Скачать презентацию IDS 기술 동향 허영준 한국전자통신연구원 보안게이트웨이연구팀 목
f83d83b375156a26601620f0507fcb92.ppt
- Количество слайдов: 76
Скачать презентацию IDS 기술 동향 허영준 한국전자통신연구원 보안게이트웨이연구팀 목
Скачать презентацию IDS 기술 동향 허영준 한국전자통신연구원 보안게이트웨이연구팀 목
IDS 기술 동향 허영준 한국전자통신연구원 보안게이트웨이연구팀
목 차 ▣ 침입 정의와 분류 방법 ▣ 침입탐지시스템의 정의와 분류 방법 ▣ 침입탐지시스템 모델 ▣ 침입탐지시스템 구조 ▣ 침입탐지 방법론 ▣ 침입탐지시스템 Trends ▣ 침입탐지시스템 표준 ▣ 침입탐지 및 대응 기술 ▣ 침입탐지시스템 ISSUE 1
침입의 정의
침입 정의 ▣ Intrusion ◈ 컴퓨터가 사용하는 자원의 무결성(integrity), 비밀성 (confidentiality), 가용성(availability)을 저해하는 일련의 행위 들의 집합 또는 컴퓨터 시스템의 보안정책을 파괴하는 행위 (Anderson) – – Causing Denial of Service Creating Backdoor(Trojan Horse) Planting Viruses Exploiting Software Vulnerability ◈ 계획적이거나 우연하게 IT 시스템으로 권한이 없는 사용자의 접근 또는 행위(ISO) 3
침입의 분류 방법
침입 분류 방법 Solo Attacker Multi Attack Single Target Multiple Targets Target Network Target Direct Attacks Path Indirect Attack Information Theft Resource Destruction Intention Pre-attack Do. S Attack Means Local Attack Remote Attack 5
Based on Attackers ▣ Solo attack ◈ One or more target systems are attacked by a single attacker. ◈ Most general type of attack that is easy to detect. ◈ E. g. System vulnerability attack, Unauthorized access attack ▣ Multi-attack ◈ More than one attackers coordinate to a single attack ◈ E. g. IP Spoofing, Mail bomb, Flooding Attacker(a) Attacker Victim Attacker(b) Solo Attack Multi Attack 6 Attacker(c)
Based on Target Systems ▣ Single Target ◈ A single target is attacked ◈ E. g. Back. Orifice, Winnuke attack ▣ Multiple Targets Victim(a) Victim(b) Victim(c) ◈ More than on target systems are attacked – Random target systems are attacked : Scanning attack, Abnormal packet broadcast attack – Selective targets are attacked : Anonymous FTP attack ▣ Network Target ◈ Network resources or Network itself are attacked ◈ E. g. DNS spoofing, Router attack, Network Do. S attack 7
Based on Attacking Path ▣ Direct attack ◈ Directly attacks the target systems ◈ E. g. Buffer overflow, Ping of death attack ▣ Indirect attack ◈ Spatial Indirect Attack – Attack via vulnerable hosts to attack the target system – Purpose on hiding the attacker’s location ◈ Temporal Indirect Attack – Use of timing latency to make the detection difficult target Attacker 8
Other Types of Attacks ▣ Based on Intention ◈ Information Theft ◈ Resource Destruction ◈ Pre-attack ◈ Denial of Service Attack ▣ Based on Attacking Means ◈ Local Attack : attacks after login to the system ◈ Remote Attack : attack without login to the system for information theft or Do. S attack 9
침입탐지시스템의 정의
침입탐지 시스템 ▣ Intrusion Detection System ◈ 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 규정하는 시스템으로 가능하면 실시간으로 처리하는 시스템(Denning) ◈ 침입을 시도하거나, 침입행위가 일어나고 있거나, 침입이 발생 한 것을 확인하는 절차(ISO) 11
