1 / 13

보안관리시스템 개발 - 네트워크 이상징후 분석 및 대응 기술 -

’ 05 KISIA 기술교류회. 보안관리시스템 개발 - 네트워크 이상징후 분석 및 대응 기술 -. 2005. 06. 24. 한국전자통신연구원. 보안노드와의 인터페이스. 네트워크공격상황분석. 보안이벤트 처리. 대응 메시지 전달. 네트워크보안서비스. 관리콘솔. 보안관리 시스템 구조 및 관련기술. * 네트워크공격상황분석기 -H/W (NASA/HW). * 트래픽 기반 네트워크 이상징후 분석기 (FlowEye-dual). * 시각화를 통한네트워크공격상황분석기 (VisualScope-X). 침해사고전달

oria
Download Presentation

보안관리시스템 개발 - 네트워크 이상징후 분석 및 대응 기술 -

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ’05 KISIA 기술교류회 보안관리시스템 개발 -네트워크 이상징후 분석 및 대응 기술- 2005. 06. 24. 한국전자통신연구원

  2. 보안노드와의 인터페이스 네트워크공격상황분석 보안이벤트 처리 대응 메시지 전달 네트워크보안서비스 관리콘솔 보안관리 시스템 구조 및 관련기술 *네트워크공격상황분석기-H/W (NASA/HW) *트래픽 기반 네트워크 이상징후 분석기 (FlowEye-dual) *시각화를 통한네트워크공격상황분석기 (VisualScope-X) 침해사고전달 프로토콜 (INCH) *침해사고 평가 및 대응 기술 (Argron) 관리 콘솔 *네트워크공격상황분석기-S/W (NASA-SW) 통계적공격분석 취약성분석 보안패치 정보(생성/통보) 실시간트래픽감시 실시간경보감시 토폴로지(생성/갱신) 노드정보(등록/삭제) (권고)대응정보 정책/대응정보 키관리 네트워크공격 상황 분석 공격대응 정책 관리 *정책수행대행기 PolicyAgent 대응정보 보안상태 공격정보 (이상징후) 인증인가관리 정책생성 -Blocking -Rate Limiting *광역트래픽 수집기술 (GTC) 통계적공격분석 비실시간 공격분석 신뢰채널 키분배 트래픽정보 보안경보 네트워크/ 시스템 관리 정책 분배 보안노드 인증 보안노드 관리자 인증 보안노드 관리자 인가 트래픽 정보수집 침입탐지 경보수집 구성정보 장애/상태정보 보안(대응)정책 침입경보전달 프로토콜기술 (IDXP) 신뢰채널 Traffic Info. Alert PIB/COPS CLI or API 구성정보 장애/상태정보 SGS/SRS 일반 라우터/스위치 [NetFlow/SNMP/RMON] 상용라우터 상용 F/W SGS/SRS

  3. 광역트래픽수집기술 – (GTC)

  4. 성능 측정 • Netflow 데이터인 경우, 실제 데이터 전송크기 ½축소 • 중앙 수집기의 평균 Data Loading : 약 40,000 flows/sec router Collector DB Server disk <시험 환경> • OS : Advanced Linux Server • HW : ML570R02 X2800-2M 2P 1GB • Oracle 8i의 PL/SQL bulk insert - Dictionary managed tablespace - Commit per 1 row Local conn. - Truncate after each loading - Direct Path Loading Mode

  5. 네트워크 공격상황 분석기 – (NASA/SW) • 동일한 공격이 네트워크 내에서 반복적이고 지속적으로 발생 • 조기경보서비스 제공 및 신속한 대응 정책이 실행이 요구됨 • 최근 Zero-day attack 탐지 요구(실시간성)에 따라 ETRI’s NASA에서 추구한 state-based analysis 기술 • 오판 비율이 높은 이벤트 정보에 신뢰성 결여 • 해당 네트워크에 대해 어떻게 공격 목표가 되었는가에 대한 의미있는 네트워크 정보를 제공해야 함 제품 기능 ETRI’s NASA (주)이글루시큐리티 Spider-1 국외 I사 국내 E사 실시간성 - 정보위치 - 분석방법 - 언급 없음 - State based analysis - In-fluid event processing • State based analysis • 해쉬 기반의 고속 실시간 처리 - In-fluid event processing - Rule based analysis 정확성 - 분석시간크기 - 분석구간설정 - 공격유형종류 - 언급 없음 - 언급 없음 - 7가지(특정서비스 공격유형 제외) - 다중 모니터링 윈도우 지원 - 슬라이딩 윈도우 알고리즘 • 10가지(특정서비스 공격유형 고려) • 발생 빈도 및 발생 비율의 이원화된 임계치 제어 가능 - 사전 정의된 Rule에 따라 영향 O (관리 비용 불필요) 유지보수성 O (관리 비용 불필요) X (시간이 지남에 따라 rule이 폭발적으로 증가) 확장성 2-tier multiprocessing 언급 없음 언급 없음

