침입탐지시스템(IDS, Intrusion Detection System) Feat.허니팟

1) IDS

개요

- 침입탐지시스템은 네트워크에서 사용되는 자원의 무결성, 비밀성, 가용성을 저해하는 비정상적인 사용과 오용, 남용 등의 행위를 가능한 한 실시간으로 탐지하여 관리자에게 경고메시지를 보내주고 대응하는 시스템

- 침입탐지시스템은 외부침입에 대한 정보를 수집하고 분석하여 침입활동을 탐지해 이에 대응하도록 보안 담당자에게 통보하는 기능을 수행하는 네트워크 보안 시스템이다.

 

특징

- 내, 외부망의 접속점에 위치하여 방화벽의 부족한 부분을 보강하기 위해 사용되는 것이 침입탐지시스템이다.

- IDS 도구의 기본 목적은 네트워크상에서 발생하는 의심스러운 행동을 발견하고, 네트워크 관리자의 스크린으로 깜박이는 메시지를 전달하며 경고음을 발생시키거나 방화벽의 ACL값을 변경시키는 재설정 파일을 전송하는 것이다.

- 전통적 IDS는 공격의 증거를 찾기 위한 네트워크 트래픽분석의 역할을 수행했지만 점차 IDS는 시스템의 침해여부를 보기 위해 액세스 로그들을 조사하여 파일을 분석하는 것으로 변하였다.

- 또한 허니팟 개념으로 점차 확장/변화하고 있다.

 

IDS의 장단점

장점	단점
- 해킹에 대해 침입차단시스템보다 적극적 방어 가능 - 내부 사용자 오,남용 탐지 및 방어 가능 - 해킹사고 발생 시 어느 정도의 근원지 추적 가능	- 대규모 네트워크에 사용 곤란 - 관리 및 운영의 어려움 - 새로운 침입기법에 대한 즉각적인 대응곤란 - 보안사고에 대한 근본적인 해결칙은 되지 못함

 

IDS의 실행단계

1. 데이터 수집

- 탐지대상(시스템 사용내역, 패킷 등)으로부터 생성되는 데이터를 수집하는 감사 데이터(audit data) 수집단계

2. 데이터 가공 및 축약

- 수집된 감사데이터를 침입 판정이 가능하도록 의미 있는 정보로 전환시키는 단계

3. 침입분석 및 탐지 단계

- 데이터를 분석하여 침입 여부를 판단하는 침입탐지시스템의 핵심단계로 여러 가지 탐지 기법 존재.

  - 비정상적 행위 탐지 기법 : 시스템의 비정상적인 사용을 탐지.

  - 오용 탐지 기법 : 시스템의 취약점, 응용 프로그램의 버그 등을 탐지

- 최근에는 비정상적 행위 탐지기법과 오용 탐지기법을 혼합하여 사용하는 하이브리형 탐지기법이 많다.

4. 보고 및 대응

- 시스템의 침입 여부가 침입으로 판정된 경우 이에 대한 적절한 대응을 자동으로 취하거나, 보안관리자에게 침입사실을 보고하여 보안 관리자가 조치를 취하게 한다.

IDS 종류

침입탐지 시스템	탐지방법	행위기반	기능적 특성
		지식기반
	대응방법	수동적
		능동적
	데이터 수집원	호스트 로그파일
		네트워크 패킷
	탐지시점	사후 분석	비기능적 특성
		실시간 분석

 

 

 

 

2) 허니팟

 

개요

- 허니팟은 방화벽이나 침입탐지시스템처럼 특정한 보안문제를 해결하거나 다른 보안 시스템을 대체하는 역할은 수행하지 않는다.

- 잠재적 공격자에 대한 조기 경보 제공, 보안 전략의 결점 파악 그리고 조직 전체의 보안의식 향상과 같이 전반적인 보안 메커니즘을 향상시키는 기능을 수행한다.

- 실제로 자료를 가진 호스트인 것처럼 인터넷상에 존재하면서 해커, 악의적인 내부자 등을 속여 그들로부터 침해를 당함으로써 그들의 행동, 공격기법, 목적 등을 분석하는 데 사용된다.(허니팟은 네트워크상에 희생양 역할로 구성된 컴퓨터.)

허니넷(HoneyNet)
다수의 허니팟으로 구성된 네트워크. 해커들의 행동과 방법을 파악하여 다양한 해킹에 대처하기 위해 구축된 네트워크로, 해커들의 행동과 방법에 대한 정보 수집은 물론, 해커들을 유인한 후 실제 서비스 네트워크 및 자원과 격리하여 여러 시스템에 대한 공격 패턴을 알아낼 수가 있다. 공격자들은 허니넷을 정상 네트워크로 인식하기 때문에 조직 내의 모든 서버와 네트워크에 대해 어떤 의심도 가지지 않고 각각의 기능을 수행하고 있다고 생각하게 된다.

- 비교적 최근에 개발된 침입탐지 기술은 허니팟이다.

- 허니팟을 설계한 목적은 아래와 같다.

   (1) 중요한 시스템에 접근하는 공격자를 다른 방향으로 돌린다.

   (2) 공격자의 동작에 관한 정보를 수집한다.

   (3) 관리자가 반응할 수 있도록 공격자로 하여금 시스템에 충분히 오랜 시간 동안 머무르기를 유도한다.

   

특징

- 다른 보안 시스템처럼 성능이 시스템 자원에 영향을 받지 않는다. 허니팟은 단지 자신에게 보내진 패킷만 수집하기 때문에 데이터를 처리하기 위해 고성능의 시스템을 사용할 필요가 없다.

- 고의적으로 취약점을 내포하고 있어, 취약점에 대한 패치가 발표되지 않은 시점(Zero-Day)에 발생하는 공격을 사전에 탐지할 수 있는 예방통제 기술이다.

- 또한, 외부로부터의 공격을 허니팟으로 유인하여 공격으로 인한 시스템 논리적인 파괴 및 손실을 방지하는데 목적을 두고 있다.

 

Enticement VS Entrapment

구분	유인(Enticement)	함정(Entrapment)
대상	시스템에 허가되지 않은 접근을 시도한 책임자	침입 의도가 없는 사용자
목적	침입의 흔적을 증거로 남기기 위한 목적	범죄를 유발할 목적
합법여부	합법, 윤리적	불법, 비윤리적
기타	증거를 잡아내기 위해 법인으로 하여금 범죄의 순간을 충분히 오래 유지하도록 하는 것	의사가 없던 사람에게 범죄를 저지르도록 이끄는 것

 

허니팟 단점

 

- 허니팟은 미러링 포트에 설치되는 침입탐지시스템과 달리 일반 포트에 설치되어 자신에게 오는 패킷만 수집하므로 네트워크 전반에 대한 침입정보를 분석할 수는 없다.

- 공격자가 허니팟을 알아차릴 경우에는 허니팟을 우회하거나 마비시키는 공격을 가할 수 있는 단점을 가지고 있다.

이상 금융거래 탐지시스템(FDS, Fraud Detection System)
전자금융거래에 사용되는 단말기 정보, 접속정보, 거래내용 등을 종합적으로 분석해 의심거래를 탐지하고, 이상금융거래를 차단하는 시스템을 의미한다.
위험분서과 인증 정책에 따라 디바이스 인증, 사기방지 Rule 등을 통한 최적의 인증 방식을 적용하여 계정 도용에 의한 사기 방지와 침해사고 탐지 기능을 제공하는 솔루션이다.