본문 바로가기
  • AI (Artificial Intelligence)

Security103

다음 세대 V3, AhnLab Next V3 – 평판 기반 탐지 1. 평판 기반 탐지 각각의 회사에 등록된 독립적인 네트워크는, 여러 사용자가 모여 사용하는 만큼 기하급수적으로 많은 데이터가 오고 가게 되어 있습니다. 이는 안랩에서는 ASD(Ahnlab Smart Defense)라는 이름으로 부분적으로 시행되어 왔던 시스템이기도 합니다. 물론 깊게 파고 들면 엄연히 다른 시스템이지만, 평판 기반 탐지는 ASD를 기반으로 하고 있다고 해도 좋습니다. 1-1. 장점 세상에 만들어진 모든 프로그램의 모니터링을 보안 업체가 해줄 수 있다면 더할 나위 없이 좋겠지만, 그게 불가능함을 잘 알고 있을 겁니다. 그렇다면 독자적인 네트워크를 구축하여, 그 네트워크에 해당 파일에 정보를 전송함으로써, 이미 체험한 사람들이 이 프로그램을 어떻게 생각하느냐에 대한 정보를 차곡차곡 쌓아 나.. 2014. 3. 27.
평판(reputation)기반 탐지보안 평판(reputation)기반 탐지보안 - 사용자들의 평판 정보를 통해 처음 보거나 잘 알려지지 않은 파일 및 애플리케이션 등의 신뢰도를 확인하고 위험요소를 탐지하는 보안 기술 * 등장배경 - 미처 수집되고 분석되지 못한 악성코드에 대한 대응 및 처리 방안 요구 - 공격자들의 끊임없는 악성코드 변종 생산으로 관리대상 허용(whitelist)/차단(blacklist) 정보의 증가 - 악성행위 특성(행위기반 탐지)이나 악성코드 패턴(시그니처 기반 탐지)에 대한 정의가 나올 때까지 위험에 노출된 상태로 있기 보다는 공백을 메울 수 있는 방법 필요 * 적용프로세스 데이터의 수집 → 평판을 평가 → 평판정보의 제공 * 보안기술 비교 구 분 시그니처 기반 평판기반 보안기법 원리 시그니처 기반 White/Black .. 2014. 3. 27.
시큐어 코딩 - 블랙리스트 / 화이트리스트 참고자료 : 화이트리스트(whitelist)란? 화이티리스트란 '안전'이 증명된 것만을 허용하는 것으로 '악의성'이 입증된 것을 차단하는 블랙리스트 보안과 상반되는 보안 방식 이다. 화이트리스트, 블랙리스트라는 용어 대신 'positive'와 'nagative' 보안 방법으로 불려지기도 합니다. 예를 들어 이메일에 IP 기반의 화이트리스트 방식을 적용하면 사전에 입증된 정상 IP로부터의 이메일만 허용하고, 이외의 IP로부터의 이메일은 차단하게 된다. 반대로 블랙리스트 방식은 악성 IP로 판명된 IP에서 발송되는 이메일을 제외한 모든 이메일을 허용하게 됩니다. 안전이 입증된 것만을 허용하기에 화이트리스트 보안은 보다 강력한 보안성을 유지할 수 있지만, 운용의 어려움으로 인해 전면적으로 이용되지는 못했습니다.. 2014. 3. 26.
Snort 시그네처의 구조 시그네처의 구조 Snort의 시그네처는 rules라는 확장자를 가진 파일에 기술되어 있다. 이 시그네처는 표1과 같은 구조로 되어 있어 1행에 1개의 시그네처를 기술한다. 시그네처는 룰 헤더와 룰 옵션의 2가지 섹션으로 분류된다. 룰 헤더에는 처리 방법, 프로토콜, IP주소, 포트 번호 등의 처리 대상으로서의 판단 기준를 기술한다. 룰 옵션에는 alert 메시지나 패킷 내부의 조사 내용을 기술한다. 시그네처는 표1과 같이 전부 8개로 분류된다. 또한, 룰 옵션 부분은 기술하지 않아도 정당한 시그네처로 인식된다. 각 부분에 기술해야 할 내용을 표1의 번호에 따라 해설한다. Rule header Rule option action protocol IP address port -> IP address Port .. 2014. 3. 19.
