본문 바로가기
HOME> 논문 > 논문 검색상세

학위논문 상세정보

IDS 우회공격 탐지 시스템 설계 및 구현 원문보기
(A) Design and Implementation of Intrusion Detection System against Evasion Attack

  • 저자

    육상조

  • 학위수여기관

    韓南大學校 大學院

  • 학위구분

    국내박사

  • 학과

    컴퓨터공학과

  • 지도교수

  • 발행년도

    2004

  • 총페이지

    v, 81p.

  • 키워드

    IDS 우회공격 탐지시스템;

  • 언어

    kor

  • 원문 URL

    http://www.riss.kr/link?id=T10062442&outLink=K  

  • 초록

    불법적인 시스템 접근을 탐지하기 위하여 사용되고 있는 침입탐지 시스템 중 네트워크상의 보안영역을 설정하고 해당 영역에 전송되어지는 패킷을 수집하여 침입 여부를 판정하는 네트워크 침입탐지 시스템(Network Intrusion Detection System-이하 NIDS)이 사용되고 있다. 그러나 최근 NIDS의 탐지 방법과 인터넷망의 표준인 TCP/IP 프로토콜의 구조상 취약점을 이용하여 침입자의 공격사실을 탐지하지 못하도록 하는 NIDS 우회공격이 이용되고 있다. 초기 침입탐지 시스템의 하드웨어적인 사양에 따른 프로그램의 처리 능력이 네트워크의 속도를 따라가지 못할 때, 침입탐지 시스템의 효율성을 위해서 공격시에 발생하는 네트워크 패킷의 특징을 기준으로 네트워크 패킷의 특정한 길이만을 감사자료로 수집하는 방법 및 분할된 패킷에 대해서는 서비스 종류에 대한 정보를 가지고 있는 첫 번째 패킷만을 감사자료로 수집 방법을 사용한 후 추출된 감사자료를 기준으로 침입탐지에 필요한 패턴 룰을 생성하였다. 그 후 하드웨어 사양이 충분히 향상되었지만 침입탐지 시스템의 발전은 기본적인 침입탐지 시스템의 형태를 유지하면서 침입에 대한 패턴 룰의 추가에 중점을 두고 있다. 그러나 우회공격 기법은 기존에 정의되어진 침입탐지 패턴 룰을 무력화시킬 수 있다. 즉 기존에 탐지되던 공격을 탐지되지 않는 형태의 패턴으로 재구성 해준다. 이러한 우회공격을 탐지하기 위해서는 이미 정의되어 있는 탐지 패턴 룰을 모두 재구성해야 하기 때문에 많은 시간과 노력이 필요하다. 또한 정상적인 네트워크의 기능을 이용하기 때문에 특정한 탐지 패턴을 구성하기 어렵다는 문제점들을 가지고 있다. 본 논문에서는 이러한 우회공격에 대해서 연구하여 우회공격에 대하여 기존의 탐지 시스템의 탐지 패턴을 변경하지 않고 우회공격을 탐지할 수 있는 탐지 모델을 제시하고 구현하였다. 제안된 모듈은 감사자료 수집모듈, 패킷 재조립 모듈, 침입탐지 모듈, 침입보고 모듈 및 대응 모듈로 구성되어 있다. 감사자료 수집 모듈은 libpcap 패킷 필터를 사용하여 구현하였으며, 침입탐지 모듈은 공개용 침입탐지 시스템인 Snort의 탐지 패턴을 참조하여 시스템에 적용하는 전문가 시스템 기법을 사용하였다. 마지막으로 침입보고 및 대응모듈은 탐지된 내용을 사용자의 이메일과 시스템 콘솔상에 표시하도록 하였고, 관리자 환경을 고려하여 웹 서버를 제작하여 침입 탐지 시스템을 관리 할 수 있도록 구현하였다.


    Among the Intrusion Detection System, which is used for searching out unlawful system access, Network Intrusion Detection System(hereinafter NIDS) is used in order to establish the domain of security on Network and collect packet to judge Intrusion's success or failure. However, using the weakness on structure of TCP/IP protocol, the recent method of NIDS detection, NIDS evasion attack is chosen in order for interrupting to detect the intruder's attack. The managing capacity of program due to the decline of the early intrusion detection system on hardware wouldn't keep up with the speed of network. Therefore, based on the characteristics of network packet which occurred against the attack, the method which collects the specific length of network packet as audit data is used for the efficiency of Intrusion Detection System. In regard to the fragmented packet, only first packet which includes information on the different kinds of service is used as a collecting method for the purpose of audit data. Then, based on the random sampling audit data, the pattern rule for intrusion detection would be generated. After that, even though the decline of hardware has been improved, the development of Intrusion Detection System keeps the basic formation of Intrusion Detection System and focuses on the addition of pattern rule against the attack. But the method of evasion attack is able to make the pattern rule of Intrusion Detection, which is currently defined, powerless. That is, it reconstitutes the pattern of currently detected attack into the pattern of undetectable formation. To detect this evasion, plenty of time and effort are needed in order to reconstitute all detecting pattern rules, which are already defined. Futhermore, there are some problems on constituting of specific detecting pattern because of using the normal network function. This study focuses on evasion attack. The purpose of this thesis is to propose the detection model, which is capable to detect the evasion attack without changing the detection pattern in current detection system. The suggested modules consist of Audit data collection module, Packet reassembly module, Intrusion detection module, Intrusion report module & Intrusion response module. Audit collection module is realized as using by Libpcap packet filter and Intrusion detection module is consulted by the professional system, Snort's detecting pattern which is known as the public Intrusion Detection System. Finally, Intrusion report module & Intrusion response module is requested to mark the detecting contents on the user's e-mail and system console. And it is realized to manage Intrusion Detection System and produce web server in consideration of the administrator's environment.


 활용도 분석

  • 상세보기

    amChart 영역
  • 원문보기

    amChart 영역