10 침입 탐지 시스템

10 침입 탐지 시스템

침입 탐지 시스템과 관련한 이유 사항을 살펴보도록 하겠습니다 방화벽, 침입 탐지 시스템. 이 두 가지는 네트워크상의 보안을 담당하는 양대 축입니다. 인터넷을 고속도로에 비유한다면 고속도로에서 특정지역, 즉 기업이나 개인의 사설 네트워크로 들어오는 모든 정보를 일단 차단하는 톨게이트가 바로 방화벽입니다. 그리고 톨게이트에서 요금을 받거나 출입자를 감시하는 직원은 침입 탐지 시스템에

해당합니다.

결국 이 두 가지 보안 수단은 함께 적용되는 경우가 많습니다. 방화벽만 있고 침입 탐지 시스템이 없거나 반대로 침입 탐지만 하고 막지는 못한다면 불완전한 보안 시스템이 되기 때문입니다. 이렇듯 "보안"하면 방화벽과 침입 탐지 시스템을 떠올리는 게 일반적이며, 특히 보안의 천적으로 연상되는 해커의 침입을 막기 위해서는 방화벽과 침입 탐지 시스템이 기본입니다. 지금부터 침입 탐지 시스템에 대해 더 자세히 알아봅시다.

침입 탐지 시스템의 개요

1. 침입 탐지 시스템의 정의

침입 탐지 시스템의 개요

침입 탐지 시스템은 대상 시스템에서 허가되지 않거나 비정상적인 행위에 대하여 탐지 또는 식별을 통해 보고하는 기능의 소프트웨어 입니다. ISO에서는 침입 탐지 시스템은 침입을 시도하거나, 침입 행위가 일어나고 있거나, 침입이 발생한 것을 확인하는 절차라고 정의하고 있습니다.

침입이란 자원의 기밀성, 무결성, 가용성을 훼손하는 제반 행위입니다. 여기서 CIA란 기밀성 무결성 가용성을 뜻합니다. 먼저 기밀성은 자원으로의 접근을 합법적인 권한을 가진 사람만 가능하게 하는 것, 무결성은 자원이 훼손되거나 변경되지 않도록 하는 것, 가용성은 합법적 권한을 가진 사용자는 언제나 자원으로의 접근이 가능한 것을 말합니다.

2. 침입 탐지 시스템의 요구 기술

지금부터는 침입 탐지 시스템의 요구 기술에 대해 알아보겠습니다. 침입 탐지 시스템의 요구 기술에는 정보 수집, 정보 가공 및 축약, 침입 분석 및 탐지, 침입 탐지의 정확도 기술 요구, 보고 및 조치 기술이 있는데요. 가장 먼저 정보 수집에 대해 알아보겠습니다.

정보 수집은 호스트 로그 정보 수집과 네트워크 패킷 정보 수집으로 나누어 볼 수 있습니다. 호스트 로그 정보 수집에는 커널 로그, Syslog, 계정 로그 등이 있고, 네트워크 패킷 정보 수집으로는 패킷 분석, 세션 구성 분석이 있습니다.

정보 가공 및 축약은 수집된 raw데이터로부터 의미 있는 정보로 가공하고, 실시간 침입 판정을 위한 최소한의 정보로 축약하는 것을 말합니다.

침입 분석 및 탐지는 침입 탐지 분류에 따라 분석 및 탐지를 하는 것으로 비정상 행위를 탐지하거나 오용을 탐지할 수 있습니다.

침입 탐지의 정확도 기술 요구는 False-negative 최소화, False-positive 최소화로 나누어 볼 수 있습니다. False-negative 최소화는 경고 대상에 대한 탐지 실패를 말하고, False-positive 최소화는 경고 대상이 아닌 것을 탐지 보고하는 것을 말합니다.

마지막으로 보고 및 조치는 침입 발견 시 즉각 보고, 침입 진행 상황 보고, 침입 재연 기능, 적극적인 조치 방법이 있습니다. 침입 발견 시 즉각 보고하는 방법으로는 시스템 console, 전자우편, 이동통신장비, SMS, SNMP trap 발생이 있고, 적극적인 조치 방법으로는 침입 관련 계정 로그아웃, 시스템 종료, 침입 관련 네트워크 세션 종료, 라우터와 방화벽 재구성, 네트워크 종료가 있습니다.

침입 탐지 시스템의 분류

1. 침입 탐지 시스템의 분류

침입 탐지 시스템의 분류침입 탐지 시스템의 분류는 크게 Data Source를 기반으로 하는 분류와 Detection Method 를 기반으로 하는 분류가 있습니다.

Data Source를 기반으로 하는 분류에는 Host Based, Network Based Detection, Multi-Host가 있습니다.

Detection Method를 기반으로 하는 분류에는 Misuse, Anomaly, Hybrid Detection이 있습니다.

2. Data Source에 따른 분류

먼저 Data Source에 따른 분류에 대해 알아보겠습니다. 종류로는 Host-Based Detection, Network-Based Detection, Multi-Host Based Detection 이 있습니다.

