[Information System Security] Network Security 3

Intrusion Detection System(침입 탐지 시스템)

- 악의적인 활동이나 정책 위반에 대해 네트워크 및 시스템 활동을 모니터링하고 관리 스테이션에 보고서를 생성하는 장치 또는 소프트웨어 응용 프로그램

- Firewall(침입 차단 시스템)

- IPS(Intusion prevent sytstem) 침입 방지 시스템 == IDS + Firewall

 

Confusion Matrix(혼돈 행렬)

Host-based IDS

- 외부 인터페이스의 네트워크 패킷이 아닌 컴퓨팅 시스템의 내부를 모니터링하고 분석하는 침입 탐지 시스템

- 컴퓨터 시스템의 내부를 감시하고 분석하는 데 중점을 둠

- 개인의 워크스테이션, 서버에 설치될 수 있으며, 컴퓨터 자체를 제한

- 운영체제에 설치된 사용자 계정에 따라 어떤 사용자가 어떠한 접근을 시도하고 작업을 했는지에 대한 기록을 남기고 추적

- 네트워크에 대한 침입탐지는 불가능하며, 스스로가 공격 대상이 될때만 침입을 탐지하는 방식

- 트로이목마, 논리폭탄, 백도어 탐지

 

Network-based IDS

- Dos 공격, 포트 스캔 또는 네트워크 트래픽 모니터링으로 컴퓨터를 크랙하려는 시도 하는 것들을 탐지한다.

- 네트워크를 통해 전송되는 패킷 정보 수집 및 분석하여 침입을 탐지하는 시스템

- 감지기를 사용하며, 무차별모드(Promiscuos mode)에서 동작하는 네트워크 인터페이스에 설치되어있음

- IP 주소를 소유하지 않아 직접적인 해커 공격은 거의 완벽하게 방어 가능

- 설치 위치에 따라 감시 대상 네트워크 범위 조절 가능, 별도 서버를 스위치에 연결

- 공격당한 시스템의 공격에 대한 결과는 알 수 없으며, 암호화된 내용 탐지 불가

 

DDos(Distributed Denial of Service attack)

C&C server(C2 server)

- 공격자가 추척당하지 않게 미들 서버를 만든 것

- Botnet : bot master -> 공격자 네트워크

 

1. 봇넷 운영자는 바이러스나 웜을 보내 일반 사용자의 컴퓨터를 감염시키고 페이로드는 악성 애플리케이션인 봇입니다.

2. 감염된 PC의 봇은 특정 C&C 서버(종종 IRC 서버이지만 경우에 따라 웹 서버)에 로그인합니다.

3. 스패머는 운영자로부터 봇넷의 서비스를 구매합니다.

4. 스팸 발송자는 운영자에게 스팸 메시지를 제공하고 운영자는 IRC 서버를 통해 손상된 시스템에 지시하여 스팸 메시지를 보내도록 합니다.

 

DDos 완화의 어려움

- 최근 DDoS 공격 트래픽은 일반 트래픽과 매우 유사

- 각 봇은 정상적인 것처럼 보이는 소량의 트래픽만 생성합니다.

- Flash crowd(갑자기 이용자가 몰리는 현상)

 

완화 전략

- 바이러스/악성코드 감염 방지 캠페인

– 의심스러운 패킷의 조기 탐지 및 필터링

– Anti-DDoS 시스템(aks 침입 방지 체계)

– Botmaster 역추적 • P2P C&C