케세라세라: 강의 소개

네트워크 보안 분야에서 사용하는 패턴매칭과 이상징후 분석 방법론의 본질은 데이터 분석입니다.

사람만이 읽을 수 있는 원시 데이터를 컴퓨터가 계산할 수 있는 테이블 구조로 바꾸는 데이터 전처리에 익숙해지면 데이터 분석이 쉬워집니다. 어려운 데이터 전처리만큼 쉬운 데이터 분석 방법론을 강의합니다.

선수 지식

1. 리눅스 사용 경험:

VIM, grep 등을 활용한 로그 분석 경험이 있으면 강의 이해도가 높아지며, 특히 데이터 분석 과정의 대부분을 차지하는 데이터 전처리 작업에 대한 적응이 쉬워집니다. (/var/log/mysqld.log 파일이 어디에 있는지 정도만 알아도 큰 도움이 됩니다)

2. SQL 사용 경험

SQL이든 NoSQL이든 데이터를 테이블 구조에 욱여넣고 계산 처리를 시도한다는 접근 방식은 똑같습니다. 그래서 SQL로 데이터 계산을 해봤다면 강의 이해도가 높아집니다. (엑셀 차트 사용 경험도 큰 도움이 됩니다)

'빅데이터 커리어 가이드북' 중

이상징후 분석 과정

강의 주제는 (엘라스틱/스플렁크가 아니라) 이상징후 탐지 목적의 데이터 분석이며, 엘라스틱 및 스플렁크를 분석툴로 활용합니다.

1일
- 공통 이론 &
  엘라스틱 기초
  - - 통계분석과 이상징후
    - 데이터와 정규표현식
  - - 엘라스틱 스택 개념
  - - 데이터 연동 및 시각화 기초
2일
- 엘라스틱 활용
  - - 웹/시스템 로그 분석
    - Logstash의 데이터 파이프라인
  - - 데이터 전처리 커스터마이징
  - - 데이터 시각화/대시보드
3일
- 스플렁크 기초
  - - 스플렁크 개념
  - - 파일 업로드/실시간 모니터/포워더
  - - SPL(Search Processing Language) 이해
4일
- 스플렁크 활용
  - - 웹/시스템 로그 분석
  - - 스플렁크의 데이터 파이프라인
  - - 데이터 전처리 커스터마이징
  - - 데이터 시각화/대시보드
5일
- 엘라스틱 &
  스플렁크
  - - 리눅스 기반 인프라 구축
  - - 읽기 스키마 비교
  - - 클러스터 운영

패턴매칭 과정

강의 주제는 IDS/IPS 룰 정확도 측정 및 개선 목적의 데이터 분석입니다. (IDS/IPS는 결국 트래픽 분석기이기 때문에 wireshark 사용 경험이 있으면 강의 이해도가 높아집니다)

1일
- 패턴매칭 기초
  - - 네트워크 보안 방법론
    - Snort/Suricata 설치
  - - 운영 실습
2일
- 룰 운영
  - - 룰 문법
  - - PCRE 정규표현식
  - - VIM 정규표현식
3일
- 룰 최적화Ⅰ
  - - 통계 분석 기반 룰 최적화
  - - 정확도 측정/개선
  - - 임계치 기반 룰
4일
- 룰 최적화Ⅱ
  - - 통계 분석 기반 룰 최적화
  - - 정확도 측정/개선
  - - 패턴 기반 룰
5일
- SIEM 구축
  - - 엘라스틱/스플렁크 기반 SIEM 구축
  - - Snort/Suricata 연동
  - - 데이터 시각화/대시보드

강의 환경

1. 윈도우10 (관리자 권한 사용)

2. 메모리 8GB 이상

3. 30% 이상의 디스크 여유 공간 (30GB 이상, SSD 사용 권장)

4. 엑셀 2013 이상 권장

5. 인터넷 (1GB 이상 파일 다운로드 가능 환경)

6. 이상징후 분석 기초/심화 과정은 다른 예제로 진행되며, 커리큘럼은 변경 가능합니다.

관련 글

Easy to analyze if you are really curious about data