The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

An Intrusion Detection Method by Tracing Root Privileged Processes

Root 권한 프로세스 추적을 통한 침입 탐지 기법

  • 박장수 (영남대학교 컴퓨터공학과) ;
  • 안병철 (영남대학교 전자정보공학부)
  • Published : 2008.08.29
Download PDF
⟨ Previous Next ⟩

Abstract

It is not enough to reduce damages of computer systems by just patching vulnerability codes after incidents occur. It is necessary to detect and block intrusions by boosting the durability of systems even if there are vulnerable codes in systems. This paper proposes a robust real-time intrusion detection method by monitoring root privileged processes instead of system administrators in Linux systems. This method saves IP addresses of users in the process table and monitors IP addresses of every root privileged process. The proposed method is verified to protect vulnerable programs against the buffer overflow by using KON program. A configuration protocol is proposed to manage systems remotely and host IP addresses are protected from intrusions safely through this protocol.

보안 침입 사건이 있은 후 해당되는 취약점만을 패치시키는 방식으로만 침입 피해를 줄이는 것은 충분하지 않다. 시스템 내에 취약한 코드가 있더라도 시스템의 내구성을 높여 보다 포괄적으로 침입을 막을 수 있는 방법이 필요하다. 본 논문은 리눅스 시스템에서 관리자를 대신하여 root 권한을 가진 프로세스를 감시하는 강건한 실시간 침입탐지기법을 제시한다. 이 기법은 사용자IP 주소를 프로세스 테이블에 추가하고 root 권한으로 기동되는 모든 프로세스의 IP 주소를 감시한다. 제안한 기법이 버퍼 오버 플로우 취약성에 대해 방어하는 것을 KON 프로그램을 통해 확인한다. 또한 원격으로 시스템을 관리할 수 있는 설정 프로토콜을 제안하며, 이 프로토콜을 통해 관리자 호스트의 IP주소가 침입으로부터 안전하게 보호될 수 있다.

Keywords

References

  1. http://www.cert.org
  2. Makoto Shimamura, Kenji Kono. Using Attack Information to Reduce False Positives in Network IDS. Proceedings of the 11th IEEE Symposium on Computers and Communications (ISCC'06)
  3. Lu. AN ADAPTIVE REAL-TIME INTRUSION DETECTION SYSTEM USING SEQUENCES OF SYSTEM CALL. CCECE 2003 - CCGEI 2003, Montreal, May/mai 2003 https://doi.org/10.1109/CCECE.2003.1226013
  4. Martin Roesch. Snort –Lightweight Intrusion Detection for Networks. In LISA'99: USENIX 13th Systems Administration Conference on System Administration
  5. Amit Purohit, Vishnu Navda and Tzi-cker Chiueh. Tracing the Root of “Rootable” Processes. Proceedings of the 20th Annual Computer Security Application Conference(ACSAC'04)
  6. One. Phrack 49. Smashing The Stack For Fun And Profit
  7. D. L. and Ritchie, D.M. 1985, “Interprocess Communication in the Eighth Edition UNIX System”, Proceedings of the 1985 summer USENIX Conference, Portland, Oreg., 1985
  8. Grover. Linux Magazine. Buffer Overflow Attacks and Their Countermeasures
  9. Security Team gloomy & The Itch. Instruction pointer schurken
  10. http://kerneltrap.org/node/644
  11. http://www.redhat.com/archives/fedora-announce-list/2004-June/msg00017.html
  12. Aurobindo Sundaram. An Introdunction to Intrusion Detection https://doi.org/10.1145/332159.332161
  13. Anon. Linux Security Audit Project. http://lsap.org/
  14. Stevens. Addison Wesley. Advanced Programming in the UNIX Environment
  15. DANIEL P.BOVET & MARCO CESATI O'REILLY. Understanding Linux Kernel Second Edition
  16. http://packetstormsecurity.nl/0306-exploits/