Design of Intrusion Detection System to be Suitable at the Information System Organized by Homogeneous Hosts

동질형 호스트들로 구성된 정보시스템에 적합한 침입탐지시스템의 설계

With the development of computer&network technology and the growth of its dependance, computer failures not only lose human and material resources but also make organization's competition weak as a side-effect of information society. Therefore, people consider computer security as important factor. Intrusion Detection Systems (IDS) detect intrusions and take an appropriate action against them in order to protect a computer from system failure due to illegal intrusion. A variety of methods and models for IDS have been developed until now, but the existing methods or models aren't enough to detect intrusions because of the complexity of computer network the vulnerability of the object system, insufficient understanding for information security and the appearance of new illegal intrusion method. We propose a new IDS model to be suitable at the information system organized by homogeneous hosts and design for the IDS model and implement the prototype of it for feasibility study. The IDS model consist of many distributed unit sensor IDSs at homogeneous hosts and if any of distributed unit sensor IDSs detect anomaly system call among system call sequences generated by a process, the anomaly system call can be dynamically shared with other unit sensor IDSs. This makes the IDS model can effectively detect new intruders about whole information system.

컴퓨터 및 네트워크 기술이 발전하고 이에 대한 의존도가 증가함에 따라 컴퓨터의 결함은 인적 물적 손실뿐만 아니라 조직의 경쟁력을 약화시키는 결과를 초래하게 되어 정보사회의 역기능으로 컴퓨터 보안 문제가 중요하게 대두되고 있다. 침입탐지시스템(Intrusion Detection System : IDS)은 불법적인 침입에 의한 시스템 결함으로부터 컴퓨터를 보호하기 위해 침입을 탐지하고 이에 대한 적절한 조치를 취하는 역할을 수행한다. 최근까지 IDS에 대한 다양한 기법과 모델들이 개발되고 있으나 컴퓨터 통신망의 복잡성, 대상 시스템의 원초적 취약성, 정보 보호에 대한 이해 부족 및 새로운 불법 침입 기법의 개발 등으로 기존의 어떤 기법 또는 모델도 완전하지 못한 실정이다. 본 논문에서는 동질형 호스트들로 구성된 정보시스템에 적합한 침입탐지시스템을 제안하고, 이를 설계하고 프로토타입을 구현하여 그 타당성을 보인다. 제안한 침입탐지시스템은 여러 동질형 컴퓨터에 단위 센서 침입탐지시스템을 설치하고, 분산된 단위 센서 침입탐지시스템들 중 어느 하나가 프로세스에 의해 발생된 시스템 호출 순서 중 비정상적인 시스템 호출을 탐지한 경우 이를 다른 센서 침입탐지시스템들과 서로 동적으로 공유하여 전체 정보시스템에 대한 새로운 침입에 대하여 효율적으로 탐지할 수 있게 한다.