본문 바로가기
  • AI (Artificial Intelligence)

All633

snort HTTP 관련 매칭 옵션 (http_uri, http_client_body, http_header, etc..) 시작하면서.. 스노트는 HTTP 패킷에 대해.. 패킷 전체가 아닌 특정 필드값에서 패턴을 찾는 작업을 지원한다. 이는 오탐을 줄이는 동시에 성능을 향상시켜주는 효과가 있다. 스노트 사용에 어느정도 자신감이 생겼다면.. 이 옵션을 사용하는 것을 강력히 추천한다. 기본적인 사용법은 메뉴얼을 보면 되겠지만 HTTP 패킷을 분석하는 일에 친숙하지 않은 사람들을 위해.. 각 옵션들이 가리키는 필드에 대해 자세하게 알아보도록 하자. 먼저, HTTP관련 매칭 옵션들은 크게 다음 7가지가 있다. 이 옵션들은 'content'라는 패턴 매칭 옵션과 함께 사용해야 한다. 1. http_method -HTTP 패킷의 method값을 저장하고 있다. 그러므로, 다른 옵션들과 비교해서 패킷의 가장 앞 부분을 가리킨다. 2. h.. 2014. 3. 18.
침입탐지 기법 가. 침입탐지 기법 - 비정상행위 탐지 비정상행위 탐지 ( Anomaly Detection) 는 Behavior나 Statistical Detection 이라고 불리기도 하며, 정상적인 시스템 사용을 기준으로 이에 어긋나는 행위를 탐지하는 방식이다. 시스템 가동 전에 정상적인 사용자의 로그인 횟수, CPU사용량, 디스크 읽기/쓰기 횟수 등의 통계적 기준선을 설정한 뒤 IDS에게 기준선을 초과하는 비정상 행위를 탐지하게 한다. 탐지 과정에서 기존의 기준선을 수정하거나 새로 갱신할 수 있다. 비정상 행위 탐지는 알려지지 않은 침입도 감지할 수 있는 장점이 있다. 그러나 감사 자료만 가지고 침입을 판단하기에는 무리가 있으며, 시간의 범위나 횟수를 설정하는 것도 어렵다. 1. 침입탐지 기법 - 통계적 접근 통계.. 2014. 3. 17.
침입 탐지 방법론 침입 탐지 방법론은 탐지를 분석하는 방법에 따라 크게 오용 탐지와 비정상행위 탐지로 분류된다. 오용 탐지와 비정상행위 탐지의 적용 기술에 따른 세부 분류는 다음과 같다. 오용 탐지 서명 분석(signature analysis) 전문가 시스템(expert systems) 상태 전이 분석(state transition analysis) 페트리 넷(petri-nets) 비정상행위 탐지 통계(statistics) 전문가 시스템(expert systems) 신경망(neural networks) 컴퓨터 면역학(computer immunology) 데이터 마이닝(data mining) HMM(Hidden Markov Models) (1) 오용 탐지 방법론 서명 분석(signature analysis) 지식 기반 접근.. 2014. 3. 17.
IDS, IPS, UTM, WAF, Honeypot, Honeynet IDS (Intrusion Detection System) Ⅰ. 침입탐지시스템(IDS)의 개요 가. 침입탐지시스템의 정의 - 비인가된 사용자가 자원의 무결성(integrity), 기밀성(confidentiality), 가용성 (availability)을 저해하는 일련의 행동들과 보안 정책을 위반하는 행위를 침입이라고 하며, 이러한 침입을 가능한 실시간으로 탐지하는 시스템을 침입탐지시스템이라고 함 나. 침입탐지시스템의 필요성 1) 외부침입자뿐만 아니라 내부 사용자의 불법적인 사용, 남용, 오용행위에 대처하는 방안의 필요 2) 침입차단시스템(Firewall)이 해킹당했을 때의 피해 최소화 3) 새로운 해킹관련 기술에 대한 지능적인 방지 시스템 필요 다. 침입탐지시스템의 주요 기능 1) 시스템이나 네트워크를 .. 2014. 3. 17.
