침입자 3가지 유형 용어는 패스

침입 탐지

침입(해킹)의 예

▶이메일 서버의 루트 권한 획득
▶웹 서버의 컨텐츠 바꾸기 (defacing)
▶패스워드 Guessing 또는 cracking ( 체계적 시도)
▶접근 권한을 획득하여, 신용카드 번호 DB table 복제
▶권한없이 민감 데이터 (의료기록, 월급명세 ... ) 조회
▶패킷스니핑을 통한 id, pw 획득
▶고위층을 사칭하여 고위층의 pw 변경
▶런치타임 어택 : 로그인된 남의 컴퓨터를 자리
비운사이 이용

해커와 CERT

▶스릴이나 명성을 위해 해킹
▶CERTs (Computer emergency response teams)
• 침해 대응 조직
• 예방

• 취약성 정보 수집과 배포
• 패치 배포
  • 대응
• 침해 사건 조사 (로그 등)
• 피해 복구 지원
• 공격자 식별, 역추적

사이버 범죄 조직과 사이버 군

▶사이버범죄 조직
• 조직화된 해커
• 경제적, 정치적 이익 목적
• 타겟에 대한 광범위한 공격
• 침입 외의 악성코드 배포, 웜 공격, DDoS 등도 => 광범위한 공격
▶사이버 군(군대)
• 공격, 방어
☞ 공격 대상은 상대편 군 + 민간

내부자 위협

▶탐지와 예방이 어려움
▶때로는 복수심과 존재감 때문에 범죄
▶내부자 위협 대응 방안
• least privilege 원칙 :각자가 자신의 일을 하는데 필요한 최소한의 권한 만 부여(접근 제어 원칙)
• 로그 ( 접근 대상, 행위) 철저
• 문서 중앙 관리 : 각자의 PC에 저장되는 문서없음
• 퇴직 시 컴퓨터와 네트워크 접근 해제
• 강한 인증
• DLP (data loss prevention) : 내외부자의 정보유출 차단

INTRUSION DETECTION

▶다양한 유형의 침해를 탐지
▶탐지 원리나 전제
• 침입자의 행위 패턴이 정상 사용자의 그것과 차이가 있으며,
그 차이를 계량 할 수 있다
▶요구사항
• 피해를 입히기 전에 최대한 빨리 탐지하여, 차단
• 침입 시도 단계에서 차단하는 예방 기능을 하면 더 좋음
• 침입 탐지 과정에서 데이터를 축적하여, 추후 탐지력 강화

• 탐지의 어려움
• 정상사용자와 침입의 공통분모가 있기 때문.
• 경계선을 그어야하는데, 오탐과 위탐이 발생할 수 있음.

침입 탐지 방법

통계적 이상 (anomaly) 탐지

• 일정 기간 정상 사용자 패턴 데이터 수집

• ex) 하루에 로그인 횟수, 로그인 시간, 사용되는 IP 종류, ....

• 공격자의 패턴은 수집하기 어렵다
  ☞ 공격자 데이터가 있으면 2 class로 학습

• 정상 사용자의 통계

• Threshold 기반 탐지 (경계선으로 평균 분산 해서 구하는방법)
  - 평균에서 벗어난 정도

• 사용자 별 Profile을 만들기도 => 해외결제 많이 하면 전화오는거. 통계를 쓰는 방법

• 각 사용자 별 패턴 수집해서 그 사용자가 anomaly를 하면, 도용되었다고 판단하는 식

규칙기반 탐지

• 침입 패턴을 규정하는 규칙을 구성, 진화
• 시그니처 탐지
• 공격의 패턴과 특징을 찾아 규칙화 rule 을 세팅해서 가동시키면, 각 이벤트나 트랜잭션은
  여러 규칙들과 대조됨

감사기록(AUDIT RECORDS)

▶침입 탐지에서 활용되는 패턴의 기초 자료
▶Native audit records
• 운영체제는 모두 로깅 프로그램을 포함
• 추가적 수집 sw 필요 없음
• 필요한 정보가 없을 수도
• 가공이 필요
▶탐지용 audit records
• IDS가 필요한 정보를 수집하기 위한 별도 프로그램 필요
• Native와 탐지용 프로그램 2개가 돌아가는 overhead

