Post on 21-Mar-2016
description
보안관리시스템 개발보안관리시스템 개발-- 네트워크 이상징후 분석 및 대응 기술네트워크 이상징후 분석 및 대응 기술 --
2005. 06. 24.
한국전자통신연구원
’05 KISIA 기술교류회
2 정보보호연구단
네트워크공격상황 분석 공격대응
침입탐지경보수집
네트워크 /시스템 관리트래픽정보수집
정책 관리
정책 분배
관리 콘솔
신뢰채널Traffic
Info.Alert 장애 / 상태정보 구성정보 PIB/COPS
SGS/SRS일반 라우터 / 스위치
[NetFlow/SNMP/RMON]
보안상태공격정보( 이상징후 )
대응정보정책 / 대응정보( 권고 ) 대응정보토폴로지 ( 생성 / 갱신 )노드정보 ( 등록 / 삭제 )
실시간트래픽감시 실시간경보감시
트래픽정보보안경보
통계적공격분석취약성분석보안패치 정보 ( 생성 / 통보 )
장애 / 상태정보 구성정보 보안 ( 대응 ) 정책
통계적공격분석 정책생성-Blocking-Rate Limiting
인증인가관리키관리
보안노드 인증보안노드 관리자 인증보안노드 관리자 인가
신뢰채널 키분배비실시간공격분석
보안노드와의 인터페이스네트워크공격상황분석
보안이벤트 처리대응 메시지 전달
네트워크보안서비스관리콘솔SGS/SRS상용라우터
상용 F/W
CLI or API
** 광역트래픽광역트래픽수집기술수집기술(GTC)(GTC)
**네트워크공격상황네트워크공격상황분석기분석기 -S/W-S/W(NASA-SW)(NASA-SW)
** 시각화를 시각화를 통한네트워크공격상황분통한네트워크공격상황분
석기석기(VisualScope-X)(VisualScope-X)
** 트래픽 기반트래픽 기반네트워크 이상징후 분석기네트워크 이상징후 분석기
(FlowEye-dual)(FlowEye-dual)
**네트워크공격상황분석네트워크공격상황분석기기 -H/W-H/W(NASA/HW)(NASA/HW) ** 침해사고 평가 침해사고 평가
및 대응 기술및 대응 기술(Argron)(Argron)
** 정책수행대행기정책수행대행기PolicyAgentPolicyAgent
보안관리 시스템 구조 및 관련기술
침입경보전달침입경보전달프로토콜기술프로토콜기술(IDXP)(IDXP)
침해사고전달침해사고전달프로토콜프로토콜(INCH)(INCH)
3 정보보호연구단
광역트래픽수집기술 – 광역트래픽수집기술 – (GTC)(GTC)
4 정보보호연구단
routerrouter diskdiskCollectorCollector DB ServerDB Server
성능 측정- Netflow 데이터인 경우 , 실제 데이터 전송크기 ½ 축소- 중앙 수집기의 평균 Data Loading : 약 40,000 flows/sec
< 시험 환경 > • OS : Advanced Linux Server• HW : ML570R02 X2800-2M 2P 1GB • Oracle 8i 의 PL/SQL bulk insert - Dictionary managed tablespace - Commit per 1 row Local conn. - Truncate after each loading - Direct Path Loading Mode
5 정보보호연구단
네트워크 공격상황 분석기 – 네트워크 공격상황 분석기 – (NASA/SW)(NASA/SW) 동일한 공격이 네트워크 내에서 반복적이고 지속적으로 발생
조기경보서비스 제공 및 신속한 대응 정책이 실행이 요구됨 최근 Zero-day attack 탐지 요구 ( 실시간성 ) 에 따라 ETRI’s NASA 에서 추구한 state-based analysis 기술
오판 비율이 높은 이벤트 이벤트 정보에 신뢰성 결여 해당 네트워크에 대해 어떻게 공격 목표가 되었는가에 대한 의미있는의미있는 네트워크 정보를 제공해야 함
언급 없음 언급 없음2-tier multiprocessing
제품기능 ETRI’s NASA
유지보수성 O( 관리 비용 불필요 )
실시간성 - 정보위치 - 분석방법
( 주 ) 이글루시큐리티 Spider-1 국외 I 사
X( 시간이 지남에 따라 rule 이 폭발적으로 증가 )
- In-fluid event processing-State based analysis-해쉬 기반의 고속 실시간 처리
- In-fluid event processing- Rule based analysis
- 언급 없음- State based analysis
정확성 - 분석시간크기 - 분석구간설정 - 공격유형종류
- 다중 모니터링 윈도우 지원- 슬라이딩 윈도우 알고리즘- 10 가지 ( 특정서비스 공격유형 고려 )- 발생 빈도 및 발생 비율의 이원화된 임계치 제어 가능
- 사전 정의된 Rule 에 따라 영향 - 언급 없음- 언급 없음- 7 가지 ( 특정서비스 공격유형 제외 )
확장성
O( 관리 비용 불필요 )
국내 E 사
6 정보보호연구단
Overall Architecture
Performance Test Results
Test Platform: Linux server four Pentium-4 2.4GHz CPUs and 2G memory.
