KR100518119B1 - Secure Solution System based on Network - Google Patents

Secure Solution System based on Network Download PDF

Info

Publication number
KR100518119B1
KR100518119B1 KR10-2004-0001547A KR20040001547A KR100518119B1 KR 100518119 B1 KR100518119 B1 KR 100518119B1 KR 20040001547 A KR20040001547 A KR 20040001547A KR 100518119 B1 KR100518119 B1 KR 100518119B1
Authority
KR
South Korea
Prior art keywords
attacker
attack
honeypot
information
intrusion
Prior art date
Application number
KR10-2004-0001547A
Other languages
Korean (ko)
Other versions
KR20050073702A (en
Inventor
윤현수
박찬일
이윤호
김희열
송주민
이수진
정병천
이광형
Original Assignee
한국과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술원 filed Critical 한국과학기술원
Priority to KR10-2004-0001547A priority Critical patent/KR100518119B1/en
Publication of KR20050073702A publication Critical patent/KR20050073702A/en
Application granted granted Critical
Publication of KR100518119B1 publication Critical patent/KR100518119B1/en

Links

Classifications

    • AHUMAN NECESSITIES
    • A42HEADWEAR
    • A42BHATS; HEAD COVERINGS
    • A42B1/00Hats; Caps; Hoods
    • A42B1/206Transformable, convertible or reversible hats
    • AHUMAN NECESSITIES
    • A42HEADWEAR
    • A42BHATS; HEAD COVERINGS
    • A42B1/00Hats; Caps; Hoods
    • A42B1/004Decorative arrangements or effects
    • AHUMAN NECESSITIES
    • A42HEADWEAR
    • A42BHATS; HEAD COVERINGS
    • A42B1/00Hats; Caps; Hoods
    • A42B1/006Hats; Caps; Hoods convertible or adaptable for uses other than as headgear
    • AHUMAN NECESSITIES
    • A42HEADWEAR
    • A42BHATS; HEAD COVERINGS
    • A42B1/00Hats; Caps; Hoods
    • A42B1/205Hats; Caps; Hoods made of separable parts
    • AHUMAN NECESSITIES
    • A42HEADWEAR
    • A42BHATS; HEAD COVERINGS
    • A42B1/00Hats; Caps; Hoods
    • A42B1/22Hats; Caps; Hoods adjustable in size ; Form-fitting or self adjusting head coverings; Devices for reducing hat size
    • AHUMAN NECESSITIES
    • A44HABERDASHERY; JEWELLERY
    • A44BBUTTONS, PINS, BUCKLES, SLIDE FASTENERS, OR THE LIKE
    • A44B1/00Buttons
    • A44B1/18Buttons adapted for special ways of fastening
    • A44B1/28Buttons adapted for special ways of fastening with shank and counterpiece
    • A44B1/30Screw-buttons

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 침입 탐지 시스템(ID), 허니팟(honeypot) 시스템, 침입 유도 스위치 시스템, 및 관리 콘솔 시스템의 연동으로 침입자의 적극적인 유도 뿐만 아니라 공격정보 습득 및 분석이 가능한 네트워크 기반의 보안 솔루션 시스템에 관한 것으로, 시스템간의 독립성을 최대한 보장하면서 각각의 성능을 통합하여 새로운 공격 정보를 효과적으로 확보하고 개별 시스템의 성능을 향상시킬 수 있는 통합된 IDS와 허니팟을 연동하는 보안 솔루션 시스템을 제안한다. The present invention relates to a network-based security solution system capable of acquiring and analyzing attack information as well as active induction of an intruder by interlocking an intrusion detection system (ID), a honeypot system, an induction induction switch system, and a management console system. In this paper, we propose a security solution system that integrates the integrated IDS and honeypot to secure new independence information and improve the performance of individual systems by integrating each performance while ensuring maximum independence between systems.

외부의 공개된 네트워크에서 공격자가 안전구역에 있는 비즈니스 서버를 공격할 경우, 침입 탐지 시스템에서 그것을 탐지하여 해당 공격자 패킷의 정보를 침입 유도 스위치에 전송하면 침입 유도 스위치 시스템은 해당 공격자의 공격 패킷을 허니팟 시스템으로 전송한다. 허니팟 시스템은 비즈니스 서버를 가장하여 공격자에게 응답을 하고, 공격자는 허니팟에서 공격을 수행한다. 이때, 공격자의 공격과정은 관리 콘솔 시스템으로 전송되어 공격정보 및 공격관련 기록이 수집된다.When an attacker attacks a business server in a safe area on an external public network, the intrusion detection system detects it and sends the information of the attacker's packet to the intrusion switch. The intrusion switch system honeypots the attacker's attack packet. Transfer it to the system. The honeypot system responds to the attacker by impersonating the business server, and the attacker performs the attack in the honeypot. At this time, the attacker's attack process is transmitted to the management console system to collect attack information and attack-related records.

Description

네트워크 기반의 보안 솔루션 시스템 {Secure Solution System based on Network}Network based security solution system {Secure Solution System based on Network}

본 발명은 보안 시스템에 관한 것으로, 더욱 상세하게는 침입 탐지 시스템(Intrusion Detection System : 이하 IDS라 함), 허니팟(honeypot) 시스템, 침입 유도 스위치 시스템, 및 관리 콘솔 시스템의 연동으로 침입자의 적극적인 유도 뿐만 아니라 공격정보 습득 및 분석이 가능한 네트워크 기반의 보안 솔루션 시스템에 관한 것이다.The present invention relates to a security system, and more particularly, to induce an intruder by integrating an intrusion detection system (IDS), a honeypot system, an intrusion induction switch system, and a management console system. Rather, it relates to a network-based security solution system capable of acquiring and analyzing attack information.

