Ã¥¼Ò°³
³×Æ®¿öÅ© º¸¾È¿¡µµ ÀÌÁ¦ ºòµ¥ÀÌÅÍ Áö½ÄÀÌ ÇÊ¿äÇÏ´Ù.
ÀÌ Ã¥À» Á¢ÇÏ¸é¼ ½ÇÁ¦ º¸¾È Á¦Ç°À» ÀÌ¿ëÇÏ¿© ¾î¶»°Ô ³×Æ®¿öÅ© ¹× IT °ü¸®ÀÚ°¡ ÀÌ»ó ÇàÀ§¸¦ Á» ´õ ½º¸¶Æ®ÇÏ°Ô Å½ÁöÇÏ°í Â÷´ÜÇÒ ¼ö ÀÖ´ÂÁö ¸¹Àº ÅëÂûÀ» ¾òÀ» ¼ö ÀÖ¾ú´Ù. ƯÈ÷ °¢Á¾ º¸¾È Á¦Ç°¿¡¼ ½ñ¾ÆÁ® ³ª¿À´Â µ¥ÀÌÅ͸¦ ÀÏÀÏÀÌ ´«À¸·Î È®ÀÎÇÏ°í ´ëÀÀÇÏ´Â °ÍÀÌ ¾Æ´Ï¶ó µ¥ÀÌÅÍ ºÐ¼®¿¡ ¼öÇÐÀû/Åë°èÀû ±â¹ýÀ» Àû¿ëÇÑ Á¡ÀÌ ÀλóÀûÀ̾ú´Ù. Áï, ¿äÁò ºòµ¥ÀÌÅͶó°í ÇÏ´Â ºÐ¾ßÀÇ Áö½ÄÀÌ ³×Æ®¿öÅ© º¸¾È¿¡µµ ÇÊ¿äÇÏ¸ç ¾ÕÀ¸·Î IT °ü¸®ÀÚ°¡ °®Ãç¾ß ÇÒ ¿ª·® Áß Çϳª°¡ ¹Ù·Î µ¥ÀÌÅÍ ºÐ¼® ´É·ÂÀ¸·Î º¸ÀδÙ.
