어도비가 ‘원스톱 어노말리 숍’이라는 도구를 개발해 오픈소스로 전환시켰다. 머신러닝을 기반으로 하고 있으며, 데이터셋에서 이상한 점을 발견하도록 해 주는 기능을 가지고 있다. 하지만 단순 ‘발견’ 및 ‘식별’ 도구가 아니다. ‘이게 왜 이상한 것으로 판단되는지’를 쉽게 분석케 해 주는 도구라는 점이 눈에 띈다.
[보안뉴스 문가용 기자] 어도비가 보안 로그 데이터에서 이상 현상을 탐지하게 해 주는 도구를 오픈소스로 전환했다. 이 도구의 이름은 오사스(OSAS)로, 목적에 따라 개조하기도, 활용하기도 쉽다고 어도비는 설명한다. 오사스는 ‘원스톱 어노말리 숍(One-Stop Anomaly Shop)’의 준말이다. 데이터 유형별 레이블을 생성함으로써 로그 데이터에 구조를 추가하는 머신러닝 도구라고 정리된다.
[이미지 = utoimage]
오사스를 활용할 경우 특정 데이터셋에서 어떤 변수나 변수의 조합이 가장 좋은 결과를 가져다 줄지 빠르게 파악할 수 있다고 어도비 보안 첩보 팀(Adobe Security Intelligence Team)은 설명한다. “컴퓨터 연산의 측면에서 이상 현상을 잡아내는 건 사소한 일로 보일 수 있습니다. 하지만 ‘그게 이 데이터셋의 맥락에서 왜 이상한 것인가?’를 밝혀내고 설명하는 건 완전히 다른 이야기입니다. 오사스는 바로 이 부분에 도움을 주는 도구입니다.”
또, 어도비 블로그에 따르면 오사스는 “보안 로그 파일이 갖가지 이벤트 유형으로 채워져 있더라도 레이블 된 데이터를 사용해 보안 로그 분석을 빠르게 해 주는 도구”라고 한다. 오사스는 현재 깃허브(https://github.com/adobe/OSAS)를 통해 공개되어 있다. 엘라스틱서치(ElasticSearch) 검색 엔진과 로그스태시(Logstash) 인덱서, 키바나 웹(Kibana Web) 프론트엔드를 내포하고 있는 도커 컨테이너를 생성한다. 머신러닝 부분은 파이선으로 작성됐다.
오사스는 각 이벤트에 다양한 태그를 부착한다. 이상 패턴이 고유한 현상인지, 특정 포트나 프로세스, 경로가 희귀한지, 특정 이벤트가 공공 IP나 로컬호스트와 연관성 있는지 등이 이런 태그를 통해 드러난다. “보안 분야 내에서도 데이터 과학에 관한 연구와 백서가 계속해서 나오고 있습니다. 그러나 실용적으로 쓸 만한 도구는 드물죠. 오사스가 그런 빈 자리를 메워주기를 기대합니다. 또한 오사스의 활용 방법을 보안 공동체 내 전문가들이 더 많이 발견해 주기도 기대하고 있습니다.”
어도비는 지도형 기계 학습과 비지도형 기계 학습 접근법을 사용해 알고리즘을 훈련시키고 실험을 진행했다고 한다. 그 결과 지도형 기계 학습을 마친 알고리즘은 95%의 탐지율을 기록했다. 그러나 비지도형 기계 학습은 50~63%를 기록했다.
어도비 말고도 여러 소프트웨어 개발 업체들이 머신러닝 관련 도구들을 무료로 풀고 있는 추세다. 이번 달 초에만 해도 마이크로소프트가 자사 공격 트래픽 데이터와 마이터(MITRE)의 어택(ATT&CK) 프레임워크를 결합한 머신로닝 모델을 공개했었다. 이 모델의 경우, 특정 공격 전략을 분석해 ‘어떤 그룹이 저지른 짓’인지를 알려주는 기능과, 공격자의 다음 절차를 예측하는 기능을 가지고 있었다.
3줄 요약
1. 어도비, 로그 데이터를 정리해 분석을 쉽게 해 주는 머신러닝 도구 발표.