Host-Based Detection은 운영체제에서 정보를 수집하는 것으로, C2 감사 로그, 시스템 로그, 어플리케이션 로그가 있습니다. 간결한 형태의 데이터를 수집할 수 있고, 정보의 품질은 높지만 어플리케이션과 시스템에 종속적입니다. 그러나 호스트는 공격의 목표가 되기 쉽습니다.

Network-Based Detection의 특징은 다음과 같습니다. 네트워크나 허브/스위치에서 데이터를 수집하므로 패킷을 재조립하여 헤더를직접 볼 수 있습니다. 또한 네트워크 트래픽의 내용으로 무슨 일이 일어났는지 판단하고, 호스트에서는 제공하지 않는 정보를 볼 수 있습니다. 네트워크에 트래픽이 많아질 경우 패킷 손실률이 높아집니다. 그리고 암호화된 데이터를 읽을 수가 없습니다.

Multi-Host Based Detection은  Based Detection와 같은 방식 입니다. Host의 수에 따라 Single-host based detection, Multi-host Based Detection로 구분됩니다.

3. Detection Method에 따른 분류

이번에는 Detection Method에 따른 분류에 대해 알아보겠습니다. Detection Method를 이용한 침입 탐지 분석 방법은 일반적으로 예방, 탐지, 조사, 복구의 순서로 반복되어 분석하게 됩니다.

Misuse Detection의 Production/Expert systems은 if then형태로 공격을 서술합니다. 대량의 규칙 데이터를 다루기에는 부적합하고, 순서 데이터를 다루지 않습니다. 전문 지식은 사용자가 만든 것이며, 추론 규칙을 사용합니다.    

Misuse Detection의 상태 전이 방법은 시스템 상태와 전이 표현을 사용하여 알려진 침입을 분류하고 탐지합니다. 현재의 다른 침입 탐지 방법보다 빠르고 융통성이 있습니다. 구현은 화면에 제시된 그림과 같습니다.

Language/API-based Approaches는 엔진을 사용하기 쉬운 형태로 기술하는 방법입니다.

전문가 시스템 언어가 있지만 다른 목적으로 설계됩니다. 일괄 분석을 위한 정보검색은 감사 데이터 기록으로 흥미 있는 행위 패턴의 증거를 찾거나 특정 객체나 사용자에게 영향을 주는 행위를 분리하는 능력을 제공합니다. 새로운 공격을 발견하는 IDS와 공격 행위의 증거를 찾는 보안 관리자용 시스템의 기능이며 이 방법은 사건 후에 감사 정보를 조사하는 단점이 있습니다.

이번에는 Anomaly Detection에 대해 알아보도록 할까요? Anomaly Detection은 Denning의 네 가지 통계 모델로 이루어져 있습니다.

Operational model은 이벤트 횟수와 같은 척도를 적용하는 것을 말하며,

Mean and standard deviation model은 시스템 행위 척도는 먼저 발생한 행위에서 계산된 평균과 표준 편차를 말합니다.

Multivariate model은 이상 탐지에서 하나의 척도 대신에 다른 척도와의 연관성 기반으로 하는 것을 말하며, Markov process model은 감사 이벤트를 상태 값으로 표현하고 상태 전이 행렬을 사용하는 것을

말합니다.

Anomaly Detection의 정량분석은 일반적인 이상 탐지 방법입니다. 임계치를 사용하고 설명 불가능한 시스템 객체에 대한 변화를 검사합니다. 정량 분석과 데이터 축약으로 대량의 이벤트 정보로부터 불필요한 정보를 제거하여 시스템 부하를 감소시키고 탐지 절차를 최적화합니다. Anomaly Detection의 비특성 통계분석은 특성분석의 문제인 가정이 틀렸을 때 에러율이 높다는 점을 보완하기 위해 이벤트 데이터의 축약을 수행합니다. 그리고 특성 통계 분석보다 탐지 속도와 정확성이 높습니다. 하지만 초과된 자원 사용으로 분석의 효율성과 정확성이 떨어집니다. 신경망, 데이터 마이닝 방법 등이 주로 이용됩니다.

하지만 초과된 자원 사용으로 분석의 효율성과 정확성이 떨어집니다. 신경망, 데이터 마이닝 방법 등이 주로 이용됩니다.

Anomaly Detection의 통계적 분석의 장점과 단점에 대해 알아보겠습니다. 정량 분석의 장점은 합법적인 사용자로 위장한 침입자를 분석하고 주기적인 변경이나 유지 보수가 필요 없습니다. 하지만 단점은 자동화된 대응을 사용한 피해를 막을 수 없고, 이벤트의 정확한발생 순서는 제공되지 않고, 오판율이 높습니다. 정량 분석은 침입 행위들을 감시한 결과를 기반으로 프로파일을 생성하고, 이 프로파일을 기반으로 이상행위에 대한 평가를 하고 있습니다. 평가항목으로는 Activity, Intensity, File access 등의 항목을 평가합니다.