SIEM과 BigData 분석을 통한침입 탐지 강화

김형기 셀장카카오

NIDS/IPS/SIEM ?

- 패턴 기반 탐지- 전체 공격 탐지 불가능(ZeroDay etc)- SIEM은 보안 장비에서 발생시킨- 데이터를 분석 하는 용도로는 최적- 으로 개발됨

뭐가 부족한가 ?

• 패턴 기반 이므로 패턴이 없는 경우 탐지 되지 않음• 공격자는 테스트를 통해 얼마든지 우회할수 있음• 웹 방화벽을 대단위 트래픽에 사용하기엔 부족함• 대단위 트래픽망에 사용할수 있는 사용할수 있는 장비는

없을까 ?• ZeroDay 공격은 탐지 불가능• 평판 DB나 패턴은 인간이 입력하므로 시간이 걸림• 모든 트래픽에 대한 인사이트의 부족

그럼 우리에게 필요한건 ?

Network

가시성

Big Data 분석

Contents

Base 분석

결국은 더 많은 데이터를수집하고 컨텐츠 기반 분석을 통한네트워크 가시성의 확보가 관건

많은 데이터로 인한 니어 리얼 타임분석

NIDS/SIEM에게 힘을 주자..

전체 네트워크의 패킷을 저장 하고 분석해 보자양이 많다면 HTTP/HTTPS만이라도..

뭘 사용할까 ?

선택은

• 오픈 소스와 상용 솔루션 모두를 검토하였으나 대단위트래픽 망에 사용할 수 있는 장비는 없음

• 오픈 소스를 사용하여 다량의 서버를 투입할 경우 가능하나 서버 비용이 더 들어감

• 직접 만들어 볼까 ?• Hadoop을 통한 상세 분석과 Spark을 통한 니어 리얼 타

임 분석 ..

ElasticSearch for Netflow

수집 및 분석 구조

Big Data 분석 엔진 (진행중)

어디다가 사용할까 ? (예)

DNS Monitoring

진행중…

MapReduce작업을 통한 통계 및상세 분석을 통한 공격자의 탐지

ZeroDay 공격의 효과적인 탐지 등

BigData를 도입하기에 앞서

Data

• BigData 솔루션 운영 및 전담 조직

• 충분한 고려

Analysis

• Business Logic에 집중한 분석

• 통합적 분석

Resource

• 영역별 충분한 전담 인력

• 성과가 나올때까지의 충분한 투자

맺음말