침입 탐지 시스템 분류 및 기능
침입은 주로 시스템 자원의 무단 사용으로 시스템 데이터의 손실과 손상, 시스템 서비스 거부 등의 피해를 초래할 수 있습니다. 침입 탐지에 대한 사이버 공격은 네 가지 범주로 나눌 수 있습니다.
1 단일 IP 패킷 (TCP 및 UDP 포함) 의 헤더를 검사하여 감지할 수 있는 공격 (예: winnuke, ping of death, land.c, 부분 OS 감지, 소스 라우팅 등) 입니다.
② 단일 IP 패킷을 검사하지만 데이터 세그먼트 정보를 동시에 점검해야만 감지할 수 있는 공격 (예: CGI 취약점 활용, 캐시 오버플로우 공격 등) 입니다.
③ 포트 스캔, SYN Flood, smurf 공격 등과 같은 발생 빈도를 감지함으로써 감지할 수 있는 공격입니다.
④ 차 방울, Nesea, JOLT 등과 같은 파편의 공격을 사용한다. 이런 공격은 조각 조립 알고리즘의 각종 허점을 이용한다. 이러한 공격을 감지하려면 미리 조립을 시도해야 합니다 (상위 계층이 아닌 IP 계층에서 수락하거나 전달할 때). 파편은 공격에 사용될 수 있을 뿐만 아니라 조각을 조립하려고 시도하지 않은 침입 감지 시스템의 탐지도 피할 수 있다.
침입 탐지는 컴퓨터 네트워크 또는 컴퓨터 시스템의 몇 가지 핵심 사항을 수집하고 분석하여 네트워크 또는 시스템에 보안 정책 위반 및 공격 징후가 있는지 확인합니다. 침입 탐지 소프트웨어와 하드웨어의 결합은 침입 탐지 시스템입니다.
침입 탐지 시스템의 주요 임무는 사용자 및 시스템 활동 모니터링 및 분석입니다. 감사 시스템의 구조와 약점 알려진 공격의 활동 패턴을 식별 및 반영하고 관련자에게 경보를 보냅니다. 비정상 행동 패턴의 통계 분석 중요한 시스템 및 데이터 파일의 무결성을 평가합니다. 운영 체제를 감사, 추적 및 관리하고 사용자의 보안 정책 위반을 식별합니다. 침입 탐지는 일반적으로 정보 수집, 데이터 분석 및 응답 (수동 응답 및 사전 예방 응답) 의 세 단계로 나뉩니다.
정보 수집에는 시스템, 네트워크, 데이터 및 사용자 활동의 상태와 동작이 포함됩니다. 침입 탐지에 사용되는 정보는 일반적으로 시스템 로그, 디렉토리 및 파일의 비정상적인 변경, 프로그램 실행의 비정상적인 동작 및 물리적 침입 정보의 네 가지 측면에서 비롯됩니다.
데이터 분석은 침입 탐지의 핵심입니다. 먼저 분석기를 구축하고, 수집된 정보를 사전 처리하고, 동작 분석 엔진이나 모델을 설정한 다음, 시간 데이터를 모델에 이식하고, 데이터를 이식하는 모델을 기술 자료에 저장합니다. 데이터 분석은 일반적으로 패턴 일치, 통계 분석 및 무결성 분석을 통해 수행됩니다. 처음 두 가지 방법은 실시간 침입 탐지에 사용되고 무결성 분석은 사후 분석에 사용됩니다. 5 가지 통계 모델 (운영 모델, 분산, 다중 모델, 마르코프 프로세스 모델 및 시계열 분석) 을 데이터 분석에 사용할 수 있습니다. 통계 분석의 가장 큰 장점은 사용자의 사용 습관을 배울 수 있다는 것이다.