Snort 시그네처 작성과 Preprocessor 독자적인 시그네처의 작성 IDS를 운용할 때 특정 호스트사이의 통신은 무시하고 싶은 경우가 있을 것이다. 이와 같은 경우, action에 pass 를 지정한 시그네처를 작성하면 편리하다. 예를 들어, 신뢰할 수 있는 네트워크(192.168.0.0/24)와 DNS서버(192.168.10.20) 간의 통신을 감시 대상으로부터 제외하고 싶은 경우에는 다음과 같은 시그네처를 작성하면 된다. pass udp 192.168.0.0/24 any 192.168.10.20/32 53 이와 같이 하면, 감시 대상으로 할 필요가 없는 패킷을 무시하고, 오검출을 줄여 Snort의 부하를 경감할 수 있다. 반대로, 표준 시그네처로는 검출할 수 없는 패킷을 검출하고 싶은 경우도 있을 것이다. 예를 들어, FTP에서 songlis.. 2014. 3. 19.
Snort 의 Stream4 (TCP) Integer Overflow 취약점 -- 제목 -------------- Snort 의 Stream4 (TCP) Integer Overflow 취약점. -- 해당 시스템 -------- Snort 2.0.0 beta 버젼 Snort 1.9.x Snort 1.8.x --영향----------------- 서비스거부공격(DoS) 공격을 일으킬 수 있으며, 원격에서 명령어를 실행시킬 수 있다. -- 설명----------------------------- Snort는 실시간 트래픽 분석과 IP 네트워크 상에 패킷 로그를 할 수 있는 네트워크 침입 탐지 시스템이다. 이것은 프로토콜 분석, 내용 검색/매칭을 수행할 수 있으며 오버플로우, 은밀한 포트 스캔, OS 탐지 시도 등 여러 가지 종류의 공격을 탐지하는 데 많이 사용된다. preprocess.. 2014. 3. 19.
snort HTTP 관련 매칭 옵션 (http_uri, http_client_body, http_header, etc..) 시작하면서.. 스노트는 HTTP 패킷에 대해.. 패킷 전체가 아닌 특정 필드값에서 패턴을 찾는 작업을 지원한다. 이는 오탐을 줄이는 동시에 성능을 향상시켜주는 효과가 있다. 스노트 사용에 어느정도 자신감이 생겼다면.. 이 옵션을 사용하는 것을 강력히 추천한다. 기본적인 사용법은 메뉴얼을 보면 되겠지만 HTTP 패킷을 분석하는 일에 친숙하지 않은 사람들을 위해.. 각 옵션들이 가리키는 필드에 대해 자세하게 알아보도록 하자. 먼저, HTTP관련 매칭 옵션들은 크게 다음 7가지가 있다. 이 옵션들은 'content'라는 패턴 매칭 옵션과 함께 사용해야 한다. 1. http_method -HTTP 패킷의 method값을 저장하고 있다. 그러므로, 다른 옵션들과 비교해서 패킷의 가장 앞 부분을 가리킨다. 2. h.. 2014. 3. 18.
침입탐지 기법 가. 침입탐지 기법 - 비정상행위 탐지 비정상행위 탐지 ( Anomaly Detection) 는 Behavior나 Statistical Detection 이라고 불리기도 하며, 정상적인 시스템 사용을 기준으로 이에 어긋나는 행위를 탐지하는 방식이다. 시스템 가동 전에 정상적인 사용자의 로그인 횟수, CPU사용량, 디스크 읽기/쓰기 횟수 등의 통계적 기준선을 설정한 뒤 IDS에게 기준선을 초과하는 비정상 행위를 탐지하게 한다. 탐지 과정에서 기존의 기준선을 수정하거나 새로 갱신할 수 있다. 비정상 행위 탐지는 알려지지 않은 침입도 감지할 수 있는 장점이 있다. 그러나 감사 자료만 가지고 침입을 판단하기에는 무리가 있으며, 시간의 범위나 횟수를 설정하는 것도 어렵다. 1. 침입탐지 기법 - 통계적 접근 통계.. 2014. 3. 17.
