agency : Korea Institute of Science and Technology Information
dc.description.abstract
본 연구는 다양한 사람들이 수시로 접속하는 공용 컴퓨터의 보안을 강화하도록 파일 변조 여부를 효과적으로 감시할 수 있는 소프트웨어를 개발코자한다. Unix 시스템에는 표준 함수 stat(2)와 사용자 명령 ls(1)등이 있어서 임의의 파일에 대한 상태를 쉽사리 알 수 있도록 한다. 파일 상태에는 파일의 이름, 종류, 소유자 명, 그룹명, 접근 권한 외에도 최종 자료 수정일시(modification time), 최종 자료 사용 일시(access time), 최종 파일 상태 수정일시(inode change time)등이 있다. 따라서 언뜻 생각하면 이러한 파일 변경 시간만으로도 자료 변경 여부를 알 수 있다고 오판할 수 있다. 그러나 컴퓨터 시계는 인위적으로 조작이 가능하며, 자료 수정 일시와 자료 접근 일시는 utime(2) 함수를 이용하여 쉽게 변경이 가능하기 때문에 자료 내용을 원본과 비교해야만 변경 여부를 확실히 판단할 수 있다. 파일 변경 여부를 알아보는 방법으로 원본 비교법과 지문 대조법이 있다. 원본 대조법은 파일의 각 바이트를 1:1로 차례로 비교하는 것으로 이것을 사용하면 변경 내용까지 알 수 있고, 필요시 원본으로의 복구도 가능하나 원본의 별도 보관에 따른 디스크 공간이 많이 소요되는 단점이 있다. 지문 대조법은 crc32 혹은 md5 등 해쉬(hash) 기법으로 원본에 대한 디지털 지문을 미리 만들어 놓았다가 수시로 필요시마다 조사 대상 파일의 지문을 같은 방법으로 계산해서 원본의 지문과 일치하는지 여부를 조사하는 것이다.본 연구에서는 Unix 시스템의 표준 상태 함수 stat(2)에 crc32와 md5 등 2개의 해쉬를 추가한 확장 상태 함수 xstat()를 작성하고 이를 이용해서 파일 변경 감시 프로그램을 작성하며 그 실험 결과를 제시한다. 한편 Unix 시스템 파일들 중에는 실행 파일 등과 같이 장기간 불변인 것이 있는가하면 각종 환경 설정 파일과 같이 수시로 변경되는 것도 많다. 시스템의 환경 파일들에 대한 보안 감사 프로그램으로 Tiger가 있다. 미국 텍사스 A&M 대학에서 외부인이 자주 접속하는 공용 컴퓨터의 보안 감사용으로 개발된 공개 소프트웨어잇다. 한편 Tiger는 비교적 오랫동안 개발이 중단된 것으로 본 연구를 통해 Linux, SunOS, Solaris등 일반적으로 많이 사용하는 최신 OS에서 원활히 작동하도록 버그를 수정하고 표준 지문을 제작하며, 각 시스템에 적용 실험을 실시하고 그 결과를 검토한다.
dc.description.abstract
Title: Detection of File Alterations and its application to the Intrusion Detection SystemWith the rapid growing of Internet users, more and more intrusion incidents are reported. Once compromised, the victim is not limited to the target machine itself. The victim is often accused by unexpected third party because the intrusion happened indirectly via the compromised system. Firewalls and NIDS(Network Intrusion Detection Systems) are the major security enhancement tools. However, they are applicable to a limited environment, where all internal users are trusted. Connections coming from the outside are untrusted and actively monitored. This may not be applicable in a public server, because the users are no longer trusted. Also, firewalls and NIDS often ignore the effect of internal users, Tripwire is a file and directory integrity checker, a utility that compares a designated set of files and directories against information stored in a previously generated database. Any differences are flagged and logged, including added or deleted entries. When run against system files on a regular basis, any changes in critical system files will be spotted - and appropriate damage control measures can be taken immediately. The package is developed by Purdue University and is maintained by Tripwire Security Systems Inc. An extended stat function library, xslib, is written, which is extension to the Unix stat(2) function to include two hashes - CRC32 and MD5. The library is the basic building block to the inhouse signature comparison software which should be comparable to the Tripwire. TIGER is a set of Bourne shell script, C programs and data files which are used to perform a security audit of UNIX systems. TIGER has one primary goal:report ways 'root' can be compromised. This means that TIGER does not trust any users except root. The package was originally developed to provide a check of UNIX systems on the Texas A&M University that want to be accessed from off campus. Unforturnately, the development of TIGER has been stopped for the last several years. Consequently, the package would not be run on the modern operating systems such as Linux-2.2x and SunOS-5.7. In this study, we have fixed numerous bugs by testing the software on two Linux-2.2x systems, one SunOS-4.1.3 system, and four SunOS-5.x systems. Due to our major changes, we have renamed the package to Jindogae. The package is ready to use for the security audit of the Unix systems.
dc.publisher
한국과학기술정보연구원
dc.publisher
Korea Institute of Science and Technology Information
dc.title
연구전산망 침입탐지 시스템을 위한 파일 변조 감시 소프트웨어 개발
dc.title.alternative
Detection of File Alterations and its Application to the Intrusion Detection System