[논문]SIEM과 OWASP-ZAP및ANGRY-IP취약점분석모듈과 연동구현

윤종문

doi:10.33778/kcsa.2019.19.2.083

[국내논문] SIEM과 OWASP-ZAP및ANGRY-IP취약점분석모듈과 연동구현
SIEM OWASP-ZAP and ANGRY-IP Vulnerability Analysis Module and Interlocking 원문보기

융합보안논문지 = Convergence security journal, v.19 no.2, 2019년, pp.83 - 89

윤종문 ((주)세코원)

초록
AI-Helper

정보보안 컴플라이언스 및 보안규정에 의거 분기 및 정기적 형태의 네트웍 시스템 대상 취약점 점검은 사이버침해공격대응을 위해 상시 실시간 개념으로 발전시킬 필요성이 대두 된다. 이를 위해 상시 운용 관리 체계인 ESM/SIEM을 기반으로 공개된 취약점분석 점검TOOL과의 연동구현 으로 개념 검증 시 새로운 해킹공격대응 방안이 될 것으로 판단된다. 취약점점검모듈은 표준화된 이벤트 속성 관리와 운용의 편이성 취약점데이터의 글로벌 공유측면에서 공개SW Module인 owasp zap/Angry ip등을 SIEM 체계에 해당취약점모듈과의 연동 설계 구현방식으로 연구 검토 결과 web 및 network 대상 해당 취약점 모듈에 의해 점검이벤트가 SIEM 콘솔로 전송 모니터 되는 것으로 입증 되었다. 현재 사이버 관제실에서 운용중인 ESM 및 SIEM 시스템을 기반으로 해당 개념을 최적화 적용 운용할시 상용 취약점 툴 구매 비용문제와 패턴 및 버전관리에 대한 한계성 등을 고려할시 본연구가 효율적 측면으로 검토됨과 동시에 현 정보보안 컨설턴트에 의한 취약점분석결과 와 본 연구 사안으로 결과 등에 대해 상호 비교 분석 운용할시 사이버 침해공격에 대한 발전적인 개념으로 판단되므로 이에 대한 관련 사안에 대해 논고하고자 한다.

Abstract ▼ AI-Helper

In accordance with information security compliance and security regulations, there is a need to develop regular and real-time concepts for cyber-infringement attacks against network system vulnerabilities in branch and periodic forms. Vulnerability Analysis Analysis It is judged that it will be a countermeasure against new hacking attack in case of concept validation by interworking with TOOL. Vulnerability check module is standardized in event attribute management and ease of operation. Opening in terms of global sharing of vulnerability data, owasp zap / Angry ip Etc. were investigated in the SIEM system with interlocking design implementation method. As a result, it was proved that the inspection events were monitored and transmitted to the SIEM console by the vulnerability module of web and network target. In consideration of this, ESM And SIEM system In this paper, we propose a new vulnerability analysis method based on the existing information security consultation and the results of applying this study. Refer to the integrated interrelationship analysis and reference Vulnerability target Goal Hacking It is judged to be a new active concept against invasion attack.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

SIEM의 검색은 시간, 외부 데이터, 위치, 데이터 패턴 등 Raw-Data 의 트랜젝션 및 세션 특성에 의한 취약점발생 정보에 대해 시각화 기반 상관관계 분석으로 해당이벤트에 대한 감사 (Audit) 및 추적(Tracking)등의 대응 경고를 RSS에 의한 자동 통보와 SNMP트랩의 관리 콘솔로 전송됨과 동시에 해당 이벤트 데이터에 대한 분석 및 대응이 상관관계 MODULE 로 네트웍 웹 및 시스템의 취약점이벤트 발생 시 추적 및 식별이 가능함을 연구하였다

