침입 탐지 시스템 침입 탐지 시스템 침입 탐지 시스템의 구조 윈도우 침입 탐지 툴 리눅스 침입 탐지 툴 한빛미디어(주)

Slides:



Advertisements
Similar presentations
지지금 우리나라에서는 정보보안전문가가 약 500 명도 되지 않는다. 그그리고 지금 컴퓨터를 쓰지 않는 곳이 없다. 또, 농협 해킹 등 여러 가지 이유 등으로 유망하다.
Advertisements

다양한 종류의 문서를 언제든지 보고 바로 편집하세요. 여러 앱을 이용할 필요 없이 MS Office, HWP, PDF, TXT 의 문서를 한 곳에서 확인하고 어디서든 쉽게 편집해 보세요 ! *PDF 문서는 ‘ 보기 모드 ’ 만 지원합니다.
Big Data & Hadoop. 1. Data Type by Sectors Expected Value using Big Data.
불특정 공격에 무너진 H 사 업무 시스템 서서히 저하 내부에서 원인 불명으로 네트워크의 속도가 서서히 저하 되는 현상이 발생 공격의 발생 핵심 장 비 서비스가 되다 되지 않는 현상이 심해지고 결국 핵심 장 비는 장애가 발생하게 됨 장비 장애 발생 핵심 장비 장애 전체.
I. 프로젝트 동기 II. 프로젝트 목표 III. 파일시스템 IV. 암호화 및 복호화 V. 인터페이스 VI. FBR READ/WRITE VII. 프로그램 흐름도 VIII. 미 구현 사항 IX. 프로젝트 기대효과 X. 프로그램 요구사항 및 팀원 역할분담 XI. 시연 XII.
컴퓨터와 인터넷.

적외선으로 감지하는 추적 카메라 조원 : 최승호, 백진영, 이현지.
정보 보안 개론과 실습 네트워크 해킹과 보안 3부 해킹 전 정보 획득 Chapter 10. 목록화.
Part TCP / IP(계속) 3. IP 주소 4. IP 라우팅 5. 응용 프로토콜.
김태원 심재일 김상래 강신택. 김태원 심재일 김상래 강신택 인터넷 통신망의 정보를 제공하는 서비스 인터넷의 자원 및 정보는 NIC가 관리 IP주소 또는 도메인으로 정보 검색 이용자 및 통신망 관한 정보를 제공.
온라인국민참여포탈 클러스터 시스템 구성 제안
Excel 일차 강사 : 박영민.
할 수 있다! 네트워크 구축 + 활용 네트워크 구성도.
Network Lab. Young-Chul Hwang
Samsung Electronics 5 forces
18장. 방화벽 컴퓨터를 만들자.
Windows Server 장. 사고를 대비한 데이터 백업.
Social Engineer Toolkit
5장 Mysql 데이터베이스 한빛미디어(주).
Chapter 17. 방화벽.
컴퓨터 네트워크 II - 기말고사 토폴로지 발표자료
8장. 원격지 시스템 관리하기.
16 허니팟.
Chapter 21 Network Layer: ARP, ICMP (IGMP).
11장. 포인터 01_ 포인터의 기본 02_ 포인터와 Const.
정보화 사회와 컴퓨터 보안.
                              데이터베이스 프로그래밍 (소프트웨어 개발 트랙)                               퍼스널 오라클 9i 인스톨.
차세대 인터넷 - 캐나다 발표자 : 이수미( ).
GPRS(general Packet Radio System) 설명
Central Gas Monitoring System 2005
5장 Mysql 데이터베이스 한빛미디어(주).
15 침입 탐지 시스템.
Chapter 14 침입 탐지 및 모니터링.
12-4 바이러스, 인터넷 웜 12-5 방화벽 12-6 침입탐지 시스템 발표자 : 김진태.
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
피임이란?.
암 전이 억제 유전자 발굴 및 작동 기전 연구 (Nature지 4월 14일자 발표)
Chapter 03 Whois와 DNS 조사.
27장. 모듈화 프로그래밍.
2장. 인터넷의 개념과 주소.
뇌를 자극하는 Windows Server 2012 R2
15 침입 탐지 시스템.
뇌를 자극하는 Windows Server 장. 원격 접속 서버.
10장 보안 시스템: 시스템을 건강하게 하는 보안 시스템
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
16 허니팟.
FileMaker를 이용한 데이터 관리 옥현진(KICE).
16 장 네트워크 보안 : 방화벽과 VPN 16.1 개요 16.2 기밀성 16.3 전자 서명 16.4 인터넷 보안
데이터마이닝, 빅데이터, 데이터과학: 정의 데이터마이닝(data mining)
Firewall & N-IDS 김창현.
네트워크 환경 구축과 이미지 전송 호스트/타겟 통신 직렬 통신을 이용한 이미지 전송 수퍼 데몬 BOOTP 환경 구축
01. 개요 네트워크에 있는 컴퓨터와 그룹에 대한 NetBIOS 이름에 대응되는 IP 주소를 찾아주는 서비스
Ping Test.
수율관리를 위한 POP시스템 목적과 용도 시스템과 구성 POP의 효과
Chapter 27 Mobile IP.
3장, 마케팅조사의 일번적 절차 마케팅 조사원론.
01. 분산 파일 시스템의 개요 네트워크에 분산된 파일을 사용자가 쉽게 접근하고 관리할 수 있게 해준다.
12 그리드 시스템.
멀티미디어시스템 제 4 장. 멀티미디어 데이터베이스 정보환경 IT응용시스템공학과 김 형 진 교수.
5.1-1 전하의 흐름과 전류 학습목표 1. 도선에서 전류의 흐름을 설명할 수 있다.
불조심.
IPC 펌웨어 업그레이드 방법 안내 ** 반드시 IPC를 NVR POE 포트 연결 전에 작업 하시기 바랍니다. IPC를 NVR POE 포트에 연결 하실 경우 IP 대역폭을 마추셔야 하는 작업이 필요합니다. **
Network Lab. Young-Chul Hwang
CCIT 네트워크 발표 정보보호학과 평문 사이트와 SSL 사이트, SSL strip과 데이터 변조를 이용한 로그인 취약점
방승욱 여은수 민세훈 해킹.
교착 상태 해결 : 교착 상태 탐지 교착 상태 탐지(Deadlock Detection)
플래시MX2004 디자인스쿨 Chapter 11. 플래시와 사운드.
6 객체.
ARP.
Presentation transcript:

