Snort 침입탐지 구조를 활용한 디지털 Forensic 응용모델 설계방법

노시춘 한국융합보안학회 2010 융합보안 논문지 Vol.10 No.2

Snort는 Sourcefire. Combining에 의해 개발된 signature, protocol and anomaly-based 탐지방식 의 공개 침입탐지 및 침입방지 소프트웨어이다. Snort는 30만의 등록 가입자와 백만의 다운로드를 통해 세계에서 가장 널리 알려진 IDS/IPS 기술이다. Snort는 네트워크 상에서 패킷의 전송과정의 패킷을 검사하여 침입여부를 판별한다. 본 논문 에서는윈도우 환경에서 Snort를 활용한 Forensic 기법을 이용하여 디지털 문서 및 증거 자료에 분석방안을 제안한다. 순서는 Snort를 활용할 경우 Snort 기법과 Forensic 기법에 대해 알아보고 정보보호를 위한 윈도우 환경의 Snort 기법을 활용 한 디지털 Forensic 기법 적용한 시스템을 설계해 보고자 한다. 이를위해 IDS가 어떻게 작동하는 지, Snort를 어디에 설치하는지, Snort의 요구사항, Snort의 설치방법, Snort의 사양을 위도우 환경 에서 적용 하므로서 침입탐지 방법을 제안하고 이를 Forensic 기법에 적용하는 모델을 제시하였다. Snort is an open source network intrusion prevention and detection system (IDS/IPS) developed by Sourcefire. Combining the benefits of signature, protocol and anomaly-based inspection, Snort is the most widely deployed IDS/IPS technology worldwide. With millions of downloads and approximately 300,000 registered users. Snort identifies network indicators by inspecting network packets in transmission. A process on a host’s machine usually generates these network indicators. This means whatever the snort signature matches the packet, that same signature must be in memory for some period (possibly micro seconds) of time.Finally, investigate some security issues that you should consider when running a Snort system. Paper coverage includes : How an IDS Works, Where Snort fits, Snort system requirements, Exploring Snort’s features, Using Snort on your network, Snort and your network architecture, security considerations with snort under digital forensic windows environment.

Snort와 Suricata의 탐지 기능과 성능에 대한 비교 연구

정명기,안성진,박원형 한국융합보안학회 2014 융합보안 논문지 Vol.14 No.5

본 논문에서는 널리 사용되는 침입 탐지 시스템인 Snort와 Suricata에 대해서 탐지 기능 측면과 성능 측면을 비교해보고자 하였다. 구체적으로 Snort와 비교해보았을 때 Suricata에는 추가된 탐지 기능과 새로 도입된 멀티 스레딩이 패킷 처리 속도에 가져다 준 변화에 대해 분석해보고자 하였다. 그 결과, Suricata에는 기존의 Snort에서는 존재하지 않았던 Protocol Identification과 HTTP Normalizer & Parser, 그리고 File Identification 기능이 추가되었다는 점을 발견할수 있었다. 또한, 양적 처리 성능 측면에서도 Suricata의 경우 작동하는 CPU Core의 개수가 늘어날수록 Snort와의 처리성능(PPS, Packets Per Second)의 차이가 벌어지는 것으로 나타났다. 따라서 이러한 점을 볼 때, Suricata는 양적/질적측면에서 모두 Snort보다 개선된 것으로 나타났기 때문에 Snort의 대안으로 사용되기에 적절하다는 결론을 내릴 수 있었다. We have tried to compare two different IDSs which are widespread over the network administrator, Snort andSuricata, in functional and performance aspects. Specifically, we focused on analyzing upon what functions fordetecting threat were added newly and what Multi-Threading introduced newly for Suricata has influenced in aperformance aspect. As a result, we could discover that there are some features in Suricata which has never existedin Snort such as Protocol Identification, HTTP Normalizer & Parser, and File Identification. Also, It was provedthat the gap of PPS(Packets Per Second) becomes wider, as the number of CPU Cores which are working increase. Therefore, we could conclude that Suricata can be an efficient alternative for Snort considering the result thatSuricata is more effective quantitatively as well as qualitatively.

