로그 데이터의 상관관계 분석을 통한 복합 침입 탐지 프레임워크 설계 및 구현
Design and Implementation of a Complex Intrusion Detection Framework through Log Data Correlation Analysis
- 주제어 (키워드) 보안 탐지기법 , 상관관계분석 , ELKStack , WEB로그데이터 , WAS로그데이터 , security detection techniques , correlation analysis , ELKStack , WEB log data , WAS log data
- 발행기관 서강대학교 AI.SW대학원
- 지도교수 김영재
- 발행년도 2025
- 학위수여년월 2025. 2
- 학위명 석사
- 학과 및 전공 AI.SW대학원 정보보호
- 실제 URI http://www.dcollection.net/handler/sogang/000000079655
- UCI I804:11029-000000079655
- 본문언어 한국어
- 저작권 서강대학교 논문은 저작권 보호를 받습니다.
초록 (요약문)
현대의 디지털 환경은 점점 더 복잡해지고 있으며, 이에 따라 정보보안 위협도 고도화되고 있다. 랜섬웨어, APT(지능형 지속 위협) 공격, 내부자 위협 등 다양한 공격 유형이 조직의 보안 체계를 위협하고 있으나, 이를 효과적으로 탐지하고 대응하는 것은 여전히 어려운 과제로 남아 있다. 특히 시그니처 기반 탐지와 이상 탐지와 같은 기존의 탐지 기법은 각각 알려진 위협과 비정상 행위를 식별하는 데 강점이 있지만, 단독으로는 새로운 위협에 대한 탐지율과 오탐율의 문제를 동시에 해결하지 못하는 한계가 있다. 이러한 문제를 해결하기 위해, 본 연구는 상관관계 분석을 통해 시그니처 기반 탐지와 이상 탐지가 상호 보완적으로 작동할 수 있는 통합 보안 로그 분석 시스템을 제안 한다. 본 연구에서는 ELK(Elasticsearch, Logstash, Kibana) 스택을 활용하여 정보보안 로그 데이터를 통합적으로 수집,처리,분석,시각화하였다. Logstash는 다양한 형태의 로그 데이터를 실시간으로 수집하고 전 처리합니다. Elasticsearch는 대규모 데이터의 고속 검색 및 상관관계 분석을 수행하였다. Kibana는 탐지 결과를 대시보드 형태로 직관적으로 시각화하여 보안 담당자들이 즉각적으로 대응할 수 있도록 지원하였다. 이 과정에서 시그니처 기반 탐지의 정밀성과 이상 탐지의 포괄성을 결합하여 상관관계 분석을 통해 새로운 위협 탐지와 오탐율 감소를 실현하고자 한다. 제안된 시스템은 ELK 스택의 유연성과 확장성을 활용해, 다양한 규모의 IT 인프라에서도 안정적으로 적용 가능함을 입증하였다. 본 연구는 정보보안 환경에서 ELK 스택이 제공할 수 있는 실질적인 가치를 제시하며, 상관관계 분석 기반의 통합 보안 로그 분석 접근법이 향후 보안 운영 체계의 핵심적인 요소로 자리잡을 수 있음을 보여준다.
more초록 (요약문)
The The modern digital environment is growing increasingly complex, leading to more sophisticated cybersecurity threats. Organizations face a wide range of attacks, such as ransomware, Advanced Persistent Threats (APT), and insider threats, which continuously challenge their security frameworks. However, effectively detecting and responding to these threats remains a persistent challenge. Traditional detection methods, including signature-based detection and anomaly detection, have individual strengths in identifying known threats and abnormal behaviors. Nevertheless, they struggle with limitations such as low detection rates for novel threats and high false-positive rates when used independently. To address these challenges, this study proposes an integrated security log analysis system that leverages correlation analysis to enable complementary operations between signature-based and anomaly detection techniques. Using the ELK stack (Elasticsearch, Logstash, Kibana), this research develops a unified system for collecting, processing, analyzing, and visualizing security log data. Logstash facilitates real-time log data collection and preprocessing, Elasticsearch performs high-speed searches and correlation analysis on large-scale datasets, and Kibana presents intuitive dashboards for visualizing detection results, enabling security personnel to respond promptly. By combining the precision of signature-based detection with the comprehensive coverage of anomaly detection, this study achieves improved detection of new threats and reduced false-positive rates through correlation analysis. The proposed system demonstrates the flexibility and scalability of the ELK stack, proving its ability to be reliably applied to IT infrastructures of varying scales. This research highlights the practical value of the ELK stack in cybersecurity environments and suggests that a correlation analysis-based integrated security log analysis approach can become a cornerstone of future security operations.
more목차
제 1 장 서론1
1.1 연구 배경 및 목적 1
1.2 논문 구성3
제 2 장 연구 배경 및 관련연구4
2.1 ELK Stack4
2.2 시그니처 기반 탐지5
2.3 이상 탐지6
2.4 상관관계 분석8
제 3 장 복합 침입 탐지 기법 프레임워크 설계구현10
3.1 프레임워크 오버뷰 10
3.2 분석시스템(ELK Stack) 구축 11
3.3 Apache & Tomcat 구성 18
3.4 복합 침입 탐지 설계 및 적용19
제 4장 평가 및 결과분석21
4.1 실험환경 설계요약 21
4.2 복합 침입 탐지 기법 설계 방법 23
4.3 복합 침입 탐지 기법 결과 및 분석 33
제 5장 결론35