MISTERY

Learning Python for Data Analysis and Visualization

Learn python and how to use it to analyze,visualize and present data. Includes tons of sample code and hours of video!

강좌 소개

NOTE: IF YOU ARE A COMPLETE BEGINNER IN PYTHON-CHECK OUT MY OTHER COURSE "COMPLETE PYTHON BOOTCAMP"!

This course will give you the resources to learn python and effectively use it analyze and visualize data! Start your career in Data Science!

You'll get a full understanding of how to program with Python and how to use it in conjunction with scientific computing modules and libraries to analyze data.

You will also get lifetime access to over 100 example python code notebooks, new and updated videos, as well as future additions of various data analysis projects that you can use for a portfolio to show future employers!

By the end of this course you will:

- Have an understanding of how to program in Python.

- Know how to create and manipulate arrays using numpy and Python.

- Know how to use pandas to create and analyze data sets.

- Know how to use matplotlib and seaborn libraries to create beautiful data visualization.

- Have an amazing portfolio of example python data analysis projects!

- Have an understanding of Machine Learning and SciKit Learn!

With 100+ lectures and over 20 hours of information and more than 100 example python code notebooks, you will be excellently prepared for a future in data science!

자세한 정보

수강 요건은 무엇입니까?

  • Basic math skills.
  • Basic to Intermediate Python Skills
  • Have a computer (either Mac, Windows, or Linux)
  • Desire to learn!

강좌에서 배우는 내용은 무엇입니까?

  • Have an intermediate skill level of Python programming.
  • Use the Jupyter Notebook Environment.
  • Use the numpy library to create and manipulate arrays.
  • Use the pandas module with Python to create and structure data.
  • Learn how to work with various data formats within python, including: JSON,HTML, and MS Excel Worksheets.
  • Create data visualizations using matplotlib and the seaborn modules with python.
  • Have a portfolio of various data analysis projects.
자세한 정보

누구를 대상으로 하는 강의입니까?

  • Anyone interested in learning more about python, data science, or data visualizations.
  • Anyone interested about the rapidly expanding world of data science!










출처 : https://www.udemy.com/learning-python-for-data-analysis-and-visualization/






신고

Comment +0

사실 저만 그렇게 하는지는 모르겠으나.. 제너레이터 익시아 같은것이 없으면.. pcap replay 등을 활용합니다.

다음 사이트에서 ostinato 라는 툴을 발견하고 사용해 보니 제법 괜찮은 듯 하여 소개해 드립니다.


다음 내용은 아래 사이트로 부터 제공된 정보 입니다.


* DoS / DDoS

1. IP Spoofing 을 이용한 DDoS

- ostinato : 네트워크 계측기 프로그램

   -> DoS/DDoS/MITM/packet generator

   -> traffic generator, ip spoofing 툴임

네트워크 헤더 공부하기에 가장 적합


ostinato는 wincap이 설치 되어 있어야 하며 각종 패킷을 만들어서 보낼 수 있음

왼쪽 랜카드 선택 후 - New Stream - 셋팅 후 Apply 클릭 - 하단 보내질 포트 선택 - 재생(공격이 이루어짐)

이미지


이미지


이미지



2. 좀비를 통한 DDoS 공격 형태


* 설화DDoS - 중국에서 만들어진 툴

- 服务端生成器 : 좀비생성기

- 雪花DDOS攻击器体验版 : DDoS 관리자툴


- 좀비 생성기

   -> 공격자 IP를 넣고 생성을 하면 파일이 만들어짐 (xhddos.exe)

   -> 해당 파일은 좀비로 만들 곳에 뿌리면 됨

이미지


- 설화 관리자툴

이미지




* blackenergy_ddos_bot - 러시아에서 만들어진 툴, 좀비를 웹사이트에서 관리하도록 만들어짐

- blackenergy_ddos_bot

   -> BlackEnergy 1.9.2.exe(생성기)

   -> Build ID : 좀비 번호

이미지


- 관리자용 웹

   -> 웹으로 관리하므로 www폴더에 좀비관리웹 소스가 들어 있음

   -> apmsetup.exe을 설치하여 좀비관리자웹을 실행 시킴


   -> command - help 열면 공격 구문이 나옴


root / apmsetup


132 / admin





* Anonymous-OS_0.1.iso

   -> CD 부팅을 해야함

   -> 비밀번호 : anon


VMware 바이오스 늦게 부팅하도록 하는 명령어

ex) Windows 7.vmx 파일을 메모장으로 열어서 추가 함
bios.bootDelay = 
"9000"



웹 해킹 시뮬레이터

DVWA - Damn Vulnerable Web Application

- 12가지 정도의 PHP 웹 해킹 시뮬레이터와 PHP 보안 코딩 테스트 가능

- 웹 ID : PW / admin : password



bEAPP - 150 가지의 웹 해킹 시뮬레이터

           - 보안코딩 가능(PHP)


* 최신 DDoS 특징

- open source 기반

- 구글 검색 ddos code.google.com

                ddos sourceforge


* Hyneae DDoS/DoS/MITM tools

- arp DDoS/dns DDoS 등 새로운 형태의 DDoS 패킷을 생성하는 프로젝트



* Sidejacking

- 네트워크 패킷중에 SSL 등의 정보를 담고 있는 웹세션 패킷을 재생시켜 주는 공격

- Hamster - 웹 페이지 재생 프록시 도구

- ferret - 패킷 수집하여 hamster에게 전달

- 세션값을 재생하기 때문에 http, https 등의 화면을 공격자가 볼수 있음


공격자                    희생자

kali                        win7


1. ferret 실행시키고 명령어 ferret -i 1

2. hamster 실행시키고 웹에서 proxy local로 설정 후 웹에서 hamster 접속

3. 같은 네트워크에 접속된 IP가 보이고 클릭하면 접속한 페이지들이 보여짐 


이미지


이미지



이미지


이미지


이미지



* sslstrip

- 웹 서비스는 http와 https 상존하게 서비스를 해주는데 https를 http 처럼 s를 벗겨내서 내용을 볼수 있는 툴

- 구글 검색 : sslstript 교보문


client - 공격자 - 서버

client가 ssl로 보내는것을 MITM 공격으로 공격자가 중간에 가로채서 서버에게 ssl로 된것을 보내주고

서버가 client에서 보내는 것을 공격자가 가로채서 확인하고 client에서 보내주는 것이다.



















