관 관계 분석 과정별 경고메시지의 변화 결과를 2003년 10월 5일부터 10월 14일 기간 동안 수집된 패킷을 기준으로 살펴본 결과 그림 6과 같이 90.1%의 경고메시지 감소 효과를 볼 수 있었다.
본 논문에서 제안한 상관성을 이용한 웹 기반의 침입 탐지 트래픽 분석 시스템에 대한 false positive 오류율을 Snort(ACID)와 비교한 결과 표 1과 같이 제안 모델이 19.23%정도 우수함을 알 수 있었다.
후속연구
본 연구에 대한 향후 연구 과제로는 설계 목표에서 제시한 경고메시지의 통합에 대한 연구이다. 또한 제한 모델의 부족한 부분인 침입 탐지 트래픽의 히스토리 기능 및 검색 기능을 강화하는 방법에 대한 연구가 필요하다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.