표제지
목차
약어표 8
논문요약 9
제1장 서론 11
1. 연구의 목적 11
제2장 관련 연구 13
1. ESM 의 정의 13
1) ESM의 배경 13
2) ESM의 정의 15
3) ESM의 도입효과 16
2. ESM의 구성 및 기능 18
1) ESM의 구성 18
2) ESM의 기능 20
3. 복합 이벤트 처리 (CEP) 22
1) SOA와 EDA 22
2) 이벤트 처리 방식 23
3) 복합 이벤트 처리(CEP) 25
제3장 ESM 경보 기능 개선방안 28
1. ESM 경보 기능과 한계 28
1) ESM 경보 기능 28
2) ESM 경보 기능의 한계 30
2. ESM 경보 기능 개선방안 33
1) Espser 개요 33
2) ESM 경보 개선방안 35
제4장 구현 및 개선 효과 39
1. 구현 적용 39
1) 시스템 구성 39
2) 경보 분석 방식 개선 40
3) 단계별 상관분석 지원 42
2. 개선 효과 44
1) 정부 분석 방식 개선 44
2) 단계별 상관분석을 통한 공격 시나리오 탐지 개선 46
3) 관제 프로세스 개선 50
제5장 결론 54
참고문헌 56
ABSTRACT 58
[표 2-1] SOA와 EDA의 특징 23
[표 3-1] rule-based와 anomaly detection 비교 30
[표 4-1] 구현 시스템 사양 40
[표 4-2] sql-injection 상관분석 설정 49
[그림 2-1] 전체 IT 예산 중 보안에 소요되는 비율 14
[그림 2-2] 공격의 정교함과 침입기술 지식수준의 관계 15
[그림 2-3] ESM 도입효과 17
[그림 2-4] ESM 구성도 18
[그림 2-5] 이벤트 수집 범위 19
[그림 2-6] EDA의 구성요소 24
[그림 3-1] 로그매니지먼트 시스템의 가장 유용한 기능 28
[그림 3-3] ESM의 이벤트 표준화 과정 32
[그림 3-4] Esper 아키텍처 34
[그림 3-5] ESM 경보 기능 개선 구성도 35
[그림 3-6] Esper 엔진을 이용한 이벤트분석 프로세스 36
[그림 4-1] ESM 시스템 구성도 39
[그림 4-2] 실시간 경보 분석 주기 설정 41
[그림 4-3] 과거분석 주기 설정 41
[그림 4-4] 상관분석관리 42
[그림 4-5] 로그파서관리 43
[그림 4-6] 기존 ESM과 개선된 ESM의 경보 발생 비교 44
[그림 4-7] 지속형 공격 탐지결과 45
[그림 4-8] 일회성 공격 탐지결과 46
[그림 4-9] 웹 해킹을 통한 개인정보 유출 시나리오 47
[그림 4-10] 기존시스템에서의 공격탐지 48
[그림 4-11] 개선시스템에서의 sql-injection 상관분석 공격탐지 49
[그림 4-12] A사이트 기존 관제 프로세스 50
[그림 4-13] 개선된 ESM을 이용한 관제 프로세스 51
[그림 4-14] 관제 프로세스 소요시간 비교 52