IDS 의 기술적 수단은 실제로 그다지 신비롭지 않습니다. 다음으로 이 기사에서는 "덩굴 따라가기" 접근 방식을 사용하여 비교적 간단한 IDS의 초보 수준 아키텍처를 소개합니다. 시장 분포와 획득 용이성 측면에서 NIDS를 배포 사례로 선택하는 것이 더 적절합니다. 이 기사에서는 전체 Windows 플랫폼을 사용하여 전체 침입 탐지 프로세스를 실행합니다. 공간 제한으로 인해 정성적 분석 관점에서 설명됩니다.
예비 지식
IDS: 침입 탐지 시스템(Intrusion Protection System)은 침입 탐지 및 분석을 수행하기 위해 네트워크 시스템 정보를 수집하는 소프트웨어와 하드웨어의 지능적인 조합입니다.
IDS에 대한 표준화 작업을 수행하는 조직은 국제 인터넷 표준 제정자인 IETF의 침입탐지워킹그룹(IDWG, Intrusion Protection Working Group)과 공통침입탐지프레임워크(CIDF, Common Intrusion Protection Framework) 두 곳이다.
IDS 분류: 네트워크 IDS(네트워크 기반), 호스트 기반 IDS(호스트 기반), 하이브리드 IDS(하이브리드), 콘솔 IDS(콘솔), 파일 무결성 검사기(파일 무결성 검사기), 허니팟(허니팟). 이벤트 생성 시스템
CIDF가 제시한 침입탐지시스템(IDS)의 일반적인 모델 아이디어에 따르면, 모든 요소를 갖춘 가장 간단한 침입탐지 구성요소가 그림에 나와 있다. CIDF 사양에 따르면 IDS가 분석해야 하는 데이터를 총칭하여 이벤트라고 합니다. 이벤트는 네트워크의 데이터 패킷일 수도 있고 시스템 로그 또는 기타 방법에서 얻은 정보일 수도 있습니다.
데이터가 유입되지 않거나 수집되는 데이터가 없으면 IDS는 뿌리가 없는 나무이고 전혀 쓸모가 없습니다.
IDS의 기본 구성으로서 이벤트 생성 시스템은 정의된 모든 이벤트를 수집한 후 이를 다른 구성 요소에 한 번에 전송하는 데 큰 역할을 할 수 있습니다. Windows 환경에서 현재 기본 접근 방식은 Winpcap과 WinDump를 사용하는 것입니다.
우리 모두 알고 있듯이 이벤트 생성 및 이벤트 분석 시스템의 경우 Linux 및 Unix 플랫폼을 기반으로 하는 소프트웨어 및 프로그램이 현재 인기가 있습니다. 실제로 Windows 플랫폼에는 Unix 또는 Unix에 필요한 소프트웨어인 Libpcap과 유사한 소프트웨어도 있습니다. 커널에서 네트워크 패킷을 캡처하는 Linux) 도구는 Winpcap입니다.
Winpcap은 네트워크 카드를 "무차별" 모드로 설정한 다음 네트워크에서 캡처한 패킷을 반복하는 무료 Windows 기반 네트워크 인터페이스 API입니다. 그 기술은 구현이 간단하고 휴대성이 뛰어나며 네트워크 카드와는 관련이 없지만 효율성이 낮아 100Mbps 이하의 네트워크에 적합합니다.
해당 Windows 기반 네트워크 스니핑 도구는 WinDump(Windows의 Linux/Unix 플랫폼에서 Tcpdump의 이식된 버전)입니다. 이 소프트웨어는 Winpcap 인터페이스를 기반으로 해야 합니다(여기서 누군가는 Winpcap: 데이터 스니핑 드라이버라고 생생하게 부릅니다). WinDump를 사용하면 규칙과 일치하는 데이터 패킷의 헤더를 표시할 수 있습니다. 이 도구를 사용하여 네트워크 문제를 찾거나 네트워크 상태를 모니터링할 수 있습니다. 네트워크에서 안전한 동작과 안전하지 않은 동작을 어느 정도 효과적으로 모니터링할 수 있습니다.
