호스트 기반 침입 감지 시스템

Host-Based Intrusion Detection System(HIDS; 호스트 기반 침입검출시스템)은 네트워크 인터페이스 상의 네트워크 패킷뿐만 아니라 컴퓨팅 시스템의 내부도 감시 및 분석할 수 있는 침입검출시스템입니다.네트워크 기반 침입검출시스템(^[1]NIDS)의 동작방법과 유사합니다.이 소프트웨어는 최초로 설계된 침입 탐지 소프트웨어 유형으로, 원래 대상 시스템은 외부 ^[2]상호작용이 거의 없는 메인프레임 컴퓨터였습니다.

개요

호스트 베이스의 IDS 는, 컴퓨터 시스템의 동적인 동작과 상태를, 설정 방법에 근거해 전부 또는 일부를 감시할 수 있습니다.이 특정 호스트를 대상으로 하는 네트워크 패킷을 동적으로 검사하는 액티비티(시판되는 대부분의 소프트웨어 솔루션을 갖춘 옵션컴포넌트) 외에 HIDS는 어떤 프로그램이 어떤 리소스에 액세스하고 있는지를 검출하고, 예를 들어 워드프로세서가 갑자기 시스템 패스워드 dat를 설명하기 어렵게 변경하기 시작했음을 검출할 수 있습니다.마찬가지로 HIDS는 RAM, 파일 시스템, 로그 파일 등에 저장되어 있는 시스템 상태, 저장된 정보를 확인하고, 이러한 내용이 예상대로 표시되는지 확인합니다.^[3] 예를 들어 침입자에 의해 변경되지 않았는지 확인합니다.

HIDS는 내부든 외부든 시스템의 보안 정책을 회피한 것이 없는지 감시하는 에이전트라고 생각할 수 있습니다.

동적 동작 모니터링

많은 컴퓨터 사용자는 안티바이러스(AV) 패키지의 형태로 동적 시스템 동작을 감시하는 도구를 접해 왔습니다.AV 프로그램도 시스템 상태를 감시하는 경우가 많지만, 컴퓨터 내부에서 누가 무엇을 하고 있는지, 그리고 특정 프로그램이 특정 시스템 리소스에 액세스할 수 있는지 여부를 조사하는데 많은 시간을 소비합니다.툴의 기능이 겹치는 경우가 많기 때문에, 여기서 선이 흐릿해집니다.

일부 침입 방지 시스템은 시스템 메모리에 대한 버퍼 오버플로 공격으로부터 보호하고 보안 ^[4]정책을 적용할 수 있습니다.

모니터링 상태

HIDS의 주요 동작은 성공한 침입자(해커)가 일반적으로 액티비티의 흔적을 남긴다는 사실에 의존합니다.실제로 이러한 침입자는 공격한 컴퓨터를 소유하고 싶어하며 침입자가 예상하는 모든 활동(키 스트로크 로깅, 신원 도용, 스팸 발송, 봇넷 활동, 스파이웨어 사용 등)을 실행할 수 있는 향후 액세스 권한을 부여하는 소프트웨어를 설치함으로써 "소유권"을 확립합니다.

이론적으로, 컴퓨터 사용자는 그러한 변경을 감지할 수 있는 능력을 가지고 있으며, HIDS는 그것을 시도하고 그 결과를 보고한다.

HIDS는 NIDS와 연계하여 동작하는 것이 이상적입니다.HIDS는 NIDS를 통과하는 모든 것을 검출합니다.상용 소프트웨어 솔루션에서는 네트워크 침입자의 성공 여부를 확인하기 위해 NIDS와 HIDS의 결과를 관련짓는 경우가 많습니다.

대부분의 성공한 침입자는 타깃 머신에 침입하면 즉시 베스트 프랙티스 보안 기술을 적용하여 침입한 시스템을 보호하고 자신의 백도어만 열어두기 때문에 다른 침입자가 컴퓨터를 넘겨받을 수 없습니다.

기술.

