사이버 침해를 차단하는 1차 관문은 여러 보안 서비스 중에서도 보안관제의 영역에 해당한
다. 보안관제에서 사용하는 장비 중에 ESM(Enterprise System Management)은 보안 장비들
의 로그를 수집하여 조건에 맞는 로그들을 선별한 후, 관제 요원에게 경보 이벤트로 전달하는
역할을 한다. 그런 방식으로 전달받은 경보 이벤트를 분석하여 대응하는 것이 보안관제 요원의
역할이다. 그러나 ESM은 단순하게 수집 및 전달의 역할을 수행하기 때문에 여러 가지 한계점
이 있었으나, 이어서 등장한 장비인 SIEM(Security Information & Event Management)이 빅데
이터 분석을 통한 상관분석 기능을 지원하면서 ESM 한계점을 상호 보완하였다.
본 논문에서는 ESM의 한계를 보완하기 위해 SIEM을 통해 빅데이터를 활용한 이상징후 탐
지 기법을 제안한다. 여기서 활용할 빅데이터는 침입탐지시스템(IDS)과 방화벽(Firewall)의 모
든 로그에 해당한다. 기존의 ESM은 조건을 설정한 경보만 출력하기 때문에 공격이 IDS에서
탐지가 되어도 ESM을 통하여 관제 요원에게 전달되지 않을 수도 있다. 이와 같은 상황을 방
지하기 위하여 주기적으로 IDS의 이벤트를 분석하여 ESM에 경보를 설정하는 최적화 작업을
실시하고 있으나 여전히 공격 미탐의 가능성은 존재한다. 또한 공격의 유입을 파악하는데 있어
서는 포트의 유입량을 파악하는 것도 중요한 단서가 될 수 있으나, ESM은 모든 포트에 대한
트래픽을 확인하기엔 한계가 있다. 이를 보완하기 위하여 SIEM을 활용하여 IDS의 모든 이벤
트에 대한 탐지 건수 변동과 신규 이벤트 발생을 감지하고, 방화벽에서 유입되는 트래픽의 포
트 동향을 파악하여 이상징후를 탐지하는 기법을 제안한다.
Alternative Abstract
The primary gateway to cyber-infringement protection is the area of security
monitoring & control among many security services. Among the equipment used in the
security monitoring & control, ESM collects the logs of the security devices, selects
the logs according to the conditions, and sends the alarm events to the monitoring &
control person. The role of security control is to analyze and respond to the received
alarm events. However, since ESM simply plays a role of collecting and delivering,
there are various limitations, and then the emerging SIEM equipment supports the
correlation analysis function through big data analysis, and complemented ESM limit
points in various ways.
In this paper, we propose an anomaly detection method using big data analysis. Big
data to be analyzed here corresponds to all logs of the Intrusion Detection
System(IDS) and the Firewall. Since the existing ESM only outputs alarms that set the
conditions, even if the attack is detected by the IDS, it may not be delivered to the
control agent through the ESM. In order to prevent such a situation, the IDS event is
analyzed periodically to optimize the alert setting in the ESM, but there is still a
possibility of an attack. In addition, it is important to understand the influx of the port
in detecting the inflow of the attack, but ESM has a limit to check the traffic on all
the ports. To overcome this problem, we propose a method to detect abnormal
symptoms by detecting the change of the number of IDS events and the occurrence of
new events using the SIEM, and analyzing the port trend of the traffic coming from
the firewall.