Snort 2.9.0 환경을 위한 TCAM 기반 점핑 윈도우 알고리즘의 성능 분석

이성윤 ( Sung-yun Lee ),류기열 ( Ki-yeol Ryu ) 한국인터넷정보학회 2012 인터넷정보학회논문지 Vol.13 No.2

스마트 폰 이용자의 급격한 증가에 따른 무선 네트워크의 지원 및 모바일 환경은 언제 어디서나 네트워크를 이용할 수 있게 되었다. 이러한 인터넷 망의 발달로 인해 네트워크 트래픽이 급증함으로써 네트워크를 통한 분산서비스 공격, 인터넷 웜, 이메일 바이러스 등의 다양한 악의적인 공격이 증가되고 이에 따른 패턴이 급격하게 증가하는 추세이다. 기존 연구에서 침입탐지시스템인 Snort2.1.0 룰의 약 2,000개 패턴으로 M-바이트 점핑 윈도우 알고리즘을 적용한 결과를 분석하였다. 하지만 점핑 윈도우 알고리즘은 패턴의 길이와 수에 큰 영향을 받기 때문에 더 긴 패턴과 더 많은 패턴을 갖는 새로운 환경(Snort 2.9.0)에서 TCAM 룩업 횟수와 TCAM 메모리크기에 대한 새로운 분석이 필요하다. 이 논문에서는 Snort-2.9.0 룰에서 약 8,100개의 패턴을 이용하여 윈도우 크기별 TCAM 룩업 횟수와 TCAM의 크기를 시뮬레이션 했고 그 결과를 분석하였다. Snort 2.1.0에서는 16-바이트 윈도우에서 9Mb의 TCAM이 최적을 효과를 낼 수 있는 반면, Snort 2.9.0에서는 16-바이트 윈도우에서 18Mb TCAM 4개를 캐스케이딩으로 연결할 경우 최적의 효과를 낼 수 있다. Wireless network support and extended mobile network environment with exponential growth of smart phone users allow us to utilize the network anytime or anywhere. Malicious attacks such as distributed DOS, internet worm, e-mail virus and so on through high-speed networks increase and the number of patterns is dramatically increasing accordingly by increasing network traffic due to this internet technology development. To detect the patterns in intrusion detection systems, an existing research proposed an efficient algorithm called the jumping window algorithm and analyzed approximately 2,000 patterns in Snort 2.1.0, the most famous intrusion detection system. using the algorithm. However, it is inappropriate from the number of TCAM lookups and TCAM memory efficiency to use the result proposed in the research in current environment (Snort 2.9.0) that has longer patterns and a lot of patterns because the jumping window algorithm is affected by the number of patterns and pattern length. In this paper, we simulate the number of TCAM lookups and the required TCAM size in the jumping window with approximately 8,100 patterns from Snort-2.9.0 rules, and then analyse the simulation result. While Snort 2.1.0 requires 16-byte window and 9Mb TCAM size to show the most effective performance as proposed in the previous research, in this paper we suggest 16-byte window and 4 18Mb-TCAMs which are cascaded in Snort 2.9.0 environment.

