SIEM을 이용한 망분리 환경에서의 비정상 통신 점검 방안 연구
A Control Method of Abnormal Communication Using SIEM In a Network Segregation Environment
- 발행기관 서강대학교 정보통신대학원
- 지도교수 소재우
- 발행년도 2023
- 학위수여년월 2023. 2
- 학위명 석사
- 학과 및 전공 정보통신대학원 정보보호
- 실제 URI http://www.dcollection.net/handler/sogang/000000070238
- UCI I804:11029-000000070238
- 본문언어 한국어
- 저작권 서강대학교 논문은 저작권 보호를 받습니다.
초록 (요약문)
Network segregation is a type of network security technique that segregates the internal network(for business) from the external network(Internet) to protect internal systems from external attacks. Even if the network is separated, it should be checked periodically if there are attempts of communication across network by a user within the organization or by infected devices responding to external C&C (Command & Control) servers. However, if the amount of inadvertently generated firewall logs as raw data is too huge, we might miss even the abnormal events with risk among them. The SIEM system, introduced to supplement the weaknesses of security controls, provides visibility into the activities of the organization's network in order to respond to potential cyber attacks promptly, by collecting various event logs and identifying behaviors out of range. In this paper, I propose a control method of abnormal communication that dis-criminate valid logs to be wary of from network-to-network communication rejection logs on the firewall with relatively low risk which are caused by unintentional attempts. And all of this should be preceded by counting the logs by day and removing unnecessary duplication, using Splunk(a big data analysis solution) as a SIEM. Through this, it aims to increase the efficiency of inspection by detecting valid security anomalies quickly and accurately from the vast amount of firewall logs.
more초록 (요약문)
망분리란, 네트워크 보안 기법의 일종으로 외부의 공격으로부터 내부의 시스템을 보호하기 위해 업무용 내부 망과 인터넷 망을 분리하는 것을 말한다. 망분리를 도입했다고 할지라도 최근 대대적인 사이버 공격은 APT(지능형 지속 위협)의 형태로 이뤄지는 경우가 많아 ATT&CK 프레임워크에 따라 해석한다면 효율적인 대응이 가능하다. 예를 들어, 어떠한 경로로 이미 감염된 장비가 외부의 C&C(Command & Control) 서버와 통신하는 과정에서 혹은 조직 내 사용자가 의도적으로 망간 통신을 시도한 행위가 있었는지 주기적인 점검할 필요가 있다. 그러나 이를 점검하는 과정에서 방대한 양의 방화벽 차단로그 raw 데이터를 이용하다 보면 보통 단순 실수로 발생한 로그가 매우 많아 실제로 의도를 가진 비정상 이벤트까지 놓칠 수 있다. 이러한 보안관제의 맹점을 보완하기 위해 도입된 SIEM(Security Information and Event Management) 시스템은 각종 이벤트 로그 데이터를 수집하고 정상 범위를 벗어나는 활동을 식별하여 잠재적인 사이버 공격에 신속하게 대응함으로써 조직 네트워크의 활동에 대한 가시성을 제공한다. 본 논문에서는 Splunk라는 빅데이터 분석 솔루션을 SIEM으로 횔용해서, 실시간으로 조회되는 방화벽상 망간 통신 거부로그에서 불필요한 중복을 제거하며 일단위로 취합한 후, 의도치 않게 망간 통신 시도가 발생할 수 있는 상황별 출발지 및 목적지 IP를 갖는(위험도가 비교적 낮은) 로그들로부터 경계해야 할 유효 로그를 자동으로 분류시키는 비정상 통신 점검 방안을 제안한다. 이를 통해 매일 발생하는 방대한 양의 방화벽 차단로그에서 유효한 보안 이상 징후만 빠르고 정확하게 탐지함으로써 로그 점검의 효율성을 높이고자 한다.
more