침입 탐지 방법론 침입 탐지 방법론은 탐지를 분석하는 방법에 따라 크게 오용 탐지와 비정상행위 탐지로 분류된다. 오용 탐지와 비정상행위 탐지의 적용 기술에 따른 세부 분류는 다음과 같다. 오용 탐지 서명 분석(signature analysis) 전문가 시스템(expert systems) 상태 전이 분석(state transition analysis) 페트리 넷(petri-nets) 비정상행위 탐지 통계(statistics) 전문가 시스템(expert systems) 신경망(neural networks) 컴퓨터 면역학(computer immunology) 데이터 마이닝(data mining) HMM(Hidden Markov Models) (1) 오용 탐지 방법론 서명 분석(signature analysis) 지식 기반 접근.. 2014. 3. 17.
IDS, IPS, UTM, WAF, Honeypot, Honeynet IDS (Intrusion Detection System) Ⅰ. 침입탐지시스템(IDS)의 개요 가. 침입탐지시스템의 정의 - 비인가된 사용자가 자원의 무결성(integrity), 기밀성(confidentiality), 가용성 (availability)을 저해하는 일련의 행동들과 보안 정책을 위반하는 행위를 침입이라고 하며, 이러한 침입을 가능한 실시간으로 탐지하는 시스템을 침입탐지시스템이라고 함 나. 침입탐지시스템의 필요성 1) 외부침입자뿐만 아니라 내부 사용자의 불법적인 사용, 남용, 오용행위에 대처하는 방안의 필요 2) 침입차단시스템(Firewall)이 해킹당했을 때의 피해 최소화 3) 새로운 해킹관련 기술에 대한 지능적인 방지 시스템 필요 다. 침입탐지시스템의 주요 기능 1) 시스템이나 네트워크를 .. 2014. 3. 17.
플로우(Flow) 기반의 패킷 정보 모니터링과 네트워크 보안 최근의 네트워크 트래픽은 WWW, FTP, E-MAIL 등과 같은 일부 애플리케이션 중심이었던 과거와는 달리 온라인 게임, 인터넷 뱅킹, VOD, VoIP, P2P 등의 새로운 애플리케이션과 프로토콜의 출현으로 인해 매우 복잡해지고 세분화되는 경향을 보이고 있다. 특히 과도한 트래픽 유발이나 세션을 생성하는 유해 트래픽의 경우, 네트워크 자원 낭비뿐 아니라 시스템 오동작 유발과 다른 시스템 감염 등을 통해 전체 네트워크 장애로 이어질 수 있기 때문에 네트워크 보안 관리는 더욱 중요시되고 있다. 이런 경향을 반영해 최근에는 트래픽 모니터링의 패러다임이 이상 트래픽 모니터링과 현황 분석을 통해 유해 트래픽의 발생지/목적지 확인과 현재 보안 위협수준 정의, 그리고 자동화된 대처를 통해 안정적인 네트워크/서비스.. 2014. 3. 17.
유해트래픽(Bad Traffic)의 정의 및 범위 유해트래픽(Bad Traffic)의 정의 및 범위 유해트래픽이라 함은 아래와 같은 트래픽의 종류에 해당 하는 것을 뜻한다. 1 해당 트래픽으로 하여금 수신자 측에서 해당 트래픽을 수신하고 시스템이 이상 작동하게 되는 공격적 트래픽 혹은 공격 정보 2 정상적인 네트워크 흐름에 있어서 필요치 않은 트래픽 혹은 데이터 흐름 3 정상 패킷이지만 해당 패킷을 과도하게 발생하여 수신자의 정상적인 네트워크 소통의 흐름을 방해하거나 네트워크 연결을 중단 시키는 행위를 하기 위한 트래픽 4 수신자의 네트워크 상태나 각종 시스템의 정보를 알아내기 위해서 임의의 트래픽을 생성하여 수신자로 하여금 각종 네트워크 정보를 추출하기 위한 트래픽 5 각종 어플리케이션 레벨에서 비 정상적으로 생성하여 타 어플리케이션 혹은 타 운영체제.. 2014. 3. 3.
