엘라스틱 지도학습으로 IDS 정오탐 구분해보기 - 3rd

학습 데이터를 정오탐 각각 3천 개로 늘렸다.

정탐

엘라스틱 지도학습으로 IDS 정오탐 구분해보기 - 2nd

학습 데이터 필드 구성을 4개 유형으로 나누고, 각각 모델을 만들어봤다.
① uri + label
② parameter + label
③ url + parameter + label
④ url + parameter + pattern + label

url + parameter + pattern + label

엘라스틱 지도학습으로 IDS 정오탐 구분해보기

엘라스틱 머신러닝이 7.6 버전부터 드디어 지도학습(supervised learning)을 지원한다. 얼마나 잘 동작하는지 IDS 로그에 적용해보자. 다음 글을 참고했다.

• 새로 나온 이 영화 재미있을까?

학습 데이터는 1로 라벨링된 887개의 정탐과 0으로 라벨링된 6,700여 개의 오탐이 섞인 제일 만만한 sql injection 탐지 로그.

정탐

SSL 적용 시 HTTPS 경고

웹 브라우저가 신뢰하지 않는 사설 인증서를 이용한 SSL 통신은 보안 경고를 피해갈 수 없다. 엘라스틱 스택도 마찬가지.

• 엘라스틱 스택 SSL 구성

Logstash 필터 fingerprint

로그가 중복으로 수집될 때가 있다. 다음은 테스트 로그.

2011-01-10 00:00:00 W3SVC1 192.168.48.11 GET /IL.jpg
2011-01-10 00:00:00 W3SVC1 192.168.48.11 GET /IL.jpg

연동 결과는 다음과 같다.

ingest pipeline

로그스태시 빠진 엘라스틱 스택을 구축해보자. 다음은 winlogbeat로 연동 중인 윈도우 이벤트 로그 5156.

lunrac.com?

수상한 DNS 트래픽 발견. lunrac.com과 tcdn.me, 두 개의 도메인에 대한 DNS 조회 트래픽이 갑자기 증가했다.