본문 바로가기
HOME> 보고서 > 보고서 검색상세

보고서 상세정보

In-Line Mode에서 동작하는 능동형 침입탐지 및 방지시스템 개발
Active Intrusion Detection & Prevention System

  • 사업명

    정보통신산업기술개발(기금)

  • 과제명

    In-Line Mode에서 동작하는 능동형 침입탐지 및 방지시스템 개발

  • 주관연구기관

    (주)조은시큐리티

  • 연구책임자

    최성백

  • 참여연구자

    한재호   김종수   안석순   황상구   문영태   김영민   진미경   김등주   전수환   이성규   주수홍   ...  

  • 보고서유형

    최종보고서

  • 발행국가

    대한민국

  • 언어

    한국어

  • 발행년월

    2004-05

  • 과제시작년도

    2003

  • 주관부처

    정보통신부

  • 사업 관리 기관

    정보통신연구진흥원
    Institute for Information Technology Advancement

  • 등록번호

    TRKO201000016671

  • 과제고유번호

    1440001282

  • DB 구축일자

    2013-04-18

  • 초록 


    A. Scope of R&D
    (1) Product name and version
    (2) Scope
    (A) Scope of security target
    (B) Threat element of hacking att...

    A. Scope of R&D
    (1) Product name and version
    (2) Scope
    (A) Scope of security target
    (B) Threat element of hacking attack in IPS
    Threat1 Because user of malice which is linked to network spends free value to Source Address of header price of IP packet, MAC Address and IP Source Address are threat that attacker alters and disguises IP Source Address by malice incompatibly using IP/ARP Spoofing techniques to be action that deceive attacker's address
    Threat2 Because user of malice which is linked to network uses IP Fragmentation/TCP Segmentation attack that mammock packet artificially, so that can not analyze packet that disturb or splinter threat that generate load of resources of network causing network resource consumption to do reassemble (Reassembly)
    Threat3 Threat that user of malice which is linked to network uses special quality of protocol, use roundabout way attack (Evasion Attack) techniques and suppress intrusion attack truth
    Threat4 Service refusal attack (DoS/DDoS) threat that user of malice which is linked to network transmits much packet and paralyzed service of system
    Threat5 Limitation information gathering (Portscan) threat that user of malice which is linked to network scans network and acquire system service and information
    Threat6 Threat to disturb normal network service provoking traffic that user of malice which
    is linked to network is violated in normalcy action
    Threat7 User of malice which is linked to network I/Worm, Virus, Backdoor etc. to systems that is linked to network random threat that transmit and provoke misuse action of system
    Threat8 Threat that do as user of malice which is linked to network leaves thanks recording that intrusion prevention system is many to detect wrongly attack using TCP 3way Handshake special quality or confuse intrusion truth provoking overload to intrusion prevention system
    Threat9 User of malice which is linked to network is threat that absurd contents or access approaches to impermissible target
    Threat10Collect administrator's certification information which administrator who is not admitted to connect to intrusion prevention system is admitted through network, administrator certification information peculation threat to approach to intrusion prevention system with collected information
    Threat11Threat that administrator who is not admitted to join to intrusion prevention system attempts access repeatedly to intrusion prevention system and acquire administrator authority
    Threat12Thanks recording data damage threat that intrusion prevention system thanks recording data can be lost by disk capacity excess and storage data integrity threat that user in addition to intrusion prevention system administrator manufactures intrusion prevention system storage data
    Threat13Data that user of malice which is linked to network is transmitted through network between intrusion prevention system that is detached physically analysis and transmission data exposure to manufacture and integrity threat
    B. Contents of R&D
    (1) Development of security function
    - Create concentrate audit data
    - Analysis security violation
    - Reaction of security audit
    - Identification
    - Data protection
    - Security audit
    - Security management
    - Protection of security function
    (2) Configuration
    IPS is by Manager and Agent structure, administrator does many Agent through integration security console integral management.

    Agent elements
    Manager elements


    가. 연구개발 범위
    (1) 제품명 및 버전
    (2) 개발범위
    (가) 보호대상범위
    (나) 침입방지시스템에서 방어하고자 하는 위협요소
    위협1 네트워크에 연결된 악의의 사용자가 IP 패킷의 헤더값 중 Source...

