Network Behavior Analysis Network Behavior Analysis for Unknown Attack Detection ( 주 ) 씨큐비스타 / 전덕조 KRNet 2008
재4 th Generation Attacks < 피해의범위 > 전세계 광범위지역지역개별조직 / 회사개별 PC 현실시간방어통합보안 ( 수분 ) 개별보안 ( 수시간 ) 안티 - 바이러스 ( 수주일 ) 1990s 2000 2003 2006 *Source: Cisco,Symantec 2 < 년도 >
The Speed of Attacks < 공격에걸리는시간 > Seconds Class III 사람에의한대응 : 불가능자동화된대응 : 불가능 -새로운방식필요 Flash Threats 출현예상 Minutes Hours Class II 사람에의한대응 : 어려움 / 불가능자동화된대응 : 가능 ( 느린공격 ) Blended Threats Warhol Threats SQL Slammer worm IPS Days Weeks or Month File Viruses Macro Viruses e-mail Worms Class I 사람에의한대응 : 가능자동화된대응 : 가능 e-mail worms, Nimda 바이러스갱신, 라우터, 방화벽 ACL IDS, IPS 1990년대초 1990년대중반 1990년대말 2000년 2003년 < 년도 > *Source: CERT/CC 3
Traditional Security Measures & Limitations 4
Gartner's Top Predictions for IT Organizations and users, 2007 and Beyond Intrusion Prevention Network Behavior Analysis (NBA) ETH Vulnerability Assessment Network Access Control (NAC) 2007 년말까지, 75% 의기업들이기존보안솔루션들을우회하는탐지되지않는, 경제적인이익을목적으로한악성코드에감염될것이다. 위협환경은변화되고있다 경제적인이익을목적으로한목표 (targeted) 공격이증가되고있으며, 자동화된악성코드생성툴은수천가지의변종을빠르고쉽게만들수있다. 그러나우리의보안절차와기술은그러한기술을따라잡지못하고있다. Gartner's Top Predictions for IT Organizations and users, 2007 and Beyond 5
New Threat - Botnet Botnet = bot, botmaster, C&C 서버로구성되어명령에따라제어할수있는 Zombie 네트워크 - Bot 은 Worm 의전파특성, Backdoor 의명령송수신특성을가지며, Rootkits 의은닉기법을사용하며, Key logger 등의 Spyware 의요소를가짐 - 경제적이익을목적으로함 - 일반적으로수십만 Bot 으로구성되어원격에서제어됨 - 시스템사용자는 Bot 감염여부를알수없으며, IRC, HTTP, P2P 등다양한경로를통하여통제됨 - DDoS, 스팸, 키보드로깅, worm 및신종 exploit 을설치등다양한공격의기반으로이용됨 - Internet 에연결된 1~5% 가다양한 Bot 에감염되어있음 -BotConomics 의형성 (cents ~ $xx) Botnet 은 AV, IPS 등기존보안기술로탐지가불가능함 (Polymorphic)
Botnet Example (DDoS Net) Botmaster 는모든종류의 DDoS 공격을자유자재로구사할수있음 7
Other Threats 8
Network Behavior Analysis - Gartner Hype-Cycle 9
Network Behavior Analysis Gartner 기능 추천 장점 NBA 는방화벽과같은정책기반보안솔루션및 IDS/IPS, SIEM 와같은시그니처기반보안솔루션이놓칠수있는위협에대한 Gap 을메울수있다. Gartner 는방화벽및 IDS/IPS 를구현한기업네트워크보안의균형을위한 NBA 도입을권장한다. 보안관리가우선인기업은 SIEM(ESM, TMS) 을도입하여야하지만네트워크보안이우선인기업은 SIEM 도입전에 NBA 를도입하는것이바람직하다. NBA 벤더의시그니처기반기존보안벤더대비명백한강점은 zero-day 취약점문제를다룬다는측면이다. 2006 년 $120 Million 2007 년 $160 Million ( 평균시장성장율 : 33.33 %) 시장규모및기타 2008 년 $210 Million ( 평균시장성장율 : 31.25 %) NBA 벤더에대한인수 / 합병은해당벤더의지속적인성장이예견되는 2008년도중반까지는나타나지않을것이다. NBA 기술에대한수요는기업들이포괄적인기업모니터링에대한 Gap을채울수있는기술을찾게되는 2010까지는지속될것이다. 10
Network Behavior Analysis Yankee Group *Source: Yankee Group, 2007 11
Attack Detection Approaches 접근방법특징단점 Signature 기반 통계적기법 규칙기반 ( 전문가시스템 ) 서비스 spoofing 기반 (HoneyNet) 트래픽행위패턴기반 Payload 에대한 Signature( 공격패턴 ) 매칭 트래픽의급격한변화에기반하여공격탐지 Threshold 에의한판단 관리자지식 ( 대역폭사용량, TCP 세션수등 ) 에따라공격탐지 사용하지않는 IP주소로향하는트래픽은의심스러운트래픽으로간주함 해킹및 Worm 탐지에가장효과적임 네트워크특성으로부터트래픽패턴을수집하여 baseline 패턴과비교하여 Deviation 에의한이상탐지 * 느림 / 알려진공격만탐지 * 오탐문제 * 분산환경의다양한트래픽에대하여많은오탐유발 * 정확한공격탐지불가 * 규칙을 Learning을시키기어려움 * 복잡한규칙적용불가 * 사용하는 IP 주소공간으로향하는트래픽에대한공격탐지불가 * 사용하지않는 IP 주소필요 * 사람에의한분석지연시간 Source: 2006 IBM Zurich Laboratory 12