인터넷의 확산, 정보에 대한 의존도 상승, 정보 가치의 증가 등에 따라 네트웍을 통한 외부 침입의 가능성은 더욱 커졌고, 내부인에 의한 정보 유출 및 파괴 또한 계속 증가하고 있다. 이에 따라, 각종 보안 시스템을 이용하여 컴퓨터 시스템 및 네트워크를 보호하게 되었고, 인증 시스템(authentication system), 데이터 암호화시스템(data encryption system), 침입 차단 시스템(firewall)등이 널리 알려져 있다.The proliferation of the Internet, the increasing dependence on information, and the increasing value of information have increased the possibility of outside intrusion through the network, and the leakage and destruction of information by insiders continues to increase. Accordingly, computer systems and networks are protected by various security systems, and authentication systems, data encryption systems, and firewalls are widely known.

한편, 기하급수적으로 늘고 있는 해킹시도에서 시스템을 보호하기 위해서는 단순한 접근 제어나 침입 차단 시스템의 운영만으로는 불가능하다. 따라서, 앞서 언급한 보안 시스템과는 다른 기술들이 요구되었고, 시스템이나 네트웍에서 일어난 각종 침입 행위들을 자동으로 탐지, 보고, 대응하는 IDS, 가상의 유인 환경을 만들어 공격을 미연에 방지하고 새로운 공격기술을 얻고자 하는 허니팟 시스템, 침입자 역추적이 가능한 피쉬보울(fishbowl) 등 다양한 종류의 보안 시스템이 개발되었다.On the other hand, in order to protect the system from the exponentially increasing number of hacking attempts, it is impossible to operate only by simple access control or intrusion prevention system. Therefore, different technologies from the aforementioned security systems were required, and IDS and virtual manned environments were automatically detected, reported, and responded to various intrusions occurring in the system or network to prevent attacks and prevent new attacks. Various types of security systems have been developed, such as the honeypot system to be gained and the fishbowl that can trace back intruders.

하지만, 이러한 새로운 보안 시스템들 역시 어떤 공격을 막아야 할지 유연하게 대처하지 못하고 있다. 예를 들면, IDS는 신종 공격에는 무기력하다는 단점을 가지며, 또한 피쉬보울이나 허니팟 시스템들은 공격자가 시스템에 접속하기만을 기다리는 형태로 능동적인 작동이 불가능하다는 단점을 가진다. 즉, 독립적으로 존재하는 시스템들이 갖고 있는 특징으로 인해 각각의 시스템들이 그 기능을 발휘하지 못하고 여전히 문제점을 드러내고 있는 상황이다. 이는 각각의 시스템들이 서로 보완적인 성격을 갖고 계속적인 성능개선을 이루어야 하는데 그러지 못한 상태로 독립적으로 존재한다는데 그 문제점이 있을 것이다. However, these new security systems are also less flexible about what kind of attacks to prevent. For example, IDS has the disadvantage of being helpless against new attacks, and fish bowl or honeypot systems have the disadvantage that active operation is not possible in the form of waiting for an attacker to connect to the system. In other words, due to the characteristics of the systems that exist independently, each system does not perform its function and still presents a problem. This is because each system must complement each other and achieve continuous performance improvement.

이런 상황하에서, 개별적인 시스템들을 통합하여 보다 통합된 시스템으로 구성하려는 허니넷이나 베이트 & 스위치(Bait & Switch) 등의 프로젝트가 국외에서 일부 수행되고 있으나, 아직 완전한 통합이라 보기 힘들고, 여전히 허니팟 및 IDS시스템을 통합하여 서로 상호보완이 가능하고 능동적인 시스템을 구성하기 위한 노력이 요구된다고 볼 수 있다.Under these circumstances, some projects such as Honeynet and Bait & Switch have been conducted overseas to integrate individual systems into a more integrated system. Efforts must be made to integrate and complement each other and form an active system.

이에, 본 발명에서는 IDS와 허니팟 시스템을 연동한 네크워크에 기반한 보안 솔루션 시스템을 제안하고자 한다. Accordingly, the present invention proposes a security solution system based on a network in which an IDS and a honeypot system are interworked.

본 발명에서는 시스템의 효율성을 증대시키고 시스템의 통합을 위한 새로운 IDS와 허니팟 시스템 및 침입 의도를 갖고 있는 공격자의 패킷을 공격자가 알아차리지 못한 상태에서 허니팟 시스템으로 유인하기 위한 침입 유도 스위치 시스템이 제시된다. In the present invention, a new IDS and honeypot system for increasing the efficiency of the system, and an intrusion induction switch system for attracting an attacker's packet having an intention of intrusion into a honeypot system without an attacker's knowledge are presented.

또한, 본 발명에서는 IDS, 허니팟 시스템 그리고 스위치 시스템의 작동을 통제하고 IDS와 허니팟 시스템으로부터 오는 정보를 연동하여 시스템 관리자에게 보다 효율적인 침입정보를 제공하기 위한 관리 콘솔 시스템이 제시된다. In addition, the present invention provides a management console system for controlling the operation of the IDS, honeypot system and switch system and to provide more efficient intrusion information to the system administrator by interlocking information from the IDS and honeypot system.

이하 첨부된 도면을 참조하면서 본 발명의 바람직한 실시예를 살펴보기로 한다. Hereinafter, a preferred embodiment of the present invention will be described with reference to the accompanying drawings.

먼저, 본 발명에서 제안된 시스템과 가장 밀접한 베이트 & 스위치(Bait & Switch) 허니팟 시스템을 살펴본후 본 발명에서 제안된 시스템의 설계를 구체적으로 살펴보도록 하겠다.First, the bait & switch honeypot system closest to the system proposed in the present invention will be described in detail.

1. 관련연구1. Related Research

IDS의 경우에 국내외적으로 다양한 제품이 출시되고 있으며, 허니팟 시스템 역시 메인트랩(ManTrap : 상품명)과 같이 다양한 제품이 출시되고 있다. 또한, 허니넷 프로젝트와 같은 연구가 진행되고 있다. 하지만, 아직 본 발명에서 제안된 시스템과 같은 형태의 시스템이 개발되어 있지 않은 상태이고, 다만 허니팟 시스템 개발의 한 형태로서 베이트 & 스위치 허니팟 시스템이 연구되고 있는 상황이다.In the case of IDS, a variety of products are released at home and abroad, and a variety of products such as honey trap systems (ManTrap: brand name) are also being released. In addition, research such as the Honeynet Project is underway. However, a system of the same type as the system proposed in the present invention has not been developed yet, but a bait & switch honeypot system is being studied as a form of honeypot system development.

