지능형 보안 아키텍처 (SIEM)

I. 지능형 보안 아키텍처

가. 지능형 보안 아키텍처의 개념

  • 악성코드 탐지 등 신종 위험에 인공지능 기술을 활용하는 등 선제적으로 해킹을 막는 보안체계
  • Gartner 10대 전략 기술에 “능동형 보안 아키텍처” 포함
  • 행자부, NIA “2017년 전자정부 10대 기술 트렌드”로 발표

나. 기존 보안 아키텍처와의 비교

기존 보안 아키텍처지능형 보안 아키텍처
– 네트워크 기반 공격 탐지– 사용자 행위 중심 공격 탐지
– 단기간(시간, 일 단위) 분석– 장기간(월, 년 단위) 분석
– 중앙 집중 데이터 수집/분석– 빅데이터기반 분산, 비정형
– 네트워크 및 시스템 보호– 내부 정보 및 데이터 보호

 

II. 지능형 보안 아키텍처 구성도 및 기술 요소

가. 지능형 보안 아키텍처 구성도


그림: LogRhythm SIEM Architecture

나. 지능형 보안 아키텍처 기술 요소

구분기술 요소설명
Data
Source
장비 로그– 시스템 로그, 이벤트, 감사 로그
데이터 감시DPI, 패킷캡쳐, 파일, 시스템 활동
Machine
Analysis
데이터 표준화– 시간일치, 정보 분류, 메타데이터
머신러닝– 패턴매칭, KNN, CNN, 기계학습
데이터 분석– 빅데이터 기반 Storm, Tajo 등
이상행위 탐지– 비정형, 상황기반 이상행위 탐지
Result분석 보고– Dashboard, Report, 사용자 경보
자동 대응– 자동 차단, 사고 추적, 증거 보존

 

III. 지능형 보안 아키텍처 사례

솔루션상세 기술
LogRhythm
SIP, SIEM
– AI 기반 보안 위험 즉시 대응, 위험 학습
– 사용자 수동 정의 필요 없음
IBM QRadar– IBM Watson 기반 사전 위험 발견, 대응
– 내부자 위협 및 위험한 이상 행동 감지
Splunk ES– 머신러닝 기반의 사용자 행동 분석(UBA)
– 위협 인텔리전스 몇계 및 APT 대응

 

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^