Upload
tracy
View
101
Download
0
Embed Size (px)
DESCRIPTION
12-4 바이러스 , 인터넷 웜 12-5 방화벽 12-6 침입탐지 시스템 발표자 : 20042521 김진태. 12-4. 바이러스 , 인터넷 웜. 정의. 바이러스 ( 바이러스 , 웜 ) 컴퓨터에서 실행되는 프로그램의 일종 으로 자기 복제 를 하여 컴퓨터 시스템을 파괴 하거나 작업을 지연 또는 방해 하는 악성 프로그램이다 . 바이러스와 웜의 차이점 바이러스가 다른 실행 프로그램에 기생하여 실행 하는 데 반해 웜은 독자적으로 실행 바이러스는 스스로 전달할 수 없지만 웜은 가능 - PowerPoint PPT Presentation
Citation preview
12-4 바이러스 , 인터넷 웜12-5 방화벽12-6 침입탐지 시스템
발표자 : 20042521 김진태
12-4. 바이러스 , 인터넷 웜
• 바이러스 ( 바이러스 , 웜 )• 컴퓨터에서 실행되는 프로그램의 일종으로 자기 복제를 하여
컴퓨터 시스템을 파괴하거나 작업을 지연 또는 방해하는 악성 프로그램이다 .
• 바이러스와 웜의 차이점• 바이러스가 다른 실행 프로그램에 기생하여 실행하는
데 반해 웜은 독자적으로 실행• 바이러스는 스스로 전달할 수 없지만 웜은 가능• 일반적으로 웜은 네트워크를 손상시키고 대역폭을
잠식하지만 , 바이러스는 컴퓨터의 파일을 감염시키거나 손상
• 감염 대상을 가지고 있는가
정의
12-4. 바이러스 , 인터넷 웜
• 웜 바이러스• 웜과 바이러스의 특징을 결합• 프로그램에 기생하며 네트워크로도 감염• 최근에 발견된 첫번째 아이폰 전용 바이러스 아이키
(Ikee) 도 웜바이러스
• 트로이목마 ( 非 - 바이러스 악성코드 )• 스스로 복제를 하지 못함• 설치를 유도하여 정보 유출에 악용
정의
12-4. 바이러스 , 인터넷 웜
• 바이러스의 종류• 부트 바이러스• 파일 바이러스• 부트 · 파일 바이러스• 매크로 바이러스
• 바이러스의 구분 기준• 감염 형태 , 감염 증세 , 감염 파일의 종류
종류
부트바이러스 부트 바이러스는 디스크의 OS 기동 코드 ( 부트프로그램 ) 에
감염해서 이 디스크에서 시스템이 기동되어질 때 OS 보다 먼저 실행한다 .
12-4. 바이러스 , 인터넷 웜 종류
12-4. 바이러스 , 인터넷 웜 종류
• 부트 바이러스• 하드디스크 감염 바이러스• 플로피 디스크 감염 바이러스
• 대표적인 부트 바이러스• 미켈란젤로 바이러스• 브레인 바이러스• LBC 돌 바이러스• Monkey• Anti-CMOS
파일 바이러스 실행프로그램에 감염한 바이러스는 이 숙주
프 로 그 램 이 실 행 되 어 지 는 시 기 에 실행되어진다 .
12-4. 바이러스 , 인터넷 웜 종류
12-4. 바이러스 , 인터넷 웜 종류
• 파일 바이러스• 국내에서 발견된 바이러스의 80%• 대표적인 파일 바이러스
• Jerusalem• Sunday• Scorpion• Crow• FCL• CIH
• 타이완의 천잉하오가 제작 ( 이 나쁜놈은 체포 됐음 1999 년 4 월 29 일 )
• 체르노빌 바이러스라고도 불리며 체르노빌 원자력 발전소 사고가 일어난 4 월 26 일에 동작
• 운영체제의 시동 드라이브의 첫 1024 킬로바이트를 0 으로 채운 후 특정 바이오스 공격
12-4. 바이러스 , 인터넷 웜 종류
• 부트 · 파일 바이러스• 부트섹터와 파일에 모두 감염• 크기가 크고 피해 정도도 크다• 대표적인 부트 · 파일 바이러스
• Invader• Euthanasia• Ebola
매크로 바이러스 MS 의 Word 와 Excel 의 문서파일에는 매크로라는
일종의 프로그램을 첨가하는 것이 가능하다 .
