1

목 차

1. 기 업 현 황 1 -1. 회 사 개 요

1 -2. 회 사 연 혁

1 -3. 조직 및 인원 현황

2. Finger Police System 개요 3. Finger Police Overview

4. System Configuration

5. Finger Police System Composition

6. Finger Police Intrusion Analyzers

7. Packet Module

8. Intrusion Module

9. 침입행위 분석10. 침입탐지 항목11. GUI ( 침입탐지 System 실행초기화면 )12. Finger Police 사업계획13. Network 침입탐지시스템 (IDS) 의 기능비교

2

회 사 명

대 표 자

사 업 분 야

본 사

전 화 및 FAX

회 사 설 립 년 도

자 본 금

주 식 회 사 이 즈 텍

유 영 식

Biometric Security, Web Solution, New Media

서울시 강남구 역삼동 772 번지 계몽사 8 층

Tel : 02-588-6555 FAX : 02-556-0855

1995. 10

5 억 5 천 7 백 만원

연 구 소 서울시 관악구 봉천동 1687-3 태양 B/D 5 층

해외 R&D Center 700 Dyer Road Monterey, CA 93943-5000

1-1. 회 사 개 요

1. 기업현황

3

1-2. 회 사 연 혁

법인 설립 1 기1991. 02 월 주식회사 ISTEC 설립 ( 일본 . 동경 )1991. 03 월 NEC 금융부문 증권 , 선물거래 SYSTEM 구축1994. 04 월 Dynic 사와 New Media Products 공동개발1995. 08 월 항자력 1,750 Oe W/M 가능 카드완성 법인 설립 2 기1995. 10 월 주식회사 이즈텍 설립 ( 한국 )1996. 04 월 항자력 1,750 Oe 한국통신 전화카드 TAPE 완성1996. 06 월 IS CARD W/M 입력장치 개발 완료1997. 06 월 고항 자력 IS CARD, PET 방식 (2 건 ) 특허출원1997. 10 월 일본 SONY 사 FIS F/W 부문 공동개발협약1998. 04 월 지문인식시스템 FIS-200 개발완료1998. 12 월 Wireless 지문인식 , 자동인식 시스템 특허출원 (2 건 ) 1998. 07 월 중소기업청 벤처기업등록 ( 벤처캐피탈 자본금 증자 , 등록번호 : 제 98113412-426 호 )1999. 10 월 한국통신카드 민영화 참여 ( 공중전화용 마그네틱 스트라이프 납품 )1999. 12 월 지문인식 비디오 폰 FIS-700 개발완료 ( 매립형 , 비디오 폰 내장 )2000. 07 월 지문인식 침입탐지 시스템 개발완료