베이트 & 스위치 허니팟 시스템은 기존 허니팟 시스템의 단점을 보완하기 위한 능동적인 시스템으로 개발되었다(참고문헌 [4]).The bait & switch honeypot system has been developed as an active system to compensate for the shortcomings of the existing honeypot system (Ref. [4]).

베이트 & 스위치 허니팟 시스템은 기존의 맨트랩 시스템(참고문헌 [3])이나 허니넷 프로젝트(참고문헌 [1])에서와 달리 공격자가 시스템의 취약성을 가지고 자발적으로 시스템에 접근하는 것이 아니라 스위치 시스템에 의해서 공격자가 인식하지 못한 상태에서 공격자를 허니팟 시스템으로 유도를 할 수 있다. 또한, 침입자 유도를 위하여 Snort 룰(rule) 기반으로 리라우팅(rerouting) 대상 소스 IP를 선별하여 대상 IP에서 오는 두번째 패킷부터 리라우팅 되며, 현재 알파 버전을 출시한 상태이다(참고문헌 [2]).The bait & switch honeypot system is different from the existing mantrap system (Ref. [3]) or the honeynet project (Ref. [1]). The attacker can be guided to the honeypot system without the attacker's knowledge. In addition, the rerouting target source IP is selected based on the Snort rule to induce an intruder and rerouted from the second packet coming from the target IP, and an alpha version is currently released (Ref. [2]). .

그러나, 베이트 & 스위치 허니팟 시스템은 다음과 같은 문제점들을 가진다.However, the bait & switch honeypot system has the following problems.

- 올바른 사용자들도 허니팟 시스템으로 유인될 수 있음-Correct users can be attracted to honeypot system

- 공격자가 허니팟으로부터 다른 사이트를 공격할 수 있음Attackers can attack other sites from honeypots

- 서비스 거부의 위협성이 있음-Threat of denial of service

2. 본 발명에 따른 시스템 구성 및 설계2. System configuration and design according to the present invention

본 발명에서 제안된 시스템은 IDS와 허니팟 시스템을 연동하고자 하는데 그 특징을 갖고 있으며, 능동적인 침입자 유인시스템으로 네트워크를 통하여 들어오는 패킷을 IDS, 바람직하게 네트워크에 기반한 NIDS(Network-based Intrusion Detect System)를 통해 모니터링한다. 특히, 공격자의 공격신호를 탐지하여 라우팅 시스템을 이용하여 공격자를 가상의 허니팟 시스템으로 유인하고, 공격자의 공격의도 및 공격 기술 등을 파악한다. The system proposed in the present invention is intended to interoperate with an IDS and a honeypot system, and is an active intruder attraction system that receives IDS packets, preferably a network-based intrusion detection system (NIDS). Monitor through. In particular, the attack signal of the attacker is used to lure the attacker to the virtual honeypot system using the routing system, and the attacker's intention and attack technique are grasped.

또한, 모든 정보를 통제 콘솔을 통하여 각종 침입 정보 및 기술을 분석하고, 새로운 침입 탐지 방법 및 공격기술을 시스템에 적용함으로써 IDS 및 방화벽 의 성능을 신속하게 향상시켜, 향후 중요한 자산을 보호하고 추가적인 공격에 대한 대응기술을 확보할 수 있다.In addition, all information is analyzed through the control console and various intrusion information and technologies are applied, and new intrusion detection methods and attack techniques are applied to the system to quickly improve the performance of IDS and firewalls to protect important assets in the future and to prevent additional attacks. It is possible to secure the countermeasure technology.

3. 본 발명에 따른 시스템 구성3. System configuration according to the present invention

본 발명에서 제안하고자 하는 시스템은 크게 침입자의 공격의도를 사전에 탐지할 수 있는 IDS(100), 탐지된 공격자의 패킷을 허니팟으로 유인할 수 있는 침입 유도 스위치 시스템(200), 침입자의 행위를 파악할 수 있는 허니팟 시스템(300) 및 전체적인 시스템들을 관리하는 관리 콘솔 시스템(400)으로 구성되어 있으며, 도 1과 같은 구조를 가진다. The system proposed in the present invention is largely IDS (100) that can detect the attack intention of the attacker in advance, intrusion induction switch system (200) that can attract the detected attacker's packet to the honeypot, the intruder's actions It consists of a honeypot system 300 that can be grasped and a management console system 400 that manages the overall systems, and has a structure as shown in FIG. 1.

도 1에 도시된 바와 같이, 외부의 공개된 네트워크에서 공격자가 안전구역에 있는 비즈니스 서버를 공격할 경우, 침입 탐지 시스템(100)에서 그것을 탐지하여 해당 공격자 패킷의 정보(IP주소, 포트정보 등)를 침입 유도 스위치 시스템(200)에 전송한다. 침입 유도 스위치 시스템(200)은 해당 공격자의 공격 패킷을 허니팟 시스템(300)으로 전송한다. 허니팟 시스템(300)은 비즈니스 서버를 가장하여 공격자에게 응답을 하고, 공격자는 허니팟 시스템(300)에서 공격을 수행한다. 이때, 공격자의 공격과정은 관리 콘솔 시스템(400)으로 전송되어 공격정보 및 공격관련 기록이 수집된다.As shown in FIG. 1, when an attacker attacks a business server in a safe area in an external public network, the intrusion detection system 100 detects it and information of the attacker packet (IP address, port information, etc.). To the intrusion induction switch system 200. The intrusion induction switch system 200 transmits the attack packet of the attacker to the honeypot system 300. The honeypot system 300 responds to an attacker by impersonating a business server, and the attacker performs an attack in the honeypot system 300. At this time, the attacking process of the attacker is transmitted to the management console system 400 to collect attack information and attack-related records.