¸ñÂ÷
¡Ú PART I µ¥ÀÌÅÍ
CHAPTER 1 ¼¾¼¿Í ŽÁö±â
1.1 °¨½ÃÁ¡: ¼¾¼ÀÇ À§Ä¡°¡ Á¤º¸ ¼öÁý¿¡ ¹ÌÄ¡´Â ¿µÇâ
1.2 ¿µ¿ª: ¼öÁýÇÒ Á¤º¸ ¼±ÅÃÇϱâ
1.3 µ¿ÀÛ: ¼¾¼°¡ µ¥ÀÌÅÍ·Î ÇÏ´Â ÀÏ
1.4 ¸¶Ä¡¸ç
CHAPTER 2 ³×Æ®¿öÅ© ¼¾¼
2.1 ³×Æ®¿öÅ© °èÃþ ³ª´©±â¿Í °èÃþÀÌ °èÃø¿¡ ¹ÌÄ¡´Â ¿µÇâ
__2.1.1__ ³×Æ®¿öÅ© °èÃþ°ú °¨½ÃÁ¡
__2.1.2__ ³×Æ®¿öÅ© °èÃþ°ú ¾îµå·¹½Ì
2.2 ÆÐŶ µ¥ÀÌÅÍ
__2.2.1 ÆÐŶ°ú ÇÁ·¹ÀÓ Çü½Ä
__2.2.2 ȸÀü ¹öÆÛ
__2.2.3 ÆÐŶ¿¡¼ ÃßÃâÇÏ´Â µ¥ÀÌÅÍ Á¦ÇÑÇϱâ
__2.2.4 ƯÁ¤ À¯ÇüÀÇ ÆÐŶ ÇÊÅ͸µÇϱâ
__2.2.5 ÀÌ´õ³ÝÀÌ ¾Æ´Ï¶ó¸é ¾î¶² ÀÏÀÌ ¹ú¾îÁú±î?
2.3 NetFlow
__2.3.1 NetFlow v5 Çü½Ä°ú Çʵå
__2.3.2 NetFlow »ý¼º°ú ¼öÁý
2.4 ÀÐÀ»°Å¸® Ãßõ
CHAPTER 3 È£½ºÆ®¿Í ¼ºñ½º ¼¾¼: Ãâ¹ßÁö¿¡¼ Æ®·¡ÇÈ ·Î±× ³²±â±â
3.1 ·Î±× ÆÄÀÏ Á¢±Ù°ú ó¸®
3.2 ·Î±× ÆÄÀÏÀÇ ³»¿ë
__3.2.1 ÁÁÀº ·Î±× ¸Þ½ÃÁöÀÇ ¿ä°Ç
__3.2.2 ·Î±× ÆÄÀÏ ´Ù·ç±â
3.3 ´ëÇ¥ÀûÀÎ ·Î±× ÆÄÀÏ Çü½Ä
__3.3.1 HTTP: CLF¿Í ELF
__3.3.2 SMTP
__3.3.3 ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ÀͽºÃ¼ÀÎÁö: ¸Þ½ÃÁö ÃßÀû ·Î±×
3.4 ·Î±× ÆÄÀÏ Àü¼Û: Àü¼Û, syslog, ¸Þ½ÃÁö Å¥
__3.4.1 Àü¼Û°ú ·Î±× ÆÄÀÏ ¼øȯ ±³´ë
__3.4.2 syslog
3.5 ÀÐÀ»°Å¸® Ãßõ
CHAPTER 4 ºÐ¼®À» À§ÇÑ µ¥ÀÌÅÍ ÀúÀå: °ü°èÇü µ¥ÀÌÅͺ£À̽º, ºòµ¥ÀÌÅÍ, ±×¸®°í ´Ù¸¥ ¼±ÅÃ
4.1 ·Î±× µ¥ÀÌÅÍ¿Í CRUD Æз¯´ÙÀÓ
__4.1.1 Àß Á¶Á÷µÈ Ç÷§ ÆÄÀÏ ½Ã½ºÅÛ ¸¸µé±â: SiLK¿¡¼ ¾òÀº ±³ÈÆ
4.2 NoSQL ½Ã½ºÅÛ ¼Ò°³
4.3 ¾î¶² ÀúÀå ¹æ¹ýÀ» »ç¿ëÇØ¾ß Çϳª?
__4.3.1 ÀúÀå °èÃþ, ÁúÀÇ ½Ã°£, ¿¡ÀÌ¡
¡Ú PART II µµ±¸
CHAPTER 5 SiLK ÆÐÅ°Áö
5.1 SiLK´Â ¹«¾ùÀÌ¸ç ¾î¶»°Ô ÀÛµ¿Çϴ°¡?
5.2 SiLK ¼³Ä¡Çϱâ
__5.2.1 µ¥ÀÌÅÍ ÆÄÀÏ
5.3 Ãâ·Â Çʵå ó¸® ¹æ½ÄÀ» ¼±ÅÃÇÏ°í Çü½Ä ÁöÁ¤Çϱâ: rwcut
5.4 ±âº» Çʵå Á¶ÀÛ: rwfilter
