Embed Size (px)
Citation preview
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 2
차례
보안 서비스
침입 탐지침입탐지 개요
침입 유형
최근 해킹 사고 분석
침입탐지시스템의 필요성
침입탐지시스템의 목적
침입탐지시스템의 분류
침입탐지시스템의 구성요소
침입탐지 방법
침입탐지시스템 고려사항
침입탐지 기술 동향
침입 대응침입대응 개요
침입대응 기술
침입탐지 및 대응
침입탐지 및 대응 기술 동향
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 3
보안 서비스
보안Security
인증Authentication
암/복호화En/Decryption
침입 추적Intrusion Tracking
침입 탐지Intrusion Detection
침입 차단Intrusion Protection
접근제어Access Control
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 4
보안 서비스
침입 탐지
ReferenceMonitor
권한부여DB
Authentication Access Control
Authorization
SubjectInitiator
ObjectTarget
Intrusion Detection
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 5
침입탐지 개요
침입(Intrusion)정보 접근, 정보 조작, 시스템 무기력화 등에 대한 고의적이고 불법적인 잠재 가능성
자원의 무결성(integrity), 기밀성(confidentiality), 가용성(availability)을 저해하는 일련의 행위들의 집합 또는 컴퓨터 시스템의 보안정책을 파괴하는 행위
권한이 없는 사용자의 정보시스템에 대한 계획적이거나우연한 접근 또는 행위
침입탐지(Intrusion Detection)침입을 시도하거나, 침입 행위가 일어나고 있거나, 침입이 발생한 것을 확인하는 절차
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 6
침입탐지 개요
침입탐지시스템(Intrusion Detection System)컴퓨터 시스템에 대한 비인가자의 접속, 정보의 비정상적인 사용, 오용, 남용 등의 침입 행위를 규정하여 컴퓨터시스템 또는 네트워크 상에서 침입이 발생했거나, 침입행위가 일어나고 있거나, 침입 시도를 탐지하는 시스템으로 가능하면 실시간으로 처리하는 시스템
침입탐지 기술(Intrusion Detection Technology)감사자료 생성 및 수집 기술
감사자료 가공 및 축약 기술
감사자료 분석 및 침입탐지 기술
보고 및 대응 기술
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 7
침입탐지 개요
침입탐지시스템의 등장 배경
감사 자료 분석
자동화된 감사 자료 분석 도구
침입탐지시스템
실시간 침입 탐지 및 대응 시스템
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 8
침입탐지 개요
침입 / 공격
침입차단시스템 : 침입탐지시스템
취약점 분석 도구 : 침입탐지시스템
침입탐지 : 사고대응
보안관제시스템/침입관제시스템/침입탐지시스템
침입 탐지 및 대응
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 9
침입 유형
공격 형태에 따른 분류
공격자 수
공격 대상
공격 경로
공격 의도
공격 진원지
단일 공격 다중 공격
단일 시스템 다중 시스템 네트워크
직접 공격 간접 공격
선행 공격 정보 유출 자원 파괴 서비스 거부
지역 공격 원격 공격
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 10
침입탐지시스템의 필요성
시스템은 잠재적으로 많은 취약점을 가지고 있지만, 기술적 경제적 요인으로 공격자에 대처하지 못함
높은 비용과 이미 사용중인 응용 프로그램 때문에안전한 시스템을 만들기가 현실적으로 어려움
완벽하게 안전한 시스템을 개발하는 것은 거의 불가능
보호 시스템 조차도 내부 취약점을 가지고 있음
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 11
침입탐지시스템의 목적
시스템 자원의 보호
통계적인 상황 분석 및 보고
공격 대응 및 복구
증거 수집 및 역추적
정보 유출 방지
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 12
침입탐지시스템의 분류
감사 대상 자료시스템 로그 자료 기반
네트워크 패킷 기반
자료 출처단일 호스트 기반
다중 호스트 기반
네트워크 기반
탐지 방법오용(부정사용) 행위
비정상 행위
탐지 시간비실시간
가상 실시간
실시간
분석 방법단일 분석
협력 분석
대응 방법수동 대응
능동 대응
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 13
침입탐지시스템의 구성요소
감사자료
수집
가공
및
축약
분석
및
탐지
보고
및
대응
침입탐지시스템
호스트
네트워크
……
..
…..
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 14
침입 탐지 방법
오용(부정사용) 탐지Knowledge-based misuse detection
알려진 공격 기법을 근거로 탐지
새로운 공격 기법에 대한 침입 유형을 정의 생성
새로운 공격 기법에 대한 능동적인 탐지 어려움
탐지 정확도가 높으므로 대부분의 IDS에서 주로 사용
전문가시스템, 상태전이분석, 모델기반 접근방식
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 15
침입 탐지 방법
비정상 행위 침입 탐지Behavior-based anomaly detection
정상 행위를 분류하고 이를 근거로 비정상 행위 탐지
알려지지 않은 공격 기법에 대한 탐지 가능
사용자 ID 도용 및 자원 남용 등의 탐지에 유용
탐지 정확도가 떨어지므로 기존 IDS에서 보조 역할 수행
통계적 접근방식, 유한사태 기계, 신경망, 속성 추출 기법
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 16
침입탐지시스템 고려사항
탐지오류 발생률False negative : 침입을 탐지하지 못함
False positive : 정상 행위도 침입으로 간주
탐지의 실시간성
시스템 확장성
불완전한 감사자료에 대한 탐지 능력일부 자료의 누락, 훼손
잠재적인 침입 가능성 예측
탐지 능력의 시험 평가
실제 상황에서의 탐지 성능
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 17
침입대응 개요
침입대응(Intrusion Response)침입대응은 사용자나 시스템관리자에 의하여 실행되거나자동화된 대응 도구를 이용하여 수행
해커의 자동화된 도구를 사용하는 공격에 대하여 효과적으로 대응이 가능한 자동화된 실시간 대응 방법 및 복구시스템이 필요
침입대응 기술침입 흔적 및 정보 수집
침입자에 대한 추적 및 식별
기반 환경의 변경 및 복구
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 18
침입대응 기술
국가보안기술연구소국가보안기술연구소
2001년 6월 27일 C2.2 침입탐지 기술 동향 19
침입탐지 및 대응
침입탐지시스템에서의 대응 기술수동적 대응
• Alert
• Logging
능동적 대응• Network Base
– Hijacking/Termination
– Firewall/Router/Switch Reconfiguration
• Host Base
– Log-off/lock-out a user
– Shutdown/restart application or system
– Vulnerability corection