Security 용어정리 01 FireWall, IDS, IPS 1. 방화벽은 FireWall 이라고 하죠. 사전적의미 : 방화―벽 (防火壁) [명사] 불이 번지는 것을 막기 위하여 건물의 내부 같은 데에 설치한, 내화 구조(耐火構造)의 벽. 컴퓨터 네트웍에서 보안 방지로 차용하여 사용하는 말입니다. 간단히 패킷필터링, 프락시 필터링 방식이 있는데, 최근엔 혼용하여 사용합니다. 패킷필터링은 IP 등의 접속을 막는것이고, 프락시 필터링은 어플리케이션 필터링을 하는거죠. 파이어월을 설치하면 FTP, 텔넷 등의 서비스를 사내에서 승인된 사람만 사용할 수 있도록 하거나, 허가된 외부 사용자만 내부 네트워크로 들어올 수 있도록 설정할 수 있다. FTP는 내부 사용자가 회사 기밀을 외부로 빼돌릴 목적에 사용될 수 있다. 즉, 외부 서버에 계정을.. 2014. 2. 27.
Ubuntu Installation - Personal Package Archives (PPA) Suricata » Suricata Installation » Ubuntu Installation - Personal Package Archives (PPA) The latest Suricata stable and beta packages are available for Ubuntu in a Ubuntu PPA (launchpad).Currently the following Ubuntu versions are available both in 32bit and 64bit: 10.04 Lucid 12.04 Precise 12.10 Quantal 13.04 Raring 13.10 Saucy https://launchpad.net/~oisf/+archive/suricata-stable Installation T.. 2014. 2. 27.
Snort 3.0 Alpha and IPv6 - Friday, April 06, 2007 For the past few days I've been playing with alpha code for Snort 3.0, recently announced. One of the most interesting aspects of Snort 3.0 is the fact that operation is controlled by a Lua interpreter. It's a little like logging into a Cisco router and it's going to change the way everyone uses and interacts with Snort. I tested snort-03.0.0.a1.4 on a FreeBSD box 6.x box with the lua-5.1.1_2 pa.. 2014. 2. 25.
Suricata 2.0beta2 as IPS on Ubuntu 12.04 - Saturday, January 25, 2014 Today I decided to install Suricata, the open source intrusion detection and prevention engine from the Open Information Security Foundation (OISF), as an IPS. I've been running Suricata in IDS mode through Security Onion on and off for several years, but I never tried Suricata as an IPS. I decided I wanted to run Suricata as a bridging IPS, such that it did not route traffic. In other words, I .. 2014. 2. 25.
suricata for tilera Suricata for Tilera Overview This repository contains port of Suricata to Tilera's multi core processors. The intent of this repository is to collect work in progress on the Suricata port to Tilera and make it available to the community. Ultimately the modifications to Suricata to support Tilera are expected to be folded back into the Suricata source base maintained by OISF. This supports Surica.. 2014. 2. 20.
Suricata 1.4.4 Released – A Network Intrusion Detection, Prevention and Security Monitoring System Suricata is an open source high performance modern Network Intrusion Detection,Prevention and Security Monitoring System for Unix/Linux, FreeBSD and Windowsbased systems. It was developed and owned by a non-profit foundation the OISF (Open Information Security Foundation). Recently, the OISF project team announced the release of Suricata 1.4.4 with minor but crucial updates and fixed some essent.. 2014. 2. 14.

티스토리툴바