[프로젝트] 보안관제 프로젝트

1. 프로젝트 소개snort 기반 악성코드 탐지 패턴을 개발하기 위해, 네트워크 행위를 하는 악성코드 샘플을 수집하여 분석을 진행하고 관련된 내용을 악성코드 분석보고서를 작성하였다. 또한 악성 트래픽을 탐지하기 위한 보안관제 환경을 구축하고 snort룰을 적용하여, 악성 네트워크 행위를 탐지하는 실습을 수행하였다. 2. 프로젝트 회고2.1 악성코드 분석 업무에 대한 자신감악성코드 샘플링, 악성코드 기초/정적/동적 분석, snort 룰 작성등의 전반적인 과정등을 수행하면서 실무에서도 악성코드 분석 업무를 빠르게 숙지할수 있겠다는 자신감이 생겼다. 2.2 신속한 분석의 중요성악성코드 분석도중 악성코드의 네트워크 행위가 중단되어 다시 새로운 악성코드 샘플을 수집해야하는 문제가 있었는데, 악성코드 분석 업무에서..

  • format_list_bulleted IT/Security
  • · 2024. 7. 25.
  • textsms
네트워크(정의, 분류, 통신방식)

네트워크(정의, 분류, 통신방식)

1. 네트워크란?학술적인 정의로는 두개 이상의 노드가 데이터를 교환하는 시스템이다. 여기서 데이터는 구체적으로 데이터 패킷이라고 이야기 한다. 여러 기기가 데이터를 주고 받는 구조가 그물망 처럼 보인다고 네트워크라고 이야기한것으로 보인다. *여기서 노드란 컴퓨터나 데이터를 공유하는 장비를 의미한다. 2. 인터넷이란?전세계의 네트워크가 연결된 거대한 네트워크를 인터넷이라고 한다.  3. 네트워크 분류크기와 연결방식에 따라 분류할수 있다. 3.1 크기에 따른 분류네트워크는 범위에 따라 LAN과 WAN으로 분류한다.(세부적으로 CAN, MAN, PAN으로 분류하기도 한다.)  LAN(Local Area Network)은으로 가까운 위치에 해당하는 네트워크이고, WAN(Wide Area network)는 LAN..

  • format_list_bulleted IT/Basic
  • · 2024. 7. 25.
  • textsms

서버 안정성을 위해 알아야할 개념 3가지 (가용성, 이중화, 로드밸런싱)

1. 가용성(Availability)서버를 관리할때 고가용성(HA; High Availaility)을 보장해야한다는 말을 한다. 여기서 가용성이란, 서버가 정상적으로 작동하는 비율을 의미한다. 구체적인 예시로 업타입 / 업타입 + 다운타입이 99.99999 정도의 고가용성을 지향한다는 말이 있다.*업타임은 서버가 정상작동하는 시간을 의미하고, 다운타임은 서버에 문제가 생겨 작동하지 않는 시간을 의미한다.  2. 이중화/다중화서버를 운영하다보면, 분명히 한번은 장애가 발생한다. 그러므로, 서버가 정상작동하도록 고가용성(HA)를 보장하는것도 중요하지만, 결함감내(fault tolerance)라는 특성도 보장하는것이 중요하다. 결함감내(fault tolerance)란, 서버에 장애가 발생하더라도 서버가 동작하..

  • format_list_bulleted IT/Basic
  • · 2024. 7. 18.
  • textsms

[프로젝트] PE 악성코드 분석(Dgrep.exe)

악성코드 분석 연습을 위해 악성코드 샘플(네트워크 행위X)를 제공받아 분석을 진행하였다. 기초분석, 정적분석, 동적분석순서로 악성코드 분석을 진행하였으며, 악성코드 분석 보고서 작성도 진행하였다.Word를 기반으로 보고서 작성하는 것은 처음이라서, 쉽진 않았지만 Word로 작성하는 연습을 통해서 해당 도구에 익숙해지는 연습을 해야겠다는 생각이 들었다. Dgrep.exe 악성코드는 네트워크 행위를 하지 않아서, 악성코드 동적 분석을 깊게 할 수 없고 탐지패턴을 만들 수는 없었다. 하지만, 정적분석 공부를 할 때 많은 도움이 됐던 샘플이다. 결론적으로 해당 실습을 통해서 악성코드 분석 도구 사용해서 분석을 하는 사용법들을 배울수 있었고, 악성코드 분석 보고서를 작성해 보면서 보고서 작성 능력도 기를 수 있었다.

  • format_list_bulleted IT/Security
  • · 2024. 7. 18.
  • textsms
악성코드 탐지: 정탐, 오탐(False Positve), 미탐(False Negative)

악성코드 탐지: 정탐, 오탐(False Positve), 미탐(False Negative)

정탐, 오탐, 미탐, 과탐은 보안관제업무에서 자주사용되는 용어이다. 1. 정탐, 오탐, 미탐이란?정탐은 정상적으로 탐지하는 경우로 공격이 들어왔을때 공격이라고 탐지하거나 공격이 아닌것이 들어왔을때 공격이 아니라고 탐지하는 경우를 의미한다. 오탐(False Positve)은 잘못 탐지한 경우로 공격이 들어왔는데 공격이 아니라고 탐지하거나, 공격이 아닌데 공격이라고 탐지하는 경우를 의미한다. 미탐(False Negative)은 탐지를 하지 못한 경우로 공격이 들어왔는데 탐지하지 못하는 경우를 의미한다. 2. 오탐과 미탐의 차이오탐과 미탐은 헷갈리는 용어로 두 용어를  구분하는 기준은 탐지활동을 했는지 여부에 따라 분류할수있다. 탐지활동을 했으면 오탐, 탐지활동을 하지 않았으면 미탐이다. 또한 미탐은 공격이 ..

  • format_list_bulleted IT/Security
  • · 2024. 7. 17.
  • textsms
네트워크 패킷 모니터링을 위한 Snort 환경 구축

네트워크 패킷 모니터링을 위한 Snort 환경 구축

Snort 환경을 구축하기 위해서는 다양한 프로그램을 설치해야한다. 설치 과정에서 버전 차이로 인한 호환성 문제와 구성파일 수정 과정에서 잦은 오류가 발생할수 있으므로, 차분하게 시간여유를 가지고 진행하는것이 좋다. 가상환경: VMware Workstation Pro 17운영체제: Windows 7 Professional K설치한 프로그램: Winpcap 4.1.3, Snort 2.9.2.3, Xampp 1.7.1, Base 1.4.5 , adodb-5.20.20, Notepad++ 1. 클라이언트, 서버 환경 구성1.1 server, client 가상환경 설치VMware 설치 방법과 Windows 7 Professional K 과정을 정리하였으나, Windows 7 지원이 종료된지 오래되어 크롬 설치과..

  • format_list_bulleted IT/Security
  • · 2024. 7. 17.
  • textsms