Why Intrusion Detection System? ▣ The underlying systems have many vulnerabilities, but attacks are not effectively handled because of the limited technologies and economical reasons. ▣ It is difficult to reform the safe system due to high cost and already developed applications ▣ It is almost impossible to develop completely secure systems. ▣ Even secure systems have weak points to the inside attackers. 12
Primary Objectives of IDS Victim Hacker 13 - Real-Time Alarm Report/Recovery Statistical Analysis Attack Prevention
Real-Time Alarm and Response ▣Misused Action & Abnormal Behavior ◈ Denial of Service ◈Race Condition & Stack Overflow ◈Unauthorized System File Modification ◈Exposure to External or Internal Threats ◈Other Critical Intrusions ▣Alarm and Report via ◈System Console ◈E-mail ◈Web User Interface ▣Automated Responses 14
Statistical Analysis and Report ▣Generating Statistics Using ◈Audit log ◈Daily, weekly, monthly and yearly events ▣Statistics of ◈Intrusion attempts ◈Intrusion classes Statistics: IDS Audit Record 15
Building New Intrusion Types ▣Based on ◈Intrusion Event Collection and Analysis ◈Classification of Intrusion Attempts ▣Creating New Patterns of Abnormal Behaviors - Event Collection - & Analysis - Audit Log Analysis New Intrusion Pattern Generation 16
침입탐지시스템 분류 방법
Purdue, COAST ▣ 국내에서 가장 많이 사용하는 분류 방식 ▣ 침입모델을 기반으로 하는 분류 ◈ Misuse Detection ◈ Anomaly Detection ◈ Hybrid Detection ▣ Data Source를 기반으로 하는 분류 ◈ Host Based Detection ◈ Multi-Host Based Detection ◈ Network Based 18
IBM Zurich Research Lab. ▣ 99년 4월 ISO/IEC JTC 1/SC 27 "IT 침입탐지프레임워크" 회의에 서 독일 NB(National Body)가 침입탐지 분류 기준으로 제안 19
ICSA IDSC ▣ ICSA가 침입탐지시스템 평가를 준비하기 위하여 분류 ▣ 모니터링 접근방식에 따른 분류 ◈ Application Based ◈ Host Based ◈ Target Based ◈ Network Based ◈ Integrated ▣ 감사데이터의 분석 시점에 따른 분류 ◈ Batch/Interval Analysis ◈ Real Time Analysis ▣ 침입 분석 기법에 따른 분류 ◈ Signature Analysis ◈ Statistical Analysis ◈ Integrity Analysis 20
ISO/IEC JTC 1/SC 27/WG 1 ▣ IT Intrusion Detection Framework(ISO/IEC TR 15947) 21
침입탐지시스템 모델
침입탐지시스템의 기본 모델 ▣Dorothy Denning(1987) : IDES 23
침입탐지시스템 모델의 형태 ▣Misuse Detection Model ◈Based on the pattern of known misuse or abnormal behavior Modify existing rule System profile Audit data Timing information Compromised state Rule match? Add new rules ▣Anomaly Detection Model ◈Based on the database of normal behavior Update profile Audit data System profile Generate new profiles dynamically 24 Statistically deviant? Compromised state
IETF의 IDS 모델 25
ISO/IEC의 IDS 모델 26
국내 평가에서의 IDS 모델 축약감사데이터 생성 감사데이터 수집 감사데이터 축약 감사데이터 관리 침입분석/탐지 축약된 감사데이터 비정상 행위탐지 오용탐지 IDS 감사데이터 탐지결과 조정 보안감사 대응 27
침입탐지시스템 구조
STAT 구조 ▣STAT : UCSB ◈Real-Time IDS using State Transition and Rule Based Expert System ◈Audit Record about Harmful Behavior 29
IDIOT 구조 ▣IDIOT : COAST Lab. at Purdue ◈Pattern Matching based Expert System ◈Colored Petri-net based Analysis ◈Sun BSM audit trail(Solaris 2. 4) based IDS Audit Data Collector Pattern Matching & State Transition IDIOT Audit Format Convertor 30 Pattern State Machine . . . Pattern State Machine