통계적 이상 탐지에 사용될 수 있는 특징

▶ 갯수, 간격, 사용률 등

• 네트워크 패킷이 많아진다거나

통계적 이상 탐지에 사용될 수 있는 특징

• 자원의 사용량

규칙 기반 탐지 종류

▶ 규칙기반 이상 탐지
• 통계적 이상 탐지와 유사
• 과거 감사기록으로 부터 사용패턴을 식별하여 규칙을 자동 생성

• ex) 하루 로그인 횟수 < 10회 미만
  • 시스템의 보안 취약성 관련 지식 필요 없음
  • 과거에 관찰된 행동 패턴과의 일치성 판단
  ▶규칙기반 침입 탐지
  • 전문가가 과거 감사기록을 분석하여 특이한 패턴을 찾고 이를 규칙화
  • 알려진 침입 기록, 보고된 취약성 등을 중심으로

기본 비율 오류(BASE-RATE FALLACY)

▶ 미탐과 오탐
• 미탐 : 침입을 탐지하지 못하는 것
• 오탐 : 정상 행위를 침입으로 판단하는 것

• 하루에 수만 번 경고가 울린다면?

• 혹은 정상 사용자가 차단 된다면 ?
  

• 경계선을 어디에 긋냐에 따라 tradeoff 를 가짐.

• EER 이 몇 % 에요 이렇게 말함.

분산 침입 탐지

▶전통적 시스템은 단일 시스템(호스트)에 대한 침입
탐지
▶여러 호스트들에 분산 (협력) 된 탐지가 더 효과적
▶주요 이슈
• 감사기록의 차이
• 특정 노드가 전체 데이터를 모아야 (정보 누설?)
• 감사기록 자체의 소스인증과 무결성 보장 필요

DIDS 구성

하니팟(HONEYPOTS 꿀단지)

공격자를 중요한 시스템으로부터 다른 곳으로 끌어내도록
하는 미끼 (가짜) 시스템 => 쥐덫
▶기능이나 목적
• 진짜처럼 보이게 만들어 하니팟으로 끌어 내는 것이 기술
• 중요 시스템으로부터 차단
대응 시간 벌기
• 공격자의 행동 정보 수집 => 추후 시스템 개발, 강화에 활용

- 용어, 개념 알아두기

• 정해진 정책을 가지고
• 내부 라우터 앞단에다 방화벽 두고 운영을 하는데, 허니팟을 노출시키면서 대응.

---

실습

SNORT RULE

• 밖에서 안으로 들어오는거만 탐지를 하려면
  alert icmp any any -> 192.168.245.128/32 any(msg : "icmp request detected",sid: 1000001;)

실습 2

• 룰을 활성화하고 탐지가 되는지 스캔 해보기.

• 실제 공격을 해보고 잘 탐지를 하는지.

• sudo vi snort.conf

---

객관식

침입탐지에서 감사기록의 주요 목적은 무엇인가?

a) 시스템 데이터에 대한 백업을 제공하기 위해
b) 침입 패턴 탐지를 위한 기반으로 활용
c) 사용자 계정 및 권한을 관리하기 위해
d) 네트워크의 민감한 데이터를 암호화하기 위해

• 감사 기록의 주요 목적은 침입 패턴 탐지를 위한 기반으로 사용되는 것입니다.
• 감사 기록에는 침입이나 보안 위반을 나타낼 수 있는 비정상적이거나 의심스러운 패턴을 식별하기 위해 분석할 수 있는 시스템 활동 및 이벤트에 대한 정보가 포함되어 있습니다.

침입탐지 측면에서 'Masquerader(마스커레이더)'란 무엇인가?

a) 승인되지 않은 데이터에 접근하는 합법적인 사용자
b) 승인되지 않은 사용자가 정당한 사용자인 것처럼 가장하는 경우
c) 비정상적인 방식으로 자신의 데이터에 액세스하는 사용자
d) 사용자 활동을 모니터링하는 시스템 관리자

• "가면" 무단 사용자가 합법적인 사용자인 것처럼 가장하거나 가장하려는 시도를 의미합니다.