침입 감지 시스템은 네트워크 연결 차단, 이벤트 기록, 경고 등 침입이 발견된 후 즉시 응답합니다. 일반적으로 응답은 사전 예방적 응답 (공격 또는 공격의 진행에 영향을 미침) 과 사후 대응적 응답 (감지된 문제 보고 및 기록) 의 두 가지 유형으로 나눌 수 있습니다. 사전 대응은 사용자 중심 또는 시스템 자체에 의해 자동으로 수행되며 침입자에 대한 조치 (예: 연결 끊기), 시스템 환경 수정 또는 유용한 정보 수집과 같은 조치를 취할 수 있습니다. 수동 응답에는 경고 및 알림, SNMP (simple network management protocol) 트랩 및 플러그인이 포함됩니다. 또한 정책 구성 응답에 따라 즉각적인, 긴급, 시기 적절한, 부분 장기 및 글로벌 장기 조치를 각각 취할 수 있습니다.
IDS 분류
일반적으로 침입 감지 시스템은 호스트 및 네트워크 유형으로 나눌 수 있습니다.
호스트 기반 침입 탐지 시스템은 일반적으로 시스템 로그, 애플리케이션 로그 등을 사용합니다. 데이터 소스로. 물론 모니터링 시스템 호출과 같은 다른 방법을 사용하여 호스트에서 정보를 수집하여 분석할 수도 있습니다. 호스트 기반 침입 탐지 시스템은 일반적으로 시스템을 보호합니다.
네트워크 침입 탐지 시스템의 데이터 소스는 네트워크의 패킷입니다. 컴퓨터의 네트워크 카드는 종종 혼합 모드에 있으며, 이 네트워크 세그먼트의 모든 패킷을 모니터링하고 판단합니다. 일반적인 네트워크 침입 탐지 시스템은 전체 네트워크 세그먼트를 보호하는 역할을 합니다.
네트워크 IDS 의 장점은 네트워크 세그먼트에 이러한 시스템을 하나 이상 설치하기만 하면 전체 네트워크 세그먼트의 상태를 모니터링할 수 있다는 점을 쉽게 알 수 있습니다. 또한 이 애플리케이션은 일반적으로 독립 실행형 컴퓨터를 사용하기 때문에 중요한 서비스를 실행하는 호스트의 로드를 늘리지 않습니다. 그러나 네트워크의 복잡성과 고속 네트워크의 보급으로 인해 이러한 구조는 점점 더 많은 도전을 받고 있습니다. 전형적인 예는 스위치 이더넷입니다.
호스트 기반 IDS 의 단점은 분명합니다. 예를 들어 플랫폼마다 다른 프로그램 개발, 시스템 로드 증가, 대량 설치가 필요하지만 내부 구조는 바인딩되지 않고 운영 체제 자체에서 제공하는 기능을 예외 분석과 함께 활용하여 공격 행동을 보다 정확하게 보고할 수 있습니다. 참고 문헌 [7] 이 이에 대해 설명하고 관심 있는 독자가 참고할 수 있습니다.
침입 탐지 시스템의 여러 구성 요소는 일반적으로 서로 다른 호스트에 있습니다. 일반적으로 이벤트 생성기, 이벤트 분석기 및 응답 장치를 실행하는 세 대의 시스템이 있습니다. 처음 두 개를 합치면 두 개다. IDS 를 설치할 때 "이벤트" 의 가시성을 결정하므로 데이터 수집 부분의 위치를 선택하는 것이 중요합니다.
호스트 IDS 의 경우 데이터 수집 부분은 당연히 모니터링 중인 호스트에 있습니다.
네트워크 침입 탐지 시스템의 경우 데이터 수집은 다음과 같은 여러 가지 가능성을 가지고 있습니다.
(1) 네트워크 세그먼트가 버스 허브로 연결된 경우 허브 포트에 간단히 연결할 수 있습니다.
(2) 스위치 이더넷 스위치의 경우 문제가 복잡해질 수 있습니다. 스위치가 * * * 공유 미디어를 사용하지 않기 때문에 스니퍼를 사용하여 전체 서브넷을 모니터링하는 기존의 방법은 더 이상 가능하지 않습니다. 해결 방법은 다음과 같습니다.
