Sysmon과 ELK를 이용한 산업제어시스템 사이버 위협 탐지
Cyber-threat Detection of ICS using Sysmon and ELK
- 주제(키워드) 산업제어시스템 , Legacy ICS , 사이버 위협 인텔리전스 , Sysmon , ELK
- 발행기관 아주대학교
- 지도교수 손태식
- 발행년도 2019
- 학위수여년월 2019. 2
- 학위명 석사
- 학과 및 전공 정보통신대학원 사이버보안
- 실제URI http://www.dcollection.net/handler/ajou/000000028477
- 본문언어 한국어
- 저작권 아주대학교 논문은 저작권에 의해 보호받습니다.
초록/요약
국내·외에서 산업제어시스템을 대상으로한 사이버 위협이 증가하고 있다. 이에 따라 관련 연구와 협력이 활발히 진행되고 있다. 하지만 물리적인 망 분리와 경계선에 대한 보안을 강화에 치중하고 있어 내부에서 발생하는 위협에 대해서는 여전히 취약한 편이다. 왜냐하면, 가장 손쉽고 강력한 대응방법이 경계선 보안을 강화하는 것이며 내부의 보안을 강화하기 위한 솔루션들은 가용성의 문제로 인하여 쉽지 않기 때문이다. 특히, 산업제어시스템 전반에 걸쳐 Legacy 시스템이 상당수 잔존하고 있어 취약점이 많이 존재하고 있다. 보안 프레임워크에 따라 새롭게 구축되지 않는 한 이러한 취약한 시스템들에 대한 대응방안이 필요함에 따라 가용성을 고려한 경량의 보안 솔루션을 검증하고 활용방안을 제시하였다. 이와 같은 경량의 호스트 기반 위협 탐지체계를 구축한다면 APT 공격을 탐지 할 수 있을 것이다.
more목차
제1장 서론 1
제1절 연구배경 및 목적 1
제2절 연구내용 및 구성 2
제2장 관련연구 3
제1절 ICS/SCADA 개요 3
제2절 ICS/SCADA 특징 5
제3절 Sysmon 6
제4절 ELK(Elastic Search, Logstash, Kibana) 7
제5절 CTI(Cyber Threat Intelligence) 8
제6절 EDR(Endpoint Detection & Response) 9
제3장 ICS 보안 위협 및 대응기술 분석 11
제1절 최근 ICS 보안 위협 동향 12
제2절 ICS 보안 위협요인 13
제1항 보안 인력 부족 13
제2항 보안 의식 부족 13
제3항 망분리 허점 13
제4항 Legacy 시스템 운영 14
제5항 협력 업체 관리 미흡 14
제3절 ICS 보안 대응방안 15
제1항 CTI(위협 인텔리전스) 기반 탐지 15
제2항 시그니처 기반 탐지 16
제3항 Endpoint 보안로그 분석 16
제4항 비정상행위 기반 탐지 16
제5항 White-List 기반 탐지 17
제4장 Legacy ICS를 위한 APT 공격 탐지 방안 18
제1절 Sysmon 로그 분석을 통한 위협 탐지 18
제1항 Process/File Create 이용 탐지 19
제2항 Network Connection 이용 탐지 19
제3항 Image, CommandLine 이용 탐지 19
제4항 윈도우 명령어 이용 탐지 20
제5항 File Hash 이용 탐지 20
제2절 Sysmon과 ELK를 이용한 위협 탐지 제안 22
제5장 가상 시나리오 검증 26
제1절 외부 저장장치에 의한 랜섬웨어 감염 27
제1항 시나리오 27
제2항 검증 및 분석결과 27
제2절 공급망 공격을 통한 악성코드 침투 29
제1항 시나리오 29
제2항 검증 및 분석결과 29
제6장 결론 31
참고문헌 32
Abstract 33
