네트워크 경계를 방어하는 자료 분석
1. 트래픽 흐름 모니터링 및 분석
1) 각 서비스와 장비들의 통신 이해 (종종 예외 상황 찾기 가능)
- 서비스와 프로토콜의 특성에 따른 핑거프린트 정보 데이터베이스화 (HTTP, NTP, SYSLOG 등)
- '스파이크 라인'을 이용해 시계열 분석 가능 (x축을 시간, y축을 특정 시간에 전달된 패킷의 수)
시간의 변화에 따른 특이점 발견 가능, 다른 스파이크 라인과 비교 가능, 비정상 행위 발견 가능 (신뢰구간 활용)
2) 서비스 이상 행위 발견
- 트리 맵으로 자주 사용하지 않는 서비스 파악 가능
- 링크 그래프를 이용하여 상당한 양의 트래픽을 만들어 내는 웜 탐지 가능
시각화의 기본은 시각적인 결과물을 통해 분석을 효과적으로 하기 위한 휴리스틱 기법을 찾는 것임
- 네트워크의 트래픽 패턴을 통해 서비스 거부 공격 여부 식별 가능
- 평행 좌표의 출발지/목적지 주소, 패킷 크기 정보를 이용해 다수의 장비와 연결되고 일정한 패킷의 크기로 통신하는 봇넷 분석 가능
3) 정책 기반 트래픽 흐름 분석
- 링크 그래프에서 출발지/목적지 주소별 소속 부서/업무 시각화 가능 (서로 다른 부서가 시스템을 공유하고 있는 사례
- 링크 그래프에서 부서별 외에 정책 위반 여부에 따라 시각화 가능
2. 메일 자료 분석
1) 이메일 서버 분석
- 출발지/목적지 주소, 메일 본문 바이스 수 또는 개수 등 시각화
- EXPN, VRFY가 포함된 로그
- 메일 서버에 접속 후 아무런 명령어도 입력하지 않는 사용자
2) 오픈 릴레이 설정 여부 분석
- 센드메일 서버의 기록을 파싱 하여 'from to' 키워드가 포함된 발신지/수신지 주소를 기반으로 링크 그래프 분석
3) 박스 플롯을 통해 전송 지연 시간을 통해 대용량 이메일 전송 지연 모니터링 가능
4) 링크 그래프를 통해 발송자와 수신자, 이메일 크기 정보를 추출해 대용량 이메일 모니터링 가능
5) 링크 그래프를 통해 소셜 네트워크 분석에 활용 가능 (사용자가 소속된 무리 찾기, 연결 고리 찾기)
3. 기타
- 링크 그래프를 이용하여 방화벽 로그를 통한 차단 로그 분석과 , 방화벽 룰 시각화 가능
- 트리 맵을 통한 침입 차단 시스템 시그니처 조정 가능
- 무선 스니핑 분석을 위해 MAC 주소와 SSID 간의 관계를 링크 그래프로 표현
- Nessus 취약점 진단 결과의 트리 맵을 이용한 시각화
- 시스템에 존재하는 잔여 취약점 수 또는 취약점의 증감 변화에 대한 시각화
댓글