‘빅데이터 분석으로 살펴본 IDS와 보안관제의 완성’ 저자 truese@daum.net

강명훈

목차

1. 보안이란?

[4]

세상 모든 사람들이 착해졌으면 좋겠어요…

1. 보안이란?

[5]

세상 사람들이 모두 착해지면 이 세상은 전쟁도, 범죄도, 해킹도 없는 천국…

1. 보안이란?

하지만 그런 세상은 오지 않음… 모든 시스템, 애플리케이션의 보안이 완벽해지는 날 역시 오지 않음

결국 해킹은 (기술이 아무리 발전해도) 근절할 수 없는 사회병리현상…

[6]

1. 보안이란?

소중한 무언가를 지키는 행위

알 수 없는 누군가로부터

[7]

국경이 없는 사이버보안…

1. 보안이란?

적을 정의할 수 없는 사이버보안…

[8]

• 클리포드 스톨 (Clifford stoll, 1951~)

• 천문학자

• ‘뻐꾸기의 알’ 저자

1. 보안이란?

[9]

1980년대 초창기 사이버보안…

1. 보안이란?

해커를 잡기위해 1년 동안 시스템 로그를 뒤진 클리포트 스톨…

왜 1년이나 걸렸을까?

[10]

Mobile Networks

Private Networks

Public Networks

대량 발생

보안측면에서 낮은 정확도

상태/동작 로그, 트래픽 등

1. 보안이란?

[11]

정확도가 낮은, 대량의 로그를 뒤져야 하는 어려움..

1. 보안이란?

그리고 효과적인 로그 분석법을 연구한 사람들…

[12]

1. 보안이란?

• 도로시 데닝 (Dorothy Denning, 1945~)

• IDS 동작 모델 정립(1986)

→ 오용 행위

→ 비정상 행위

[13]

• 마틴 로시 (Martin Roesch, 1951~)

• Snort 개발(1998)

• IDS 대중화

1. 보안이란?

[14]

IDS(Intrusion Detection System)

1. 보안이란?

왜 하필 패턴검사인가?

[15]

1. 보안이란?

너무해!

아니 배추할래ㅋㅋ

[16]

1. 보안이란?

HTTP/1.1 200OK (옛다!)

GET /index.html HTTP/1.1 (index.html 좀 보여주세요)

[17]

패턴을 주고 받으면서 이루어지는 인간의 의사소통…

1. 보안이란?

인간을 대신해서 이루어지는 컴퓨터의 의사소통…

주고 받는 패턴에 따라 의사소통의 성격을 파악할 수 있다…

[18]

일반로그보다 그나마 소량 발생

일반로그보다 그나마 높은 정확도

보안 솔루션

일반로그

패턴 필터링

보안로그

1. 보안이란?

[19]

IDS • 전역 패턴 검사 • 탐지

IPS • 전역 패턴 검사 • 탐지/차단

웹방화벽 • 웹서비스 패턴 검사 • 탐지/차단

1. 보안이란?

[20]

IDS 이후 저마다의 차별성을 주장하며 등장한 보안솔루션들…

1. 보안이란?

그러나 기본 동작 방식은 IDS의 패턴검사…

그리고 네트워크 기반에서 동작한다는 또 하나의 공통점…

[21]

1. 보안이란?

네트워크에 연결되지 않은 컴퓨터를 해킹하느라 고생중인 톰

[22]

hacked by Anonymous

hack 패턴 필터링

hack 이벤트 발생

1. 보안이란?

우리가 원하는 패턴검사

[23]

친구가방으로 갔다

가방 패턴 필터링

가방 공격?

✔

1. 보안이란?

우리가 원하지 않는 패턴검사

[24]

같은 악보! 다른 노래?

1. 보안이란?

[25]

7음계의 표현 한계때문에 표절 시비가 끊이지 않는 음악계…

1. 보안이란?

정보 표현의 한계… 필연적인 공격 표절 발생…

[26]

1. 보안이란?

[27]

1. 보안이란?

[28]

해킹이 발생했고, 로그도 있지만 홈페이지가 바뀌어야만 확인할 수 있다…

1. 보안이란?

손을 흔들어줘야만 수많은 사람들속에서 월리를 찾을 수 있다…

해법은?

[29]

1. 보안이란?

애들 푼다?

인력을 늘리거나

[30]

1. 보안이란?

9개만 막으면 퇴근~♪

로그를 줄이거나

목차

1. 보안이란?

[32]

2. 빅데이터?

DATA

표본검사

1차원 결과

BIG DATA

전수검사

다차원 결과

[33]

2. 빅데이터?

존재 자체로 의미 있는 데이터!

검색어는 검색어 통계 분석에 적합한,

[34]

매출 분석에 적합한, 정확한 상품 판매 데이터

2. 빅데이터?

[35]

성공한 빅데이터의 공통점…

1. 보안이란?

목적에 맞는, 정확한 데이터를 분석했다…

보안로그는?

[36]

누구 찍었어요?

투표 안했는데?

여친 이뻐요?

여친이 뭔가요?