제안 방법

SIEM과 취약점분석점검관리 분리운영구조의 현재 환경을 통합 단일 융합화 개념으로 최적화시 사이버공격 즉각 대응 및 조치 가능한 것으로 연동 아키텍쳐 및 processor를 검토한바 SIEM 을 통합관리 콘솔개념으로 owasp-zap와 angryip-scan등의 오픈 취약점 분석 툴을 AGENT개념화하는 구조로 우선 설계했다 SIEM의 agent 모듈에 의해 데이터 이벤트 발생 시 인덱스 생성 분석된 해당데이터를 SIEM 콘솔로 UP-LOAD 로 owasp-zap 실행 이벤트 결과를 xml 형식 파일로 디렉토리에 저장됨과 동시에 새로운 이벤트 생성 시 SIEM 콘솔로 세션화 되는 것으로 그림 7 의 개념으로 구조화하였다.
기술된 사안을 참고로 현실화가능여부 TEST 검증 개념으로 SIEM 콘솔 모듈과 취약점 에이전트 모듈 연동을 위해 C++ 개발설계와 동시에 SIEM 의 공개 라이센스 가능 조사 한바 SPLUNK 플랫폼이 공개 및 연동가능구조임을 고려 구현 및 검증을 위한 관련 공개 SW 와 동작 가능 등을 검토결과 관련 검증 환경은 하기의 형태로 도출하였다.
이를 위해 기존 통합 정보 보안 관리체계 (ESM/SIEM)와 별도 독립 운용하는 취약점 분석 구조를 통합 운용 시 적극적 대응 방안으로 판단된다. 기존방화벽 IPS VPN등에 대한 미탐지/오탐지 가능 식별 및 로그분석 등이 ESM의 주된 사안이며 이 기종 시스템 네트웍 로그데이터에 대한 상관분석이 주된 기능인 SIEM(security information and event management)체계는 보안장비 데이터 외 시스템 전수이벤트에 대한 수집 분석 통합관리 구조로 정보 보안자산 데이타를 이벤트감지기(detector)에 의해 파싱(parsing) 상관관계(corelation) 분석(analysis) 차단(shout-out) 고립(isolating)등의 프로세스 기반을 활용 공개 취약점 분석 관리툴인 IP 스캔으로 네트워크 대역에서 동작중인 호스트 검색과 PORTSCAN을 통한 포트 취약점분석 이벤트 데이터 정보를 SIEM시스템에 전송하는 것으로 연동 테스트 결과 관리콘솔화면(UI.)에 실시간 취약점 분석 결과 데이터가 해당 콘솔로 전달 및 제시됨이 요구된바 이를 기반으로 최적화 고도화 운용시 다양한 네트웍 구조 변화 및 호스트 생성 등으로 발생되는 사이버침해공격 대응에 대한 효율적 방안이 되므로 관련 연구를 위해 2).siem 데이타수집 method 3) owasp zap / angry ip scann 동작 4) splunk-owasp/angry-Interface설계구현 5) 결론 등의 내용으로 제시하였다.
단순 보안장비 로그 및 이벤트 관리가 ESM의 주기능이며, SIEM은 ESM에 대해 Information이 추가되어 빅데이터(접속정보, 행위정보, 거래정보, 메타정보) 기반으로 장시간 심층 분석 관리 구조가 차이점 인 것이다. 단순 로그현황분석 및 관리 개념의ESM은 최근 발생하는 APT공격과 같은 고정적 시나리오를 벗어난 공격들에 대한 대응이 요구되는 것으로 검토 연구결과 침해대응 및 분석 영역의 고도화 및 발전적 측면에서 SIEM 시스템을 본 연구에서는 우선 설계체계로 검토하였다. 이를 기반으로 취약점 분석모듈과 통합운용체계영역으로 구현 하려는 것으로 객관적 분석 및 검증 관련 SW를 연구 검토한바 국내외 SIEM S/W는 유상 제공 및 비공개 프로그램 형태 기반인 반면 실시간 이벤트 및 다양한 장비의 데이터 수집과 모니터링 검색분류 분석기능 및 사용자위주 대쉬 보드 구현의 용이성 API 연동 제공 기능 등의 측면에서 검토결과 SPLUNK SW-TOOL 로 연구 검증 하였다.
지능화 고도화 형태의 취약점 침해공격과 개인 정보 유출 사고 등의 최근 심각성 증가에 대한 대응방안으로 취약점점검분석 관리 대책이 절실히 요구되는 것으로 수동화 정기적 별도 독립 분리 구조의 현재 취약점 점검 관리 구조를 상시 실시간 관리개념으로 발전시키기 위해 통합 보안관리 시스템인 ESM/SIEM 기반으로 공개 소스 취약점 점검 관리 툴과의 API에 의한 연동구현이 필요한 것이다. 이를 위해 기존 통합 정보 보안 관리체계 (ESM/SIEM)와 별도 독립 운용하는 취약점 분석 구조를 통합 운용 시 적극적 대응 방안으로 판단된다. 기존방화벽 IPS VPN등에 대한 미탐지/오탐지 가능 식별 및 로그분석 등이 ESM의 주된 사안이며 이 기종 시스템 네트웍 로그데이터에 대한 상관분석이 주된 기능인 SIEM(security information and event management)체계는 보안장비 데이터 외 시스템 전수이벤트에 대한 수집 분석 통합관리 구조로 정보 보안자산 데이타를 이벤트감지기(detector)에 의해 파싱(parsing) 상관관계(corelation) 분석(analysis) 차단(shout-out) 고립(isolating)등의 프로세스 기반을 활용 공개 취약점 분석 관리툴인 IP 스캔으로 네트워크 대역에서 동작중인 호스트 검색과 PORTSCAN을 통한 포트 취약점분석 이벤트 데이터 정보를 SIEM시스템에 전송하는 것으로 연동 테스트 결과 관리콘솔화면(UI.
지능화양상 및 신종 패턴의 사이버공격 대응방안으로 네트웍 시스템에 대한 취약점점검분석체계에 대한 연구 검토결과는 Web 적용 Open 취약점점검 분석 프로그램으로 OWASP-ZAP로 연구 검토함과 동시에 네트웍 영역은 IP-SCAN으로 개념화함으로서 open-source기반 취약점점검 분석툴 이 요구되는 타당성은 기능의 다양화 버전업의 최적화 적용 다수에 의해 활용되어진 프로그램 등으로 객관성 및 운용의 용이성 측면을 고려 인터넷 인프라의 기본 영역인 웹 및 네트웍에 대해 우선적으로 웹 서버 취약점 프로그램 OWASP-ZAP 으로 네트웍 IP-SC AN 프로그램으론 ANGRY-IP로 각각 동작 운용 연구하였다.

