SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf ·...
Transcript of SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf ·...
![Page 1: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/1.jpg)
SIEM과 BigData 분석을 통한침입 탐지 강화
김형기 셀장카카오
![Page 2: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/2.jpg)
NIDS/IPS/SIEM ?
- 패턴 기반 탐지- 전체 공격 탐지 불가능(ZeroDay etc)- SIEM은 보안 장비에서 발생시킨- 데이터를 분석 하는 용도로는 최적- 으로 개발됨
![Page 3: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/3.jpg)
뭐가 부족한가 ?
• 패턴 기반 이므로 패턴이 없는 경우 탐지 되지 않음• 공격자는 테스트를 통해 얼마든지 우회할수 있음• 웹 방화벽을 대단위 트래픽에 사용하기엔 부족함• 대단위 트래픽망에 사용할수 있는 사용할수 있는 장비는
없을까 ?• ZeroDay 공격은 탐지 불가능• 평판 DB나 패턴은 인간이 입력하므로 시간이 걸림• 모든 트래픽에 대한 인사이트의 부족
![Page 4: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/4.jpg)
그럼 우리에게 필요한건 ?
Network
가시성
Big Data 분석
Contents
Base 분석
결국은 더 많은 데이터를수집하고 컨텐츠 기반 분석을 통한네트워크 가시성의 확보가 관건
많은 데이터로 인한 니어 리얼 타임분석
![Page 5: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/5.jpg)
NIDS/SIEM에게 힘을 주자..
전체 네트워크의 패킷을 저장 하고 분석해 보자양이 많다면 HTTP/HTTPS만이라도..
![Page 6: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/6.jpg)
뭘 사용할까 ?
![Page 7: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/7.jpg)
선택은
• 오픈 소스와 상용 솔루션 모두를 검토하였으나 대단위트래픽 망에 사용할 수 있는 장비는 없음
• 오픈 소스를 사용하여 다량의 서버를 투입할 경우 가능하나 서버 비용이 더 들어감
• 직접 만들어 볼까 ?• Hadoop을 통한 상세 분석과 Spark을 통한 니어 리얼 타
임 분석 ..
![Page 8: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/8.jpg)
![Page 9: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/9.jpg)
ElasticSearch for Netflow
![Page 10: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/10.jpg)
수집 및 분석 구조
![Page 11: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/11.jpg)
Big Data 분석 엔진 (진행중)
![Page 12: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/12.jpg)
어디다가 사용할까 ? (예)
![Page 13: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/13.jpg)
DNS Monitoring
![Page 14: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/14.jpg)
진행중…
MapReduce작업을 통한 통계 및상세 분석을 통한 공격자의 탐지
ZeroDay 공격의 효과적인 탐지 등
![Page 15: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/15.jpg)
BigData를 도입하기에 앞서
Data
• BigData 솔루션 운영 및 전담 조직
• 충분한 고려
Analysis
• Business Logic에 집중한 분석
• 통합적 분석
Resource
• 영역별 충분한 전담 인력
• 성과가 나올때까지의 충분한 투자
![Page 16: SIEM과 BigData 분석을 통한 침입 탐지 강화concert.or.kr/2016forecast/program/4_B.pdf · 2016-04-06 · Data Science Platforms relevant CONTINUUM' DataRobot M MODE adata.kli](https://reader035.fdocuments.net/reader035/viewer/2022070712/5ecd68a599ab5f0b09512958/html5/thumbnails/16.jpg)
맺음말