IDES 구조 ▣IDES : SRI International ◈Misuse Based Real-Time IDS ◈Learning User’s Behavior by System Monitoring ◈Host based IDS Audit Record Monitored System Audit Record IDES Monitor Audit Records Profiles Suggested Profiles IDES DBMS Activity Rules Anomaly Records 31
NIDES 구조 ▣NIDES : SRI International ◈Combination of Statistical Approach and Rule Based Expert System ◈Multi-Host based IDS ◈Real-Time IDS extended from IDES 32
EMERALD 구조 ▣EMERALD : SRI International ◈A scalable surveillance and response architecture for large distributed networks ◈Statistical Anomaly Detection & Misuse Detection Monitor API (Correlation of External Results)(Results Dissemination) 3 rd-PARTY SECURITY MODULE (Analysis Engine) Monitor API (Event Reporting) 3 rd-PARTY SECURITY MODULE (Event Logger) 3 rd-PARTY SECURITY MODULE (Results Processor) RESOLVER Monitor API Target-Specific Resource Object Statistical Anomaly Detection Unit Monitor API (Event Reporting) Monitor API Signature based Inference Unit Target-Specific Event Stream 33 Monitor API (Event Reporting)
AAFID 구조 ▣AAFID : COAST Lab. at Purdue ◈A Distributed IDS based on Multiple Independent-running Entities(Autonomous Agent) D A C Legend Hosts B E Agents Transceivers Monitors Control flow Data flow 34 User interface
CIDF 구조 ▣CIDF(Common Intrusion Detection Framework) : UC DAVIS 35
Gr. IDS 구조 ▣Gr. IDS(Graph Based Intrusion Detection System for Large Networks) : UC DAVIS 36
ISO/IEC의 IDS구조 ▣ Two primary architecture ◈ The way in which the several IDSs are interconnected and interrelated ◈ The concentration or distribution of tasks within the IDS architecture ▣ Hierarchical intrusion detection architecture 37
DJIDS : Dae. Jeong I&C Co. ▣Kernel Event Monitoring and Real-Time Audit Trail ▣Real-Time Intrusion Detection & Response ▣Manager-defined Detection Rule based IDS Intrusion Detection Unit Report & Response Sec. DB Data Collection Event Monitoring Kernel Event 38 Danger Intrusion Alarm Intrusion Info. Response Execution Log File Compression Real-Time Monitoring
Neo. Watcher : Inzen Co. ▣Rule based Real-Time Intrusion Detection & Response ▣Network-based IDS User Interface Log. DB Manager State Watcher Neo. Watcher API TCP Watcher UDP Watcher Packet Collector Network Packet 39 . . . Intrusion Watcher
Siren : Penta Security System ▣Real-Time Intrusion Detection & Response ▣Anomaly Detection & Misuse Detection ▣Server/Client Model by Siren Server and Agents Native audit data Format Adaptor Server with Siren Agent Transport module Server with Siren Agent Response Module Receiver Aduit Records Detection Engine Response Module Server with Siren Agent 40 Siren Server
침입탐지 방법론
