RadarURL
Skip to content
조회 수 3454 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

조기경보 시스템의 기술 동향




지난 호에서는 조기경보 시스템의 등장배경과 필요성 등 조기경보 시스템의 개요를 살펴보았다. 이번 호에서는 조기경보 시스템을 구성하는 기술 중 몇 가지를 살펴봄으로써 조기경보 시스템에 관한 보다 구체적인 이해를 돕고자 한다. 여기에서 소개하고자 하는 조기경보 기술은 네트워크 공격 상관성 분석, 네트워크 포렌식 및 HoneyNet 관련기술 동향이다.


조기경보 시스템을 구성하기 위해서는 먼저 유해 트래픽을 탐지 및 분석할 수 있는 침입탐지 및 분석기술이 필요하고, 다음 침해상황을 분석해 적절한 예·경보를 발령하고 대응하기 위한 기술이 필요하다. 여기에서는 침입탐지 기술로서 네트워크 트래픽 연관성 분석기술에 대해 자세히 살펴보고, 다음으로 네트워크 포렌식 기술을 살펴본 후, 마지막으로 능동적 대처와 정보수집을 위한 HoneyNet 관련기술을 살펴보고자 한다.


홍 기 향 | 이비즈텍 컨설팅부 (kihyang_hong@hanmail.net)




네트워크 공격 상호연관성 분석




상호 연관성 분석기술의 등장배경


최근 발생하고 있는 정보보호 사고의 유형은 이전과 달리 네트워크 및 시스템의 자원을 고갈시키는 유형이 증가하고 있어, 동일한 공격이 네트워크 내에서 반복적이고 지속적으로 발생하는 상황에 대한 실시간 네트워크 분석기술이 필요하게 됐다. 실제로 정보보호 시스템을 통해 유용한 정보들이 수집되기는 하지만, 보안관리자가 침해사고 발생과 대응방안 등의 의사결정을 하기 위해서는 수집된 다량의 정보를 효과적으로 분석할 필요가 있다. 최근 이러한 필요성에 따라 등장한 기술이 보안경보 간 상호연관성 분석기술로, 등장배경은 다음과 같이 3가지로 요약될 수 있다.




첫째, 상호연관성 분석기술은 다량의 보안경보를 분석하는데 소비되는 시간을 절감할 수 있게 한다. 즉, 개별 정보보호 시스템으로부터 수집되는 수많은 정보를 개별적으로 관찰하기 보다는 정보보호 시스템 간 경보를 참조해 기존 취약점과 비교하는 한정된 관찰이 필요하다.




둘째, 상호연관성 분석기술은 보안경보의 공통 특징을 분석해 공격의 전반적인 진행상황 등 의미 있는 정보를 제공할 수 있게 한다. 즉, 침입탐지 시스템에서 발생할 수 있는 오탐정보 등을 통합 및 분석함으로써 개별공격보다는 전반적인 공격의 진행경로를 파악할 수 있게 한다.




셋째, 상호연관성 분석기술은 개별 공격정보로는 파악할 수 없는 공격상황을 보안경보의 공통적인 특징 분석을 통해 제공할 수 있게 한다. 즉, 분산 서비스 거부공격(Distributed Denial of Service)과 같이 다수의 개별 시스템으로부터 발생하는 보안경보를 통합해 공격상황을 파악할 수 있게 한다.




상호연관성 분석의 정의


상호연관성 분석은 다양한 정보보호 시스템으로부터 발생하는 보안경보 간의 연관관계를 통해 보안위협을 보다 정확하게 식별하는 것을 의미한다. 이같은 보안경보의 상호연관성 분석 과정은 그림 1과 같이 3단계, 즉 보안경보 수집, 보안경보 분류, 보안경보 연관관계 분석의 단계를 거친다. 주요 단계별 특징은 다음과 같다.




● 보안정보 수집 : 네트워크 내 다수의 지점에 존재하는 이기종의 정보보호 시스템으로부터 발생하는 보안정보를 누락 없이 정확히 수집하는 것. 이를 위해 각 정보보호 시스템과의 인터페이스가 제공돼야 한다.


