나의 디딤돌

안녕하세요 오늘은 침입탐지 시스템(IDS) 설명 마지막인

오용 탐지와 이상 탐지의 종류 및 설명을 드리려고 합니다.

혹시라도 그 전의 내용이 궁금하시다면 아래 링크 남겨두겠습니다.

침입탐지 시스템(IDS) 간단한 설명

https://didimdol20.tistory.com/60?category=942902

HIDS(호스트 기반) / NIDS(네트워크 기반) 설명 / IDS 실행 단계

https://didimdol20.tistory.com/61

IDS의 종류

규칙-기반 침입탐지(오용 침입탐지)

- 시스템 로그, 네트워크 입력정보, 알려진 침입방법, 비정상적인 행위 패턴 등의

특징을 비교하여 탐지하는 방법이다.

- 기존의 침입방법을 데이터베이스에 저장해 두었다가 사용자 행동 패턴이 기존의

침입 패턴과 일치하거나 유사한 경우 침입이라 판단한다.

- 새로운 공격이나 침입 방법이 출현하였을 경우에 그에 맞는 공격 패턴을 생성하여 추가한다.

시그니처 예

- 루트(root) 사용자 이름으로 Telnet 로그인 시도

- 시스템 프로그램 복제 시도

- 패스워드 파일 복제 시도

장점

1. 오탐률(False Positive)이 낮음

2. 전문가 시스템(추론 기반 지식 베이스) 이용

3. 트로이목마, 백도어 공격 탐지 가능

단점

1. 새로운 공격 탐지를 위해 지속적인 공격 패턴 갱신 필요

2. 패턴에 없는 새로운 공격에 대해서는 탐지 불가능(Zero day Attack)

False Positive

- 합법적인 사용자를 침입자로 판단 (침입자의 행동을 높게 잡았을 경우)

- 침입이 아닌 합법적인 사용도 침입으로 오인

False Negatives

- 침입자를 합법적인 사용자로 판단(침입자의 행동을 좁게 잡았을 경우)

-침입을 하였는데도 침입인지 모름

저는 이 부분을 예를 들어 뭐든 행동을 하는 즉, 합법이든 불법이든 행동으로 잡았기에 

False Positive로 생각 행동조차 하지 않으면 Negative로 외우고 있습니다.

보안에선 안 하는 것보다 일단 하는 게 나으니깐요.

또 저는 제로데이 공격 같은 경우 Postitive는 잡으니깐 이상 탐지

반대로 오용 탐지는 못 잡기 때문에 Positive가 낮고(융통성이 좋다고 생각)

그리고 오용 탐지 이렇게 외우고 있습니다.

최대한 외구기 쉽게요 나중에야 이제 개념이 완전히 정리가 되겠지만 이전에 외우려고 할 때는 잘 안되더라고요

이 부분이 Positive가 낮고 이상 탐지는 높고 이 부분이 잘 안 외워져서 이렇게 외웠습니다.

통계적 변형(행위 기반) 탐지 (비정상 행위 침입탐지 / 이상 탐지)

- 관찰된 사건들을 정상적인 행위에 대한 정의들과 비교하여 심각한 수준의

일탈 행위를 식별하는 과정

-- 시스템과 사용자의 정상적인 행위 패턴을 프로파일로 생성하고 시스템상에 행위가

프로파일 범위를 벗어날 경우 침입으로 탐지 정상적인 행위를 한 데이터를

기반으로 기준을 작성함(i/o사용량, 로그인 횟수, 패킷량 등등)

- 정량적인 분석, 통계적 분석 이용

장점

1. 인공지능 알고리즘 사용으로 스스로 판단하여 수작업의 패턴 업데이트 불필요

2. 오용 탐지 기법보다 데이터베이스 관리가 용이하고 알려지지 않은 공격

(Zero day Attack) 탐지가 가능

3. 침입 이외에 시스템 운용상의 문제점 발견할 수 있음.

단점

1. 오탐률(False Positive)이 높음

2. 정상과 비정상 구분을 위한 임계치 설정이 어려움

오용 탐지 이상 탐지 비교

대응방법

1. 수동적 대응 방법

- 대량의 정보를 수집하는 형태를 취하거나 필요한 경우에 권한을 가진 사용자들에게

보다 엄격한 조치를 취할 수 있도록 통보하는 형태(대부분의 IDS가 사용)

- 주로 침입을 피하거나 무시하는 방법, 상세한 분석, 조치를 취할 수 있도록 도움이 되는

정보를 수집하는 이벤트 기록방법 또는 전자우편 SNMP 트랩 등을 이용하여 침입과 관련된

정보를 보안 관리자에게 보고하는 방법 등이 있다.