Test Datasets: 6 sets - 100,000 alerts, 200,000 alerts, 300,000 alerts, 500,000 alerts, 700,000 alerts, and 1,000,000 alerts.
Test Results: The number of processed alerts per second is 5400 ± 200 alerts without affecting the size of dataset.
Multiple Analyzers means multiple monitoring windows
7 정보보호연구단
네트워크 공격상황 분석기 – 네트워크 공격상황 분석기 – (NASA/HW)(NASA/HW) H/W 기반의 네트워크 공격상황 분석기 특징
- 초당 25,000 개의 경보를 손실없이 실시간으로 분석 가능
- PCI 인터페이스 제공으로 손쉬운 PC 인스톨 가능
- 기가비트 이더넷 인터페이스를 통한 경보 수신
- 다수의 NASA/hw 카드를 인스톨함으로써 다중 모니터링 윈도우에 의한 탐지가 가능
- 리눅스 드라이버 소프트웨어를 이용하여 간편한 맞춤형이 가능함
NASAEngine Card
NASADevice Driver for Linux
LinuxNetworking Module
LinuxDevice File Module
NASAConfiguration &
Utilities
NASA Exportor
NASA Libraries
Linux Kernel Space
Hardware Space
Linux User Space
PCI BUS (64B, 66M)
Linux socket & device file interface
NASA/hw System Architecture
NASA/hw boardNASA/hw block diagram
Alert Processor
FPGA
8 정보보호연구단
트래픽 기반 네트워크 이상징후 분석기 트래픽 기반 네트워크 이상징후 분석기 - FlowEye/dual- FlowEye/dual
주요 경쟁 제품 대비 분석 모델의 다양성을 확보하고 있음 . 볼륨 기반의 트래픽 분석 모델 비율 기반의 트래픽 분석 모델 볼륨 분석 모델과 비율 분석 모델의 연동된 혼합모델 : 정확성 향상 추구
9 정보보호연구단
시각화를 통한 네트워크 보안 상황 분석
특징 : - 대량의 보안 이벤트 시각화를 통한 빠른 상황인식
- 3 차원 이상의 트래픽 데이터 표현
- 보안상 취약 영역의 손쉬운 식별
- 이기종 보안 이벤트 및 보안이벤트 속성간 N차원 보안상황 분석
VisualScope-X System Architecture
시각화를 통한 네트워크 보안상황분석기시각화를 통한 네트워크 보안상황분석기 (VisualScope-x)(VisualScope-x)
10 정보보호연구단
침해사건 평가 및 대응기 - Argon
11 정보보호연구단
침해사건 평가 및 대응기 - Argon
Agent Tracing : : Cisco Netflow cache + Auto-Discovery(SNMP)
- 시스코 라우터 환경인 경우
• Cisco IOS 버전 , Router Interface, netflow Cache, ARP 정보 수집 및 분석
- 시스코 라우터 외의 모든 라우터와 Firewall 환경인 경우
• SNMP 를 이용한 path discoverylowmedhigh
unprotected systems
protected system
Agent Tracing 을 통해-정확한 대응 위치 선정-IP Spoofing Attack 판별 및 차단-legitimate traffic 보호 -공유 네트워크의 블필요한 트래픽 유입 방지
12 정보보호연구단
정책수행 대행기 - PolicyAgentPolicyAgent
크고 복잡한 네트워크의 효율적인 보안관리 중요성은 점차 증대 PolicyAgent 기술은 일원화된 공통의 보안 정책 기반의
네트워크 보안관리를 위한 프록시 기능을 수행 6 개 정책 그룹의 NSPIM(Network Security Policy Informati
on Model)- Packet Filtering, Rate Limiting, Alert Control, Routing Control,
Attack Signature, Heuristic Analysis 기존 상용 장비 연동 가능
- 라우터 (ASCII over CLI)- 방화벽 (ASCII over CLI 또는 Proprietary API)
제품기능 ETRI’s PolicyAgent
전달형식 PIB/COPS
범용성 x
실시간성 O
사용의 편리성 O
국내 A 사 국외 J 사 국외 C 사 국외 J 사ASN.1/
SNMP
XML/TCP or UDP
SocketASEN API ASCII/CLI
O x x O
x x O x
x O x O
국외 C 사ASCII/CLI
O
x
O
유지보수성 O O O x xx
13 정보보호연구단
질의 / 응답
연락처 연락처 : ETRI : ETRI 정보보호연구단정보보호연구단 능동보안기술연구팀능동보안기술연구팀 (T. 042-860-6646)(T. 042-860-6646)