__5.4.1 Æ÷Æ®¿Í ÇÁ·ÎÅäÄÝ
__5.4.2 Å©±â
__5.4.3 IP ÁÖ¼Ò
__5.4.4 ½Ã°£
__5.4.5 TCP ¿É¼Ç
__5.4.6 µµ¿ò ¿É¼Ç
__5.4.7 ±âŸ ÇÊÅ͸µ ¿É¼Ç°ú ±â¹ý
5.5 rwfileinfo¿Í ±× ±â¿ø
5.6 Á¤º¸ È帧 °áÇÕÇϱâ: rwcount
5.7 rwset°ú IP ÁýÇÕ
5.8 rwuniq
5.9 rwbag
5.10 °í±Þ SiLK ±â´É
__5.10.1 pmaps
5.11 SiLK µ¥ÀÌÅÍ ¼öÁýÇϱâ
__5.11.1 YAF
__5.11.2 rwptoflow
__5.11.3 rwtuc
5.12 ÀÐÀ»°Å¸® Ãßõ
CHAPTER 6 º¸¾È ºÐ¼®°¡¸¦ À§ÇÑ R ¼Ò°³
6.1 ¼³Ä¡
6.2 R ¾ð¾î ±âÃÊ
__6.2.1 R ÇÁ·ÒÇÁÆ®
__6.2.2 R º¯¼ö
__6.2.3 ÇÔ¼ö ÀÛ¼º
__6.2.4 Á¶°Ç¹®°ú ¹Ýº¹¹®
6.3 R ÀÛ¾÷°ø°£ »ç¿ëÇϱâ
6.4 µ¥ÀÌÅÍ ÇÁ·¹ÀÓ
6.5 ½Ã°¢È
__6.5.1 ½Ã°¢È ¸í·É¾î
__6.5.2 ½Ã°¢È ¿É¼Ç
__6.5.3 ½Ã°¢È¿¡ ÁÖ¼® ´Þ±â
__6.5.4 ½Ã°¢È ³»º¸³»±â
6.6 ºÐ¼®: Åë°è °¡¼³ °ËÁ¤
__6.6.1 °¡¼³ °ËÁ¤
__6.6.2 µ¥ÀÌÅÍ °ËÁ¤
6.7 ÀÐÀ»°Å¸® Ãßõ
CHAPTER 7 ºÐ·ù ¹× À̺¥Æ® µµ±¸: IDS, AV, SEM
7.1 IDS´Â ¾î¶»°Ô ÀÛµ¿Çϴ°¡
__7.1.1 ±âº» ¿ë¾î
__7.1.2 ºÐ·ù±â ½ÇÆÐ ºñÀ²: ±âº» ºñÀ² ¿À·ù ÀÌÇØÇϱâ
__7.1.3 ºÐ·ù Àû¿ëÇϱâ
7.2 IDS ¼º´É °³¼±Çϱâ
__7.2.1 IDS ŽÁö Çâ»ó½ÃÅ°±â
__7.2.2 IDS ´ëÀÀ Çâ»ó½ÃÅ°±â
__7.2.3 µ¥ÀÌÅÍ ¹Ì¸® °¡Á®¿À±â
7.3 ÀÐÀ»°Å¸® Ãßõ
CHAPTER 8 ÂüÁ¶¿Í Á¶È¸: ´©±ºÁö ÆľÇÇÏ´Â µµ±¸
8.1 MAC°ú Çϵå¿þ¾î ÁÖ¼Ò
8.2 IP ÁÖ¼Ò ÇÒ´çÇϱâ
__8.2.1 IPv4 ÁÖ¼ÒÀÇ ±¸Á¶¿Í ÁÖ¿ä ÁÖ¼Ò
__8.2.2 IPv6 ÁÖ¼ÒÀÇ ±¸Á¶¿Í ÁÖ¿ä ÁÖ¼Ò
__8.2.3 ¿¬°á Á¡°Ë: pingÀ» ÀÌ¿ëÇÏ¿© ÁÖ¼Ò¿¡ ¿¬°áÇϱâ
__8.2.4 °æ·Î ÃßÀûÇϱâ
__8.2.5 IP Á¤º¸ ¼öÁý: Áö¸®Àû À§Ä¡¿Í Àα¸ Åë°è Á¤º¸
8.3 DNS
__8.3.1 DNS À̸§ ±¸Á¶
__8.3.2 dig¸¦ ÀÌ¿ëÇÑ ¼ø¹æÇâ DNS ÁúÀÇ
__8.3.3 DNS ¿ªÁ¶È¸
__8.3.4 whois·Î ¼ÒÀ¯±Ç ã±â
8.4 Ãß°¡ ÂüÁ¶ µµ±¸
__8.4.1 DNSBL
CHAPTER 9 ±âŸ µµ±¸
9.1 ½Ã°¢È
__9.1.1 Graphviz
9.2 Åë½Å°ú ÇÁ·Îºê
__9.2.1 netcat
__9.2.2 nmap
__9.2.3 Scapy
9.3 ÆÐŶ ºÐ¼® ¹× Á¶È¸