두 소프트웨어 모두 온라인에서 무료로 찾을 수 있으며 독자는 관련 소프트웨어 사용 튜토리얼도 볼 수 있습니다.
다음은 이벤트 감지 및 수집을 설정하는 단계에 대한 간략한 소개입니다.
1. 소프트웨어 및 하드웨어 시스템을 조립합니다. 네트워크 사용량에 따라 일반 호환 컴퓨터를 사용할지, 아니면 더 높은 성능의 전용 서버를 사용할지 결정하세요. NT 코어 Windows 운영 체제를 설치하려면 조건이 충족되지 않는 경우 Windows Server 2003 Enterprise Edition을 사용하는 것이 좋습니다. , Windows 2000 Advanced Server를 사용할 수도 있습니다. 파티션 형식은 NTFS 형식을 권장합니다.
2. 서버의 공간 분할은 실행 프로그램 설치와 데이터 로그 저장을 위해 합리적이고 효율적이어야 합니다. 두 공간을 서로 다른 파티션에 배치하는 것이 가장 좋습니다.
3. Winpcap의 간단한 구현. 먼저 드라이버를 설치하세요. 홈페이지나 미러 사이트에서 WinPcap 자동 설치 프로그램(드라이버+DLL)을 다운로드하여 직접 설치할 수 있습니다.
참고: 개발을 위해 Winpcap을 사용하는 경우 개발자 팩도 다운로드해야 합니다.
WinPcap에는 세 가지 모듈이 포함되어 있습니다. 첫 번째 모듈 NPF(Netgroup Packet Filter)는 VxD(Virtual Device Driver) 파일입니다. 그 기능은 데이터 패킷을 필터링하고 이러한 패킷을 그대로 사용자 모드 모듈에 전달하는 것입니다. 두 번째 모듈 packet.dll은 Win32 플랫폼에 대한 공용 인터페이스를 제공하며 packet.dll을 기반으로 하며 보다 편리하고 직접적인 프로그래밍 방법을 제공합니다. 세 번째 모듈인 Wpcap.dll은 운영 체제에 의존하지 않으며 기본 동적 링크 라이브러리이며 높은 수준의 추상 기능을 제공합니다. Winpcap을 더 잘 사용하려면 강력한 C 환경 프로그래밍 기능이 필요합니다.
4. WinDump 생성. 설치 후 Windows 명령 프롬프트 모드로 실행하면 사용자가 자세한 내용을 확인하지 않고도 네트워크 상태를 직접 확인할 수 있습니다.
소프트웨어 호환성 문제가 없고 설치 및 구성이 올바르면 이벤트 감지 및 수집이 가능합니다.
[컷 페이지]이벤트 분석 시스템
당사 네트워크의 대부분은 스위칭된 이더넷 스위치로 연결되어 있으므로 이벤트 분석 시스템 구축의 목적은 여러 네트워크 방화벽 장치를 탐지하고 다양한 수집 방법(예: Snmp 및 Syslog 데이터 정보 기반 수집) 로그를 지원하고 특정 이벤트를 제공하는 것입니다. 로그 처리, 통계, 분석 및 쿼리 기능.
이벤트 분석 시스템은 IDS의 핵심 모듈로, 각종 이벤트를 분석해 보안 정책에 위배되는 행위를 찾아내는 것이 핵심이자 난점이다. 소프트웨어 시스템을 직접 작성하거나 다른 사람과 공동으로 작성할 수 있다면 네트워크 프로토콜, 해커 공격, 시스템 취약점에 대한 명확한 이해 등 초기 개발을 위한 엄격한 준비를 마친 다음 규칙과 전략 수립을 시작해야 합니다. 표준 기술과 사양을 기반으로 알고리즘을 최적화하여 실행 효율성을 높이고, 탐지 모델을 구축하고, 공격 및 분석 프로세스를 시뮬레이션해야 합니다.
이벤트 분석 시스템은 모니터링 네트워크 세그먼트의 탐지 엔진에 상주하며 일반적으로 패턴 일치, 프로토콜 분석 및 행동 분석이라는 세 가지 기술적 수단을 통해 분석을 수행합니다. 특정 오용 패턴이 감지되면 해당 경고 메시지가 생성되어 대응 시스템으로 전송됩니다. 현재로서는 프로토콜 분석을 사용하는 것이 실시간으로 탐지하는 가장 좋은 방법입니다.
