[SNORT] SNORT 스키마 구조와 룰 구성 및 옵션 정보
·
🚨 보안 실무/보안 관제
1️⃣ SNORT 개요🔹1. SNORT 동작 방식패킷 수집실시간으로 트래픽을 수집전처리 과정수집된 패킷은 Preprocessor로 전달되어 분석 전 필요한 전처리를 수행병렬 패턴 매칭 SNORT의 룰에 따라 패킷 내용을 검사성능 향상을 위해 Aho-Corasick 알고리즘 기반의 병렬 문자열 검색 사용매칭 대상이 되는 룰이 많을수록 속도가 저하되므로, 전처리에서 일부 필터링 기능 수행룰 패턴 매칭SNORT 룰 파일에 정의된 조건과 패킷을 비교하여 공격 여부를 탐지탐지되면 경고(Alert) 또는 로그(Log)로 기록🔹2. SNORT 관계 구조sensor (sid) │ └───┐ ▼ event (sid, cid) ───▶ signature (sig_..
[침입탐지시스템 실습] ② SNORT 탐지 로그를 MySQL로 연동하기 (Barnyard2)
·
🚨 보안 실무/보안 관제
1️⃣ 실습 개요SNORT는 네트워크 기반 침입 탐지 시스템(IDS)으로, 다양한 트래픽 탐지가 가능하지만 기본적으로 로그는 텍스트 파일로 저장된다.Barnyard2는 SNORT가 생성하는 binary 로그(unified2 포맷)를 읽어 MySQL DB로 저장해주는 도구다.이 실습에서는 SNORT의 탐지 결과를 Barnyard2를 통해 DB에 저장하고, SQLyog로 조회해보는 전 과정을 정리했다.🔹실습 환경가상화: VirtualBoxOS: CentOS 7IDS: SNORT 2.9.20로그 수집기: Barnyard2DB: MySQL 8.0클라이언트 툴: SQLyog원격 접속: PuTTY 2️⃣ MySQL 설치 및 기본 설정MySQL 8 설치를 위한 공식 저장소를 추가한 후, ``mysql-server ..
[침입탐지시스템 실습] ① SNORT 설치 및 ping 트래픽 탐지 (CentOS)
·
🚨 보안 실무/보안 관제
1️⃣ 실습 개요VirtualBox에 설치된 CentOS 환경에서 SNORT를 직접 설치하고, ICMP 패킷을 탐지하는 룰을 추가해 침입 탐지 기능을 실습해보았다. 원격 접속은 PuTTY를 활용하였다.🔹 실습 환경가상화 도구: VirtualBoxOS: CentOS원격 접속: PuTTYIDS 툴: SNORT 2.9.202️⃣ SNORT 설치🔹1. EPEL 저장소 추가``EPEL``: CentOS에서 사용할 수 있는 추가 오픈소스 패키지 저장소SNORT 설치에 필요한 라이브러리와 툴이 기본 저장소에 없기 때문에, EPEL을 먼저 설치해줘야 함yum install epel-release ``/etc/yum.repos.d/`` 디렉터리 내에 EPEL 관련 파일이 추가됨.🔹2. 의존성 및 필수 패키지 설치S..
[SOC] SIEM과 SOAR
·
🚨 보안 실무/보안 관제
보호되어 있는 글입니다.
[SOC] 보안관제 시스템에서의 보안 솔루션
·
🚨 보안 실무/보안 관제
보호되어 있는 글입니다.
[SOC] 보안관제 탐지 및 방어기술 / 패턴기반 탐지, 행위기반탐지
·
🚨 보안 실무/보안 관제
보호되어 있는 글입니다.
[SOC] 보안 관제 업무 절차 및 구성 요소
·
🚨 보안 실무/보안 관제
보호되어 있는 글입니다.
[SK쉴더스루키즈] 24기 현장 실습 후기 (SK쉴더스 본사 방문)
·
🔥 SKShieldusRookies/Review
보호되어 있는 글입니다.

티스토리툴바