● 보안경보 분류 : 보안경보 필터링, 보안경보 정규화, 보안정보 분류 및 등급화로 구성.


● 보안경보 필터링 : 보안위협을 나타내지 않는 보안경보를 제거하는 것으로, 보안경보의 정보속성을 이용해 일정한 유형의 보안경보들을 초기에 제거, 분석대상을 줄이기 위한 것.


● 보안경보 정규화 : 이기종의 다양한 정보보호 시스템으로부터 수집되는 보안경보를 일정한 형식으로 변환, 향후 분석의 효율성을 높이기 위한 것.


● 보안경보 분류 및 등급화 : 반복공격 또는 중복된 보안경보 정보를 제거하고, 공통된 특징을 분석해 보안경보를 분류한 후 자산가치에 따라 등급을 부여하는 것.




한편, 마지막 단계인 보안경보 연관관계 분석은 취약성 평가와 연관성 분석을 통해 보안경보의 위협과 심각도를 평가하는 것으로, 다음과 같은 연관성 분석기술을 이용해 이루어진다.




상호연관성 분석기술의 종류


연관성 분석기술은 다음과 같이 중복성, 순차성 및 상황분석의 3가지의 분석방법이 제시되어 왔다.




▶ 중복성(Duplication) 분석


반복적인 공격으로 발생하는 반복적인 보안경보 또는 하나의 공격으로 발생하는 다수의 보안정보를 축소해 분석의 부하를 줄이는데 사용될 수 있다. 반복된 공격에 의한 반복적 보안경보의 축약은 분석대상을 축소할 뿐 아니라 심각도를 상향조정해 우선처리 대상으로 위협으로 분류하게 한다.




▶ 순차성(Consequence) 분석


하나의 공격수행에 있어 일정 시간 내에 일련의 보안경보를 발생시키는 공격 유형을 식별하는데 사용될 수 있다. 순차성 분석은 특정 공격의 발생여부 뿐 아니라 다음 공격행위의 예측, 보안경보의 오탐 여부, 정보보호 시스템의 정상작동 여부를 판단하는데도 사용될 수 있다.




▶ 상황(Situation) 분석


보안경보를 몇 가지 상태 집합으로 분류해 공격여부를 판단하는데 사용되는 기술로, 개별 보안경보로는 파악할 수 없는 공격유형을 식별할 수 있게 한다.




상호연관성 분석 솔루션


상호연관성 분석에 사용되는 솔루션은 그림 2와 같이 상호연관성의 입력정보 위치, 분석 방식, 구현 방식에 따라 분류될 수 있다.




▶ 입력정보 위치에 따른 분류


질의어 기반과 메모리 기반 솔루션이 있는데, 이는 상호연관성 분석시 분석대상이 되는 보안경보를 어디에 위치시키느냐에 따라 분류된다. 질의어 기반 솔루션은 보안경보를 디스크의 데이터베이스에 저장하고, 분석시 질의어를 통해 메모리에 적재해 분석하는 방법으로 디스크 입출력에 따른 성능저하가 있을 수 있다. 반면 메모리 기반 솔루션은 메모리에 보안경보를 저장해 분석속도가 빠르고 효과적이다.




▶ 분석방식에 의한 분류


규칙 기반 솔루션과 상태 기반 솔루션이 있는데, 이는 상호연관성 분석시 미리 알려진 공격 유형을 이용하느냐 또는 추상화된 공격행위의 프로파일을 이용하느냐에 따라 분류된다. 규칙기반 솔루션은 상호연관성 분석시 이미 알려진 공격의 순차적 패턴을 이용하기 때문에 탐지율이 높으나 새로운 공격을 식별하기 어렵고, 규칙의 증가와 유지보수에 따른 어려움이 있다. 반면 상태기반 솔루션은 구현의 어려움이 있지만 새로운 침입유형을 식별할 수 있고, 관리비용이 없다는 장점이 있다.