보안 위협이 궁금하다면 보안 위협이 맞는지부터 확인해야...

2. 빅데이터?

[37]

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20130514083136

“빅데이터 처리 기술이 발달하면서 수많은 솔루션, 장비들이 만들어 내는 로그를 하나로 통합해 관리할 수 있게 됐다.”

“앞으로 관건은 어떤 내용을 탐지하고 경고를 알릴지에 대한 정교한 패턴을 짜는 것이다. 이는 도입하는 회사의 몫으로 남아 있다.”

2. 빅데이터?

[38]

숙취엔 해장술?

2. 빅데이터?

패턴을 검사하는 패턴?

[39]

패턴 필터링

패턴 필터링

빅데이터 보안로그?

보안로그

2. 빅데이터?

일반로그

일반로그

[40]

시나리오

연관 분석

? 수 많은 솔루션, 장비들 로그를 조합

정교한 패턴

2. 빅데이터?

[41]

국내외 많은 벤더들이 강조한 연관분석…

1. 보안이란?

몇 년 전부터 시나리오란 용어를 사용하기 시작…

다른 말? 같은 말!

[42]

부정확한 보안로그

일반로그 + 시나리오 ?

정확한 보안로그 정확한 보안로그

일반로그 + 시나리오 =

2. 빅데이터?

=

[43]

시나리오의 기준은 일반로그보다 정확한 보안로그…

1. 보안이란?

보안로그가 부정확하면?

일반로그를 기준으로 사용할 수 있을까?

[44]

GET /index.php?id=5677

HTTP/1.1 200 OK

GET /index.php?id=5677%20and%201=1

HTTP/1.1 200 OK

2. 빅데이터?

[45]

공격에 대한 응답로그를 보면 정확한 판단이 가능할까?

1. 보안이란?

공격으로 발생한 에러 로그?

에러 로그는 공격이 아닐 때도 발생 가능…

[46]

수년째 강조되고 있지만 성공사례가 없는 시나리오…

1. 보안이란?

이유는?

기준이 되어야 할 보안로그가 부정확해서…

정확한 보안로그, 시나리오…우선순위는?

[47]

빅데이터의 시작은 스몰 데이터에서

2. 빅데이터?

잘 뛰고 싶다면 걸음마부터

수신제가치국평천하(修身齊家治國 平天下)

목차

1. 보안이란?

[49]

tcp syn flooding

udp port scan

slammer worm

2011년 보안로그

하루 발생량 70GB

(이글루시큐리티)

2001년 3GB

언제 다 분석하노?

3. 보안로그 분석

[50]

http://dailysecu.com/news_view.php?article_id=4754

엄청난 보안로그 쌓아만 두면 뭐하나… 분석 안하면 쓰레기!

맥아피는…기업은 평균 1주일에 11~15TB의 시큐리티 데이터를 보관하고 있어 빅 시큐리티 데이터를 보존하는 것으로 인한 이득이 없는 것으로 조사됐다.

1TB는 약 1조 개의 알파벳 저장

3. 보안로그 분석

[51]

저 많다는 보안로그…다 공격일까?

1. 보안이란?

1조개의 알파벳에서 공격 패턴을 찾아야 하는 현실…해법은?

[52]

3. 보안로그 분석

[53]

3. 보안로그 분석

로그 하나하나의 패턴을 분석해야 한다…

[54]

탐지패턴 전 탐지패턴 탐지패턴 후

3. 보안로그 분석

패턴을 일괄적으로 분석?

[55]

시간 공격명 출발지 출발지포트 목적지 목적지포트

00:00:01 sql injection and 10.0.0.1 8357 192.168.0.1 80

00:00:02 sql injection or 10.0.0.2 54479 192.168.0.2 8080

00:00:03 udp floding 10.0.0.3 5444 192.168.0.3 544

00:00:04 http RFI 10.0.0.4 4789 192.168.0.4 80

00:00:05 sql injection and 10.0.0.5 10658 192.168.0.5 80

00:00:06 tcp syn flooding 10.0.0.6 8523 192.168.0.6 80

00:00:07 icmp scan 10.0.0.7 0 192.168.0.7 0

00:00:08 sql injection or 10.0.0.8 26503 192.168.0.8 9701

00:00:09 sql injection and 10.0.0.9 3170 192.168.0.9 80

페이로드

?

3. 보안로그 분석

[56]

3. 보안로그 분석

비정형데이터를 정형데이터로 바꾸면…

월리와 월리가 아닌 사람들이 정량적으로 파악된다…

[57]

정량적으로 측정된 공격과 오탐 패턴은…

1. 보안이란?

룰패턴 정확도 개선의 근거…

결국 보안로그는 정확해진다…

[58]

출력된 로그를 분석하면

입력된 룰의 문제점을 찾을 수 있다

입력한 만큼 출력된다

3. 보안로그 분석

콩 심은 데 콩 나고, 팥 심은 데 팥 난다

[59]

로그 전수검사

룰 정확도 향상

로그 발생량 감소

신속한 방어 체계

전수검사

정확도 향상

발생량 감소

신속한 방어

3. 보안로그 분석