2. 이 도구의 이름은 오사스로, 현재 깃허브를 통해 완전히 공개되어 있음.
3. 어도비는 오픈소스 커뮤니티로부터 창의적인 활용 방안이 등장하기를 기대.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 어도비가 보안 로그 데이터에서 이상 현상을 탐지하게 해 주는 도구를 오픈소스로 전환했다. 이 도구의 이름은 오사스(OSAS)로, 목적에 따라 개조하기도, 활용하기도 쉽다고 어도비는 설명한다. 오사스는 ‘원스톱 어노말리 숍(One-Stop Anomaly Shop)’의 준말이다. 데이터 유형별 레이블을 생성함으로써 로그 데이터에 구조를 추가하는 머신러닝 도구라고 정리된다.
[이미지 = utoimage]
오사스를 활용할 경우 특정 데이터셋에서 어떤 변수나 변수의 조합이 가장 좋은 결과를 가져다 줄지 빠르게 파악할 수 있다고 어도비 보안 첩보 팀(Adobe Security Intelligence Team)은 설명한다. “컴퓨터 연산의 측면에서 이상 현상을 잡아내는 건 사소한 일로 보일 수 있습니다. 하지만 ‘그게 이 데이터셋의 맥락에서 왜 이상한 것인가?’를 밝혀내고 설명하는 건 완전히 다른 이야기입니다. 오사스는 바로 이 부분에 도움을 주는 도구입니다.”
또, 어도비 블로그에 따르면 오사스는 “보안 로그 파일이 갖가지 이벤트 유형으로 채워져 있더라도 레이블 된 데이터를 사용해 보안 로그 분석을 빠르게 해 주는 도구”라고 한다. 오사스는 현재 깃허브(https://github.com/adobe/OSAS)를 통해 공개되어 있다. 엘라스틱서치(ElasticSearch) 검색 엔진과 로그스태시(Logstash) 인덱서, 키바나 웹(Kibana Web) 프론트엔드를 내포하고 있는 도커 컨테이너를 생성한다. 머신러닝 부분은 파이선으로 작성됐다.
오사스는 각 이벤트에 다양한 태그를 부착한다. 이상 패턴이 고유한 현상인지, 특정 포트나 프로세스, 경로가 희귀한지, 특정 이벤트가 공공 IP나 로컬호스트와 연관성 있는지 등이 이런 태그를 통해 드러난다. “보안 분야 내에서도 데이터 과학에 관한 연구와 백서가 계속해서 나오고 있습니다. 그러나 실용적으로 쓸 만한 도구는 드물죠. 오사스가 그런 빈 자리를 메워주기를 기대합니다. 또한 오사스의 활용 방법을 보안 공동체 내 전문가들이 더 많이 발견해 주기도 기대하고 있습니다.”
어도비는 지도형 기계 학습과 비지도형 기계 학습 접근법을 사용해 알고리즘을 훈련시키고 실험을 진행했다고 한다. 그 결과 지도형 기계 학습을 마친 알고리즘은 95%의 탐지율을 기록했다. 그러나 비지도형 기계 학습은 50~63%를 기록했다.
어도비 말고도 여러 소프트웨어 개발 업체들이 머신러닝 관련 도구들을 무료로 풀고 있는 추세다. 이번 달 초에만 해도 마이크로소프트가 자사 공격 트래픽 데이터와 마이터(MITRE)의 어택(ATT&CK) 프레임워크를 결합한 머신로닝 모델을 공개했었다. 이 모델의 경우, 특정 공격 전략을 분석해 ‘어떤 그룹이 저지른 짓’인지를 알려주는 기능과, 공격자의 다음 절차를 예측하는 기능을 가지고 있었다.
3줄 요약
1. 어도비, 로그 데이터를 정리해 분석을 쉽게 해 주는 머신러닝 도구 발표.
2. 이 도구의 이름은 오사스로, 현재 깃허브를 통해 완전히 공개되어 있음.
3. 어도비는 오픈소스 커뮤니티로부터 창의적인 활용 방안이 등장하기를 기대.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