일반적으로 HIDS는 감시할 필요가 있는 시스템 객체의 데이터베이스(오브젝트 데이터베이스)를 사용합니다(보통 파일시스템 객체는 반드시 감시할 필요는 없습니다).HIDS는 Linux용 시스템콜 테이블이나 Microsoft Windows의 다양한 vtable 구조 등 적절한 메모리 영역이 변경되지 않았는지 확인할 수도 있습니다.

HIDS는 통상, 문제의 각 오브젝트에 대해서, 그 속성(권한, 사이즈, 변경일)을 기억하고, 컨텐츠의 체크섬(MD5, SHA1 해시 등)을 작성합니다.이 정보는 나중에 비교하기 위해 안전한 데이터베이스(Checksum 데이터베이스)에 저장됩니다.

HIDS의 대체 방법으로는 엔드포인트(서버, 워크스테이션 또는 기타 엔드 디바이스)의 Network Interface(NIC; 네트워크인터페이스) 레벨에서 NIDS 타입의 기능을 제공하는 방법이 있습니다.네트워크 계층에서 HIDS를 제공하면 동적 동작 모니터링 접근 방식으로는 인식할 수 없는 공격 및 패킷 데이터 등의 공격 상세 소스(IP 주소)의 보다 상세한 로깅을 제공할 수 있다는 장점이 있습니다.

작동

HIDS는 설치 시 및 감시 대상 오브젝트가 정상적으로 변경될 때마다 관련 오브젝트를 스캔하여 체크섬 데이터베이스를 초기화해야 합니다.컴퓨터 보안 담당자는 데이터베이스에 무단 변경을 가하는 침입자를 방지하기 위해 이 프로세스를 엄격하게 관리해야 합니다.따라서 이러한 초기화는 일반적으로 시간이 오래 걸리고 모니터링 대상 각 개체와 체크섬 데이터베이스 또는 그 이상을 암호로 잠급니다.이 때문에 HIDS 제조원은 보통 체크섬 데이터베이스를 자주 갱신할 필요가 없도록 오브젝트 데이터베이스를 구축합니다.

컴퓨터 시스템에는 일반적으로 침입자가 수정하고 HIDS가 감시해야 하는 동적(자주 변화하는) 개체가 많이 있지만 동적 특성으로 인해 체크섬 기술에 적합하지 않습니다.이 문제를 해결하기 위해 HIDS는 파일 속성 변경 모니터링, 마지막으로 체크한 이후 크기가 줄어든 로그 파일 및 기타 비정상적인 이벤트를 탐지하는 다양한 방법을 사용합니다.

시스템 관리자가 HIDS 설치 도구의 도움과 조언을 받아 적절한 오브젝트 데이터베이스를 구축하고 체크섬 데이터베이스를 초기화하면 HIDS는 감시 대상 오브젝트를 정기적으로 스캔하고 문제가 있다고 생각되는 오브젝트를 보고하는 데 필요한 모든 것을 얻을 수 있습니다.보고서에는 로그, 이메일 등의 형식을 사용할 수 있습니다.

HIDS 보호

HIDS는 보통 오브젝트 데이터베이스, 체크섬 데이터베이스 및 해당 보고서가 어떠한 형태로든 변조되는 것을 방지하기 위해 많은 수단을 동원합니다.결국 침입자가 HIDS가 감시하는 오브젝트 중 하나를 수정하는 데 성공했을 경우 보안 관리자가 적절한 예방 조치를 취하지 않는 한 침입자가 HIDS 자체를 수정하는 것을 막을 수 있는 것은 없습니다.예를 들어 많은 웜과 바이러스가 안티바이러스 도구를 비활성화하려고 합니다.

암호 기술과는 별도로 HIDS를 통해 관리자는 데이터베이스를 CD-ROM 또는 기타 읽기 전용 메모리 장치(빈도 업데이트에 유리한 다른 요인)에 저장하거나 일부 오프 시스템 메모리에 저장할 수 있습니다.마찬가지로 HIDS에서는 로그가 즉시 시스템 밖으로 전송되는 경우가 많습니다.일반적으로 VPN 채널을 사용하여 일부 중앙 관리 시스템에 로그를 전송합니다.

