12-4 바이러스, 인터넷 웜 12-5 방화벽 12-6 침입탐지 시스템 발표자 : 20042521 김진태.

Slides:



Advertisements
Similar presentations
바이러스 제작 및 유포. 컴퓨터 프로그램을 변형하여, 자신의 변형을 복사하여 컴퓨터 작동에 피해를 주는 명령어들의 조합 pc 의 다운, 파일 삭제 등 컴퓨터의 운영을 방해하는 악성 프로그램 컴퓨터 바이러스는 자기 복제 능력을 가지고 있으며, 파일에 손상을 주 거나 하드디스크의.
Advertisements

악성코드, 백도어 이지웅. 1. 악성코드 1) 컴퓨터 바이러스 (1) 부트 바이러스 (2) 파일 바이러스 (3) 부트 · 파일 바이러스 (4) 매크로 바이러스 2) 웜 3) 트로이목마 2. 백도어 1) 로컬 백도어 2) 원격 백도어 ※ 참고문헌.
ScanMail for Lotus Notes ( 주 ) 한국트렌드마이크로. RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line ScanMail Notes 의 주요 기능 Domino 환경의 Antivirus, Content Filter.
1 08 시스템 구성도 고려사항 * 웹 서버 클러스터 구성  클러스터 구축은 ㈜ 클루닉스의 Encluster 로 구축 (KT 인증,IT 인증 획득, 실제 클러스터 구축 사이트 200 여곳 )  웹 서버 클러스터는 Dynamic, Static, Image.
불특정 공격에 무너진 H 사 업무 시스템 서서히 저하 내부에서 원인 불명으로 네트워크의 속도가 서서히 저하 되는 현상이 발생 공격의 발생 핵심 장 비 서비스가 되다 되지 않는 현상이 심해지고 결국 핵심 장 비는 장애가 발생하게 됨 장비 장애 발생 핵심 장비 장애 전체.
강 사 : 박영민. 워드프로세서 필기 3  디스크 관련 메뉴  디스크 포맷 디스크의 트랙 (Track) 과 섹터 (Sector) 를 초기화하는 작업을 말한다. [ 파일 ] 메뉴의 포맷을 선택하거나 바로 가기 메뉴의 포맷을 선택하여 실행 운영체제가 설치되어 실행중인.
문산고등학교 학교에서의 인터넷 이용 수칙 사이버 예절, 건강한 디지털 세상의 시작입니다
순천향대학교 정보보호연구회 임용훈 장. 악의적인 소프트웨어 20. 방화벽 순천향대학교 정보보호연구회 임용훈
컴퓨터와 인터넷.
컴퓨터 운영체제의 역사 손용범.

