침입 탐지 시스템 (Intrusion Detection Systems)

침입 탐지 시스템(Intrusion Detection

Systems)

Chapter 8 Authorization 1

침입 방지 (Intrusion Prevention)

나쁜 놈은 못 들어오게 한다 . 침입 방지는 전통적으로 컴퓨터

보안에서의 관심 사항이다 . 인증 방화벽 바이러스 방어

자동차를 열쇠로 잠그는 것과 비슷하다 .


침입 탐지 (Intrusion Detection)

침입 방어에도 불구하고 나쁜 놈은 시스템 내부에 들어 올 수 있다 .

Intrusion detection systems (IDS) 공격이 발생하기 전 , 발생하는 동안 , 혹은 후에

공격을 탐지한다 . 기본적인 접근법은 “ 비정상적인” 행위를 찾는

것이다 . 자동 IDS 는 로그 파일 분석으로부터 개발됨

IDS 는 현재 관심이 높은 연구 주제이다 . 침입이 탐지되었을 때 어떻게 할 것인가 ?

이것은 여기서 다루지 않을 것이다 .


침입 탐지

침입자는 누구일까 ? 방화벽을 뚫고 들어온 외부 침입자일 수도 있고 , 사악한 내부인 (insider) 일 수도 있다 .

침입자는 무엇을 할까 ? 잘 알려진 공격 – 초보자라면 잘 알려진 공격의 변형된 형태의 공격 새로운 혹은 거의 알려지지 않은 공격 다른 시스템을 공격하기 위하여 이 시스템을 이용 등등 .


침입 탐지

침입 탐지 접근 방법 흔적 기반 IDS (Signature(Pattern)-based IDS) 비정상 기반 IDS (Anomaly-based IDS)

침입 탐지 구조 호스트 기반 IDS 네트워크 기반 IDS

대부분의 시스템은 위의 유형에 속한다 . 시장의 제품은 다르게 표현하기도 한다 .


호스트 기반 IDS

호스트에서 다음의 행위를 감시(monitoring) 알려진 공격 , 혹은 의심스런 행동

다음과 같은 공격을 탐지하기 위해서 설계 버퍼 오버플로우 권한 상승 (Escalation of privilege)

네트워크 상에서의 행위의 관찰은 거의 없음


네트워크 기반 IDS 네트워크에서의 행위를 감시한다 .

알려진 공격 의심스런 네트워크 행위

다음과 같은 공격을 탐지하기 위해 설계됨 서비스 거부 (Denial of service) 네트워크 탐침 (Network probes) 잘못 구성된 패킷 (Malformed packets), 등등 .

방화벽과 중복될 수 있다 . 호스트 기반의 공격에 대해서는 거의 알지 못한

다 .

호스트 기반과 네트워크 기반을 모두 갖춘 IDS 가 있을 수 있다 .

7

흔적 탐색 (Signature Detection)

흔적 탐색은 일련의 미리 정의된 공격 유형에 대한 네트워크 트래픽을 탐지하는 것이다 .

연속적으로 로그인이 실패할 경우 이것은 암호 크래킹 시도일 수 있다 . IDS 는 “ M 초 동안에 N 번의 로그인 실패” 를

흔적 (signature) 으로 사용할 수 있다 . 만약 M 초 동안 N 번 이상의 로그인 실패가

감지되면 IDS 는 공격이 발생했다고 경고한다 .


흔적 탐색

M 초 동안 N 번 이상의 로그인 실패가 발생할 때마다 IDS 는 경고 신호를 보낸다고 하자 . 지나친 오보가 발생하지 않도록 적절한 N 과 M

을 설정해야 한다 . 이것은 정상적인 행위에 기반을 둘 수 있다 . 공격자가 이 흔적을 알고 있다면 매 M 초 동안

N-1 번의 로그인을 시도할 것이다 . 이 경우 IDS 는 공격을 지연시킬 수는 있지만

막을 수는 없다 .


흔적 탐색

다양한 기법들이 흔적 탐색을 더 확실하게 만들어 준다 .

목표는 항상 “ 거의 흔적에 가까운” 것을 탐지하는 것이다 .

예를 들면 , 만약 “ 대략” M 초 동안 “대략” N번의 로그인 시도가 있었다면 암호 크래킹 가능성을 경고한다 . “ 대략”에 대한 합리적인 값은 얼마일까 ?