SNMP 트랩

- 만일 비정상적인 무엇인가를 찾아내면 관리자에게 경고 메시지를 송신하는 것

2. 능동적 대응 방법

- 침입에 대해 가장 빨리 실행할 수 있는 행동으로 침입에 대한 손실을 줄일 수 있게 함

- 신중한 고려와 정확한 검증이 없다면 혼란을 방생시키거나 서비스를 제공할 수 없는 오경보 발생.

오늘은 침입탐지 시스템 마지막 내용을 포스팅해보았습니다.

저도 하면서 다시 개념이 정리되고 하네요.

근데 3개분의 내용이 나올 정도로 많았네요...

오늘은 이상으로 마치겠습니다.

감사합니다.

안녕하세요 이번엔 저번 글에 이어 추가 내용을 써보자 합니다.

IDS의 실행 단계

HIDS에 간단한 설명과 더불어

NIDS 설치단

그리고 오용 탐지 이상 탐지에 대해 글을 써보겠습니다.

먼저 IDS 실행단계입니다.

간단하게 순서만 먼저 써보자면

데이터 수집 -> 데이터 가공 및 축약 -> 침입 분석 및 탐지 -> 보고 및 대응

순서입니다.

각 각 기능을 살펴보면

1. 데이터 수집 : 탐지 대상(시스템 사용내역 및 패킷)으로부터 생성되는 데이터를

수집하는 감사 데이터 수집

2. 데이터 가공 및 축약 : 수집된 감사 데이터를 침입 판정이 가능하도록 의미 있는

정보로 전환시키는 단계

3. 침입 분석 및 탐지 : 데이터를 분석하여 침입여부를 판단하며, 비정상적 행위 탐지 기법(비정상적인 행위) ,

오용 탐지 기법(취약점 버그) , 하이브리드 탐지 기법 등등이 있다.

4. 보고 및 대응 : 침입으로 판정된 경우 이에 대한 적절한 대응을 자동으로 취하거나 

보안 관리자에게 침입 사실을 보고하여 조치.

등이 있습니다.

네트워크 기반 (NIDS)

- 네트워크 세그먼트당 하나의 감지기만 설치하면 되므로 설치 용이 

- 네트워크를 통해 전송되는 정보(패킷 헤더, 데이터 및 트래픽 양, 응용프로그램

로그)를 분석하여 침입여부 판단.

- NIDS는 감지기가 promisecuous mode에서 동작하는 네트워크 인터페이스에 설치됨

장점 

1. 트래픽을 몇몇 위치에만 설치하므로 초기 구축 비용이 저렴

2. 운영체제에 독립적이므로 구현 및 관리 쉬움

3. 캡처된 트래픽에 대해 침입자가 제거하기가 어려움.

4. 네트워크에서 발생하는 여러 유형의 침입을 탐지

5. 네트워크에서 개별 실행되어 개별 서버의 성능 저하가 없음.

단점

1. 암호화된 패킷을 분석할 수 없음

2. 고속 네트워크 환경에서는 패킷 손실률이 많아 탐지율이 떨어짐

3. 호스트 상에서 수행되는 세부 행위에 대해 탐지할 수 없음

4. 오탐률이 높음(False Positive)

호스트 기반(HIDS)

- 서버에 직접 설치하므로 네트워크 환경과 무관

- 호스트 시스템으로부터 생성되고 수집된 감사 자료(시스템 이벤트)를 침입

탐지에 사용하는 시스템

- 여러 호스트로부터 수집된 감사 자료를 이용할 경우 다중 호스트 기반이라고도 씀

장점

1. 정확한 탐지 가능, 침입 방지 가능 다양한 대응책 수행

2. 암호화 및 스위칭 환경에 적합

3. 추가적인 하드웨어가 필요하지 않음.

4. 트로이 목마, 백도어, 내부 사용자에 의한 공격 탐지 가능

단점

1. 각각의 시스템마다 설치해야 하므로 다양한 OS를 지원해야 함.