A. 일반 스위치의 코어 칩에는 다른 모든 포트에 대한 액세스 정보를 얻을 수 있는 디버깅 span 포트가 있습니다. 스위치 제조업체가 포트를 열면 사용자는 IDS 시스템을 해당 포트에 연결할 수 있습니다.
장점: IDS 의 아키텍처를 변경할 필요가 없습니다.
단점: 이 포트를 사용하면 스위치의 성능이 저하될 수 있습니다.
B. 침입 감지 시스템을 스위치 또는 방화벽 내부 데이터 스트림의 주요 출입구에 배치합니다.
장점: 거의 모든 핵심 데이터를 얻을 수 있습니다.
단점: 다른 공급업체와 긴밀하게 협력해야 하며 네트워크 성능을 저하시킬 수 있습니다.
C 탭을 사용하여 모니터링되는 모든 회선에 연결하십시오.
장점: 네트워크 성능을 저하시키지 않고 필요한 정보를 수집합니다.
단점: 추가 장비 (tap) 를 구입해야 합니다. 보호해야 할 자원이 많은 경우 IDS 에는 많은 네트워크 인터페이스가 있어야 합니다.
D. 이론적으로 제한되지 않는 유일한 방법은 호스트 id 를 사용하는 것입니다.
통신 프로토콜
IDS 시스템의 구성 요소는 통신해야 하고, 다른 공급업체의 IDS 시스템도 통신해야 합니다. 따라서 각 부분이 프로토콜에 설정된 기준에 따라 통신할 수 있도록 통합 프로토콜을 정의할 필요가 있습니다.
현재 IETF 에는 침입 탐지 팀 (IDWG) 이 침입 탐지 교환 형식이라는 통신 형식을 정의하는 전담 팀이 있습니다. 현재 관련 초안 (인터넷 초안) 만 있고 정식 RFC 문서는 형성되지 않았다. 그럼에도 불구하고 이 초안은 IDS 부분 간 또는 서로 다른 IDS 시스템 간의 통신에 대한 지침을 제공합니다.
IAP (침입 경고 프로토콜) 는 IDWG 에서 개발한 애플리케이션 계층 프로토콜로 TCP 에서 실행됩니다. HTTP 를 많이 참조하도록 설계되었지만 한쪽 끝에서 연결 시작, 암호화 및 인증 결합 등 여러 가지 다른 기능을 보완합니다. ). IAP 의 구체적인 구현은 [4] 를 참고하세요. 여기에는 매우 자세한 설명이 들어 있습니다. 여기서는 침입 탐지 시스템을 위한 통신 프로토콜을 설계할 때 고려해야 할 문제에 대해 주로 논의합니다.
(1) 분석 시스템과 제어 시스템 간에 전달되는 정보는 매우 중요하므로 데이터의 신뢰성과 무결성을 유지해야 합니다. 쌍방 사이에는 일종의 인증 및 보안 전송 메커니즘이 있어야 합니다 (능동 및 수동 공격을 모두 방지).
(2) 양 당사자 간의 통신은 비정상적인 상황으로 인해 중단될 수 있으며, IDS 시스템은 시스템의 정상적인 작동을 보장하기 위한 추가 조치가 있어야 합니다.
침입 탐지 기술
각종 사건을 분석하여 보안 정책 위반 행위가 침입 탐지 시스템의 핵심 기능이라는 것을 발견하였다. 기술적으로 침입 탐지는 두 가지 범주로 나눌 수 있습니다. 하나는 피쳐 기반이고 다른 하나는 예외 기반입니다.
ID 기반 감지 기술의 경우 먼저 네트워크 패킷의 일부 헤더 정보와 같은 보안 정책을 위반하는 이벤트의 특성을 정의해야 합니다. 탐지는 주로 이러한 피쳐가 수집된 데이터에 나타나는지 여부를 결정하는 것입니다. 이런 방법은 바이러스 백신 소프트웨어와 매우 비슷하다.