1. 기업현황

4

대 표 이 사

상 무 이 사

영 업 팀 기술연구소

국내영업 해외영업

System 지원팀

Q / C A / S F I S Web, ASPNew Media

관 리 팀 AmericaR&D Center

관리 , 총무 , 홍보

1-3. 조 직 및 인 원 현 황

1. 기업현황

5

지문인식 침입탐지시스템의 필요성지문인식 침입탐지시스템의 필요성

주요기능주요기능

● 방화벽에 의해 걸러지지 않는 외부의 각종 위험한 해킹행위가 내부네트웍에서 발생하고 있다고 판단될 때

● 방화벽 내부의 불법적인 사용자의 침입이 우려될 때

● 동시사용자의 폭주로 방화벽의 일시적인 중지가 불가피한 경우가 잦아질 때

● 무분별한 모뎀접속서버의 사용으로 보안이 걱정 될 때

● 불법적인 침입자의 기록을 남겨 악성 IP 를 알고 싶을 때

● Finger Police Server 의 마스터관리자 지문인증 시스템 연동으로 Password 누출로 인 한 대리체크 방지

● 네트웍에 대한 실시간 감시로 내 외부침입에 대한 즉각적인 탐지 및 대응•

● 각종 서비스거부공격 , 보안파일파괴 , 중요 자료 유출 등의 탐지 및 대응

● RDBMS 사용에 따른 대용량 데이터 저장 및 분석시스템

● 다양한 통계 및 예측자료의 생성 및 출력

● 접속차단 및 문자서비스 (SMS), 전자메일 , 호출기 , 경고음등 다각적인 경고대응체제

● 최신 업그레이드된 탐지기법의 원격 스마트 업 데이트

● 침입기록의 재현

● 자바 애플릿 기반의 편리한 GUI 환경과 원격관리

● 쓰레드 (Thread) 기법에 따른 뛰어난 성능의 병렬분석

● 사용자중심의 환경설정관리

● 펜티엄Ⅲ급 정도의 시스템사양이면 탑재가 가능한 융통적인 시스템환경

● 방화벽과의 연동 기능

● Finger Print Module 을 이용한 System Administrator

● D/B 에 저장된 데이터의 작업 시 지문인식 시스템 에 의한 System Administrator

2.2.Finger Police Finger Police 시스템개요시스템개요

6

3.3.Finger Police Finger Police OverviewOverview

7

4.System Configuration

8

5.Finger Police System Composition

Packet

1.Packet Collector Module

2.Packet Reduction Module

3.Intrusion Decision Module

4.Intrusion Alert & Response Module

Http

DB

5.Intrusion Statistics Module

*Fingerprint Module

9

시스템 기능 확장성과 효율성을 위해 단순분석기와 고난도 분석기 의 프로세서 와 지능형 분석기의 프로세서가 서로 나누어 구현됨

시스템 기능 확장성과 효율성을 위해 단순분석기와 고난도 분석기 의 프로세서 와 지능형 분석기의 프로세서가 서로 나누어 구현됨

6.Finger Police Intrusion Analyzers

Disconnection

TelePazer

Hand Phone

Alarm

Input CommandPattern Matching

Packet TrafficAnalysis

Address & PortProbing

Intelligent Analyzer

Complex Analyzer

Simple Analyzer

Intrusion Detection Report Module

Petri-Net Algorithm

10

7.Packet Module

LAN 환경의 패킷 송수신 정보 수집– 물리적인 장치 유무 확인– 장치상태 점검 및 네트워크 접속상태 확인– 패킷 수집 장소 확보– 접속시도 네트워크 패킷 Read

7-1.Packet Collector Module

Packet

7-2. Packet Reduction Module

규정된 탐지대상 패킷과 무관한 패킷 제거 및 분석 처리 효율성을 위한 축약

– 패킷 필터링 기능– 단순 침입탐지– 패킷 재구성

11

• 축약모듈에서 전달된 정보 이용

패킷 헤더 정보 , 패킷 트래픽 측정 내용분석-Petri-Net 알고리즘 사용

8.Intrusion Module

8-1.Intrusion Decision Module

8-2. Intrusion Alert & Response Module

• 탐지된 침입유형 , 침입 행위 위험정도 보고– Level 1 : 팝업 메뉴 및 소리 (세션종료 ), 핸드폰 호출– Level 2 : 소리 , 관리자에게 메일 보내기– Level 3 : 팝업 메뉴– Level 4 : 단순 Display

• 보안 DB : 침입행위 감시 , 침입판정 등 관련정보 관리용 - 보안 D/B Access 에는 지문인식 System 으로 인증

12

9. 침입행위 분석

CPN(Colored Petri-Nets) 이용

Initial State

Normal State

Warning State

Danger State

Condition

Transition

Oversize ICMP 공격탐지 ( 예 )

Protocol Check(ICMP)

Protocol Size > 기준값 OR

Protocol Size < 기준값

13

10. 침입탐지 항목

Packet Traffic Counting(DOS Attack)– 다량의 특정 패킷을 임의의 시스템에 전송하는 공격탐지– Charges, echo, Finger, Ping Flooding, SYN Flood 등

Port or Protocol Probing– 허가되지 않은 포트나 서비스를 이용한 침입탐지– BootParamd Whoami Decode, IP Unknown Protocol

– IMAP Buffer Overflow, ISS Scan Check 등 Detect Simple Intrusion Contents

– 단순 정보점검 , 특정 프로토콜 / 서비스에 사용하는 패킷 헤더 및 내용분석을 통해 직접적인 효과를 가져 올 수 있는 내용탐지 – Email Debug, Email Wiz, HTTP Campus cgi-bin 등Address Attack Abnormal Length Detection– 주소를 근거로 침입에 대한 감시 및 판정 - 패킷의 길이 조작을 통한 침입 탐지– Source Address, Destination Address - Ping of DOS(Oversized ICMP Ping Packet)

Special field/Option Detection : field option 조작– 특정 프로토콜 필드나 옵션을 조작한 침입 탐지– Source Routing, UDP Bomb

Input Command Analysis

– TCP, UDP 를 이용하여 특정호스트에서 명령어를 이용하는 행위를 침입탐지– Limited Access Directory

– Limited Access Files(Read/Write/Create/Modify)

– Limited Command & Option using-root/superuser command

– A Sequence of command

14

11. GUI

15

Step 1 :•국내시장에서 보안의 대중화를 위한 시장 개척•일본시장 진출

2000. 6 2000. 12 2001 2002 2003

• IDS version 1

(Linux version)

• 해커랩 운영

• 보안 컨설팅 / 보안관제 서비스

• 토탈 보안 회사로 분리 통합 보안 사업

• IDS version 3 ( 솔라리스 /AIX Version)• IDS version 2 (Linux)

