DOI QR코드

DOI QR Code

Implementing an Intrusion Detection Message Exchange Library for Realtime Interaction between SDMS-RTIR and Heterogeneous Systems

이기종의 침입탐지 시스템과 SDMS-RTIR의 실시간 상호연동을 지원하는 침입탐지 메시지 교환 라이브러리 구현

  • Published : 2003.10.01

Abstract

This paper implements an intrusion detection message exchange protocol library (IDMEPL) for SDMS-RTIR, which Korea Information Security Agency (KISA) has developed to hierarchically detect and respond to network vulnerability scan attacks. The IDMEPL, based on the IDMEF and the IAP of the IDWG, enables SDMS-RTIR to interact with other intrusion detection systems (IDS) in realtime, and supports the TLS protocol to prevent security threats in exchanging messages between its server and its agents. Especially, with the protocol selection stage, the IDMEPL can support various protocols such as the IDXP besides the IAP. Furthermore, it can allow for agents to choose an appropriate security protocol for their own network, achieving security stronger than mutual authentication. With the IDMEPL, SDMS-RTIR can receive massive intrusion detection messages from heterogeneous IDSes in large-scale networks and analyze them.

본 논문에서는 한국정보보호진흥원에서 계층적 침입시도 탐지 및 대응을 위해 개발하였던 SDMS-RTIR(Scan Detection Management System with Real Time Incidence Response)을 지원하는 침입탐지 메시지 교환 프로토콜 라이브러리 IDMEPL을 구현하였다. IDMEPL은 IDWG의 IDMEF와 IAP를 기반으로 이기종의 침입(시도)탐지 시스템과 SDMS-RTIR의 실시간 상호연동을 제공하며 TLS 프로토콜을 통해 보안위협에 안전한 메시지 교환을 지원한다. 특히, IDMEPL은 유연성 있는 침입탐지 메지시 교환 프로토콜 선택 과정과 패스워드 기반의 암호화 프로토콜을 제공함으로써 각 침입(시도)탐지 시스템들로 하여금 자신의 네트워크 환경에 적절한 메시지 교환 프로토콜과 암호화 통신 방법을 선택할 수 있게 하였다. 이처럼 IDMEPL이 탑재된 SDMS-RTIR은 대규모의 네트워크 환경에서 이기종의 다양한 침입(시도)탐지 시스템들로부터 침입탐지 메시지를 실시간으로 접수하고 분석할 수 있다.

Keywords

References

  1. 박수진, 박명찬, 이새롬, 최용락, '실시간 e-mail 대응 침입시도탐지 관리시스템의 설계 및 구현', 정보처리학회논문지C, 제9-C권 제3호, 2002 https://doi.org/10.3745/KIPSTC.2002.9C.3.359
  2. 유일선, 조경산, '네트워크 취약점 검색 공격에 대한 개선된 탐지 시스템', 정보처리학회논문지C, 제8-C권 제5호, 2001
  3. 유일선, 김종은, 조경산, '네트워크 취약점 검색공격 탐지 시스템을 위한 보안성 있는 통신 프레임워크 설계', 정보처리학회논문지C, 제10-C권 제1호, 2003
  4. 이현우 외 4인, '대규모 네트워크취약점 검색공격 패턴분석 및 탐지도구', http://www.certcc.or.kr
  5. 한국정보보호진흥원, 'Hacking 통계자료', http://www.certcc.or.kr, 2001
  6. 한국정보보호진흥원, 'RTSD 2001년 통계자료', http://www.certcc.or.kr, 2001
  7. B. Feinstein, G.Matthews, J. White, 'The Intrusion Detection Exchange Protocol (IDXP),' draft-ietf-idwg-beep-idxp-07, 2002
  8. D. Gupta, LAP : Intrusion Alert Protocol,' draft-ietf-idwg-iap-05.txt, 2001
  9. D. Curry, H. Debar, 'Intrusion Detection Message Exchange Format Data Model and Extensible Markup Language (XML) Document Type Definition,' draft-ietf-idwg-idmef-xml-10.txt, 2003
  10. libidmef 0.6.3, http://www.silicondefense.com/idwg/libidmef/
  11. libxml 2.4.16, http://www.xmlsoft.org/
  12. M. Jahnke, 'SIDI-AN IMPLEMENTATION OF A SURVIVABLE INTRUSION DETECTION INFRASTRUCTURE,' http://www.fgan.de/~jahnke/sidi/sidi.html
  13. M. Wood, M.Erlinger, 'Intrusion Detection Mesage Exchange Requirements,' draft-ietf-idwg-requirements-10.txt, 2002
  14. OpenSSL 0.9.7, http://www.openssl.org/
  15. R. Fielding외 6인, 'Hypertext transfer Protocol - HTTP/1.1,' RFC 2616, 1999
  16. R. Polloc(외 6인, 'Implementing the Intrusion Detection Exchange Protocol,' 17th Annual Computer Security Applications Conference, 2001
  17. Silicon Defense, 'IDMEF XML plugin for the Snort IDS,' http://www.silicondefense.com/idwg/snort-idmef/
  18. Snort, http://www.snort.org/
  19. T. Dierks, C. Allen, 'The TLS Protocol Version 1.0,' RFC 2246, 1999