__9.3.1 ¿ÍÀ̾î»þÅ©
__9.3.2 GeoIP
__9.3.3 NVD, ¾Ç¼º »çÀÌÆ®, C*E
__9.3.4 °Ë»ö ¿£Áø, ¸ÞÀϸµ ¸®½ºÆ®, »ç¶÷
9.4 ÀÐÀ»°Å¸® Ãßõ
¡Ú PART III ºÐ¼®
CHAPTER 10 Ž±¸Àû µ¥ÀÌÅÍ ºÐ¼®°ú ½Ã°¢È
10.1 EDAÀÇ ¸ñÇ¥: ºÐ¼® Àû¿ëÇϱâ
10.2 EDA ÀÛ¾÷ ¼ø¼
10.3 º¯¼ö¿Í ½Ã°¢È
10.4 ÀϺ¯·® ½Ã°¢È: È÷½ºÅä±×·¥, QQ µµÇ¥, »óÀÚ µµÇ¥, °èÃþ µµÇ¥
__10.4.1 È÷½ºÅä±×·¥
__10.4.2 ¸·´ë µµÇ¥
__10.4.3 QQ µµÇ¥
__10.4.4 ´Ù¼¸ °¡Áö ¼öÄ¡·Î ÀÌ·ç¾îÁø ¿ä¾à Á¤º¸¿Í »óÀÚ µµÇ¥
__10.4.5 »óÀÚ µµÇ¥ ¸¸µé±â
10.5 À̺¯·® ¼³¸í
__10.5.1 »êÁ¡µµ
__10.5.2 ºÐÇÒÇ¥
10.6 ´Ùº¯·® ½Ã°¢È
__10.6.1 º¸¾È ½Ã°¢È¸¦ ¿î¿µÇÒ ¼ö ÀÖ°Ô ÇÏ´Â °Í
10.7 ÀÐÀ»°Å¸® Ãßõ
CHAPTER 11 Çê¹ßÁú¿¡ ´ëÇÏ¿©
11.1 °ø°Ý ¸ðµ¨
11.2 Çê¹ßÁú: À߸øµÈ ¼³Á¤, ÀÚµ¿È, ½ºÄ³´×
__11.2.1 Á¶È¸ ½ÇÆÐ
__11.2.2 ÀÚµ¿È
__11.2.3 ½ºÄ³´×
11.3 Çê¹ßÁú ½Äº°Çϱâ
__11.3.1 TCP Çê¹ßÁú: »óÅ ±â°è
__11.3.2 ICMP ¸Þ½ÃÁö¿Í Çê¹ßÁú
__11.3.3 UDP Çê¹ßÁú ŽÁöÇϱâ
11.4 ¼ºñ½º ¼öÁØ¿¡¼ÀÇ Çê¹ßÁú
__11.4.1 HTTP Çê¹ßÁú
__11.4.2 SMTP Çê¹ßÁú
11.5 Çê¹ßÁú ºÐ¼®Çϱâ
__11.5.1 Çê¹ßÁú °æ°í ¸¸µé±â
__11.5.2 Çê¹ßÁú¿¡ ´ëÇÑ Æ÷·»½Ä ºÐ¼®
__11.5.3 Çê¹ßÁú¿¡¼ À̵æÀ» ÃëÇÒ ¼ö ÀÖµµ·Ï ³×Æ®¿öÅ© °³Á¶Çϱâ
11.6 ÀÐÀ»°Å¸® Ãßõ
CHAPTER 12 Æ®·¡ÇÈ ¾ç°ú ½Ã°£ ºÐ¼®
12.1 ±Ù¹«ÀÏÀÌ ³×Æ®¿öÅ© Æ®·¡ÇÈ ¾ç¿¡ ¹ÌÄ¡´Â ¿µÇâ
12.2 ½ÅÈ£ º¸³»±â
12.3 ÆÄÀÏ Àü¼Û°ú ±Þ½À
12.4 Áö¿ª¼º
__12.4.1 ¼ºñ½º °ÅºÎ¿Í ÀÚ¿ø ¼Ò¸ð
__12.4.2 µðµµ½º¿Í ¶ó¿ìÆà ±â¹Ý ½Ã¼³
12.5 Æ®·¡ÇÈ ¾ç°ú Áö¿ª¼º ºÐ¼® Àû¿ëÇϱâ
__12.5.1 µ¥ÀÌÅÍ ¼±ÅÃ
__12.5.2 Æ®·¡ÇÈ ¾çÀ» °æº¸·Î ÀÌ¿ëÇϱâ
__12.5.3 ½ÅÈ£ º¸³»±â¸¦ °æº¸·Î ÀÌ¿ëÇϱâ
__12.5.4 Áö¿ª¼ºÀ» °æº¸·Î ÀÌ¿ëÇϱâ
__12.5.5 ¿£Áö´Ï¾î¸µ ÇØ°áÃ¥
12.6 ÀÐÀ»°Å¸® Ãßõ
CHAPTER 13 ±×·¡ÇÁ ºÐ¼®
13.1 ±×·¡ÇÁ ¼Ó¼º: ±×·¡ÇÁ¶õ ¹«¾ùÀΰ¡?