• 부가 보안 기능 추가

( 유해차단 , 역추적 시스템 , 백신모듈 연계 )

Global 화 ( 일본 ) 기반구축

Step 2 :•토탈 보안 비즈니스를 위한 비즈니스 영역의 확대

Step 3 :•국내 최고의 대중 보안 시스템 회사•보안 시장 Global 화 ( 중국 , 동남아 )

12. Finger Police 사업계획

16

회 사 명 항 목 ㈜이즈텍 I 사 J 사 S 사 C 사 비 고

시

스

템

설

치

및

설

정

제 품 명 Finger Police

A B C D

시스템 1대가격

2,000 만원 4,500 만원 3,400 만원 3,900 만원 4,000 만원100 MBPS지원List Price기준임

하드 웨어요구 사항

Pentium IIIRam256MBHDD 4G

Pentium IIIRam512MBHDD 2GNIC 2EA

Pentium IIIRam512MBHDD 9G

Pentium IIIRam256MBHDD 5G

Pentium IIIRam256MBHDD 4G

소프트웨어요구 사항

LinuxRedHat 6.1

Win 2000Win95/2000

/NT

NT Host for engineNT Host for AgentNT Host for Console

Win95/98/2000/NT

Open OS사용으로 기능면에서 확장성 및 유연성에 적절하게 대응할 수 있어야 한다 .

알람 종류

콘솔문자 ,콘솔알람 ,호출기 ,핸드폰 ,이메일 ,경광등

콘솔문자 ,콘솔알람 ,호출기 ,핸드폰 , 이메일

콘솔문자 , 콘솔알람 , 이메일 , 강제종료 후 공격차단통보

콘솔문자 , 콘솔 알람 , 이메일

콘솔문자 ,콘솔알람 ,이메일

침입발생시 관리자가 정의한 침입대응방식에 따라 다양한 방법으로 침입통보 .

13. Network 침입탐지시스템의 기능비교

17

회 사 명 항 목

㈜이즈텍 I 사 J 사 S 사 C 사 비 고

칩입탐지및대응

원격관리제공유무

Yes/웹 브라우저

Yes/전용관리프로그

램

Yes/네트워크 세그먼트에 Sensor설치 원격에 Manager설치

Yes/관리콘솔에서 원격제어

Yes/SSL이용

파일포멧프로토콜

TCP/IPCISCO Router,SSL

OPSEC, SSLTCP/IP

자체 프로토콜OPSEC

침입탐지 후 탐지된 공격에 대해 어떤

조언을 하는가 ?

탐지데이터를 분석후 통계자료를 통해 취약점과 개선점 컨설팅

공격방법설명방어방법설명

공격에 대한설명공격위험성 탐지

공격의 위험성공격을 막을 수 있는 방법설명

공격발생시간공격위험성공격방법

침입탐지분석방법

패트리넷룰베이스프로파일 베이스

보안정책 기반분석 , 통계분석시그너처 기반분석

룰 베이스룰 베이스

프로파일베이스

18

회 사 명 항 목 ㈜이즈텍 I 사 J 사 S 사 C 사 비 고

침

입

탐

지 및

대

응

침입탐지시스템 자체 Stealth

기능

Yes Yes Yes No Yes

네트위크 감시 범위

전체네트웍감시패킷별 감시실시간 감시

전체네트웍감시패킷별 감시실시간 감시

전체네트웍감시패킷별 감시실시간 감시

실시간으로 네트웍 감시기능은 없고 주요 서비스의 명령어를 중심으로 Decoding으로 표시

전체네트웍감시패킷별 감시실시간 감시

각 세션에서 프로토콜별로 패킷을 필터링하여 감시 할 수 있어야 한다

침입탐지 /차단 All TCP/IP

All TCP/IP All TCP/IPAll TCP/IPNet Bios

All TCP/IP

네트웍 해킹에 대하여 Protocol별로 탐지 및 차단이 가능해야 함

감지 가능한 공격의 종류 120 108 81 102 50

Real Secure에 Decoding하는 55개는침입으로 볼 수 없고 실시간 감시기능의 극히 일부 기능임

19

회 사 명 항 목 ㈜이즈텍 I 사 J 사 S 사 C 사 비 고

시

스

템

설

치

및

대

응

침입에 대한 차단 방법

관리자에게 알려주는 방법이외에침입차단이 가능(Session을 차

단 )

관리자에게 알려주는 방법이외에침입차단이 가능(Session을

차단 )

