KR20040048468A - 감사로그 상관관계 알고리즘을 통한 침입 탐지율 향상 방법 - Google Patents

감사로그 상관관계 알고리즘을 통한 침입 탐지율 향상 방법 Download PDF

Info

Publication number
KR20040048468A
KR20040048468A KR1020020076193A KR20020076193A KR20040048468A KR 20040048468 A KR20040048468 A KR 20040048468A KR 1020020076193 A KR1020020076193 A KR 1020020076193A KR 20020076193 A KR20020076193 A KR 20020076193A KR 20040048468 A KR20040048468 A KR 20040048468A
Authority
KR
South Korea
Prior art keywords
intrusion
audit
log
intrusion detection
host
Prior art date
Application number
KR1020020076193A
Other languages
English (en)
Inventor
김용민
김민수
황현욱
박준형
Original Assignee
노봉남
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노봉남 filed Critical 노봉남
Priority to KR1020020076193A priority Critical patent/KR20040048468A/ko
Publication of KR20040048468A publication Critical patent/KR20040048468A/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 이기종의 감사로그간의 상관관계를 이용하여 침입탐지 시스템의 성능 개선을 위한 방법에 관한 것으로, 보다 상세하게는 네트워크에서 오가는 패킷 정보, 시스템내부에서 발생하는 시스템 호출 정보, 그리고 관리자가 직관적으로 분석하는 시스로그 데몬의 기록 정보의 세 가지 로그들을 상태기반 패턴과 규칙기반 패턴을 서로 연결하여, 그 상관관계를 처리하는 알고리즘에 관한 것이다.

