침입 복구 및 대응 시스템을 위한 실시간 파일 무결성 검사

Real-Time File Integrity Checker for Intrusion Recovery and Response System

  • 전상훈 ((주)엠엠씨테크놀로지 연구원) ;
  • 허진영 ((주)엠엠씨테크놀로지 연구원) ;
  • 최종선 (숭실대학교 컴퓨터학과) ;
  • 최재영 (숭실대학교 컴퓨터학부)
  • 발행 : 2005.06.01

초록

파일 무결성 검사는 시스템 자원의 안정성 여부를 판단할 수 있는 가장 확실한 방법이지만, 관리자의 경험과 능력에 따라 검사 시간과 효과에 많은 차이가 있을 수 있다. 따라서 가능한 빠른 대웅을 필요로 하는 침입 복구 및 대웅 시스템에 바로 사용하기에는 적합하지 않으며, 또한 손상 자원의 복구에 필요한 자원의 상태 정보는 수집 가능하지만 침입을 차단하기 위해 필요한 침입 행위 주체에 대한 정보는 수집할 수 없다. 본 논문에서는 위의 두 가지 문제를 해결하기 위해 시스템 호출 감시와 파일 무결성 검사를 연동하여 실시간으로 파일의 무결성을 검사하는 rtIntegrit을 제안한다. rtIntegrit은 Syswatcher라는 시스템 호출 검사 도구를 사용하여 요청된 행위를 항상 감시한다. 만약 지정된 파일에 이상 동작이 나타나면 이의 변화에 대하여 실시간으로 무결성 검사를 수행하도록 하고, 해당 관련된 프로세스의 정보를 수집하고 보고함으로서 침입 차단에 활용하게 한다. 또한 IDMEF 형식의 표준으로 감사 자료를 생성하여, 침입 대웅 및 복구 시스템들과 쉽게 연계할 수 있다.

File integrity checking is the most reliable method to examine integrity and stability of system resources. It is required to examine the whole data whenever auditing system's integrity, and its process and result depends on administrator's experience and ability. Therefore the existing method is not appropriate to intrusion response and recovery systems, which require a fast response time. Moreover file integrity checking is able to collect information about the damaged resources, without information about the person who generated the action, which would be very useful for intrusion isolation. In this paper, we propose rtIntegrit, which combines system call auditing functions, it is called Syswatcher, with file integrity checking. The rtlntegrit can detect many activities on files or file system in real-time by combining with Syswatcher. The Syswatcher audit file I/O relative system call that is specified on configuration. And it can be easily cooperated with intrusion response and recovery systems since it generates assessment data in the standard IDMEF format.

키워드

참고문헌

  1. CERT/CC Statistics 1988-2004, http://www.cert.org/stat/cert_stat.html
  2. 해킹바이러스 통계 및 분석 월보, http://www.certcc.or.kr/statistics/2003/0308_statistics.pdf, 2003. 8
  3. Kenneth R. van Wyk & Richard Forno, Incident Response, O'Reilly & Associates, Inc., 2001
  4. Dan Schnackenberg, Kelly Djahandari and Dan Sterne, 'Infrastructure for Intrusion Detection and Response,' Proceedings of the DARPA Information Survivability Conference and Exposition(DISCEX-I) 2000, 2000 https://doi.org/10.1109/DISCEX.2000.821505
  5. Active Networks Intrusion Detection and Response (AN-IDR), http://www.isso.sparta.com/research/documents/anidr.pdf
  6. Curtis A. Carver, Jr., Udo W. Pooch, 'An Intrusion Response Taxonomy and its Role in Automatic Intrusion Response,' Proceedings of the 2000 IEEE Workshop on Information Assurance and Security, 2000
  7. Common Intrusion Detection Framework, http://www.isi.edu/gost/cidf
  8. D. Curry and H. Debar, 'Intrusion Detection Message Exchange Format Data Model and Extensible Markup Language (XML) Document Type Definition,' http://www.ietf.org/internet-drafts/draft-ietf-idwg-idmef-xml-10.txt, 2003
  9. NeoGuard ESM, http://www.inzen.com/kor/products/neoguard/intor.asp
  10. Suhoshin IDS, http://www.securesoft.co.kr/english/product/idc_02.html
  11. D. Schnackengerg and K Djahandari, 'Cooperative Intrusion Traceback and Response Architecture,' Proceedings of the $2^{nd}$ DARPA Information Survivability Conference and Exposition (DISCEX II), pp.56-68, June, 200l https://doi.org/10.1109/DISCEX.2001.932192
  12. Gene H. Kim, Eugene H. Spafford, 'The Design and Implementation of Tripwire: A File System Integrity Checker,' COAST Laboratory, Purdue University, 1994
  13. Integrit, http://integrit.sourceforge.net/
  14. Intrusion Detection Working Group, http://www.ietf.org/html.chaters/idwg-charter.html
  15. B. Feinstein, G. Matthews, J. White, 'The Intrusion Detection Exchange Protocol (IDXP),' http://www.ietf.org/internet-drafts/draft-ietf-idwg-beep-idxp-07.txt, 2002
  16. Sun Microsystems, SunShield Basic Security Module Guide, Sun Microsystems, 1998
  17. 전상훈, 최재영, 김세환, 심원태, 'LxBSM: C2 수준의 감사 자료 생성을 위한 리눅스 기반 동적 커널 모듈의 설계 및 구현', 정보과학회논문지: 컴퓨팅의 실제, 제10권 제2호, pp.146-155, 2004. 4
  18. Snare, http://www.intersectalliance.com/projects/Snare/. 2001
  19. Steven A. Hofmeyr, Stephanie Forrest, Anil Somayaji, 'Intrusion Detection using Sequences of System Calls,' University of New Mexico, 1998
  20. C. Wright, C. Cowan, J. Morris, S. Smalley, G. Kroah-Hartman, 'Linux Security Modules: General Security Support for the Linux Kernel,' USENIX Security Symposium, 2002
  21. Pragmatic/THC, (nearly) Complete Linux Loadable Kernel Modules, http://www.thehackerschoice.com/papers/LKM_HACKING.html, 1999
  22. LMBench, http://www.bitmover.com/lmbench/, 1998