Chapter 8. 인터넷 연결공유와 개인네트워크 구축
뇌를 자극하는 Windows Server 2012 R2
김태원 심재일 김상래 강신택. 김태원 심재일 김상래 강신택 인터넷 통신망의 정보를 제공하는 서비스 인터넷의 자원 및 정보는 NIC가 관리 IP주소 또는 도메인으로 정보 검색 이용자 및 통신망 관한 정보를 제공.
1. 신뢰할 수 있는 싸이트 등록 인터넷 익스플로러 실행 후 실행
1. Windows Server 2003의 역사 개인용 Windows의 발전 과정
할 수 있다! 네트워크 구축 + 활용 네트워크 구성도.
PHP입문 Izayoi 김조흔.
DPR-1630&1615 IP공유기 셋팅 방법 고객지원팀 작성자 : 정청석.
18장. 방화벽 컴퓨터를 만들자.
Windows Server 장. 사고를 대비한 데이터 백업.
강 명 수 LINUX 설치 강 명 수
07. 디바이스 드라이버의 초기화와 종료 김진홍
8장. 원격지 시스템 관리하기.
Chapter 21 Network Layer: ARP, ICMP (IGMP).
FTP 프로그램 채계화 박재은 박수민.
정보화 사회와 컴퓨터 보안.
                              데이터베이스 프로그래밍 (소프트웨어 개발 트랙)                               퍼스널 오라클 9i 인스톨.
침입 탐지 시스템 침입 탐지 시스템 침입 탐지 시스템의 구조 윈도우 침입 탐지 툴 리눅스 침입 탐지 툴 한빛미디어(주)
뇌를 자극하는 Windows Server 장. 장애 조치 클러스터.
P2P시스템에 대해서 (peer to peer)
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
디지털회로설계 (15주차) 17. 시프트 레지스터와 카운터 18. 멀티바이브레이터 * RAM & ROM.
12-4 바이러스, 인터넷 웜 12-5 방화벽 12-6 침입탐지 시스템 발표자 : 김진태.
2장. 데이터베이스 관리 시스템 데이터베이스 관리 시스템의 등장 배경 데이터베이스 관리 시스템의 정의
침입차단시스템 (방화벽) 중부대학교 정보보호학과 이병천 교수.
WindowsXP 설치와 동시에 해야 할 일 Windows XP 완벽한 설치
뇌를 자극하는 Windows Server 2012 R2
HTTP 프로토콜의 요청과 응답 동작을 이해한다. 서블릿 및 JSP 를 알아보고 역할을 이해한다.
Chapter 11. Windows Server 2000 & 2003
ACL(Access Control List)
2 보안 1 도구 윈도우 XP > 온밀크 프로그램 설치 장애 (보안 설정) / 품목추가 깨질 때 장애증상
뇌를 자극하는 Windows Server 장. 원격 접속 서버.
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
스크린 샷 클릭가능 클릭시 영한사전 반영.
Windows XP 서비스 팩2를 설치하는 10가지 이유
16 장 네트워크 보안 : 방화벽과 VPN 16.1 개요 16.2 기밀성 16.3 전자 서명 16.4 인터넷 보안
20 장 네트워킹과 인터네트워킹 장치 20.1 리피터(Repeaters) 20.2 브리지(Bridges)
Firewall & N-IDS 김창현.
네트워크 환경 구축과 이미지 전송 호스트/타겟 통신 직렬 통신을 이용한 이미지 전송 수퍼 데몬 BOOTP 환경 구축
( Windows Service Application Debugging )
01. 개요 네트워크에 있는 컴퓨터와 그룹에 대한 NetBIOS 이름에 대응되는 IP 주소를 찾아주는 서비스
STS 에서 웹 서버 설치 방법.
뇌를 자극하는 Solaris bible.
AT MEGA 128 기초와 응용 I 기본적인 구조.
01. 분산 파일 시스템의 개요 네트워크에 분산된 파일을 사용자가 쉽게 접근하고 관리할 수 있게 해준다.
5.2.3 교환방식의 비교 학습내용 교환방식의 비교.
발표자 : 이지연 Programming Systems Lab.
슬라이드 쇼의 설정 슬라이드 쇼의 실행 파일과 폴더의 관리 글꼴을 포함해서 저장 웹 페이지로 게시 압축 파일
프로그래밍 언어 학습을 위한 가상실습환경 창원대학교 이수현.
4. IP 데이터그램과 라우팅 (6장. 인터넷과 IP) IP 데이터그램 : 특정 물리망에 종속되지 않은 가상의 패킷 형식.
소리가 작으면 이어폰 사용 권장!.
Installation Guide.
FTP 스캔 설정 방법 강사 : 이성휘 대리.
방승욱 여은수 민세훈 해킹.
CHAP 15. 데이터 스토리지.
 6장. SQL 쿼리.
Windows XP 서비스 팩2를 설치하는 10가지 이유
버스와 메모리 전송 버스 시스템 레지스터와 레지스터들 사이의 정보 전송을 위한 경로
ARP.
Presentation transcript:

12-4 바이러스, 인터넷 웜 12-5 방화벽 12-6 침입탐지 시스템 발표자 : 20042521 김진태

바이러스가 다른 실행 프로그램에 기생하여 실행하는 데 반해 웜은 독자적으로 실행 바이러스는 스스로 전달할 수 없지만 웜은 가능 12-4. 바이러스, 인터넷 웜 정의 바이러스(바이러스, 웜) 컴퓨터에서 실행되는 프로그램의 일종으로 자기 복제를 하여 컴퓨터 시스템을 파괴하거나 작업을 지연 또는 방해하는 악성 프로그램이다. 바이러스와 웜의 차이점 바이러스가 다른 실행 프로그램에 기생하여 실행하는 데 반해 웜은 독자적으로 실행 바이러스는 스스로 전달할 수 없지만 웜은 가능 일반적으로 웜은 네트워크를 손상시키고 대역폭을 잠식하지만, 바이러스는 컴퓨터의 파일을 감염시키거나 손상 감염 대상을 가지고 있는가

웜 바이러스 웜과 바이러스의 특징을 결합 프로그램에 기생하며 네트워크로도 감염 트로이목마(非-바이러스 악성코드) 12-4. 바이러스, 인터넷 웜 정의 웜 바이러스 웜과 바이러스의 특징을 결합 프로그램에 기생하며 네트워크로도 감염 트로이목마(非-바이러스 악성코드) 스스로 복제를 하지 못함 설치를 유도하여 정보 유출에 악용

바이러스의 종류 부트 바이러스 파일 바이러스 부트·파일 바이러스 매크로 바이러스 바이러스의 구분 기준 12-4. 바이러스, 인터넷 웜 종류 바이러스의 종류 부트 바이러스 파일 바이러스 부트·파일 바이러스 매크로 바이러스 바이러스의 구분 기준 감염 형태, 감염 증세, 감염 파일의 종류

12-4. 바이러스, 인터넷 웜 종류 부트바이러스 부트 바이러스는 디스크의 OS 기동 코드(부트프로그램)에 감염해서 이 디스크에서 시스템이 기동되어질 때 OS보다 먼저 실행한다.

부트 바이러스 하드디스크 감염 바이러스 플로피 디스크 감염 바이러스 대표적인 부트 바이러스 미켈란젤로 바이러스 브레인 바이러스 12-4. 바이러스, 인터넷 웜 종류 부트 바이러스 하드디스크 감염 바이러스 플로피 디스크 감염 바이러스 대표적인 부트 바이러스 미켈란젤로 바이러스 브레인 바이러스 LBC 돌 바이러스 Monkey Anti-CMOS

파일 바이러스 실행프로그램에 감염한 바이러스는 이 숙주 프로그램이 실행되어지는 시기에 실행되어진다. 12-4. 바이러스, 인터넷 웜 종류 파일 바이러스 실행프로그램에 감염한 바이러스는 이 숙주 프로그램이 실행되어지는 시기에 실행되어진다.

파일 바이러스 국내에서 발견된 바이러스의 80% 대표적인 파일 바이러스 Jerusalem Sunday Scorpion Crow 12-4. 바이러스, 인터넷 웜 종류 파일 바이러스 국내에서 발견된 바이러스의 80% 대표적인 파일 바이러스 Jerusalem Sunday Scorpion Crow FCL CIH

부트·파일 바이러스 부트섹터와 파일에 모두 감염 크기가 크고 피해 정도도 크다 대표적인 부트·파일 바이러스 Invader 12-4. 바이러스, 인터넷 웜 종류 부트·파일 바이러스 부트섹터와 파일에 모두 감염 크기가 크고 피해 정도도 크다 대표적인 부트·파일 바이러스 Invader Euthanasia Ebola

매크로 바이러스 MS의 Word와 Excel의 문서파일에는 매크로라는 일종의 프로그램을 첨가하는 것이 가능하다. 12-4. 바이러스, 인터넷 웜 종류 매크로 바이러스 MS의 Word와 Excel의 문서파일에는 매크로라는 일종의 프로그램을 첨가하는 것이 가능하다.