    가. 연구개발 범위
    (1) 제품명 및 버전
    (2) 개발범위
    (가) 보호대상범위
    (나) 침입방지시스템에서 방어하고자 하는 위협요소
    위협1 네트워크에 연결된 악의의 사용자가 IP 패킷의 헤더값 중 Source Address에 임의의 값을 사용하여 공격자의 주소를 속이는 행위인 IP/ARP Spoofing기법을 사용하여 MAC Address와 IP Source Address가 일치하지 않게 공격자가 악의적으로 IP Source Address를 변조하여 위장하려는 위협
    위협2 네트워크에 연결된 악의의 사용자가 패킷을 인위적으로 조각내는 IP Fragmentation/TCP Segmentation 공격을 사용하여 패킷을 분석할 수 없도록 방해하 거나 조각난 패킷을 재조립(Reassembly)하기 위한 네트워크 자원 소모를 유발하여 네트워크의 자원의 부하를 발생시키는 위협
    위협3 네트워크에 연결된 악의의 사용자가 프로토콜의 특성을 이용, 우회공격(Evasion Attack)기법을 사용하여 침입공격 사실을 은폐하려는 위협
    위협4 네트워크에 연결된 악의의 사용자가 다량의 패킷을 전송하여 시스템의 서비스를 마비 시키려는 서비스거부공격(DoS/DDoS) 위협
    위협5 네트워크에 연결된 악의의 사용자가 네트워크를 스캔하여 시스템 서비스 및 정보를 획득하려는 취약점정보수집(Portscan) 위협
    위협6 네트워크에 연결된 악의의 사용자가 정상행위에 위배되는 트래픽을 유발시켜 정상적인 네트워크 서비스를 방해하려는 위협
    위협7 네트워크에 연결된 악의의 사용자가 I/Worm,Virus,Backdoor등을 네트워크에 연결된 시스템들에게 무작위 전송하여 시스템의 오용행위를 유발시키는 위협
    위협8 네트워크에 연결된 악의의 사용자가 TCP 3way Handshake특성을 이용하여 침입 방지 시스템이 공격을 잘못 탐지하도록 많은 감사기록을 남기게 하거나 침입방지시스템에 과부하를 유발시켜 침입사실을 혼란 시키는 위협
    위협9 네트워크에 연결된 악의의 사용자가 비정상적인 컨텐츠 또는 접근이 허용되지 않은 대상에 접근하려는 위협
    위협10 침입방지시스템에 접속하도록 허가 받지 않은 관리자가 허가된 관리자의 인증정보를 네트워크를 통해 수집하여, 수집된 정보를 가지고 침입방지시스템에 접근하려는 관리자 인증정보도용 위협
    위협11 침입방지시스템에 접속하도록 허가 받지 않은 관리자가 침입방지시스템에 반복적으로 접근을 시도하여 관리자 권한을 획득하려는 위협
    위협12 침입방지시스템 감사기록 자료가 디스크 용량초과로 인해 유실될 수 있는 감사기록데이터 손실위협과 침입방지시스템 관리자 외의 사용자가 침입방지시스템 저장데이터를 조작하려는 저장데이터 무결성 위협
    위협13 네트워크에 연결된 악의의 사용자가 물리적으로 분리되어있는 침입방지시스템 사이에서 네트워크를 통해 전송되는 데이터를 분석 및 조작하려는 전송데이터 노출 및 무결성 위협
    나. 연구개발 내용
    (1) 보안기능 개발
    - 축약 감사데이터의 생성
    - 보안위반 분석
    - 보안감사 대응
    - 신분확인
    - 데이터 보호
    - 보안감사
    - 보안관리
    - 보안기능의 보호
    (2) 구성형태
    침입방지시스템은 Manager와 Agent 구조로 되어있으며 관리자는 통합보안콘솔을 통해 다수의 Agent를 통합관리 한다.
    Agent 구성요소
    Manager 구성요소


  • 목차(Contents) 