출처 : http://nulltop.tistory.com/m/post/21

















신고

Comment +0

지난 연재에서 전문화된 취약점 스캔 도구를 이용해 네트워크와 시스템 취약점 분석 방법을 살펴봤다. 이번 연재에서는 2회에 걸쳐 최근 중요성이 강조되고 있는 네트워크/시스템 모니터링 방법과 다양한 도구를 이용한 모니터링 기법, 그리고 이를 이용한 시큐리티 방법론에 대해 살펴보겠다. 

인터넷과 네트워크 인프라의 발전으로 인해 기존의 전통적인 오프라인 영역 중 많은 부분이 온라인 영역으로 급속히 이전하고 있다. 이에 따라 오늘날에는 시스템과 네트워크의 안정적인 운영이 기업의 생존과 비즈니스 영속성과도 직접적으로 연결돼 있다.
특히 최근의 다양한 보안 이슈 가운데 가장 위협적인 것 중 하나가 DoS로, 웜/바이러스나 백도어에 의해 발생하는 과도한 유해 트래픽은 시스템이나 네트워크 장비의 오동작을 유발할 뿐만 아니라 전체 네트워크의 장애로까지 이어질 수 있다.
이같은 보안 위협으로부터 기업 자산이나 네트워크를 보호하기 위해서는 IPS나 바이러스 월(VirusWall)과 같은 능동형 보안 솔루션을 도입하는 것이 현실적 대안으로 여겨지지만, 최근에는 네트워크/시스템의 안정된 운영을 위한 시큐리티와 트래픽 모니터링 작업이 중요시되고 있다.

트래픽 모니터링의 중요성 증가
이같은 경향을 반영해 최근에는 IDS와 같이 제한된 영역에서의 트래픽 모니터링 기능을 넘어, 전사적 관점에서 트래픽 모니터링과 현황 분석, 그리고 즉각적인 대응이 가능한 TMS(Threat Management System)나 플로우(Flow) 기반의 모니터링 기법들이 각광받고 있다.
특히 기존의 NMS(Network Management System)나 ESM(Enterprise Security Management) 솔루션에서도 트래픽 분석과 보안 분석 기능들이 추가되고 있는데, 기업의 전산 관리자들에게 있어 모니터링 작업이 중요한 이유는 다음과 같다.

- 오늘날 기업 네트워크 환경은 다양한 구성 요소와 프로토콜의 복합, 새로운 애플리케이션의 도입으로 인해 과거와는 비교할 수 없을 정도로 복잡해지고 세분화된 구조를 갖고 있다.
- 기업 비즈니스 환경의 네트워크 인프라 의존성이 커짐에 따라 안정적인 서비스 운영은 필수 조건이 됐으며, 이외에도 가용성(Availability), 보안(Security) 등의 다양한 요구 사항을 만족시켜야 한다.
- 네트워크 구축 뿐 아니라 운영이나 유지보수에 소요되는 경비를 절감하기 위해 분산된 네트워크 자원을 효율적으로 관리하고 제어하기 위한 일관된 방법론이 요구된다.

다음은 필자가 얼마 전 모 사이트에서 경험한 것으로 최근 가장 흔하게 겪을 수 있는 보안 이슈이면서, 동시에 네트워크 자원 관리와 트래픽 모니터링의 중요성을 잘 보여주는 사례이다.
주요 문제점은 내부의 특정 시스템이 불규칙적으로 정상적인 범위를 훨씬 넘어서는 과도한 트래픽을 발생시킴으로써 네트워크의 대역폭을 잠식하고 부하를 발생시키는 것이었는데, MRTG나 파이어월에서의 트래픽 로그는 시간당 수 기가바이트에 이를 정도였다.
이런 경우는 대개 P2P 애플리케이션이나 DoS, 웜/바이러스에 의한 유해 트래픽 발생으로 압축할 수 있는데, 해당 시스템은 네트워크로부터 분리가 불가능했기 때문에 먼저 이더리얼(Ethreal)을 설치해 발생 트래픽을 살펴보기로 했다.
이더리얼을 실행한지 불과 1~2분 만에 140MB 분량의 약 15만개 패킷이 캡처됐는데, 원격지 IP 주소와 패킷을 살펴본 결과 정상적인 연결 패턴과는 다른 양상을 보이는 이상 패킷이었으며, 발생 원인은 시스템에 은밀히 설치돼 있는 백도어로 밝혀졌다.
재미있는 것은 해당 시스템에 바이러스 백신이 정상적으로 동작하고 있었으나, 이를 전혀 감지하지 못했다. 이에 다른 백신을 설치해 해당 백도어를 삭제한 후 정상적으로 동작하는 것을 확인할 수 있었다.
이와 같은 사례는 일정 규모 이상의 네트워크 환경에서는 보안 패치나 백신이 설치되지 않은 PC에 의해 빈번하게 발생한다. 별도의 모니터링 작업이 이루어지고 있지 않다면 네트워크가 다운되기 전까지는 쉽게 인지하기 힘든 부분으로, 네트워크/시스템 모니터링의 중요성을 잘 보여준다.

시스템 모니터링 작업
시스템 모니터링 작업에서 전통적으로 중요시 되는 항목은 CPU, 메모리, 디스크 I/O와 네트워크 입출력 현황 등이다. 최근에는 네트워크 시큐리티 관점에서 네트워크와 관련된 항목의 모니터링이 중요시되고 있는데, 이들 항목을 모니터링하기 위한 도구와 방법론은 (표 1)과 같다.


[표1] 시스템 모니터링 방법


· ifconfig
ifconfig는 유닉스/리눅스 환경에서 네트워크 인터페이스 설정 값과 현황을 볼 수 있는 유틸리티로 네트워크 카드의 MAC 주소와 IP 주소, 네트워크 정보, 그리고 트래픽 현황(TX/RX)과 충돌(Collisions) 정보 등을 출력한다.


[화면1] ifconfig 실행 화면


네트워크 현황 파악과 관련해 ifconfig 실행 화면에서 주의 깊게 살펴봐야 할 부분은 충돌(Collisions) 정보와 네트워크 카드 동작 모드인데, 먼저 충돌이나 ‘충돌률(Collisions / TX Packets ?100)’ 수치가 지나치게 높을 경우는 물리적 네트워크 연결 문제나 네트워크의 포화 상태를 나타낸다.
또한, 일반적인 네트워크 카드의 경우 동작모드(Running Mode)가 멀티캐스트(Multicast)로 지정돼 있어야 정상이므로, ‘무차별모드(PROMISC)’로 지정돼 있을 경우는 모든 패킷을 수용할 수 있는 스니핑 모드일 수 있기 때문에 이런 시스템은 주의깊게 살펴 볼 필요가 있다.
참고로 네트워크 트래픽 모니터링이나 스니퍼 프로그램 구동 시 LAN 카드는 무차별모드로 변경되는데, 수동으로 무차별 모드를 설정하는 방법은 ‘# ifconfig eth0 promisc’이며, 해제 명령은 ‘# ifconfig eth0 promisc’이다.

