표제지
국문요약
목차
제1장 서론 8
제2장 이론적 배경 9
제1절 보안관제 필요성 9
제2절 보안관제 서비스 11
제3절 보안관제 시스템 (ESM) 14
제4절 보안관제 시스템 (SIEM) 16
제3장 관련 연구 18
제1절 빅데이터 관련 기술 18
제2절 빅데이터를 활용한 APT 탐지 22
제1항 블랙리스트 IP와 DNS Log를 활용한 탐지 24
제2항 내·외부망의 비정상 트래픽을 분석하여 탐지 24
제3항 노드 간의 상관관계 분석을 통한 탐지 25
제3절 빅데이터를 활용한 DDoS 탐지 26
제4절 빅데이터를 활용한 보안관제 모델 26
제1항 사례기반 추론기법에 의한 이상징후 탐지 모델 26
제2항 평판정보를 이용한 보안관제 탐지 모델 27
제3항 시나리오 기반의 침해사고 탐지 모델 29
제4장 빅데이터를 활용한 이상징후 탐지 기법 30
제1절 ESM의 한계점 30
제2절 제안된 빅데이터를 활용한 이상징후 탐지 기법 32
제1항 이벤트 탐지 건수 변동 감지 33
제2항 신규 이벤트 탐지 36
제3항 공격 유입 포트 탐지 38
제5장 이상징후 탐지 기법 검증 39
제1절 Mirai 변종 스캔 증가 탐지 39
제2절 SQL Injection 탐지 42
제6장 결론 및 향후 연구 과제 44
참고문헌 45
Abstract 46
표1. 대한민국의 정보 보안 사고 목록 10
표2. 국가사이버안전관리 규정 제 10조의2 10
표3. 보안관제 전문기업 지정 현황 11
표4. 보안관제 업무내역 12
표5. 정보보호 업무인력 수급전망 13
표6. 정보보호 업무인력의 수준별 현황 13
표7. 국내 SIEM 솔루션 현황 16
표8. 해외 SIEM 솔루션 현황 17
표9. 기업들의 성공적인 빅데이터 활용 사례 20
표10. 공공 빅데이터 우수사례 목록 21
표11. 빅데이터 분석의 핵심 기술 22
표12. APT를 탐지하기 위한 상관분석 패턴 25
표13. 이상징후 탐지를 위한 이메일의 공격 벡터 예시 27
표14. 빅데이터를 활용한 보안분석 기술 33
표15. IDS 이벤트 순위 변동 시나리오 사용 구문(주간) 35
표16. 신규 이벤트 탐지 시나리오 사용 구문(주간) 37
그림1. 보안관제 서비스 방법론 12
그림2. 보안관제 시스템 구성도 14
그림3. ESM의 이벤트 출력 프로세스(1) 15
그림4. 빅데이터의 요소 (V5) 18
그림5. APT 공격발생 단계 23
그림6. 내·외부망의 비정상 트래픽을 분석을 통한 APT 공격탐지 모델 24
그림7. Hybrid DDoS Detection 시스템 26
그림8. 평판정보 탐지 모델 구성도 28
그림9. 평판 DB에 적용 가능한 데이터의 종류 28
그림10. ESM의 이벤트 출력 프로세스(2) 30
그림11. IDS 이벤트 최적화 프로세스 31
그림12. IDS 이벤트 이상징후 탐지 및 최적화 순서도 34
그림13. 탐지 이벤트 순위 변동 탐지 구성 화면 36
그림14. 신규 이벤트 탐지 구성 화면 37
그림15. 공격 유입 포트 탐지 구성 화면 38
그림16. 공격 유입 포트 탐지(TCP/5555) 39
그림17. IDS 이벤트 순위 변동 탐지(Scanning) 40
그림18. 이벤트 조회 화면(Scanning) 40
그림19. Mirai 변종 스캔 페이로드 40
그림20. Mirai 변종 스캔 쉘코드 41
그림21. 이벤트 조회 화면(Shellcode) 41
그림22. 신규 이벤트 탐지(SQL Injection) 42
그림23. SQL Injection 페이로드 42