침입 탐지 시스템 침입 탐지 시스템 침입 탐지 시스템의 구조 윈도우 침입 탐지 툴 리눅스 침입 탐지 툴 한빛미디어(주)

침입 탐지 시스템 앞에서 방화벽을 성문에 비유한 경우를 생각하면, 성문에서 철저히 감시한다고 해도 성 안에서 나쁜 짓을 하는 사람도 있을 것이고, 성벽을 넘어 들어가는 사람, 알려지지 않은 비밀통로를 통해서 들어가는 사람도 있을 것이다. 이러한 사람들이 범죄를 함부로 저지르지 못하도록, 또는 범죄를 저지르는 중이라도 빠른 시간에 효과적으로 대처하기 위해서 경찰과 같은 내부 감시자를 운용하게 마련이다. 네트워크에서 IDS는 경찰과 비슷한 역할을 한다. [그림 18-2] IDS의 개념

침입 탐지 시스템 자료 수집 IDS는 크게 네 가지 요소와 기능으로 구분된다 자료의 수집(Raw Data Collection) 자료의 필터링과 축약(Data Reduction and Filtering) 침입 탐지(Analysis and Intrusion Detection) 책임 추적성과 대응(Reporting and Response) 자료 수집 IDS는 설치 위치와 목적에 따라 크게 호스트 기반의 IDS(Host-Based IDS, 이후 HIDS)와 네트워크 기반의 IDS(Network-Based IDS, 이후 NIDS)로 나누어진다.

HIDS(Hostbased Intrusion Detection System 또한 운영체제의 취약점은 HIDS를 손상시킬 수 있으며, 다른 IDS에 비해 비용이 많이 드는 편이다.

NIDS(Networkbased Intrusion Detection System) NIDS는 네트워크에서 하나의 독립된 시스템으로 운용된다. 앞에서 많이 사용해봤던 TCP Dump도 하나의 NIDS가 될 수 있다. TCP Dump를 기반으로 하는 Snort라는 IDS가 있으며, IDS의 기본이라고 불리기도 한다. NIDS는 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이터기 변조되지 않는다. HIDS로는 할 수 없는 네트워크 전반의 감시를 할 수 있으며, 감시 영역이 상대적으로 매우 크다. 또한 IP 주소를 소유하지 않기 때문에 직접적인 해커의 공격에는 거의 완벽한 방어를 할 수 있으며, 존재 사실도 숨길 수 있다. 하지만 NIDS는 공격 당한 시스템의 공격에 대한 결과를 알 수 없으며 암호화된 내용을 검사할 수는 없다. 또한 스위칭 환경에서 NIDS를 설치하려면 다른 부가적인 장비가 필요하며, 1Gbps 이상의 네트워크에서는 정상적으로 작동하기 힘들다.

