Linux based IDS for Web Server through TCP Stream Analysis

TCP Stream 분석을 통한 리눅스 기반의 웹 서버 IDS

NIDS의 보급이 보편화됨에 따라 NUDS를 우회하기 위한 공격 기법 역시 많이 개발 되고 있다. 이런 공격들 중 일부는 NIDS 구조의 근본적인 결함을 이용하기 때문에 NIDS 구조에서는 해결될 수 없다. NIDS의 많은 장점들을 유지하면서도 NIDS의 한계를 극복하는 새로운 HIDS 모델을 제시한다. HIDS는 시스템에 많은 부하를 준다는 것이 가장 큰 문제점이지만, Web 서버는 특성상 모든 곳에서의 접속을 허용하므로 보안에 취약하기 때문에 어느 정도 HIDS에 의한 부하를 감수하더라도 보안을 강화해야만 한다. 또한. Web 서버는 Web 서비스라는 특정 목적만을 위해 운영되기 때문에 HIDS를 설치하더라도 Web 공격에 대해서만 고려함으로써 HIDS의 부하를 상당히 줄일 수 있다. 본 논문에서 제안하는 HIDS는 Linux 운영체제의 Kernel에서 TCP Stream을 추출하여 이를 감사 자료로써 사용하여 침입탐지를 한다.