동적 분석
동적 분석이란, 접속자의 로그를 동적 행위분석 룰셋을 기반으로 분석하는 기법입니다.
해외 접속자 차단 (중요도 : 권장 )
- 접속자의 IP를 분석하여 접속 지역을 확인합니다.
- 해외접속자 차단은 MBUSTER 자체 DB 및 KISA(한국인터넷진흥원)의 WHOIS 서비스를 이용하여 해외 IP 탐지합니다.
- 접속 지역이 한국 이외의 국가(해외)로 판단된 경우를 탐지하는 정책입니다.
- 대상 사이트에서 국내 서비스를 목표로 하는 경우, 해외 IP에 대한 차단 기능을 제공합니다.
- 대상 사이트에서 글로벌 서비스를 목표로 하는 경우, 해외 IP는 정상 접속으로 볼 수 있으므로 해당 정책은 미사용 설정됩니다.
- 탐지예시 : 접속자의 IP [ 139.243.97.234 ] → 미국 IP 이므로 해당 정책으로 탐지됩니다.
행위분석 정책 (중요도 : 정책에 따라 상이)
각 행위별로 탐지 정책이 정의되어 있으며 임계치를 상회하는 접속 단말을 식별하는 목적으로 사용됩니다. 행위분석 정책별로 매크로 수준이 상이하며, 동일 정책도 임계치의 수치에 따라 매크로 수준이 달라집니다.
접속로그(학습데이터) 분석을 통하여 각 룰셋별 최소 임계치와 최대 임계치를 산정 가능하며 설정값에 따라 매크로 수준이 조정됩니다.
1. 페이지 과다조회 (중요도 : 권장 )
1초를 기준으로, 한 접속자로부터 과도하게 URL 요청이 발생하는 경우 (중요도 : 권장 )
- 짧은 시간 내에 과도한 URL 요청이 발생하는 경우, 매크로와 같은 반복 작업을 시도하는 것으로 해석합니다.
- 짧은 시간(초단위) 동안 과도한 URL 요청을 감지하여 매크로 동작을 탐지하는 것을 목적으로 합니다.
- 탐지예시 : 임계치가 3으로 설정된 경우, 1초동안 3회 이상 접속한 경우 탐지됩니다.
1분을 기준으로, 한 접속자로부터 과도하게 URL 요청이 발생하는 경우 (중요도 : 권장 )
- 1분 동안의 과도한 URL 요청을 감지하는 것을 목적으로 합니다.
- 탐지예시 : 임계치가 180으로 설정된 경우, 1분동안 180회 이상 접속한 경우 탐지 됩니다.
1일을 기준으로, 한 접속자로부터 과도하게 URL 요청이 발생하는 경우 (중요도 : 권장 )
- 장기간 한 접속자가 지속적으로 많은 URL을 요청하는 경우, 매크로나 자동화된 작업으로 의심합니다.
- 탐지예시 : 임계치가 3,000으로 설정된 경우, 하루동안 3,000회 이상 접속한 경우 탐지 됩니다.
특정 URL을 과다하게 요청하는 경우 (중요도 : 권장 )
- 전체 페이지 대상의 공통의 분석이 아닌, 특정 URL에 대하여 별도의 분석을 목적으로 합니다.
- 탐지예시 : A.html 페이지로 임계치가 100으로 설정된 경우, 해당 페이지에 100회 이상 접속한 경우 탐지 됩니다.
2. 페이지 반복조회 (중요도 : 필수 )
URL 호출 횟수가 분 단위로 동일한 패턴으로 반복되는 경우 (중요도 : 필수 )
- 매크로와 같이 반복 작업을 수행하는 프로그램은, 동일한 패턴으로 접속하는 양상을 보입니다.
- 탐지예시 : 임계치가 5로 설정된 경우, 1분에 10회 호출하는 매크로가 5분간 50회 호출한 경우 탐지 됩니다. 접속량이 아닌 반복 횟수가 임계치의 기준
3. 페이지 비정상 접속 (중요도 : 권장 )
하나의 IP에서 여러 개의 개인 식별 아이디를 발급받는 경우 (중요도 : 권장 )
- 동일 IP에서 여러 개의 단말을 이용하는 경우를 탐지하는 목적입니다.
- 매크로의 경우 프로그램을 이용하여 여러 개의 단말을 이용하여 접속을 합니다.
- 접속 IP가 공인 아이피의 경우도 해당 룰셋에 포함 될 수 있어서 화이트 리스트 설정이 권장됩니다.
- 탐지예시 : 임계치가 10으로 설정된 경우, 동일 IP에서 접속 단말의 수가 10개 이상인 경우 탐지 됩니다.
하나의 개인 식별 아이디를 여러 개의 IP에서 접근하는 경우 (중요도 : 필수 )
- 단말의 변화 없이 접속 IP만 변경되는 경우이다. VPN을 이용하여 접속자의 IP를 변경하는 경우에 해당 합니다.
- 탐지예시 : 임계치가 10으로 설정된 경우, VPN을 이용하여 접속자의 IP를 10회 변경한 경우 탐지 됩니다.
특정 URL을 반복적으로 직접 접속하는 경우 (중요도 : 권장 )
- 일반적인 접속이 아닌, 특정 URL에 대하여 직접 입력하여 접근하는 경우를 탐지하는 것을 목적으로 합니다.
- 탐지예시 : A.html 페이지 대상으로 임계치가 10으로 설정된 경우, 직접 A.html링크를 입력하여 반복적으로 10회 이상 접근한 경우 탐지 됩니다.
특정동작이 비정상적인 속도로 발생한 경우 (중요도 : 필수 )
- 특정 동작(시작지점부터 종료지점까지의 수행)에 대하여 수행 시간이 임계치보다 빠르게 발생한 경우를 탐지하는 것을 목적으로 합니다.
- 탐지예시 : 예약 프로세스가 특정 동작으로 정의되고 임계치가 1로 설정된 경우, 예약 완료까지 1초 이하로 수행된 경우 탐지 됩니다.
4. 페이지 우회 접속 (중요도 : 권장 )
특정 URL에 대하여 정해진 시간 이외에 접속이 발생한 경우 (중요도 : 필수 )
- 이벤트 시간 외에 접속이 발생할 수 없는 페이지에 접속이 발생한 경우를 탐지하는 목적입니다.
- 탐지예시 : A.html에 대하여 9시부터 12시까지만 이용시간으로 설정한 경우, 9시 이전 혹은 12시 이후에 접속한 경우 탐지 됩니다.