플로우(Flow) 기반의 패킷 정보 모니터링과 네트워크 보안 최근의 네트워크 트래픽은 WWW, FTP, E-MAIL 등과 같은 일부 애플리케이션 중심이었던 과거와는 달리 온라인 게임, 인터넷 뱅킹, VOD, VoIP, P2P 등의 새로운 애플리케이션과 프로토콜의 출현으로 인해 매우 복잡해지고 세분화되는 경향을 보이고 있다. 특히 과도한 트래픽 유발이나 세션을 생성하는 유해 트래픽의 경우, 네트워크 자원 낭비뿐 아니라 시스템 오동작 유발과 다른 시스템 감염 등을 통해 전체 네트워크 장애로 이어질 수 있기 때문에 네트워크 보안 관리는 더욱 중요시되고 있다. 이런 경향을 반영해 최근에는 트래픽 모니터링의 패러다임이 이상 트래픽 모니터링과 현황 분석을 통해 유해 트래픽의 발생지/목적지 확인과 현재 보안 위협수준 정의, 그리고 자동화된 대처를 통해 안정적인 네트워크/서비스.. 2014. 3. 17.
LTE의 GTP 터널 소개 LTE망에서 사용되는 GTP Tunnel에 대해서 설명드리겠습니다. 아래 그림(a)와 같이 LTE 단말(UE)이 보낸 IP 패킷은 eNB(기지국)에서 P-GW까지 GTP tunnel을 통해 전송됩니다. GTP tunnel을 통해 전송된다는 말은 "단말이 IP 패킷의 Destination IP 주소에 어떤 값을 기록하던 상관없이 단말이 보낸 패킷은 항상 eNB를 통해 P-GW까지 전송이 된다"는 의미입니다. 좀 더 세부적으로 살펴 보겠습니다. [UE -> eNB]: UE가 Destination IP = 74.125.71.104 (www.google.com의 IP 주소)로 하여 무선구간을 통해 패킷을 eNB로 전송합니다. UE가 보낸 패킷 구조는 다음과 같습니다: [UE가 보낸 IP header(SIP=UE.. 2014. 3. 11.
LTE 구조 / LTE 네트워크 구조 사진 출처 : http://www.netmanias.com/ko/?m=view&id=techdocs&no=5138 UE (User Equipment) 지금 사용하시고 있는 LTE 핸드폰 또는, 데이터 통신이 가능한 USB Dongle (USB Type으로 노트북에 연결하여 무선 인터넷을 사용 할 수 있게 해주는 것) 을 이야기 합니다. eNB (Evolved Node B) "LTE 기지국"이라 불리며, UE와 LTE 네트워크 간에 무선으로 연결을 가능하게 해주는 장비입니다. 위 그림에서 무선 연결은 UE와 eNB간이고, 나머지는 모두 IP망을 통한 유선 연결입니다. S-GW (Serving Gateway) eNB 사이에서 핸드오버가 가능하게 도움을 주는 역활을 합니다. (핸드오버 시 시스템간 Anchor.. 2014. 3. 11.
가상화의 형태 - 하이퍼바이저[Hypervisor] 하이퍼바이저[Hypervisor] 프로세서나 메모리와 같은 다양한 컴퓨터 자원에 서로 다른 각종 운영 체제(OS)의 접근 방법을 통제하는 얇은 계층의 소프트웨어, 다수의 OS를 하나의 컴퓨터 시스템에서 가동할 수 있게 하는 소프트웨어로 중앙 처리 장치(CPU)와 OS 사이에 일종의 중간웨어로 사용되며 ,하나의 컴퓨터에서 서로 다른 OS를 사용하는 가상 컴퓨터를 만들 수 있는 효과적인 가상화 엔진이다. 하이퍼바이저(the Hypervisor) - VMM(Virtual Machine Monitor , or Manager) 라고도 불려진다. 하이퍼바이저는 여러 개의 OS가 단일 하드웨어 호스트를 공유할 수 있도록 하는 프로그램 각 OS는 호스트의 프로세스, 메모리 및 기타 자원들을 모두 스스로 나타낸다. 하이.. 2014. 3. 11.