네트워크 보안에 있어 허니팟의 핵심 기능은 무엇인가?

a) 데이터 트래픽을 암호화하려면
b) 공격자를 유인하고 분석하기 위한 미끼 역할을 하기 위해
c) 민감한 정보를 안전하게 저장하기 위해
d) 네트워크 성능을 가속화하려면

• 공격자를 유인하고 분석하도록 설계된 미끼 시스템 역할을 한다는 것입니다.

IDS(침입 탐지 시스템)에서 통계적 이상 징후 탐지의 목적은 무엇입니까?

a) 사용자의 일반적인 행동에서 벗어난 부분을 식별하기 위해
b) 민감한 데이터를 암호화하기 위해
c) 네트워크 대역폭을 관리하려면
d) IDS 소프트웨어를 업데이트하려면

• 침입 탐지 시스템(IDS)에서 통계적 이상 탐지의 목적은
• 사용자의 일반적인 행동이나 네트워크 트래픽 패턴에서 벗어난 것을 식별하는 것입니다.

IDS에서 규칙 기반 탐지의 주요 기능은 무엇입니까?

a) 향후 공격을 예측하기 위해
b) 사전 정의된 규칙 세트와 네트워크 활동을 비교하기 위해
c) 침입으로 인한 피해를 복구하기 위해
d) 시스템 데이터 백업 제공

• 주요기능은 네트워크 활동을 미리 정의된 규칙 또는 서명 집합과 비교하여
  알려진 공격 패턴이나 악의적인 동작을 식별하는 것입니다.

네트워크 보안에서 TCP 스캔을 수행하는 주요 목적은 무엇입니까?

a) 대상 호스트에서 열려 있는 TCP 포트를 식별하려면
b) 데이터 패킷을 암호화하려면
c) 보안 연결을 생성하려면
d) 네트워크 트래픽을 모니터링하려면

침입 탐지 시스템이 탐지하기 어렵게 설계된 검사 유형은 무엇입니까?

a) UDP 스캔
b) TCP 스캔
c) 스텔스 스캔
d) ICMP 스캔

주관식

네트워크 보안 사고 처리에 있어서 CERT(Computer Emergency Response Teams)의 역할과 중요성에 대해 논의합니다.

• CERT는 침해 대응 조직.
• 취약점에 대한 정보 수집 및 배포, 패치 발행,
• 사고 조사, 피해 복구 노력 지원, 공격자 추적을 담당합니다.

분산 침입 탐지의 개념과 기존 단일 시스템 탐지에 비해 장점을 설명합니다.

분산 침입 탐지

• 네트워크 전체에 배포된 여러 탐지 시스템이 포함되어 보안 위반을 공동으로 모니터링하고 분석합니다.

기존 단일 탐지와 비교

• 분산 탐지는 네트워크 활동에 대한 더 넓은 적용 범위와 더 포괄적인 보기를 제공합니다.
• 이를 통해 네트워크의 여러 부분에서 발생하는 이벤트의 상관 관계를 허용 -> 복잡한 다단계 공격을 탐지하는 능력을 향상하고 오탐을 줄입니다.

침입탐지에서 허니팟의 개념과 이를 네트워크 보안환경에서 전략적으로 활용하는 방법을 설명한다.

• 공격자를 유인하기 위해 의도적으로 취약하므로, 보안 팀이 실제 네트워크 자산을 위험에 빠뜨리지 않고 공격 방법을 연구하고 방어를 준비할 수 있습니다.

전략적인 사용

• 이는 조기 경보 시스템 역할을 하여 잠재적인 위협이 주요 네트워크 정보에 영향을 미치기 전에 이를 식별하고 완화하는 데 도움을 줍니다.

UDP와 TCP 스캐닝 기술의 차이점과 네트워크 보안에 미치는 영향에 대해 논의합니다.

TCP 스캐닝

• 패킷 전달을 보장하는 TCP의 연결 지향적 특성으로 인해 안정적입니다.

UDP

• UDP 스캔은 UDP가 연결이 없고 응답을 보장하지 않아 스캔 결과를 해석하기 어렵기 때문에 더 까다롭습니다.