12-4 바이러스 , 인터넷 웜12-5 방화벽12-6 침입탐지 시스템

발표자 : 20042521 김진태

12-4. 바이러스 , 인터넷 웜

• 바이러스 ( 바이러스 , 웜 )• 컴퓨터에서 실행되는 프로그램의 일종으로 자기 복제를 하여

컴퓨터 시스템을 파괴하거나 작업을 지연 또는 방해하는 악성 프로그램이다 .

• 바이러스와 웜의 차이점• 바이러스가 다른 실행 프로그램에 기생하여 실행하는

데 반해 웜은 독자적으로 실행• 바이러스는 스스로 전달할 수 없지만 웜은 가능• 일반적으로 웜은 네트워크를 손상시키고 대역폭을

잠식하지만 , 바이러스는 컴퓨터의 파일을 감염시키거나 손상

• 감염 대상을 가지고 있는가

정의

12-4. 바이러스 , 인터넷 웜

• 웜 바이러스• 웜과 바이러스의 특징을 결합• 프로그램에 기생하며 네트워크로도 감염• 최근에 발견된 첫번째 아이폰 전용 바이러스 아이키

(Ikee) 도 웜바이러스

• 트로이목마 ( 非 - 바이러스 악성코드 )• 스스로 복제를 하지 못함• 설치를 유도하여 정보 유출에 악용

정의

12-4. 바이러스 , 인터넷 웜

• 바이러스의 종류• 부트 바이러스• 파일 바이러스• 부트 · 파일 바이러스• 매크로 바이러스

• 바이러스의 구분 기준• 감염 형태 , 감염 증세 , 감염 파일의 종류

종류

부트바이러스 부트 바이러스는 디스크의 OS 기동 코드 ( 부트프로그램 ) 에

감염해서 이 디스크에서 시스템이 기동되어질 때 OS 보다 먼저 실행한다 .

12-4. 바이러스 , 인터넷 웜 종류

12-4. 바이러스 , 인터넷 웜 종류

• 부트 바이러스• 하드디스크 감염 바이러스• 플로피 디스크 감염 바이러스

• 대표적인 부트 바이러스• 미켈란젤로 바이러스• 브레인 바이러스• LBC 돌 바이러스• Monkey• Anti-CMOS

파일 바이러스 실행프로그램에 감염한 바이러스는 이 숙주

프 로 그 램 이 실 행 되 어 지 는 시 기 에 실행되어진다 .

12-4. 바이러스 , 인터넷 웜 종류

12-4. 바이러스 , 인터넷 웜 종류

• 파일 바이러스• 국내에서 발견된 바이러스의 80%• 대표적인 파일 바이러스

• Jerusalem• Sunday• Scorpion• Crow• FCL• CIH

• 타이완의 천잉하오가 제작 ( 이 나쁜놈은 체포 됐음 1999 년 4 월 29 일 )

• 체르노빌 바이러스라고도 불리며 체르노빌 원자력 발전소 사고가 일어난 4 월 26 일에 동작

• 운영체제의 시동 드라이브의 첫 1024 킬로바이트를 0 으로 채운 후 특정 바이오스 공격

12-4. 바이러스 , 인터넷 웜 종류

• 부트 · 파일 바이러스• 부트섹터와 파일에 모두 감염• 크기가 크고 피해 정도도 크다• 대표적인 부트 · 파일 바이러스

• Invader• Euthanasia• Ebola

매크로 바이러스 MS 의 Word 와 Excel 의 문서파일에는 매크로라는

일종의 프로그램을 첨가하는 것이 가능하다 .

12-4. 바이러스 , 인터넷 웜 종류

감염 증상

• 컴퓨터 바이러스의 감염 여부는 시스템 및 프로그램의 속도 저하 , 컴퓨터 바이러스 백신 실행이나 시스템 레지스터 확인 , 디스크나 파일의 파괴 증상 , 각종 컴퓨터 바이러스별로 나타나는 특이 증상 등을 기준으로 판단 가능

• 일반적인 증상• 비정상적인 프로그램 실행 에러가 발생할 경우 • 시스템의 사용 가능 메모리가 줄어들어 여분이 없을 경우 • 하드디스크에 정상적으로 존재하고 있던 파일 중에서 , 본인이

삭제한 일이 없는 실행 파일이나 데이터 파일 등이 삭제되거나 변형되었을 경우

• 실행 및 부팅 속도가 눈에 띄게 떨어질 경우 • 시스템이 비정상적으로 다운될 경우 • 비정상적으로 저장매체가 인식되지 않을 경우 • 시스템에 비정상적인 그림 , 메시지 , 소리 등이 출력될 때