통계 분석 , heuristics, 혹은 다른 방법을 이용하여 찾아봄 잘못된 경고율이 증가하지 않도록 유의해야 한다 .


흔적 탐색

장점 단순하다 . 효율적이다 . ( 흔적의 수가 적절한 경우 ) 알려진 공격을 탐지한다 . 탐지하는 순간 어떤 공격인지 알 수 있다 .

단점 흔적 파일 (Signature files) 은 지속적으로 갱신되어야 한

다 . 흔적의 수가 너무 많을 수 있다 . 알려진 공격만을 탐지할 수 있다 . 알려진 공격이라도 변형된 형태는 탐지하지 못할 수 있다 .


비정상 탐지

비정상 탐지 시스템은 평상시와 다른 혹은 비정상적인 행위를 찾는다 .

적어도 2 가지 과제가 존재한다 . 이 시스템에서 무엇이 정상적인 행위인가 ? 정상 행위에서 얼마나 “ 벗어난” 행위가 비정상

행위인가 ? 여기서 통계가 필요하다 !

정상은 평균으로 정의된다 . 편차 (variance) 는 정상으로부터 얼마나

벗어나 있는지를 나타낸다 .


무엇이 “ 정상” 인가 ?

아래와 같이 뿌려진 점들을 보자 .

Chapter 8 Authorization

x

y

흰 점은 “정상” 빨간 점은 정상인가 ? 초록 점은 정상인가 ? 파란 점은 얼마나

비정상인가 ? 통계값은 상당히

애매하다 !

13

어떻게 “ 정상” 을 측정할 것인가 ?

“ 정상” 의 측정 “ 대표적인” 행동이 있는 동안 측정해야 한다 . 공격이 있는 동안 측정해서는 안 된다 . 아니면 공격이 정상으로 보일 수 있다 ! 정상은 통계적 평균이다 . 성공의 가능성을 높이기 위해서는 분산

(variance) 도 계산해야 한다 .



비정상은 “정상”에 상대적인 것이다 . 비정상은 공격의 가능성이 있음을 의미한다 .

통계적 판별 기법 : 베이지안 통계 선형 판별 분석 (LDA) 이차 판별 분석 (QDA) 신경망 , 은닉 마코프 모델 , 등등 .

고급스런 모델링 기법도 사용됨 인공 지능 인공 면역 시스템 원리 그외도 여러가지 !



접근 방법은 이 강좌의 범위를 벗어난다 . 통계적 판별 기법 또한 고급의 모델링 기법이 사용된다 .

여기서는 , 비정상 탐지를 위한 두 개의 간단한 예를 생각해 본다 . 첫번째 예는 간단하지만 현실적이지 않다 . 두번째 예는 약간 더 현실적이다 .


첫번째 예 (1)

다음의 세 가지 명령어의 사용을 감시한다고 하자 . open, read, close

정상적인 사용일 경우 다음과 같이 관찰됨open, read, close, open, open, read, close,… 6개의 가능한 순서쌍 중에서 4개의 쌍이 “ 정상”

(open,read), (read,close), (close,open), (open,open) 다음의 두 쌍은 비정상

(read, open), (close,read)

이것을 비정상 동작을 식별하는데 사용할 수 있는가 ?


첫번째 예 (2)

비정상과 정상의 쌍의 비율이 “ 너무 높으면” 공격의 가능성이 있다고 경고한다 .

이 방법을 다음과 같이 개선할 수 있다 . 각 쌍의 예상 빈도수를 사용한다 . 두 개 이상의 연속적인 명령어를 사용한다 .

Ex: (Open Read Close) 더 많은 명령어 /행위를 모델에 포함시킨다 . 더 복잡한 통계적 판별을 적용한다 .


두번째 예 (1)

오랜 시간 동안 관찰한 바에 의하면 Alice 는 파일 Fn 에 Hn 의 비율로 접근한다 .


H0 H1 H2 H3

.10 .40 .40 .10

최근에 , Alice 는 파일 Fn 에 An 의 비율로 접근한다 .

A0 A1 A2 A3

.10 .40 .30 .20

19

약간 현실적인 비정상 탐지를 위해서 파일 접근하는 행위에 초점을 맞추자 .