북한 운영체제 붉은별 3.0 침입탐지 규칙 분석

황규섭(Guesub Hwang),강동수(Dongsu Kang) 한국정보과학회 2021 정보과학회 컴퓨팅의 실제 논문지 Vol.27 No.1

북한은 잘 알려진 인터넷 고립 국가이다. 그럼에도 불구하고 소니해킹, 워너크라이 공격 등 사이버전 능력을 과시하고 있다. 이러한 능력을 자체 소프트웨어 개발에도 활용하여 붉은별 3.0 OS를 개발하였다. 붉은별 3.0 OS에는 오픈 소스인 Snort를 적용하였고 북한의 상황에 적합하게 Snort 변수 및 탐지 규칙을 수정하였다. Snort 변수는 총 28개를 추가로 선언하고 탐지 규칙은 관리자 및 사용자 권한 탈취 방지, 멜웨어 등 공격을 탐지하는 것에 중점을 두고 있으며 패킷 발생량 기반 탐지는 거의 모든 패킷을 탐지 하도록 설정하였다. 결론적으로 붉은별 3.0 OS Snort는 일반적인 Snort 탐지 규칙과 다르게 폐쇄적이며 더욱 강화된 감시를 기반으로 운영되고 있음을 확인할 수 있다. North Korea is a well-known, isolated country from Internet networks. Nevertheless, North Korea has cyber warfare capabilities such as Sony Hacking and WannaCry attacks. North Korea has used its cyber warfare capabilities to develop its software, the Red Star 3.0 OS. The Red Star 3.0 OS has an open-source, Snort, and modified Snort variables and detection rules to suit the situation in North Korea. A total of 28 additional Snort variables were declared, and detection rules focused on detecting attacks such as administrator and user privilege-taking prevention, malware, etc., and packet-generated-based detection was established to detect nearly all packets. In conclusion, it can be confirmed that the Red Star 3.0 OS Snort, unlike the usual Snort detection rules, is operating on a closed, more enhanced monitoring basis.

오픈소스 IDS/IPS Snort와 Suricata의 탐지 성능에 대한 비교 연구

석진욱,최문석,김지명,박종순,Seok, Jinug,Choi, Moonseok,Kim, Jimyung,Park, Jonsung 디지털산업정보학회 2016 디지털산업정보학회논문지 Vol.12 No.1

Recent growth of hacking threats and development in software and technology put Network security under threat, In addition, intrusion, malware and worm virus have been increased due to the existence of variety of sophisticated hacking methods. The goal of this study is to compare Snort Alpha version with Suricata 2.0.11 version whereas previous study focuses on comparison between snort 2. x version under thread environment and Suricata under multi-threading environment. This thesis' experiment environment is set as followed. Intel (R) Core (TM) i5-4690 3. 50GHz (4threads) of CPU, 16GB of RAM, 3TB of Seagate HDD, Ubuntu 14.04 are used. According to the result, Snort Alpha version is superior to Suricata in performance, but Snort Alpha had some glitches when executing pcap files which created core dump errors. Therefore this experiment seeks to analyze which performs better between Snort Alpha version that supports multi packet processing threads and Suricata that supports multi-threading. Through this experiment, one can expect the better performance of beta and formal version of Snort in the future.

O/S 정보를 이용한 침입탐지 처리성능 향상에 관한 시스템 설계 및 구현

손만경,이동휘,김귀남 한국융합보안학회 2006 융합보안 논문지 Vol.6 No.2

네트워크의 속도가 빨라지고 인터넷의 보편화로 인하여 웜, 이메일 바이러스 등 악의적인 공격이 급증 하였으며. 네트워크의 악의적인 공격에 대한 방어로 기존의 방화벽을 비롯하여 최근 침입방지시스템에 이르기 까지 수많은 방어기법이 생겨났다. 또한 악의적인 공격의 형태가 바뀜과 동시에 방어의 기법도 달라지게 된다. 가장 대표적인 방어 기법으로 snort를 들 수 있으며 공격형태가 바뀜에 따라 Snort의 Rules 파일이 증가하게 된다. 따라서 탐지수행능력이 점점 떨어지게 된다. 본 논문에서는 Snort의 Rule 파일을 O/S별로 구분하여 처리성능 향상을 위한 구조를 제안하고 설계 및 구현한다. 이 시스템은 Snort의 기본 구성보다 처리성능을 향상시킬 수 있다 As the speed of network has fastened and the Internet has became common, an ill-intentioned aggresion, such as worm and E-mail virus rapidly increased. So that there too many defenses created the recent Intrusion detection system as well as the Intrusion Prevention Systems to defense the malicious aggression to the network. Also as the form of malicious aggression has changed, at the same time the method of defense has changed. There is “snort” the most representive method of defense and its Rules file increases due to the change of aggression form. This causes decline of capability for detection. This paper suggest, design, and realize the structure for the improvement of processing capability by separating the files of Snort Rule according to o/s. This system show more improvement of the processing capability than the existing composion.