이 시스템의 한 가지 가능한 방법은 기성 개방형 프로토콜 분석 도구 키트를 기반으로 구축할 수 있는 프로토콜 분석기를 본체로 사용하는 것입니다. 프로토콜 분석기는 패킷 수준 네트워크 전송 흐름을 표시하고 자동으로 경고를 수행할 수 있습니다. 네트워크 프로토콜 규칙을 기반으로 공격의 존재를 신속하게 감지하여 네트워크 프로그래머와 관리자가 네트워크 활동을 모니터링하고 분석하여 결함을 사전에 감지하고 찾을 수 있도록 합니다. 사용자는 Windows 시스템을 지원하는 Ethereal이라는 무료 네트워크 프로토콜 분석기를 사용해 볼 수 있습니다. 사용자는 이벤트 생성 시스템에서 캡처하여 하드 디스크에 저장된 데이터를 분석할 수 있습니다. 캡처된 패킷을 대화형으로 찾아보고 각 패킷에 대한 요약 및 세부 정보를 볼 수 있습니다. Ethereal은 거의 모든 프로토콜 지원, 풍부한 필터링 언어, TCP 세션의 재구성된 데이터 스트림에 대한 쉬운 보기 등 다양하고 강력한 기능을 갖추고 있습니다.
반응형 시스템
대응 시스템은 사람과 사물의 상호 작용 시스템으로 전체 시스템의 환승 스테이션이자 조정 스테이션이라고 할 수 있습니다. 사람은 시스템 관리자이고 사물은 다른 모든 구성 요소입니다. 좀 더 구체적으로 말하면, 대응 시스템의 코디네이터는 미리 정의된 방식으로 보안 이벤트 기록, 경보 메시지(예: 이메일) 생성, 추가 로그 기록, 침입자 격리, 프로세스 종료, 피해 방지 등 많은 일을 합니다. 공격자의 포트와 서비스 또는 반격도 가능하며, 수동 대응과 자동 대응(기계 기반 대응)을 채택할 수 있으며 이 둘의 조합이 더 좋습니다.
반응형 시스템 디자인 요소
(1) 이벤트 분석 시스템에 의해 필터링, 분석, 재구성된 이벤트 발생 시스템으로부터 이벤트 알람 정보를 수신하여 사용자(관리자)와 상호작용하여 질의, 룰 판단 및 관리 조치를 취한다.
(2) 관리자에게 이벤트 데이터베이스 시스템 관리를 위한 인터페이스를 제공합니다. 룰 베이스를 수정하고, 다양한 네트워크 환경에 따라 보안 정책을 구성하고, 데이터베이스 시스템을 읽고 쓸 수 있습니다.
(3) 프론트엔드 시스템에서 동작 시 이벤트 생성 및 분석 시스템(통칭하여 이벤트 감지기)을 관리하고, 시스템에서 수집, 감지, 분석한 이벤트를 분류 및 필터링하고, 보안 규칙을 다음과 같이 재구현할 수 있습니다. 다양한 보안 상황.
응답 시스템과 이벤트 감지기는 일반적으로 애플리케이션으로 구현됩니다.
설계 아이디어: 대응 시스템은 모니터링과 제어라는 두 가지 프로그램 부분으로 나눌 수 있습니다. Listening 부분은 유휴 포트를 바인딩하고 이벤트 감지기에서 전송된 분석 결과 및 기타 정보를 수신하고 저장된 파일을 이벤트 데이터베이스 시스템으로 변환합니다. 관리자는 관리자로서 읽기 전용, 수정 및 특수 작업을 호출할 수 있습니다. 사용자 권한에. 제어 부분은 GTK+를 사용하여 GUI를 작성하고 보다 직관적인 그래픽 사용자 인터페이스를 개발할 수 있습니다. 주요 목적은 사용자에게 경고 정보를 탐색할 수 있는 보다 편리하고 친숙한 인터페이스를 제공하는 것입니다.
