네트워크 보안 분야에서 사용하는 패턴매칭과 이상징후 분석 방법론의 본질은 데이터 분석입니다.
사람만이 읽을 수 있는 원시 데이터를 컴퓨터가 계산할 수 있는 테이블 구조로 바꾸는 데이터 전처리에 익숙해지면 데이터 분석이 쉬워집니다. 어려운 데이터 전처리만큼 쉬운 데이터 분석 방법론을 강의합니다.
선수 지식
VIM, grep 등을 활용한 문자열 처리 경험 및 쉘 스크립트에 대한 기본적 이해가 있으면 강의 이해도가 높아지며, 특히 데이터 분석 과정의 대부분을 차지하는 데이터 전처리 작업에 대한 적응이 쉬워집니다.
(/var/log/mysqld.log 파일이 어디에 있는지 정도만 알아도 큰 도움이 됩니다)
SQL이든 NoSQL이든 데이터를 테이블 구조에 욱여넣고 계산 처리를 시도한다는 접근 방식은 똑같습니다. 그래서 SQL로 데이터 계산을 해봤다면 강의 이해도가 높아집니다. (엑셀 차트 사용 경험도 큰 도움이 됩니다)
|
| '빅데이터 커리어 가이드북' 중 |
이상징후 분석 과정
강의 주제는 (엘라스틱/스플렁크가 아니라) 이상징후 탐지 목적의 데이터 분석이며, 엘라스틱 및 스플렁크를 분석툴로 활용합니다.
- 엘라스틱/스플렁크 기초
-
1일
-
공통 이론 &
엘라스틱 기초- - 통계분석과 이상징후
- 데이터와 정규표현식
- - 엘라스틱 스택 개념
- - 데이터 연동 및 시각화 기초
- - 통계분석과 이상징후
-
공통 이론 &
-
2일
-
엘라스틱 활용
- - 웹/시스템 로그 분석
- Logstash의 데이터 파이프라인 - - 데이터 전처리 커스터마이징
- - 데이터 시각화/대시보드
- - 웹/시스템 로그 분석
-
엘라스틱 활용
-
3일
-
스플렁크 기초
- - 스플렁크 개념
- - 파일 업로드/실시간 모니터/포워더
- - SPL(Search Processing Language) 이해
- - 스플렁크 개념
-
스플렁크 기초
-
4일
-
스플렁크 활용
- - 웹/시스템 로그 분석
- - 스플렁크의 데이터 파이프라인
- - 데이터 전처리 커스터마이징
- - 데이터 시각화/대시보드
- - 웹/시스템 로그 분석
-
스플렁크 활용
-
5일
-
엘라스틱 &
스플렁크- - 리눅스 기반 인프라 구축
- - 읽기 스키마 비교
- - 클러스터 운영
-
엘라스틱 &
- 엘라스틱 심화
-
1일
-
공통 이론 &
엘라스틱 기초- - 통계분석과 이상징후
- 데이터와 정규표현식
- - 엘라스틱 스택 개념
- - 데이터 연동 및 시각화 기초
- - 통계분석과 이상징후
-
공통 이론 &
-
2일
-
이상징후 분석Ⅰ
- - 아파치 웹로그 분석
- - 웹해킹 이해
- 데이터 전처리 자동화 및 커스터마이징
- - 데이터 시각화/대시보드/이상징후 분석
- - Logstash/Beat/Ingest 파이프라인 비교
-
이상징후 분석Ⅰ
-
3일
-
이상징후 분석Ⅱ
- - 리눅스 secure 로그 분석
- 데이터 전처리 자동화 및 커스터마이징
- - 데이터 시각화/대시보드/이상징후 분석
- - Logstash/Beat/Ingest 파이프라인 비교
- - 리눅스 secure 로그 분석
-
이상징후 분석Ⅱ
-
4일
-
이상징후 분석Ⅲ
- - IIS 웹로그 분석
- 데이터 전처리 자동화 및 커스터마이징
- - 데이터 시각화/대시보드/이상징후 분석