Deterlab 환경에서 Earlybird를 이용한 웜 탐지와 Snort 연동을 통한 웜 확산 차단

이형윤,황성운,안병구 한국인터넷방송통신학회 2013 한국인터넷방송통신학회 논문지 Vol.13 No.1

웜이란 시스템의 취약점을 탐색하고 취약한 시스템을 공격하여 훼손시키는 독립형 프로그램으로서, 네트워크 를 통하여 자신을 복제하고 확산한다. 본 논문에서는 웜 탐지 및 차단 방법을 연구하였다. 먼저 가상 시뮬레이션 테 스트베드인 Deterlab 환경에서 CoderedⅡ 웜 트래픽을 발생시켰다. 이 트래픽을 Earlybird를 이용하여 의심스러운 부분 을 식별한 후, Wireshark를 통해 분석하여 Snort 규칙을 작성하였다. 다음으로 CoderedⅡ 웜 트래픽에, 앞에서 작성된 Snort 규칙을 적용함으로써, 생성된 로그 파일의 확인을 통해, 정상적으로 웜 탐지가 이루어짐을 확인할 수 있었다. A computer worm is a standalone malware computer program that probes and exploits vulnerabilities of systems. It replicates and spreads itself to other computers via networks. In this paper, we study how to detect and prevent worms. First, we generated CoderedⅡ traffic on the emulated testbed called Deterlab. Then we identified dubious parts using Earlybird and wrote down Snort rules using Wireshark. Finally, by applying the Snort rules to the traffic, we could confirmed that worm detection was successfully done.

Snort 기반 탐지 규칙의 유사성 분석 프로그램 개발 및 활용

조호성,오성일,이인복,박희진,나중채 한국차세대컴퓨팅학회 2015 한국차세대컴퓨팅학회 논문지 Vol.11 No.1

네트워크를 이용한 공격이 점점 다양해지고 정밀해지면서 침입 탐지 시스템에서 사용하는 탐지규칙도 많아지고 복 잡해지고 있다. 하지만 탐지규칙을 효율적으로 통합하고 관리하기가 어려워 중복되거나 유사한 탐지규칙의 수가 급 속히 늘어나고 있으며, 이는 침입 탐지 시스템의 효율성을 크게 저하하는 원인이 되고 있다. 본 논문에서는 탐지규 칙의 유사도를 측정하는 프로그램을 개발하고 이를 이용하여 대표적인 침입탐지 시스템인 Snort에서 사용되는 탐 지규칙의 유사성을 분석한다. 유사도 측정 프로그램은 최장 공통부분 문자열 알고리즘과 서열 정렬 알고리즘을 사용 하여 중복되거나 유사한 탐지규칙을 찾는다. 분석 결과, Snort의 탐지규칙 5,843개에서 중복되거나 비슷한 탐지규 칙 1,377개를 찾았고 이들을 유사성에 따라 분류하였다. 또한, 탐지규칙 세 개를 개별적으로 분석하고 개선안을 제 시하였다. Network attacks become more and more diverse and precise, and thus detection rules also become numerous and complicated in network intrusion detection systems. Since, however, the detection rules are difficult to unify and manage efficiently, duplicate or similar rules are increasing. Moreover, these rules reduce the performance of the intrusion detection systems. In this paper, we develop a program for evaluating the similarity of detection rules and analyze, using the program, the similarity of detection rules used in Snort, a representative intrusion detection system. The program finds duplicate or similar rules based on a longest common subsequence algorithm and a sequence alignment algorithm. In our analysis, we found 1,377 duplicate or similar detection rules among 5,843 rules of Snort and classified the duplicate or similar rules according to their similarities. Furthermore, we analyze three rules individually and propose improvements on them.

