초록

용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

ESM 에서 보안이벤트 분석기술에는 실시간 보안이벤트 필터링 기술, 보안이벤트 상호연관분석기술, 보안이벤트 시각화 분석기술이 활용되고 있다. 기존 보안이벤트 분석기술에서 탐지하지 못하는 미탐을 감소시키고 침입 탐지율을 향상시키기 위하여 보안이벤트 프로파일링 기술을 접목한 침입추론 기술을 제안한다. 보안이벤트를 네트워크 분류, 호스트 분류, 웹 이벤트 분류로 유형을 구분하고 각각을 프로파일링 하여 네트워크 공격의 Anomaly와 웹 어플리케이션 공격을 탐지할 수 있다.

ESM 에서 보안이벤트 분석기술에는 실시간 보안이벤트 필터링 기술, 보안이벤트 상호연관분석기술, 보안이벤트 시각화 분석기술이 활용되고 있다. 기존 보안이벤트 분석기술에서 탐지하지 못하는 미탐을 감소시키고 침입 탐지율을 향상시키기 위하여 보안이벤트 프로파일링 기술을 접목한 침입추론 기술을 제안한다. 보안이벤트를 네트워크 분류, 호스트 분류, 웹 이벤트 분류로 유형을 구분하고 각각을 프로파일링 하여 네트워크 공격의 Anomaly와 웹 어플리케이션 공격을 탐지할 수 있다.

AI 본문요약

엑셀 다운로드 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

• 연구 주제
• 연구 방법
• 연구 결과

문제 정의

• 본 논문에서는 ESM에서 이용되는 보안이벤트 분석기술에 대해 알아보고 기존 ESM의 분석기술에서 탐지하지 못하는 미탐을 감소시키고 침입을 탐지하기 위하여 보안이벤트 프로파일링 기술을 접목한 침입추론 기술을 제안한다. 본 기술을 활용하여 네트워크 공격의 Anomaly* 탐지할 수 있으며 웹 어플리케이션 공격에 대해서도 보안이벤트만 가지고 탐지할 수 있다.

가설 설정

• 즉, 프로파일링 탐지기법은 공격행위가 정상행위와 다르다는 점을 가정한다. 프로파일은 네트웍 트래픽에 대한 데이터 마이닝, 감사 데이타 분석을 통한 통계적 분석, 그리고 운영체제 시스템 콜을 이용한 시퀀스분석등이

  제안 방법

  • 일 반적 으로 위 협 관리 시스템 (TMS: Threat Management System)에서 트래픽의 비정상 행위를 탐지하기 위하여 트래픽 프로파일링 기술을 활용한다[5] [6]. ESM의 보안이벤트 분석기술을 보완하고 미탐을 감소시키기 위하여 보안이벤트 프로파일링 기술을 접목한 침입추론 기술을 제안한다. 제안한 방법에서는 보안이벤트를 크게 3가지로 분류하여 정규화하고 프로파일을 생성한다.
  • 분석할 수 있다. 또한 관제대상장비의 특성에 맞게 이벤트별 필터링을 수행한다. 실시간 보안이벤트 필터링 기술은 초기의 ESM 핵심 기술로서 이벤트 수집 및 실시간 분석 기술이다
  • 보안이벤트 분석 모듈로 구성된다. 보안이벤트 분석 모듈은 기존의 보안이벤트 상호연관분석 엔진과 보안이벤트 시각화 엔진이 있고 본 논문에서 제안한 보안이벤트 프로파일러와 보안이벤트 프로파일링 엔진으로 구성된다. 보안이벤트 프로파일러는 실시간으로 수집되는 보안 이벤트를 최소 5분단위로 이벤트 구성요소별 수집량과 최소 1분단위별 최대횟수, 최소횟수를 프로파일 화한다.
  • 본 논문에서는 제안한 보안이벤트 프로파일링 기법 중에서 웹이벤트 유형 프로파일링에 대해서 성능평가를 하였다. 테스트에 활용된 웹서버는 Apache/2.
  • 즉, 비정상 요청 탐지에 효과적이다. 비정상 요청을 탐지하기 위하여 비정상 요청 생성프로그 램으로 Acunetix 웹 취약점 스캐너 프로그램을 이용하였다[1 이. 웹 어플리케이션 스캐너를 이용하여 웹 어플리케이션을 스캔 후 ESM 의 문자열 비교 기반의 침입 탐지 기법과 탐지건수를 비교하였다.
  • 비정상 요청을 탐지하기 위하여 비정상 요청 생성프로그 램으로 Acunetix 웹 취약점 스캐너 프로그램을 이용하였다[1 이. 웹 어플리케이션 스캐너를 이용하여 웹 어플리케이션을 스캔 후 ESM 의 문자열 비교 기반의 침입 탐지 기법과 탐지건수를 비교하였다. 디렉토리 이동공격과 SQL 인젝션 공격 2가지에 대해서 웹 프로파일링을 활용한 시스템이 약간의 우위를 나타냈지만 크게 차이는 없었다.
  • " data-before="있다" data-ocr-fix="">있다. 제안 시스템에서는 감사 데이타 분석을 이용한 통계적인 분석으로서 네트웍 유형의 보안이벤트를 프로파일 화 하고, 호스트 유형의 보안이벤트를 프로파일 화 한다. 그리고 웹 어플리케이션 이벤트를 프로파일 화한다.
  • 제안 시스템에서는 보안 이벤트를 정규화하고 프로파일링에 활용한다.
  • ESM의 보안이벤트 분석기술을 보완하고 미탐을 감소시키기 위하여 보안이벤트 프로파일링 기술을 접목한 침입추론 기술을 제안한다. 제안한 방법에서는 보안이벤트를 크게 3가지로 분류하여 정규화하고 프로파일을 생성한다.

  대상 데이터

  • 테스트에 활용된 웹서버는 Apache/2.0.40 Olffl 프로파일 데이타는 웹로그 파일일 읽어서 생성하였다. 시험에 사용된 웹 어플리케이션은 PHP 방식인 phpBB 2.

  데이터처리

  • 40 Olffl 프로파일 데이타는 웹로그 파일일 읽어서 생성하였다. 시험에 사용된 웹 어플리케이션은 PHP 방식인 phpBB 2.09를 사용하였으며 프로파일 데이터 생성은 WebStripper 2.56 프로그램을 이용하였다[7] [8] [9].

  이론/모형

  • 그리고 해당 ID 에 대응되는 파라미터 테이블들을 구성함으로서 비정상적인 요청을 탐지한다. 웹 이벤트 유형의 프로파일은 '프로파일기반 웹어플리케이션 공격탐지 및 필터링 기법' 연구의 프로파일 방법론을 활용하였다[5].

성능/효과

• 시각화 분석기술이 활용되고 있다. 본 논문에서 제안한 보안이벤트 프로파일링 기술의 접목은 기존 이벤트 분석기술을 보완하고 미탐을 감소시키며 침입 탐지율을 향상시킨다. 보안이벤트 프로파일링은 네트워크 공격의 Anomaly 와 웸 어플리케이션 공격을 탐지할 수 있다.

후속연구

• 웹 어플리케이션 프로파일링을 활용하여 웹어플리케이션 침입탐지의 성능평가를 하였고 오탐을 감소시킬 수 있다. 향후 연구방향으로는 보안이벤트 프로파일링 기술을 상호연관분석기술과 조합하여 활용할 수 있는 연구가 필요하다.

본문요약 정보가 도움이 되었나요? 예 아니오 제출

이 논문을 인용한 문헌

더보기