빅데이터를 활용한 이상징후 탐지 기법
Abnormal Sign Detection Using Big Data
초록/요약
사이버 침해를 차단하는 1차 관문은 여러 보안 서비스 중에서도 보안관제의 영역에 해당한 다. 보안관제에서 사용하는 장비 중에 ESM(Enterprise System Management)은 보안 장비들 의 로그를 수집하여 조건에 맞는 로그들을 선별한 후, 관제 요원에게 경보 이벤트로 전달하는 역할을 한다. 그런 방식으로 전달받은 경보 이벤트를 분석하여 대응하는 것이 보안관제 요원의 역할이다. 그러나 ESM은 단순하게 수집 및 전달의 역할을 수행하기 때문에 여러 가지 한계점 이 있었으나, 이어서 등장한 장비인 SIEM(Security Information & Event Management)이 빅데 이터 분석을 통한 상관분석 기능을 지원하면서 ESM 한계점을 상호 보완하였다. 본 논문에서는 ESM의 한계를 보완하기 위해 SIEM을 통해 빅데이터를 활용한 이상징후 탐 지 기법을 제안한다. 여기서 활용할 빅데이터는 침입탐지시스템(IDS)과 방화벽(Firewall)의 모 든 로그에 해당한다. 기존의 ESM은 조건을 설정한 경보만 출력하기 때문에 공격이 IDS에서 탐지가 되어도 ESM을 통하여 관제 요원에게 전달되지 않을 수도 있다. 이와 같은 상황을 방 지하기 위하여 주기적으로 IDS의 이벤트를 분석하여 ESM에 경보를 설정하는 최적화 작업을 실시하고 있으나 여전히 공격 미탐의 가능성은 존재한다. 또한 공격의 유입을 파악하는데 있어 서는 포트의 유입량을 파악하는 것도 중요한 단서가 될 수 있으나, ESM은 모든 포트에 대한 트래픽을 확인하기엔 한계가 있다. 이를 보완하기 위하여 SIEM을 활용하여 IDS의 모든 이벤 트에 대한 탐지 건수 변동과 신규 이벤트 발생을 감지하고, 방화벽에서 유입되는 트래픽의 포 트 동향을 파악하여 이상징후를 탐지하는 기법을 제안한다.
more초록/요약
The primary gateway to cyber-infringement protection is the area of security monitoring & control among many security services. Among the equipment used in the security monitoring & control, ESM collects the logs of the security devices, selects the logs according to the conditions, and sends the alarm events to the monitoring & control person. The role of security control is to analyze and respond to the received alarm events. However, since ESM simply plays a role of collecting and delivering, there are various limitations, and then the emerging SIEM equipment supports the correlation analysis function through big data analysis, and complemented ESM limit points in various ways. In this paper, we propose an anomaly detection method using big data analysis. Big data to be analyzed here corresponds to all logs of the Intrusion Detection System(IDS) and the Firewall. Since the existing ESM only outputs alarms that set the conditions, even if the attack is detected by the IDS, it may not be delivered to the control agent through the ESM. In order to prevent such a situation, the IDS event is analyzed periodically to optimize the alert setting in the ESM, but there is still a possibility of an attack. In addition, it is important to understand the influx of the port in detecting the inflow of the attack, but ESM has a limit to check the traffic on all the ports. To overcome this problem, we propose a method to detect abnormal symptoms by detecting the change of the number of IDS events and the occurrence of new events using the SIEM, and analyzing the port trend of the traffic coming from the firewall.
more목차
제 1 장 서 론 1
제 2 장 이론적 배경 2
제 1 절 보안관제 필요성 2
제 2 절 보안관제 서비스 4
제 3 절 보안관제 시스템 (ESM) 7
제 4 절 보안관제 시스템 (SIEM) 9
제 3 장 관련 연구 11
제 1 절 빅데이터 관련 기술 11
제 2 절 빅데이터를 활용한 APT 탐지 15
제 1 항 블랙리스트 IP와 DNS Log를 활용한 탐지 17
제 2 항 내·외부망의 비정상 트래픽을 분석하여 탐지 17
제 3 항 노드 간의 상관관계 분석을 통한 탐지 18
제 3 절 빅데이터를 활용한 DDoS 탐지 19
제 4 절 빅데이터를 활용한 보안관제 모델 19
제 1 항 사례기반 추론기법에 의한 이상징후 탐지 모델 19
제 2 항 평판정보를 이용한 보안관제 탐지 모델 20
제 3 항 시나리오 기반의 침해사고 탐지 모델 22
제 4 장 빅데이터를 활용한 이상징후 탐지 기법 23
제 1 절 ESM의 한계점 23
제 2 절 제안된 빅데이터를 활용한 이상징후 탐지 기법 25
제 1 항 이벤트 탐지 건수 변동 감지 26
제 2 항 신규 이벤트 탐지 29
제 3 항 공격 유입 포트 탐지 31
제 5 장 이상징후 탐지 기법 검증 32
제 1 절 Mirai 변종 스캔 증가 탐지 32
제 2 절 SQL Injection 탐지 35
제 6 장 결론 및 향후 연구 과제 37
참고문헌 38
Abstract 39