13.2 ¶óº§ ºÙÀ̱â, °¡ÁßÄ¡, °æ·Î
13.3 ¿ä¼Ò¿Í ¿¬°á¼º
13.4 Ŭ·¯½ºÅ͸µ °è¼ö
13.5 ±×·¡ÇÁ ºÐ¼®Çϱâ
__13.5.1 ¿ä¼Ò ºÐ¼®À» °æº¸·Î ÀÌ¿ëÇϱâ
__13.5.2 Æ÷·»½Ä¿¡ ±¸½É¼º ºÐ¼® ÀÌ¿ëÇϱâ
__13.5.3 Æ÷·»½Ä¿¡ ³Êºñ ¿ì¼± Ž»ö ÀÌ¿ëÇϱâ
__13.5.4 ¿£Áö´Ï¾î¸µ¿¡ ±¸½É¼º ºÐ¼® ÀÌ¿ëÇϱâ
13.6 ÀÐÀ»°Å¸® Ãßõ
CHAPTER 14 ¾ÖÇø®ÄÉÀÌ¼Ç ½Äº°
14.1 ¾ÖÇø®ÄÉÀÌ¼Ç ½Äº° ¹æ¹ý
__14.1.1 Æ÷Æ® ¹øÈ£
__14.1.2 ¹è³Ê ȹµæÀ¸·Î ¾ÖÇø®ÄÉÀÌ¼Ç ½Äº°Çϱâ
__14.1.3 ÇàÀ§·Î ¾ÖÇø®ÄÉÀÌ¼Ç ½Äº°Çϱâ
__14.1.4 ºÎ¼öÀûÀÎ »çÀÌÆ®¸¦ ÅëÇÑ ¾ÖÇø®ÄÉÀÌ¼Ç ½Äº°
14.2 ¾ÖÇø®ÄÉÀÌ¼Ç ¹è³Ê: ½Äº° ¹× ºÐ·ù
__14.2.1 À¥ÀÌ ¾Æ´Ñ ¹è³Ê
__14.2.2 À¥ Ŭ¶óÀ̾ðÆ® ¹è³Ê: User-Agent ¹®ÀÚ¿
14.3 ÀÐÀ»°Å¸® Ãßõ
CHAPTER 15 ³×Æ®¿öÅ© Áöµµ ¸¸µé±â
15.1 ÃÖÃÊ ³×Æ®¿öÅ© Àåºñ ¸ñ·Ï°ú Áöµµ ¸¸µé±â
__15.1.1 Àåºñ ¸ñ·Ï ¸¸µé±â: µ¥ÀÌÅÍ, ¹üÀ§, ÆÄÀÏ
__15.1.2 1´Ü°è: ù Áú¹® ¼¼ °¡Áö
__15.1.3 2´Ü°è: IP ÁÖ¼Ò Á¶»ç
__15.1.4 3´Ü°è: ´«¸Õ ±×¸®°í È¥¶õÀ» ÀÏÀ¸Å°´Â Æ®·¡ÇÈ ½Äº°Çϱâ
__15.1.5 4´Ü°è: Ŭ¶óÀ̾ðÆ®¿Í ¼¹ö ½Äº°Çϱâ
__15.1.6 ŽÁö ¹× Â÷´Ü ¼³ºñ ½Äº°Çϱâ
15.2 Àåºñ ¸ñ·Ï °»½ÅÇϱâ: Áö¼ÓÀûÀÎ °¨»ç¸¦ ÇâÇØ
15.3 ÀÐÀ»°Å¸® Ãßõ