12-4. 바이러스 , 인터넷 웜 감염

•바이러스 방지와 사용자 지침•시스템 디스켓의 경우에는 반드시 쓰기 방지용 탭을 붙여 놓는다 .•새로운 디스켓이나 프로그램은 반드시 바이러스의 감염 여부를 검사한 후 사용하는 습관을 들인다 .•하드 디스크가 있는 경우에는 될 수 있는 한 하드디스크로 부팅을 하며 특별히 플로피 디스크로 부팅을 해야만 하는 경우에는 반드시 안전한 디스켓 ( 바이러스 검사를 마친 디스켓 ) 을 사용하도록 한다 .•중요한 데이터는 반드시 백업해 둔다 . 또한 전체 데이터에 대한 정기적인 백업을 해 둔다 .•여러 사람이 공유하는 컴퓨터를 사용하는 경우에는 바이러스를 검사한 후에 사용하는 최신 버전의 바이러스 백신 프로그램을 설치한다 .•네트워크 ( 인터넷 등 ) 로 다른 컴퓨터와의 연결을 통한 프로그램의 전송을 받을 경우 바이러스 검사를 하여 사용하도록 한다 . 

12-4. 바이러스 , 인터넷 웜 예방

•그냥 알약 , v3

12-4. 바이러스 , 인터넷 웜 예방

12-5. 방화벽 정의

• 방화벽이란 ?• 신뢰하는 비공개 인트라넷과 인터넷 사이를

분리시키는 것이 목적• 소프트웨어와 하드웨어를 총체적으로 구현한 설계 및

그러한 제품• 내부 네트워크를 방어하는 보안 경계선

12-5. 방화벽 구성 요소

• 방화벽 구성 요소• 스크린 라우터• 베스천 호스트• 프록시 서버

12-5. 방화벽 구성 요소

• 스크린 라우터• 패킷의 헤더 내용을 보고 필터링 ( 스크린 )

• 출발지 주소 및 목적지 주소에 의한 스크린• 포트번호 , 프로토콜별 스크린

• 어느 정도 수준의 보안 접근제어가 가능• 하지만 라우터에서 구현된 펌웨어수준으로는 제한점이 많고

복잡한 정책 구현이 어려움• 일반적으로 스크린 라우터에 베스천 호스트를 함께 운영

12-5. 방화벽 구성 요소

• 베스천 호스트• 외부의 공격에 노출되어 방어를 담당하는 별도의

시스템• 네트워크 보안 상 가장 중요한 위치를 차지• 방화벽 시스템의 중요기능으로서 접근제어 및 응용

시스템 게이트웨이로서 프록시 서버의 설치 , 로그 , 인증 , 로그 , 감사 , 추적 등을 담당

12-5. 방화벽 구성 요소

• 프록시 서버• 방화벽이 설치되어 있는 호스트에서 동작하는 서버• 방화벽 내에 있는 사용자들에게 방화벽 밖에 있는

서버로의 자유로운 서비스 요구와 응답을 받기 위한 수단

• Traffic 제어• 내부의 모든 사용자는 프록시 서버에게만

서비스를 요구하고 응답받을 수 있다 .• Cashing 기능

12-5. 방화벽 기능

• 방화벽의 기능• 특정 서비스의 선택적 수용

• 특정 노드에 대한 선택적 보호• 집중적 보안• 프라이버시 강화

• 프록시 서비스의 지원• 애플리케이션 게이트웨이 방식 방화벽에서만 가능• 특정 서비스의 경우 프락시 서비스 모듈을 통해 추가

사용자 인증 기능을 수행 가능

12-5. 방화벽 적용방식

• 방화벽 적용 방식• 네트워크 수준의 방화벽• 애플리케이션 수준의 방화벽• 혼합형 방화벽

12-5. 방화벽 적용방식

• 네트워크 수준의 방화벽 (Packet Filetering Firewall)

• 스크린 라우터만을 가지고 있는 가장 단순한 형태• 장점

• 싸다 .• 단점

• 로그인 방식 불가능• IP Spoofing 공격에 취악

12-5. 방화벽 적용방식

• 애플리케이션 수준의 방화벽 (Application Gateway FireWall)

• proxy 서버 기능을 제공• 사용자별 , IP 주소별 제한 , 통제가 가능• 가장 안전한 방화벽의 유형

12-5. 방화벽 적용방식

• 혼합형 방화벽 (Hybrid FireWall)• 네트워크 수준의 방화벽과 애플리케이션 수준의

방화벽의 장점만을 취해 개선한 방화벽• 상호보완하여 보안 수준을 더 향상시킬 수 있다 .

