이기종의 침입탐지 시스템과 SDMS-RTIR의 실시간 상호연동을 지원하는 침입탐지 메시지 교환 라이브러리 구현

Abstract

본 논문에서는 한국정보보호진흥원에서 계층적 침입시도 탐지 및 대응을 위해 개발하였던 SDMS-RTIR(Scan Detection Management System with Real Time Incidence Response)을 지원하는 침입탐지 메시지 교환 프로토콜 라이브러리 IDMEPL을 구현하였다. IDMEPL은 IDWG의 IDMEF와 IAP를 기반으로 이기종의 침입(시도)탐지 시스템과 SDMS-RTIR의 실시간 상호연동을 제공하며 TLS 프로토콜을 통해 보안위협에 안전한 메시지 교환을 지원한다. 특히, IDMEPL은 유연성 있는 침입탐지 메지시 교환 프로토콜 선택 과정과 패스워드 기반의 암호화 프로토콜을 제공함으로써 각 침입(시도)탐지 시스템들로 하여금 자신의 네트워크 환경에 적절한 메시지 교환 프로토콜과 암호화 통신 방법을 선택할 수 있게 하였다. 이처럼 IDMEPL이 탑재된 SDMS-RTIR은 대규모의 네트워크 환경에서 이기종의 다양한 침입(시도)탐지 시스템들로부터 침입탐지 메시지를 실시간으로 접수하고 분석할 수 있다. This paper implements an intrusion detection message exchange protocol library (IDMEPL) for SDMS-RTIR, which Korea Information Security Agency (KISA) has developed to hierarchically detect and respond to network vulnerability scan attacks. The IDMEPL, based on the IDMEF and the IAP of the IDWG, enables SDMS-RTIR to interact with other intrusion detection systems (IDS) in realtime, and supports the TLS protocol to prevent security threats in exchanging messages between its server and its agents. Especially, with the protocol selection stage, the IDMEPL can support various protocols such as the IDXP besides the IAP. Furthermore, it can allow for agents to choose an appropriate security protocol for their own network, achieving security stronger than mutual authentication. With the IDMEPL, SDMS-RTIR can receive massive intrusion detection messages from heterogeneous IDSes in large-scale networks and analyze them.