이벤트 데이터베이스 시스템
Windows 플랫폼에서는 Access가 마스터하기 쉽지만 SQL Server 2000으로 구축하는 것이 Access보다 효과적이며 시작하기가 어렵지 않습니다. 이 시스템의 주요 기능은 이벤트 정보 기록, 저장 및 재정렬입니다. 공격 검토 포렌식 사용을 보고 검토하기 위해 관리자가 호출할 수 있습니다.
이 시스템의 구조는 비교적 간단하며 데이터베이스 소프트웨어의 일부 기본 기능만 필요합니다.
구성 요소 간의 의도적인 통신을 조정하려면 구성 요소가 구성 요소 간에 전달되는 다양한 데이터의 의미를 올바르게 이해해야 합니다. CIDF의 통신 메커니즘을 참조하여 3계층 모델을 구축할 수 있습니다. 안전성, 효율성, 부드러움을 보장하기 위해 다양한 구성 요소 간의 상호 운용성에 주의하십시오.
통합은 후속 작업에서 계속될 예정이며, 각 구성요소의 기능은 계속해서 개선될 예정입니다. Windows 플랫폼 기반의 기본 IDS 프레임워크가 완성되었습니다. 인터넷 요구 사항을 충족한다면 직접 치즈를 만들어 보세요. 노력 끝에 이루 말할 수 없는 달콤함이 있습니다.
[컷 페이지]이벤트 분석 시스템
당사 네트워크의 대부분은 스위칭된 이더넷 스위치로 연결되어 있으므로 이벤트 분석 시스템 구축의 목적은 여러 네트워크 방화벽 장치를 탐지하고 다양한 수집 방법(예: Snmp 및 Syslog 데이터 정보 기반 수집) 로그를 지원하고 특정 이벤트를 제공하는 것입니다. 로그 처리, 통계, 분석 및 쿼리 기능.
이벤트 분석 시스템은 IDS의 핵심 모듈로, 각종 이벤트를 분석해 보안 정책에 위배되는 행위를 찾아내는 것이 핵심이자 난점이다. 소프트웨어 시스템을 직접 작성하거나 다른 사람과 공동으로 작성할 수 있다면 네트워크 프로토콜, 해커 공격, 시스템 취약점에 대한 명확한 이해 등 초기 개발을 위한 엄격한 준비를 마친 다음 규칙과 전략 수립을 시작해야 합니다. 표준 기술과 사양을 기반으로 알고리즘을 최적화하여 실행 효율성을 높이고, 탐지 모델을 구축하고, 공격 및 분석 프로세스를 시뮬레이션해야 합니다.
이벤트 분석 시스템은 모니터링 네트워크 세그먼트의 탐지 엔진에 상주하며 일반적으로 패턴 일치, 프로토콜 분석 및 행동 분석이라는 세 가지 기술적 수단을 통해 분석을 수행합니다. 특정 오용 패턴이 감지되면 해당 경고 메시지가 생성되어 대응 시스템으로 전송됩니다. 현재로서는 프로토콜 분석을 사용하는 것이 실시간으로 탐지하는 가장 좋은 방법입니다.
이 시스템의 한 가지 가능한 방법은 기성 개방형 프로토콜 분석 도구 키트를 기반으로 구축할 수 있는 프로토콜 분석기를 본체로 사용하는 것입니다. 프로토콜 분석기는 패킷 수준 네트워크 전송 흐름을 표시하고 자동으로 경고를 수행할 수 있습니다. 네트워크 프로토콜 규칙을 기반으로 공격의 존재를 신속하게 감지하여 네트워크 프로그래머와 관리자가 네트워크 활동을 모니터링하고 분석하여 결함을 사전에 감지하고 찾을 수 있도록 합니다. 사용자는 Windows 시스템을 지원하는 Ethereal이라는 무료 네트워크 프로토콜 분석기를 사용해 볼 수 있습니다. 사용자는 이벤트 생성 시스템에서 캡처하여 하드 디스크에 저장된 데이터를 분석할 수 있습니다. 캡처된 패킷을 대화형으로 찾아보고 각 패킷에 대한 요약 및 세부 정보를 볼 수 있습니다. Ethereal은 거의 모든 프로토콜 지원, 풍부한 필터링 언어, TCP 세션의 재구성된 데이터 스트림에 대한 쉬운 보기 등 다양하고 강력한 기능을 갖추고 있습니다.