▶ 구현방식에 의한 분류


제조사에 의해 특징과 기능이 한정되는 패키지 기반 솔루션과 사용자 환경에 맞추어 적용 가능한 툴킷 기반 솔루션이 있다.




상호연관성 분석 솔루션 사례


상호연관성 분석을 수행하는 솔루션 사례로 ETRI의 NASA(Network Attack Situation Analyzer) 솔루션을 살펴보면, 표 1과 같이 상호연관성 분석을 위한 공격상황 모델을 제시하고 있다.




NASA는 정의된 상황 모델을 토대로 연속 시간대를 윈도우 단위로 구분해 그림 3과 같이 대형 네트워크의 트래픽 이상징후를 실시간으로 파악할 수 있게 한다.




네트워크 포렌식(Network Forensics)




네트워크 포렌식의 정의


네트워크 포렌식은 네트워크 내의 다양한 정보보호 시스템으로부터 수집되는 로그 및 상태정보, 취약점 정보를 DB에 저장하고, 연관성 분석을 통해 분석된 정보를 수사과정이나 증거자료로 제공하는 일련의 과정으로 이루어진다.




네트워크 포렌식의 방식


네트워크 포렌식의 방식은 다음과 같은 2가지 종류로 나누어지는데, 주로 중소형 네트워크에서 적용가능한 방법이다.




▶ “Catch it as you can” 방식


내부 네트워크로 진입하는 모든 패킷을 저장소에 저장하고, 저장소의 정보를 이용해 포렌식 서버에서 정보를 분석하는 방법으로 많은 저장공간을 필요로 한다.




▶ “Stop, look and listen” 방식


내부 네트워크로 진입하는 패킷을 메모리로 가져와 분석을 실시한 후 침입과 관련된 정보들만 저장하는 방식으로, 적은 저장공간이 필요하나 실시간 패킷 분석을 위해 빠른 처리시간이 필요하다.




조기경보 시스템과 같이 대형 네트워크에서 발생하는 수많은 정보를 모두 저장하거나 실시간 분석을 하는 것은 어렵기 때문에, 수집되어야 하는 정보를 명확히 정의하고 최소한의 정보를 이용해 효과적인 네트워크 포렌식이 이루어지도록 할 필요가 있다.




네트워크 포렌식 정보의 정의


네트워크 포렌식에 대한 연구는 국내외에서 활발하게 이루어지고 있는데, 최근 발표된 박종성 외 3인의 논문에서는 표 2와 같이 네트워크 포렌식 정보를 정의하고, 위협 시나리오를 적용해 정의된 정보가 유효함을 증명한 바 있다. 네트워크 포렌식 정보는 시간 및 버전 정보, 정책 및 설정정보, 그리고 로그 정보의 3개 주제로 분류된다.




침해 시나리오를 이용한 네트워크 포렌식 증명


네트워크 포렌식 정보가 유효한가를 증명하기 위해서는 침해사고시 정보보호 시스템 및 네트워크 기기에 기록된 정보를 통해 침해의 분석이 가능한가를 확인해봐야 한다. 박종성 외 3인의 연구에서는 그림 4와 같은 테스트 환경에서 내부 사용자 A가 내부 사용자 B에 대한 Smurf Flooding 공격을 수행했다.




침해 시나리오에 따른 공격결과를 정보보호 시스템 및 네트워크 기기의 포렌식 정보를 이용해 분석하면, 표 3과 같이 Smurf flooding 공격의 발생흔적을 확인할 수 있다.




HoneyNet 기술




HoneyNet의 정의


HoneyNet이란 공격당하도록 구성된 시스템들로 이루어진 네트워크로서, 네트워크 공격자의 공격방법 및 도구 등을 연구하기 위해 만들어졌다. HoneyNet에서 공격자가 자유롭게 접근 및 활동한 기록을 분석해 위협 DB를 생성하고, 조기 예·경보 시스템에 활용할 수 있다.




HonetNet은 그림 5와 같이 일반 시스템과 보안 솔루션, 그리고 HoneyPot 시스템으로 이루어져 있다. HoneyPot 시스템이란 침해 당하도록 구성된 시스템으로, 인터넷 상에 존재해 공격자의 행동 및 공격기법 등의 정보를 알아내는 역할을 한다.