12-4. 바이러스 , 인터넷 웜 종류
감염 증상
• 컴퓨터 바이러스의 감염 여부는 시스템 및 프로그램의 속도 저하 , 컴퓨터 바이러스 백신 실행이나 시스템 레지스터 확인 , 디스크나 파일의 파괴 증상 , 각종 컴퓨터 바이러스별로 나타나는 특이 증상 등을 기준으로 판단 가능
• 일반적인 증상• 비정상적인 프로그램 실행 에러가 발생할 경우 • 시스템의 사용 가능 메모리가 줄어들어 여분이 없을 경우 • 하드디스크에 정상적으로 존재하고 있던 파일 중에서 , 본인이
삭제한 일이 없는 실행 파일이나 데이터 파일 등이 삭제되거나 변형되었을 경우
• 실행 및 부팅 속도가 눈에 띄게 떨어질 경우 • 시스템이 비정상적으로 다운될 경우 • 비정상적으로 저장매체가 인식되지 않을 경우 • 시스템에 비정상적인 그림 , 메시지 , 소리 등이 출력될 때
12-4. 바이러스 , 인터넷 웜 감염
•바이러스 방지와 사용자 지침•시스템 디스켓의 경우에는 반드시 쓰기 방지용 탭을 붙여 놓는다 .•새로운 디스켓이나 프로그램은 반드시 바이러스의 감염 여부를 검사한 후 사용하는 습관을 들인다 .•하드 디스크가 있는 경우에는 될 수 있는 한 하드디스크로 부팅을 하며 특별히 플로피 디스크로 부팅을 해야만 하는 경우에는 반드시 안전한 디스켓 ( 바이러스 검사를 마친 디스켓 ) 을 사용하도록 한다 .•중요한 데이터는 반드시 백업해 둔다 . 또한 전체 데이터에 대한 정기적인 백업을 해 둔다 .•여러 사람이 공유하는 컴퓨터를 사용하는 경우에는 바이러스를 검사한 후에 사용하는 최신 버전의 바이러스 백신 프로그램을 설치한다 .•네트워크 ( 인터넷 등 ) 로 다른 컴퓨터와의 연결을 통한 프로그램의 전송을 받을 경우 바이러스 검사를 하여 사용하도록 한다 .
12-4. 바이러스 , 인터넷 웜 예방
•그냥 알약 , v3
12-4. 바이러스 , 인터넷 웜 예방
12-5. 방화벽 정의
• 방화벽이란 ?• 신뢰하는 비공개 인트라넷과 인터넷 사이를
분리시키는 것이 목적• 소프트웨어와 하드웨어를 총체적으로 구현한 설계 및
그러한 제품• 내부 네트워크를 방어하는 보안 경계선
12-5. 방화벽 구성 요소
• 방화벽 구성 요소• 스크린 라우터• 베스천 호스트• 프록시 서버
12-5. 방화벽 구성 요소
• 스크린 라우터• 패킷의 헤더 내용을 보고 필터링 ( 스크린 )
• 출발지 주소 및 목적지 주소에 의한 스크린• 포트번호 , 프로토콜별 스크린
• 어느 정도 수준의 보안 접근제어가 가능• 하지만 라우터에서 구현된 펌웨어수준으로는 제한점이 많고
복잡한 정책 구현이 어려움• 일반적으로 스크린 라우터에 베스천 호스트를 함께 운영
12-5. 방화벽 구성 요소
• 베스천 호스트• 외부의 공격에 노출되어 방어를 담당하는 별도의
시스템• 네트워크 보안 상 가장 중요한 위치를 차지• 방화벽 시스템의 중요기능으로서 접근제어 및 응용
시스템 게이트웨이로서 프록시 서버의 설치 , 로그 , 인증 , 로그 , 감사 , 추적 등을 담당
12-5. 방화벽 구성 요소
• 프록시 서버• 방화벽이 설치되어 있는 호스트에서 동작하는 서버• 방화벽 내에 있는 사용자들에게 방화벽 밖에 있는
서버로의 자유로운 서비스 요구와 응답을 받기 위한 수단
• Traffic 제어• 내부의 모든 사용자는 프록시 서버에게만
서비스를 요구하고 응답받을 수 있다 .• Cashing 기능
12-5. 방화벽 기능
• 방화벽의 기능• 특정 서비스의 선택적 수용
• 특정 노드에 대한 선택적 보호• 집중적 보안• 프라이버시 강화
• 프록시 서비스의 지원• 애플리케이션 게이트웨이 방식 방화벽에서만 가능• 특정 서비스의 경우 프락시 서비스 모듈을 통해 추가
사용자 인증 기능을 수행 가능
12-5. 방화벽 적용방식
• 방화벽 적용 방식• 네트워크 수준의 방화벽• 애플리케이션 수준의 방화벽• 혼합형 방화벽
12-5. 방화벽 적용방식
• 네트워크 수준의 방화벽 (Packet Filetering Firewall)
• 스크린 라우터만을 가지고 있는 가장 단순한 형태• 장점
• 싸다 .• 단점
• 로그인 방식 불가능• IP Spoofing 공격에 취악
12-5. 방화벽 적용방식
• 애플리케이션 수준의 방화벽 (Application Gateway FireWall)
• proxy 서버 기능을 제공• 사용자별 , IP 주소별 제한 , 통제가 가능• 가장 안전한 방화벽의 유형
12-5. 방화벽 적용방식
• 혼합형 방화벽 (Hybrid FireWall)• 네트워크 수준의 방화벽과 애플리케이션 수준의
방화벽의 장점만을 취해 개선한 방화벽• 상호보완하여 보안 수준을 더 향상시킬 수 있다 .
