Examples of Intrusion Chap 8. Intrusion Detection 원격관리자권한획득 웹서버조작 패스워드추측 / 크래킹 신호카드번호가포함된데이터베이스복사 허가없이개인정보보기 패킷스니퍼 (sniffer) 실행 - 모니터링 불법복제 ( 해적판 ) 소프트웨어배포 보안이미비한 modem 을사용하여내부네트워크접근 회사임원을사칭하여정보획득 허가없이로그인되어있는빈 workstation 사용 2 Intruder Behavior Hacker Patterns of Behavior 공격대상포착및정보수집 초기접속 권한상승 1 2 3 select the target using IP lookup tools such as NSLookup, Dig, and others map network for accessible services using tools such as NMAP (port scan) identify potentially vulnerable services (in this case, pcanywhere) 4 brute force (guess) pcanywhere password 정보수집및시스템공격 접근관리 추적회피 5 6 install remote administration tool called DameWare wait for administrator to log on and capture his password 7 use that password to access remainder of network 3 4
Criminal Enterprise Patterns of Behavior Internal Threat Patterns of Behavior 신속하고, 정확하게행동하여자신의동작을탐지하기어렵게만듬취약한포트를경유하여경계 (perimeter) 을공격함 자신과친구들의네트워크계정만들기 일상적으로사용하지않는계정과응용프로그램에접근 이전또는예상되는고용주에게 email 보냄 트로이목마 (hidden software) 를사용하여재진입을위한 back-door 를남겨둠 많은수의다운로드와파일복사를수행 불만이있는직원에게영합하기위해웹사이트방문 은밀한인스턴트메시징수행 sniffers 를사용하여 password 들을캡쳐함 노출될때까지옆에서기다리지 (stick around) 않음 근무외시간에네트워크접근 5 6 Intrusion Detection Systems (IDSs) host-based IDS 하나의호스트의특성과이벤트를감시하여의심스러운활동을감지함. network-based IDS 네트워크트래픽을감시하고네트워크, 전송및응용프로그램프로토콜을분석하여의심스러운활동을식별함. Distributed or hybrid IDS 중앙분석기에서센서들, 호스트, 네트워크 IDS 에서오는정보들을잘결합하여침입활동을더잘식별하고대응함. Intrusion Detection Systems (IDSs) IDS 의논리적구성요소 Sensors 데이터수집 analyzers 침입이발생했는지여부를결정 user interface 출력을보거나, 시스템행동을제어 7 8
IDS Principles IDS Requirements 침입탐지시스템의원리 침입자의행동이일반사용자와는다르다는가정에기반을둠 침입자와일반사용자의행동특성이겹칠수있음 (overlap) - 엄격한해석 : false positive - 느슨한해석 : false negative 지속적으로실행 fault tolerant 시스템 crash 후재시작했을때에복구가능 resist subversion 자신을감시하여공격받으면바로탐지가능 시스템에최소한의오버헤드부과 시스템보안정책에따라서설정가능 시스템과사용자들의행동변화에적응가능 많은수의시스템을감시할수있도록확장가능 graceful degradation of service - 일부구성요소가중지되었을때에나머지요소가적게영향받으면서동작가능 재시작없이동적재설정가능 9 10 Analysis Approaches Anomaly Detection 이상탐지 (Anomaly detection) 일정기간동안합법적인사용자의행동과관련된데이터수집 현재관찰된행동을분석하여이행동이합법적인사용자의행동인지또는침입자의행동인지여부를결정합니다 Signature/Heuristic detection 알려진악의적인데이터패턴또는공격규칙을사용하여현재행동과비교 오용 (misuse) 탐지라고도함 패턴이나규칙이있는미리알려진공격만식별가능 다양한분류방법이사용됨 Statistical 관찰된지표를단변량, 다변량또는시계열모델등의통계적분석을사용하여동작을분석 Knowledge based 정상동작을모델링하는일련의규칙에따라서관찰된동작을분류하는 expert system 을사용 Machine-learning data mining 기술을사용하여학습된데이터로부터관찰된동작에적합한분류를자동적으로결정함 기계학습 11 12
Signature or Heuristic Detection Host-Based IDS (HIDS) Signature approaches signature 침입 / 공격이의심되는알려진악성데이터패턴 시스템저장데이터또는네트워크전송데이터에대해 signature 집합의패턴과일치되는지비교 오탐지율을최소화하기위해서 signature 는매우커야함 Anti-virus 제품, 네트워크침입탐지시스템 (NIDS) 에서널리사용되는방식 zero day 공격에취약함 Rule-based heuristic identification 규칙 (rule) 침입 / 공격이의심되는행동을정의함 규칙을사용하여알려진취약점을이용하는공격과침입을식별함 ( 예 ) SNORT rule-based NIDS 공격에취약한시스템에특별한보안소프트웨어계층을추가함 이상 (anomaly), 서명 (signature0 또는경험적 (heuristic) 접근방법사용가능 의심스러운동작을탐지하기위해활동을감시 주목적은침입탐지, 이벤트기록 (log), 경고통지 외부침입과내부침입모두탐지 13 14 Data Sources and Sensors Distributed Host-Based IDS Sensor 데이터를수집함 침입탐지에기본적인구성요소 일반적인데이터소스 system call 추적 (table 8.2 참고 ) Unix/Linux OS 에서효과적 감사 (log 파일 ) 기록 파일무결성검사 checksum 생성및검사 registry 접근감시 windows OS only Host agent module LAN monitor agent module Central manager module 15 16