스마트 제조 산업용 네트워크에 적합한 Snort IDS에서의 전처리기 구현

하재철(Jaecheol Ha) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.5

최근 인터넷을 통한 공공 기관이나 금융권에 대한 바이러스 및 해킹 공격이 더욱 지능화, 고도화되고 있다. 특히, 지능형 지속 공격인 APT(Advanced Persistent Threat)가 중요한 사이버 위협으로 주목을 받았는데 이러한 APT 공격은 기본적으로 네트워크상에서 악성 코드의 유포를 통해 이루어진다. 본 논문에서는 스마트 제조 산업에서 사용할 수 있도록 네트워크상에서 전송되는 PE(Portable Executable) 파일을 효과적으로 탐지하고 추출하여 악성코드 분석을 효과적으로 할 수 있는 방법을 제안하였다. PE 파일만 고속으로 추출하여 저장하는 기능을 공개 침입 탐지 툴인 Snort의 전처리기단에서 구현한 후 이를 하드웨어 센서 장치에 탑재하여 실험한 결과, 네트워크상에서 전송되는 악성 의심 코드인 PE 파일을 정상적으로 탐지하고 추출할 수 있음을 확인하였다. Recently, many virus and hacking attacks on public organizations and financial institutions by internet are becoming increasingly intelligent and sophisticated. The Advanced Persistent Threat has been considered as an important cyber risk. This attack is basically accomplished by spreading malicious codes through complex networks. To detect and extract PE files in smart manufacturing industry networks, an efficient processing method which is performed before analysis procedure on malicious codes is proposed. We implement a preprocessor of open intrusion detection system Snort for fast extraction of PE files and install on a hardware sensor equipment. As a result of practical experiment, we verify that the network sensor can extract the PE files which are often suspected as a malware.

GOOSE 프로토콜 환경에서 Snort 기반의 침입 탐지 시스템 개발

김형동(Hyeong-Dong Kim),김기현(Ki-Hyun Kim),하재철(Jae-Cheol Ha) 한국정보보호학회 2013 정보보호학회논문지 Vol.23 No.6

디지털 변전 자동화 시스템의 국제 표준인 IEC 61850에서는 IED(Intelligent Electronic Device)간의 상호 통신을 위해 GOOSE(Generic Object Oriented Substation Event) 프로토콜을 사용하고 있다. 그러나 GOOSE 프로토콜은 TCP/IP 프로토콜과 유사하게 이더넷에 기반하여 운용되므로 다양한 형태의 보안 위협에 노출되어 있다. 따라서 본 논문에서는 소프트웨어 기반의 공개 침입 탐지 시스템(Intrusion Detection System)으로 사용되는 Snort를 이용하여 GOOSE 프로토콜에 대한 IDS를 개발하였다. 개발된 IDS에는 디코딩 과정과 전처리 과정을 통해 GOOSE 패킷에 대한 키워드 탐색 기능과 DoS 공격 탐지 기능이 구현되어 있다. 또한, GOOSE 네트워크 실험 환경을 구축하고 GOOSE 패킷 생성 및 송?수신 실험으로 통해 IDS 시스템이 정상적으로 동작함을 확인하였다. The GOOSE(Generic Object Oriented Substation Event) is used as a network protocol to communicate between IEDs(Intelligent Electronic Devices) in international standard IEC 61850 of substation automation system. Nevertheless, the GOOSE protocol is facing many similar threats used in TCP/IP protocol due to ethernet-based operation. In this paper, we develop a IDS(Intrusion Detection System) for secure GOOSE Protocol using open software-based IDS Snort. In this IDS, two security functions for keyword search and DoS attack detection are implemented through improvement of decoding and preprocessing component modules. And we also implement the GOOSE IDS and verify its accuracy using GOOSE packet generation and communication experiment.