· netstat
시스템에서 네트워크 연결 및 세션 정보를 조회하기 위한 명령어로 대표적인 것이 ‘Netstat(Network Status)’로 현재 시스템의 네트워크 연결 정보 뿐 아니라, 로컬과 원격지 시스템의 IP 주소, 포트 정보, 연결 상태 등을 출력한다.


[화면2] Netstat 실행 화면


netstat 명령은 제공되는 옵션을 적절히 조합하면 시스템 수준에서의 네트워크와 프로토콜의 세부 통계 정보까지 분석할 수 있을 정도로 상당히 유용한 도구다.


[표2] Netstat 주요 옵션


netstat 명령의 실행 결과값을 이해하기 위해서는 네트워크와 TCP/IP 프로토콜에 대한 기본 지식이 요구되는데, 실행 결과 출력되는 상쩝ㅊ?State)의 주요 의미는 (표 3)과 같다.


[표3] Netstat 상태 정보



· TCPview
TCPview는 netstat 유틸리티의 윈도우 버전으로 현재 시스템에서 운영중인 서비스나 열린 포트 정보 등 네트워크 서비스와 관련된 프로세스 정보를 실시간으로 제공하는 유틸리티다.


[화면3] TCPview 주요 화면


TCPview는 netstat가 제공하는 대부분의 기능을 지원할 뿐 아니라 해당 네트워크 서비스를 실행하고 있는 프로세스의 세부 정보에 대한 조회와 제어 기능까지 제공하므로 시스템 모니터링 작업에 매우 유용하다. 웹 접속이나 특정 네트워크 기반 애플리케이션을 실행한 뒤 접속 소켓의 생성과 소멸 절차와 상태를 살펴보면 이해가 빠를 것이다.

네트워크 모니터링 작업
기업 네트워크 환경에서 라우터/스위치나 서버 시스템과 같은 다양한 장비를 도입, 운용하다 보면 WAN이나 LAN 구간에서의 전체적인 트래픽 현황이나 각 네트워크 장비에서의 부하량 분석 데이터가 필수다.
이런 네트워크 트래픽 분석 작업은 대개 공개용 소프트웨어인 MRTG(Multi Router Traffic Grapher)를 이용하거나, NMS와 SNMP를 이용해 수집하는 것이 전통적인 방법이다. 최근에는 네트워크 보안 관점에서도 매우 중요하기 때문에 ESM(Enterprise Security Management)이나 TMP(Threat Management System)와 같은 상용 솔루션에서도 트래픽 현황과 추이 분석은 핵심 기능으로 자리잡고 있다.

· MRTG
MRTG(Multi Router Traffic Grapher)는 표준 SNMP 프로토콜을 기반으로 네트워크 트래픽 모니터링과 관리를 위한 공개 소프트웨어로, 관리자가 지정한 시간 단위별로 각 개체의 데이터를 모니터링해 결과값을 웹 페이지로 출력하는 매우 유용한 도구다(화면 4).


[화면4] MRTG 주요 화면


원래 MRTG는 라우터의 트래픽 부하량을 측정할 목적으로 개발됐는데, 이외에도 SNMP와 연동해 네트워크 장비나 시스템의 자원, 애플리케이션 운용 현황 등과 같은 다양한 객체까지 모니터링할 수 있으며, 수집한 데이터를 HTML 문서와 그래픽 포맷으로 변환해 출력한다.


그림1] MRTG 구성도


MRTG는 C와 펄(Perl) 언어로 개발됐으며, 속도를 요구하는 부분은 C로, HTML 생성과 처리 부분은 이식성 좋은 펄 언어로 구성돼 대부분의 운영체제를 지원한다. MRTG는 트래픽 현황 모니터링 뿐 아니라 SNMP와 MIB을 이용해 다음과 같은 다양한 항목의 모니터링이 가능하다.

- 네트워크 장비의 트래픽 모니터링과 분석
- 서버 시스템의 트래픽 모니터링과 주요 자원(CPU, 메모리, 디스크 I/O, 네트워크) 현황 모니터링과 분석
- 기타 MIB에서 제공하는 다양한 개체들의 모니터링과 분석

네트워크 트래픽 모니터링과 관리 작업에 있어 상용 도구 못지않은 성능과 기능을 제공하?MRTG는 최근 활용성이 증대되고 있으며, 전용 회선이나 보안 서비스를 제공하고 있는 ISP나 IDC 환경에서 고객 서비스 용으로도 많이 활용되고 있다.
MRTG는 네트워크 관리자에게 매우 강력한 도구임에는 틀림없으나 몇 가지 단점을 갖고 있다. 먼저 트래픽 분류 기능이나 상세 분석 기능이 미약하고, 특히 정상 트래픽 대비 비정상 트래픽 분류나 프로토콜/서비스별 트래픽 분류 기능이 제공되지 않는다.
따라서 이런 추가적인 트래픽 분류 정보를 얻기 위해서는 스니퍼나 Ntop(Network Top)과 같은 내부 네트워크 트래픽 분석 도구나 플로우스캔(Flowscan) 등과 같은 플로우 기반의 트래픽 모니터링 프로그램이 대안으로 제시되고 있다.
현재 MRTG는 유닉스/리눅스 뿐 아니라 윈도우 환경까지 지원한다. 설치나 운영과 관련된 자세한 자료는 웹 사이트 ‘people.ee.ethz.ch/~oetiker/webtools/mrtg’와 ‘www.mrtg.co.kr’를 참조하기 바란다.

· What's up
왓츠업(What's up)은 IPSwitch(www.ipswitch.com)에서 개발한 윈도우 기반 네트워크 자원 관리 도구로 표준 SNMP 기반으로 강력한 기능 제공과 간편한 사용법으로 실제 업무 환경에서 많이 사용되는 NMS 도구다.