두번째 예 (2)


이것은 “ 정상적인” 사용인가 ? 다음의 통계값을 사용

S = (H0A0)2+(H1A1)2+…+(H3A3)2 = .02

S < 0.1 을 정상이라고 한다면 , 이것은 이 통계값에 의하면 정상이다 .

문제 : 시간에 따라서 사용 행태가 변하는 것을 어떻게 설명할 수 있는가 ?

20

두번째 예 (3)

새로운 사용 행태를 “ 정상적인” 행위로 적응하도록 하기 위해서 다음과 같은 장기간에 걸친 평균치 (long term average) 를 갱신한다 . Hn = 0.2An + 0.8Hn-1

그러면 H0와 H1 은 변하지않고 , H2=.2.3+.8.4=.38

H3=.2.2+.8.1=.12 그리고 long term averages 는 다음과 같이 갱신된다 .

H0 H1 H2 H3

.10 .40 .38 .1221

두번째 예 (4)

갱신된 long term average 는


H0 H1 H2 H3

.10 .40 .38 .12

이것은 정상적인 사용인가 ? S = (H0A0)2+…+(H3A3)2 = .0488 S = .0488 < 0.1 이므로 정상으로 판단 그리고 다시 long term average 를 갱신한다 .

Hn = 0.2An + 0.8Hn-1

새로 관찰된 값은…

A0 A1 A2 A3

.10 .30 .30 .30

22

두번째 예 (5)

초기 평균값


H0 H1 H2 H3

.10 .40 .40 .10

통계값은 행위를 천천히 따라가고 있다 . 이것은 잘못된 경보의 가능성을 줄인다 . 그러나 이것은 또한 공격의 가능성을 열어놓는다 .

Trudy 는 항상 F3 에 접근하기 원하다고 하자 . 그는 IDS 가 이것이 Alice 의 정상적인 행위라고

확신하게 할 수 있다 .

2 번 반복한 후 , 평균값

H0 H1 H2 H3

.10 .38.364

.156

23

두번째 예 (6)

이 방법을 더 건실하게 하기 위해서는 분산을 고려해야 한다 .

또한 N 개의 통계값을 조합할 수 있다 . 예를 들면 ,T = (S1 + S2 + S3 + … + SN) / N

유사한 ( 하지만 더 고도의 ) 방법이 NIDES 에서 사용되고 있다 . NIDES 는 비정상과 흔적 기반 IDS 이다 .


비정상 탐지의 이슈들

시스템은 지속적으로 변화하고 있으며 IDS 도 이것을 따라가야 한다 . 아니면 오 경보가 너무 많이 발생할 수 있다 . 하지만 지속적인 변화는 Trudy 가 서서히 IDS 가 공격이

정상으로 생각하도록 만들 수 있다는 것을 의미한다 . “ 비정상” 은 무엇을 의미하는가 ?

단지 공격의 가능성이 있다는 것 공격에 대해서 어떤 특정한 것을 의미하지는 않을 것이다 ! 어떻게 이러한 애매한 정보에 대응할 것인가 ?

이에 비해 , 흔적 탐지는 정확히 어떤 공격인지를 탐지한다 .


비정상 탐지 장점

알려지지 않은 공격을 탐지할 수 있다 . 더 효율적일 수 있다 .

단점 오늘날 , 이 방법 독자적으로 사용되지는 않는다 .

흔적 기반 탐지 시스템과 병행해서 사용되어야 한다 . 신뢰성이 불분명하다 . 비정상 탐지는 무엇인가 이전과 다르다는 것을

의미한다 . 하지만 가능한 공격에 대해 분명한 정보는 제공하지

않는다 !


결론 비정상 기반 IDS 는 활발한 연구 중 많은 보안 전문가는 이것의 궁극적인 성공에 대해 큰 희망을 갖고 있다 .

미래의 보안 기술의 핵심이 될 것으로 일컬어 진다 . 해커들은 그렇게 생각하지 않는다 !

Defcon 11 에서 논의의 제목은 “왜 비정상 기반 IDS 는 공격자의 가장 좋은 친구인가”였다 .

Started in 1992 by the Dark Tangent, DEFCON is the world's longest

running and largest underground hacking conference. (www.defcon.org)

비정상 탐지는 어렵고 애매하다 . 비정상 탐지는 인공 지능 만큼 어려운 문제인가 ?


Documents

침입 탐지 시스템 (Intrusion Detection Systems)