책소개
네트워크 보안에도 이제 빅데이터 지식이 필요하다.
이 책을 접하면서 실제 보안 제품을 이용하여 어떻게 네트워크 및 IT 관리자가 이상 행위를 좀 더 스마트하게 탐지하고 차단할 수 있는지 많은 통찰을 얻을 수 있었다. 특히 각종 보안 제품에서 쏟아져 나오는 데이터를 일일이 눈으로 확인하고 대응하는 것이 아니라 데이터 분석에 수학적/통계적 기법을 적용한 점이 인상적이었다. 즉, 요즘 빅데이터라고 하는 분야의 지식이 네트워크 보안에도 필요하며 앞으로 IT 관리자가 갖춰야 할 역량 중 하나가 바로 데이터 분석 능력으로 보인다.
목차
★ PART I 데이터
CHAPTER 1 센서와 탐지기
1.1 감시점: 센서의 위치가 정보 수집에 미치는 영향
1.2 영역: 수집할 정보 선택하기
1.3 동작: 센서가 데이터로 하는 일
1.4 마치며
CHAPTER 2 네트워크 센서
2.1 네트워크 계층 나누기와 계층이 계측에 미치는 영향
__2.1.1__ 네트워크 계층과 감시점
__2.1.2__ 네트워크 계층과 어드레싱
2.2 패킷 데이터
__2.2.1 패킷과 프레임 형식
__2.2.2 회전 버퍼
__2.2.3 패킷에서 추출하는 데이터 제한하기
__2.2.4 특정 유형의 패킷 필터링하기
__2.2.5 이더넷이 아니라면 어떤 일이 벌어질까?
2.3 NetFlow
__2.3.1 NetFlow v5 형식과 필드
__2.3.2 NetFlow 생성과 수집
2.4 읽을거리 추천
CHAPTER 3 호스트와 서비스 센서: 출발지에서 트래픽 로그 남기기
3.1 로그 파일 접근과 처리
3.2 로그 파일의 내용
__3.2.1 좋은 로그 메시지의 요건
__3.2.2 로그 파일 다루기
3.3 대표적인 로그 파일 형식
__3.3.1 HTTP: CLF와 ELF
__3.3.2 SMTP
__3.3.3 마이크로소프트 익스체인지: 메시지 추적 로그
3.4 로그 파일 전송: 전송, syslog, 메시지 큐
__3.4.1 전송과 로그 파일 순환 교대
__3.4.2 syslog
3.5 읽을거리 추천
CHAPTER 4 분석을 위한 데이터 저장: 관계형 데이터베이스, 빅데이터, 그리고 다른 선택
4.1 로그 데이터와 CRUD 패러다임
__4.1.1 잘 조직된 플랫 파일 시스템 만들기: SiLK에서 얻은 교훈
4.2 NoSQL 시스템 소개
4.3 어떤 저장 방법을 사용해야 하나?
__4.3.1 저장 계층, 질의 시간, 에이징
★ PART II 도구
CHAPTER 5 SiLK 패키지
5.1 SiLK는 무엇이며 어떻게 작동하는가?
5.2 SiLK 설치하기
__5.2.1 데이터 파일
5.3 출력 필드 처리 방식을 선택하고 형식 지정하기: rwcut
5.4 기본 필드 조작: rwfilter
__5.4.1 포트와 프로토콜
__5.4.2 크기
__5.4.3 IP 주소
__5.4.4 시간
__5.4.5 TCP 옵션
__5.4.6 도움 옵션
__5.4.7 기타 필터링 옵션과 기법
5.5 rwfileinfo와 그 기원
5.6 정보 흐름 결합하기: rwcount
5.7 rwset과 IP 집합
5.8 rwuniq
5.9 rwbag
5.10 고급 SiLK 기능
__5.10.1 pmaps
5.11 SiLK 데이터 수집하기
__5.11.1 YAF
__5.11.2 rwptoflow
__5.11.3 rwtuc
5.12 읽을거리 추천
CHAPTER 6 보안 분석가를 위한 R 소개
6.1 설치
6.2 R 언어 기초
__6.2.1 R 프롬프트
__6.2.2 R 변수
__6.2.3 함수 작성
__6.2.4 조건문과 반복문
6.3 R 작업공간 사용하기
6.4 데이터 프레임
6.5 시각화
__6.5.1 시각화 명령어
__6.5.2 시각화 옵션
__6.5.3 시각화에 주석 달기
__6.5.4 시각화 내보내기
6.6 분석: 통계 가설 검정
__6.6.1 가설 검정
__6.6.2 데이터 검정
6.7 읽을거리 추천
CHAPTER 7 분류 및 이벤트 도구: IDS, AV, SEM
7.1 IDS는 어떻게 작동하는가
__7.1.1 기본 용어
__7.1.2 분류기 실패 비율: 기본 비율 오류 이해하기
__7.1.3 분류 적용하기
7.2 IDS 성능 개선하기
__7.2.1 IDS 탐지 향상시키기
__7.2.2 IDS 대응 향상시키기
__7.2.3 데이터 미리 가져오기
7.3 읽을거리 추천
CHAPTER 8 참조와 조회: 누군지 파악하는 도구
8.1 MAC과 하드웨어 주소
