Intrusion Detection System( 침 입탐지시스템 ) Wireless/Mobile Network Lab 박준석.

Slides:



Advertisements
Similar presentations
제주특별자치도교육청. 목 차 일상생활 속에서의 정보보안 안전한 컴퓨터 사용  보안업데이트 자동설정  가짜 백신 프로그램 주의  믿을 수 있는 웹사이트만 접속  자동 로그인 기능 사용 안함  사용 후 반드시 로그아웃 확인 
Advertisements

침입 방지 시스템 (IPS) 최정환 남영석 방철규 전인철 조용진.
충북대 네트워크 보안 연구실 [ gmail.com ] 정보 보호 응용 11. 해킹기술 (3) 11. 해킹기술 (3) - hacking & security -
북한기도제목 1 월 1 주 (1/1-1/7). 1. 북한정치 - 북한의 대남정책 전반을 관장하는 김양건 북한 노동당 비서 겸 통일전선부장이 교통사 고로 지난 29 일 사망했다고 조선중앙통신이 30 일 보도했습니다. 한편 김양건 노동당 비 서의 죽음이 의도적인 암살 가능성이.
8 사이버 윤리와 보안.
학내전산망유지보수제안서 태영정보기술㈜ EDU-Service가 포함된 교육의 미래를 생각하는 기업
개인정보 암호화 법령 현황 - 개인정보 유출 소송 사례와 대응 방안 -
차세대네트워크보안기술 영산대학교 네트워크정보공학부 이원열.
제 8장 데이터 보안.
컴퓨터 보안 메커니즘에 기반한 자기 가치감의 셀프힐링
Chapter 1. 운영체제의 개요 이태호.
Internet Protocol Version4
Chapter 8 Authorization
1. 스푸핑 공격 - 스푸핑(Spoofing): ‘속이다’ 의 의미.
한드림넷 솔루션 소개.
Ⅰ웹로그분석을 통한 쇼핑몰 운영전략 코리아 인터넷 마케팅센터 대표 김형택
암호화 기술(SSL, IPSec) 손재성 권기읍 안복선 최준혁
비업무 사이트 차단 시스템 Venus/CPS.
보안 시스템 정보 보안 개론 10장.
제목 CHAPTER 09. 정보 보안 선택이 아닌 필수_정보 보안 기술과 정보 윤리.
NetBIOS 크래킹 7조 최효림/한종민/김재경.
Network Security - Ethereal 실습
11. 해킹기술 (4) - hacking & security -
Network Security - Wired Sniffing 실습
ARP TARM PROJECT 1조 신영민.
2 장 인터넷의 개요.
목 차 1. 기 업 현 황 회 사 개 요 2. Finger Police System 개요
Chapter 09 세션 하이재킹.
Firewall & N-IDS 김창현.
Ethereal 을 이용한 프로토콜 분석 윤 상 호 이 정 열 정 우 석.
Intrusion Detection System (IDS) 실습
Part 06 보안 1. Windows 보안 2. Linux 보안 3. 해킹 기술 4. 네트워크 장비 보안 5. 해킹 도구.
Part 06 네트워크 운영장비 1. Repeater 2. Bridge 3. HUB, SWITCH 4. Router
NAC Test 시나리오 내부단말 통제 보안 BMT 시나리오
개선된 ATMSim을 이용한 DDoS 공격 분석
Linux Security (스캐너) 네트워크 실험실 김 윤 수 #
Processing resulting output
Data Mining 기법을 이용한 침입탐지 시스템
Chapter 05 목록화.
Network Security Footprint & Scan.
침입탐지시스템과 정보보안 안
정보보호 실습 #2 네트워크 스캐닝 Choong Seon Hong Networking Lab.
세미나.. NETWORK??!! 저자 : 장경칩 도전하라 창조의 세계로(SINCE 1992) - 장경칩.
Access Control Lists Access Control List
3부 해킹 전 정보 획득 Chapter 6. 풋프린팅과 스캔
DoS와 DDoS 공격 DOS와 DDOS 공격의 이해 DOS 공격의 이해 DDOS 공격의 이해 한빛미디어(주)
Chapter 14 침입 탐지 및 모니터링.
제주닷컴 매뉴얼 (실시간 예약시스템) 2013년 10월.
12-4 바이러스, 인터넷 웜 12-5 방화벽 12-6 침입탐지 시스템 발표자 : 김진태.
1. 침입탐지시스템(IDS) 침입탐지시스템의 구성 Network Base IDS Host Base IDS
멀티 쓰레드 기반의 채팅 프로그램 문성영 김현진 학번 이름 장용하 차희진 연구제안서.
Information Security - Wired Sniffing 실습
Packet Analyzer V (주) 이네스 닷컴.
불(FIRE)이란? 산소공급차단 질식소화 가연물 제거 제거소화 열 원 냉 각 열원냉각 불 불을 끄기 위해 명 칭 산 소 가연물
네트워크 속에서의 정보보안 전 상 대.
평가기준 개요 및 보안기능요구사항 사업부 평가사업팀 조규민.
공공기관에서의 UTM과 혼합공격 차단기법 May.2004 Fortinet Korea Inc.
실전 프로젝트: 홈페이지 구축 시트콤 프렌즈 팬 사이트 구축하기.
Linux Security (리눅스 소개)
Packet sniffing 응용 레벨이 아닌 네트워크 디바이스 레벨에서의 데이타을 얻는 것 네트워크 상의 트래픽을 분석
Snort의 구성.
Internet 유선 랜카드 A 회사 네트워크 장비 (인터넷 공유 기능 활성화)
Information Security - Network Scanning.
Information Security - Sniffing 실습.
교육행정 및 경영 제13장 교육재정 (화) 안 봉 직.
MDA 기반 태양광 에너지 모니터링 시스템의 유지보수를 위한 비용 감소 방안 사례
매물장 로그인 직원을 미리 생성하시면 직원 ID로 로그인 가능.
7/25/2019 경계선 방어 기술 공급원 May
Ethereal 컴퓨터 통신망.
Data Compression 데이터 압축:음성, 비디오, 팩시밀리 전송등과 같은 경우에 중요
Presentation transcript:

Intrusion Detection System( 침 입탐지시스템 ) Wireless/Mobile Network Lab 박준석

1. IDS 란 ? 1.1 IDS 구분 2. 왜 IDS 가 필요한가 ? 2.1 침입탐지 시스템의 분류 2.2 침입탐지 시스템의 기술적 구성요소 3. IDS 의 장점 4. SNORT 의 이해 4.1 Snort 주요한 세가지 기능 4.2 Snort 의 특징 4.3 Snort 의 디자인 4.4 탐지 엔진 (Detection Engine) 4.5 Snort 의 단점 4.6 분석 4.7 실행 화면

1. IDS 란 ? IDS 는 단순한 접근 제어 기능을 넘어서 침입의 패턴 데이터베이스와 Expert System 을 사용해 네트워크나 시스템의 사용을 실시간 모니터링하고 침입을 탐지하 는 보안 시스템이다. IDS 는 허가되지 않은 사용자로부터 접속, 정보의 조 - 작, 오용, 남용 등 컴퓨터 시스템 또는 네트워크 상에서 시도됐거나 진행 중인 불법적인 예방에 실패한 경우 취할 수 있는 방법으로 의심스러운 행위를 감시하여 가능한 침입자를 조기에 발견하고 실시간 처리를 목적 으로 하는 시스템이다.

1.1 IDS 구분 IDS 는 모니터링의 대상에 따라 네트워크 기반 IDS 와 호스트 기반 IDS 로 나눌 수 있다. 호스트 기반 IDS 는 시스템 내부에 설치되어 하 나의 시스템 내부 사용자들의 활동을 감시하 고 해킹 시도를 탐지해내는 시스템이다. 네트워크 기반 IDS 는 네트워크의 패킷 캡처링 에 기반하여 네트워크를 지나다니는 패킷을 분석해서 침입을 탐지해낸다.

2. 왜 IDS 가 필요한가 ? 침입탐지 시스템 (IDS) 이 칩입차단 시스 템 (Fire Wall 방화벽 ) 에 이은 차세대 보안 솔루션으로 부각되는 주된 이유는 침입 차단 시스템이 효과적인 차단에 실패하 였을 경우, 이에 따른 피해를 최소화하고 네트워크 관리자 부재시에도 해킹에 적 절히 대응할 수 있는 보안 솔루션에 대한 요구가 증가하고 있기 때문이다.