IDS 시스템(100): IDS system (100):

오용 탐지 등의 기법을 이용하여 그 결과를 통합함으로써 정확한 침입 탐지를 수행하고 네트워크 환경에 유연하게 적용이 가능한 침입 탐지 시스템이다. 침입 결과와 허니팟 시스템(300)으로부터의 공격 패턴에 대한 정보를 추가하여 공격자의 침입을 보다 효과적으로 탐지할 수 있도록 기능의 향상이 가능하다.By integrating the results using techniques such as misuse detection, it is an intrusion detection system that performs accurate intrusion detection and flexibly adapts to the network environment. By adding information on the intrusion result and the attack pattern from the honeypot system 300, the function can be improved to more effectively detect the intrusion of the attacker.

침입 유도 스위치 시스템(200): Intrusion Switch System 200

대용량의 네트워크 환경에서 IDS(100)로부터 탐지된 특정 공격자의 IP및 서비스 정보에 대한 패킷을 허니팟 시스템(300)으로 유인하고, 허니팟 시스템(300)으로부터 오는 공격자 IP 및 서비스요청에 대한 반응 정보를 공격자에게 재전송함으로써 공격자가 실제 자신이 공격하고자 하는 서버에 대해 공격을 수행하고 있도록 착각하게 만든다. Induces a packet for a specific attacker's IP and service information detected from the IDS 100 to the honeypot system 300 in a large network environment, and responds to the attacker's IP and service request from the honeypot system 300 to the attacker. By sending back to the server, the attacker misunderstands that he is actually attacking the server he is trying to attack.

실제 네트워크 환경에서는 대부분의 패킷들이 정상적인 패킷이고 일부 공격적인 패킷만을 유도하여야 한다. 이를 위해서, 도 2와 같은 계층적 침입 유도 스위치 개념을 도입한다.In a real network environment, most packets are normal packets and only some of the aggressive packets should be derived. To this end, a hierarchical intrusion induction switch concept as shown in FIG. 2 is introduced.

허니팟 시스템(300): Honeypot System 300:

보호하고자 하는 시스템과 동일 또는 비슷한 기능을 수행하는 가상의 시스템으로 구성한다. 침입 유도 스위치 시스템(200)으로부터 유도된 공격자의 패킷에 대해 서비스를 제공하고 접속한 공격자의 키스트로크(Keystroke) 뿐만 아니라 로컬 공격에 대한 시스템 로그를 생성하는 등 공격자의 공격 기술 및 공격도구를 확보한다. 또한, 공격자로부터 피해를 입은 시스템을 자동복구하고, 공격자의 능력을 제한함으로써 공격자가 허니팟 시스템(300)을 이용하여 다른 시스템을 공격하는 것을 방지한다. It consists of a virtual system that performs the same or similar function as the system to be protected. Provides services for the attacker's packet derived from the intrusion induction switch system 200 and secures the attacker's attack technology and attack tools such as generating a system log of a local attack as well as a keystroke of the connected attacker. . In addition, by automatically recovering the system damaged from the attacker, by limiting the attacker's ability to prevent the attacker to attack other systems using the honeypot system 300.

관리 콘솔 시스템(400): Management console system (400):

IDS(100) 및 허니팟 시스템(300)으로부터 오는 정보를 분석하고 통합하여 시스템 관리자로 하여금 침입자의 공격을 파악하게 하고, 시스템 관리의 효과를 증대시킨다. 특히, IDS(100)로부터의 정보를 기반으로 공격 트렌드(Trend)에 대한 분석 및 탐지된 공격신호의 위험도에 대한 분석을 수행한다. 또한, 허니팟 시스템(300)으로부터의 정보를 기반으로 최신의 공격 기법 및 정보를 획득하고 IDS 정보와의 상호 연관성을 바탕으로 새로운 공격기법에 대한 정보를 획득할 수 있다. Analyzing and integrating the information from the IDS 100 and the honeypot system 300 allows the system administrator to identify the attacker's attack and increase the effectiveness of system management. In particular, the analysis of the attack trend (Trend) and the risk of the detected attack signal based on the information from the IDS (100). In addition, the latest attack technique and information can be obtained based on the information from the honeypot system 300, and information on the new attack technique can be obtained based on the correlation with the IDS information.

본 발명에서 제안된 시스템이 작동하고자 하는 시나리오는 다음과 같다. The scenario in which the system proposed in the present invention intends to operate is as follows.

고속의 네트워크 환경에서 특정 서비스를 제공하고자 하는 시스템을 가상한다. It simulates a system to provide a specific service in a high speed network environment.

① 임의의 불특정 공격자가 해당하는 특정 시스템을 공격하고자 할 때 대부분의 공격자는 nmap등과 같은 잘 알려진 공격도구를 통해 우선 시스템의 환경을 확인한다.① When an unspecified attacker tries to attack a specific system, most attackers first check the system environment through well-known attack tools such as nmap.

② ①의 상황동안, IDS(100)를 통해 공격의도를 갖고 있는 공격자의 IP를 탐지하여 침입 유도 스위치 시스템(200)에 통지한다.② During the situation of ①, the IDS 100 detects the attacker's IP having the intention of attack and notifies the intrusion induction switch system 200.

③ 시스템의 환경을 확인 후 공격자는 시스템의 취약한 점을 발견하고 시스템에 침입하고자 한다. 이때, 침입 유도 스위치 시스템(200)에서는 해당 공격자로부터 오는 모든 패킷을 허니팟 시스템(300)으로 유도함으로써 공격자가 실제 시스템이 아닌 허니팟 시스템(300)을 공격하도록 유도한다. ③ After checking the environment of the system, the attacker discovers the weak point of the system and tries to break into the system. At this time, the intrusion induction switch system 200 induces the attacker to attack the honeypot system 300, not the actual system by inducing all packets from the attacker to the honeypot system 300.

