보안관리시스템 개발보안관리시스템 개발-- 네트워크 이상징후 분석 및 대응 기술네트워크 이상징후 분석 및 대응 기술 --

2005. 06. 24.

한국전자통신연구원

’05 KISIA 기술교류회

2 정보보호연구단

네트워크공격상황 분석 공격대응

침입탐지경보수집

네트워크 /시스템 관리트래픽정보수집

정책 관리

정책 분배

관리 콘솔

신뢰채널Traffic

Info.Alert 장애 / 상태정보 구성정보 PIB/COPS

SGS/SRS일반 라우터 / 스위치

[NetFlow/SNMP/RMON]

보안상태공격정보( 이상징후 )

대응정보정책 / 대응정보( 권고 ) 대응정보토폴로지 ( 생성 / 갱신 )노드정보 ( 등록 / 삭제 )

실시간트래픽감시 실시간경보감시

트래픽정보보안경보

통계적공격분석취약성분석보안패치 정보 ( 생성 / 통보 )

장애 / 상태정보 구성정보 보안 ( 대응 ) 정책

통계적공격분석 정책생성-Blocking-Rate Limiting

인증인가관리키관리

보안노드 인증보안노드 관리자 인증보안노드 관리자 인가

신뢰채널 키분배비실시간공격분석

보안노드와의 인터페이스네트워크공격상황분석

보안이벤트 처리대응 메시지 전달

네트워크보안서비스관리콘솔SGS/SRS상용라우터

상용 F/W

CLI or API

** 광역트래픽광역트래픽수집기술수집기술(GTC)(GTC)

**네트워크공격상황네트워크공격상황분석기분석기 -S/W-S/W(NASA-SW)(NASA-SW)

** 시각화를 시각화를 통한네트워크공격상황분통한네트워크공격상황분

석기석기(VisualScope-X)(VisualScope-X)

** 트래픽 기반트래픽 기반네트워크 이상징후 분석기네트워크 이상징후 분석기

(FlowEye-dual)(FlowEye-dual)

**네트워크공격상황분석네트워크공격상황분석기기 -H/W-H/W(NASA/HW)(NASA/HW) ** 침해사고 평가 침해사고 평가

및 대응 기술및 대응 기술(Argron)(Argron)

** 정책수행대행기정책수행대행기PolicyAgentPolicyAgent

보안관리 시스템 구조 및 관련기술

침입경보전달침입경보전달프로토콜기술프로토콜기술(IDXP)(IDXP)

침해사고전달침해사고전달프로토콜프로토콜(INCH)(INCH)

3 정보보호연구단

광역트래픽수집기술 – 광역트래픽수집기술 – (GTC)(GTC)

4 정보보호연구단

routerrouter diskdiskCollectorCollector DB ServerDB Server

성능 측정- Netflow 데이터인 경우 , 실제 데이터 전송크기 ½ 축소- 중앙 수집기의 평균 Data Loading : 약 40,000 flows/sec

< 시험 환경 > • OS : Advanced Linux Server• HW : ML570R02 X2800-2M 2P 1GB • Oracle 8i 의 PL/SQL bulk insert - Dictionary managed tablespace - Commit per 1 row Local conn. - Truncate after each loading - Direct Path Loading Mode

5 정보보호연구단

네트워크 공격상황 분석기 – 네트워크 공격상황 분석기 – (NASA/SW)(NASA/SW) 동일한 공격이 네트워크 내에서 반복적이고 지속적으로 발생

조기경보서비스 제공 및 신속한 대응 정책이 실행이 요구됨 최근 Zero-day attack 탐지 요구 ( 실시간성 ) 에 따라 ETRI’s NASA 에서 추구한 state-based analysis 기술

오판 비율이 높은 이벤트 이벤트 정보에 신뢰성 결여 해당 네트워크에 대해 어떻게 공격 목표가 되었는가에 대한 의미있는의미있는 네트워크 정보를 제공해야 함

언급 없음 언급 없음2-tier multiprocessing

제품기능 ETRI’s NASA

유지보수성 O( 관리 비용 불필요 )

실시간성 - 정보위치 - 분석방법

( 주 ) 이글루시큐리티 Spider-1 국외 I 사

X( 시간이 지남에 따라 rule 이 폭발적으로 증가 )

- In-fluid event processing-State based analysis-해쉬 기반의 고속 실시간 처리

- In-fluid event processing- Rule based analysis

- 언급 없음- State based analysis

정확성 - 분석시간크기 - 분석구간설정 - 공격유형종류

- 다중 모니터링 윈도우 지원- 슬라이딩 윈도우 알고리즘- 10 가지 ( 특정서비스 공격유형 고려 )- 발생 빈도 및 발생 비율의 이원화된 임계치 제어 가능

- 사전 정의된 Rule 에 따라 영향 - 언급 없음- 언급 없음- 7 가지 ( 특정서비스 공격유형 제외 )

확장성

O( 관리 비용 불필요 )

국내 E 사

6 정보보호연구단

Overall Architecture

Performance Test Results

Test Platform: Linux server four Pentium-4 2.4GHz CPUs and 2G memory.

