트래픽2 경계 침입 네트워크 경계를 방어하는 자료 분석 1. 트래픽 흐름 모니터링 및 분석 1) 각 서비스와 장비들의 통신 이해 (종종 예외 상황 찾기 가능) - 서비스와 프로토콜의 특성에 따른 핑거프린트 정보 데이터베이스화 (HTTP, NTP, SYSLOG 등) - '스파이크 라인'을 이용해 시계열 분석 가능 (x축을 시간, y축을 특정 시간에 전달된 패킷의 수) 시간의 변화에 따른 특이점 발견 가능, 다른 스파이크 라인과 비교 가능, 비정상 행위 발견 가능 (신뢰구간 활용) 2) 서비스 이상 행위 발견 - 트리 맵으로 자주 사용하지 않는 서비스 파악 가능 - 링크 그래프를 이용하여 상당한 양의 트래픽을 만들어 내는 웜 탐지 가능 시각화의 기본은 시각적인 결과물을 통해 분석을 효과적으로 하기 위한 휴리스틱 기법을 찾는 것.. 2022. 6. 7. 경계 침입 시각화 1. 트래픽 흐름 분석 -각 서비스와 장비들이 어떤 식으로 통신하는지 이해 1) 스파이크라인 -출발지, 목적지, 서비스 포트별 -평균값과, 편차를 통한 특이점(=비정성 행위) 확인 -시간에 따른 변화 검토, 특이점 확인, 다른 스파이크와 비교 2) 트리맵 -자주 사용하지 않는 서비스, 적은 수의 장비가 사용하는 서비스 -IDPS의 시그니처 조정 작업을 위해 활용 3) 링크 그래프 -웜은 스스로 복제하는 특성이 있어 다수의 시스템에 접속을 시도 -정책 기반 트래픽 흐름 분석 가능 역할 기반 트래픽 분석 (출발지-목적지, 영업/재무/인사 등 부서별 분석)+회사 정책 위반 여부 확인 가능 -방화벽 로그 시각화 -이메일 서버 로그를 활용한 탐지 (소셜 네트워크 분석, 대용량 이메일 전송, 오픈 릴레이 등) -웜.. 2022. 2. 25. 이전 1 다음