자료의 필터링과 축약 수집된 침입 관련 자료는 한 곳으로 모아서 관리하는 것이 좋다. 상호 연관하여 분석함으로써 좀더 효과적인 분석이 가능하며, 빠르게 대응할 수 있기 때문이다. 또한 보안이 강화된 시스템에 자료를 보관함으로써 침입으로 인한 자료의 손실을 막을 수 있다. IDS의 자료는 매우 방대하다. 보안 감사를 실시하는 입장에서는 필요에 따라서 세밀하고 자세한 자료가 요구되는 경우도 있으나, 보통 정확하고 빠른 시간에 파악이 가능한 자료가 더 유용하다. 효과적인 필터링을 위해서는 자료 수집에 대한 규칙을 설정하는 작업이 필요하다. 관리자는 공격 의지를 가졌다고 생각하는 만큼의 숫자를 ’Clipping Level'로 설정한다.

침입 탐지 오용 탐지(Misuse Detection) 오용 탐지 기법은 다른 말로 Signature Base나 Knowledge Base로 불린다. 가장 기본적인 오용 탐지 시스템의 개념은 이미 발견되고 정립된 공격 패턴을 미리 입력해두고, 거기에 해당하는 패턴을 탐지하게 되었을 때 이를 알려주는 것이다. 탐지 오판율이 낮고 비교적 효율적이나 알려진 공격 이외에는 탐지할 수 없으며, 대량의 자료를 분석하는 데는 부적합하다. 또한 공격을 어떤 순서로 실시했는지에 대한 정보를 얻기가 힘들다. 전문가 시스템(Expert System)을 이용한 IDS 역시 이에 기반한다.

이상 탐지(Anomaly Detection) 다른 말로 Behavior나 Statistical Detection이라고 하며, 정상적이고 평균적인 상태를 기준으로 하여, 이에 상대적으로 급격한 변화를 일으키거나 확률이 낮은 일이 발생할 경우 침입 탐지를 알리는 것이 기본 개념이다. 이러한 이상 탐지 기법으로는 정량적인 분석, 통계적인 분석, 비특성 통계 분석 등이 있다. 이상 탐지 기법 중에서 특이할 만한 것은 인공지능과 면역 시스템이다. 인공지능 IDS는 공격에 대해 스스로 판단을 하고 이에 대한 결정을 내려 알려준다. 하지만 인공 지능 시스템은 그 판단의 근거가 확실하지 않고 오판율 역시 높다. 면역 시스템은 새로운 공격을 당할 경우 그에 대한 학습을 스스로 하게 됨으로써, 다시 그 공격이 일어날 때 이에 대한 대응을 하도록 한 것이다. 또한 최초 설치 후 재설치 시에 초기 상태로 돌아가는 큰 단점이 있다.

책임 추적성과 대응 IDS는 기본적으로 침입을 알려주는 시스템으로, 침입에 대한 능동적인 기능은 별로 없다. 이러한 IDS에 능동적인 기능을 많이 탑재한 IDS를 IPS(Intrusion Prevention System)라고도 한다 IDS가 실행할 수 있는 구체적인 능동적인 기능은 다음과 같다 공격자로 확인된 연결에 TCP reset 패킷을 보내어 연결을 끊는 것이다 되었을 때 이를 알려주는 것이다. 공격자의 IP 주소나 사이트를 확인하고, 라우터나 방화벽을 통해 이를 차단한다. 공격 포트를 확인하여 라우터와 방화벽을 설정한다. 공격자가 일정 포트를 이용한 공격을 하고 있을 때 포트를 막는다. 네트워크 구조 자체를 임시적으로 바꾸는 경우도 있다.

침입 탐지 시스템의 설치 위치 [그림 18-3] IDS의 위치

중앙 집중화된 IDS 관리 [그림 18-4] 중앙 집중화된 IDS 관리

외부 관제에 의한 IDS 관리 [그림 18-5] 위임된 침입 탐지 관리

BlackICE, Zone Alarm

Snort 설치 시 필요 구성 요소 snort 2.0.0 : www.snort.org/dl/snort2.0.0.tar.gz MySQL 4.0.12 : mysql.secsup.org/Downloads/MySQL-4.0/mysql-4.0.12.tar.gz 아파치 2.0.47 : www.apache.org/dist/httpd/httpd-2.0.47.tar.gz PHP 4.3.1 : www.php.net/distributions/php-4.3.1.tar.gz ADODB 3.3 : phplens.com/lens/dl/adodb330.tgz Acid 0.9.6b23 : acidlab.sourceforge.net/acid-0.9.6b23.tar.gz Zlib 1.1.4 : flow.dl.sourceforge.net/sourceforge/libpng/zlib-1.1.4.tar.gz JPGraph 1.11 : jpgraph.techuk.com/jpgraph/downloads/jpgraph-1.12.2.tar.gz Lipcap 0.7.2 :www.tcpdump.org/release/libpcap-0.7.2.tar.gz

Snort 동작 화면 [그림 18-38] Snort 설치 완료

Thank you