하이퍼바이저 - Hypervisor Hypervisor 1. 정의 → Virtual Machine Manager(VMM)이라고도 불리며 하드웨어 가상화(Hardware Virtualization) 기술 중 하나로 여러 개의 OS들이 한 개의 호스트 머신(Host Computer)위에서 돌게 해 준다. → Hypervisor의 예 2. 하드웨어 가상화의 장점(advantages of platform virtualization) A. machine consolidation → U.S. EPA 연구에 의하면 서버 용량의 약 5%만 실제로 사용된다고 한다. 단일 서버에서 여러 플랫폼을 가상화하면 서버 활용도를 높일 수 있고 활용도가 높아지므로 서버 수가 줄어든다. B. reduce datacenter costs by reducing your ph.. 2014. 3. 11.
모든 사용자용 bashrc 수정하기 /etc/bash.bashrc 이 파일이다. 여기다가도 export LANG=C 추가~! 출처 : http://haneu.tistory.com/116 2014. 3. 7.
vim 에디터 설치 및 기본설정하기 $ sudo apt-get install vim apt-get은 정말로 편한것 같다... 설치가 끝나고 기본 설정하기 $ vim ~/.vimrc 명령어로 새로 .vimrc를 홈디렉토리에 생성해준후 set autoindent - 자동 들여쓰기 set cindent - c언어 들여쓰기 set smartindent - 똑똑한 들여쓰기 set number - 줄 번호 표시 set ruler - 포인터 좌표 표시 set sm - 괄호 짝 표시 set title - 작업중인 문서 제목 표시 set shiftwidth=4 - 자동 들여쓰기 넓이 set tabstop=4 - 들여쓰기(tab)넓이 ==붙여넣기용== set autoindent set cindent set smartindent set number set r.. 2014. 3. 7.
Ubuntu java 버전 변경하기 $> sudo update-alternatives --config java There are 2 choices for the alternative java (providing /usr/bin/java). Selection Path priority Status --------------------------------------------------------------------------------------------------* 0 /usr/lib/jvm/java-6-sun/jre/bin/java 63 auto mode 1 /usr/lib/jvm/java-1.5.0-sun/jre/bin/java 53 manual mode 2 /usr/lib/jvm/java-6-sun/jre/bin/java 63 m.. 2014. 3. 7.
Ubuntu/C - 우분투 소스 컴파일, 실행 소스 코드를 작성 후 컴파일을 하고 실행파일을 만드는 과정을 알아보자 우분투에서 C 프로그램 소스를 컴파일 할 때는 gcc를 이용하는데, 이는 '컴파일러 드라이버'로 불린다. 소스 코드의 빌드 과정에 따라 실행파일을 생성한다. 1. 프리프로세서에 의한 파일 포함과 매크로 처리 2. 어셈블리 코드로 컴파일하고 어셈블 과정을 거쳐 오브젝트 파일로 변환 3. 오브젝트 파일 결합과 라이브러리 링크 위에서 프리프로세서란 고급언어를 또 다른 고급언어로 번역하는 번역기라고 할 수 있다. 쉽게 풀어서 보면, 컴파일보다 먼저 실행되어 미리 처리하는 것인데, 컴파일러가 코드를 번역하기 전에 통일된 언어로 맞추어 놓는 역할을 한다. 프리 프로세서에 대한 사항은 추후 포스팅에 자세히 알아보자. 먼저 hello.c 파일에 대한.. 2014. 3. 7.