• 혼합형 방화벽 아키텍쳐• Stateful Inspection

• 제품• CheckPoint 사의 FireWall-1

12-5. 방화벽 적용방식

• Stateful Inspection(dynamic packet filtering)

• static packet filtering• 패킷의 헤더만을 검사

• dynamic packet filtering• 패킷의 내용까지 검사

• monitors the state of the connection and compiles the information in a state table.

• Because of this, filtering decisions are based not only on administrator-defined rules (as in static packet filtering) but also on context that has been established by prior packets that have passed through the firewall.

12-6. 침입탐지 시스템 개념

• 침입의 정의• 인증되지 않은 컴퓨터 시스템의 사용 또는 오용

• 침입탐지 시스템 (IDS:Intrusion Detection System)

• 실시간으로 네트워크를 감시하여 권한이 없는 사용자로부터의 접속 , 정보의 조작 , 오용 , 남용 등 네트워크 상에서 시도되는 불법적인 침입 행위를 막지 못했을 때 조치를 취하기 위해 사용되는 시스템

12-6. 침입탐지 시스템 기능과 특징

• 침입 탐지 시스템의 기능과 특징• Stealth 모드 지원• Session drop 기능• Process 종료• 백도어 탐지• 각종 공격 탐지

• 공격을 시도할 때 특정한 코드 값을 보내게 되는 데 이를 알아내어 탐지

• 방화벽 연동• 탐지한 공격 패턴을 방화벽에 전달함으로써 유사

공격을 원천적으로 막을 수 있다 .• Alert 기능

12-6. 침입탐지 시스템 기능과 특징

• 탐지영역에 따른 IDS 분류• H-IDS(host based IDS)

• 감시 대상이 되는 host 에 탑재

• N-IDS(Network based IDS)• 지나가는 트래픽을 볼 수 있는 감시 대상이 되는

네트워크단에 설치

• 대부분의 IDS 는 N-IDS 가 대부분

12-6. 침입탐지 시스템 침입탐지 기법

• 침입탐지 기법• 비정상 행위 탐지 (Anomaly Detection)

- 시스템 가동 전에 정상적인 수치를 기록하여 기준선을 초과하는 비정상 행위를 탐지

• 통계적 접근• 통계적으로 처리된 과거의 경험자료를 기준으로 특별한

행위 또는 유사한 사건으로 이탈을 탐지

• 예측 가능 패턴 생성• 이벤트 간의 상호관계와 순서를 설명하고 각각의

이벤트에 시간을 부여하여 기존에 설정된 침입 시나리오와 비교하여 침입을 탐지하는 방법

• 신경망• 현재까지의 사용자의 행동과 명령을 학습하여 다음

행동과 명령을 예측하여 침입을 탐지

12-6. 침입탐지 시스템 침입탐지 기법

• 침입탐지 기법• 오용 탐지 (Misuse Detection, signature Base,

Knowledge Base)- 과거의 침입 행들로부터 얻어진 공격 패턴으로 공격을 탐지

• 전문가 시스템 (Expert System)• 이미 발견되어 정립된 공격패턴을 입력해놓고 여기에

해당하는 패턴을 탐지하여 정해진 액션으로 대응

• 키 모니터링 (Keystroke Monitoring)• 사용자의 key-stroke 를 모니터링하여 공격패턴을 나타내는

key-stroke패턴을 탐지

• 상태 전이 분석 (State Transition Analysis)• 공격패턴을 상태전이의 순서로 표현• 침입 과정을 규칙 기반으로 탐지

12-6. 침입탐지 시스템 침입탐지 기법

• 패턴 매칭 (Pattern Matching)• 이미 알려진 공격 유형들을 패턴으로 가지고 현재

행위와 일치하는 패턴을 탐지

• 조건부 확률 이용• 특정 이벤트가 침입일 확률을 조건부 확률을 이용해서

계산 하는 방법

• 모델에 근거한 방법• 공격패턴을 DB 화하고 특정 공격패턴에 대해 DB 를

참조하여 침입 여부를 탐지

12-6. 침입탐지 시스템 대응 방식

• 대응 방식• 능동적인 대응 (Active IDS)

• 연결 , 세션 또는 프로세스 종료• 네트워크 재구성• 속임수

• 수동적인 대응 (Passive IDS)• 피하기 (Shunning)• 기록 (Logging)• 통보 (notification)

12-6. 침입탐지 시스템 IPS

• IPS(Intrusion Prevention System)• IDS 에 능동적인 대응 기능을 넣은 프로그램• IPS 출시 후 IDS 의 입지가 좁아지고 있다 .• 하지만 아직 IPS 의 표준이 정해지지 않아 기준이

모호해 당분간 IDS 와 공존할 것으로 보임