표제지
목차
약어표 9
논문요약 10
제1장 서론 11
제2장 관련 연구 13
제1절 ESM의 정의 13
1) ESM의 배경 13
제2절 ESM의 구성과 기능 15
1) ESM의 구성 15
2) ESM의 기능 17
제3절 유효성 확인을 위한 보안관제 분석 프로세스 19
1) 보안관제 개요 19
2) 보안관제의 단일 경보와 상관경보 22
3) 금융영역에서의 신용평가 유효성 분석 사례 27
제3장 ESM의 공격유효성 확인기능 30
제1절 ESM 경보 기능과 제한점 30
1) ESM 경보 기능의 목적 30
2) ESM 경보 기능의 제한점 32
제2절 공격유효성 확인 기능 33
1) 공격 유효성 확인기능에 대한 데이터 처리과정 33
2) 공격 유효성 확인의 네 가지 방법 37
3) 공격유효성 확인기능의 과정 42
제4장 개선효과 45
제1절 구현 적용 45
1) 시스템 구성 45
2) 공격 유효성 확인 기능을 통한 개선 47
제2절 개선 효과 49
1) 분석 프로세스 개선 49
2) 유효성 확인 기능을 통한 탐지 개선 53
3) 데이터 분석의 효율성 개선 59
4) 실제 효과 및 기대 효과 63
제5장 결론 66
참고문헌 67
ABSTRACT 69
[표 3-1] 데이터 유사 필드 및 그룹화 및 중복제거 예제 35
[표 3-2] 정책 기반 탐지와 비정상 행위 탐지 비교 37
[표 4-1] 구현 시스템 사양 46
[표 4-2] 유효성 확인 기능 도입 전 사이버 위협 대응 시간소요 63
[표 4-3] 유효성 확인 기능 도입 후 사이버 위협 대응 시간소요 64
[그림 2-1] ESM 구성도 15
[그림 2-2] 이벤트 수집 범위 16
[그림 2-3] 해마다 증가하는 보안 위협 19
[그림 2-4] 이벤트 분석기반의 보안관제 프로세스 20
[그림 2-5] 복합 정보 분석기반의 보안관제 프로세스 21
[그림 2-6] 사이버 공격 주체 22
[그림 2-7] 단일경보 화면 23
[그림 2-8] 상관경보 화면 24
[그림 2-9] 기존 ESM의 공격자 유효성 확인 과정과 확인 정보 25
[그림 2-10] 새로운 ESM의 공격자 유효성 확인 과정과 확인 정보 26
[그림 2-11] 기존의 신용평가의 방법 27
[그림 2-12] 금융거래를 대체할 기타 정보 28
[그림 2-13] 기타 정보를 통한 신용평가 대상에 대한 신뢰도 유효성 확인 방법 29
[그림 3-1] ESM의 가장 유용한 기능 30
[그림 3-2] 데이터 표준화의 예시 33
[그림 3-3] 데이터 유사 필드 및 그룹화 및 중복제거 예제 34
[그림 3-4] 데이터 수집 및 관리 아키텍쳐 36
[그림 3-5] 패턴형 장비 패턴형에 따른 위험도 38
[그림 3-6] TI의 예시 40
[그림 3-7] 공격시도의 시간에 대한 판단 확인 과정 41
[그림 3-8] ESM의 로그추적분석 기능 41
[그림 3-9] ESM의 이기종 장비를 통한 유효성 검증확인 과정 42
[그림 3-10] ESM의 실시간 Scoring 과정 42
[그림 3-11] 유효성 확인을 위한 보안 가산 기준 43
[그림 3-12] ESM의 Scoring 모듈 44
[그림 3-13] ESM의 공격자 정보의 유효도 산정 방법 44
[그림 4-1] ESM 시스템 구성도 45
[그림 4-2] ESM의 유효성 확인기능의 각 유형별 정보 47
[그림 4-3] 파서관리 화면 48
[그림 4-4] 경보와 유효성 확인기능 비교 49
[그림 4-5] 상관경보의 탐지화면 50
[그림 4-6] 공격 유효성 확인기능의 각 필드별 설명 51
[그림 4-7] 경보중심의 시스템과 보안유효성 확인 기능의 시간 소요 비교 52
[그림 4-8] 랜섬웨어를 통한 내부자료 유출 시나리오 53
[그림 4-9] 악성코드에 대한 경보 내용 54
[그림 4-10] 악성 웹 접속 근거 데이터 55
[그림 4-11] IPS TCP Ack Flooding 근거 데이터 56
[그림 4-12] APT의 랜섬웨어 감염 근거 데이터 57
[그림 4-13] 유효성 확인 기능 결과 화면 58
[그림 4-14] 보안관제의 데이터분석 방법 59
[그림 4-15] ESM의 로그 전체 데이터 건 수 60
[그림 4-16] 상관경보를 통한 탐지된 데이터 건수 61
[그림 4-17] 유효성 확인 기능을 통한 공격자 정보 확인 62
[그림 4-18] 스코어링 샘플링 프로세스 65