Agent Architecture Network-Based IDS (NIDS) 주목할만한이벤트검색 의심스러운패턴탐지 표준양식 네트워크의선택지점에서트래픽을모니터링 실시간또는거의실시간으로패킷단위로트래픽을검사 네트워크, 전송또는응용계층프로토콜활동분석가능 다수의센서, NIDS 관리용서버, 관리자용콘솔로구성됨 트래픽패턴분석은센서, 관리서버또는둘의조합에서수행가능 수집된데이터로부터추론 (expert system) 17 18 NIDS Sensor Deployment NISD Sensor Deployment Example inline sensor network segment에삽입되어센서를통과하는트래픽을감시 passive sensors 네트워크트래픽을복사본을감시 모든트래픽감시 정상사용자의내부서버에대한허용되지않은행동탐지 방화벽성능확인웹서버, FTP 서버공격탐지 특정부서의네트워크에대한공격탐지 19 20
Intrusion Detection Techniques Stateful Protocol Analysis (SPA) signature detection(misuse detection) 에적합한공격 application, transport, network 계층에서의프로토콜을분석하여이프로토콜을대상으로한공격을탐지 unexpected application services, policy violations anomaly detection에적합한공격 denial of service attacks scanning - 시스템의특성과취약점을찾기위한포트조사 worms 평소에통신을하지않았던호스트와사용하지않았던포트번호사용을탐지. 많은웜이스캐닝을수행함. 상태기반프로토콜분석 관찰된 network traffic 과공급업체가제공하는 protocol traffic 에대한 profile 과비교하여비정상동작을탐지 network, transport, application 프로토콜상태를이해하고추적하여예상대로진행되는지확인함. 단점 : 많은자원을사용함 21 22 Logging of Alerts Distributed or Hybrid Intrusion Detection NIDS 센서가기록하는전형적인정보 Timestamp Connection or session ID Event or alert type Rating( 점수 - 우선순위, 심각도, 영향력, 신뢰도 ) Network, transport, and application layer protocols Source and destination IP addresses Source and destination TCP or UDP ports, or ICMP types and codes Number of bytes transmitted over the connection Decoded payload data (application requests and responses) State-related information ( 인증된사용자이름등 ) 많은 sensor 를사용하여 false positive 최소화 Autonomic Enterprise Security System 구조 23 24
Intrusion Detection Exchange Format Honeypot 분산 IDS 에서상호운용을위한표준이필요 침입탐지메시지교환을위한데이터형식과절차등이정의됨 하니팟 공격자들을중요시스템으로부터멀리로유인하기위해설계된미끼시스템 (decoy systems) 공격자가중요시스템에접근하지못하도록유인함 공격자활동에대한정보수집 관리자가대응할수있을만큼오랫동안공격자가시스템에머물게유도함 정상사용자가접근하지않을가공의정보로채워짐 honeypot 의자원은실제적인가치를갖지않음 수신통신은 probe, scan, attack 일가능성이높음 송신통신은시스템이이미침입되었을가능성을나타냄 해커가네트워크내에있으면관리자는이들의행동을관찰하여방어를고안할수있음 25 26 Honeypot Deployment SNORT 방화벽외부 외부접근이가능한방화벽내부 (DMZ) 방화벽내부 lightweight IDS real-time packet capture and rule analysis easily deployed on nodes uses small amount of memory and processor time easily configured DMZ 27 28
Snort Rule Formats SNORT Rules 형식 action, protocol, src IP, src port, direction, dest IP, dest port, option-keyword, option-arguments alert tcp $EXTERNAL_NET any -> 192.168.3.0/24 80 (msg: Sample alert ; content: http 3a //www.vorant.com/test.cgi?id=pwn3d ; nocase; offset:12; classtype: web-application-activity; reference:url,http://www.vorant.com/advisories/20060405.html; sid:2000123; rev:1;) alert tcp $EXTERNAL_NET any -> 192.168.3.0/24 80 (msg: Sample alert ; pcre: /GET.*\.htm/i ; classtype: webapplication-activity; reference:url,http://www.vorant.com/advisories/20060405.html; sid:2000123; rev:1;) Action alert log pass activate dynamic drop reject sdrop use a simple, flexible rule definition language each rule consists of a fixed header and zero or more options Description Generate an alert using the selected alert method, and then log the packet. Log the packet. Ignore the packet. Alert and then turn on another dynamic rule. Remain idle until activated by an activate rule, then act as a log rule. Make iptables drop the packet and log the packet. Make iptables drop the packet, log it, and then send a TCP reset if the protocol is TCP or an ICMP port unreachable message if the protocol is UDP. Make iptables drop the packet but does not log it. 29 30