2. 해커에 의한 로그 자료의 변조 가능성 존재 및 DOS 공격으로 IDS 무력화 가능

3. 구현이 용이하지 않음.

4. 호스트 성능에 의존적이며, 리소스 사용으로 서버 부하 발생

NIDS의 위치

1. 패킷이 라우터로 들어오기 전 : 모든 공격을 탐지할 수 있지만 네트워크에

치명적인 공격에는 대처가 어렵다는 단점이 존재

2. 라우터 뒤 : 패킷 필터링을 거친 후의 패킷 탐지, 좀 더 강력한 의지가 있는

공격자 탐지 가능.

3. 방화벽 뒤 : 만약 침입 탐지 시스템을 설치한다면 이곳에 설치해야 함.

만약 한대만 설치할 수 있다면 이곳에 설치해야 함.

4. 내부 네트워크 : 방화벽은 침입을 일차적으로 차단하지만 내부에 대해서는

무방비 상태

5. DMZ : 아주 능력이 뛰어난 외부 공격자와 내부 공격자에 의해 중요 데이터

손실이나 서비스 중단을 막기 위함

설치 우선순위로는 3 -> 5 -> 4 -> 2 -> 1

HIDS는 특별한 위치는 없으며 보통 중요한 시스템에 설치(웹서버,  모든 서버 설치하려고 하면 관리 비용이 많이 듦)

----------------------------------------------------------------------------------

오용탐지 및 이상탐지 설명 및 비교

https://didimdol20.tistory.com/62

2010-06-11 수정

----------------------------------------------------------------------------------

오늘은 이상으로 마치겠습니다.

감사합니다.

안녕하세요 오늘은 침입 방어에 대한 시스템 중 침입탐지 시스템(IDS)을 알아보려고 합니다.

그중 오용 탐지와 이상 탐지의 차이점을 중점으로 두려고 합니다.

공부를 제대로 해놓은 상태에서 혹시라도 해당 주제에 대한 문제를 보면

아주 쉽게 맞으실 수 있는데요.

저는 대략으로 공부하다 보니, 가끔 틀리는 부분입니다. ㅜㅜ

아마 공부하시다 보면 아래 세 가지를 보시게 될 것입니다.

침입 차단시스템(방화벽) 침입탐지 시스템(IDS) 침입방지 시스템(IPS)

침입탐지 시스템은 대상 시스템에서 허가되지 않거나 비정상적인 행위에 대하여

탐지 또는 식별을 통해 실시간으로 침입을 탐지하고 보고하는 기능의 소프트웨어입니다.

침입 탐지 시스템은 침입을 시도 하너나 침입 행위가 일어나거나

발생한 것을 확인을 하는 절차라고 정의되어 있습니다.

(- 사실 정의 부분은 쓸지 말지 고민하였으나 혹시라도 정의를 쓰시려는 분들이

두 번 검색하지 않게 하기 위해... 혹시라도 없어도 된다고 생각하시면

댓글로 의견을 남겨주시면 참고하겠습니다.)

  실제로 방화벽이 차단할 수 있는 공격이

절반도 되지 않은 약 30%밖에 되지 않는다고 하는데요.

이러한 단점을 보완하기 위해 침입 탐지 시스템(IDS = intrusion Detection System)입니다.

침입 탐지 시스템은 네트워크에서 백신과 유사한 역할을 하는데요. 네트워크를 통한 공격을 백신처럼

탐지를 하는 기능이 있습니다.

(백신이 실시간으로 탐지하는 것처럼 말이죠)

침입 탐지 시스템의 종류로는

호스트 기반의 침입탐지 시스템(HIDS)

네트워크 기반의 침입탐지 시스템(NIDS)이 있습니다.

이 둘의 대한 내용은 다음에 기회가 되면 다시 올리도록 하겠습니다.

침입 탐지 시스템의 장단점은 다음이 있습니다.

침입 탐지 시스템의 주요 기능은 다음이 있습니다.

- 데이터의 수집

HIDS

- 윈도우나 유닉스 등의 운영체제에 부가적으로 설치되어 운용되거나 클라이언트에 설치

- 네트워크에 대한 침입탐지는 불가능하며 스스로가 공격 대상이 될 때만 침입을 탐지할 수 있음.

