방화벽, 침입 탐지 분야에 대한 보안 관제의 시각화 서비스 구축

https://www.dbpia.co.kr/Journal/articleDetail?nodeId=NODE08735567 

방화벽, 침입탐지 분야에 대한 보안관제의 시각화 서비스 구축 | DBpia

 

연구 목적

이 논문에서는오픈 소스 기반의 로그 분석 솔루션인 ELK Stack을 사용하여 기존 시장에서 판매 중인 상용 로그 분석 솔루션을 대체 가능한지 알아보고 실제 보안 장비와 연동해 실사용 솔루션을 도입한 기관과 유사한 보안 관제 센터를 구축 가능한지에 대한 연구하므로써 모든 기관들이 다양한 정보 보호 시스템을 도입했을 때 실시간으로 로그 데이터를 수집하여 연관 분석을 통해 사이버 침해 사고에 대한 사전 징후 및 사후분석 등을 할 수 있도록 하는 것을 목적으로 두고 있다.

 

ELK Stack

Elastic사의 오픈 소스 프로젝트인 Elasticsearch, Logstash, Kibana를 같이 연동하여 사용하는 것

 

 

Elasticsearch

Elasticsearch는 Lucene을 기반으로 만들어진 분산 검색 엔진이다. 여기서 Lucene은 손쉽게 검색 기능을 추가할 수 있게 도와주는 자바 형태의 검색 라이브러리이다. 로그 데이터를 검색하고 분석하는 데에 사용되는 오픈소스이다.

 

Logstash

Logstash는 보안 솔루션의 로그 데이터를 수집하여 Elasticsearch로 보내주는 역할을 한다. JRuby로 만들어졌으며, 로그를 수집해서 Elasticsearch로 보내주면 JSON 형태로 로그 수집 및 가공한다.

 

KIBANA

Kibana는 Elasticsearch에서 가공한 데이터를 기반으로 시각화를 해 주는 오픈 소스 솔루션이다. 시계열 분석 등 다양한 방법을 이용해서 로그 데이터를 가시화한다. 지도상 표현이나 그래프 등을 통해 과거의 로그 데이터와 손쉽게 비교를 가능하게 해 주어 데이터의 추이를 살펴볼 수 있다.

 

Splunk

Splunk는 현재 시장 점유율 1위인 로그 분석 솔루션으로 ELK Stack이 해내는 기능들을 통합 솔루션으로 제공한다. 설치가 매우 간편하고, 사용법이 ELK Stack에 비해 간단하다. 또한 강력한 UI를 제공하기 때문에 초보자도 즉시 데이터 분석이 가능하다.

 

성능 비교

ELK Stack과 Splunk의 성능을 비교하기 위해 200만줄부터 1000만줄의 방화벽 로그를 순차적으로 늘려가며 검색을 하였다. 오픈 소스인 Elk Stack과 상용 솔루션인 Splunk의 검색 속도는 비슷한 성능을 보였다.

 

결론

ELK Stack을 활용해 로그 분석 시스템을 구축했을 때 대용량 보안 로그 분석은 유료 솔루션과 비슷한 성능을 발휘한다.