데이터처리

단순 로그현황분석 및 관리 개념의ESM은 최근 발생하는 APT공격과 같은 고정적 시나리오를 벗어난 공격들에 대한 대응이 요구되는 것으로 검토 연구결과 침해대응 및 분석 영역의 고도화 및 발전적 측면에서 SIEM 시스템을 본 연구에서는 우선 설계체계로 검토하였다. 이를 기반으로 취약점 분석모듈과 통합운용체계영역으로 구현 하려는 것으로 객관적 분석 및 검증 관련 SW를 연구 검토한바 국내외 SIEM S/W는 유상 제공 및 비공개 프로그램 형태 기반인 반면 실시간 이벤트 및 다양한 장비의 데이터 수집과 모니터링 검색분류 분석기능 및 사용자위주 대쉬 보드 구현의 용이성 API 연동 제공 기능 등의 측면에서 검토결과 SPLUNK SW-TOOL 로 연구 검증 하였다. 이에 관련된 내용은 하기의 사안으로 요약되어진다.

성능/효과

이에 대한 기술적 특성 연구결과 ESM /SIEM 플랫폼 에서는 취약점상관분석 및 이벤트 관리가 제한적 요인으로 조사된바 그러한 원인은 상용화툴의 비용증가와 즉각적인 버전업 문제 제한적 기능 등을 고려할시 이에 대해 요구되는 보안대비 효과 (RO SI:Return OF Security Investment)측면에서 공개된 SIEM 과 취약점 점검 분석툴과의 연동통합 운영가능 여부에 대해 SPLUNK 기준 공개형 취약점점검이 벤트가 SIEM 콘솔로 전송 가능 테스트 및 검증 결과 통합운영이 가능함이 검증되었다 웹 영역 및 네트웍에 대해 owasp-zap와 Angry ip scan 등 공개된 모듈(에이전트개념)을 통해 Kali Linux 운영체제에서 C언어기반으로 해당 타겟 IP 스캔 INDEX 결과가 XML 파일로 이벤트 값이 제시 검증 됨 으로서 Splunk 콘솔 UI를 통해 스캔 점검결과가 실시간 상시적 모니터로 분석 관리 가능함이 본연구의 결과로 산출된다.

질의응답

핵심어	질문	논문에서 추출한 답변
	항시 운영관리구조에는 무엇이 있는가?	항시 운영관리구조인 ESM 또는 SIEM 과 상시 취약점 점검 및 관리 체계와 연동 가능한 구조로 고찰 하여본다면 ESM 발전 고도화된 형태가 SIEM으로 정의되어질 수 있다. SIEM구조는 전체이벤트 로그관리 분석 개념으로 정보보안로그위주의 ESM체계보다는 고도화 및 발전 형태임을 정의 가능한 것으로 하기의 내용으로 연구되었다.
	ESM이란?	보안장비 로그 및 단기적인 이벤트 관리개념인 ESM은 최근 발생하는 획일화된 패턴외의 네트웍 시스템 취약점 대상 APT공격 등에 대해서는 <표2> 국내 통합보안관제 기능 비교표) 제한적 구조이므로 이에 대한 발전적 측면에서 이기종 로그 수집과 병행하여 상관분석 구조로로 설계되어진다면 사이버 공격관점의 악성코드 공격에 대한 대응 및 취약점 발생이벤트 대응으로 가능하다고 판단된다.
	security information and event management의 구조 개념은?	항시 운영관리구조인 ESM 또는 SIEM 과 상시 취약점 점검 및 관리 체계와 연동 가능한 구조로 고찰 하여본다면 ESM 발전 고도화된 형태가 SIEM으로 정의되어질 수 있다. SIEM구조는 전체이벤트 로그관리 분석 개념으로 정보보안로그위주의 ESM체계보다는 고도화 및 발전 형태임을 정의 가능한 것으로 하기의 내용으로 연구되었다.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

[국내논문] SIEM과 OWASP-ZAP및ANGRY-IP취약점분석모듈과 연동구현
SIEM OWASP-ZAP and ANGRY-IP Vulnerability Analysis Module and Interlocking 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

제안 방법

데이터처리

성능/효과

질의응답

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

[국내논문] SIEM과 OWASP-ZAP및ANGRY-IP취약점분석모듈과 연동구현 SIEM OWASP-ZAP and ANGRY-IP Vulnerability Analysis Module and Interlocking 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

데이터처리

성능/효과

질의응답

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

[국내논문] SIEM과 OWASP-ZAP및ANGRY-IP취약점분석모듈과 연동구현
SIEM OWASP-ZAP and ANGRY-IP Vulnerability Analysis Module and Interlocking 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper