허영준 한국전자통신연구원 보안게이트웨이연구팀 IDS 기술 동향 허영준 한국전자통신연구원 보안게이트웨이연구팀

목 차 침입 정의와 분류 방법 침입탐지시스템의 정의와 분류 방법 침입탐지시스템 모델 침입탐지시스템 구조 침입탐지 방법론 목 차 침입 정의와 분류 방법 침입탐지시스템의 정의와 분류 방법 침입탐지시스템 모델 침입탐지시스템 구조 침입탐지 방법론 침입탐지시스템 Trends 침입탐지시스템 표준 침입탐지 및 대응 기술 침입탐지시스템 ISSUE

침입의 정의

침입 정의 Intrusion 컴퓨터가 사용하는 자원의 무결성(integrity), 비밀성(confidentiality), 가용성(availability)을 저해하는 일련의 행위들의 집합 또는 컴퓨터 시스템의 보안정책을 파괴하는 행위(Anderson) Causing Denial of Service Creating Backdoor(Trojan Horse) Planting Viruses Exploiting Software Vulnerability 계획적이거나 우연하게 IT 시스템으로 권한이 없는 사용자의 접근 또는 행위(ISO)

침입의 분류 방법

침입 분류 방법 Attacker Target Attacks Path Intention Means Solo Attack Multi Attack Single Target Multiple Targets Network Target Direct Attack Indirect Attack Information Theft Resource Destruction Pre-attack DoS Attack Local Attack Remote Attack

Based on Attackers Solo attack Multi-attack One or more target systems are attacked by a single attacker. Most general type of attack that is easy to detect. E.g. System vulnerability attack, Unauthorized access attack Multi-attack More than one attackers coordinate to a single attack E.g. IP Spoofing, Mail bomb, Flooding Attacker(a) Victim Attacker(b) Attacker(c) Multi Attack Attacker Victim Solo Attack

Based on Target Systems Single Target A single target is attacked E.g. BackOrifice, Winnuke attack Multiple Targets More than on target systems are attacked Random target systems are attacked : Scanning attack, Abnormal packet broadcast attack Selective targets are attacked : Anonymous FTP attack Network Target Network resources or Network itself are attacked E.g. DNS spoofing, Router attack, Network DoS attack Victim(a) Victim(c) Victim(b)

Based on Attacking Path Direct attack Directly attacks the target systems E.g. Buffer overflow, Ping of death attack Indirect attack Spatial Indirect Attack Attack via vulnerable hosts to attack the target system Purpose on hiding the attacker’s location Temporal Indirect Attack Use of timing latency to make the detection difficult target Attacker

Other Types of Attacks Based on Intention Based on Attacking Means Information Theft Resource Destruction Pre-attack Denial of Service Attack Based on Attacking Means Local Attack : attacks after login to the system Remote Attack : attack without login to the system for information theft or DoS attack

침입탐지시스템의 정의

침입탐지 시스템 Intrusion Detection System 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 규정하는 시스템으로 가능하면 실시간으로 처리하는 시스템(Denning) 침입을 시도하거나, 침입행위가 일어나고 있거나, 침입이 발생한 것을 확인하는 절차(ISO)

Why Intrusion Detection System? The underlying systems have many vulnerabilities, but attacks are not effectively handled because of the limited technologies and economical reasons. It is difficult to reform the safe system due to high cost and already developed applications It is almost impossible to develop completely secure systems. Even secure systems have weak points to the inside attackers.

Primary Objectives of IDS Hacker Victim - Real-Time Alarm - Report/Recovery - Statistical Analysis - Attack Prevention

Real-Time Alarm and Response Misused Action & Abnormal Behavior Denial of Service Race Condition & Stack Overflow Unauthorized System File Modification Exposure to External or Internal Threats Other Critical Intrusions Alarm and Report via System Console E-mail Web User Interface Automated Responses

Statistical Analysis and Report Generating Statistics Using Audit log Daily, weekly, monthly and yearly events Statistics of Intrusion attempts Intrusion classes Statistics: IDS Audit Record

Building New Intrusion Types Based on Intrusion Event Collection and Analysis Classification of Intrusion Attempts Creating New Patterns of Abnormal Behaviors - Event Collection & Analysis - Audit Log Analysis New Intrusion Pattern Generation

