Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지

A Designing Method of Digital Forensic Snort Application Model

Snort 침입탐지 구조를 활용한 디지털 Forensic 응용모델 설계방법

  • 노시춘 (남서울대학교 컴퓨터학과)
  • Received : 2010.05.11
  • Accepted : 2010.06.11
  • Published : 2010.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

Snort is an open source network intrusion prevention and detection system (IDS/IPS) developed by Sourcefire. Combining the benefits of signature, protocol and anomaly-based inspection, Snort is the most widely deployed IDS/IPS technology worldwide. With millions of downloads and approximately 300,000 registered users. Snort identifies network indicators by inspecting network packets in transmission. A process on a host's machine usually generates these network indicators. This means whatever the snort signature matches the packet, that same signature must be in memory for some period (possibly micro seconds) of time. Finally, investigate some security issues that you should consider when running a Snort system. Paper coverage includes: How an IDS Works, Where Snort fits, Snort system requirements, Exploring Snort's features, Using Snort on your network, Snort and your network architecture, security considerations with snort under digital forensic windows environment.

Snort는 Sourcefire, Combining에 의해 개발된 signature, protocol and anomaly-based 탐지방식의 공개 침입탐지 및 침입방지 소프트웨어이다. Snort는 30만의 등록 가입자와 백만의 다운로드를 통해 세계에서 가장 널리 알려진 IDS/IPS 기술이다. Snort는 네트워크 상에서 패킷의 전송과정의 패킷을 검사하여 침입여부를 판별한다. 본 논문에서는 윈도우 환경에서 Snort를 활용한 Forensic 기법을 이용하여 디지털 문서 및 증거 자료에 분석방안을 제안한다. 순서는 Snort를 활용할 경우 Snort 기법과 Forensic 기법에 대해 알아보고 정보보호를 위한 윈도우 환경의 Snort 기법을 활용한 디지털 Forensic 기법 적용한 시스템을 설계해 보고자 한다. 이를 위해 IDS가 어떻게 작동하는지, Snort를 어디에 설치하는지, Snort의 요구사항, Snort의 설치방법, Snort의 사양을 윈도우 환경에서 적용 하므로서 침입탐지 방법을 제안하고 이를 Forensic 기법에 적용하는 모델을 제시하였다.

Keywords

References

  1. Dieter Gollmann, "Computer Security", John Wiley and Sons, 2005.
  2. 고병수, 박영신, 최용락, "컴퓨터 포렌식스를 지원하는 보안 감사/추적 모듈설계", 한국 컴퓨터 정보학회 논문지, 제9권, 제1호, pp. 79-86, 2004.
  3. 이형우, 이상진, 임종인, "컴퓨터 포렌식스 기술", 한국정보보호학회지, 제12권, 제5호, pp. 8-16, 2002.
  4. 박종성, 최운호, 문종섭, 손태식, "자동화된 침해사고 대응시스템에서의 네트웍 포렌식 정보에 대한 정의", 정보보호학회 논문지, 제14권, 제4호, pp. 149-162, 2004.
  5. 정정기, 박대우, "로그 히스토리 분석을 사용한 웹 포렌식 알고리즘 연구", 한국 컴퓨터정보학회 논문지, 제12권 제1호, pp. 123-132, 2007.
  6. 정익래, 홍도원, 정교일, "디지털 포렌식 기술 및 동향", 전자통신동향분석 제11권, 제1호, pp. 97-104, 2007.
  7. Information Technology Laboratory-Computer Forensics Tool Testing Program, http:// www.cftt.nist.gov 2008.
  8. Sichoon, Noh, "MSPI(Multi-Spectral Protection Infrastructure) System for Optimal Network Security", IEEE Computer Society, 2008.
  9. Paul Woosnam, "10 hottest Technologies", Teleco mmunications, 2003.