- 사용자 계정에 따라 어떤 사용자가 접근을 시도하고 어떤 작업을 했는지 기록 남기고 추적

NIDS

- 네트워크에서 하나의 독립된 시스템으로 운용

- 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않음.

- HIDS로는 할 수 없는 네트워크 전반에 대한 감시를 할 수 있으며 감시 영역이 상대적으로 매우 큼

------------------------------------------------------------

HIDS / NIDS 설명에 관한 글은 아래 링크 남겨두겠습니다.

https://didimdol20.tistory.com/61

2020-06-10 수정

--------------------------------------------------------------------

- 데이터의 필터링과 축약

IDS에 의해 수집된 각종 데이터들을 통해 효과적으로 대응하기 위해 데이터 필터링과 축약 기능이 필요하다

- 침입 탐지

침입 탐지 기법에는 오용 탐지(Misuse Detecion)와 이상 탐지(Anormaly Detection)로 나뉜다.

오용 탐지

오용 탐지 기법은 이미 발견되고 적립된 공격 패턴을 미리 입력해두었다가

이에 해당하는 패턴이 탐지되면 알려주는 것이다.

비교적 오판율이 낮고 효율적이지만 알려진 공격 이 외에는 탐지할 수 없고

대량의 데이터를 분석하는 것은 부족하다.

즉 제로데이 공격에는 취약한 단점이 있다.

이상 탐지

이상 탐지 기법은 정상적이고 평균적인 상태를 기준으로 하여, 이에 상대적으로

급격한 변화를 일으키거나 확률이 낮은 일이 발생하면 침입 탐지로 보는 것이다.

--------------------------------------------------------------------------------

오용 탐지 및 이상 탐지 설명 및 비교

https://didimdol20.tistory.com/62

2020-06-11 수정

------------------------------------------------------------------------------------------------

- 책임 추적성 및 대응

과거 침입 탐지 시스템은 능동적인 기능이 별로 없고 공격을 발견하면 관리자에게 알람이나

기타 방법으로 알려주는 정도였지만 최근에는 침입자의 공격을 역추적하고 침입자의 시스템이나

네트워크를 사용하지 못하게 하는 능동적인 기능이 많이 추가되었다.

능동적인 기능을 많이 탑재하여 실제로 차단하는 기능을 가진 시스템을 침입 방지 시스템(IPS)이

있는데 해당 내용은 다음에 작성하도록 하겠습니다.

오늘은 간단하게 침입탐지 시스템을 알아보았습니다.

원래는 계획했던 것을 하려다 보니, 정보들이 많아지고 쓸 내용들이 많아지더라고요.

해당 내용만 알기 위해 검색하신 분들이 불편할 수도 있다는 생각이 들어

해당 부분은 나누어서 해볼까 합니다.

조금만 했는데도 이렇게 차 버리네요...

물론 이후 작성하고 나서 해당 링크를 아래 추가해놓도록 하겠습니다.

오늘은 이상으로 마치겠습니다. 

감사합니다.

해당 게시물에 수정할 점이 있으면 댓글에 남겨주시면 수정하겠습니다.

안녕하세요 오늘은 공부를 하면서 혹시나 다른 분들한테도 도움이 될까 하여 올려봅니다.

물론 저도 글을 쓰면서 한번 더 개념을 정리하는 효과도 있죠.

오늘은 TCP / UDP 차이점에 대해서 요약본으로 설명드리고

이후 보안 기사를 공부하시거나 해킹 공격에 관하여 관심이 있으신 분들은 한 번쯤 봤을 공격

워터링 홀에 대해 설명드리고자 합니다.

이렇게 보기 좋게 표로 정리해봤습니다.

TCP 같은 경우 신뢰성이 보장되어 금융 같은 곳에서 사용을 하는데요. 신뢰성이 보장되기 위해 흐름 제어 및 혼잡 제어 기능을 제공하며 또한 보낸 후 받았는지 확인을 하기 때문에 좀 더 신뢰성이 있습니다.

오류가 발생하면 바로 다시 보낼 수 있으니깐요.

또 그 무엇보다 3 way handshaking 덕분에 좀 더 신뢰성이 있겠죠.

3 way handshaking 같은 경우 직접 연결을 하기 때문에 IP가 실제로 있는 IP로 연결이 가능합니다.