침입탐지시스템 분류 방법

Purdue, COAST 국내에서 가장 많이 사용하는 분류 방식 침입모델을 기반으로 하는 분류 Misuse Detection Anomaly Detection Hybrid Detection Data Source를 기반으로 하는 분류 Host Based Detection Multi-Host Based Detection Network Based

IBM Zurich Research Lab. 99년 4월 ISO/IEC JTC1/SC27 "IT 침입탐지프레임워크" 회의에서 독일 NB(National Body)가 침입탐지 분류 기준으로 제안

ICSA IDSC ICSA가 침입탐지시스템 평가를 준비하기 위하여 분류 모니터링 접근방식에 따른 분류 Application Based Host Based Target Based Network Based Integrated 감사데이터의 분석 시점에 따른 분류 Batch/Interval Analysis Real Time Analysis 침입 분석 기법에 따른 분류 Signature Analysis Statistical Analysis Integrity Analysis

ISO/IEC JTC1/SC27/WG1 IT Intrusion Detection Framework(ISO/IEC TR 15947)

침입탐지시스템 모델

침입탐지시스템의 기본 모델 Dorothy Denning(1987) : IDES

침입탐지시스템 모델의 형태 Misuse Detection Model Anomaly Detection Model Based on the pattern of known misuse or abnormal behavior Anomaly Detection Model Based on the database of normal behavior System profile Modify existing rule Add new rules Rule match? Timing information Audit data Compromised state System profile Update profile Generate new profiles dynamically Statistically deviant? Audit data Compromised state

IETF의 IDS 모델

ISO/IEC의 IDS 모델

국내 평가에서의 IDS 모델 축약감사데이터 생성 감사데이터 관리 침입분석/탐지 탐지결과 조정 감사데이터 수집 감사데이터 축약 축약된 감사데이터 비정상 오용탐지 행위탐지 IDS 감사데이터 탐지결과 조정 보안감사 대응

침입탐지시스템 구조

STAT 구조 STAT : UCSB Real-Time IDS using State Transition and Rule Based Expert System Audit Record about Harmful Behavior

IDIOT 구조 IDIOT : COAST Lab. at Purdue . Pattern Matching based Expert System Colored Petri-net based Analysis Sun BSM audit trail(Solaris 2.4) based IDS Audit Data Collector IDIOT Format Convertor Pattern State Machine Matching & Transition .

IDES 구조 IDES : SRI International Misuse Based Real-Time IDS Learning User’s Behavior by System Monitoring Host based IDS IDES Monitor DBMS Suggested Profiles Activity Rules Audit Records Anomaly Monitored System Record

NIDES 구조 NIDES : SRI International Combination of Statistical Approach and Rule Based Expert System Multi-Host based IDS Real-Time IDS extended from IDES

(Correlation of External Results) (Results Dissemination) EMERALD 구조 EMERALD : SRI International A scalable surveillance and response architecture for large distributed networks Statistical Anomaly Detection & Misuse Detection RESOLVER Statistical Anomaly Detection Unit Signature based Inference Unit 3rd-PARTY SECURITY MODULE (Analysis Engine) (Results Processor) Target-Specific Resource Object Monitor API (Event Logger) Monitor API (Event Reporting) Event Stream (Correlation of External Results) (Results Dissemination)

AAFID 구조 AAFID : COAST Lab. at Purdue A Distributed IDS based on Multiple Independent-running Entities(Autonomous Agent) C B D E User interface A Transceivers Monitors Hosts Agents Control flow Data flow Legend

CIDF 구조 CIDF(Common Intrusion Detection Framework) : UC DAVIS

GrIDS 구조 GrIDS(Graph Based Intrusion Detection System for Large Networks) : UC DAVIS

ISO/IEC의 IDS구조 Two primary architecture The way in which the several IDSs are interconnected and interrelated The concentration or distribution of tasks within the IDS architecture Hierarchical intrusion detection architecture

DJIDS : DaeJeong I&C Co. Kernel Event Monitoring and Real-Time Audit Trail Real-Time Intrusion Detection & Response Manager-defined Detection Rule based IDS Response Execution Event Monitoring Data Collection Report & Response SecDB Kernel Event Log File Compression Real-Time Danger Intrusion Alarm Intrusion Detection Unit Info.

NeoWatcher : Inzen Co. Rule based Real-Time Intrusion Detection & Response Network-based IDS LogDB Manager Packet Collector Network Packet State Watcher TCP UDP Intrusion ... NeoWatcher API User Interface

Siren : Penta Security System Real-Time Intrusion Detection & Response Anomaly Detection & Misuse Detection Server/Client Model by Siren Server and Agents Native audit data Format Adaptor Server with Siren Agent Transport module Server with Siren Agent Response Module Receiver Aduit Records Detection Engine Siren Server Response Module Server with Siren Agent

침입탐지 방법론

침입탐지 방법론 Misuse Detection Anomaly Detection Signature Analysis Expert Systems State-Transition Analysis Petri-nets 등 Anomaly Detection Statistics Computer Immunology Data Mining HMM 등

Signature Analysis Knowledge-based approach Semantic level of the attacks description Audit Event를 Audit Trail에서 직접 찾을 수 있는 정보로 변환 (Audit Event의 Sequence, Data Pattern 등) Commercial Products에서 많이 사용 Snort - Lightweight Intrusion Detection for Networks DRAGON, DEFENSEWORX, PAKEMON 등도 유사함 alert tcp any any -> 192.168.1.0/24 80 (content: “ cgi-bin/phf ”; offset: 3; depth: 22; msg: "CGI-PHF access";)

Expert System Knowledge-based Intrusion Detection Compare the Audit Trail Event to the set of rules established a priori (abstraction level of the audit data) Rule Set에서 공격 패턴들에 대한 지식을 표현하고 Audit Event를 Fact로 변환 Inference Engine은 Rule과 Fact를 이용하여 침입을 탐지 Rule-based languages 사용 ASAX(Advanced Security audit trail Analysis on uniX) RUSSEL이라는 규칙기반언어 사용 if Event-x? no Yes if Event-x? no Yes if Event-x? no Yes Event-x? Attack if Yes no Nopp

State Transition Analysis State Transition을 이용하여 해킹을 표현, UCSB에서 개발 USTAT, NSTAT, NetSTAT 등

Colored Petri-Net Knowledge-based Intrusion Detection Colored Petri Nets(CPN)을 사용하여 Purdue University에서 개발 개념적 단순화, 그래픽한 표현 가능 복잡한 Signature를 쉽게 표기 Purdue의 IDIOT

Other Misuse Detection 방법론 Neural Network 타당한 방법으로 새로운 입출력쌍을 얻기 위해 두 집합의 정보간 관련성을 확습하고 일반화하는데 사용되는 알고리즘 기법 알려진 공격을 학습하고 감사스트림에서 탐색하는데 사용 입출력간의 관계를 알 수 있는 믿을만한 방법이 없으므로 신경망은 공격을 추론하거나 설명할 수 없어 주로 비정상행위탐지 기법으로 많이 연구되고 있음 Genetic Algorithm 자연 선택의 원리와 자연계의 생물 유전학에 기본 이론을 두고, 모든 생물은 주어진 다양한 환경 속에 적응함으로써 살아남는다는 다윈의 적자생존의 이론을 기본 개념으로 하는 알고리즘 GSSATA는 패턴 매칭에서 생기는 문제(Back referencing operator in a string)을 해결하기 위해 공격 시나리오로부터 시간에 대한 개념을 제거하고 여기에 John Helland가 제안한 유전알고리즘을 사용

Statistics 가장 많이 사용 statistical formulas 사용 original model IDES, NIDES 모든 variable의 평균을 유지 ® 판정에 사용 대부분의 상용시스템에서 사용하는 방법 IDES, NIDES 사용자 activity에 대하여 빈도수(frequencies), 평균(means), 분산(covariance)와 같은 통계치 프로파일로 유지 short-term profile과 long-term profile을 비교

Expert System Rule-based Anomaly Detection usage pattern을 표현하는 rule set 사용 Wisdom & Sense 주기적 사용자 activity 기록 ® inconsistant behavior를 탐지 사용자 행위를 통계적으로 표현 ComputerWatch usage policy를 표현한 rule set 사용

next predicted command Neural Networks 이론적으로 오용탐지에 적합하나 통계적 기법과 유사하게 비정상행위 탐지에 많이 사용 변수들간의 비선형적 관계를 표현하는 간단한 방법을 가지고 있으며 신경망을 통하여 자동 학습이 가능 많은 계산을 요구하기 때문에 널리 사용되고 있지는 않으나 개발된 시스템으로는 SecureNet 등이 있음 : input layer ls chmod pwd vi next predicted command output layer 현재의 명령어와 과거의 w 개의 명령어

Computer Immunology Forrest 등이 제안한 방식으로 New Mexico 대학 등에서 연구 현재 사용자 보다 UNIX 네트워크 서비스의 정상행위를 모델 system call의 sequence 사용

Data Mining Columbia 대학의 JAM 프로젝트에서 사용 JAM은 분산환경에서의 이식성과 확장성을 제공하는 에이전트 기반 침입탐지시스템으로 비정상행위 탐지를 위해 meta-learning을 사용 COAST에서는 유사도 평가 알고리즘과 Greedy 클러스터링 기법을 사용 ’98년 MIT Linclon Lab.에서 평가한 자료에 의하면 STAT나 통계적 기법보다 성능이 뛰어난 것으로 보고

침입탐지시스템의 Trends

Trend of IDS architecture Cooperative Intrusion Detection Coordinated Attack Detection in Global Network CIDF(Common Intrusion Detection Framework) The reusability issue (DARPA) Designing a framework in which ID&R systems may cooperate with one another Event Generator E-box1 E-box2 Analyzer A-box2 A-box1 A-box3 Response R-box1 Database D-box1

OPSEC framework Intranet Internet Remote office Policy Verification Reporting and Analysis Check Point Management Console with Account Management CA Enterprise Management Platform OpenView, Tivoli, etc. Meta IP Address Management with User-to-Address Mapping Directory Server VPN-1/Firewall-1 Gateway Content Security Server URL Categorization Server VPN-1 SecuRemote/ VPN-1 SecuClient Intrusion Detection Internet Remote office

Active security Security Policy Decide what is important and how to respond Event Orchestra Accepts all alerts, compares with security policy, then initiates responses Intrusion Detection System Detection Attacks against environment Actions for security Helpdesk, Firewall, Administrator Alerts Security Policy Intrusion Detection System Event Orchestra Helpdesk Firewall Administrator Alerts

Active Security Illustration 1. Incoming mail message 2. Redirect mail to anti-virus server Firewall Event Orchestra Network Virus Protection Gateway 3. Virus found in message From : bar@domain.com To : joe@ourdomain.com 4. action : do not accept mail from bar@domain.com Network File Server 5. action :Scan all files owned by 'joe' 6. Detecting Intrusions for Host 1 7. Intrusion detected Related finger service Host1 8. action :Shutdown 'finger' service on Host1 IDS A S Actor agent Sensor agent

Integrated Security Management Internal Network 1 web client Web based security management Virus Scanner Access Control Internal Firewall 1 ISMS Engine External Firewall Internet Firewall 2 IDS Internal Network 3 Internal Network 2 User's request Control message request /result Policy update

Conceptual View of ISMS Network C Network B Network A ISMS Engine Agent security management policy Central policy database DBMS Web client SNMP Firewall IDS VPN

침입탐지시스템 표준화

IETF의 IDS 표준 침입탐지 표준화 그룹 목적 The outputs of IDWG IETF IDWG(Intrusion Detection Working Group) 1998년 12월에 조직 목적 IDS와 대응 시스템, 그리고 이들과 상호 작동하는 관리시스템 사이의 정보를 공유하기 위한 데이터 포맷 및 교환 절차 정의 The outputs of IDWG A requirements documents A common intrusion language specification A framework document

No Request For Comments Internet-Drafts: Intrusion Detection Mesage Exchange Requirements IAP: Intrusion Alert Protocol Intrusion Detection Message Exchange Format Extensible Markup Language (XML) Document Type Definition Intrusion Detection Message Exchange Format Comparison of SMI and XML Implementations The TUNNEL Profile Registration The Intrusion Detection Exchange Protocol (IDXP) No Request For Comments