[화면5] 왓츠업 주요 화면


HP의 오픈뷰(Openview)나 IBM의 티볼리(Tivoli)와 같은 상용 NMS 도구들은 기업 환경에서 요구하는 강력한 기능을 제공하지만 복잡한 사용법이나 고가의 라이선스 비용, 별도 DBMS 요구 등으로 인해 중소규모 환경에서 운용하기가 쉽지 않다. 이에 비해 왓츠업은 윈도우 환경에서 직관적인 인터페이스 기반으로 상용 NMS에 버금가는 다양한 기능을 제공한다.
왓츠업은 검색 기능을 이용해 네트워크 맵(Network Map) 자동 생성 기능을 제공하며 이 기능은 다수의 시스템 등록이나 네트워크 변동 사항 반영 시 매우 유용하다. 이때 적용하는 옵션으로는 SNMP 장비를 지정하는 스마트스캔(Smart Scan), ICMP, 윈도우 네트워크 환경이나 호스트 파일(hosts) 등이 있다.


[화면6] 왓츠업 스마트스캔(Smart Scan)


왓츠업은 모니터링 하고 있는 네트워크 장비가 폴링(Polling)에 응답하지 않거나, 운영중인 서비스 장애 발생이나 장치로부터 SNMP 트랩이 수신됐을 경우, 각 단계별로 아이콘을 변경시켜 시각적으로 표기한 후 알람(Alarm)이나 알림 메시지를 송부해 관리자에게 통보해 즉각적인 대처가 가능하도록 한다.


[화면7] 왓츠업 장애 경보기능


이외에도 왓츠업은 HTTP나 DNS, FTP, POP3 같은 표준 TCP/IP 애플리케이션이나 관리자가 수동으로 등록한 서비스의 운용 상태도 모니터링할 수 있으며, 이벤트 발생시 관리자에게 통보하거나 내부 로그에 저장해 일정기간 동안의 네트워크 현황 추이 분석이나 체계적인 장애 이력 관리 기능도 제공한다.
또한 왓츠업은 내장된 자체 웹 서버 기능을 이용해 로컬에서 수행할 수 있는 대부분의 기능을 원격지에서도 수행할 수 있어 네트워크 모니터링 작업의 관리 편의성을 높였다.


[화면8] 왓츠업 웹 GUI 기능


이외에도 왓츠업은 내장된 MIB 브라우저나 SNMP 도구, Lookup, Whois, Scan, Throughput 등과 같은 10여 개의 네트워크 유틸리티를 제공해 다양한 분석 기능과 함께 효율적인 모니터링 기능을 제공한다.
왓츠업과 같은 네트워크 관리도구를 이용하면 전체 네트워크 자원의 체계적인 관리가 가능할 뿐 아니라 평상시에는 발견할 수 없는 시스템 단위에서의 다양한 이벤트나 이슈까지도 검증할 수 있다.
(화면 9)는 필자가 일전에 작업을 수행한 한 사이트에서 왓츠업을 이용해 IDC 내부의 전체 서버 팜(Server Farm)을 모니터링한 결과, 이상 현상을 나타낸 웹 시스템이다. 화면에서 보는 바와 같이 1, 2분 간격으로 HTTP 서비스가 업/다운을 반복하고 있는 것을 알 수 있다.


[화면9] 왓츠업 Quick Status 로그


대개 이같은 현상은 웹 트래픽이 폭주하거나 웹 서비스 데몬 장애 시 발생하는 경우가 많다. 해당 시스템을 분석한 결과 해킹에 의해 백도어가 다수 설치된 상태였으며 이로 인한 과도한 트래픽 발생으로 인해 웹 서비스가 주기적으로 업/다운을 반복하고 있는 상황이었다.
외부로 서비스 중인 웹 시스템의 이같은 불안정한 동작은 매우 심각한 현상이다. 하지만 연결이 계속 유지되지 않는 웹 서비스의 특성때문에 이처럼 짧은 간격 동안의 서비스 업/다운 반복은 전문적인 모니터링 도구를 사용하지 않으면 발견하기 힘들다.

· Syslog와 로그분석 도구
네트워크에서 동작중인 장비나 시스템은 모두 로그를 발생시키고 저장하는 데, 각각 다른 포맷과 다른 방식을 사용하기 때문에 공통된 로그 관리의 필요성이 대두됐다. 이를 통해 탄생한 것이 대표적인 것이 표준 로그 포맷인 Syslog다.
Syslog는 그 설정 내역에 따라 기본 로그부터 세부적인 정보까지 단계별로 저장할 수 있다. 기본 저장 위치는 로컬 시스템이지만, 필요에 따라 외부의 별도 시스템에도 전송할 수 있으며, 외부 서버로 로그 전송 시에는 514/UDP 포트를 사용해 통신한다.


[그림2] Syslog 개요


시스템이나 네트워크 장비의 접속이나 이벤트 로그는 네트워크 관리자뿐 아니라 보안 관리자에게도 매우 중요한 요소다. 다양한 시스템과 장비들이 각각 생성, 저장/관리하는 방대한 양의 로그를 개별적으로 점검하고 분석한다는 것은 비효율적이며 현실적으로 불가능하다.
특히, 스위치나 라우터 같은 네트워크 장비들은 자체적으로 갖고 있는 저장 공간의 한계 때문에 일정 분량의 로그만 저장한다. 특히, 로그가 메모리에 저장되기 때문에 재부팅되면 로그가 소멸돼, 보안 사고 발생시 로그 분석이 불가능한 경우도 많다.
따라서 대규모 네트워크 환경에서는 별도의 로그 서버를 운용해 다양한 장비의 로그를 단일 시스템으로 통합 관리하는 경우가 많다. 이처럼 별도의 로그 서버를 운영하면 단일 시스템에서 모든 대상 장비의 체계적인 로그 관리가 가능하므로, 해킹이나 보안 침해사고 발생시에도 안전한 로그 관리로 인해 원인 규명이나 추적이 가능한 장점이 있다.


[그림3] 로그서버 운용 개요


Syslog 클라이언트 유닉스 서버 워크스테이션 스위치 라우터 인터넷 로그 서버(Syslog 데몬) 514/UDP

로그 서버의 운영은 유닉스/리눅스 환경에서는 기본적으로 제공되는 Syslog 데몬이 주로 이용되며, 윈도우 환경에서는 ‘키위 Syslog(Kiwi Syslog)’와 같은 별도의 Syslogd 도구를 이용해 운영한다. 이 도구는 웹 사이트(www.kiwisyslog.com)에서 다운받을 수 있다.


