The Design and Implementation of A Distributed Intrusion Detection System for Multiple Attacks

대규모 네트워크 상의 다중공격에 대비한 분산 침입탐지시스템의 설계 및 구현

For multiple attacks through large networks e.g., internet, IDS had better be installed over several hosts and collect all the audit data from them with appropriate synthesis. We propose a new distributed intrusion detection system called SPIDER II which is the upgraded version of the previous standalone IDS - SPIDER I. As like the previous version, SPIDER II has been implemented on Linux Accel 6.1 in CNU C. After planting intrusion detection engines over several target hosts as active agents, the administration module of SPIDER II receives all the logs from agents and analyzes hem. For the world-wide standardization on IDS, SPIDER II is compatible with MITRE's CVE(Common Vulnerabilities and Exposures).

인터넷의 급속한 발달은 대규모 네트워크를 형성하였고 그에 따른 정보를 위협하는 요소의 형태 역시 점차 다양화되고 분산화된 형태를 나타낸다. 이러한 공격 형태의 변화에 대응하기 위해서는 단일 탐지 엔진을 갖는 침입탐지시스템만으로는 탐지가 어렵게 된다. 본 논문에서는 기존의 침입 탐지 기능 이외에 대규모 네트워크 상에서 이루어지는 다중 동시 공격을 효과적으로 감지할 수 있는 분산 침입탐지시스템을 설계 구현하였다. 이를 위해 감시 대상 호스트들에 침입 탐지엔진을 독립된 에이전트로 설치한 후, 이들이 생성하는 감사 데이터를 토대로 하여 침입 판정을 내린다. 독립적으로 운영되었던 이전 버전에 비하여 새로운 버전은 이처럼 분산화되어 있을 뿐만 아니라 탐지 규칙에 대한 세계 표준화 동향인 CVE를 따르도록 개선되었다.