The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

An Optimum-adaptive Intrusion Detection System Using a Mobile Code

모바일 코드를 이용한 최적적응 침입탐지시스템

  • 방세중 (넷시큐어테크놀러지(주) 부설연구소) ;
  • 김양우 (동국대학교 정보통신공학과) ;
  • 김윤희 (숙명여자대학교 컴퓨터과학과) ;
  • 이필우 (한국과학기술정보연구원, 초고속정보망기술지원실)
  • Published : 2005.02.01
Download PDF
⟨ Previous Next ⟩

Abstract

A damage scale of information property has been increasing rapidly by various illegal actions of information systems, which result from dysfunction of a knowledge society. Reinforcement in criminal investigation requests of network security has accelerated research and development of Intrusion Detection Systems(IDSs), which report intrusion-detection about these illegal actions. Due to limited designs of early IDSs, it is hard for the IDSs to cope with tricks to go around IDS as well as false-positive and false-negative trials in various network environments. In this paper, we showed that this kind of problems can be solved by using a Virtual Protocol Stack(VPS) that possesses automatic learning ability through an optimum-adaptive mobile code. Therefore, the enhanced IDS adapts dynamically to various network environments in consideration of monitored and self-learned network status. Moreover, it is shown that Insertion/Evasion attacks can be actively detected. Finally, we discussed that this method can be expanded to an intrusion detection technique that possesses adaptability in the various mixed network environments.

지식사회의 역기능인 정보시스템에 대한 각종 침해행위들로 정보자산의 피해규모는 나날이 증가하고 있다. 이러한 침해행위 중에서 네트워크 보안과 관련된 범죄수사 요구의 강화는 침해행위탐지와 이에 대한 대응 및 보고를 포함하는 다양한 형태의 침입탐지시스템들에 대한 연구개발을 촉진시켜왔다. 그러나 초기 침입탐지시스템은 설계상의 한계로 다양한 네트워크 환경에서 오탐지(false-positive)와 미탐지(false-negative)뿐만 아니라 침입탐지시스템을 우회하는 방법에 대처하기 힘들었다. 본 논문에서는 이런 문제점을 모바일 코트를 통한 최적적응 능력을 갖춘 가상프로토콜스택(Virtual Protocol Stack)을 통해 보완함으로서 침입탐지시스템이 다양한 환경에서 능동적으로 감시중인 네트워크의 상황을 자동학습 하도록 하였다. 또한 본 논문에서는 이를 적용하여 삽입/회피(Insertion/Evasion) 유형의 공격이 적극적으로 탐지될 수 있음을 보였고, 이러한 방법은 보다 다양한 혼성의 네트워크 환경에서도 적응능력을 갖춘 침입탐지 기법으로 확대 적용될 수 있음을 논의하였다.

Keywords

References

  1. 한국정보보호진흥원, '통계보고서', http://www.krcert.or.kr
  2. Rebecca Basce, Peter Mell, 'Intrusion Detection Systems,' National Institute of Standards and Technology, Nov., 2001(http://csrc.nist.gov/publications/nistpubs/800-31/sp800-31.pdf)
  3. 정현철, 'IP Fragmentation를 이용한 공격들', http://www.certcc.or.kr/paper/tr2001/tr2001-03/IP%20Frag-mentation.html, 2001
  4. Whisker Web Scanner, '웹서버 취약성 점검도구', http://www.wiretrip.net/rfp
  5. T. H. Ptacek and T. H. Newsham, 'Inserting Evasion, and Denial of Service: Eluding Network Intrusion Detection,' Secure Networks Inc., Jan., 1998
  6. Denmac System, 'Network Based Intrusion Detection-A Review of Technologies,' Denmac System, 2000
  7. S. Axelsson, 'Intrusion detection systems : A survey and taxonomy,' Technical report. Department of Computer Engineering, chalmers University of Technology, Goteborg, Sweden, 2000
  8. Stephen Northcutt, 'Network Intrusion Detection An Analyst's Handbook-2nd Edition,' New Riders Publishing, Sep., 2000
  9. S. Noel, D. Wijesekera and C. Youman, 'Modern Intrusion Detection, Data Mining, and Degrees of Attack Guilt,' Applications of Data Mining in Computer Security, Kluwer Academic Publishers, 2002
  10. Snort, '공개용 침입탐지시스템', http://www.snort.org
  11. 한국정보보호진흥원, '산업지원/시험평가/평가인증제품현황', http://www.kisa.or.kr
  12. S. Kumar and E. Spafford, 'A Pattern Matching Model for Misuse Intrusion Detection,' Proceedings of the Seventeenth National Computer Security Conference, Oct., 1994
  13. G. G. Helmer, J. S. K. Wong, V. Honavar and L. Miller, Intelligent agents for intrusion detection. In Proceedings, IEEE Information Technology Conference, Syracuse, NY, pp.121-124, Sep., 1998 https://doi.org/10.1109/IT.1998.713396
  14. A. Porras and P. G. Neumann, EMERALD: Event Monitoring Enabling Responses to Anomalous Live Disturbances. In Proceedings of the National Infomation Systems Security Conference, Oct., 1997
  15. A. Porras and A. Valdes, 'Live Traffic Analysis of TCP/IP Gateways,' in Networks and Distributed Systems Security Symposium, Mar., 1998
  16. 정연서 등, '침입방지시스템', ETRI 기술문서, 2002
  17. 정보흥, '침입 방지 시스템 분석', ETRI 기술문서, 2003
  18. Pcaplib, '패킷 수신 라이브러리', http://www.tcpdump.org
  19. Libnet, '패킷 전송 라이브러리', http://libnet.sourceforge.net
  20. J. Potel, 'Internet Protocol - DARPA Internet Program Protocol Specification,' RFC 791, USC / Information Sciences Institute, Section 3.2, line 1099, September, 1981
  21. J. Potel, 'Transmission Control Protocol - DARPA Internet Program Protocol Specification,' RFC 793, September, 1981
  22. L. Joncheray, 'A Simple Attack Against TCP,' In 5th USEIX UNIX Security Symposium, June, 1995