Mark 28, 2018 3 min to read

[Cloud]11. 클라우드 침입탐지 시스템 소개

[1. Security attacks]

Security attacks

• Normal flow : 정상적인 데이터 전송
• Interruption : 데이터가 전송되다가 못가는 경우
• Interception : 전송되는 데이터를 다른 누군가가 보는 경우
• Modification : 데이터가 다른 누군가에 의해 변경되어 전송되는 경우
• Fabrication : 다른 누군가가 다른 사람으로 위장하여 데이터를 보내는 경우

Classical DoS(Denial of Service) attacks

• ping flood attack : use of ping command options -n -l
• 큰 네트워크나 웹사이트에는 통하지 않음

Source address spoofing

• ip 주소를 위장(raw socket의 TCP/IP header의 정보를 변경)
• 전송된 데이터를 다른 사람이 보낸 것처럼 위장

SYN spoofing

• three-way handshake(TCP 프로토콜에서 처음 연결하는 과정)에서 서버 주소로 위장한 공격자가 Sync를 계속 날려서 overflow를 만들어서 성능을 떨어뜨림

SYN flooding

• three-way handshake에서 Sync 메시지만 계속 보냄. Sync 메시지를 받은쪽은 Ack 메시지를 받지 못하기 때문에 계속 waiting

Distributed Denial-of-service

• 여러명의 공격자가 DoS 공격을 함
• 좀비프로세스(botnets)를 만들어서 공격함

Scanning

Malware propagation

• 중앙 저장소나 캐쉬를 두고 전파시킴
• 센터의 소스만 찾아내면 막아낼 수 있음
• 방법 :
  • Back chaining/pull approach
  • Autonomous/push approach
• 예 : trinoo, Shaft etc

침입 : CIA를 훼손하는 제반 행위

• 기밀성 : 자원으로의 접근을 합법적인 권한을 가진 사람만 가능
• 무결성 : 자원이 훼손되거나 변경되지 않도록 해야 함
• 가용성 : 합법적인 권한을 가진 사용자는 언제나 자원으로의 접근이 가능

[2. Intrusion detection system(침입탐지시스템)]

네트워크 공격 단계

• 네트워크 검색
  • 사용되는 ip주소 검색
  • 사용되는 OS 검색
  • 열려있는 TCP/UDP port 검색
• 열려있는 port로 특정 스크립트를 실행시킴
• root 권한을 가진 아이디를 알게됨

침입 감지

• 침입자들을 식별해서 거부해야 한다
• 가장 효율적인 침입 감지는 아예 못들어오게 막는 것
• 침입 감지를 하려면 침입 기술에 대한 정보를 수집하여 침입을 예방할 수 있는 능력을 기르는 것
• 통계적인 비정상 행위 감지
  • 이벤트의 한계점 감지
  • 유저의 활동 감지
    • Counter : 얼만큼 들어오는지
    • Gauge : 얼만큼의 cpu를 사용하는지
    • Interval timer : 얼만큼 간격으로 유입되는지
    • Resource utilization
  • 감지 : 평균/표준편차, Time Series, Markov Process
• Rule based detection
  • 공격 패턴 등을 규칙으로 정의해 놓음

침입 감지를 위해 측정해야 하는 정보

• 시간/일별 로그인을 얼마나 하는지
• 로그인을 얼마나 다른 장소에서 하는지
• 마지막 로그인 시간
• 로그인 시 패스워드 실패
• 수행 빈도
• 수행 실패
• read, write, create, delete 빈도 및 실패 건수

Intrusion Detection System(IDS)

• IDS 종류
  • Network-based IDS
    • 침입 감지를 network에서 함
  • Host-based IDS
    • 침입 감지를 PC에서 함
  • MH-IDS(Multi-Host IDS)
    • 여러 호스트로부터 생성되고 수집된 감사용 데이터 소스를 기반으로 분류하는 방법
• 감지의 종류
  • Misuse detection(rule based detection)
  • Anomaly detection

Role of Ids in personal cloud

• 클라우드 제공자 관점
  • 클라우드 인프라를 침입 및 공격으로부터 보호하는 솔루션
  • IDS로부터 경고를 받으면 클라우드 제공자는 솔루션을 빨리 제공해야 함
• 클라우드 사용자 관점
  • 클라우드 환경의 보안 레벨을 분석함으로서 SLA(Service Level Aggrement)를 제공받을 수 있음
  • 경고가 발생하면 유저의 데이터와 리소스에 보안 시스템이 적용되도록 Customize를 고려해야 함

Requirements for a collaborative IDS framework

• 분산 IDSs의 특징
  • 분산 IDS는 부하가 여러 인프라로 분산되기 때문에 중앙 IDS 관리 모델에서 발생하는 저장소 문제 및 부하 문제를 해결할 수 있다
• IDSs 사이의 협력
  • 다양한 공격에 대한 탐지를 잘 할 수 있다.
  • 공격에 대한 정보를 공유하여 공격을 쉽게 막을 수 있다
• Data-driven IDSs and interoperability among CPs(Cloud Provider)
  • DCIDS는 클라우드 제공자에게 필터링 규칙 및 접근 리스트 제공
  • 서비스나 어플리케이션이 다양하기 때문에 application-based detection은 환경에 맞게 매치시켜야 한다
• Integrated IDS within Cloud Computing
  • IDS는 클라우드 컴퓨팅의 각 레이어별로 특성과 잠재적인 약점을 고려하면서 통합되어야 한다
• Flexibility and elasticity(유연성 탄력성)
  • 언제든지 새로운 collaborator가 추가되거나 제거될 수 있어야 한다
• Security levels
  • 다수의 보안 레벨을 제공해야 한다

IDS Framework:Main components

• IDS Manager
  • 개인 클라우드에서 IDS와 관련된 요소들의 operation 과 리소스 관리
  • 침입과 관련된 모든 이벤트를 모으고 알람을 유저에게 전달
  • IDS Manager 구성요소
    • Communicator
    • User Configuration
    • Notification
    • Historical Reporter
• database
  • 모니터링한 VM 정보 등을 저장
• IDS Dispatcher
  • 실제로 감지를 하는 역할. Local Database가 필요함
  • IDS Manager에게 정보를 알려줘야함
  • 서비스 타입에 따라서(SaaS, PaaS, IaaS) 데이터를 분석하고 수집해야 함

*출처 :

• 클라우드 컴퓨팅 핵심기술 요소의 이해 사내교육 참고