HonetNet은 적용이 용이하고 데이터 수집 및 경보 능력이 뛰어나며, 다양한 시스템 및 응용 시스템에 적용될 수 있는 장점이 있다. 반면 공격자의 공격에 의한 보안위험, 설정 및 구축의 복잡성, 운영전담 인력의 투입 필요성 등은 단점으로 지적되고 있다.




HonetNet의 구성원칙


HoneyNet이 유용한 정보를 생성하기는 하지만, 주의 깊게 구성하지 않으면 유용한 정보의 수집이 어려워질 뿐 아니라 보안위험이 발생할 수 있기 때문에, HoneyNet을 구성할 때는 다음의 3가지 구성원칙을 고려해야 한다.




첫째, 공격자의 행위가 HoneyNet 내부로 제한될 수 있도록 데이터 컨트롤이 이루어져야 한다. 이를 위해서는 인바운드 트래픽은 허용하되 아웃바운드 트래픽은 제한하는 방법을 사용할 수 있는데, 공격자가 눈치채지 못하도록 해야 한다.




둘째, 공격자의 모든 행위정보가 수집될 수 있도록 데이터 캡처가 이루어져야 한다. 공격자의 모든 행위가 파악되어야만 유효한 위협 DB가 생성될 수 있기 때문에, 통신 프로토콜의 모든 계층에서 정보를 수집할 필요가 있다.




셋째, 분산 HoneyNet의 경우에는 분산된 HoneyNet으로부터 수집된 정보를 통합하는 데이터 수집이 이루어져야 한다. 데이터를 정의된 포맷으로 안전하게 전달하고, 중앙관리가 이루어지도록 할 필요가 있다.




HoneyNet의 종류


HoneyNet은 1999년 구축된 1세대 HoneyNet과 2002년에 구축된 2세대 HoneyNet으로 구분할 수 있다.




먼저, 1세대 HoneyNet은 Layer3 침입차단 시스템을 이용해 구축되고, 침입차단 시스템은 공격자가 외부로의 스캐닝 공격이나 DDoS 공격을 수행할 수 없도록 일정 수 이상의 아웃바운드 트래픽은 허용하지 않는 기능을 갖추고 있으나, 공격자에게 쉽게 발견되는 단점이 있었다. 수집정보는 Telnet/FTP 서비스 사용정보, 키스트로크 정보, syslogd에 의한 로그 정보 등이 있다.




한편, 2세대 HoneyNet은 기술적으로 진보한 공격행위를 수집하기 위해 Layer2 기반의 데이터 컨트롤을 수행하고, 시그니처 기반의 접근통제를 수행하도록 구성했다. Layer2 기반의 접근통제를 수행하기 때문에 네트워크 라우팅 정보나 TTL 정보의 변경이 없어 공격자가 쉽게 접근통제 사실을 알 수 없고, 시그니처 기반의 접근통제를 사용해 공격자의 외부공격 패킷의 변조가 가능하지만, 공격자는 HoneyNet의 존재를 쉽게 인지할 수 없다.




HoneyNet 정보의 활용사례


HoneyNet을 통해 수집된 정보가 어떻게 활용되는가를 파악하기 위해 Honeynet 프로젝트의 한 분석사례를 살펴보도록 하겠다. HoneyNet 프로젝트는 인터넷상에서 발생하는 해킹 및 공격자의 활동을 모니터링하고 이를 일반 시스템/네트워크 관리자들에게 알려줌으로써 해킹 사고에 보다 잘 대응할 수 있도록 돕기 위해 정보보호 전문가들의 자원활동으로 추진된 비영리 프로젝트다.




HoneyNet 프로젝트로 작성된 “Know Your Enemy: Statistics” 문서는 “Analyzing the past...Predicting the future”란 부제목으로 HoneyNet에서 수집된 정보를 통해 과거 공격여부를 식별하고 미래공격을 예측할 수 있음을 시사하고 있어, 조기 예·경보 시스템의 발전방향에 유의한 결과를 보여주고 있다.




