[Network Forensic] Week 3: 통계적 플로우 분석

Flow (= Stream)

다양한 프로토콜을 이용해 특정 출발지에서 특정 목적지로 보내진 패킷들의 순서

Flow Record

flow에 대한 정보의 한 부분.

일반적으로 flow record는 출발지와 목적지 IP, 애플리케이션이 할당한 출발지와 목적지 포트, 프로토콜, 날짜, 시간, 각각의 전송된 데이터 양이 포함

Flow Record 분석의 목적

• 감염된 호스트 식별
• 데이터 유출 입증 또는 반증
• 개인 프로파일

Flow Record 분석

트래픽에서 컨텐츠를 뽑아내는 카빙 포렌식 기법보다 더 효과적.

전체 트래픽 캡쳐 데이터보다 한정적으로 저장된 각 flow의 데이터를 이용할 수 있기 때문.

목표와 리소스

조사의 목표와 이용할 수 있는 리소스에 적합하도록 전략과 분석 기법을 생각해야 한다.

시작 표식

• 침해당했거나 이상한 시스템의 IP 주소
• 공격자가 누구인지 모르는 상태에서 이상 행위로 의심가는 시각
• 악성코드 활동으로 의심가는 잘 알려진 포트
• 비정상적이거나 원인 불명의 활동을 나타내는 특정 flow record

분석 기법

필터링

관련 없는 범위 제거, 연관성 있는 데이터로 범위 축소

비교 기준

데이터를 이용하여 정상 네트워크에 대한 기록 작성 가능. 이것과 비교

이상한 값

의심스러운 키워드나 이상한 IP, 포트, 프로토콜 찾아 검색

행동 패턴 매칭

트래픽의 방향, 데이터 크기 등의 요소 비교하여 의심스러운 행동 뽑아내기

 

IP주소 관련 패턴

N(출발지) vs 1(목적지) IP주소

• DDoS 공격
• 도착지 이메일 주소
• Syslog 서버(서버나 네트워크 기기에서 Syslog 프로토콜로 전송되어 오는 로그를 수신하여 관리, 로그 종류와 긴급도 나타냄)

 

1 vs N IP주소

• 웹 서버
• 이메일 서버
• 포트 스캐닝

 

N vs N IP주소

• P2P 파일 공유 트래픽 (peer들의 정보를 저장, 관리하는 트래커 서버 기반.)
• 바이러스 전파

 

1 vs 1 IP주소

• 특정 시스템 목표 공격
• 정기적인 서버의 통신 활동