2019년 4월 15일
지능형 보안 아키텍처 (SIEM)
I. 지능형 보안 아키텍처
가. 지능형 보안 아키텍처의 개념
- 악성코드 탐지 등 신종 위험에 인공지능 기술을 활용하는 등 선제적으로 해킹을 막는 보안체계
- Gartner 10대 전략 기술에 “능동형 보안 아키텍처” 포함
- 행자부, NIA “2017년 전자정부 10대 기술 트렌드”로 발표
나. 기존 보안 아키텍처와의 비교
기존 보안 아키텍처 | 지능형 보안 아키텍처 |
---|---|
– 네트워크 기반 공격 탐지 | – 사용자 행위 중심 공격 탐지 |
– 단기간(시간, 일 단위) 분석 | – 장기간(월, 년 단위) 분석 |
– 중앙 집중 데이터 수집/분석 | – 빅데이터기반 분산, 비정형 |
– 네트워크 및 시스템 보호 | – 내부 정보 및 데이터 보호 |
II. 지능형 보안 아키텍처 구성도 및 기술 요소
가. 지능형 보안 아키텍처 구성도
그림: LogRhythm SIEM Architecture |
나. 지능형 보안 아키텍처 기술 요소
구분 | 기술 요소 | 설명 |
---|---|---|
Data Source | 장비 로그 | – 시스템 로그, 이벤트, 감사 로그 |
데이터 감시 | – DPI, 패킷캡쳐, 파일, 시스템 활동 | |
Machine Analysis | 데이터 표준화 | – 시간일치, 정보 분류, 메타데이터 |
머신러닝 | – 패턴매칭, KNN, CNN, 기계학습 | |
데이터 분석 | – 빅데이터 기반 Storm, Tajo 등 | |
이상행위 탐지 | – 비정형, 상황기반 이상행위 탐지 | |
Result | 분석 보고 | – Dashboard, Report, 사용자 경보 |
자동 대응 | – 자동 차단, 사고 추적, 증거 보존 |
III. 지능형 보안 아키텍처 사례
솔루션 | 상세 기술 |
---|---|
LogRhythm SIP, SIEM | – AI 기반 보안 위험 즉시 대응, 위험 학습 – 사용자 수동 정의 필요 없음 |
IBM QRadar | – IBM Watson 기반 사전 위험 발견, 대응 – 내부자 위협 및 위험한 이상 행동 감지 |
Splunk ES | – 머신러닝 기반의 사용자 행동 분석(UBA) – 위협 인텔리전스 몇계 및 APT 대응 |