The Journal of the Korea Contents Association (한국콘텐츠학회논문지)

The Korea Contents Association (한국콘텐츠학회)
권호 표지
DOI QR코드

DOI QR Code

Design and Implementation of an Intrusion Detection System based on Outflow Traffic Analysis

유출트래픽 분석기반의 침입탐지시스템 설계 및 구현

  • 신동진 (서울벤처정보대학원대학교 컴퓨터응용기술대학) ;
  • 양해술 (호서대학교 벤처전문대학원)
  • Published : 2009.04.28
Download PDF
⟨ Previous Next ⟩

Abstract

An increasing variety of malware, such as worms, spyware and adware, threatens both personal and business computing. Remotely controlled bot networks of compromised systems are growing quickly. This paper proposes an intrusion detection system based outflow traffic analysis. Many research efforts and commercial products have focused on preventing intrusion by filtering known exploits or unknown ones exploiting known vulnerabilities. Complementary to these solutions, the proposed IDS can detect intrusion of unknown new mal ware before their signatures are widely distributed. The proposed IDS is consists of a outflow detector, user monitor, process monitor and network monitor. To infer user intent, the proposed IDS correlates outbound connections with user-driven input at the process level under the assumption that user intent is implied by user-driven input. As a complement to existing prevention system, proposed IDS decreases the danger of information leak and protects computers and networks from more severe damage.

현재 일반화되어 있는 침입탐지 시스템의 경우 중요한 서버의 보안에 유용한 호스트기반 IDS는 합법적인 사용자의 불법행위를 모니터링 가능하고 운영체계와 밀접히 결합하여 보다 정교한 모니터링, 네트워크 환경과 상관없이 사용가능 하다는 장점이 있지만 비용의 증가와 침입탐지를 위한 처리에 해당 시스템 자원소모, 네트워크 기반의 공격에 취약하며 IDS오류 시 해당 호스트의 기능이 마비될 수 있다. 네트워크기반 IDS는 네트워크 엑세스 지점에만 설치하여 비용점감 및 네트워크 자원에 대한 오버 헤드감소, 공격에 노출될 가능성이 낮으며 네트워크 환경에 관계없이 사용가능하지만 대용량의 트래픽 처리에 어려움과 제한된 탐지능력, 알려지지 않은 악성코드나 프로그램에 대처능력이 떨어지는 한계를 가지고 있다. 본 논문에서는 이러한 보안 솔루션들 중에서 개인용 방화벽을 활용하는 데스크톱 보안과 함께 적용하여 개인용 컴퓨터의 보안능력을 향상시키는 유출 트래픽 분석기반 침입탐지시스템의 설계 및 구현을 목적으로 한다. 침입이 발생하고 새로운 패턴의 악성 프로그램이 정보의 유출을 시도하는 행위를 탐지하여 차단함으로써 컴퓨터나 네트워크의 심각한 손실을 감소시킬 수 있다.

Keywords

References

  1. 한국정보보호진흥원, 2007-정보보호 실태조사, 한국정보보호진흥원, 1997.
  2. E. Carl, S. Eugene, and M. Jim, Intrusion Detection & Prevention, McGraw -Hill, 2004.
  3. H. Debar, D. Curry, and B. Feinstein, "The Intrusion Detection Message Exchange Format," IETF Internet Draft, draft-ietf-idwgidmef- xm, pp.1-14, 2005.
  4. K. McCloghrie and M. Rose, "Management Information Base for Network Management of TCP/IP-based Internets : MIB-II," RFC1213, 1991.
  5. C. Frederic and M. Alexander, "Alert Correlation in a Cooperative Intrusion Detection Framework," IEEE Symposium on Security and Privacy, 2002. https://doi.org/10.1109/SECPRI.2002.1004372
  6. W. Lee and S. Stolfo, A framework for constructing features and models for intrusion detection systems, ACM Transactions on Information and System Security, 2000.
  7. http://www.microsoft.com/technet/security/prodtech/ win2000/secwin2k/09detect.mspx
  8. H. Gilbert, LAN Management with SNMP and RMON, John Wiley & Sons, 1996.
  9. J. Anthony, Network Programming for Microsoft Windows - 2nd Edition, 정보문화사, 2002.
  10. http://www.symantec.com
  11. IETF, "A Simple Network Management Protocol," RFC 1157.
  12. http://kr.ahnlab.com/b2b/securityinfo/html/ renew_asec_report/200903.jsp?site=b2c
  13. http://www.kisa.or.kr/index.jsp
  14. http://www.ad-spider.com/spyware
  15. http://www.nprotect.com/v6/service/index.php? mode=service_avs

Cited by

  1. Implementation of lightweight intrusion detection model for security of smart green house and vertical farm vol.14, pp.4, 2018, https://doi.org/10.1177/1550147718767630