IDSTa - Host based IDS through TCP Stream Analysis

IDSTa - TCP Stream 분석 기반 침입 탐지 시스템

NIDS 구조의 근본적인 결함을 이용하는 공격기법과 또한 우회하는 공격기법이 많이 개발되고있다. 이러한 NIDS에 대한 공격기법의 해결로 HIDS가 사용 될 수 있으나 HIDS 또한 서비스 하는 시스템 자체 내에 탑재하기 때문에 시스템에 많은 부하를 준다. 따라서 NIDS의 많은 장점들을 유지하면서도 NIDS의 한계를 극복하고 HIDS로써 시스템에 많은 과부하를 주지 않는 새로운HIDS 모델을 제시한다. 제안된 HIDS는 특성상 모든 곳에서의 접속을 허용하므로 보안이 취약한 Web 서버의 보안 강화를 목적으로 설계되었다. 또한, Web 서버는 Web Service라는 특정 목적만을 위해 운영되기 때문에 HIDS를 설치하더라도 Web 공격에 대해서만 고려함으로써 HIDS의 부하를 상당히 줄일 수 있다. 본 논문에서 제안하는 HIDS는 Linux 운영체제의 Kernel에서 TCP Stream을 추출하여 이를 감사 자료로써 사용하여 침입탐지를 한다.