2016년 5월 31일 화요일

LogParser 활용(Windows Logon Event 이상징후 분석 - 3rd)

지난 시간에 네트워크 로그온에 성공한 'itl' 계정이 주체적으로 발생시킨 이벤트가 '파일 공유' 관련 이벤트인 5140, 5145 뿐임을 확인했다. 발생 추이는 다음과 같다.


2016년 5월 24일 화요일

편 가르는 사회

지난 17일 강남역 인근에서 한 젊은 여성이 살해당했다. 정신질환 또는 개인적·사회적 좌절때문에 극단적 선택을 한 가해자와 같은 시간, 같은 공간에 있었던 약자 혹은 여자라는 이유만으로. 나만 조심하면 뭐하나? 작정하고 덤벼들면 장사 없다.

가해자의 진술을 들어보면 과거 정신질환 병력도 의심스럽지만 주로 원만하지 못한 사회 관계가 범행 동기로 작용하지 않았나 싶다. (사실 많은 정신질환이 비정상적인 사회 관계에서 야기되고 있으니 선후 관계를 따지기도 힘들겠다.)

사회적 소속·유대감의 결여로 인해 충족되지 못한 인정 욕구는 자기 파괴적 또는 반사회적 행동으로 표출되게 마련. 사회 부적응이 야기하는 이런 반사회적 비극을 사전에 예방하려면 어떻게 해야 할까?

"병든 사회가 병든 인간을 낳는다" - '싸우는 심리학' 중 (257 페이지)

2016년 5월 21일 토요일

보안관제 분야 출판 증가의 의미

  • 2012 : 해킹 사고의 재구성
  • 2013 : IDS와 보안관제의 완성
  • 2014 : 보안관제학
  • 2015 : 네트워크 보안 시스템 구축과 보안관제
  • 2016 : 보안관제 실무가이드

2012년 이후, 매년 한 권꼴로 보안관제 분야의 출판이 이어지고 있다. (제 책도 한자리 차지하고 있군요. 하하;;) 개인적으로 무척 반가운 현상.

"서점에서 보안 관련 서적을 찾아보면 국내외를 막론하고 공격(해킹 기술) 분야와 함께 방어 분야의 일부, 즉 대응(사후 분석)과 예방(보안 강화)에 관한 책들이 대부분임을 알 수 있다. 학술적인 목적이 아닌 이상 비인기 분야의 기술 서적 출판이 어려운 현실에서 정보보안 감시 분야에 대한 무관심의 정도를 짐작해볼 수 있다." - 'IDS와 보안관제의 완성' 서문 중

2016년 5월 17일 화요일

LogParser 활용(Windows Logon Event 이상징후 분석 - 2nd)

지난 글에서 로그온 실패 현황을 살펴봤으니 오늘은 성공 현황을 살펴보자. 로그온 성공 이벤트의 strings 필드 구성은 다음과 같다.


2016년 5월 9일 월요일

보안 분야 연구 방향을 살펴보면

가끔 네트워크 보안 분야의 논문이나 특허를 검색해보는데 연구가 진행되는 방향을 살펴보면 크게 세 가지 주제로 나뉘는 듯하다. 트래픽 처리나 탐지 성능 향상 및 탐지의 정확도 향상, 그리고 학술적 가치 이상의 의미를 찾기 힘든 룰 패턴 관련 자동화. (자동 생성 등)

관심가는 분야는 탐지 정확도 향상 분야인데 해당 분야의 아이디어들을 살펴보면 공통적으로 등장하는 하나의 특징을 발견할 수 있다. 다음은 2006년 국내에서 출원된 어느 특허에 대한 요약. (kipris.or.kr에서 출원번호로 검색)

  • 웹 보안 시스템 및 방법(출원 번호:10-2006-0095531)
"접속 요청 수 추출부는 사용자 단말이 접속 요청하는 서버의 각 웹 페이지들에 대해 접속 요청의 수를 추출하고, 대처 과정 수행부는 웹 페이지들에 대한 접속 요청의 수가 소정의 정상 범위를 벗어나는 경우 소정의 이상 대처 과정을 수행한다. 
웹 서비스 요청에 대해 미리 설정된 공격 패턴과 일일이 비교하는 것이 아니라 웹 서비스 요청 자체에서 이상 여부를 판단하기 때문에 룰 업데이트의 필요가 없고, 빠르게 웹 보안을 수행할 수 있게 된다."

크리에이티브 커먼즈 라이선스