2017년 3월 30일 목요일

Gephi를 이용한 Web Log 분석

간만에 웹로그 분석. 작년에 이상징후 분석 관점의 웹로그 발생 현황 파악 과정을 살펴봤었다. (그게 벌써 1년 전) 그때 강조했던 게 먼저 '숲을 그린 후, 나무를 파악하자'였는데, 큰 그림을 그린다는 게 사실 쉬운 일은 아니다.

그런데 'Gehpi'를 이용하면 조금은 쉬워지는 듯. 사례를 보자. 다음은 웹 문서 확장자별 응답코드 발생 현황 조회 화면.


2017년 3월 13일 월요일

Windows Event Log 분석(DNS Request - 2nd)

하루 동안 DNS 조회를 시도한 15개의 프로세스가 확인됐다. 당연한 결과지만 웹브라우저인 'chrome.exe'가 가장 많다.


2017년 3월 8일 수요일

2017년 3월 6일 월요일

간만에 Snort 분석(DNS Request - 3rd)

하루 동안 DNS 조회가 시도된 도메인의 검사 범위를 1,300여 개에서 448개로 좁혔다. 이제 448개의 추세선만 분석하면 된다. 물론 쉽지는 않겠지만 1,300개 보다야 양반이지 뭐.


당연히 한동안은 현황 파악을 위한 노가다가 필수다. 조회를 시도하는 도메인의 개수, 유형 등의 정보를 일, 주 단위 등으로 쌓고, 단위별 추세 변화의 차이나 정상과 비정상(으로 보이는) 도메인에 대한 구분 작업을 해야 한다는 얘기.

크리에이티브 커먼즈 라이선스