[IDS] 침입 탐시 시스템

IDS

침입 사용자의 행동이 일반적인 합법 사용자와 다르다는 가정하에 동작한다.

침입자의 행동을 수치화하여 비정상적인 활동을 실시간으로 감지한다.

 

정상적인 사용자와 비정상적인 사용자의 분포도를 통해 판별한다.

서로 겹치는 부분을 최소화하는 것이 가장 중요하다.

 

---

IDS의 탐지 기법

1. 통계 기반
   1. 합법 사용자의 정상적인 행동 패턴 데이터를 수집하고 관찰된 행동에 대한 통계적 테스트를 적용하여 해당 행동이 합법적인 사용자 행동이 아닌지 확인한다.
   2. 임계값 탐지
      1. 사용자와 독립적으로 이벤트 발생 빈도를 기준으로 임계값을 설정하여 탐지한다.
   3. Profile based
      1. 각 사용자의 활동 프로파일을 만들어 개인 계정의 행동 변화를 탐지한다.

 

 

2. 규칙 기반

1. 공격 패턴을 미리 정의해 두고 이를 기준으로 정한다. (이미 알려진 공격 패턴으로 한다.)
2. 새로운 공격에 대응하지 못하는 단점이 존재한다.

 

IDS에서 중요한 점은 오탐률을 낮게 유지하며, 탐지율을 높게 해야 한다.

이를 위한 기준값 (threshold)를 적절학게 선택해야 하는데 이 과정이 어렵다. (머신러닝을 사용할 수 도 있다.)

실제로 침입발생 건수가 작기 때문에 테스트가 정밀하지 못해 질 수 있기 때문에 값을 설정하는 것이 어려움

 

---

 

Distributed Intrusion Detection (분산 침입 탐지)

 

기존 시스템은 단일 시스템에 대한 IDS를 고려했다.

 더 효과적인 방어는 네트워크 전반에 걸친 침입 탐지 시스템 간의 협력과 조정을 통해 이루어질 수 있다.

 

Host = 네트워크에 연결된 각 개별 호스트

LAN Monitor = 각 로컬 네트워크에서 데이터를 모니터링

Central Manager = 네트워크 중심에서 다양한 호스트와 LAN Monitor에서 수집된 데이터를 종합적으로 분석

 

1. 데이터 수집
   1. 호스트의 에이전트 모듈과 LAN 모 티너는 각각 데이터를 수집한다.
2. 데이터 전송
   1. 수집된 데이터는 WAN을 통해 중앙 관리자로 전송된다.
3. 중앙 집중 분석
   1. 중앙 관리자는 분산된 데이터를 통합 분석하여 침입 여부를 판단한다.

---

 

SNORT (Lightweight IDS)

IDS 중 하나이다.

1. 단순히 패킷을 모니터링만 하고 차단은 하지 않는다.

2. Real-time으로 분석하고, 규칙 기반으로 동작한다.

 

 

 

 

SNORT Rules 탐지를 하기 위한 규칙 작성 법

필요 문법  action, protocol, src IP, src Port, direction, dst IP, dst Port

예시 )

Alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg: "SCAN SYN FIN"; flags: SF, 12;
reference: arachnids, 198; classtype: attempted-recon;)

 

---

 

Honeypots (Decoy Ststem)

 

정의

네트워크 공격자를 유인해서 정보를 수집하거나, 방어하기 위한 전략적 시스템

 

시스템에 실질적인 중요 데이터는 존재하지 않는다.

즉 정상적인 사용자는 접근하지 않으므로 해당 시스템의 접속자는 탐색, 스캔, 공격으로 간주한다.

 

목적

1. 공격자가 중요 시스템에 접근하지 못하고 다른 곳으로 접근하도록 유도

2. 공격자의 활동 기록을 저장하고, 공격 기법을 분석

3. 관리자가 대응할 시간을 벌 수 있도록 오래 해당 시스템에 머물 수 있도록 유도

 

설계

공격자가 성공적으로 침입했다고 느끼도록 설계한다.