자체에 침입차단 기능이 없음

자체에 침입차단 기능이 없음

자체에 침입차단 기능이 없음

자체에 침입차단 기능이 없으면 타시스템 (방화벽이나 라우터등 )과 연동해야 하는데 할 수 있는 제품수가 극히 제한적임

정보유출탐지 및 차단

관리자가 지정한 키워드 감시

관리자가 지정한 키워드 감시

키워드 감시기능 없음

키워드 감시기능 없음

관리자가 지정한 키워드 감시

내부 유출 정보를 감시하기 위해서 통신상의 모든 패킷을 검사하여 관리자가 지정한 키워드가 포함된 경우 경보를 울리거나 통신을 절단하여 문서가 외부로 유출되는 것을 방지해야 함

Session내용 보기

Protocol별표준형식TestHexadecimal

Protocol별표준형식Test

Protocol별표준형식

없음Protocol별표준형식

Session 내용은 Protocol별 표준형식뿐만 아니라 , Text, Hexadecimal로 볼 수 있어야 한다 .

저장 Log검색

접속시간별 검색지원서버별 검색지원클라이언트별검색지원프로토콜별 검색지원

접속시간별 검색지원서버별 검색지원클라이언트별검색지원프로토콜별 검색지원

서버별 검색지원클라이언트별검색지원

없음

서버별 검색지원클라이언트별검색지원

Log를 검색하는데 있어서 접속시간 ,서버 , 클라이언트 ,전송량의 옵션을 사용하여 다양한 방법으로 검색할 수 있어야 한다 .

20

회 사 명 항 목 ㈜이즈텍 I 사 J 사 S 사 C 사 비 고

침 입 탐 지 및 대 응

저장 Log재현

FTPTELNETSMTP

FTPTELNETSMTP

FTPTELNET

TELNETFTPSMTP

검색된 세션을 통하여 재현 할 수 있어야 한다 .Http의 경우 저장되는 파일의 크기를 고려하여 Image는 빼고 저장하고 재현하여야 한다

지원 가능한 네트웍

EthernetFast Ethernet

ATM

EthernetFast

Ethernet

EthernetFast

Ethernet

EthernetFast

EthernetToken Ring

EthernetFast

Ethernet

다양하고 미래 지향적인 네트웍을 지원하는 것이 유리

네트웍 성능 부하

100Mbps 지원(RootCA 요구사항 )

10Mbps 지원 10Mbps 지원 8Mbps가 최대3.2Mbps가 최대

Packet Loss없이 안정적으로 침입탐지 기능 수행해야 하며 Bandwidth로 Gigabit속도까지 지원을 운운하는 것은 의미 없음

21

회 사 명 항 목 ㈜이즈텍 I 사 J 사 S 사 C 사 비 고

관

리

편

이

성 및 보

고

기

능

침입탐지 유형에 대한 DB의 Update방식

원격 SmartUpdate

Rule ScriptFile을 Mail로받아서 복사

원격수동로컬수동

Update 된제품을 새로설치

Rule ScriptFile을 Mail로 받아서 복사

편리하게 침입 된 패턴을 추가할 수 있어야 함

Update추가정기적 4주비정기적

정기적 4주 정기적 3개월 비정기적 비정기적정기적 , 비정기적 수시로 패턴이 추가 되어야 함

Update된 내용이 관리자에게 통보

Yes Yes Yes No Yes

침입탐지시스템을 사용하는 관리자 인증시스템

지문인식 (옵션 )Manager와 Sensor간의 SSL을 이용한 인증 및 데이터 보호

ID, 패스워드기반인증코딩된 인증

ID, 패스워드기반인증

ID, 패스워드기반인증

ID, 패스워드기반인증

원격 통제 가능한 다양한 방법의 인증 및 데이터 보호 정책이 있어야 함

제공되는 보고서의 종류

공격시간별 통계공격종류별 통계침입에 의한 영향평가 , 영향평가침입 IP별취약 IP별취약 Port별

서버별 통계웹사용 통계다운된 서비스서버 통계

공격시간별 통계공격종류별 통계정기 , 비정기적 보고서

공격시간별 통계공격종류별 통계

22

회 사 명 항 목

㈜이즈텍 I 사 J 사 S 사 C 사 비 고

기술지원과 서비스

대규모 전산망을 위한 관리자기능을 제공

Yes Ye Yes No No

User Interface

100% Web UI지원한글 Menu지원한글 Message지원

GUI 지원 GUI 지원 GUI 지원 GUI 지원

User Interface가 Web상으로 지원되어 관리 및 사용이 편리하며 모든 Menu, Message Manual이 한글로 지원 되어야 함

한글처리문제100% 보장국산 S/W

국산 S/W 국산 S/W확인필요외산 S/W

확인필요외산 S/W

완벽한 한글처리가 지원되어야 한다 .

무료서비스 기간

12 개월 12 개월 12 개월 6 개월 12 개월

365 일 24 시간서비스가 가능

Yes No Yes No No

탐지패턴Update비용

무상서비스이후 8-15%

무료 유료 유료 유료