반응형 IT보안3 오픈소스 - 네트워크 포렌식을 위한 오픈소스 도구 Arkime (구 Moloch) : 1.소개 1) 개요 보안 시스템에서 발생한 이벤트의 정/오탐을 분석하는 일은 상당히 까다로운 일입니다. 사전 지식을 가지고 있는 탐지 패턴에 의해 탐지된 공격의 경우 비교적 쉽게 정/오탐에 대한 분석이 가능하지만. 사전 지식 없이 보안 시스템 벤더에서 제공된 패턴에 의해 탐지된 이벤트를 분석하는 경우는 제공되는 정책 설명 만을 읽고 추가 분석 없이 정/오탐을 가려내는 일은 거의 불가능에 가깝습니다. 이럴 때 보안 담당자는 고민이 많아지게 됩니다. 추가로 분석할만한 로그가 없으면 어쩌지? 이걸 시스템에 직접 들어가서 분석을 해야 하나? 물론 어느 정도 경력이 있다 보면 이게 침해에 의한 이벤트인지 아닌지 어느 정도 파악이 가능하겠지만 그마저도 완전히 확인을 하지 않으면 찜찜한 마음이 남는 것이 사실이니까요. 이러한.. 2021. 1. 9. 수리카타 사용자 가이드 (Suricata User Guide 번역) 수리카타 사용자 가이드 1. 수리카타 소개 (What is Suricata) 1.1. About the Open Information Security Foundation 2. 설치 (Installation) 2.1. Source 2.2. Binary packages 2.3. Advanced Installation 3. 명령줄 옵션 (Command Line Options) 3.1. Unit Tests 4. Suricata 탐지 규칙 (Suricata Ruleset) 4.1 탐지 규칙 양식 (Rules Format) 4.2. Meta Keywords 4.3. IP Keywords 4.4. TCP keywords 4.5. ICMP keywords 4.6. Payload Keywords 4.7. Transfor.. 2019. 8. 29. IDS/IPS 탐지성능 향상을 위한 Hyperscan 설치하기 (CentOS) 1) Hyperscan 필요성 및 소개 오픈소스 기반 IDS/IPS를 학습이나 테스트 용도가 아닌 실무에서 활용하는데는 여러가지 어려움이 존재하는데 그 중 하나가 높은 CPU 비용을 필요로 하는 패턴매칭 작업으로 인한 성능저하 이슈(그로 인한 트래픽 누수, 탐지누락, 하드웨어 투자비용 증가)입니다. 이런 이유로 IDS/IPS에서 패턴매치 알고리즘은 매우 중요한 부분을 차지하는데 Hyperscan을 활용하면 추가적인 하드웨어 증설 없이 소프트웨어 적으로 성능 개선에 도움을 줄 수 있습니다. Hyperscan은 Intel에서 개발한 오픈소스(BSD) 패턴매치 라이브러리로 글 작성 시점에 오픈소스 IDS/IPS(Snort, Suricata)에서 사용(Intel CPU 기준, 소프트웨어 방식)가능한 가장 뛰어난.. 2018. 11. 17. 이전 1 다음 반응형