The Journal of Korean Institute of Communications and Information Sciences (한국통신학회논문지)

The Korean Institute of Commucations and Information Sciences (한국통신학회)
권호 표지

An active intrusion-confronting method using fake session and Honeypot

거짓 세션과 허니팟을 이용한 능동적 침입 대응 기법

  • 이명섭 (영남대학교 컴퓨터공학과 인공지능 및 지능정보시스템 연구실) ;
  • 신경철 (영남대학교 컴퓨터공학과 인공지능 및 지능정보시스템 연구) ;
  • 박창현 (영남대학교 컴퓨터공학과 인공지능 및 지능정보시스템 연구실)
  • Published : 2004.07.01
Download PDF
⟨ Previous Next ⟩

Abstract

In the coming age of information warfare, information security patterns need to be changed such as to the active approach using offensive security mechanisms rather than traditional passive approach just protecting the intrusions. In an active security environment, it is essential that, when detecting an intrusion, the immediate confrontation such as analysing the intrusion situation in realtime, protecting information from the attacks, and even tracing the intruder. This paper presents an active intrusion-confronting system using a fake session and a honeypot. Through the fake session, the attacks like Dos(Denial of Service) and port scan can be intercepted. By monitoring honeypot system, in which the intruders are migrated from the protected system and an intrusion rule manager is being activated, new intrusion rules are created and activated for confronting the next intrusions.

차세대 정보전에서는 자신의 정보 시스템에 대한 침해방지, 복구 등의 수동적인 형태의 보호뿐만 아니라 상대방의 정보 기반구조(Information Infrastructure)에 대한 공격과 같은 적극적인 형태의 보호가 요구된다. 침입이 발생함과 동시에 시스템에 대한 피해를 최소화하고 침입자 추적 등의 즉각적인 대응을 위해 정보 보호 시스템은 침입에 대한 정보를 능동적으로 분석하고 실시간으로 대응하는 기능을 제공할 필요가 있다. 본 논문에서는 거짓 세션(fake session)과 허니팟(Honeypot) 모니터링 기법을 기반으로 설계된 능동적 침입 대응 시스템을 제시한다. 본 논문에서 제시하는 능동적 침입 대응 시스템은 거짓 세션을 이용하여 DoS(Denial of Service)나 포트 스캔과 같은 공격에 대응할 수 있는 기능을 수행한다. 또한 침입 규칙 관리자(IRM : Intrusion Rule Manager)를 이용하는 허니팟과 침입자 이주를 통한 허니팟 모니터링은 모니터링 정보 수집과 침입에 대한 능동적 대처 기능을 제공함으로써 침입탐지와 침입대응에 정확도를 높인다.

Keywords

References

  1. CERTCC-KR 한국정보보호진흥원
  2. Network instrusion Detection -Third Edition Stephen Northcutt
  3. Honeypots - Tracking Hackers Lance Spitzner
  4. Processing of the 7th USENIX Security Symposium Data mining approaches for intrusion detection W. Lee;S. J. Stolfo
  5. M.S. thesis STAT: A State Transition Analysis Tool For Intrusion Detection P. A. Porras
  6. ISBN:0-201-63357-4 Firewalls and Internet Security William R. Cheswick;Steven M. Bellovin
  7. IEEE Transactions Software Engineering An Intrusion Detection Model D. E. Denning
  8. KISA Information Security News v.13 침입 탐지 기술 분류 및 기술적 구성요소 은유진;박정호
  9. Computers & Security v.12 no.4 A survey of intrusion detection techniques T. F. Lunt https://doi.org/10.1016/0167-4048(93)90029-5
  10. Technical Report, Applying Genetic Programming to Intrusion Detection Crosbie M;Spafford E
  11. Technical Report Defending a Computer System using Autonomous Agents Crosbie M;Spafford E
  12. Technical Report Active Defense of a Computer System using Autonomous Agents Crosbie M;Spafford E
  13. 한국정보과학회 논문지 v.25 네트워크 패킷 정보를 기반으로 한 보안 관리 이경하(외)
  14. SRI International Next-Generation Intrusion Detection Expert System (NIDES) Phillip Porras
  15. Data Mining for Network Intrusion Detection: How to Get Started Eric Bloedorn;Alan D. Christiansen
  16. Proceedings of the National Information Sys tems Security Conference EMERALD : Event Monitoring Enabling Responses to Anomalous Live Disturbance P. A. Porras;P. G. Neumann
  17. Technical Information NetRanger Intrusion Detection System CISCO
  18. White Paper : Honeypots Reto Baumann
  19. Know Your Enenmy : Honeynets Honeynet Project Members
  20. ManTrap : A Secure Deception System
  21. Bait & Switch Honeypot Albert Gonzalez
  22. TcpDump
  23. Nmap