침입 탐지 시스템 (Intrusion Detection Systems)

1. 침입 탐지 시스템(Intrusion Detection Systems) Chapter 8 Authorization

2. 침입 방지(Intrusion Prevention) • 나쁜 놈은 못 들어오게 한다. • 침입 방지는 전통적으로 컴퓨터 보안에서의 관심 사항이다. • 인증 • 방화벽 • 바이러스 방어 • 자동차를 열쇠로 잠그는 것과 비슷하다. Chapter 8 Authorization

3. 침입 탐지(Intrusion Detection) • 침입 방어에도 불구하고 나쁜 놈은 시스템 내부에 들어 올 수 있다. • Intrusion detection systems (IDS) • 공격이 발생하기 전, 발생하는 동안, 혹은 후에 공격을 탐지한다. • 기본적인 접근법은 “비정상적인” 행위를 찾는 것이다. • 자동 IDS는 로그 파일 분석으로부터 개발됨 • IDS는 현재 관심이 높은 연구 주제이다. • 침입이 탐지되었을 때 어떻게 할 것인가? • 이것은 여기서 다루지 않을 것이다. Chapter 8 Authorization

4. 침입 탐지 • 침입자는 누구일까? • 방화벽을 뚫고 들어온 외부 침입자일 수도 있고, • 사악한 내부인(insider)일 수도 있다. • 침입자는 무엇을 할까? • 잘 알려진 공격 – 초보자라면 • 잘 알려진 공격의 변형된 형태의 공격 • 새로운 혹은 거의 알려지지 않은 공격 • 다른 시스템을 공격하기 위하여 이 시스템을 이용 • 등등. Chapter 8 Authorization

5. 침입 탐지 • 침입 탐지 접근 방법 • 흔적 기반 IDS (Signature(Pattern)-based IDS) • 비정상 기반 IDS (Anomaly-based IDS) • 침입 탐지 구조 • 호스트 기반 IDS • 네트워크 기반 IDS • 대부분의 시스템은 위의 유형에 속한다. • 시장의 제품은 다르게 표현하기도 한다. Chapter 8 Authorization

6. 호스트 기반 IDS • 호스트에서 다음의 행위를 감시(monitoring) • 알려진 공격, 혹은 • 의심스런 행동 • 다음과 같은 공격을 탐지하기 위해서 설계 • 버퍼 오버플로우 • 권한 상승(Escalation of privilege) • 네트워크 상에서의 행위의 관찰은 거의 없음 Chapter 8 Authorization

7. 네트워크 기반 IDS • 네트워크에서의 행위를 감시한다. • 알려진 공격 • 의심스런 네트워크 행위 • 다음과 같은 공격을 탐지하기 위해 설계됨 • 서비스 거부(Denial of service) • 네트워크 탐침(Network probes) • 잘못 구성된 패킷(Malformed packets), 등등. • 방화벽과 중복될 수 있다. • 호스트 기반의 공격에 대해서는 거의 알지 못한다. • 호스트 기반과 네트워크 기반을 모두 갖춘 IDS가 있을 수 있다.

8. 흔적 탐색(Signature Detection) • 흔적 탐색은 일련의 미리 정의된 공격 유형에 대한 네트워크 트래픽을 탐지하는 것이다. • 연속적으로 로그인이 실패할 경우 이것은 암호 크래킹 시도일 수 있다. • IDS는 “M 초 동안에 N번의 로그인 실패”를 흔적(signature)으로 사용할 수 있다. • 만약 M초 동안 N번 이상의 로그인 실패가 감지되면 IDS는 공격이 발생했다고 경고한다. Chapter 8 Authorization

9. 흔적 탐색 • M초 동안 N 번 이상의 로그인 실패가 발생할 때마다 IDS는 경고 신호를 보낸다고 하자. • 지나친 오보가 발생하지 않도록 적절한 N과 M을 설정해야 한다. • 이것은 정상적인 행위에 기반을 둘 수 있다. • 공격자가 이 흔적을 알고 있다면 매 M초 동안 N-1번의 로그인을 시도할 것이다. • 이 경우 IDS는 공격을 지연시킬 수는 있지만 막을 수는 없다. Chapter 8 Authorization