사례가 된 HoneyNet 프로젝트는 표 4에서 보는 바와 같이 총 11개월간 3개 시스템의 8개 IP 주소를 이용해 이루어졌다.




사례가 된 HoneyNet 사이트에 대한 아무런 홍보가 없었음에도 불구하고, 표 5와 같이 다수의 공격이 이루어졌다.




가장 많이 발생한 rps.statd 공격을 Statistical Process Control 방법에 의해 분석한 결과, 그림 6과 같이 침해발생 이전에 임계치를 초과하는 공격시도가 최소 3일전에 발견되었음을 알 수 있다. 이는 공격시도의 분석을 통해 조기 예·경보가 가능하다는 가능성을 보여주는 중요한 결과라고 할 수 있다.




또한, DNS/named 결과를 분석한 결과, 그림 7과 같이 침해가 발생하기 전 이상 징후가 발견됐다. 즉, 침해사고가 발생한 68일, 153일, 170일 이전에 그래프의 하향 스파이크가 발생하는 것을 알 수 있어, 조기경보체계의 유용한 정보로 활용할 수 있다


출처 : http://www.boannews.com/know_how/view.asp?page=1&gpage=1&idx=160&numm=70&search=title&find=조기경보시스템&kind=03&order=ref
?

List of Articles
번호 제목 글쓴이 날짜 조회 수
23 LACP(Link Aggregation Control Protocol) JaeSoo 2010.01.27 8743
22 윈도우 라우팅 테이블 관리하기 JaeSoo 2010.01.25 6805
21 http://cafe.naver.com/ArticleRead.nhn?clubid=10344409&articleid=79763&menuid=&boardtype=&page=0 JaeSoo 2010.01.22 6640
20 듀얼 WAN 사용 시 대역폭 문제 JaeSoo 2010.01.22 6136
19 네트워크 충돌검색 [nbtstat]명령어 JaeSoo 2009.10.05 4742
18 윈도우즈에서 Squid 프락시 서버 설치 JaeSoo 2009.10.05 3794
17 Openet JaeSoo 2009.09.28 3611
16 인터넷 친구를 만들거나 비지니스 인맥을 만드는 웹어플리케이션, SNS JaeSoo 2008.07.22 3546
15 무료 PC 원격제어 JaeSoo 2008.07.01 4182
14 초고속 정보통신 인증제, 홈네트워크 인증제 JaeSoo 2008.02.25 3572
13 조기경보시스템(3)-조기경보 시스템(Early Warning System)의 국내외 구축·운영 사례 JaeSoo 2008.01.27 3663
» 조기경보시스템(2)-조기경보 시스템의 기술 동향 JaeSoo 2008.01.27 3454
11 조기경보시스템(1)-조기경보 시스템의 개요 JaeSoo 2008.01.27 3600
10 정보통신기반보호법(요약) 및 검토 JaeSoo 2007.12.28 4914
9 자가전기통신설비(자가망)관련 법령 JaeSoo 2007.12.28 4761
8 Ten things Your IT department won't tell you (IT 부서가 당신에게 말해주지 않는 10가지) JaeSoo 2007.12.28 3987
7 `IPv6` 9월 부터 시범서비스 JaeSoo 2007.12.06 3470
6 초고속선도망(KOREN) 사업 보고서 JaeSoo 2007.12.06 4391
5 smtp를 이용하여 mail 보내기 (pear 사용) JaeSoo 2007.06.07 3781
4 메일 발송시 리턴메일 메시지 JaeSoo 2007.06.05 3485
Board Pagination Prev 1 2 3 4 5 Next
/ 5

PageViews   Today : 1,002   Yesterday : 1,813   Total : 19,916,354  /  Counter Status   Today : 328   Yesterday : 570   Total : 1,453,663
Site Info   Member : 237  /  Total documents : 1,223   New documents : 0  /  Total comments : 24

Edited by JAESOO

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소