Test Datasets: 6 sets - 100,000 alerts, 200,000 alerts, 300,000 alerts, 500,000 alerts, 700,000 alerts, and 1,000,000 alerts.

Test Results: The number of processed alerts per second is 5400 ± 200 alerts without affecting the size of dataset.

Multiple Analyzers means multiple monitoring windows

7 정보보호연구단

네트워크 공격상황 분석기 – 네트워크 공격상황 분석기 – (NASA/HW)(NASA/HW) H/W 기반의 네트워크 공격상황 분석기 특징

- 초당 25,000 개의 경보를 손실없이 실시간으로 분석 가능

- PCI 인터페이스 제공으로 손쉬운 PC 인스톨 가능

- 기가비트 이더넷 인터페이스를 통한 경보 수신

- 다수의 NASA/hw 카드를 인스톨함으로써 다중 모니터링 윈도우에 의한 탐지가 가능

- 리눅스 드라이버 소프트웨어를 이용하여 간편한 맞춤형이 가능함

NASAEngine Card

NASADevice Driver for Linux

LinuxNetworking Module

LinuxDevice File Module

NASAConfiguration &

Utilities

NASA Exportor

NASA Libraries

Linux Kernel Space

Hardware Space

Linux User Space

PCI BUS (64B, 66M)

Linux socket & device file interface

NASA/hw System Architecture

NASA/hw boardNASA/hw block diagram

Alert Processor

FPGA

8 정보보호연구단

트래픽 기반 네트워크 이상징후 분석기 트래픽 기반 네트워크 이상징후 분석기 - FlowEye/dual- FlowEye/dual

주요 경쟁 제품 대비 분석 모델의 다양성을 확보하고 있음 . 볼륨 기반의 트래픽 분석 모델 비율 기반의 트래픽 분석 모델 볼륨 분석 모델과 비율 분석 모델의 연동된 혼합모델 : 정확성 향상 추구

9 정보보호연구단

시각화를 통한 네트워크 보안 상황 분석

특징 : - 대량의 보안 이벤트 시각화를 통한 빠른 상황인식

- 3 차원 이상의 트래픽 데이터 표현

- 보안상 취약 영역의 손쉬운 식별

- 이기종 보안 이벤트 및 보안이벤트 속성간 N차원 보안상황 분석

VisualScope-X System Architecture

시각화를 통한 네트워크 보안상황분석기시각화를 통한 네트워크 보안상황분석기 (VisualScope-x)(VisualScope-x)

10 정보보호연구단

침해사건 평가 및 대응기 - Argon

11 정보보호연구단

침해사건 평가 및 대응기 - Argon

Agent Tracing : : Cisco Netflow cache + Auto-Discovery(SNMP)

- 시스코 라우터 환경인 경우

• Cisco IOS 버전 , Router Interface, netflow Cache, ARP 정보 수집 및 분석

- 시스코 라우터 외의 모든 라우터와 Firewall 환경인 경우

• SNMP 를 이용한 path discoverylowmedhigh

unprotected systems

protected system

Agent Tracing 을 통해-정확한 대응 위치 선정-IP Spoofing Attack 판별 및 차단-legitimate traffic 보호 -공유 네트워크의 블필요한 트래픽 유입 방지

12 정보보호연구단

정책수행 대행기 - PolicyAgentPolicyAgent

크고 복잡한 네트워크의 효율적인 보안관리 중요성은 점차 증대 PolicyAgent 기술은 일원화된 공통의 보안 정책 기반의

네트워크 보안관리를 위한 프록시 기능을 수행 6 개 정책 그룹의 NSPIM(Network Security Policy Informati

on Model)- Packet Filtering, Rate Limiting, Alert Control, Routing Control,

Attack Signature, Heuristic Analysis 기존 상용 장비 연동 가능

- 라우터 (ASCII over CLI)- 방화벽 (ASCII over CLI 또는 Proprietary API)

제품기능 ETRI’s PolicyAgent

전달형식 PIB/COPS

범용성 x

실시간성 O

사용의 편리성 O

국내 A 사 국외 J 사 국외 C 사 국외 J 사ASN.1/

SNMP

XML/TCP or UDP

SocketASEN API ASCII/CLI

O x x O

x x O x

x O x O

국외 C 사ASCII/CLI

O

x

O

유지보수성 O O O x xx

13 정보보호연구단

질의 / 응답

연락처 연락처 : ETRI : ETRI 정보보호연구단정보보호연구단 능동보안기술연구팀능동보안기술연구팀 (T. 042-860-6646)(T. 042-860-6646)