Description

감사로그 상관관계 알고리즘을 통한 침입 탐지율 향상 방법{A method for intrusion detection rate with audit correlation}
본 발명은 침입탐지시스템의 감사로그 상관관계를 이용한 탐지 알고리즘에 관한 것으로, 네트워크 패킷정보, 호스트에서 발생하는 시스템 호출정보, 호스트의 로그를 기록하는 시스로그정보 3가지의 감사로그를 토대로, 여러 가지 감사로그를 동시에 이용하여 감사로그간의 상관관계를 토대로 침입 판단의 정확성을 높이는 방법에 관한 것이다.
보다 상세하게는 기존의 침입탐지 시스템들인 네트워크기반 침입탐지 시스템은 침입 여부를 판단할 때, 네트워크상의 패킷정보를 통해 침입을 판단하고, 호스트기반 침입탐지 시스템은 호스트로부터 생성되고 수집된 감사 데이터로 침입발생여부를 판단하여, 단일 감사로그에 의한 침입의 여부를 판단하였으나, 본 시스템에서는 3가지 감사로그를 토대로 false positive를 줄이고, false negative를 높여 정확한 침입분석 능력을 갖도록 하는 감사로그 상관관계를 이용하는 침입탐지시스템 및 그 방법에 관한 것이다.
초기에 침입탐지시스템들은 감사로그 자체에 있어, 네트워크 침입탐지 시스템이라면 네트워크에 흐르는 패킷들의 감사기록을 토대로 침입에 대해 판단했고, 호스트 기반의 침입탐지 시스템이라면 시스템 자체의 정보만을 가지고 침입에 대한 판단을 내렸다. 하지만 외부에서의 공격들은 갈수록 고도화되고 지능화되기 때문에 침입탐지시스템의 우회공격이나 복합된 공격을 통해서 실제 침입탐지시스템이 탐지할 수 없도록 공격의 다양화를 이루고 있으며, 이에 한가지 방식의 감사로그만으로 판단할 수 없는 공격 및 침입에 대해 복합적인 감사로그의 상관관계를 통해 침입을 탐지하고 대응할 수 있는 침입탐지 시스템이 필요로 하게 되어진 것이다.
1987년 Dorothy E. Denning에 의해서 제시된 침입탐지시스템의 일반적 모델은 시스템에서 허가되지 않거나 비정상적인 행위에 대하여 탐지, 식별하고 보고하는 기능의 소프트웨어로 정의하고 있다.
그 이후 침입 탐지 시스템의 발전은 오용탐지와 비정상행위 탐지라는 커다란 두 가지의 세부분야에서 연구 발전되어지고 있다. 오용탐지란 시스템 사용자의 행위에 따른 측정할 수 있는 현상을 척도로 발생할 수 있는 오용을 정의하고, 하나의 사용자가 저장된 오용 데이터와 얼마나 일치하는 지를 판단하여 침입인지 아닌지를 판단하는 분야이다. 그러나 이러한 오용탐지 방법은 기존의 침입이나 공격에 대한 데이터를 모두 알고 있어야 탐지할 수 있다는 문제점을 발생시킨다. 따라서 새로운 공격이나 침입 형태에는 탐지할 수 없다는 커다란 문제점을 안고 있다.
비정상 행위 탐지 분야는 컴퓨터 시스템을 사용하는 개인별 사용자의 정상 행위 데이터에 초점을 두고 있다. 사용자의 평소 형태의 행동 패턴을 저장해 두고, 저장된 데이터와 한 시점에서의 행동 패턴과 얼마나 차이점이 있는지를 판단하여, 그 차이가 한계를 넘었을 경우에 비정상 행위로 규정한다.
이러한 두 탐지 분야들은 결국 탐지 방법을 달리할 뿐, 오용행위와 비정상행위를 판단함에 있어서, 시스템에서 발생하는 정보, 즉 감사로그를 이용하도록 하고 있다. 따라서 감사로그는 시스템의 상태를 명확히 표현할 수 있어야 한다.
그러나 기존의 침입탐지 시스템은 우회공격이나 복합 공격에 있어서 적절히 대응하지 못하고 탐지율이 높지 않고 오탐율이 높은 것이 현실이다.
본 발명은 상기와 같은 문제점을 해결하기 위해 특성을 달리하는 세가지 감사로그의 상관관계를 통해 침입에 대한 정확도를 완전하게 수행되도록 침입탐지시스템의 탐지율을 높이고 오탐율을 낮추는데 그 목적이 있다.
이와 같은 목적을 달성하기 위하여 본 발명은 침입탐지 시스템의 감사로그 수집기와 감사로그 분석기, 탐지 패턴에 대해 상관관계를 극대화시키도록 설계 하였으며, 상관관계를 구현하도록 각각의 패턴에 대해서는 상태전이 방법을 통해 패턴을 기술하였으며, 각 패턴에 대해서는 규칙기반 방법을 통해 상관관계를 기술하도록 설계하였다. 각 패턴은 보안 관리자가 직접 침입차단 규칙 및 침입패턴DB를 설정 · 추가 할 수 있도록 하는 것이다.
도 1은 본 발명이 적용되는 시스템의 로깅모듈과 이 감사로그를 통한 감사로그분석부, 탐지패턴부, 침입을 판단하는 침입탐지부, 이에 침입탐지에 대한 대응 및 보고부 등을 포함하는 구성도
도 2는 본 발명에 적용되는 감사로그의 형식을 6하원칙에 근거하여 침입에 최적화된 감사로그를 얻기 위해 일정한 형식으로 도식화한 구성도
도 3은 세 가지 감사로그에 따른 로그간 상관관계를 나타낸 구성도
도 4는 상태전이기반패턴에서 상관성을 결합시킨 규칙기반패턴을 생성하는 개략도
도 5는 탐지모듈생성기의 내부 구조도
이를 위해 본 발명은 3가지 감사로그를 상태기반패턴으로 표현하고 이에 대한 상관 관계를 규칙기반패턴으로 연결하여 상관성을 토대로 침입탐지 시스템의 탐지율을 높이는 알고리즘을 제공한다. 시스템은 호스트기반 관점으로 호스트로 접근하는 모든 패킷 정보와 내부에서 발생하는 시스템정보, 시스로그에서 처리하는 메시지 정보를 처리하여 기록하는 로깅모듈부분과 이를 분석하는 감사로그분석부, 3가지 로그를 토대로 패턴을 비교하는 침입탐지패턴부, 탐지패턴을 중심으로 침입여부를 판단하는 침입탐지부, 그리고 탐지대응여부를 판단하는 부분을 제공한다.
이하, 감사로그 상관성을 토대로 침입탐지율을 높이는 방법에 대하여 첨부된 도면을 참조하여 본 발명에 따른 내용을 상세하게 설명하면 다음과 같다.
도1은 본 발명이 적용되는 침입탐지시스템에서 침입탐지율을 높이는 알고리즘이 적용되는 부분에 대해 설명하기 위해 도시한 도면이다. 도1을 참조하면, 로깅 모듈(1)의 시스로그(2)와 패킷로그(3), 시스템 호출로그(4)의 3가지 감사로그가 감사로그분석기(5)를 통해 침입탐지 패턴(6)을 생성하게 되고 침입탐지기(7)를 통해 침입 여부를 판단하게 되며, 또한 감사로그는 실시간으로 침입탐지기를 거쳐 침입여부가 판단되고 이 후 탐지여부로 대응방법과 보고 모듈(8)이 작동하게 된다.
도2는 본 발명에 따른 감사로그의 형식을 6하원칙에 근거하여 침입에 최적화된 감사로그를 얻기 위해 일정한 형식으로 도식화한 모습이다. 3가지 감사로그(1)는 6하원칙에 의거한 형식으로 기록되며 메시지형식(201,205)에는 LSM의 시스템 호출정보(202, 205), 시스로그의 메시지형식(203,205), 패킷로그의 프로토콜 종류(204,205)가 기록된다. 침입자 ID에는 LSM의 UID(202, 206), 시스로그의 UID(203,206), 패킷로그의 소스IP와 포트(204,206)가 기록된다. 어디에서 어디로는 LSM의 소스호스트(202, 207), 시스로그의 호스트이름(203,207), 패킷로그의 데스티네이션IP와 포트(204,207)가 기록된다. 프로그램의미에는 LSM의 프로세스ID와 세션 ID(202, 208), 시스로그의 데몬 프로그램과 프로세스ID(203,208), 패킷로그의 플래그 종류(204,208)가 기록된다. 이벤트발생시간에는 LSM의 시간(202, 209), 시스로그의 시간(203,209), 패킷로그의 시간(204,209)이 기록된다. 수행내용에는 LSM의 반환값(202, 210), 시스로그의 메시지(203,210), 패킷로그의 데이터(204,210)가 기록된다. 기타정보에는 LSM의 소케정보나 경로정보 등(202, 211), 시스로그의 메시지카운트 등(203,211), 패킷로그의 순서번호 등(204,211)이 기록된다.
도3은 감사로그간의 상관성을 나타내는 표이다. 시스로그와 LSM 그리고 패킷로그가 시간 축을 중심으로 한 사건에 대하여 서로가 발생 할 수 있는 감사로그의 일치되는 부분을 나타내었다. IP정보나 포트정보는 LSM과 패킷로그 두 부분에서 상관성을 연결지을 수 있는 부분이며, LSM과 시스로그는 프로세스 측면에서 PID나 UID 부분에서 서로 상관성을 연결지을 수 있는 부분임을 보여주고 있다.
도4는 본 발명의 감사로그 상관관계를 처리하는 구조도로 다음과 같은 단계로 수행된다.
단계1. 시스템에서 발생하는 감사로그들이 감사로그 모듈을 통해 전달된다.
단계2. 3가지 감사로그에 따라 기술된 상태기반 패턴으로 판단된다.
단계3. 감사로그에 따른 상태기반 패턴들이 상관성을 토대로 규칙기반패턴으로 기술되어 판단된다. 하나의 상태기반패턴으로 판단될 수 도 있으며, 두개나 세 개로 상관성이 결합하여 패턴을 만들어낸다.
단계4. 다양한 패턴들이 침입을 판단하는 근거로 쓰이게 되며 대응 모듈을 통해 침입에 대해 처리를 수행한다.
도5는 본 발명의 탐지패턴의 형식에 따라 패턴 파일이 생성되어 탐지모듈 생성기로 들어가 처리되는 구조도로 다음과 같은 단계로 수행된다.
단계1. 어휘분석기(LEX)에서 탐지패턴을 읽어들이는 역할을 수행한다.
단계2. 구문분석기(Yacc)에서 탐지패턴의 문법오류를 검사하고, 실제 PPN을 구성하는 부분이 들어있다.
단계3. 탐지패턴 파일이 탐지모듈파일로 바꾸는 과정을 수행하며, 탐지모듈에서 사용하는 함수들을 정의한다.
단계4. 탐지패턴을 탐지모듈 생성기에 적용하여 만들어지는 파일로 각 사건마다 함수가 만들어지며, 트렌지션과 플레이스의 저장값을 저장한다.
본 발명은 감사로그의 상관성을 토대로 침입탐지시스템의 탐지율을 높이는 방법으로 기존의 침입탐지시스템들이 갖는 다양한 공격과 복합적인 공격에 급격하게 낮아지는 탐지율을 향상시킬 수 있고, 오탐율을 낮추는 이점을 기대할 수 있다. 또한 호스트를 중심으로 침입을 판단하므로 네트워크 침입탐지시스템이 놓칠 수 있는 다양한 시스템정보를 활용하여 침입의 판단도를 높일 수 있는 이점이 있다. 하나의 로그에서 뿐만 아니라 2가지,3가지를 연관하여 침입을 판단하므로 침입에 매우 정확한 탐지율을 기대 할 수 있다.

Claims (5)

  1. 호스트 기반에서 자신에게 관련된 패킷을 수집하고 시스템에서 발생되는 시스템호출정보와 시스템자체의 로그를 기록하는 시스로그데몬의 감사로그를 수집하여 상태전이기반 패턴과 규칙기반 패턴을 통해 패턴매칭을 통해 오용을 탐지하는 침입탐지 센서; 및 상기 패턴기법을 토대로 관리자 직관적인 것과 비정상 행위를 탐지하는 (호스트기반) 침입탐지 시스템
  2. 제 1항에 있어서, 상기 감사로그 모듈은 망으로부터 자신의 패킷을 수집하고 자신의 시스템호출정보와 시스로그정보를 6하원칙에 근거하여 형식화한 감사로깅모듈; 감사로그분석기를 통해 상태전이기반의 패턴부; 상태전이기반 패턴을 토대로 상관기능를 첨부한 규칙기반 패턴부; 감사로깅모듈에서 전달된 감사로그들과 비교하여 침입을 감지하는 패턴매칭부를 특징으로 하는 (호스트기반) 침입탐지 시스템
  3. 제 2항에 있어서, 상기 패턴 매칭부는 CPN으로 구현되는 것을 특징으로 하는 (호스트기반) 침입탐지시스템
  4. 제 1항에 있어서, 스위치 기반에서도 호스트의 침입탐지를 가능케 하는 호스트기반의 감사로깅 모듈과 육하원칙에 따른 감사로그 형식 구성 방법
  5. 상기 제 1항, 2항, 3항, 4항이 실현되기 위한 제어 및 실행 흐름도(도1, 도4, 도5)
KR1020020076193A 2002-12-03 2002-12-03 감사로그 상관관계 알고리즘을 통한 침입 탐지율 향상 방법 KR20040048468A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020076193A KR20040048468A (ko) 2002-12-03 2002-12-03 감사로그 상관관계 알고리즘을 통한 침입 탐지율 향상 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020076193A KR20040048468A (ko) 2002-12-03 2002-12-03 감사로그 상관관계 알고리즘을 통한 침입 탐지율 향상 방법

Publications (1)

Publication Number Publication Date
KR20040048468A true KR20040048468A (ko) 2004-06-10

Family

ID=37343229

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020076193A KR20040048468A (ko) 2002-12-03 2002-12-03 감사로그 상관관계 알고리즘을 통한 침입 탐지율 향상 방법

Country Status (1)

Country Link
KR (1) KR20040048468A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100846835B1 (ko) * 2006-11-27 2008-07-16 (주)타임네트웍스 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법
CN113032781A (zh) * 2021-03-09 2021-06-25 广东物壹信息科技股份有限公司 一种勒索病毒的入侵检测方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
KR20000040269A (ko) * 1998-12-17 2000-07-05 이계철 실시간 침입 탐지 시스템에서의 에이전트 구조를 이용한 실시간침입 탐지 방법
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR20020012855A (ko) * 2000-08-09 2002-02-20 전창오 통합로그 분석 및 관리 시스템 및 그 방법
KR20020062070A (ko) * 2001-01-19 2002-07-25 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
KR20030056148A (ko) * 2001-12-27 2003-07-04 한국전자통신연구원 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법
KR20030057929A (ko) * 2001-12-29 2003-07-07 (주)대정아이앤씨 내·외부망 통합 보안 시스템 및 방법

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
KR20000040269A (ko) * 1998-12-17 2000-07-05 이계철 실시간 침입 탐지 시스템에서의 에이전트 구조를 이용한 실시간침입 탐지 방법
KR20020012855A (ko) * 2000-08-09 2002-02-20 전창오 통합로그 분석 및 관리 시스템 및 그 방법
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR20020062070A (ko) * 2001-01-19 2002-07-25 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
KR20030056148A (ko) * 2001-12-27 2003-07-04 한국전자통신연구원 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법
KR20030057929A (ko) * 2001-12-29 2003-07-07 (주)대정아이앤씨 내·외부망 통합 보안 시스템 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100846835B1 (ko) * 2006-11-27 2008-07-16 (주)타임네트웍스 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법
CN113032781A (zh) * 2021-03-09 2021-06-25 广东物壹信息科技股份有限公司 一种勒索病毒的入侵检测方法

Similar Documents

Publication Publication Date Title
Kholidy et al. CIDS: A framework for intrusion detection in cloud systems
McHugh Intrusion and intrusion detection
US8839430B2 (en) Intrusion detection in communication networks
CN101001242B (zh) 网络设备入侵检测的方法
CN110572412A (zh) 云环境下基于入侵检测系统反馈的防火墙及其实现方法
Ning et al. Correlating alerts using prerequisites of intrusions
CN112787992A (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
CN111800419B (zh) 一种SDN环境下DDoS攻击检测系统及方法
CN113329017A (zh) 网络安全风险的检测系统及方法
Mathew et al. Understanding multistage attacks by attack-track based visualization of heterogeneous event streams
Vigna et al. Host-based intrusion detection
Yasin et al. A study of host-based IDS using system calls
KR100310860B1 (ko) 실시간침입탐지시스템에서의에이전트구조를이용한실시간침입탐지방법
KR20040048468A (ko) 감사로그 상관관계 알고리즘을 통한 침입 탐지율 향상 방법
Leghris et al. Improved security intrusion detection using intelligent techniques
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
Wasniowski Multi-sensor agent-based intrusion detection system
KR100241361B1 (ko) 감사 자료의 실시간 분석기 및 분석방법
JP3822588B2 (ja) 不正アクセス検出装置、不正アクセス検出方法、および管理端末
Chen et al. A proactive approach to intrusion detection and malware collection
Cisco Sensor Signatures
Cisco Working with Sensor Signatures
CN113360907A (zh) 一种基于ides和nides的防黑客入侵方法
Hostiadi et al. Improving Automatic Response Model System for Intrusion Detection System
Zhang et al. Design and implementation of a network based intrusion detection systems

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E601 Decision to refuse application