ESM에 대해서

Enterprise security management로 보안관리를 전사적인 차원에서 체계적으로 관제/관리 하기 위한 시스템

ESM의 필요

• 다양한 보안제품과 통일되지 않은 로그로 인한 효율적인 관제 불가능
• 표준화되지 않은 로그로 인한 효율적인 모니터링의 어려움을 해결하기 위한, 로그표준화 논란이 있었으나 진척이되고 있지 않음
  
• 보안인력 확보의 어려움

ESM의 구성

• 정규화 모듈 : 다양한 종류의 보안제품과 이들의 로그를 분석해서 정해진 포맷으로 정규화 시킨다.
• AC 모듈 : 정규화된 로그를 분석해서 보안룰에 통과 시켜서 이벤트를 발생한다.
  
• Comm 모듈 : 이벤트 혹은 정규화된 로그를 Monitor혹은 상위 ESM System에 전달한다.
• DB 모듈 : 이벤트 혹은 정규화된 로그를 DB에 저장한다.
  

AC 모듈

• 정규화모듈을 통해서 정규화된 로그를 받아들이고 이를 룰에 통과시켜서, 룰을 만족하면 이에 해당되는 이벤트를 Comm모듈로 전달
• 받아들인 로그를 DB에 저장하기 위해서 DB모듈로 전달

연관관계분석엔진

• 이벤트간의 연관관계를 분석해서 새로운 이벤트를 만들어내는 엔진
• ex) 정해진 호스트에 대해서 Port Scan 발생후 SSH 연결이 일어나고, SU가 발생하면 RRS 이벤트를 발생하라.
• 2차원 이벤트군에서 일정한 범위의 이벤트를 묶기 위해서 RTree를 이용
• 이 방식의 경우 실시간성을 유지할 수 있으나 많은 양의 메모리를 사용하게 된다.
• 정확히는 2차원이 아닌 1차원배열에서 필요한 이벤트를 모으는 방식으로 완전한 rtree라고 할수는 없다.
  

칩입탐지엔진

• 보안관제에서 실질적으로 가장 중요한 이벤트는 DOS/DDOS 이다.
  
• 이 엔진은 이벤트를 카운팅해서 목적/출발지 호스트에 대한 공격출발지와 공격목적지에 대한 정보 획득

• 출발지 호스트를 기준으로 할경우 매우 넓은 범위의 IP에 대한 정보를 획득해야 하기 때문에, HashMap을 구현
• Map은 <{IP,PORT},INFO>의 쌍으로 이루어진다.
• 실시간으로 정보를 획득하는 모델의 경우 메모리관리가 중요해진다. 이를 위해서 의 별도의 테이블을 구성

서비스 침입징후탐지엔진

• 네트워크 대역에 대한 서비스별 증가 추이에 대한 데이터를 수집하고, 이들 추이를 분석해서 침입징후를 판단.
• 시간/일간/주간/년간 증감추이에 대한 데이터를 저장

• 데이터 베이스는 RRD(:12)와 같은 구조라고 볼 수 있으며, 아카이브를 만들지 않는다. 이런 이유로 DB파일의 크기가 커질 수 있다.
• DB파일은 압축효율이 매우 좋으므로 압축관리 하면 공간을 절약할 수 있다.
  
• RDBMS를 사용하지 않는 이유는, RDBMS를 이용하는 것보다 더 빠르며 작은 크기를 유지할 수 있기 때문이다.