④ 허니팟 시스템(300)은 보호하고자 하는 시스템과 비슷한 기능을 제공한다. 또한, 공격에 성공한 공격자가 추가 공격을 위해 허니팟 시스템(300)에서 하고 있는 모든 행동을 감시하고 공격도구들을 획득하여 공격자의 공격 방법을 모니터링하고 공격기술을 얻는다.④ Honeypot system 300 provides a function similar to the system to be protected. In addition, the attacker who succeeded in the attack monitors all actions performed by the honeypot system 300 for additional attacks, obtains attack tools, monitors the attacker's attack method, and obtains an attack technique.

⑤ IDS(100)와 허니팟 시스템(300)으로부터의 모든 정보를 관리 콘솔 시스템(400)을 통해서 관리자에 보고가 되고, 관리자는 모든 사항을 파악함으로써 공격자의 공격 기술 및 공격도구를 획득하며 보호하고자 하는 중요시스템의 취약점을 보완하게 된다.⑤ All information from the IDS 100 and the honeypot system 300 is reported to the administrator through the management console system 400, the administrator grasps all the details to obtain and protect the attacker's attack technology and attack tools It supplements the weak point of critical system.

4. 본 발명에 따른 시스템 구성4. System configuration according to the present invention

본 발명에서 제안된 시스템은 총 4개의 부분 즉, IDS(100), 침입 유도 스위치 시스템(200), 허니팟 시스템(300), 관리 콘솔 시스템(400)으로 구성되어있다. 각각의 시스템들은 독자적으로도 그 활용성이 뛰어나 통합된 시스템에서 보다 나은 기능을 보인다. 각 개별 시스템의 설계는 다음과 같다.The system proposed in the present invention is composed of a total of four parts, that is, IDS 100, intrusion induction switch system 200, honey pot system 300, management console system 400. Each system is uniquely versatile and can perform better in an integrated system. The design of each individual system is as follows.

허니팟 시스템(300)은 다음과 같은 기능을 가지고 있다.Honeypot system 300 has the following functions.

- 실시간 해커 활동 감시 및 통보(stealth mode)Real-time hacker activity monitoring and notification (stealth mode)

- 피해 시스템 복구 관리(자동, 수동)-Damage system recovery management (automatic, manual)

- 설치 도구 보존을 통한 최신 해킹 기법 연구 지원-Support for researching the latest hacking techniques by preserving installation tools

- 공격 거점 활용 위험 감소-Reduced risk of attack base

- 유도 스위치 연동 : 송신 패킷에 대한 SRC IP(Source IP) 변경 기능 (대응 실제 서버 IP 주소)-Induction switch interworking: SRC IP (Source IP) change function for outgoing packet (corresponding real server IP address)

도 3은 본 발명에 따른 허니팟 시스템의 상세 블록도이다. 도 3를 참조하면, 시스템의 커널(Kernel)은 크게 로그 모듈(310), 관리모듈(320) 및 SRC IP 변경 모듈(330)로 나누어진 기능을 제공한다.3 is a detailed block diagram of a honeypot system according to the present invention. Referring to FIG. 3, the kernel of the system provides a function divided into a log module 310, a management module 320, and an SRC IP change module 330.

로그 모듈(310)은 커널 루트킷의 형태(stealth mode)로서 키스트로크 로그, 프로세스 실행 로그, 파일 변경 감시/복구 로그, 및 로그인/로그아웃 로그 등의 기능을 수행하며, 키스트로크 로그 모듈(310a), 프로세스 실행 로그 모듈(310b), 파일 변경, 복구 로그 모듈(310c) 및 로그인/로그아웃 로그 모듈(310d)을 포함한다.The log module 310 is a kernel rootkit (stealth mode) and performs functions such as a keystroke log, a process execution log, a file change monitoring / recovery log, and a login / logout log, and a keystroke log module 310a. , Process execution log module 310b, file change, recovery log module 310c, and login / logout log module 310d.

또한, 관리 모듈(320)은 커널 백도어의 형태(stealth mode)로서 파일 목록 및 복구 관리, 요청에 의한 현재 프로세스 정보 제공, 원격 관리자 연동 등의 기능을 제공한다. In addition, the management module 320 provides functions such as file list and recovery management, providing current process information by request, and remote manager interworking in the form of a kernel backdoor.

또한, SRC IP 변경모듈(330)은 송신 패킷에 대한 SRC IP 변경 기능을 수행한다. In addition, the SRC IP change module 330 performs the SRC IP change function for the transmission packet.

도 4는 IDS 시스템의 설계를 보여주고 있다. 크게 패킷 분산 모듈(110), 탐지 모듈(120) 및 대응 모듈(130)로 구성되어 있다. 또한, 자체적인 저장소(repository)(도시안됨)를 갖고 있어 각각의 모듈에서 수행하는 작업들의 룰을 정하거나 또는 발생하는 로그들을 저장할 수 있다. 각 모듈별 기능은 다음과 같다. 4 shows a design of an IDS system. The packet distribution module 110, the detection module 120 and the corresponding module 130 is largely composed. It also has its own repository (not shown), which allows you to set rules for tasks performed by each module or to store logs that occur. The function of each module is as follows.

패킷 분산 모듈(110) : 네트워크 패킷 캡쳐, IP 최적화(Defragmentation), 패킷 분배 Packet Distribution Module 110: Network Packet Capture, IP Optimization (Defragmentation), Packet Distribution

탐지 모듈(120) : 탐지기법별 독립 엔진으로 구성, TCP 세그먼트 관리, 룰 세트 및 탐지 정책에 따른 패킷 분석Detection module 120: packet analysis according to the detection engine configuration, TCP segment management, rule set and detection policy

대응 모듈(130) : 탐지 결과간 관련성 분석 정확한 침입 판단, 통지 정책에 따라 최적화된 침입 정보 통지 실시간 통지 대상 서버 관리Correspondence module 130: Analysis of correlation between detection results Accurate intrusion determination, optimized intrusion information notification based on notification policy Real-time notification target server management

도 5는 침입 유도 스위치 시스템의 상세 블록도로서, 침입 유도 스위치 시스템은 전체 시스템 중에서 가장 큰 역할을 수행한다. 5 is a detailed block diagram of an intrusion induction switch system, in which the induction induction switch system plays the largest role among the entire systems.