침입탐지 방법론 ▣ Misuse Detection ◈ Signature Analysis ◈ Expert Systems ◈ State-Transition Analysis ◈ Petri-nets 등 ▣ Anomaly Detection ◈ Statistics ◈ Expert Systems ◈ Computer Immunology ◈ Data Mining ◈ HMM 등 42
Signature Analysis ▣ Knowledge-based approach ▣ Semantic level of the attacks description ◈ Audit Event를 Audit Trail에서 직접 찾을 수 있는 정보로 변환 (Audit Event의 Sequence, Data Pattern 등) ▣ Commercial Products에서 많이 사용 ▣ Snort - Lightweight Intrusion Detection for Networks ◈ DRAGON, DEFENSEWORX, PAKEMON 등도 유사함 alert tcp any -> 192. 168. 1. 0/24 80 (content: “ cgi-bin/phf ”; offset: 3; depth: 22; msg: "CGI-PHF access"; ) 43
Expert System ▣ Knowledge-based Intrusion Detection ◈ Compare the Audit Trail Event to the set of rules established a priori (abstraction level of the audit data) ◈ Rule Set에서 공격 패턴들에 대한 지식을 표현하고 ◈ Audit Event를 Fact로 변환 ▣ Inference Engine은 Rule과 Fact를 이용하여 침입을 탐지 ▣ Rule-based languages 사용 ▣ ASAX(Advanced Security audit trail Analysis on uni. X) ◈ RUSSEL이라는 규칙기반언어 사용 Event-x? Attack if Yes no if if Yes no no if Yes no Nopp 44
State Transition Analysis ▣ State Transition을 이용하여 해킹을 표현, UCSB에서 개 발 ▣ USTAT, Net. STAT 등 45
Colored Petri-Net ▣ Knowledge-based Intrusion Detection ▣ Colored Petri Nets(CPN)을 사용하여 Purdue University에서 개발 ▣ 개념적 단순화, 그래픽한 표현 가능 ▣ 복잡한 Signature를 쉽게 표기 ▣ Purdue의 IDIOT 46
Other Misuse Detection 방법론 ▣ Neural Network ◈ 타당한 방법으로 새로운 입출력쌍을 얻기 위해 두 집합의 정보 간 관련성을 확습하고 일반화하는데 사용되는 알고리즘 기법 ◈ 알려진 공격을 학습하고 감사스트림에서 탐색하는데 사용 ◈ 입출력간의 관계를 알 수 있는 믿을만한 방법이 없으므로 신경 망은 공격을 추론하거나 설명할 수 없어 주로 비정상행위탐지 기법으로 많이 연구되고 있음 ▣ Genetic Algorithm ◈ 자연 선택의 원리와 자연계의 생물 유전학에 기본 이론을 두고, 모든 생물은 주어진 다양한 환경 속에 적응함으로써 살아남는 다는 다윈의 적자생존의 이론을 기본 개념으로 하는 알고리즘 ◈ GSSATA는 패턴 매칭에서 생기는 문제(Back referencing operator in a string)을 해결하기 위해 공격 시나리오로부터 시간 에 대한 개념을 제거하고 여기에 John Helland가 제안한 유전알 고리즘을 사용 47
Statistics ▣ 가장 많이 사용 ▣ statistical formulas 사용 ▣ original model ◈ 모든 variable의 평균을 유지 ® 판정에 사용 ◈ 대부분의 상용시스템에서 사용하는 방법 ▣ IDES, NIDES ◈ 사용자 activity에 대하여 빈도수(frequencies), 평균(means), 분산 (covariance)와 같은 통계치 프로파일로 유지 ◈ short-term profile과 long-term profile을 비교 48
Expert System ▣ Rule-based Anomaly Detection ▣ usage pattern을 표현하는 rule set 사용 ▣ Wisdom & Sense ◈ 주기적 사용자 activity 기록 ® inconsistant behavior를 탐지 ◈ 사용자 행위를 통계적으로 표현 ▣ Computer. Watch ◈ usage policy를 표현한 rule set 사용 49
Neural Networks ▣ 이론적으로 오용탐지에 적합하나 통계적 기법과 유사하게 비정상행 위 탐지에 많이 사용 ▣ 변수들간의 비선형적 관계를 표현하는 간단한 방법을 가지고 있으며 신경망을 통하여 자동 학습이 가능 ▣ 많은 계산을 요구하기 때문에 널리 사용되고 있지는 않으나 개발된 시스템으로는 Secure. Net 등이 있음 ls 현재의 명령어와 과거의 w 개의 명령어 chmod : : next predicted command : : pwd vi input layer output layer 50
Computer Immunology ▣Forrest 등이 제안한 방식으로 New Mexico 대학 등에서 연구 ▣현재 사용자 보다 UNIX 네트워크 서비스의 정상행위를 모델 ▣system call의 sequence 사용 51
Data Mining ▣Columbia 대학의 JAM 프로젝트에서 사용 ▣JAM은 분산환경에서의 이식성과 확장성을 제공하는 에이전트 기반 침입탐 지시스템으로 비정상행위 탐지를 위해 meta-learning을 사용 ▣COAST에서는 유사도 평가 알고리즘과 Greedy 클러스터링 기법을 사용 ▣’ 98년 MIT Linclon Lab. 에서 평가한 자료에 의하면 STAT나 통계적 기법보다 성능이 뛰어난 것으로 보고 52