    1. 표지 ...1
    2. 제출문 ...3
    3. 요약문 ...4
    4. SUMMARY ...9
    5. CONTENTS ...15
    6. 목차 ...18
    7. 제1장 서론 ...22
    8. 제1절 개요 ...22
    9. 1. 개요 ...22
    10. 2. 배경 ...22
    11. ...
    1. 표지 ...1
    2. 제출문 ...3
    3. 요약문 ...4
    4. SUMMARY ...9
    5. CONTENTS ...15
    6. 목차 ...18
    7. 제1장 서론 ...22
    8. 제1절 개요 ...22
    9. 1. 개요 ...22
    10. 2. 배경 ...22
    11. 가. IPS의 2가지 접근방향 ...23
    12. 나. 오탐에 의한 경보의 홍수 문제 ...23
    13. 다. 위협 대응 기술 ...24
    14. 3. 최근 연구동향 ...26
    15. 가. IPS 연구동향 ...26
    16. 나. IPS 제품동향 ...32
    17. 제2절 목적 ...47
    18. 1. 개발목적 ...47
    19. 2. 중요성 ...47
    20. 3. 시장성 ...48
    21. 가. 국내시장동향 ...48
    22. 나. 가트너보고서 ...49
    23. 다. CC인증 ...49
    24. 제2장 연구개발 내용 ...52
    25. 제1절 설계구조 ...52
    26. 1. 구성형태 ...52
    27. 2. 설치환경 ...52
    28. 3. 시스템 기본구조 ...54
    29. 4. 보안기능 수행과정 ...54
    30. 제2절 보안기능개발 ...55
    31. 1. 기능구조 ...55
    32. 가. 보안위반분석 ...56
    33. 나. 공격 유형 별 탐지 방법 ...56
    34. 2. 보안모듈별 기능설계 ...70
    35. 가. DIM(Device Interface Module) ...70
    36. 나. PDM(Packet Decode Module) ...71
    37. 다. PSM(Portscan Module) ...72
    38. 라. TSM(TCP Stream Module) ...86
    39. 마. HIM(HTTP Inspection Module) ...111
    40. 바. RDM(RPC Decode Module) ...115
    41. 사. TDM(Telnet Decode Module) ...116
    42. 아. ADM(ARP Decode Module) ...121
    43. 자. PMM(Performance Monitoring Module) ...123
    44. 차. ROM(Result Output Module) ...143
    45. 제3절 보안감사대응 ...144
    46. 1. 침입탐지 상세내역 저장 ...145
    47. 2. 관리자 보고 ...152
    48. 3. 대응행동 수행 ...157
    49. 제4절 신분확인 ...159
    50. 1. 관리자식별 ...161
    51. 2. 관리자 인증 ...164
    52. 3. 관리자 인증실패 설정 ...168
    53. 제5절 데이터보호 ...171
    54. 1. 데이터 무결성 검사 ...171
    55. 2. 전송데이터 암호화 및 무결성 검사 ...181
    56. 가. SSL을 이용한 암호화 및 무결성검사 ...181
    57. 나. SSL Interface Architecture ...183
    58. 다. RC4/SHA-1을 이용한 암호화 및 무결성검사 ...198
    59. 제3장 결론 ...199
    60. 제1절 기술개발결과 ...199
    61. 1. 결과물의 명칭 ...199
    62. 2. 결과물의 형태 ...199
    63. 제2절 제품의 제공기능 ...199
    64. 1. 주요기능 ...199
    65. 2. 부가기능 ...199
    66. 제3절 활용방법 ...199
    67. 1. 침입방지시스템으로 활용 ...199
    68. 가. 활용사례-1 ...200
    69. 나. 활용사례-2 ...201
    70. 2. 네트워크장비에 기술적용 ...201
    71. 가. 적용 시 고려사항 ...202
    72. 3. 통합보안장비로 활용 ...202
    73. 제4절 기대 효과 ...203
    74. 1. 비용절감 ...203
    75. 2. 매출발생 효과 ...203
    76. 제5절 상용화 계획 ...203
    77. 1. 내부운영시험 ...203
    78. 2. BMT를 통한 제품검증 ...203
    79. 3. Reference 확보 ...205
    80. 기술개발결과 요약표 ...207
    81. 1. 기술개발결과 내역 ...207
    82. 2. 지적재산권 명세(반드시 기입 요망) ...207
  • 참고문헌

    1. 전체(0)
    2. 논문(0)
    3. 특허(0)
    4. 보고서(0)

 활용도 분석

  • 상세보기

    amChart 영역
  • 원문보기

    amChart 영역