Socket 에 대한 기본지식 소켓옵션 ¶ 완성이 되면 docbook(:12)에 추가될 것이다. 네트워크 환경은 매우 다양하며, 예측하기 힘든경우도 많이 발생한다. 때문에 네트워크프로그램의 종류에 따라서 소켓의 세부사항을 조절해야 하는 경우가 발생한다. 이러한 소켓옵션 설정을 위해서 소켓은 getsockopt()와 setsockopt()두개의 함수를 제공한다. 이름에서 알 수 있듯이 getsockopt는 현재의 소켓옵션값을 가져오기 위해서, setsockopt는 소켓옵션값을 변경하기 위해서 사용한다. 예를 들자면 동일한 네트워 프로그램이라고 하더라도 ATM망에서 작동하는 것과 인터넷망 PPP에서 작동하는 것은 환경에 있어서 차이가 생길 수 밖에 없을 것이다. 소켓버퍼의 크기를 예로 들자면, 일반적으로 (대역폭 * 지연율) * 2의 공.. 2014. 3. 3.
유해트래픽(Bad Traffic)의 정의 및 범위 유해트래픽(Bad Traffic)의 정의 및 범위 유해트래픽이라 함은 아래와 같은 트래픽의 종류에 해당 하는 것을 뜻한다. 1 해당 트래픽으로 하여금 수신자 측에서 해당 트래픽을 수신하고 시스템이 이상 작동하게 되는 공격적 트래픽 혹은 공격 정보 2 정상적인 네트워크 흐름에 있어서 필요치 않은 트래픽 혹은 데이터 흐름 3 정상 패킷이지만 해당 패킷을 과도하게 발생하여 수신자의 정상적인 네트워크 소통의 흐름을 방해하거나 네트워크 연결을 중단 시키는 행위를 하기 위한 트래픽 4 수신자의 네트워크 상태나 각종 시스템의 정보를 알아내기 위해서 임의의 트래픽을 생성하여 수신자로 하여금 각종 네트워크 정보를 추출하기 위한 트래픽 5 각종 어플리케이션 레벨에서 비 정상적으로 생성하여 타 어플리케이션 혹은 타 운영체제.. 2014. 3. 3.
Security 용어정리 01 FireWall, IDS, IPS 1. 방화벽은 FireWall 이라고 하죠. 사전적의미 : 방화―벽 (防火壁) [명사] 불이 번지는 것을 막기 위하여 건물의 내부 같은 데에 설치한, 내화 구조(耐火構造)의 벽. 컴퓨터 네트웍에서 보안 방지로 차용하여 사용하는 말입니다. 간단히 패킷필터링, 프락시 필터링 방식이 있는데, 최근엔 혼용하여 사용합니다. 패킷필터링은 IP 등의 접속을 막는것이고, 프락시 필터링은 어플리케이션 필터링을 하는거죠. 파이어월을 설치하면 FTP, 텔넷 등의 서비스를 사내에서 승인된 사람만 사용할 수 있도록 하거나, 허가된 외부 사용자만 내부 네트워크로 들어올 수 있도록 설정할 수 있다. FTP는 내부 사용자가 회사 기밀을 외부로 빼돌릴 목적에 사용될 수 있다. 즉, 외부 서버에 계정을.. 2014. 2. 27.
add-apt-repository: command not found add-apt-repository 라는 명령어를 찾을 수 없을 경우 아래와 같은 Error 메시지가 나타난다. # add-apt-repository ppa:oisf/suricata-stable bash: add-apt-repository: command not found 아래와 같이 패키지를 설치 후 해결하면 된다. # apt-get install python-software-properties 2014. 2. 27.
Ubuntu Installation - Personal Package Archives (PPA) Suricata » Suricata Installation » Ubuntu Installation - Personal Package Archives (PPA) The latest Suricata stable and beta packages are available for Ubuntu in a Ubuntu PPA (launchpad).Currently the following Ubuntu versions are available both in 32bit and 64bit: 10.04 Lucid 12.04 Precise 12.10 Quantal 13.04 Raring 13.10 Saucy https://launchpad.net/~oisf/+archive/suricata-stable Installation T.. 2014. 2. 27.

티스토리툴바