침입 유도 스위치 시스템(200)은 IDS(100)에서 포착한 공격자의 IP에서 오는 패킷을 허니팟 시스템(300)으로 유인해야 하고 보통의 대다수 패킷들은 정상적인 작동을 보장해주어야 한다. 따라서, 대용량의 서비스를 제공하는 시스템에도 안정성을 확보하고 침입 유도 스위치 시스템의 부하 분산을 위해서 분산 구조를 가지고 있다. 즉, 네트워크로부터 들어오는 패킷을 외부 네트워크 패킷을 직접 받는 메인 스위치(210)와 공격자 패킷을 처리하는 서브스위치(220)로 분할하여 처리하고, 다음의 기능을 수행한다. The intrusion induction switch system 200 should lure packets from the attacker's IP captured by the IDS 100 to the honeypot system 300 and ensure that most of the normal packets operate normally. Therefore, it has a distributed structure to ensure stability even in a system providing a large capacity of services and load balancing of the intrusion induction switch system. That is, the packet received from the network is divided into a main switch 210 which receives external network packets directly and a sub switch 220 that processes an attacker packet, and performs the following functions.

메인 스위치(210) : 패킷 처리부분으로 다른 시스템과의 통신을 수행하고 로그를 전달하는 기능을 수행한다. 또한 IP/포트(Port) 관리 테이블을 만들어 공격자의 IP와 포트를 관리한다.Main switch 210: the packet processing part performs a function of communicating with other systems and delivering the log. It also creates an IP / Port management table to manage the attacker's IP and ports.

서브스위치(220) : 로그 정보 및 세션 정보를 저장하고, IP/포트별로 테이블을 만들어 허니팟 시스템(300)에게 패킷 정보를 전달하는 기능을 수행한다.Sub-switch 220: stores the log information and session information, and creates a table for each IP / port to deliver the packet information to the honeypot system 300.

도 7은 관리 콘솔 시스템의 블록도로서, 크게 관리콘솔(410), 이벤트 처리 서버(420), 저장소(430)로 구성된다. FIG. 7 is a block diagram of a management console system, and is largely comprised of a management console 410, an event processing server 420, and a storage 430.

관리콘솔(410)은 IDS(100)와 허니팟 시스템(300)으로부터 로그를 받아 현재의 상태를 보여주는 역할을 수행하는 것으로, 모니터 시스템(411), 뷰어(412), 제어기(416)를 포함한다.The management console 410 receives a log from the IDS 100 and the honeypot system 300 and shows a current state, and includes a monitor system 411, a viewer 412, and a controller 416.

뷰어(412)는 IDS 뷰어(413)와 허니팟 뷰어(414)로 구분되는데, IDS 뷰어(413)는 IDS(100)로부터 받은 침입탐지에 대한 다양한 정보를 받아 이벤트 처리 서버(420)에서 이벤트 프로세싱 처리를 하여 현재의 공격 정보 및 최근의 공격에 대한 정보를 관리자에게 알려준다. 또한, 허니팟 뷰어(414)는 허니팟 시스템(300)으로부터의 현재 접속중인 사용자 정보와 사용자의 키스트로크 정보 및 프로세스 정보를 받아 허니팟 시스템 내에서 활동하고 있는 공격자의 공격기술을 분석할 수 있는 틀을 제공한다. The viewer 412 is divided into an IDS viewer 413 and a honeypot viewer 414. The IDS viewer 413 receives various information about an intrusion detection received from the IDS 100 and processes the event processing in the event processing server 420. To inform administrators about current and recent attacks. In addition, the honeypot viewer 414 receives a user's current connection from the honeypot system 300, keystroke information and process information of the user to provide a framework for analyzing the attack technology of the attacker in the honeypot system. do.

그리고, 탐지된 공격자의 IP 및 공격 시간을 기준으로 IDS(100)와 허니팟 시스템(300)간의 정보를 연관시켜 새로운 공격기술에 대한 공격신호를 포착한다. 이를 통해 얻어진 룰을 IDS(100)에 적용함으로써 IDS의 성능 향상에 기여한다. In addition, by correlating information between the IDS 100 and the honeypot system 300 based on the detected attacker's IP and attack time, an attack signal for a new attack technique is captured. By applying the rule obtained through the IDS 100 contributes to the performance improvement of the IDS.

관리콘솔(410)의 기능은 크게 3가지로 요약할 수 있다The function of the management console 410 can be summarized into three major

이벤트 프로세싱 : IDS(100)에서 수집된 이벤트를 보관하고, 필터링된 IDS 로그 정보를 바탕으로 이벤트 프로세싱 과정을 수행하여 그 결과를 저장한다.Event processing: The event collected from the IDS 100 is stored, and the event processing is performed based on the filtered IDS log information to store the result.

IDS 침입 정보 분석 : IDS(100)에서 온 정보를 바탕으로 현재 시스템에 침입하는 공격자의 정보를 확인한다. 공격 시간대별로, 소스(Source) IP 또는 목적지(Destination) IP별로, 또는 공격의 중요도 별로 공격의 진행상태를 확인할 수 있다. 또한 최근의 공격증가율 및 트래픽 증가율을 분석하여 최신의 공격동향을 파악할 수 있다. IDS intrusion information analysis: Based on the information from the IDS (100) to check the information of the attacker invading the current system. The progress of the attack can be checked by the attack time, the source IP or the destination IP, or the importance of the attack. In addition, it is possible to grasp the latest attack trend by analyzing the recent attack growth rate and traffic growth rate.

