The Journal of Korean Institute of Communications and Information Sciences (한국통신학회논문지)

The Korean Institute of Commucations and Information Sciences (한국통신학회)
권호 표지

An Integrated Intrusion Detection System for a Large-scale Network Environment

대규모 네트워크 환경을 위한 통합 침입탐지 시스템

  • Published : 2004.07.01
Download PDF
⟨ Previous Next ⟩

Abstract

In order to solve the increasing security problems, IDSs(Intrusion Detection System) have appeared. However, local IDSs have a limit to detect various intrusions in a large-scale network environment. So there are a lot of researches in progress which organize the elements of IDS in a distributed or hierarchical manner. In this paper, we design a integrated IDS which exchanges messages between them through the standardized message format (IDMEF) and communication protocol (IDXP). We also propose a policy profile for an effective control of IDSs, and employ the PKI mechanism for mutual authentication. We implement a prototype system for the proposed IDSs communicating with Snort and analyze its performance.

최근 해마다 급증하는 보안 사고를 해결하기 위한 방안으로써, 침입탐지 시스템이 부각되고 있다. 하지만, 현재와 같은 대규모 네트워크 환경에서는 지역적인 침입탐지 시스템으로 다양한 형태의 침입을 탐지하는 데에 많은 문제점을 가지고 있다. 이에 침입탐지 구성 요소들을 분산시키거나 계층적으로 구성하기 위한 연구와 표준화된 통합 프로토콜의 개발 및 침입탐지 시스템들 간에 교환되는 메시지의 표준화된 형식을 정의하는 연구가 활발히 진행되고 있다. 본 논문에서는 이기종 침입탐지 시스템간의 표준화된 침입탐지 정보 교환을 위하여 표준화된 메시지 형식 및 프로토콜을 사용하며, 통합된 침입탐지 정보들에 대한 상호 연관성 분석을 통하여 보다 효율적인 관리와 분석을 수행할 수 있는 통합 침입탐지 시스템을 설계 및 구현한다. 본 논문에서 제안한 시스템에서는 분산된 침입탐지 시스템들의 효율적인 운용을 위하여 정책 프로파일을 정의ㆍ교환하고, 이기종 시스템간의 상호 인증을 위하여 PKI를 이용한다. 이러한 설계를 기반으로 Snort로부터 수집한 침입탐지 데이터를 IDMEF 형식의 메시지로 변환하여 BEEP 기반의 IDXP 프로토콜을 사용하여 송수신하고 이를 다시 통합 판정이 가능한 정보로 변환하기 위한 통합 침입탐지 시스템의 프로토타입을 구현하여 성능을 분석한다.

Keywords

References

  1. An Intrusion Detection Model Dorothy E. Denning
  2. Proc. 20th NIST-NCSC National Information Systems Security Conference EMERALD : Event Monitoring Enabling Responses to Anomalous Live Disturbances Phillip A. Porras;Peter G. Neumann
  3. RAID 1998 New Directions for the AAFID architecture Eugene Spafford;Diego Zamboni
  4. Proceedings of the 19th National Information Systems Security Conference GrIDS-a graph based intrusion detection system for large networks S. Staniford-Chen;S. Cheung;R. Crawford;M. Dilger;J. Frank;J. Hoagland;K. Levitt;C. Wee;R. Yip;D. Zerkle
  5. Journal of Computer Security NetSTAT : A Network-based Intrusion Detection System Giovanni Vigna;Richard A. Kemmerer
  6. Information Survivability Workshop The Common Intrusion Detection Framework (CIDF) Staniford-Chen, S.;Tung, B.;Schnackenberg, D.
  7. Intrusion Detection Message Exchange Requirements IETF;IDWG
  8. Intrusion Detection Message Exchange Format Data Model and Extensible Markup Language (XML) Document Type Definition IETF;IDWG
  9. The Intrusion Detection Exchange Protocol (IDXP) IETF;IDWG
  10. The Blocks Extensible Exchange Protocol Core IETF;RFC 3080
  11. RAID 2001 A Framework for Distributed Intrusion Detection using Interest Driven Cooperating Agents Rajeev Gopalakrishna;Eugene H. Spafford
  12. Proceedings of the 14th National Computer Security Conference DIDS (Distributed Intrusion Detection System) - motivation, architecture, and an early prototype S. Snapp;J. Brentano;G. Dias(et al.)
  13. beepcore.org
  14. RoadRunner
  15. Libidxp - An IDXP / BEEP Protocol Implementation
  16. Libidmef
  17. Snort.org
  18. CIDF Working Group Draft Specification Communication in the Common Intrusion Detection Framework v0.7 Clifford kahn;Don Bolinger;Dan Schnackenberg
  19. 2003년도 추계학술발표회 침입탐지 경보 메시지 상호 연관성 분석에 대한 연구 이은영;이상훈;김도환;박응기
  20. 2003년도 추계학술발표회 침입 경보 연관성 분석을 통한 효율적인 관제 에이전트의 설계 김도환;이상훈;이은영;박응기