10. 흔적 탐색 • 다양한 기법들이 흔적 탐색을 더 확실하게 만들어 준다. • 목표는 항상 “거의 흔적에 가까운” 것을 탐지하는 것이다. • 예를 들면, 만약 “대략” M초 동안 “대략” N번의 로그인 시도가 있었다면 • 암호 크래킹 가능성을 경고한다. • “대략”에 대한 합리적인 값은 얼마일까? • 통계 분석, heuristics, 혹은 다른 방법을 이용하여 찾아봄 • 잘못된 경고율이 증가하지 않도록 유의해야 한다. Chapter 8 Authorization

11. 흔적 탐색 • 장점 • 단순하다. • 효율적이다. (흔적의 수가 적절한 경우) • 알려진 공격을 탐지한다. • 탐지하는 순간 어떤 공격인지 알 수 있다. • 단점 • 흔적 파일(Signature files)은 지속적으로 갱신되어야 한다. • 흔적의 수가 너무 많을 수 있다. • 알려진 공격만을 탐지할 수 있다. • 알려진 공격이라도 변형된 형태는 탐지하지 못할 수 있다. Chapter 8 Authorization

12. 비정상 탐지 • 비정상 탐지 시스템은 평상시와 다른 혹은 비정상적인 행위를 찾는다. • 적어도 2가지 과제가 존재한다. • 이 시스템에서 무엇이 정상적인 행위인가? • 정상 행위에서 얼마나 “벗어난” 행위가 비정상 행위인가? • 여기서 통계가 필요하다! • 정상은 평균으로 정의된다. • 편차(variance)는 정상으로부터 얼마나 벗어나 있는지를 나타낸다. Chapter 8 Authorization

13. 무엇이 “정상”인가? • 아래와 같이 뿌려진 점들을 보자. • 흰 점은 “정상” • 빨간 점은정상인가? • 초록 점은 정상인가? • 파란 점은 얼마나 비정상인가? • 통계값은 상당히 애매하다! y x Chapter 8 Authorization

14. 어떻게 “정상”을 측정할 것인가? • “정상”의 측정 • “대표적인” 행동이 있는 동안 측정해야 한다. • 공격이 있는 동안 측정해서는 안 된다. • 아니면 공격이 정상으로 보일 수 있다! • 정상은 통계적 평균이다. • 성공의 가능성을 높이기 위해서는 분산(variance)도 계산해야 한다. Chapter 8 Authorization

15. 어떻게 “정상”을 측정할 것인가? • 비정상은 “정상”에 상대적인 것이다. • 비정상은 공격의 가능성이 있음을 의미한다. • 통계적 판별 기법: • 베이지안 통계 • 선형 판별 분석 (LDA) • 이차 판별 분석 (QDA) • 신경망, 은닉 마코프 모델, 등등. • 고급스런 모델링 기법도 사용됨 • 인공 지능 • 인공 면역 시스템 원리 • 그외도 여러가지! Chapter 8 Authorization

16. 어떻게 “정상”을 측정할 것인가? • 접근 방법은 이 강좌의 범위를 벗어난다. • 통계적 판별 기법 • 또한 고급의 모델링 기법이 사용된다. • 여기서는, 비정상 탐지를 위한 두 개의 간단한 예를 생각해 본다. • 첫번째 예는 간단하지만 현실적이지 않다. • 두번째 예는 약간 더 현실적이다. Chapter 8 Authorization

17. 첫번째 예 (1) • 다음의 세 가지 명령어의 사용을 감시한다고 하자. open, read, close • 정상적인 사용일 경우 다음과 같이 관찰됨 open, read, close, open, open, read, close,… • 6개의 가능한 순서쌍 중에서 4개의 쌍이 “정상” (open,read), (read,close), (close,open), (open,open) • 다음의 두 쌍은 비정상(read, open), (close,read) • 이것을 비정상 동작을 식별하는데 사용할 수 있는가? Chapter 8 Authorization

18. 첫번째 예 (2) • 비정상과 정상의 쌍의 비율이 “너무 높으면” 공격의 가능성이 있다고 경고한다. • 이 방법을 다음과 같이 개선할 수 있다. • 각 쌍의 예상 빈도수를 사용한다. • 두 개 이상의 연속적인 명령어를 사용한다. • Ex: (Open Read Close) • 더 많은 명령어/행위를 모델에 포함시킨다. • 더 복잡한 통계적 판별을 적용한다. Chapter 8 Authorization