침입탐지시스템의 Trends 53
Trend of IDS architecture ▣ Cooperative Intrusion Detection ▣ Coordinated Attack Detection in Global Network ▣ CIDF(Common Intrusion Detection Framework) ◈ The reusability issue (DARPA) ◈ Designing a framework in which ID&R systems may cooperate with one another Event Generator E-box 1 Event Analyzer A-box 2 Event Generator E-box 2 Event Analyzer A-box 3 Event Analyzer A-box 1 Response Generator R-box 1 Event Database D-box 1 54
OPSEC framework Check Point Management Console with Account Management CA Directory Server Content Security Server URL Categorization Server Policy Verification Reporting and Analysis Intranet Internet VPN-1/Firewall-1 Gateway Enterprise Management Platform Open. View, Tivoli, etc. Intrusion Detection VPN-1 Secu. Remote/ VPN-1 Secu. Client Meta IP Address Management with User-to-Address Mapping 55 Remote office
Active security ▣ Security Policy ◈ Decide what is important and how to respond ▣ Event Orchestra ◈ Accepts all alerts, compares with security policy, then initiates responses ▣ Intrusion Detection System ◈ Detection Attacks against environment ▣ Actions for security ◈ Helpdesk, Firewall, Administrator Alerts Security Policy Helpdesk Firewall Intrusion Detection System Event Orchestra 56 Administrator Alerts
Active Security Illustration A Actor agent Firewall 1. Incoming mail message S Sensor agent 2. Redirect mail to anti-virus server A Network Virus Protection Gateway Network File Server 4. action : do not accept mail from bar@domain. com S 3. Virus found in message From : bar@domain. com To : joe@ourdomain. com 5. action : Scan all files owned by 'joe' Event Orchestra 7. Intrusion detected Related finger service IDS 8. action : Shutdown 'finger' service on Host 1 6. Detecting Intrusions for Host 1 S 57 A A
Integrated Security Management Web based security management web client Access Control External Firewall User's request Control message ISMS Engine request /result Policy update Internal Firewall 1 Internal Network 2 Internet Internal Firewall 2 Virus Scanner IDS Internal Network 1 58 Internal Network 3
Conceptual View of ISMS security management Web client ISMS Engine SNMP Agent Network A Central policy database SNMP Agent policy Firewall DBMS IDS policy VPN Network B 59 Network C
침입탐지시스템 표준화
IETF의 IDS 표준 ▣ 침입탐지 표준화 그룹 ◈ IETF IDWG(Intrusion Detection Working Group) ◈ 1998년 12월에 조직 ▣ 목적 ◈ IDS와 대응 시스템, 그리고 이들과 상호 작동하는 관리시스템 사이의 정보를 공유하기 위한 데이터 포맷 및 교환 절차 정의 ▣ The outputs of IDWG ◈ A requirements documents ◈ A common intrusion language specification ◈ A framework document 61
▣ Internet-Drafts: ◈ Intrusion Detection Mesage Exchange Requirements ◈ IAP: Intrusion Alert Protocol ◈ Intrusion Detection Message Exchange Format Extensible Markup Language (XML) Document Type Definition ◈ Intrusion Detection Message Exchange Format Comparison of SMI and XML Implementations ◈ The TUNNEL Profile Registration ◈ The Intrusion Detection Exchange Protocol (IDXP) ▣ No Request For Comments 62