  6. Overall Architecture Multiple Analyzers means multiple monitoring windows • Performance Test Results Test Platform: Linux server four Pentium-4 2.4GHz CPUs and 2G memory. Test Datasets: 6 sets - 100,000 alerts, 200,000 alerts, 300,000 alerts, 500,000 alerts, 700,000 alerts, and 1,000,000 alerts. Test Results: The number of processed alerts per second is 5400 ± 200 alerts without affecting the size of dataset.

  7. 네트워크 공격상황 분석기 – (NASA/HW) NASA/hw System Architecture • H/W 기반의 네트워크 공격상황 분석기 • 특징 • 초당 25,000 개의 경보를 손실없이 실시간으로 분석 가능 • PCI 인터페이스 제공으로 손쉬운 PC 인스톨 가능 • 기가비트 이더넷 인터페이스를 통한 경보 수신 • 다수의 NASA/hw 카드를 인스톨함으로써 다중 모니터링 윈도우에 의한 탐지가 가능 • 리눅스 드라이버 소프트웨어를 이용하여 간편한 맞춤형이 가능함 Alert Processor FPGA NASA/hw board NASA/hw block diagram

  8. 트래픽 기반 네트워크 이상징후 분석기 - FlowEye/dual • 주요 경쟁 제품 대비 분석 모델의 다양성을 확보하고 있음. 볼륨 기반의 트래픽 분석 모델 • 비율 기반의 트래픽 분석 모델 • 볼륨 분석 모델과 비율 분석 모델의 연동된혼합모델 : 정확성 향상 추구

  9. 시각화를 통한 네트워크 보안상황분석기(VisualScope-x) VisualScope-X System Architecture • 시각화를 통한 네트워크 보안 상황 분석 • 특징 : • 대량의 보안 이벤트 시각화를 통한 빠른 상황인식 • 3차원 이상의 트래픽 데이터 표현 • 보안상 취약 영역의 손쉬운 식별 • 이기종 보안 이벤트 및 보안이벤트 속성간 N차원 보안상황 분석

  10. 침해사건 평가 및 대응기 - Argon

  11. low unprotected systems med high 침해사건 평가 및 대응기 - Argon • Agent Tracing : Cisco Netflow cache + Auto-Discovery(SNMP) • 시스코 라우터 환경인 경우 • Cisco IOS 버전, Router Interface, netflow Cache, ARP 정보 수집 및 분석 • 시스코 라우터 외의 모든 라우터와 Firewall 환경인 경우 • SNMP를 이용한 path discovery Agent Tracing을 통해 • 정확한 대응 위치 선정 • IP Spoofing Attack 판별 및 차단 • legitimate traffic 보호 • 공유 네트워크의 블필요한 트래픽 유입 방지 protected system

  12. 제품 기능 ETRI’s PolicyAgent 국외 J사 국내 A사 국외 J사 국외 C사 국외 C사 전달형식 PIB/COPS ASCII/CLI ASN.1/SNMP XML/ TCP or UDP Socket ASCII/CLI ASEN API 범용성 x x O O O x O x x x O 실시간성 x 사용의 편리성 O O x O x O 유지보수성 O x O O x x 정책수행 대행기 - PolicyAgent • 크고 복잡한 네트워크의 효율적인 보안관리 중요성은 점차 증대 • PolicyAgent 기술은 일원화된 공통의 보안 정책 기반의 네트워크 보안관리를 위한 프록시 기능을 수행 • 6개 정책 그룹의 NSPIM(Network Security Policy Information Model) • Packet Filtering, Rate Limiting, Alert Control, Routing Control, Attack Signature, Heuristic Analysis • 기존 상용 장비 연동 가능 • 라우터 (ASCII over CLI) • 방화벽 (ASCII over CLI 또는 Proprietary API)

  13. 질의 / 응답 연락처 : ETRI 정보보호연구단 능동보안기술연구팀 (T. 042-860-6646)

More Related