[화면10] 윈도우용 Kiwi Syslog


'Kiwi Syslog Daemon'은 등록 여부에 따라 스탠더드(Standard) 버전과 서비스(Service) 버전으로 구분되며, 정식 버전은 호스트별 로그 정렬기능, DBMS 저장 기능 등의 추가적인 고급 기능을 제공한다. 특히 ‘Kiwi Secure Tunnel’ 프로그램을 이용하면 로그 서버와 로그 클라이언트 사이의 통신을 암호화 처리해 보안성을 확보할 수 있다.
시스템이나 네트워크 장비의 로그 저장과 분석이 Syslog의 주된 목적이지만, 최근에는 Syslog를 이용해 파이어월, UTM(Unified Threat Management), IPS(Intrusion Prevention System) 등과 같은 보안 장비의 세부적인 로그 분석과 공격 유형 분석에 활용되기도 한다.


[화면11] Syslog를 이용한 IPS 공격 로그 전송


특히 최근에는 관리 편의성을 위해 클라이언트/서버 방식이 아닌 웹을 관리 인터페이스로 채용한 보안 제품이 증가하고 있는데, 웹의 특성상 실시간 경보(Alert)나 로그 처리 기능이 텍스트 위주로 처리돼 가독성이 떨어지기 때문에 Syslog와 별도의 로그 아날라이저(Log Analyzer)를 이용하는 트래픽 모니터링과 로그 분석을 처리하는 경우가 많다.
현재 출시돼 있는 보안로그 분석 제품 중 가장 폭넓은 연동성을 제공하고 있는 제품 중 하나가 EIQ네트웍스(www.eiqnetworks.com)의 ‘Network Security Analyzer’로서 이를 이용하면 네트워크 보안 장비에서 생성한 Syslog 파일을 이용해 다양한 형태의 트래픽 분석과 보안 분석 리포트 출력이 가능하다.


[화면12] EIQ Network Security Analyzer


EIQ네트웍스의 네트워크 보안분석 도구는 시스템이나 네트워크 장비의 기본적인 로그 관리 뿐 아니라, 파이어월/VPN, IDS/IPS, 안티바이러스, 컨텐츠 필터링, 스팸, 웹 보안 등과 같은 다양한 보안 이슈와 트래픽 현황에 대한 상세한 분석 자료를 제공한다. 현재 지원하는 보안 제품군은 (표 4)에 정리돼 있으며, 이를 이용하여 출력한 리포팅 화면은 (화면 13), (화면 14)와 같다.


[표4] EIQ Network Security Analyzer 지원 보안 제품군(2005.11)



[화면13] EIQ 로그 분석기 주요 화면 1



[화면14] EIQ 로그 분석기 주요 화면 2






















출처 : http://acc.ahnlab.com/secu_view.asp?seq=7419























신고

Comment +0

1) 웹 어플리케이션 모의해킹

 

이름

설명

URL

wapiti

웹 취약점 스캐너

http://wapiti.sourceforge.net/

w3af

웹 취약점 스캐너

http://w3af.org/category/python

V3n0M-Scanner

웹 취약점 스캐너

https://github.com/v3n0m-Scanner/V3n0M-Scanner

xsser

XSS 취약점 스캐너

http://xsser.sourceforge.net/

sqlmap

SQL 인젝션 점검 도구

http://sqlmap.org/

spiderfoot

웹서버 풋프린팅 분석

http://sourceforge.net/projects/spiderfoot/

Parsero

웹사이트 디렉토리 탐색

https://github.com/behindthefirewalls/Parsero

dnsrecon

DNS 정보 목록화 도구

https://github.com/darkoperator/dnsrecon

 

 

2) 네트워크 분석

이름

설명

URL

Scapy

패킷 생성 및 조작 도구

http://www.secdev.org/projects/scapy/

dpkt

패킷 생성 및 조작 도구

https://code.google.com/p/dpkt/

pyhids

파이썬 기반의 HIDS

https://bitbucket.org/cedricbonhomme/pyhids/

pypcap, Pcapy and pylibpcap

패킷 덤프

https://code.google.com/p/pypcap/

http://corelabs.coresecurity.com/index.php?module=Wiki&action=view&type=tool&name=Pcapy

http://pylibpcap.sourceforge.net/

droopy

간단한 파일 공유

http://stackp.online.fr/?p=28

netgrafio

네트워크 구성도 시각화

https://github.com/nullsecuritynet/netgrafio

 

 

3) 포렌식 분석도구

이름

설명

URL

volatility

메모리 포렌식 도구

https://code.google.com/p/volatility/

libforensics

디지털 포렌식 도구

https://code.google.com/p/libforensics/

python-registry

레지스트리 포렌식

http://www.williballenthin.com/registry/

 

 

4) 악성코드 분석도구

 

이름

설명

URL

KicomAV

백신엔진

http://www.kicomav.com/

PyEMU

백신엔진

https://code.google.com/p/pyemu/

Yara

백신엔진

https://code.google.com/p/yara-project/

pyClamAV

백신엔진

http://xael.org/norman/python/pyclamav/index.html

Cuckoo Sandbox

가상화기반 악성코드 분석

http://www.cuckoosandbox.org/

pefile

PE 분석 도구

https://code.google.com/p/pefile/

peframe

PE 분석 도구

https://github.com/guelfoweb/peframe

jsunpack-n

자바스크립트 분석 도구

https://code.google.com/p/jsunpack-n/

thug

웹기반 악성코드 분석

https://buffer.github.io/thug/

apkinspector

안드로이드 악성코드 분석

https://github.com/honeynet/apkinspector/

 

 

5) 문서형 악성코드 분석

이름

설명

URL

HwpScan2

한글 취약점 스캐너

http://www.nurilab.com/?p=58

PDFDot

PDF 분석 및 시각화 도구

http://www.nurilab.com/?p=170

pdf-parser

PDF 분석 도구

http://blog.didierstevens.com/programs/pdf-tools/

pyPdf

PDF 분석 도구

http://pybrary.net/pyPdf/

VulScan

문서 분석 도구

https://code.google.com/p/vulscan/

 

 

6) 기타

이름

설명

URL

Sulley

fuzzing framework

https://github.com/OpenRCE/sulley

Powerfuzzer

fuzzing framework

http://www.powerfuzzer.com/

Pompem

취약점 정보 검색

https://github.com/rfunix/Pompem

 












출처 : http://kyaru.blog.me/130167232493

>> 보안 관련 자료가 제법 괜찮습니다.