신뢰할 수 있는 플랫폼모듈이 HIDS의 일종으로 구성되어 있다고 주장할 수 있습니다.그 범위는 HIDS의 범위와는 여러 가지 차이가 있지만 기본적으로 컴퓨터의 일부를 조작한 사람이 있는지 여부를 식별할 수 있는 수단을 제공합니다.아키텍처적으로는 CPU 자체의 외부 하드웨어에 의존한 궁극의^[update] 호스트 기반 침입 탐지 기능을 제공하므로 침입자가 개체와 체크섬 데이터베이스를 손상시키는 것이 훨씬 더 어려워집니다.

접수처

InfoWorld에 따르면 호스트 기반 침입 탐지 시스템 소프트웨어는 네트워크 관리자가 말웨어를 검출할 때 ^[5]유용한 방법이며 중요한 서버뿐만 아니라 모든 서버에서 실행할 것을 제안합니다.

「」를 참조해 주세요.

호스트 기반 침입 탐지 시스템 비교
IBM Internet Security Systems – 상용 HIDS/NIDS
오픈소스 트립와이어– 오픈소스 HIDS
OSSEC – 멀티플랫폼 오픈소스 HIDS
트러스티드 컴퓨팅 그룹

레퍼런스

^ Newman, Robert C. (2009). Computer Security: Protecting Digital Resources. Jones & Bartlett Learning. ISBN 978-0-7637-5994-0.
^ Debar, Hervé; Dacier, Marc; Wespi, Andreas (23 April 1999). "Towards a taxonomy of intrusion-detection systems". Computer Networks. 31 (8): 805–822. doi:10.1016/S1389-1286(98)00017-6.
^ 바카, 존컴퓨터 및 정보 보안 핸드북.모건 카우프먼, 2013, 494-495페이지
^ Cox, Kerry; Gerg, Christopher (2004). Managing security with Snort and IDS tools. O'Reilly Series. O'Reilly Media, Inc. p. 3. ISBN 978-0-596-00661-7.
^ Marsan, Carolyn Duffy (6 July 2009), "The 10 dumbest mistakes network managers make", InfoWorld, IDG Network, retrieved 31 July 2011

외부 링크

철저한 보안 – 상용 멀티 플랫폼 HIDS
레이스워크 HIDS – 클라우드 도입용 상용 HIDS

[newman2009-1] Newman, Robert C. (2009). Computer Security: Protecting Digital Resources. Jones & Bartlett Learning. ISBN 978-0-7637-5994-0.

[cn31_8_805-2] Debar, Hervé; Dacier, Marc; Wespi, Andreas (23 April 1999). "Towards a taxonomy of intrusion-detection systems". Computer Networks. 31 (8): 805–822. doi:10.1016/S1389-1286(98)00017-6.

[3] 바카, 존컴퓨터 및 정보 보안 핸드북.모건 카우프먼, 2013, 494-495페이지

[cox_gerg2004-4] Cox, Kerry; Gerg, Christopher (2004). Managing security with Snort and IDS tools. O'Reilly Series. O'Reilly Media, Inc. p. 3. ISBN 978-0-596-00661-7.

[iw20090706-5] Marsan, Carolyn Duffy (6 July 2009), "The 10 dumbest mistakes network managers make", InfoWorld, IDG Network, retrieved 31 July 2011

[1]

[2]

[3]

[4]

[5]

Search

호스트 기반 침입 감지 시스템

네임스페이스

더

목차

개요

동적 동작 모니터링

모니터링 상태

기술.

작동

HIDS 보호

접수처

「」를 참조해 주세요.

레퍼런스

외부 링크

Search

호스트 기반 침입 감지 시스템

개요

동적 동작 모니터링

모니터링 상태

기술.

작동

HIDS 보호

접수처

「 」를 참조해 주세요.

레퍼런스

외부 링크

「」를 참조해 주세요.