2.1 침입탐지 시스템의 분류 데이터 소스를 기반으로 하는 분류 방법 - 단일호스트 기반 - 네트워크 기반 : 네트워크 패킷 데이터를 모 아 침입을 탐지하는데 이용하는 방법 침입모델을 기반으로 하는 분류 방법 - 비정상적인 행위 탐지 (Anomaly Detection) - 오용탐지 방법 (Misuse Detection)

2.2 침입탐지 시스템의 기술적 구성요소 정보수집단계 : 시스템의 모든 정보를 수집하 여 다음 단계인 정보 가공 및 축약단계로 넘 기는 기능을 수행한다.( 침입정보만을 수집하 는 것은 아님, 모든 정보를 수집함 ) 정보가공 및 축약단계 : 침입탐지에 필요한 의미있는 정보만을 축약하는 단계 분석 및 침입탐지단계 : 침입여부를 판정하는 단계로 침입탐지시스템의 핵심 보고 및 조치단계 : 침입으로 판단되어지면 관리자에게 보고하고 관리자는 조치를 취하 는 단계

3. IDS 의 장점 해킹방법을 기반으로 해커의 침입을 탐지하므로 신기술의 적 용이 빠르다. 외부로부터의 공격뿐만 아니라 내부자의 의한 해킹도 차단할 수 있다. 이에 따라 기존 방화벽이 지원하지 못하는 ID 도용을 통한 내부공격자의 해킹도 차단한다. 접속하는 IP 에 상관없이 침입을 차단한다. 기존의 방화벽은 인증된 IP 로의 공격은 막지 못하므로 해커들 이 인증된 IP 로 공격성공하면 방화벽이 무용지물이 되었으나 IDS 는 IP 에 상관없이 모든 패킷에 대해 검사를 수행하므로 더 욱 안전하다. 시스템 침입에 즉시 대응한다. 해킹사실이 발견되었을 때 해킹에 관한 정보를 휴대전화, 무선 호출기, 전자우편 등으로 즉시 전송, 네트워크 관리자 부재시 에도 시스템 보안을 유지할 수 있다.

4. SNORT 의 이해 SNORT 는 IP network 상에서 실시간 traffic 분 석과 packet logging 을 뛰어나게 수행하는 작 고 가벼운 네트워크 침입 탐지 시스템이다. snort 는 프로토콜 분석과 packet 의 내용 조사, 패턴매칭이 가능하며, 버퍼 오버플로우나 스 텔스 포트스캔,CGI 공격,SMB 탐지,OS fingerprinting 시도 등 다양한 공격과 탐지를 발견하는데 사용할 수 있다. traffic 을 잡아내기 위해 유용한 modular plug- in 구조를 가진 탐지 엔진과 같은 매우 유연한 rule language 를 사용한다.

4.1 Snort 주요한 세가지 기능 snort 는 tcpdump 와 같은 packet sniffer 로 바로 사용할 수 있다. 네트워크 traffic debugging 에 유용한 packet logger 기능이 있다.

4.2 Snort 의 특징 소스 크기가 작다 (110k 이하 ) 여러 시스템에 포팅되어 있 다.(Linux,Solaris,*BSD,IRIX,HP-UX,Windows) 새로운 해킹 기법에 따른 룰의 적용이 빠르다. snort 는 오픈 소스 IDS 중에서 가장 널리 사용. GPL/Open Source 소프트웨어이다.

4.3 Snort 의 디자인 패킷 스니핑 (packet sniffing) 을 이용한 IDS 시 스템 패킷 캡쳐를 위해서 libpcap 을 사용하였습니다. 룰 기반 (rule based) 으로 탐지 엔진 Detection Engine) 을 갖추고 있다. 일반 로그,tcpdump 포맷 로그, 실시간 경고, 파 일일, 윈도우즈 팝업등의 여러가지 포맷을 통 해서 사용자에게 결과를 보여 준다.

4.4 탐지 엔진 (Detection Engine) 룰 (rule) 들은 시그너쳐 (signature) 를 형성 한다. 스텔스 스캔 (stealth scan) 이나 OS 지문 검사 (fingerprinting), 잘못된 ICMP 코드 사용등의 네트워크의 이상 징후를 발견 할 수 있다.

4.5 Snort 의 단점 TCP 스트림 재조합 (reassembly) 을 지원하지 않습니다. 따라서 모든 시그너쳐 분석은 패킷 단위로 행해 진다. whisker 등의 툴들은 이러한 분석법을 우회할 수 있는 메카니즘을 갖고 있 다. IP 조각 패킷 (fragmented packet) 에 대해서 재 조합을 할 수 없다. 대신 minfrag 라는 룰 옵션 을 사용하여 패킷 조각의 최소 크기를 지정할 수 있다. 로그 기능이 약하다.

4.6 분석 (cont.)

4.7 실행 화면