• 혼합형 방화벽 아키텍쳐• Stateful Inspection
• 제품• CheckPoint 사의 FireWall-1
12-5. 방화벽 적용방식
• Stateful Inspection(dynamic packet filtering)
• static packet filtering• 패킷의 헤더만을 검사
• dynamic packet filtering• 패킷의 내용까지 검사
• monitors the state of the connection and compiles the information in a state table.
• Because of this, filtering decisions are based not only on administrator-defined rules (as in static packet filtering) but also on context that has been established by prior packets that have passed through the firewall.
12-6. 침입탐지 시스템 개념
• 침입의 정의• 인증되지 않은 컴퓨터 시스템의 사용 또는 오용
• 침입탐지 시스템 (IDS:Intrusion Detection System)
• 실시간으로 네트워크를 감시하여 권한이 없는 사용자로부터의 접속 , 정보의 조작 , 오용 , 남용 등 네트워크 상에서 시도되는 불법적인 침입 행위를 막지 못했을 때 조치를 취하기 위해 사용되는 시스템
12-6. 침입탐지 시스템 기능과 특징
• 침입 탐지 시스템의 기능과 특징• Stealth 모드 지원• Session drop 기능• Process 종료• 백도어 탐지• 각종 공격 탐지
• 공격을 시도할 때 특정한 코드 값을 보내게 되는 데 이를 알아내어 탐지
• 방화벽 연동• 탐지한 공격 패턴을 방화벽에 전달함으로써 유사
공격을 원천적으로 막을 수 있다 .• Alert 기능
12-6. 침입탐지 시스템 기능과 특징
• 탐지영역에 따른 IDS 분류• H-IDS(host based IDS)
• 감시 대상이 되는 host 에 탑재
• N-IDS(Network based IDS)• 지나가는 트래픽을 볼 수 있는 감시 대상이 되는
네트워크단에 설치
• 대부분의 IDS 는 N-IDS 가 대부분
12-6. 침입탐지 시스템 침입탐지 기법
• 침입탐지 기법• 비정상 행위 탐지 (Anomaly Detection)
- 시스템 가동 전에 정상적인 수치를 기록하여 기준선을 초과하는 비정상 행위를 탐지
• 통계적 접근• 통계적으로 처리된 과거의 경험자료를 기준으로 특별한
행위 또는 유사한 사건으로 이탈을 탐지
• 예측 가능 패턴 생성• 이벤트 간의 상호관계와 순서를 설명하고 각각의
이벤트에 시간을 부여하여 기존에 설정된 침입 시나리오와 비교하여 침입을 탐지하는 방법
• 신경망• 현재까지의 사용자의 행동과 명령을 학습하여 다음
행동과 명령을 예측하여 침입을 탐지
12-6. 침입탐지 시스템 침입탐지 기법
• 침입탐지 기법• 오용 탐지 (Misuse Detection, signature Base,
Knowledge Base)- 과거의 침입 행들로부터 얻어진 공격 패턴으로 공격을 탐지
• 전문가 시스템 (Expert System)• 이미 발견되어 정립된 공격패턴을 입력해놓고 여기에
해당하는 패턴을 탐지하여 정해진 액션으로 대응
• 키 모니터링 (Keystroke Monitoring)• 사용자의 key-stroke 를 모니터링하여 공격패턴을 나타내는
key-stroke패턴을 탐지
• 상태 전이 분석 (State Transition Analysis)• 공격패턴을 상태전이의 순서로 표현• 침입 과정을 규칙 기반으로 탐지
12-6. 침입탐지 시스템 침입탐지 기법
• 패턴 매칭 (Pattern Matching)• 이미 알려진 공격 유형들을 패턴으로 가지고 현재
행위와 일치하는 패턴을 탐지
• 조건부 확률 이용• 특정 이벤트가 침입일 확률을 조건부 확률을 이용해서
계산 하는 방법
• 모델에 근거한 방법• 공격패턴을 DB 화하고 특정 공격패턴에 대해 DB 를
참조하여 침입 여부를 탐지
12-6. 침입탐지 시스템 대응 방식
• 대응 방식• 능동적인 대응 (Active IDS)
• 연결 , 세션 또는 프로세스 종료• 네트워크 재구성• 속임수
• 수동적인 대응 (Passive IDS)• 피하기 (Shunning)• 기록 (Logging)• 통보 (notification)
12-6. 침입탐지 시스템 IPS
• IPS(Intrusion Prevention System)• IDS 에 능동적인 대응 기능을 넣은 프로그램• IPS 출시 후 IDS 의 입지가 좁아지고 있다 .• 하지만 아직 IPS 의 표준이 정해지지 않아 기준이
모호해 당분간 IDS 와 공존할 것으로 보임