Design of Web based ID Traffic Analysis System

웹기반의 침입탐지 트래픽 분석 시스템 설계

A general administrator's response ability plunged in confusion as intrusion detection system like an existing Snort display much alert messages on administrator's screen. Also, there are some possibilities to cause false positive. In this paper, to solve these problems, we designed Web-based ID(Intrusion Detection) traffic analysis system using correlation, and implemented so that administrator can check easily whole intrusion traffic state in web which dividing into normal and intrusion traffic using Libpcap, Snort, ACID, Nmap and Nessus. As a simulation result, it is proved that alert message number and false positive rate are minimized.

기존의 Snort와 같은 침입탐지시스템은 수없이 많은 경고 메시지를 관리자의 화면상에 표시함으로써 해당 관리자를 혼란에 빠트려 해킹 초기 대응능력을 무력하게 만드는 문제점과 함께 false positive오류 가능성을 내포하고 있다. 이에 본 논문에서는 이러한 문제점들을 해결하기 위해 상관성을 이용한 웹기반의 침입 탐지 트래픽 분석 시스템을 설계하였으며 Libpcap, Snort, ACID, Nmap, Nessus를 도구로 사용, 트래픽을 일반 트래픽과 침입 트래픽으로 구분하여 관리자가 전체 침입 탐지 트래픽 상황을 웹 상에서 쉽게 확인할 수 있도록 구현하였다. 그 결과 경고메시지 및 false positive 오류를 최소화시킬 수 있었다.