지능형 위협인지 및 능동적 탐지대응을 위한 Snort 침입탐지규칙 연구

Vol. 25, No. 5, pp. 1043-1058, 10월. 2015
10.13089/JKIISC.2015.25.5.1043, Full Text:
Keywords: False Positive, Intrusion Detection, APT attack, ISTS 2015, Network Forensic
Abstract

지능형 위협을 빠르게 인지하고 능동적으로 탐지 및 대응하기 위해 주요 공공단체 및 민간기관에서는 침입탐지시스템(IDS)을 관리 운영하고 있으며, 이는 공격의 검출 및 탐지에 매우 중요한 역할을 한다. 그러나 IDS 경보의 대부분은 오탐(false positive)을 생성하는 문제가 있다. 또한, 알려지지 않은 악성코드를 탐지하고 사전에 위협을 인지 대응하기 위해서 APT대응솔루션이나 행위기반체계를 도입 운영하고 있다. 이는 가상기술을 이용해 악성코드를 직접실행하고 가상환경에서 이상행위를 탐지하거나 또는 다른방식으로 알려지지 않은 공격을 탐지한다. 그러나 이 또한 가상환경 회피, 트래픽 전수조사에 대한 성능적 문제, 정책오류 등의 약점 등이 존재한다. 이에 따라 결과적으로 효과적인 침입탐지를 위해서는 보안관제 고도화가 매우 중요하다. 본 논문에서는 보안관제 고도화의 한가지 방안으로 침입탐지시스템의 주요 단점인 오탐(false positive)을 줄이는 방안에 대해 논한다. G기관의 경험적 데이터를 근거로 실험을 수행한 결과 세 가지 유형 11가지 규칙을 도출하였다. 이 규칙을 준수하여 테스트한 결과 전반적인 오탐율이 30%~50% 이상 줄어들고 성능이 30% 이상 향상됨을 검증하였다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
D. Han and S. Lee, "Study of Snort Intrusion Detection Rules for Recognition of Intelligent Threats and Response of Active Detection," Journal of The Korea Institute of Information Security and Cryptology, vol. 25, no. 5, pp. 1043-1058, 2015. DOI: 10.13089/JKIISC.2015.25.5.1043.

[ACM Style]
Dong-hee Han and Sang-jin Lee. 2015. Study of Snort Intrusion Detection Rules for Recognition of Intelligent Threats and Response of Active Detection. Journal of The Korea Institute of Information Security and Cryptology, 25, 5, (2015), 1043-1058. DOI: 10.13089/JKIISC.2015.25.5.1043.