19. 두번째 예(1) • 약간 현실적인 비정상 탐지를 위해서 파일 접근하는 행위에 초점을 맞추자. • 오랜 시간 동안 관찰한 바에 의하면Alice는 파일 Fn에 Hn 의 비율로 접근한다. • 최근에, Alice는 파일 Fn 에 An 의 비율로 접근한다. Chapter 8 Authorization

20. 두번째 예(2) • 이것은 “정상적인” 사용인가? • 다음의 통계값을 사용 • S = (H0A0)2+(H1A1)2+…+(H3A3)2 = .02 • S < 0.1을 정상이라고 한다면, 이것은 이 통계값에 의하면 정상이다. • 문제: 시간에 따라서 사용 행태가 변하는 것을 어떻게 설명할 수 있는가? Chapter 8 Authorization

21. 두번째 예(3) • 새로운 사용 행태를 “정상적인” 행위로 적응하도록 하기 위해서 다음과 같은 장기간에 걸친 평균치(long term average)를 갱신한다. Hn = 0.2An + 0.8Hn-1 • 그러면 H0와 H1은 변하지않고, H2=.2.3+.8.4=.38 H3=.2.2+.8.1=.12 • 그리고 long term averages는 다음과 같이 갱신된다.

22. 두번째 예(4) • 새로 관찰된 값은… • 갱신된 long term average는 • 이것은 정상적인 사용인가? • S = (H0A0)2+…+(H3A3)2 = .0488 • S = .0488 < 0.1이므로 정상으로 판단 • 그리고 다시 long term average를 갱신한다. • Hn = 0.2An + 0.8Hn-1 Chapter 8 Authorization

23. 두번째 예(5) • 2번 반복한 후, 평균값 • 초기 평균값 • 통계값은 행위를 천천히 따라가고 있다. • 이것은 잘못된 경보의 가능성을 줄인다. • 그러나 이것은 또한 공격의 가능성을 열어놓는다. • Trudy는 항상 F3에 접근하기 원하다고 하자. • 그는 IDS가 이것이 Alice의 정상적인 행위라고 확신하게 할 수 있다. Chapter 8 Authorization

24. 두번째 예(6) • 이 방법을 더 건실하게 하기 위해서는 분산을 고려해야 한다. • 또한 N개의 통계값을 조합할 수 있다. 예를 들면, T = (S1 + S2 + S3 + … + SN) / N • 유사한(하지만 더 고도의) 방법이 NIDES에서 사용되고 있다. • NIDES는 비정상과 흔적 기반 IDS이다. Chapter 8 Authorization

25. 비정상 탐지의 이슈들 • 시스템은 지속적으로 변화하고 있으며 IDS도 이것을 따라가야 한다. • 아니면 오 경보가 너무 많이 발생할 수 있다. • 하지만 지속적인 변화는 Trudy가 서서히 IDS가 공격이 정상으로 생각하도록 만들 수 있다는 것을 의미한다. • “비정상”은 무엇을 의미하는가? • 단지 공격의 가능성이 있다는 것 • 공격에 대해서 어떤 특정한 것을 의미하지는 않을 것이다! • 어떻게 이러한 애매한 정보에 대응할 것인가? • 이에 비해, 흔적 탐지는 정확히 어떤 공격인지를 탐지한다. Chapter 8 Authorization

26. 비정상 탐지 • 장점 • 알려지지 않은 공격을 탐지할 수 있다. • 더 효율적일 수 있다. • 단점 • 오늘날, 이 방법 독자적으로 사용되지는 않는다. • 흔적 기반 탐지 시스템과 병행해서 사용되어야 한다. • 신뢰성이 불분명하다. • 비정상 탐지는 무엇인가 이전과 다르다는 것을 의미한다. • 하지만 가능한 공격에 대해 분명한 정보는 제공하지 않는다! Chapter 8 Authorization

27. 결론 • 비정상 기반 IDS는 활발한 연구 중 • 많은 보안 전문가는 이것의 궁극적인 성공에 대해 큰 희망을 갖고 있다. • 미래의 보안 기술의 핵심이 될 것으로 일컬어 진다. • 해커들은 그렇게 생각하지 않는다! • Defcon 11에서 논의의 제목은 “왜 비정상 기반 IDS는 공격자의 가장 좋은 친구인가”였다. • Started in 1992 by the Dark Tangent, DEFCON is the world's longest running and largest underground hacking conference.(www.defcon.org) • 비정상 탐지는 어렵고 애매하다. • 비정상 탐지는 인공 지능 만큼 어려운 문제인가? Chapter 8 Authorization