Network Behavior Analysis 과거 알려진공격 현재 미래 알려지지않은공격 탐지방지학습기반결정적 시그니처기반엔진 시그니처기반엔진 행위기반탐지 트래픽이상탐지 반복적패턴인식무엇이비정상인가? 네트워크침입탐지 네트워크침입방지 웹방화벽 NBA ( 네트워크행위분석 ) 13
NetFlow Version 1, 5, 7, 8 and 9 Developer Darren Kerr and Barry Bruins at Cisco Systems in 1996 Flow 정보 아키텍처 : capture device, data collector and data analyzer. Capture Device: data plane (i.e. a router) 에속하며, 유입 Flow 에대한통계정보수집 Flow : 아래의 7 가지속성을가지는 IP 패킷의그룹으로정의됨 Source IP address Destination IP address Source port Destination port Layer 3 protocol type TOS byte (DSCP) Input logical interface 통계는 Flow 당 number of bytes and the number of packets 로계산되며 Flow 의시작및끝을나타내는 timestamp 와함께제공됨 Local cache 에저장되어주기적으로 UDP 로 Data Collector 로전송 14
Network Behavior Analysis Algorithm Service A 의 Archetype OK OK Anomaly!!! OK Service A 15
Network Behavior Analysis Algorithm 16
Network Behavior Analysis : Commercial Vendor Examples 벤더명제품명사용기술특징 Arbor Networks Peakflow Packet Data Netflow cflow sflow 트래픽행위기반 Lancope StealthWatch Packet Data Netflow 트래픽행위기반 Mazu Networks Mazu Profiler Packet Data Netflow 트래픽행위기반 Q1 Lab QRADar Packet Data Netflow sflow JFlow Firewall log, IDS log 트래픽행위기반 17
Network Behavior Analysis Arbor Networks Collector Netflow 정보수집 ( 라우터 ) 하여정상트래픽에대한프로파일링 정상트래픽에대한 Deviation 발생시 Controller로이상행위리포트 5가지트래픽특성을모니터링 : GRE, ICMP, bandwidth, TCP SYN, XXX 정상트래픽은 7 가지 time Windows(30s to 48H) 에따라모델링되며, 각각의 Time Windows에대해서정상트래픽에대한특성이정의됨 추가적으로각프로파일은모든인터페이스에대해정의되며, number of bits per second 및 number of packets per second로정의됨 모델은각특성, 각 Time Window 및각인터페이스로정의되며 Baseline이라고함 Anomaly : 트래픽에영향을주는모든것 : Attack, Routing 경로변경등. Controller Collector 로부터모든이상행위수집 Limitation 공격을탐지하는것이아니라 Anomaly를탐지 자동화된이벤트 correlation 기능부재 ( 관리자분석 ). ICMP, TCP SYN, GRE 및 bandwidth-consumption based anomalies 탐지 자동대응기능없음 18
Network Behavior Analysis Mazu Networks Profiler time, source IP 및 destination IP 등에근거하여정상트래픽프로파일링 트래픽이아니라호스트그룹에의한프로파일링가능 Heuristics: unauthorized accesses, hosts and ports scans, worms, DoS attacks, new and disappearing network services, new and disappearing hosts Enforcer behavior 모니터링이아니라통계분석 total byte and packet rates, TCP, UDP, ICMP byte and packet rates, and TCP SYN related values ( 예 : the number of unacknowledged number of SYN) thresholds 는 administrator에지정되며 Threshold에도달하면 IP Header 추가분석 19
Accurate NBA - Specification Netflow 및 Packet 정보사용 Conditions behavior based/knowledge based of detection mechanisms 사용 다수의 detection mechanisms 동시사용 detection mechanisms 에서사용하는 Model 은 adaptive 하여야함 1 Surveillance Detection 2 Payload Anomaly Detection 3 packets, Connections, flows 에대한다양한 Features 에근거한모델링 각 Feature 별 Normal 로부터 Deviation 계산 Conditionals, Aggregation, Burst 등다양한기준에의한 Anomaly 탐지 4 다수의 detection Engine 의 event 간 Correlation Expected Results Worms, Botnets, DDoS, Stealth Attack, Targeted Attacks, Root kits, Trojans Zero-day Attacks, Acceptable use violation 등 20
감사합니다. 21