허니팟 시스템 로그 정보 분석 : 허니팟 시스템(300)에 침입한 공격자의 키스트로크 및 공격자가 수행한 프로세서 등을 파악하여 공격자의 공격기술을 획득할 수 있다. 또한, 공격자의 행위 중 중요도에 따라 경고를 함으로써 관리자의 관리 능력을 향상시킨다. Honeypot system log information analysis: The attacker's attack technology can be obtained by grasping the keystroke of the attacker who invades the honeypot system 300 and the processor performed by the attacker. In addition, it improves the manager's management ability by alerting the attackers according to their importance.

본 발명에 의하면, 공격자 패킷을 허니팟 시스템으로 유도시킴으로써 공격자로부터의 침입을 미연에 방지할 수 있는 효과가 있다. 또한, 공격자가 행하는 공격행위를 허니팟 시스템을 이용하여 관찰할 수 있으므로 공격자의 새로운 공격정보를 습득할 수 있으며, 새로운 공격정보를 IDS에 피드백시킴으로써 IDS 성능을 개선시키는 효과가 있다. According to the present invention, it is possible to prevent an intrusion from an attacker by inducing an attacker packet to a honeypot system. In addition, it is possible to observe the attack behavior performed by the attacker using the honeypot system, so that the attacker can acquire new attack information, and the new attack information is fed back to the IDS, thereby improving IDS performance.

* 참고 문헌 ** references *

[1] Know your Enemy, http://www.honeynet.org, Project Honeynet[1] Know your Enemy, http://www.honeynet.org, Project Honeynet

[2] Albert Gonzalez, http://www.violating.us/projects/baitnswitch, Bait & Switch Honeypot[2] Albert Gonzalez, http://www.violating.us/projects/baitnswitch, Bait & Switch Honeypot

[3] ManTrap: A Secure Deception System, Recuouse Technologies, Inc. 2001 [3] ManTrap: A Secure Deception System, Recuouse Technologies, Inc. 2001

[4] Aurobindo Sundaram, An Intruduction to Intrusion Detection, ACM, Inc. 2002[4] Aurobindo Sundaram, An Intruduction to Intrusion Detection, ACM, Inc. 2002

도 1은 본 발명에 따른 보안 솔루션 시스템의 전체 블록도이다.1 is an overall block diagram of a security solution system according to the present invention.

도 2는 계층적 침입 유도 스위치 개념을 설명하는 도면이다.2 is a diagram illustrating a hierarchical intrusion induction switch concept.

도 3은 도 1의 허니팟 시스템 상세 블록도이다.3 is a detailed block diagram of the honeypot system of FIG.

도 4는 도 1의 IDS 상세 블록도이다.4 is a detailed block diagram of the IDS of FIG. 1.

도 5는 도 1의 침입 유도 스위치 시스템 상세 블록도이다.5 is a detailed block diagram of the intrusion induction switch system of FIG.

도 6은 도 1의 관리 콘솔 시스템 상세 블록도이다.6 is a detailed block diagram of the management console system of FIG.

* 도면의 주요부분에 대한 부호의 설명 *Explanation of symbols on main parts of drawing

100 : IDS 110 : 패킷 분산 모듈100: IDS 110: packet distribution module

120 : 탐지모듈 130 : 대응모듈120: detection module 130: corresponding module

200 : 침입 유도 스위치 시스템 210 : 메인 스위치200: intrusion induction switch system 210: main switch

220 : 서브스위치 300 : 허니팟 시스템220: subswitch 300: honeypot system

310 : 로그 모듈 320 : 관리모듈310: log module 320: management module

330 : SRC IP 변경모듈 400 : 관리 콘솔 시스템330: SRC IP change module 400: management console system

410 : 관리 콘솔 420 : 이벤트 처리 서버410: management console 420: event processing server

412 : 뷰어 416 : 제어기412 viewer 416 controller

Claims (5)

