Re: 국방망 IDS – 2 이시우 2003/12/28 206
국방망 IDS에 대한 고찰(2)
http://www.dapis.go.kr/journal/200204/j110.html
3. 침입탐지 시스템 구현
가. 관리서버
육군 침입탐지시스템의 관리서버는 〈그림 1〉와 같이 네트워크가 지원되는 일정 장소에 구성하게 되며, 침입을 탐지하는 에이전트로부터 수집된 침입로그 및 네트워크 현황에 대한 정보를 실시간으로 관리자에게 제공해 주는 통합관제 기능과 유지보수성 향상을 위해 다수의 탐지 에이전트를 대상으로 원격 침입패턴 배포 및 시스템 패치 등의 자동화된 시스템 관리 기능 등을 제공하고 있다.
운영되는 전산환경은 펜티엄-III급 PC에 윈도운영체계를 기본으로 하고 있으며 관리할 수 있는 탐지 에이전트의 수는 이론상으로는 제한이 없으나 실제 시험운영간 30여대까지 안정적인 지원이 가능함이 확인되었다.
나. 주요기능
(1) 관리서버의 인터페이스
실제 네트워크 상황에 근접한 가시적이며 직관적인 관제 기능을 부여하기 위해 〈그림 2〉와 같이 관리자가 보다 쉽게 감시할 수 있는 GUI(Graphic User Interface) 환경을 제공하고 있다.
이는 진보된 SCADA(Supervisory Control And Data Acquisition : 감시 제어 및 데이터 획득, 즉 원격 감시 및 제어) 시스템 기술을 관리서버에 도입함으로써 다수의 탐지 에이전트에 대한 관제 효과를 극대화시키고 있다.
(2) 관리서버-탐지에이전트 간 통신 및 네트워크 모니터링
다수의 탐지 에이전트로부터 수집되는 정보들의 트래픽을 최소화하기 위해 데이터의 기본 크기를 128바이트로 하는 네트워크 현황 데이터(네트워크 트래픽 정보, 접속자 현황, 탐지 에이전트 부하량)를 2∼10초간 주기적으로 수신하며, 필요시 시스템을 원격 제어하기 위한 기본 64바이트의 제어 신호(시스템 중단·가동, 침입탐지 패턴 수정·배포, 시스템 패치, 세부로그 정보 요구)를 탐지 에이전트에게 전송하여 관리서버-에이전트간의 유기적인 운용체계를 구축하고 있다.
이렇게 탐지 에이전트로부터 수집된 데이터는 관리서버의 네트워크 모니터링 창을 통해 네트워크 트래픽의 변화량과 현재의 소통되는 모든 패킷들에 대한 세부적인 항목까지 감시할 수 있는 실시간 자료들을 그래프화하여 관리자에게 제공되게 된다.
(3) 각종 보고서 제공
실시간 네트워크 감시와 더불어 침입패턴별 보고서 등 4가지의 침입탐지 보고서(침입패턴별, 보고위치별, 송신지별, 수신지별)와 서버별 접속로그 등 4가지 접속로그 보고서(서버별, 보고위치별, 접속자별, 접속형태별)를 관리자에게 제공하여 감사자료에 대한 통계 및 분석을 보다 쉽게 출력할 수 있게 지원하고 있다.
현재 탐지 에이전트에는 파일 시스템으로 로그를 저장하고 있으며, 관리서버에서는 각 에이전트들로부터 보고 받은 정보를 DB에 저장하여 필요 로그와 통계치를 보고서를 통해 확인할 수 있다. 또한 탐지 에이전트와 관리서버에 이중적으로 로그를 유지하여 감시로그의 신뢰성과 안정성을 보장받을 수 있도록 하였다.
(4) 환경설정(지도편집 및 서버설정, 침입패턴 관리)
관리서버에서 사용하는 배경 그림은 단순한 그림이 아닌 여러 형태의 정보를 내포하고 있는 객체들의 집합으로서 관리서버 전용 지도편집기를 통해 도면의 디자인과 각 객체들에 대한 간단한 환경설정을 수행할 수 있어 신속하고 편리하게 통합관제 환경을 구축할 수 있다.
(5) 침입 패턴룰 설정 및 배포
육군 침입탐지 시스템은 지도 편집기를 통해 편리한 GUI 환경을 제공하며, 침입패턴 관리기를 통해 침입패턴을 설정하고 원격으로 배포할 수 있어 유지보수성의 우수성과 함께 새로운 침입 패턴에 대한 신속한 대응체계를 제공해 주고 있다.
〈그림 3〉의 침입패턴 관리기는 분석된 침입 패턴에 대한 추가와 수정이 용이한 환경을 제공하며, 침입 패턴을 프로토콜별, 침입 형태별로 분류하여 관리함으로써 침입탐지 시스템의 핵심이 되는 침입 패턴의 관리 능력을 향상시켰다.
다. 탐지 에이전트
탐지 에이전트는 패턴매칭기법을 이용한 오용탐지방식과 네트워크 패킷정보의 비정상상태 및 네트워크 패킷에서 수집된 수치들의 위상(Phase)변위 분석을 통한 비정상탐지방식을 혼용하여 탐지한다. 에이전트는 침입탐지 기능을 주 기능으로 하며 부가적으로 네트워크의 트래픽 감시, 비인가자 접근통제, 침입경고(경고 메일, 로그저장, 침입현황 전송) 등의 기능도 제공되도록 하였으나, 이러한 기능들이 프로세스의 부하량을 가중시켜 순수한 탐지기능을 저하시킬 우려가 있으므로 이런 현상이 최소화될 수 있도록 설계하였다.
특히 다음의 기능을 통해 탐지 에이전트의 프로세스 활용을 최적화·극대화시켜 낮은 사양의 PC에서도 대용량의 네트워크 트래픽에 대한 침입탐지를 가능하게 한다.
(1) 네트워크 패킷 수집 및 감사자료 작성
libpcap(패킷수집을 위한 공개된 라이브러리)을 이용하여 네크워크 패킷을 수집하며, 수집된 패킷정보 중에서 침입탐지에 필요한 정보인 IP, 포트, 프로토콜, 플래그, 데이터 크기, 정보내용만을 추출하여 저장하는 것을 기본으로 한다.
(2) 패턴매칭기법을 이용한 침입탐지
각 침입방식별로 알려져 있는 패킷의 특성들을 수집하여 DB에 미리 저장하였으며, 새로 판별된 침입패턴들을 추가하여 상용시스템 수준으로 1,000여 개의 침입패턴들을 구축하였다. 특히 정보가 공개되지는 않았으나 발생빈도와 위험성이 높은 해킹도구나 바이러스의 경우에는 해킹도구 및 바이러스에 감염된 시스템을 역으로 이용하여 네트워크 패킷의 정보를 분석한 후 침입패턴 DB에 추가한다. 이렇게 구축된 침입패턴 DB를 실시간으로 수집되는 네트워크 패킷과 비교하여 침입여부를 판단한다.