악성코드 탐지: 정탐, 오탐(False Positve), 미탐(False Negative)

악성코드 탐지: 정탐, 오탐(False Positve), 미탐(False Negative)

정탐, 오탐, 미탐, 과탐은 보안관제업무에서 자주사용되는 용어이다. 1. 정탐, 오탐, 미탐이란?정탐은 정상적으로 탐지하는 경우로 공격이 들어왔을때 공격이라고 탐지하거나 공격이 아닌것이 들어왔을때 공격이 아니라고 탐지하는 경우를 의미한다. 오탐(False Positve)은 잘못 탐지한 경우로 공격이 들어왔는데 공격이 아니라고 탐지하거나, 공격이 아닌데 공격이라고 탐지하는 경우를 의미한다. 미탐(False Negative)은 탐지를 하지 못한 경우로 공격이 들어왔는데 탐지하지 못하는 경우를 의미한다. 2. 오탐과 미탐의 차이오탐과 미탐은 헷갈리는 용어로 두 용어를  구분하는 기준은 탐지활동을 했는지 여부에 따라 분류할수있다. 탐지활동을 했으면 오탐, 탐지활동을 하지 않았으면 미탐이다. 또한 미탐은 공격이 ..

  • format_list_bulleted Security/악성코드 분석
  • · 2024. 7. 17.
  • textsms
네트워크 패킷 모니터링을 위한 Snort 환경 구축

네트워크 패킷 모니터링을 위한 Snort 환경 구축

Snort 환경을 구축하기 위해서는 다양한 프로그램을 설치해야한다. 설치 과정에서 버전 차이로 인한 호환성 문제와 구성파일 수정 과정에서 잦은 오류가 발생할수 있으므로, 차분하게 시간여유를 가지고 진행하는것이 좋다. 가상환경: VMware Workstation Pro 17운영체제: Windows 7 Professional K설치한 프로그램: Winpcap 4.1.3, Snort 2.9.2.3, Xampp 1.7.1, Base 1.4.5 , adodb-5.20.20, Notepad++ 1. 클라이언트, 서버 환경 구성1.1 server, client 가상환경 설치VMware 설치 방법과 Windows 7 Professional K 과정을 정리하였으나, Windows 7 지원이 종료된지 오래되어 크롬 설치과..

  • format_list_bulleted Security
  • · 2024. 7. 17.
  • textsms
스노트(Snort) 룰 작성을 위한 개념

스노트(Snort) 룰 작성을 위한 개념

1. 스노트(snort)란?snort는 NIDS/NIPS 도구로, 네트워크 패킷을 모니터링 하여 악성 활동을 탐지하고 차단할수 있는 오픈소스 도구이다. 여기서 NIDS는 네트워크 침입 탐지 시스템, Network Intrusion Detection System을 의미하고,  NIPS는 네트워크 침입 방지 시스템, Network Intrusion Prevention System를 의미한다.  2. 스노트 룰 작성(Snort Rule Sigture)네트워크 패킷을 탐지하기 위해서는 룰 시그니처를 작성해야 한다. snort 시그니처는 크게 룰 헤더와 룰 옵션으로 나뉘며, 룰 헤더에서는 룰 발생 조건을 작성할 때 어떤 행위를 할 것인지 작성하고 룰 옵션에서는 룰 헤더에서 표현하지 못한 세부적인 행위와 조건을 작..

  • format_list_bulleted Security
  • · 2024. 7. 15.
  • textsms
Wireshark 실습: TCP

Wireshark 실습: TCP

1. TCP 프로토콜 분석Wireshark를 활용해서, TCP의 연결설정, 연결해제, 재전송 과정을 분석한다.  1.1 TCP 연결 설정(3-way-handshaking)클라이언트인 192.168.0.1⁠과 서버 ⁠10.10.10.1⁠이 TCP 연결을 하는 과정이다.  1) SYN 패킷 분석SYN 요청을 보내는 No.1 패킷에 분석을 진행하였다.출발지 포트는 49859에서 도착지 포트는 80번 포트로 패킷 전송(클라이언트는 동적 포트 번호 중에서 임의의 포트 번호로 할당됨) 실제 순서 번호는 3588415412로 설정되어있는것을 확인(와이어 샤크에는 보기 편하도록 상대적인 순서 번호를 제공한다.) SYN 플래그 비트도 1으로 설정되있는것을 확인  2) SYN + ACK 패킷 분석SYN + ACK 요청을 ..

  • format_list_bulleted Basic/Network
  • · 2024. 7. 11.
  • textsms
HTTP프로토콜 분석(Wireshark)

HTTP프로토콜 분석(Wireshark)

1. HTTP 프로토콜 분석wireshark를 이용해, HTTP 프로토콜과 헤더 구조를 분석한다. 웹 브라우저를 열고 http://info.cern.ch/를 입력했을때 캡처된 패킷이다. HTTP 패킷은 요청을 하는 패킷과 응답을 하는 패킷으로 나뉜다. No.1 패킷은 요청을 하는 패킷으로 Request Method로 GET요청을 사용하고 있으며, 자주 사용되는 버전인 HTTP 1.1을 사용하고 있음을 Request Version에서 확인할수 있다. 또한 Host 헤더에서 요청을 보낸 호스트가 info.cern.ch이며, Connection이 Keep-alive라는 것을 통해 지속적인 연결을 필요로 하고 있음을 파악할수 있다. *\r 는 행의 앞으로 이동하라는 의미이고, \n는 다음 행으로 이동하라는 의미..

  • format_list_bulleted Basic/Network
  • · 2024. 7. 11.
  • textsms
Wireshark 실습: IPv4 단편화 + ICMP

Wireshark 실습: IPv4 단편화 + ICMP

1번부터 7번까지는 호스트 10.0.0.1이 10.0.0.2에게 패킷을 전송하는 과정  8번부터 14번까지는 호스트 10.0.0.2이 10.0.0.1에게 패킷을 전송하는 과정 1. IPv4 프로토콜 분석 출발지 주소(Source Address)는 10.0.0.1이고, 도착지 주소(Destination Address)는 10.0.0.2인것을 확인  식별자 값이 0x2c2e(11310)으로 확인(1번부터 7번 패킷은 본래 하나의 데이터 덩어리가 단편화 된 것이므로 식별자는 동일함) 단편화된 다음 패킷이 존재한다는 의미의 MF(More fragments) 플래그가 설정되어있음을 확인(1번패킷부터 6번패킷까지 MF 플래그가 설정되어있음) 해당 패킷 이후에는 더 이상의 단편화된 패킷이 없으므로 MF 플래그가 활성..

  • format_list_bulleted Basic/Network
  • · 2024. 7. 8.
  • textsms