손태식 김용준 2019-02 28477 https://aurora.ajou.ac.kr/handle/2018.oak/14988 학위논문(석사)--아주대학교 정보통신대학원 :사이버보안,2019. 2 국내·외에서 산업제어시스템을 대상으로한 사이버 위협이 증가하고 있다. 이에 따라 관련 연구와 협력이 활발히 진행되고 있다. 하지만 물리적인 망 분리와 경계선에 대한 보안을 강화에 치중하고 있어 내부에서 발생하는 위협에 대해서는 여전히 취약한 편이다. 왜냐하면, 가장 손쉽고 강력한 대응방법이 경계선 보안을 강화하는 것이며 내부의 보안을 강화하기 위한 솔루션들은 가용성의 문제로 인하여 쉽지 않기 때문이다. 특히, 산업제어시스템 전반에 걸쳐 Legacy 시스템이 상당수 잔존하고 있어 취약점이 많이 존재하고 있다. 보안 프레임워크에 따라 새롭게 구축되지 않는 한 이러한 취약한 시스템들에 대한 대응방안이 필요함에 따라 가용성을 고려한 경량의 보안 솔루션을 검증하고 활용방안을 제시하였다. 이와 같은 경량의 호스트 기반 위협 탐지체계를 구축한다면 APT 공격을 탐지 할 수 있을 것이다. 제1장 서론 1 제1절 연구배경 및 목적 1 제2절 연구내용 및 구성 2 제2장 관련연구 3 제1절 ICS/SCADA 개요 3 제2절 ICS/SCADA 특징 5 제3절 Sysmon 6 제4절 ELK(Elastic Search, Logstash, Kibana) 7 제5절 CTI(Cyber Threat Intelligence) 8 제6절 EDR(Endpoint Detection & Response) 9 제3장 ICS 보안 위협 및 대응기술 분석 11 제1절 최근 ICS 보안 위협 동향 12 제2절 ICS 보안 위협요인 13 제1항 보안 인력 부족 13 제2항 보안 의식 부족 13 제3항 망분리 허점 13 제4항 Legacy 시스템 운영 14 제5항 협력 업체 관리 미흡 14 제3절 ICS 보안 대응방안 15 제1항 CTI(위협 인텔리전스) 기반 탐지 15 제2항 시그니처 기반 탐지 16 제3항 Endpoint 보안로그 분석 16 제4항 비정상행위 기반 탐지 16 제5항 White-List 기반 탐지 17 제4장 Legacy ICS를 위한 APT 공격 탐지 방안 18 제1절 Sysmon 로그 분석을 통한 위협 탐지 18 제1항 Process/File Create 이용 탐지 19 제2항 Network Connection 이용 탐지 19 제3항 Image, CommandLine 이용 탐지 19 제4항 윈도우 명령어 이용 탐지 20 제5항 File Hash 이용 탐지 20 제2절 Sysmon과 ELK를 이용한 위협 탐지 제안 22 제5장 가상 시나리오 검증 26 제1절 외부 저장장치에 의한 랜섬웨어 감염 27 제1항 시나리오 27 제2항 검증 및 분석결과 27 제2절 공급망 공격을 통한 악성코드 침투 29 제1항 시나리오 29 제2항 검증 및 분석결과 29 제6장 결론 31 참고문헌 32 Abstract 33 kor The Graduate School, Ajou University 아주대학교 논문은 저작권에 의해 보호받습니다. Sysmon과 ELK를 이용한 산업제어시스템 사이버 위협 탐지 Kim Yongjun Thesis 아주대학교 정보통신대학원 Kim Yongjun 정보통신대학원 사이버보안 2019. 2 Master I804:41038-000000028477 http://dcoll.ajou.ac.kr:9080/dcollection/common/orgView/000000028477