- - Logstash/Beat/Ingest 파이프라인 비교
- - IIS/아파치 분석 특징 비교
- - IIS 웹로그 분석
-
이상징후 분석Ⅲ
-
5일
-
분석 &
인프라 확장- - Mysql/윈도우 이벤트 로그 연동
- - IP 지리 정보 시각화
- - 리눅스 기반 인프라 구축
- - 읽기 스키마/머신러닝 활용
- - 클러스터 운영
-
분석 &
- 스플렁크 심화
-
1일
-
공통 이론 &
스플렁크 기초- - 통계분석과 이상징후
- 데이터와 정규표현식
- - 스플렁크 개념
- - 파일 업로드/실시간 모니터/포워더
- - SPL(Search Processing Language) 이해
- - 통계분석과 이상징후
-
공통 이론 &
-
2일
-
이상징후 분석Ⅰ
- - 아파치 웹로그 분석
- - 웹해킹 이해
- - 스플렁크/App 데이터 파이프라인 비교
- - 데이터 전처리 커스터마이징
- - 데이터 시각화/대시보드/이상징후 분석
-
이상징후 분석Ⅰ
-
3일
-
이상징후 분석Ⅱ
- - 리눅스 secure 로그 분석
- - 스플렁크/App 데이터 파이프라인 비교
- - 데이터 전처리 커스터마이징
- - 데이터 시각화/대시보드/이상징후 분석
- - 리눅스 secure 로그 분석
-
이상징후 분석Ⅱ
-
4일
-
이상징후 분석Ⅲ
- - IIS 웹로그 분석
- - 스플렁크/App 데이터 파이프라인 비교
- - 데이터 전처리 커스터마이징
- - 데이터 시각화/대시보드/이상징후 분석
- - IIS/아파치 분석 특징 비교
- - IIS 웹로그 분석
-
이상징후 분석Ⅲ
-
5일
-
분석 &
인프라 확장- - Mysql/윈도우 이벤트 로그 연동
- - IP 지리 정보 시각화
- - 리눅스 기반 인프라 구축
- - 머신러닝 활용
- - 클러스터 운영
-
분석 &
패턴매칭 과정
강의 주제는 IDS/IPS 룰 정확도 측정 및 개선 목적의 데이터 분석입니다. (IDS/IPS는 결국 트래픽 분석기이기 때문에 wireshark 사용 경험이 있으면 강의 이해도가 높아집니다)
- IDS
- 1일
- 패턴매칭 기초
- - 네트워크 보안 방법론
- Snort/Suricata 설치 - - 운영 실습
- - 네트워크 보안 방법론
- 패턴매칭 기초
- 2일
- 룰 운영
- - 룰 문법
- - PCRE 정규표현식
- - VIM 정규표현식
- 룰 운영
- 3일
- 룰 최적화Ⅰ
- - 통계 분석 기반 룰 최적화
- - 정확도 측정/개선
- - 임계치 기반 룰
- - 통계 분석 기반 룰 최적화
- 룰 최적화Ⅰ
- 4일
- 룰 최적화Ⅱ
- - 통계 분석 기반 룰 최적화
- - 정확도 측정/개선
- - 패턴 기반 룰
- - 통계 분석 기반 룰 최적화
- 룰 최적화Ⅱ
- 5일
- SIEM 구축
- - 엘라스틱/스플렁크 기반 SIEM 구축
- - Snort/Suricata 연동
- - 데이터 시각화/대시보드
- SIEM 구축
강의 환경
1. 윈도우10
(관리자 권한 사용)
2. 메모리 8GB 이상
3. 30% 이상의 디스크 여유 공간 (30GB 이상, SSD 사용 권장)
4. 엑셀 2013 이상 권장
5. 인터넷
(1GB 이상 파일 다운로드 가능 환경 필수)
이상징후 분석 기초/심화 과정은 다른 예제로 진행되며, 커리큘럼은 변경 가능합니다.
관련 글
댓글 없음:
댓글 쓰기