 

 

신고

Comment +0

지난 연재에서 네트워크와 시스템의 모니터링 개요와 중요성, 그리고 몇몇 도구를 이용한 모니터링 방법론에 대해 살펴보았는데, 이번 연재에서는 '모니터링으로 강화하는 네트워크 시큐리티'를 주제로, 최근 관심이 증대되고 있는 트래픽 모니터링과 플로우(Flow) 기반 분석 방법론에 대해 살펴보도록 하겠다.

박광청 | 인큐브테크 정보보안컨설팅 과장

일정 규모 이상의 네트워크를 운영하고 있는 사이트에서 최근 가장 이슈가 되고 있는 것 중 하나가 비약적으로 증가하는 유해 트래픽으로, 이는 외부로부터 행해지는 직접적인 해킹이나 공격 패킷 뿐 아니라 환경설정 오류나 웜/바이러스, P2P 애플리케이션 등 매우 다양한 원인으로 발생하고 있다.
유해 트래픽은 정상적인 네트워크 운용이나 서비스 운영을 방해하는 악의적 공격성 패킷과 웜/바이러스, 그리고 최근 유행하고 있는 P2P 애플리케이션 등으로 분류할 수 있는데, 이같은 트래픽의 급속한 확산은 네트워크에 직접적인 피해를 유발할 뿐 아니라, 최근에는 내부 정보 유출로까지 이어지고 있어 심각성이 나날이 증가하고 있다.

 


특히, 내부의 특정 시스템에서 발생하는 과도한 트래픽으로 인한 패킷 로스(Packet Loss) 등으로 인해 전체 네트워크가 불안정하게 동작하거나 영향을 받는 사례가 최근 들어 자주 발생하고 있다. 이는 대개 은밀히 설치된 웜/바이러스나 백도어에 의한 경우가 많으며 이런 현상은 최근 중요성이 부각되고 있는 내부 네트워크 구간에서의 보안과 밀접한 연관이 있다.

 

① 사례 1
A사는 비즈니스의 특성상 정직원 외에도 프로젝트 파견 근무자와 계약직 근무자가 다수 근무하고 있는데, 최근 내부 네트워크 구간에서 웜/바이러스 감염으로 인한 네트워크와 애플리케이션 서비스에 장애가 자주 발생하고 있다.
일반적으로 이같은 문제의 원인은 외부 직원들의 노트북에서 발생하는 경우가 많아, 임시방편으로 스위치에서 해당 포트를 분리한 후 웜/바이러스를 치료해 해결하고 있는데, 문제는 장애 시스템을 찾아 처리하기까지 많은 시간이 소요되고 있다는 것이다.
특히 최근에는 내부 애플리케이션 서버가 종종 타깃이 되고 있으며, 제한적으로 설치된 무선 네트워크 구간을 경유한 위협도 감지되고 있는데, 네트워크 경계 부분에 설치된 파이어월, 바이러스월, IDS 등은 안정적으로 동작하고 있지만, 이런 문제 해결에는 큰 도움이 되지 않는 것으로 보인다.

 

② 사례 2
B사는 전사적으로 PMS(Patch Management System)를 도입해 보안 업데이트나 최신 패치가 설치되지 않은 시스템은 네트워크에 연결해도 인터넷 연결이 되지 않도록 구성해 보안 패치 미설치로 인해 발생하는 많은 이슈를 해결하고 있었다.
그러나 최근에 이미 웜/바이러스에 감염된 외부 사용자의 노트북이 네트워크에 연결되면서 네트워크가 불안정하게 동작했는데, 이를 인식하고 장애원인 파악과 해결까지 많은 시간이 소요됐다.

 

③ 사례 3
C사는 본사와 5개의 지사를 운영하고 있으며, 본사와 지사는 프레임릴레이 전용회선으로 구성되어 있는데, 최근 특정 지사에서 발생하는 유해 트래픽으로 인해 전체 네트워크가 불안정하게 동작하는 사례가 빈번하게 발생하고 있다.

이같은 사례들은 네트워크 관리자라면 누구나 경험했을 정도로 최근 빈번하게 발생하고 있는 보안 이슈다. 이처럼 유해 트래픽 발생으로 인해 전체 네트워크의 불안정한 동작이 감지됐을 경우 가장 먼저 선행돼야 할 것은 정확한 장애 원인 파악이다.
이런 유해 트래픽의 발생지와 원인 분석 작업에는 IDS/IPS와 NMS, MRTG, 스니퍼, 보안스캐너와 같은 다양한 보안 도구들이 이용될 수 있지만, IDS/IPS와 같은 보안 솔루션은 네트워크 경계지점에 설치되기 때문에 내부 네트워크 구간 보안 이슈에 대해서는 기능이 제한적이며, 스니퍼나 보안 스캐너는 사후 분석에 가까운 도구다.

 


또한, MRTG나 SNMP를 활용한 트래픽 모니터링은 전체 네트워크의 변화나 추이 분석에는 효과적이지만, 관리자가 필요로 하는 과도한 트래픽을 유발하는 특정 호스트 검색이나 전체 트래픽에서 특정 서비스/애플리케이션 분류나 분석과 같은 세부적인 정보 제공은 불가능하다.

최근의 네트워크 트래픽은 웹, FTP, 전자우편 등과 같은 일부 애플리케이션 중심이었던 과거와는 달리 온라인 게임, 뱅킹, VOD, VoIP 등의 새로운 애플리케이션과 프로토콜의 출현으로 인해 매우 복잡해지고 세분화되는 경향을 보이고 있다.
특히 과도한 트래픽 유발이나 세션을 생성하는 유해 트래픽의 경우, 네트워크 자원 낭비 뿐 아니라 시스템 오동작 유발과 다른 시스템 감염 등을 통해 전체 네트워크 장애로 이어질 수 있기 때문에 트래픽, 보안 관리는 더욱 중요시되고 있다.
이런 경향을 반영해 최근에는 트래픽 모니터링의 패러다임이 이상 트래픽 모니터링과 현황 분석을 통해 유해 트래픽의 발생지/목적지 확인과 현재 보안 위협수준 정의, 그리고 자동화된 대처를 통해 안정적인 네트워크/서비스 가용성을 확보하는 쪽으로 변화하고 있다.

 

 

 

과거에는 트래픽 관리 작업이 주로 MRTG나 NMS를 이용해 전체 트래픽을 모니터링 하고 장애 발생시 신속한 복구와 처리 등 사후 관리에 집중됐었다. 하지만, 점차 네트워크 주요 지점에서 수집된 세부 정보를 바탕으로 장애가 발생하기 전 사전 감지와 자동화된 제어와 같은 능동형 솔루션으로 발전하고 있다.
유해 트래픽 발생이나 하드웨어/소프트웨어 장애로 인해 네트워크에 이상 현상이 감지될 경우, 신속한 원인 파악과 즉각적인 대처를 위해서 필수적으로 요구되는 정보는 다음과 같다.

