본문 바로가기
  • AI (Artificial Intelligence)
Security

침입탐지 기법

by 로샤스 2014. 3. 17.

가. 침입탐지 기법 - 비정상행위 탐지
 
 
비정상행위 탐지 ( Anomaly Detection) 는 Behavior나 Statistical Detection 이라고 불리기도 하며, 정상적인 시스템 사용을 기준으로 이에 어긋나는 행위를 탐지하는 방식이다. 시스템 가동 전에 정상적인 사용자의 로그인 횟수, CPU사용량, 디스크 읽기/쓰기 횟수 등의 통계적 기준선을 설정한 뒤 IDS에게 기준선을 초과하는 비정상 행위를 탐지하게 한다.
 
탐지 과정에서 기존의 기준선을 수정하거나 새로 갱신할 수 있다. 비정상 행위 탐지는 알려지지 않은 침입도 감지할 수 있는 장점이 있다. 그러나 감사 자료만 가지고 침입을 판단하기에는 무리가 있으며, 시간의 범위나 횟수를 설정하는 것도 어렵다.
 
 
1. 침입탐지 기법 - 통계적 접근
 
 
통계적 접근(Statistical Approaches )은 과거의 통계자료를 바탕으로 현재 프로세스의 행위를 관찰하여 프로파일을 작성하고 작성된 프로파일을 통해 비정상 정도( Abnormality)를 측정하여 침입을 탐지하는 방식이다. 비교적 정확한 탐지가 가능하다.
 
먼저 사용자나 사용자가 실행시킨 프로세스의 행위를 관찰하고, 각각의 행위에 대한 profile을 생성한다. 생성된 profile들을 주기적으로 관찰하여 profile의 비정상적인 행위를 측정하는 Abnormality를 측정한다, Abnormality를 측정하는 방법으로는 행위의 강도를 측정하는 방법, 파일 접근이나 입,출의 분포를 측정하는 방법, 로그인 횟수를 측정하는 방법, CPU나 I/O의 사용량을 측정하는 방법이 있다.
 
 
2. 침입탐지 기법 - 예측 가능 패턴 생성
 
 
예측 가능 패턴 생성( Predictive Pattern Generation) 은 발생된 이벤트들을 바탕으로 다음 이벤트를 예측하여 침입을 탐지하는 방식이다.
 
룰에 따라 이벤트들이 순차적으로 발생했다고 가정하면 그 후에 발생할 수 있는 이벤트의 종류와 발생 확률을 예측할 수 있다. Time-based rule 을 사용하여 각각의 이벤트에 시간을 부여할 수 있으며 이벤트의 순서가  올바른 경우에도 시간의 간격에 따라 주어진 이벤트들이 정상적인지 아닌지를 탐지할 수 있다.
 
 
3. 침입탐지 기법 - 신경망
 
 
현재까지의 사용자의 행동이나 명령을 학습시켜 다음 행동이나 명령을 예측하는 것이 기본 원리이다. 실제 사용자들의 해동 방식에 대한 프로파일을 작성하고 이를 이용하여 침입을 탐지하는 방식이다. 신경망(Neural Network)은 통계적인 방법과 같이 자료의 특성에 의존할 필요가 없으며 노이즈가 많은 데이터도 잘 탐지할 수 있지만 신경망의 토폴로지와 각각의 구성요소 사이에 주어지는 가중치(weight) 를 여러 번 학습시킨 후에야 결정할 수 있다.
 

나. 침입탐지 기법 - 오용탐지
 
오용탐지(Misuse detection) 는 Signature Base 또는 Knowledge Base 로 불리기도 하며, 이미 알려진 취약성을 통한 공격 패턴을 가지고 같은 패턴의 공격을 찾아낸다. 정위된 패턴의 범위 내에서 좊은 탐지율을 보이고, 비교적 효율적이지만 정의된 공격 패턴 외에는 탐지할 수 없는 단점을 가지고 있다. 또 공격 순서에 대한 정보를 얻기 힘들며 대량의 데이터를 처리하기에도 부적합하다.
 
비정상행위 탐지가 침입으로 여겨지는 행위를 탐지한다면 명백한 침입을 탐지하는 것이다.
 
 
1. 침입탐지 기법 -  전문가 시스템
 
전문가 시스템(Expert System) 방식은 매칭 부분과 액션 부분으로 나눈다.이미 발견되어 정립된 공격 패턴을 입력해 놓고 여기에 해당하는 패턴을 탐지하면 정해진 액션을 통해 대응한다.
 
 
2.침입탐지 기법 - 키모니터링
 
키모니터링은 공격 패턴을 사용자의 Key - stroke 를 모니터링 하여 발견하는것이다. 공격 패턴을 나타내는 특정 Key- stroke 순서를 패턴화 한다.
 
 
3. 침입탐지 기법 - 상태전이 분석
 
상태전이 분석 ( State Transition Analysis ) 은 공격 패턴을 특정 시스템의 상태변화로 표현한 것으로 시스템의 상태에 따라 전이하면서 공격을 감지하는 방식이다. 특정행위가  수행된 이후의 시스템 상태를 State 라고 표현한다. 하나의 state에서 다음 state로 이동하기 위해서는 이벤트들을 필요로 하게 되는데, 하나의 state가 주어진 조건을 만족하면 다음의 state가 어떤 것인지를 알수 있게 된다.
 

4. 침입탐지 기법 - 패턴 매칭
 
패턴 매칭(Pattern Matching)방식은 알려진 공격유형들을 패턴으로 가지고 있으면서 현재 행위와 일치하는 패턴을 찾아내 침입을 탐지하는 방식이다.

 

 

 

 

 

 

출처 : http://blog.naver.com/PostView.nhn?blogId=sjj4902&logNo=100148903747

 

 

 

 

'Security' 카테고리의 다른 글

평판(reputation)기반 탐지보안  (0) 2014.03.27
시큐어 코딩 - 블랙리스트 / 화이트리스트  (0) 2014.03.26
침입 탐지 방법론  (0) 2014.03.17
IDS, IPS, UTM, WAF, Honeypot, Honeynet  (0) 2014.03.17
플로우(Flow) 기반의 패킷 정보 모니터링과 네트워크 보안  (0) 2014.03.17

관련글

댓글

티스토리툴바