반응형 시스템
대응 시스템은 사람과 사물의 상호 작용 시스템으로 전체 시스템의 환승 스테이션이자 조정 스테이션이라고 할 수 있습니다. 사람은 시스템 관리자이고 사물은 다른 모든 구성 요소입니다. 좀 더 구체적으로 말하면, 대응 시스템의 코디네이터는 미리 정의된 방식으로 보안 이벤트 기록, 경보 메시지(예: 이메일) 생성, 추가 로그 기록, 침입자 격리, 프로세스 종료, 피해 방지 등 많은 일을 합니다. 공격자의 포트와 서비스 또는 반격도 가능하며, 수동 대응과 자동 대응(기계 기반 대응)을 채택할 수 있으며 이 둘의 조합이 더 좋습니다.
반응형 시스템 디자인 요소
(1) 이벤트 분석 시스템에 의해 필터링, 분석, 재구성된 이벤트 발생 시스템으로부터 이벤트 알람 정보를 수신하여 사용자(관리자)와 상호작용하여 질의, 룰 판단 및 관리 조치를 취한다.
(2) 관리자에게 이벤트 데이터베이스 시스템 관리를 위한 인터페이스를 제공합니다. 룰 베이스를 수정하고, 다양한 네트워크 환경에 따라 보안 정책을 구성하고, 데이터베이스 시스템을 읽고 쓸 수 있습니다.
(3) 프론트엔드 시스템에서 동작 시 이벤트 생성 및 분석 시스템(통칭하여 이벤트 감지기)을 관리하고, 시스템에서 수집, 감지, 분석한 이벤트를 분류 및 필터링하고, 보안 규칙을 다음과 같이 재구현할 수 있습니다. 다양한 보안 상황.
응답 시스템과 이벤트 감지기는 일반적으로 애플리케이션으로 구현됩니다.
설계 아이디어: 대응 시스템은 모니터링과 제어라는 두 가지 프로그램 부분으로 나눌 수 있습니다. Listening 부분은 유휴 포트를 바인딩하고 이벤트 감지기에서 전송된 분석 결과 및 기타 정보를 수신하고 저장된 파일을 이벤트 데이터베이스 시스템으로 변환합니다. 관리자는 관리자로서 읽기 전용, 수정 및 특수 작업을 호출할 수 있습니다. 사용자 권한에. 제어 부분은 GTK+를 사용하여 GUI를 작성하고 보다 직관적인 그래픽 사용자 인터페이스를 개발할 수 있습니다. 주요 목적은 사용자에게 경고 정보를 탐색할 수 있는 보다 편리하고 친숙한 인터페이스를 제공하는 것입니다.
이벤트 데이터베이스 시스템
Windows 플랫폼에서는 Access가 마스터하기 쉽지만 SQL Server 2000으로 구축하는 것이 Access보다 효과적이며 시작하기가 어렵지 않습니다. 이 시스템의 주요 기능은 이벤트 정보 기록, 저장 및 재정렬입니다. 공격 검토 포렌식 사용을 보고 검토하기 위해 관리자가 호출할 수 있습니다.
이 시스템의 구조는 비교적 간단하며 데이터베이스 소프트웨어의 일부 기본 기능만 필요합니다.
구성 요소 간의 의도적인 통신을 조정하려면 구성 요소가 구성 요소 간에 전달되는 다양한 데이터의 의미를 올바르게 이해해야 합니다. CIDF의 통신 메커니즘을 참조하여 3계층 모델을 구축할 수 있습니다. 안전성, 효율성, 부드러움을 보장하기 위해 다양한 구성 요소 간의 상호 운용성에 주의하십시오.
통합은 후속 작업에서 계속될 예정이며, 각 구성요소의 기능은 계속해서 개선될 예정입니다. Windows 플랫폼 기반의 기본 IDS 프레임워크가 완성되었습니다. 인터넷 요구 사항을 충족한다면 직접 치즈를 만들어 보세요. 노력 끝에 이루 말할 수 없는 달콤함이 있습니다.