예외 기반 감지 기술은 CPU 활용도, 메모리 활용도, 파일 체크섬 등 시스템' 정상' 조건 세트를 정의하는 값입니다. (이러한 데이터는 인위적으로 정의하거나 시스템을 관찰하고 통계 방법을 사용하여 얻을 수 있습니다.) 그런 다음 시스템 작동 수치를 정의된 "정상" 조건과 비교하여 공격의 징후가 있는지 확인합니다. 이 검출 방법의 핵심은 소위' 정상' 상황을 어떻게 정의하는가이다.
두 가지 검출 기술의 방법과 결론은 크게 다르다. 예외 기반 탐지 기술의 핵심은 지식 기반을 유지하는 것입니다. 알려진 공격의 경우 공격 유형을 상세하고 정확하게 보고할 수 있지만 알 수 없는 공격의 작용이 제한되어 있으므로 지식 기반은 지속적으로 업데이트해야 합니다. 예외 기반 탐지 기술은 공격 방법을 정확하게 식별할 수는 없지만, 적어도 이론적으로 더 광범위하거나 감지되지 않은 공격을 식별할 수 있습니다.
조건이 허락한다면, 공동 검사는 더 좋은 결과를 얻을 수 있다.
침입 탐지 시스템 기술 및 주요 방법
침입 탐지 시스템 기술
확률 통계, 전문가 시스템, 신경망, 패턴 매칭 및 동작 분석을 통해 침입 탐지 시스템의 탐지 메커니즘을 구현할 수 있습니다. 이를 통해 이벤트의 감사 레코드를 분석하고, 특정 패턴을 식별하고, 테스트 보고서 및 최종 분석 결과를 생성할 수 있습니다.
침입 탐지는 일반적으로 다음 두 가지 기술을 사용합니다.
① 이상 발견 기술은 모든 침입 행위가 정상적인 행위와 다르다고 가정한다. 그 원리는 시스템의 정상적인 동작을 가정하는 궤적이 만들어질 수 있으며, 정상 궤적과 다른 모든 시스템 상태는 의심스러운 시도로 간주된다는 것이다. 이상 임계값과 특징 선택이 성패의 관건이다. 그것의 한계는 모든 침입이 비정상인 것은 아니며, 시스템의 궤적은 계산하고 업데이트하기 어렵다는 것이다.
② 패턴 발견 기술은 모든 침입 행위와 수단 (그리고 그 변종) 이 하나의 패턴이나 특징으로 표현될 수 있다고 가정하며, 일치하는 방법을 통해 알려진 모든 침입 방식을 발견할 수 있다. 패턴 발견 기술의 핵심은 실제 침입과 정상적인 행동을 정확하게 구분하기 위해 침입 패턴을 표현하는 방법입니다. 패턴 발견의 장점은 오보가 적다는 것이지만, 한계는 알려진 공격만 발견할 수 있고 알 수 없는 공격에 대해서는 아무것도 할 수 없다는 것이다.
침입 탐지의 주요 방법
정적 구성 분석
정적 구성 분석은 시스템의 현재 시스템 구성 (예: 시스템 파일 또는 시스템 테이블의 내용) 을 검사하여 시스템이 손상되었거나 손상되었는지 확인합니다. 정적은 시스템의 활동이 아니라 시스템의 정적 특성 (시스템 구성 정보) 을 확인하는 것입니다.
정적 분석 방법은 주로 침입자가 시스템을 공격할 때 흔적을 남길 수 있으며 시스템 상태를 확인하여 감지할 수 있습니다. 시스템 관리자와 사용자는 시스템을 구축할 때 실수를 하거나 일부 시스템 보안 조치를 놓칠 수 있습니다. 또한 시스템 공격 후 침입자는 시스템에 보안 백도어를 설치하여 시스템에 대한 추가 공격을 용이하게 할 수 있습니다.
따라서 정적 구성 분석 방법은 시스템의 결함을 가능한 한 많이 알아야 합니다. 그렇지 않으면 침입자가 해당 시스템에서 알 수 없는 보안 결함을 사용하여 감지 시스템을 피할 수 있습니다.