12-4. 바이러스, 인터넷 웜 감염 감염 증상 컴퓨터 바이러스의 감염 여부는 시스템 및 프로그램의 속도 저하, 컴퓨터 바이러스 백신 실행이나 시스템 레지스터 확인, 디스크나 파일의 파괴 증상, 각종 컴퓨터 바이러스별로 나타나는 특이 증상 등을 기준으로 판단 가능 일반적인 증상 비정상적인 프로그램 실행 에러가 발생할 경우 시스템의 사용 가능 메모리가 줄어들어 여분이 없을 경우 하드디스크에 정상적으로 존재하고 있던 파일 중에서, 본인이 삭제한 일이 없는 실행 파일이나 데이터 파일 등이 삭제되거나 변형되었을 경우 실행 및 부팅 속도가 눈에 띄게 떨어질 경우 시스템이 비정상적으로 다운될 경우 비정상적으로 저장매체가 인식되지 않을 경우 시스템에 비정상적인 그림, 메시지, 소리 등이 출력될 때

바이러스 방지와 사용자 지침 12-4. 바이러스, 인터넷 웜 시스템 디스켓의 경우에는 반드시 쓰기 방지용 탭을 붙여 놓는다. 예방 바이러스 방지와 사용자 지침 시스템 디스켓의 경우에는 반드시 쓰기 방지용 탭을 붙여 놓는다. 새로운 디스켓이나 프로그램은 반드시 바이러스의 감염 여부를 검사한 후 사용하는 습관을 들인다. 하드 디스크가 있는 경우에는 될 수 있는 한 하드디스크로 부팅을 하며 특별히 플로피 디스크로 부팅을 해야만 하는 경우에는 반드시 안전한 디스켓(바이러스 검사를 마친 디스켓)을 사용하도록 한다. 중요한 데이터는 반드시 백업해 둔다. 또한 전체 데이터에 대한 정기적인 백업을 해 둔다. 여러 사람이 공유하는 컴퓨터를 사용하는 경우에는 바이러스를 검사한 후에 사용하는 최신 버전의 바이러스 백신 프로그램을 설치한다. 네트워크(인터넷 등)로 다른 컴퓨터와의 연결을 통한 프로그램의 전송을 받을 경우 바이러스 검사를 하여 사용하도록 한다. 

12-4. 바이러스, 인터넷 웜 예방 그냥 알약, v3

방화벽이란? 신뢰하는 비공개 인트라넷과 인터넷 사이를 분리시키는 것이 목적 12-5. 방화벽 정의 방화벽이란? 신뢰하는 비공개 인트라넷과 인터넷 사이를 분리시키는 것이 목적 소프트웨어와 하드웨어를 총체적으로 구현한 설계 및 그러한 제품 내부 네트워크를 방어하는 보안 경계선

12-5. 방화벽 구성 요소 방화벽 구성 요소 스크린 라우터 베스천 호스트 프록시 서버

스크린 라우터 12-5. 방화벽 패킷의 헤더 내용을 보고 필터링(스크린) IP데이타그램 구성 요소 스크린 라우터 패킷의 헤더 내용을 보고 필터링(스크린) IP데이타그램 출발지 주소 및 목적지 주소에 의한 스크린 TCP 포트번호, 프로토콜별 스크린 어느 정도 수준의 보안 접근제어가 가능 하지만 라우터에서 구현된 펌웨어수준으로는 제한점이 많고 복잡한 정책 구현이 어려움 일반적으로 스크린 라우터에 베스천 호스트를 함께 운영

