2019년 4월 22일 월요일

강의 하다 보면 생기는 일

14년부터 강의를 시작했다. 처음엔 IDS 로그 분석 과정만 진행하다가, 16년에 이상징후 분석 분야를 추가했고, 작년부터 과정 통합. 두 과정을 통합하면서 엘라스틱을 분석 도구로 추가한 걸 빼면 6년째 거의 같은 내용으로 우려먹는 중(..)

강의 내용은 대부분 블로그에 공개되어 있다. 최소한 가장 중요하다고 생각하는 데이터 전처리 과정은 거의 같음. 딱히 의도한 건 아니고, 개인 학습 > 블로그 정리 > 강의 연결 과정이 어쩌다 굳어졌다.

강의 아이템 노출 걱정 안 되냐고? 보안 분야는 전통적으로 해킹이 대세고, 로그 분석은 워낙 비인기종목이라 전혀 걱정이 안 됨. 많이 퍼져서 관심이나 좀 높아졌으면(..)

2019년 4월 14일 일요일

Packetbeat 활용 - 4th

t 옵션과 함께 pcap 파일을 연동하면 flow 데이터의 경우, 시간대가 너무 압축돼서 시계열 분석은 불가능. transaction 데이터는 실제와 유사한 시계열 인터벌을 갖지만, 지원하는 애플리케이션이 많지 않아서(..)

t 옵션 없이 연동해봤다. 24시간 동안 기록된 pcap 파일 연동하는 데 26시간 소요? 연동 중에 렉 걸렸나? 일단 flow와 transaction 데이터 모두 같은 시간대에 기록된다.


2019년 4월 7일 일요일

Packetbeat 활용 - 3rd

Packetbeat로 pcap 파일을 연동하면 연동 시점의 시간대를 갖는다. 실제 패킷 발생 시간대가 아닌, 연동 시간대를 갖는 인덱스에 저장된다는 얘기. (마음에 안 듬)

게다가 패킷 딜레이 시간까지 반영돼서 속도마저 느림. 이때 t 옵션을 주면 딜레이 시간을 무시할 수 있다. 훠얼씬 빠른 연동 가능.


2019년 3월 26일 화요일

알고 보면 쉬운 이상징후 분석

기계학습 기반 이상징후 분석 시스템 개발 과정의 진지한 논의를 엿들은(?) 적이 있다. 옆자리라 그냥 들림 그런데 좀 이상한 게, 웹로그 URI에 'select' 등의 쿼리문이나 따옴표 등의 특수문자 유형이 포함되면 이상한 거 아니냐는 식의 대화를 많이 주고 받더라. 

특정 문자열 패턴을 이상징후 탐지 기준으로 삼고 싶은 마음은 이해가 간다. 인류가 체득한 가장 효과적인 정보 수집/분석 방법이 패턴매칭이었으니까.


2019년 3월 19일 화요일

Open Distro for Elasticsearch

아마존이 인증, 알람 등 일부 X-Pack 상용 기능이 포함된 엘라스틱서치 배포판을 공개해서 이슈인 모양이다.

링크

2019년 3월 10일 일요일

간만에 Snort(multi source one db)

Snort로 2개 이상의 네트워크를 모니터링하는 방법은 간단하다. 프로세스 2개 띄우면 됨. 2개의 네트워크에서 발생한 탐지로그는 각각 다른 alert.log에 기록된다.


크리에이티브 커먼즈 라이선스