With the growing deployment of networks and the Internet, the importance of network security has increased. Recently, however, systems that detect intrusions, which are important in security countermeasures, have been unable to provide proper analysis or an effective defense mechanism. Instead, they have overwhelmed human operators with a large volume of intrusion detection alerts. In addition, their content is so poor that it requires the human operator to go back to the original data source to acquire the necessary information. That is, human operators are fully responsible for analyzing a network's status and the trends of cyber attacks. Moreover, although cyber attacks can produce multiple correlated alerts, IDSs are generally unable to detect such attacks as a complex single attack but regard each alert as a separate attack. Therefore, in the early-stage, it is difficult to detect large-scale attacks such as a distributed denial of service(DDoS) or a worm.
To address this problem, many researchers have proposed a technique named alert correlation. Unfortunately, even though a number of correlation approaches have been suggested, most approaches have several limitations: shortage of practicality, additional overhead of human operators that cannot be ignored, neglect of the importance of time information, and so on.
We therefore propose a fast and efficient system for analyzing alerts via correlation. In proposing the system, we focused on providing flexibility, automation, and real-time processing capability. Our system basically depends on the probabilistic correlation. However, we enhance the probabilistic correlation by applying more systematically defined similarity functions and also present a new correlation component that is absent in other correlation models. Compared with other models, our model has several advantages.
First, we considered the time similarity, though this major measure of correlation is disregarded in other models, and we used a mathematical function that computes the time similarity on the basis of Browne et al.’s result. To process the time information more systematically, we also applied the result to our system.
Second, to guarantee the real-time processing capability, we took up two-phase reduction: IDS-level reduction and center-level reduction. This two-phase reduction drastically reduces the management overhead and simplifies the analysis and correlation.
Third, for immediate analysis of the status of a managed network and the trends of cyber attacks, we used a situator as one of our components. With a situator, we could detect large-scale attacks such as a DDoS or worm in the early stage, and we could respond to such threats as soon as possible.
Fourth, we implemented our model and tested it for various attack scenarios. Moreover, as a result of our improvement, the system has the capability of real-time processing and is therefore more practical than other models.
We measured the processing rate of each elementary component and carried out a scenario-based test in order to analyze the efficiency of our system. Although the system is still imperfect, we were able to reduce the numerous redundant alerts 5.47 percent of the original volume without distorting the meaning. Moreover, we were able to construct attack scenarios for multistep attacks and detect large-scale attacks in real-time.
조직이 운영하는 네트워크의 규모가 방대해지고, 인터넷 사용이 활성화되면서 보안의 중요성도 함께 증가하였다. 그러나 최근 보안의 핵심으로 부각되고 있는 침입탐지 시스템들은 인터넷상의 공격들에 대한 적절한 분석이나 효율적인 대응책을 제공해 주기 보다는, 대량의 침입탐지 정보를 생성시켜 관리자의 부담을 가중시키고 있다. 또한, 대부분의 침입탐지 시스템들이 양질의 분석자료를 제공하지 못하고 있기 때문에 관리자가 필요한 정보를 얻기 위해서는 원본 탐지정보를 다시 분석해야만 한다. 즉, 관리 대상 네트워크의 상태나 공격 트랜드에 대한 분석은 전적으로 관리자의 수작업에 의존할 수 밖에 없다. 더우기 최근의 공격들은 다수의 연관된 침입탐지 정보들을 생성해 내지만, 침입탐지 시스템들은 그러한 다수의 연관된 침입탐지 정보들을 분석하여 하나의 복잡한 공격으로 탐지해 내지 못하고, 개별적인 다수의 공격이 발생한 것으로 간주한다. 때문에, 분산 서비스 거부 공격이나 웜과 같은 대형화된 공격을 조기에 탐지해 내는 것이 쉽지 않다.
본 논문에서는 이러한 문제점들을 해결하기 위하여 연관성 분석 기술을 이용한 빠르고 효율적인 침입탐지 정보 분석 시스템을 제안한다. 제안된 시스템은 확률론적 연관성 분석 기법에 기반을 두고 있지만, 과거의 연구들을 토대로 유사도 계산 함수를 체계적으로 정의하여 시스템에 적용하였으며, 기존의 연관성 분석 시스템들이 제공하지 못했던 새로운 연관성 분석 기능을 제공한다. 그리고 대량의 침입탐지 정보들을 통합하고 연관성을 분석하여 대응에 필요한 고 수준의 정보를 실시간으로 생성해 냄으로써 관리 및 분석의 효율성을 증진시킴은 물론, 분산 서비스 거부 공격(Distributed Denial of Service, DDoS) 같은 대규모의 공격까지도 조기에 탐지해 낼 수 있는 능력을 갖추고 있다.
실시간 침입탐지 정보 분석 시스템을 제안함에 있어 중점을 둔 사항은 현재 관리 대상 네트워크의 토폴로지와 상태에 따라 관리자가 융통성있게 시스템의 설정을 변경하고 운영할 수 있도록 하는 것이다. 따라서, 제안된 시스템은 고정된 규칙에 의한 연관성 분석이 아닌 확률론적 연관성 분석 기법에 기반을 두고 있으며, 기존 연관성 분석 시스템들에 비해 다음과 같은 장점을 가진다.
먼저, 시간 정보에 대한 유사성은 연관성 분석에 있어 핵심이라고 할 수 있지만, 기존의 연관성 분석 시스템들은 이를 중요시 여기지 않거나 비체계적인 방법으로 적용하였다. 그러나 제안된 시스템은 시간 정보를 체계적으로 적용하기 위해 Browne의 연구 결과를 바탕으로 하여 시간 정보의 유사성을 표현할 수 있는 수식을 유도해 내고 이를 시스템에 적용하였다.
둘째, 실시간 처리능력 보장을 위해, 각 단위 네트워크의 IDS와 센터에서 2단계에 걸친 중복성 제거를 실시하여 연관성 분석의 대상이 되는 침입탐지정보의 수를 대폭 감소시켰다. 이러한 2단계에 걸친 중복성 제거는 연관성 분석 과정을 좀 더 용이하게 만들고 처리시간 감소에 크게 기여하였으며, 관리상의 오버헤드도 획기적으로 감소시킨다.
세째, 제안된 시스템은 관리 대상 네트워크의 상태와 현재 발생하고 있는 사이버 공격들의 경향을 즉각적으로 분석할 수 있는 situator를 포함하고 있다. Situator를 통해 분산 서비스 거부 공격이나 인터넷 웜(Worm)과 같은 대형 공격을 조기에 탐지에 냄으로써, 빠른 시간내에 그러한 공격들에 대한 대응이 가능해진다.
네째, 제안된 시스템은 실제적인 구현과 함께 다양한 공격 시나리오에 기반한 시험평가를 실시하였다. 또한 처리성능 향상을 통해 실시간 침입탐지정보 분석 능력을 갖춤으로써 기존 연관성 분석 시스템들에 비해 실용성을 가진다.
제안된 시스템의 효율성을 검증하기 위해 시스템을 구성하는 개별적인 요소들의 처리 능력을 측정하였으며, 시나리오에 기반한 시험평가를 실시하였다. 그 결과, 대량의 침입탐지정보를 중요한 정보의 손상없이 5.47% 수준으로 실시간 압축 가공함으로써, 관리 및 분석의 효율성을 향상시킴을 확인하였다. 또한 실시간으로 다단계로 수행되는 공격들에 대한 공격 시나리오를 찾아냄은 물론 대형 공격에 대한 탐지도 가능하였다.