ISO/IEC의 IDS 표준 ▣ 침입탐지 표준화 그룹 ◈ JTC 1/SC 27/WG 1 ▣ 범위 ◈ IT 위험 관리에서 침입 탐지의 역할을 설명한다. 침입 탐지 용 어와 개념을 위해 공통의 정의를 확립하고 침입 탐지 시스템에 대한 프레임 워크를 정의 ▣ 주요 내용 ◈ IT 시스템의 침입 탐지에 대한 프레임워크를 정의 ◈ 침입 탐지 용어와 개념을 위해 공통의 정의를 확립하고 방법론 과 개념, 관계를 기술 ◈ 침입 탐지 타스크와 관련 행위의 순서를 언급하며 이러한 타스 크와 절차를 기업 보안 정책에서 침입 탐지의 실제적인 통합을 보여주기 위해 조직이나 기업의 프로세스와 연관 63
▣ 다른 표준과의 관계 ◈ ISO/IEC TR 13335 -1, 2, 3, 4, 5 Ø Guidelines for the management of IT Security(GMITS) ◈ ITU-T Recommendation X. 816 | ISO/IEC TR 10181 -7 Ø Security audit and alarms framework ◈ ISO/IEC 15408 -2 : 1999 Ø Evaluation criteria for IT security - Security functional requirements ▣ 개발 연혁 ◈ WD 1998 -12 ◈ PDTR 1999 -10 ◈ (DTR 2000 -05) ◈ (TR 2000 -11) ▣ 표준화 문서명 ◈ ISO/IEC TR 15947 - IT intrusion detection framework 64
국내 IDS 표준 ▣ 침입탐지 표준화 그룹 ◈ TTA TC 10/SG 3, 인터넷보안기술포럼 ▣ 목적 ◈ 다양한 보안 제품들이 침입탐지시스템의 분석 결과를 이용할 수 있도록 하기 위하여 침입탐지시스템의 로그 형식에 대한 표준을 정의 ▣ 범위 및 내용 ◈ 침입탐지시스템의 로그 형식을 정의하고 로그의 세부 속성에 대한 설명과 요구사항을 기술 ◈ 침입탐지시스템의 로그 형식을 객체 지향 방법론의 클래스 다 이어그램을 사용하여 정의 ◈ 각 클래스의 속성을 필수 속성과 선택속성으로 구분 ▣ IETF IDWG Internet-Draft “Intrusion Detection Message Exchange Format” 참조 65
침입탐지 및 대응 기술
침입대응 기술 ▣개요 ◈ 침입 대응 기술은 사용자나 시스템관리자에 의하여 실행되거나 자동화된 대응 시스템을 통하여 실행 ◈ 보통 해커의 공격은 자동화된 도구를 사용하는 경우가 많으므 로 이러한 공격에 대하여 효과적으로 대응이 가능한 자동화된 실시간 대응 방법과 복구 시스템이 필요 ▣침입대응 기술 ◈ 침입자에 대한 반격 ◈ 침입정보수집 ◈ 환경의 수정 67
침입탐지와 대응 ▣ 침입탐지시스템에서의 대응 기술(ICSA) ◈ 수동적 대응 – Alert – Logging ◈ 능동적 대응 – Network Base – Hijacking/Termination – Firewall/Router/Switch Reconfiguration – Host base – Log off/ lock out a user – Shutdown and AP or system – Vulnerability Correction 68
Collaboration with Firewall ▣Firewall/Switch/Router Reconfiguration dual homed host with packet filtering facility (ex ; ipfwadm) External network Network based IDS Filtering configuration module Network Packet Analysis module notify result 69 System based IDS System Data Analysis module notify result
Collaboration with Wrapper ▣Host-based Firewall/Wrapper Reconfiguration Real Daemon Login Wrapper(inetd) Socket Intrusion Detection System TCP/IP LLC/MAC Physical 70 LAN Card
IDIP Concept ▣IDIP Communities ◈Discovery Coordinator ◈Boundary Controller ◈Intrusion Detection System 71
Integrated Components 72
침입대응 기술 ▣ 침입 대응 및 복구 기술 ◈ 미 국방부의 DARPA의 주도로 부정행위 탐지·대응·복구를 위한 연구 를 1996년부터 1999년까지 "대규모 네트워크 생존성"이라는 제목 하 에 진행 ◈ 2000년부터 수행하고 있는 DARPA/ISO의 AIA(Automatic Information Assurance) 프로젝트에서의 대응 개념도 73
침입탐지 ISSUE
침입탐지 ISSUE ▣ Privacy ▣ Host vs Network Based ▣ Misuse vs Anomaly Detection ▣ Burglar Alarms ▣ Honey Pots ▣ Fooling IDS ▣ IDS and Firewall/Switch/VPN ▣ IDS Performance ▣ IDS and Forensics ▣ Large Scale Networks 75
Скачать презентацию IDS 기술 동향 허영준 한국전자통신연구원 보안게이트웨이연구팀 목
f83d83b375156a26601620f0507fcb92.ppt