 

? 가장 많은 트래픽을 유발하는 호스트 정렬(Top N)과 실시간 현황 모니터링
? 전체 트래픽에서 프로토콜(TCP, UDP, ICMP 등)별 트래픽 분류 기능
? 전체 TCP 트래픽에서 각 애플리케이션(HTTP, SMTP, POP3)별 트래픽 분류 기능
? 전체 트래픽에서 PPS(Packet Per Second)와 FPS(Flow Per Second) 추이 분석
? 전체 네트워크에서 P2P 애플리케이션 운용 현황과 점유 대역폭

 

이같은 정보는 전체 트래픽 정보만을 제공하는 MRTG나 SNMP만으로는 구현할 수 없기 때문에 별도의 모니터링 시스템이 필요하다. 전체 네트워크 트래픽에 대한 상세한 모니터링을 위해서는 모든 트래픽이 통과하는 백본 네트워크 구간에 탭(Tap)이나 프로브(Probe)를 설치하거나 백본 라우터에서 제공하는 플로우(Flow) 정보를 이용할 수 있다.
현재 이런 기능을 전문적으로 수행하는 솔루션은 트래픽 감지시스템이나 TMS(Threat Management System)와 같은 상용 솔루션과 몇몇 공개용 도구들이 있다. 이번 연재에서는 Ntop(Network Top)과 시스코 장비에서 제공하는 넷플로우(NetFlow) 기능을 이용래 네트워크 트래픽을 분석하기 위한 방법을 살펴보겠다.

 

NTop
NTop(Network Top)은 대표적인 오픈 소스 진영의 네트워크 트래픽 모니터링 도구로, 실시간으로 전체 네트워크 상황에 대한 상세한 정보를 제공하므로 네트워크 관리자나 보안 관리자에게 매우 유용한 도구다.
Ntop은 유닉스/리눅스 뿐 아니라 원도우 플랫폼까지 지원하며, 관련 파일은 웹사이트 (www.ntop.org)에서 다운로드 받을 수 있는데, 윈도우용 Ntop은 현재 상용이므로 기능 제한이 있는 데모 버전만 제공되고 있다.

 


NTop은 터미널 방식과 웹 방식 두 가지 환경을 지원하지만, 실제 트래픽 분석 작업에는 다양한 분석 정보와 리포팅 기능을 제공하는 웹 방식이 많이 사용된다. Ntop을 이용해 모니터링하고 분석할 수 있는 정보는 (표 2)와 같다.

 


Ntop은 현재 네트워크에서 트래픽, 호스트, 네트워크 대역폭, VLAN, NetFlows 정보 뿐 아니라, 전체 네트워크 혹은 호스트 별로 상세 트래픽과 프로토콜 분류 기능 등 다양한 정보를 제공하는데 몇 가지 예를 살펴보면 다음과 같다.

 

① 패킷 정보 모니터링
전체 네트워크 트래픽에 대한 모니터링 메뉴에서 트래픽 종류와 현재 패킷 크기에 대한 통계 정보를 얻을 수가 있으며 전체 네트워크 트래픽에서 브로드캐스트 패킷과 64바이트 이하의 작은 크기의 패킷이 높은 비율을 유지하고 있는 것을 알 수 있다(화면 4).

 


네트워크 내부에 과도한 브로드캐스트 트래픽이 발생하고 있거나, 64바이트, 128바이트 미만의 작은 크기의 패킷 비율이 높은 것은 네트워크의 물리적 구성에 문제가 있거나, 1차적으로 웜/바이러스나 포트 스캔, P2P 애플리케이션에 의한 과도한 트래픽 발생 가능성을 의심해 볼 수 있다.

 

② 프로토콜 분류
(화면 5)는 전체 네트워크 트래픽을 프로토콜 별로 분류한 것으로 UDP 트래픽 비율이 비정상적으로 높은 것을 알 수 있는데, 세부 정보에서 UDP 프로토콜을 사용하는 DHCP-BOOTP와 NetBIOS 관련 세션이 대부분을 차지하고 있는 것을 알 수 있다.

 


네트워크 환경에서 TCP 트래픽을 훨씬 상회하는 과도한 UDP 트래픽 분포는 정상적인 네트워크 흐름과는 다소 차이가 있는데 이같은 결과로 미뤄볼 때, 내부 네트워크 구간에서 동적 IP 설정과 관련된 불필요한 트래픽이 과도하게 발생하고 있음을 짐작할 수 있다.

 

③ 네트워크 부하 정보
네트워크 부하 기능을 이용하면 날짜별, 시간별로 전체 네트워크 부하 정보의 모니터링이 가능한데, 정상적인 패턴을 벗어나는 이상 트래픽이 감지될 경우, Ntop에서 제공하는 호스트별 상세 트래픽 사용량이나 서비스/프로토콜 추이 분석을 통해 유해 트래픽에 대한 세부 정보 분석이 가능하다.

 


④ 호스트별 네트워크 트래픽 분류
네트워크의 전체 호스트를 대상으로 트래픽을 분류한 것으로 내부 네트워크와 외부 네트워크를 기준으로 하여 일정 시간 동안에 네트워크 대역폭을 가장 많이 점유한 호스트를 검색하고 사용 프로토콜에 대한 통계 정보를 제공한다.

 


Ntop은 네트워크 전체 트래픽을 모니터링하고 분석하기 위한 유용한 도구지만 Ntop의 Web GUI 인증 기능은 보안에 매우 취약하므로 주의가 필요하다. 만일 Ntop을 기본(Default) 상태로 운영할 경우 3000/TCP 포트로 별도의 인증 절차 없이 로그인할 수 있다.
실제로 구글(Google) 등의 검색 엔진에서 적절한 검색어를 입력하면 손쉽게 Ntop 메인 페이지로 접속할 수 있는 사이트를 검색(Google Hacking)해 로그인 할 수 있는데, 이는 내부 네트워크/시스템 정보 뿐 아니라 운용중인 애플리케이션 정보까지 외부에 그대로 노출되는 것을 의미하므로 매우 위험하다.
따라서 네트워크 트래픽 모니터링을 위해 Ntop을 운영할 경우에는 파이어월의 패킷 필터링이나 아파치 웹 서버의 인증 프로세스를 이용하거나 별도의 사설 네트워크를 구성해 외부에서의 불법적인 접근을 통제해야 한다.