네트워크상에서 공격자의 침입 탐지를 수행하여 해당 공격자의 공격 패킷 정보를 획득하는 침입 탐지 시스템과, 공격자의 공격에 대해서 보호 대상 시스템을 가장하여 응답하는 허니팟 시스템을 포함하는 네트워크 기반의 보안 솔루션 시스템에 있어서,In the network-based security solution system comprising an intrusion detection system for performing the intrusion detection of the attacker on the network to obtain the attack packet information of the attacker, and a honeypot system to impersonate the protected system against the attacker's attack, 상기 침입 탐지 시스템으로부터 탐지된 공격자의 공격 패킷 정보를 상기 허니팟 시스템으로 유인하는 침입 유도 스위치 시스템; 및An intrusion induction switch system for inducing attack packet information of an attacker detected from the intrusion detection system to the honeypot system; And 전체적인 시스템들을 관리하고, 상기 침입 탐지 시스템과 허니팟 시스템으로부터의 정보를 기초로 공격유형 분석과 공격 위험도에 대한 분석을 수행하는 관리 콘솔 시스템을 포함하는 것을 특징으로 하는 네트워크 기반의 보안 솔루션 시스템.And a management console system for managing overall systems and performing attack type analysis and attack risk analysis based on information from the intrusion detection system and the honeypot system. 청구항 1에 있어서, 상기 침입 유도 스위치 시스템은,The method according to claim 1, The intrusion induction switch system, 패킷 처리부분으로 다른 시스템과의 통신을 수행하고 로그를 전달하는 기능을 수행하고, IP/포트 관리 테이블을 이용하여 공격자의 IP/포트를 관리하는 메인 스위치; 및A main switch configured to perform communication with other systems and transmit logs as a packet processing part, and to manage an attacker's IP / port using an IP / port management table; And 로그 정보 및 세션 정보를 저장하고, IP/포트별로 테이블을 만들어 허니팟 시스템으로 패킷 정보를 전달하는 기능을 수행하는 서브스위치로 구성되는 것을 특징으로 하는 네트워크 기반의 보안 솔루션 시스템.A network-based security solution system comprising a sub-switch that stores log information and session information, and makes a table for each IP / port to deliver packet information to the honeypot system. 청구항 1 또는 청구항 2에 있어서, 상기 침입 유도 스위치 시스템은 계층적 침입 유도 스위치인 것을 특징으로 하는 네트워크 기반의 보안 솔루션 시스템.3. The network-based security solution system of claim 1 or 2, wherein the intrusion induction switch system is a hierarchical intrusion induction switch. 청구항 1에 있어서, 상기 관리 콘솔 시스템은, The method according to claim 1, wherein the management console system, 침입 탐지 시스템으로부터 수집된 이벤트를 보관하고, 필터링된 침입 탐지 시스템 로그 정보를 바탕으로 이벤트 프로세싱 과정을 수행하는 이벤트 처리 서버;An event processing server for storing events collected from the intrusion detection system and performing an event processing process based on the filtered intrusion detection system log information; 침입 탐지 시스템으로부터의 정보를 바탕으로 현재 시스템에 침입하는 공격자의 정보를 확인하는 침입 탐지 시스템 뷰어; 및An intrusion detection system viewer that checks information of an attacker who invades the current system based on information from the intrusion detection system; And 허니팟 시스템에 침입한 공격자의 키스트로크 및 공격자가 수행한 프로세서 등을 파악하여 공격자의 공격기술을 획득하는 허니팟 시스템 뷰어를 포함하는 것을 특징으로 하는 네트워크 기반의 보안 솔루션 시스템.A network-based security solution system comprising a honeypot system viewer that acquires attacker's attack technology by grasping an attacker's keystroke and a processor performed by the attacker. 청구항 4에 있어서, 상기 침입 탐지 시스템, 유도 스위치 시스템 및 허니팟 시스템을 각각 제어하는 제어기들을 더 포함하는 것을 특징으로 하는 네트워크 기반의 보안 솔루션 시스템.The network-based security solution system of claim 4, further comprising controllers for respectively controlling the intrusion detection system, the inductive switch system, and the honeypot system.
KR10-2004-0001547A 2004-01-09 2004-01-09 Secure Solution System based on Network KR100518119B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2004-0001547A KR100518119B1 (en) 2004-01-09 2004-01-09 Secure Solution System based on Network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2004-0001547A KR100518119B1 (en) 2004-01-09 2004-01-09 Secure Solution System based on Network

Publications (2)

Publication Number Publication Date
KR20050073702A KR20050073702A (en) 2005-07-18
KR100518119B1 true KR100518119B1 (en) 2005-10-04

Family

ID=37262616

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2004-0001547A KR100518119B1 (en) 2004-01-09 2004-01-09 Secure Solution System based on Network

Country Status (1)

Country Link
KR (1) KR100518119B1 (en)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100755960B1 (en) * 2006-01-20 2007-09-06 엔에이치엔(주) System and method for sensing and restoring of service table modification and computer readable recording medium storing for a program for performing the method
KR100776828B1 (en) * 2006-08-25 2007-11-19 고려대학교 산학협력단 Method for intrusion detection of ubiquitous home networks environment, recording medium thereof and apparatus for intrusion detection of ubiquitous home networks environment
KR100926456B1 (en) * 2008-04-04 2009-11-13 숭실대학교산학협력단 Apparatus and method for intrusion detection using client terminal, system and method for network security of the same
MY146995A (en) * 2008-09-12 2012-10-15 Mimos Bhd A honeypot host
US10601868B2 (en) 2018-08-09 2020-03-24 Microsoft Technology Licensing, Llc Enhanced techniques for generating and deploying dynamic false user accounts
US11212312B2 (en) 2018-08-09 2021-12-28 Microsoft Technology Licensing, Llc Systems and methods for polluting phishing campaign responses
CN114285588A (en) * 2020-09-21 2022-04-05 奇安信科技集团股份有限公司 Method, device, equipment and storage medium for acquiring attack object information
CN114884744A (en) * 2022-06-07 2022-08-09 中国软件评测中心(工业和信息化部软件与集成电路促进中心) Attack behavior analysis method and electronic equipment
CN115378643B (en) * 2022-07-14 2024-02-23 软极网络技术(北京)有限公司 Network attack defense method and system based on honey points

Also Published As

Publication number Publication date
KR20050073702A (en) 2005-07-18

Similar Documents

Publication Publication Date Title
US11075885B2 (en) Methods and systems for API deception environment and API traffic control and security
Fuchsberger Intrusion detection systems and intrusion prevention systems
US7596807B2 (en) Method and system for reducing scope of self-propagating attack code in network
Modi et al. A survey of intrusion detection techniques in cloud
CA2610350C (en) Computer network intrusion detection system and method
US20050216956A1 (en) Method and system for authentication event security policy generation
US6775657B1 (en) Multilayered intrusion detection system and method
CN105915532B (en) A kind of recognition methods of host of falling and device
US20080196099A1 (en) Systems and methods for detecting and blocking malicious content in instant messages
US7610624B1 (en) System and method for detecting and preventing attacks to a target computer system
CN112087413A (en) Network attack intelligent dynamic protection and trapping system and method based on active detection
KR100518119B1 (en) Secure Solution System based on Network
Kondra et al. Honeypot-based intrusion detection system: A performance analysis
KR20020072618A (en) Network based intrusion detection system
Vokorokos et al. Network security on the intrusion detection system level
JP2006067078A (en) Network system and attack defense method
Prasad et al. IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots
KR20170109949A (en) Method and apparatus for enhancing network security in dynamic network environment
Borders et al. OpenFire: Using deception to reduce network attacks
WO2008086224A2 (en) Systems and methods for detecting and blocking malicious content in instant messages
Takemori et al. Detection of Bot Infected PCs using Destination-based IP and Domain Whitelists during a non-operating term
WO2007125402A2 (en) A method for protecting local servers from denial-of-service attacks
KR20050082681A (en) Honeypot system
Prasad et al. An efficient flash crowd attack detection to internet threat monitors (itm) using honeypots
KR20070114155A (en) Network attack detection

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100831

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee