Network Security
네트워크 보안
- 네트워크 상에서 벌어질 수 있는 공격과 그에 대한 대응 방법들을 논의한다.
* Security Protocols
Firewall Systems (방화벽, 침입 차단 시스템)
[Security] Firewall | 방화벽
Archive [Security] Firewall | 방화벽 본문 Computer Engineering/Security [Security] Firewall | 방화벽 Byeong Heon 2022. 5. 7. 02:34 Prev 1 2 3 4 5 6 7 8 ··· 628 Next
dad-rock.tistory.com
- 해당 네트워크에 허용되지 않은 입장을 방지하는 메커니즘이다.
Intrusion Detection Systems (IDS; 침입 탐지 시스템)
- 해당 네트워크에 침입 여부를 탐지하는 메커니즘이다.
- 여기서, '침입'은 허용되지 않은 Intruder(외부자)의 행동이거나, Insider(내부인)의 악의적 소행일 수 있다.
- Intruder혹은 Malicious Insider는
다양한 Well-Known Attack 혹은 New/Little Known Attack을 행하거나,
System Resource를 무단으로 사용하거나
Compromised System을 악용하여 다른 시스템을 공격하는 데 사용하는 등
여러 악영향을 미칠 수 있다.
- 탐지해야할 공격의 징후들은 아래와 같다.
- 특정 Machine이 IRC Channel에 연결하려 하는 경우
- IRC Channel은 Botnet에 악용되는 경우가 많다. - 잘못된 IP Address를 사용하려 하는 경우
- 잘못된 DNS Name을 사용하려 하는 경우
- 위장된 Source로부터 Packet이 도착한 경우
- 외부에서 전송된 것 처럼 보이지만, 실제로 내부에서 전송된 Packet이 발견된 경우
- 속해있는 네트워크에서 Spam이 전송된 경우
- 침입 탐지 메커니즘은 아래와 같이 크게 두 가지로 구분된다.
- Misuse Detection (오용 감지)
- 침입자의 특정 행동(일반적이지 않은 행동)을 모델링 및 규정하여 침입을 탐지한다.
- Signature를 통해 알려진 공격들을 탐지할 수 있다.
- Signature들을 ML Classifier에 학습시켜 인공지능이 공격들을 탐지하게 할 수 있다. - Anomaly Detection (이상 감지)
- Normal Behavior을 정의해놓고 이를 기반으로 Anomalous Behavior을 탐지한다.
- 알려지지 않은 공격을 탐지하는데 유리하다.
- Normal Behavior을 정의하기 쉽지 않고, 시간이 지남에 따라 Normal Behavior의 기준이 바뀔 수 있다.
- Anomaly Detection만 단독으로 사용할 수 없고, Misuse Detection과 함께 사용되어야 한다.
(Anomaly Detection의 효율성이 아직까지 입증되지 않았기 때문이다.)
- IDS 자체가 공격의 대상이 될 수 있다.
- Anomaly Detection으로 판별한 이유를 알 수 없다.
- ML Technique을 적용하여 알려지지 않은 공격을 탐지하고자 하는 연구들이 진행중에 있다.
Reference: Information Security: Principles and Practice 2nd Edition
(Mark Stamp 저, Pearson, 2011)
Reference: Computer Security: Principles and Practice 3rd Edition
(William Stallings, Lawrie Brown, Pearson, 2014)
Reference: 2022학년도 1학기 홍익대학교 네트워크 보안 강의, 이윤규 교수님