베스천 호스트 외부의 공격에 노출되어 방어를 담당하는 별도의 시스템 네트워크 보안 상 가장 중요한 위치를 차지 12-5. 방화벽 구성 요소 베스천 호스트 외부의 공격에 노출되어 방어를 담당하는 별도의 시스템 네트워크 보안 상 가장 중요한 위치를 차지 방화벽 시스템의 중요기능으로서 접근제어 및 응용 시스템 게이트웨이로서 프록시 서버의 설치, 로그, 인증, 로그, 감사, 추적 등을 담당

프록시 서버 방화벽이 설치되어 있는 호스트에서 동작하는 서버 12-5. 방화벽 구성 요소 프록시 서버 방화벽이 설치되어 있는 호스트에서 동작하는 서버 방화벽 내에 있는 사용자들에게 방화벽 밖에 있는 서버로의 자유로운 서비스 요구와 응답을 받기 위한 수단 Traffic 제어 내부의 모든 사용자는 프록시 서버에게만 서비스를 요구하고 응답받을 수 있다. Cashing 기능

방화벽의 기능 특정 서비스의 선택적 수용 특정 노드에 대한 선택적 보호 집중적 보안 프라이버시 강화 프록시 서비스의 지원 12-5. 방화벽 기능 방화벽의 기능 특정 서비스의 선택적 수용 특정 노드에 대한 선택적 보호 집중적 보안 프라이버시 강화 프록시 서비스의 지원 애플리케이션 게이트웨이 방식 방화벽에서만 가능 특정 서비스의 경우 프로시 서비스 모듈을 통해 추가 사용자 인증 기능을 수행 가능

12-5. 방화벽 적용방식 방화벽 적용 방식 네트워크 수준의 방화벽 애플리케이션 수준의 방화벽 혼합형 방화벽

네트워크 수준의 방화벽(Packet Filetering Firewall) 12-5. 방화벽 적용방식 네트워크 수준의 방화벽(Packet Filetering Firewall) 스크린 라우터만을 가지고 있는 가장 단순한 형태 장점 싸다. 단점 로그인 방식 불가능 IP Spoofing 공격에 취악

애플리케이션 수준의 방화벽(Application Gateway FireWall) 12-5. 방화벽 적용방식 애플리케이션 수준의 방화벽(Application Gateway FireWall) proxy 서버 기능을 제공 사용자별, IP주소별 제한, 통제가 가능 가장 안전한 방화벽의 유형

혼합형 방화벽(Hybrid FireWall) 12-5. 방화벽 적용방식 혼합형 방화벽(Hybrid FireWall) 네트워크 수준의 방화벽과 애플리케이션 수준의 방화벽의 장점만을 취해 개선한 방화벽 상호보완하여 보안 수준을 더 향상시킬 수 있다. 혼합형 방화벽 아키텍쳐 Stateful Inspection 제품 CheckPoint사의 FireWall-1

Stateful Inspection(dynamic packet filtering) static packet filtering 12-5. 방화벽 적용방식 Stateful Inspection(dynamic packet filtering) static packet filtering 패킷의 헤더만을 검사 dynamic packet filtering 패킷의 내용까지 검사 monitors the state of the connection and compiles the information in a state table. Because of this, filtering decisions are based not only on administrator-defined rules (as in static packet filtering) but also on context that has been established by prior packets that have passed through the firewall.

침입탐지 시스템(IDS:Intrusion Detection System) 12-6. 침입탐지 시스템 개념 침입의 정의 인증되지 않은 컴퓨터 시스템의 사용 또는 오용 침입탐지 시스템(IDS:Intrusion Detection System) 실시간으로 네트워크를 감시하여 권한이 없는 사용자로부터의 접속, 정보의 조작, 오용, 남용 등 네트워크 상에서 시도되는 불법적인 침입 행위를 막지 못했을 때 조치를 취하기 위해 사용되는 시스템