예를 들어 제가 친구에게 전화를 했는데 부재중으로 표시가 됩니다. 하지만 저는 다른 번호로 전화를 건 것이고 부재중 전화에 친구가 해당 번호로 전화를 했지만 서로 맞지 않아 연결이 되지 않는것이죠.

서로 주고 받을 수 없기 때문에 연결이 되지 않는 것입니다.

물론 이에 대한 공격 방법은 나중에 기회가 되면 글을 올리도록 하겠습니다.

UDP 같은 경우 속도가 빠르다는 장점이 있습니다. 다만 비신뢰성이죠.

아무래도 수신 여부도 확인하지 않을뿐더러 TCP처럼 3 way handshaking 하지 않기 때문입니다.

UDP 같은 경우 중간에 패킷이 손실되어도 무방한 멀티미디어에 많이 사용합니다.

우리가 영상을 보더라도 중간에 끊겨도 계속해서 다시 보는 것을 생각해보면 좋을 것 같습니다.

둘을 간단히 비교해보면

TCP는 UDP에 비해 신뢰성 있는 전송을 할 때 사용한다.

주로 FTP(20,21) 전송 HTTP(80) 사용하고

UDP는 TCP에 비해 속도가 빠르고 부하가 적다.

주로 DNS(53) 사용합니다.

후에 공격 방법에 대해서 공부를 하고 글을 올릴 텐데

부하가 적다는 저 내용을 통해 수정하여 공격하는 ping of death 공격도 나중에 글을 올리도록 하겠습니다.

그렇다면 TCP와 UDP를 동시에 사용하면 안 되나....? 다른 질문을 할 수 있습니다.

순서가 중요한 경우엔 TCP를 쓰고, 사용자 입력이나 상태 처리엔 UDP를 쓰는 등으로 말이죠.

하지만 TCP와 UDP를 번갈아 가며 처리하기가 복잡하고

또 TCP가 UDP의 패킷 손실을 유발한다는 정보가 있다고 합니다.

인터넷에 검색해보면 많은 분들이 사용방법을 고민하고 의견을 주시는 분들이 많으시더라고요.

저 역시 처음엔 UDP로 하다가 신뢰성이 필요한 정보를 전달할 때는 TCP를 따로 구현해놓아서 하면 되지 않나 싶지만

아직 짧은 지식이라 의견을 제대로 낼 수는 없겠네요.

나중에는 가능할지 모르겠지만요.

워터링 홀 (Watering Hole)

공격자는 표적에 대한 정보를 수집하여 주로 방문하는 웹사이트를 파악해서,

그 웹사이트에 미리 악성코드를 심어 놓는다.

그리고 표적의 컴퓨터에 악성코드를 추가로 설치한다.

예를 들어 외교 관련 사이트에 악성코드를 심고 기다리다가, 어느 날 관계자가

접속을 하면 감염되어 PC에서 정보를 빼는 방법이 있다.

예를 들어

- 사자가 물 웅덩이에 대기하고 있다가 사냥감을 잡는다던지

- 우물에 약을 타서 그 물을 먹는 동물들이 감염된다는 방법으로 설명드릴 수 있겠습니다.

주로 특정 대상을 타깃으로 삼아 기밀 정보를 빼내기 위하여 사용한다고 합니다.

요즘은 보안에 취약한 중소기업을 노리는 공격도 증가한다고 하네요.

예방 방법

- 사용자들은 안전하지 않은 웹사이트는 접속하지 않도록 한다.

- 악성코드를 탐지할 수 있는 백신을 설치한다.

사용자들은 이렇게 간단한 예방방법을 통해 방지를 하도록 노력을 해야 할 것 같습니다.

오늘은 TCP / UDP와 공격 방법 중 한 가지인 워터링 홀에 대해 알아보았습니다.

혹시 수정하거나 보완할 점을 발견하셨다면 댓글 남겨주시면 감사하겠습니다.

해당 글을 쓰면서 저 역시 개념을 정리하고 여러분에게도 도움이 되었으면 좋겠네요.

오늘은 이상으로 마치겠습니다.

감사합니다.

-------------------------------------------------------------------------------------------

기존 글에선 기본 서체였으나

혹시라도 보기 불편하실까봐 서체를 글꼴을 바꿔보았습니다.

혹시 보기 편하신 글꼴이 있으시다면 의견 남겨주시면 감사하겠습니다.