 

플로우 기반 모니터링 기법
플로우(Flow)는 두 종단(End Point) 간의 패킷 집합을 의미하며, 일정 시간 동안의 출발지 IP, 목적지 IP, 출발 포트, 목적 포트 및 프로토콜 등과 같은 항목으로 정의되는데, 최근 네트워크 트래픽 분석에 있어 관심이 증대되고 있는 것 중 하나가 이런 플로우(Flow)를 이용한 모니터링 기법이다.

 

 


 

네트워크 트래픽을 플로우 기반으로 분류하면 패킷 레벨에서는 불가능한 세부적인 트래픽 분석이 가능할 뿐 아니라, 동일한 패턴을 단일 플로우로 저장하는 압축 효과가 있기 때문에 대용량 트래픽을 운용하는 네트워크 환경에서도 매우 효율적이다.
네트워크 환경에서 이같은 트래픽 플로우 정보를 얻기 위한 방법은 크게 두 가지가 있는데, 라우터나 스위치에서 생성된 플로우 정보를 받아오는 것과 모니터링 시스템 자체적으로 프로브와 같은 수집기를 이용, 트래픽 정보를 수집해 플로우를 생성하는 방법이 있다.
전자는 시스코의 넷플로우(NetFlow), 주니퍼의 cFlowd 등과 같은 네트워크 장비에서 제공하는 플로우 기능이나 플로우스캔(FlowScan)과 같은 도구를 이용하며, 후자는 트래픽 감지 시스템이나 TMS(Threat Management System)와 같은 상용 솔루션에서 많이 채택하고 있는 방식이다. 여기에서는 시스코의 넷플로우 기능에 대해 살펴보도록 하겠다.
시스코 라우터에서 트래픽 모니터링을 위해 많이 사용되는 방법이 IP Accounting과 NetFlow다. 트래픽 모니터링을 실시할 인터페이스에서 해당 기능을 활성화 한 후 명령어를 실행하면 된다(화면 8).

 


이 두 기능은 네트워크 장애 처리시 매우 유용한데, IP Accounting은 라우터의 CPU나 메모리에 부하를 주기 때문에 트래픽이 많은 곳에서 적용은 주의를 요하는데 비해, NetFlow는 장비에 부하를 거의 발생하지 않고 플로우 기반으로 현재 트래픽에 대한 세부적인 정보를 제공한다는 장점이 있다.

 


'sh ip cache flow' 명령어를 실행하면 현재 플로우 기반 트래픽 정보 조회가 가능한데, 이런 커맨드 방식은 불편하고 전체 통계 정보를 제공하지 못하기 때문에 실제 운용 환경에서는 플로우스캔(FlowScan)과 같은 도구를 이용해 MRTG와 유사한 방식으로 웹을 통해 모니터링 하는 방법이 많이 사용된다.
플로우스캔(FlowScan)은 플로우 정보를 수집하는 cflowd와 수집된 플로우 정보를 분석해 데이터베이스에 기록하는 RRD(Round Robin Database), 그리고 RRD에 의해 작성된 데이터베이스 정보를 이용, 시간대별로 그래프를 생성하는 RRDtool로 구성돼 있다(그림 4).

 

 

(화면 10)은 플로우스캔과 RRD 도구를 이용해 생성한 프로토콜/서비스별 입/출력 플로우 정보다. 알려진 공격 패턴이나 P2P 애플리케이션 트래픽은 거의 없는 반면, HTTP나 DNS, SMTP, FTP 등과 같은 정상적인 접속 트래픽 비율과 그 외 서비스(Other Services) 트래픽 비율이 비슷한 것을 알 수 있다.
이를 통해 네트워크에 알려지지 않은 포트를 사용하는 애플리케이션이나 최근의 P2P 애플리케이션과 같이 동적인 포트를 무작위로 생성하여 사용하는 애플리케이션들이 다수 동작하고 있음을 짐작할 수 있다. 최근에는 80/TCP 포트를 이용해 동작하는 P2P 애플리케이션도 다수 존재하므로 이에 유의할 필요가 있다.

 


NetFlow와 FlowScan을 이용한 트래픽 분석에서 유의해야 할 사항은 그래프에 표기된 데이터는 라우터나 스위치에서 전송(Export)된 데이터를 5분 간격으로 가공해 처리한 결과이므로 실제 상황과 다소 시차가 존재한다는 것이다.
FlowScan은 시스코 NetFlow를 분석하기 위한 공개용 도구로 매우 강력한 기능을 제공하지만 이를 정상적으로 운용하기 위해서는 관련 모듈 설치나 컴파일 등의 사전 작업이 필요하기 때문에 다소 번거로울 수 있다. NetFlow Analyzer나 PeakFlow와 같은 상용 도구들은 원도우 플랫폼에서 일관된 인터페이스 기반으로 높은 관리 편의성을 제공하는 장점이 있다.

 


모니터링, 관리 프로세스, 사용자의 보안 의식이 중요
지금까지 총 6회에 걸쳐 ‘다양한 도구를 활용한 네트워크/시스템 시큐리티 방법론’을 주제로 네트워크/시스템 공격을 위한 정형화된 프로세스와 방법들에서부터 다양한 보안 도구와 트래픽 모니터링 기법을 이용해 네트워크/시스템 보안 수준을 점검하고 전체 보안 수준을 향상하는 기법에 대해 살펴봤다.
인터넷과 네트워크 환경이 일상 생활과 점차 긴밀하게 융합됨에 따라 네트워크 환경에서의 보안과 프라이버시 이슈는 향후 더욱 중요시 될 것으로 예상된다. 이를 반영하듯 보안 솔루션이나 보안 방법론도 점차 세분화되고 있으며, 이러한 경향은 더욱 가속화될 것이다.
그러나 기업이나 조직의 전체 보안 프로세스에 있어 무엇보다 중요한 것은 특정 제품이나 솔루션의 도입이 아니라 지속적인 모니터링과 관리 프로세스, 그리고 사용자의 보안 의식이라 할 수 있으며, 특히 이것은 이를 운용하는 관리자에게 남겨진 숙제라고 할 수 있다.












출처 : http://blog.naver.com/screamo/90000781365

>> 모니터링 기술을 조금 해본 사람들은 이해가 가능할 듯하다. 나름 괜찮음..















신고

Comment +0

티스토리 툴바