ISO/IEC의 IDS 표준 침입탐지 표준화 그룹 범위 주요 내용 JTC1/SC27/WG1 IT 위험 관리에서 침입 탐지의 역할을 설명한다. 침입 탐지 용어와 개념을 위해 공통의 정의를 확립하고 침입 탐지 시스템에 대한 프레임 워크를 정의 주요 내용 IT 시스템의 침입 탐지에 대한 프레임워크를 정의 침입 탐지 용어와 개념을 위해 공통의 정의를 확립하고 방법론과 개념, 관계를 기술 침입 탐지 타스크와 관련 행위의 순서를 언급하며 이러한 타스크와 절차를 기업 보안 정책에서 침입 탐지의 실제적인 통합을 보여주기 위해 조직이나 기업의 프로세스와 연관

다른 표준과의 관계 개발 연혁 표준화 문서명 ISO/IEC TR 13335-1,2,3,4,5 Guidelines for the management of IT Security(GMITS) ITU-T Recommendation X.816 | ISO/IEC TR 10181-7   Security audit and alarms framework ISO/IEC 15408-2 : 1999 Evaluation criteria for IT security - Security functional requirements 개발 연혁 WD 1998-12 PDTR 1999-10 (DTR 2000-05) (TR 2000-11) 표준화 문서명 ISO/IEC TR 15947 - IT intrusion detection framework

국내 IDS 표준 침입탐지 표준화 그룹 TTA TC10/SG3, 인터넷보안기술포럼 목적 다양한 보안 제품들이 침입탐지시스템의 분석 결과를 이용할 수 있도록 하기 위하여 침입탐지시스템의 로그 형식에 대한 표준을 정의 범위 및 내용 침입탐지시스템의 로그 형식을 정의하고 로그의 세부 속성에 대한 설명과 요구사항을 기술 침입탐지시스템의 로그 형식을 객체 지향 방법론의 클래스 다이어그램을 사용하여 정의 각 클래스의 속성을 필수 속성과 선택속성으로 구분 IETF IDWG Internet-Draft “Intrusion Detection Message Exchange Format” 참조

침입탐지 및 대응 기술

침입대응 기술 개요 침입 대응 기술은 사용자나 시스템관리자에 의하여 실행되거나 자동화된 대응 시스템을 통하여 실행 보통 해커의 공격은 자동화된 도구를 사용하는 경우가 많으므로 이러한 공격에 대하여 효과적으로 대응이 가능한 자동화된 실시간 대응 방법과 복구 시스템이 필요 침입대응 기술 침입자에 대한 반격 침입정보수집 환경의 수정

침입탐지와 대응 침입탐지시스템에서의 대응 기술(ICSA) 수동적 대응 능동적 대응 Alert Logging Network Base Hijacking/Termination Firewall/Router/Switch Reconfiguration Host base Log off/ lock out a user Shutdown and AP or system Vulnerability Correction

Collaboration with Firewall Firewall/Switch/Router Reconfiguration dual homed host with packet filtering facility (ex ; ipfwadm) External network Network based IDS System based IDS Network Packet Analysis module System Data Filtering configuration module notify result

Collaboration with Wrapper Host-based Firewall/Wrapper Reconfiguration Real Daemon Wrapper(inetd) Socket TCP/IP LLC/MAC Physical LAN Card Intrusion Detection System Login

IDIP Concept IDIP Communities Discovery Coordinator Boundary Controller Intrusion Detection System

Integrated Components

침입대응 기술 침입 대응 및 복구 기술 미 국방부의 DARPA의 주도로 부정행위 탐지·대응·복구를 위한 연구를 1996년부터 1999년까지 "대규모 네트워크 생존성"이라는 제목 하에 진행 2000년부터 수행하고 있는 DARPA/ISO의 AIA(Automatic Information Assurance) 프로젝트에서의 대응 개념도

침입탐지 ISSUE

침입탐지 ISSUE Privacy Host vs Network Based Misuse vs Anomaly Detection Burglar Alarms Honey Pots Fooling IDS IDS and Firewall/Switch/VPN IDS Performance IDS and Forensics Large Scale Networks