8.2 IP 주소 할당하기
__8.2.1 IPv4 주소의 구조와 주요 주소
__8.2.2 IPv6 주소의 구조와 주요 주소
__8.2.3 연결 점검: ping을 이용하여 주소에 연결하기
__8.2.4 경로 추적하기
__8.2.5 IP 정보 수집: 지리적 위치와 인구 통계 정보
8.3 DNS
__8.3.1 DNS 이름 구조
__8.3.2 dig를 이용한 순방향 DNS 질의
__8.3.3 DNS 역조회
__8.3.4 whois로 소유권 찾기
8.4 추가 참조 도구
__8.4.1 DNSBL
CHAPTER 9 기타 도구
9.1 시각화
__9.1.1 Graphviz
9.2 통신과 프로브
__9.2.1 netcat
__9.2.2 nmap
__9.2.3 Scapy
9.3 패킷 분석 및 조회
__9.3.1 와이어샤크
__9.3.2 GeoIP
__9.3.3 NVD, 악성 사이트, C*E
__9.3.4 검색 엔진, 메일링 리스트, 사람
9.4 읽을거리 추천
★ PART III 분석
CHAPTER 10 탐구적 데이터 분석과 시각화
10.1 EDA의 목표: 분석 적용하기
10.2 EDA 작업 순서
10.3 변수와 시각화
10.4 일변량 시각화: 히스토그램, QQ 도표, 상자 도표, 계층 도표
__10.4.1 히스토그램
__10.4.2 막대 도표
__10.4.3 QQ 도표
__10.4.4 다섯 가지 수치로 이루어진 요약 정보와 상자 도표
__10.4.5 상자 도표 만들기
10.5 이변량 설명
__10.5.1 산점도
__10.5.2 분할표
10.6 다변량 시각화
__10.6.1 보안 시각화를 운영할 수 있게 하는 것
10.7 읽을거리 추천
CHAPTER 11 헛발질에 대하여
11.1 공격 모델
11.2 헛발질: 잘못된 설정, 자동화, 스캐닝
__11.2.1 조회 실패
__11.2.2 자동화
__11.2.3 스캐닝
11.3 헛발질 식별하기
__11.3.1 TCP 헛발질: 상태 기계
__11.3.2 ICMP 메시지와 헛발질
__11.3.3 UDP 헛발질 탐지하기
11.4 서비스 수준에서의 헛발질
__11.4.1 HTTP 헛발질
__11.4.2 SMTP 헛발질
11.5 헛발질 분석하기
__11.5.1 헛발질 경고 만들기
__11.5.2 헛발질에 대한 포렌식 분석
__11.5.3 헛발질에서 이득을 취할 수 있도록 네트워크 개조하기
11.6 읽을거리 추천
CHAPTER 12 트래픽 양과 시간 분석
12.1 근무일이 네트워크 트래픽 양에 미치는 영향
12.2 신호 보내기
12.3 파일 전송과 급습
12.4 지역성
__12.4.1 서비스 거부와 자원 소모
__12.4.2 디도스와 라우팅 기반 시설
12.5 트래픽 양과 지역성 분석 적용하기
__12.5.1 데이터 선택
__12.5.2 트래픽 양을 경보로 이용하기
__12.5.3 신호 보내기를 경보로 이용하기
__12.5.4 지역성을 경보로 이용하기
__12.5.5 엔지니어링 해결책
12.6 읽을거리 추천
CHAPTER 13 그래프 분석
13.1 그래프 속성: 그래프란 무엇인가?
13.2 라벨 붙이기, 가중치, 경로
13.3 요소와 연결성
13.4 클러스터링 계수
13.5 그래프 분석하기
__13.5.1 요소 분석을 경보로 이용하기
__13.5.2 포렌식에 구심성 분석 이용하기
__13.5.3 포렌식에 너비 우선 탐색 이용하기
__13.5.4 엔지니어링에 구심성 분석 이용하기
13.6 읽을거리 추천
CHAPTER 14 애플리케이션 식별
14.1 애플리케이션 식별 방법
__14.1.1 포트 번호
__14.1.2 배너 획득으로 애플리케이션 식별하기
__14.1.3 행위로 애플리케이션 식별하기
__14.1.4 부수적인 사이트를 통한 애플리케이션 식별
14.2 애플리케이션 배너: 식별 및 분류
__14.2.1 웹이 아닌 배너
__14.2.2 웹 클라이언트 배너: User-Agent 문자열
14.3 읽을거리 추천
CHAPTER 15 네트워크 지도 만들기
15.1 최초 네트워크 장비 목록과 지도 만들기
__15.1.1 장비 목록 만들기: 데이터, 범위, 파일
__15.1.2 1단계: 첫 질문 세 가지
__15.1.3 2단계: IP 주소 조사
__15.1.4 3단계: 눈먼 그리고 혼란을 일으키는 트래픽 식별하기
__15.1.5 4단계: 클라이언트와 서버 식별하기
__15.1.6 탐지 및 차단 설비 식별하기
15.2 장비 목록 갱신하기: 지속적인 감사를 향해
15.3 읽을거리 추천