침입 탐지 시스템의 기능과 특징 Stealth 모드 지원 Session drop 기능 Process 종료 백도어 탐지 12-6. 침입탐지 시스템 기능과 특징 침입 탐지 시스템의 기능과 특징 Stealth 모드 지원 Session drop 기능 Process 종료 백도어 탐지 각종 공격 탐지 공격을 시도할 때 특정한 코드 값을 보내게 되는 데 이를 알아내어 탐지 방화벽 연동 탐지한 공격 패턴을 방화벽에 전달함으로써 유사 공격을 원천적으로 막을 수 있다. Alert 기능

탐지영역에 따른 IDS 분류 H-IDS(host based IDS) 감시 대상이 되는 host에 탑재 12-6. 침입탐지 시스템 기능과 특징 탐지영역에 따른 IDS 분류 H-IDS(host based IDS) 감시 대상이 되는 host에 탑재 N-IDS(Network based IDS) 지나가는 트래픽을 볼 수 있는 감시 대상이 되는 네트워크단에 설치 대부분의 IDS는 N-IDS가 대부분

침입탐지 기법 비정상 행위 탐지(Anomaly Detection) 통계적 접근 예측 가능 패턴 생성 신경망 12-6. 침입탐지 시스템 침입탐지 기법 침입탐지 기법 비정상 행위 탐지(Anomaly Detection) - 시스템 가동 전에 정상적인 수치를 기록하여 기준선을 초과하는 비정상 행위를 탐지 통계적 접근 통계적으로 처리된 과거의 경험자료를 기준으로 특별한 행위 또는 유사한 사건으로 이탈을 탐지 예측 가능 패턴 생성 이벤트 간의 상호관계와 순서를 설명하고 각각의 이벤트에 시간을 부여하여 기존에 설정된 침입 시나리오와 비교하여 침입을 탐지하는 방법 신경망 현재까지의 사용자의 행동과 명령을 학습하여 다음 행동과 명령을 예측하여 침입을 탐지

침입탐지 기법 오용 탐지(Misuse Detection, signature Base, Knowledge Base) 12-6. 침입탐지 시스템 침입탐지 기법 침입탐지 기법 오용 탐지(Misuse Detection, signature Base, Knowledge Base) - 과거의 침입 행들로부터 얻어진 공격 패턴으로 공격을 탐지 전문가 시스템(Expert System) 이미 발견되어 정립된 공격패턴을 입력해놓고 여기에 해당하는 패턴을 탐지하여 정해진 액션으로 대응 키 모니터링(Keystroke Monitoring) 사용자의 key-stroke를 모니터링하여 공격패턴을 나타내는 key-stroke패턴을 탐지 상태 전이 분석(State Transition Analysis) 공격패턴을 상태전이의 순서로 표현 침입 과정을 규칙 기반으로 탐지

패턴 매칭(Pattern Matching) 12-6. 침입탐지 시스템 침입탐지 기법 패턴 매칭(Pattern Matching) 이미 알려진 공격 유형들을 패턴으로 가지고 현재 행위와 일치하는 패턴을 탐지 조건부 확률 이용 특정 이벤트가 침입일 확률을 조건부 확률을 이용해서 계산 하는 방법 모델에 근거한 방법 공격패턴을 DB화하고 특정 공격패턴에 대해DB를 참조하여 침입 여부를 탐지

대응 방식 능동적인 대응(Active IDS) 연결, 세션 또는 프로세스 종료 네트워크 재구성 속임수 12-6. 침입탐지 시스템 대응 방식 대응 방식 능동적인 대응(Active IDS) 연결, 세션 또는 프로세스 종료 네트워크 재구성 속임수 수동적인 대응(Passive IDS) 피하기(Shunning) 기록(Logging) 통보(notification)

IPS(Intrusion Prevention System) 12-6. 침입탐지 시스템 IPS IPS(Intrusion Prevention System) IDS에 능동적인 대응 기능을 넣은 프로그램 IPS출시 후 IDS의 입지가 좁아지고 있다. 하지만 아직 IPS의 표준이 정해지지 않아 기준이 모호해 당분간 IDS와 공존할 것으로 보임