머신러닝 네트워크 보안 

기존 환경은 각종 네트워크 또는 보안 장비와 이 장비들로부터 로그 등의 정보를 수집하여 분석하는 시스템으로 구성됩니다. 이와 달리, 페타바이 솔루션은 네트워크 장비, 보안 장비, ESM/SIEM 시스템 등 기존의 거의 모든 네트워크 구성 요소로부터 다양한 정보는 물론, 데이터 패킷 그 자체까지 전달받아서 분석합니다.

현재 네트워크 보안에 활용되는 유해 정보 DB는 전문가들, 그러니까 사람이 작성했습니다. 그러나 페타바이 솔루션은 머신러닝 기반 인공지능이 스스로 학습하여 유해 정보 DB를 작성합니다. 사람이 작성한 것과 비교할 수 없을 만큼 똑똑하고 방대하게 유해 정보 DB를 생성하고 활용합니다.

머신러닝 분석으로 축적된 유해 정보 DB는 다시 네트워크 및 보안 구성 요소에 전달됩니다. 기존 보안 장비들은 이 DB를 활용하여 위협에 지능적으로 대응할 수 있습니다.

페타바이 “머신러닝 네트워크 보안” 솔루션은 REmake, REconverge, REmatch의 세 가지 소프트웨어 컴포넌트로 구성됩니다.

페타바이 REsolutions의 구성 개요

지금까지 네트워크 보안 분야에서 머신러닝이 본격적으로 적용되지 못하였습니다.  네트워크는 데이터 종류가 다양하고 수량이 방대하여 실시간 범용 처리가 불가능하였기 때문입니다.

페타바이는 기술적 난관을 극복하고 세계 최초로 세계 유일하게 네트워크 환경에서 빅데이터 분석, 머신러닝 기반 보안에 성공하였습니다.

페타바이는 네트워크 데이터를 범용 언어인 정규표현식으로 분석합니다. 세계에서 가장 앞선 독보적인 정규표현식 고속 검색 기술, 패턴 생성 기술, 상관 관계 분석 기술 등을 다년간 연구하여 상용화하였습니다. 이를 바탕으로 네트워크 데이터를 범용 언어 기반으로 실시간 분석하는데 성공한 것입니다.

REsolutions는 세계에서 가장 앞선 기술입니다.

페타바이의 “머신러닝 네트워크 보안” 솔루션은 차원이 다릅니다. 기존 머신러닝을 사용한 타 솔루션들은 모두 제한적으로 머신러닝 기법을 적용합니다. 이에 반하여, 페타바이 솔루션은 모든 네트워크 데이터에 대해서 빅 데이터 분석하므로 머신러닝의 학습 효과를 제대로 발휘합니다.

페타바이 머신러닝/인공지능
보안 솔루션
기존의 타 머신러닝/인공지능
보안 솔루션
Hybrid 종류에 제한없이 데이터를 이벤트로서 입력받아 분석
• 패킷, 로그 등은 물론
• 타 머신러닝 솔루션의 분석 정보나
• 페타바이 솔루션인 REconverge의 분석 정보 조차도 REconverge의 입력값으로 활용 가능
자체적으로 정해 놓은 포맷에 국한
Scalable • 다수의 출처에서 데이터를 수집하여 계층(hierarchy)적으로 분석
• 개별적으로 수집 분석된 정보는 계층 구조 속에서 통합 분석
중앙의 서버에 분석 부하 집중
Dynamic • 상관 관계 분석이 동적으로 작동
• 간단히 정규표현식을 업데이트하여 상관관계 분석을 동적으로 최적화
정해 놓은 분석틀이 실시간으로 업데이트 되지 않음
Layered 데이터 수집과 분석이 복수 단계(layer)로 구성
• 전단계의 분석 결과는 새로운 분석의 정보로 활용됨
• 기존의 각종 분석 또는 러닝 솔루션을 추가로 분석 가능함
입력과 결과의 1단계 구조
Broad 운영 중에 언제라도 새로운 종류의 이벤트를 입력으로 활용 가능 정해 놓은 입력 형식을 변경하기 위해서는 시스템 자체의 변경 필요

: 이벤트 분석 및 관리

REconverge는 네트워크의 다양한 구성 요소로부터 데이터를 수집합니다. 이렇게 수집한 이기종 정보를 범용 언어로 추상화하고 분석합니다. 범용 언어는 패턴을 기술하는 정규표현식을 사용합니다.

이기종 이벤트 수집 및 분석
• 이기종 이벤트 정보를 수집 및 분석한 후 위협 정보 탐지하여 REmake의 기반 정보로 제공: 이기종 이벤트의 규격을 통일하는 별도의 장치가 필요하지 않음.
• 이벤트 수집기와 분석기를 계층적으로 구성하여 시스템 부하 최소화하고, 상관 관계 분석 결과의 신뢰도 극대화

사용자 환경에 따른 이벤트 관리 체계
• 사용자 환경을 분석한 후 이벤트의 분류 체계를 맞춤 구성
• 관리자의 필요에 따라 분류 체계 조정 가능

시간과 공간(위치)을 가로 질러 상관 관계 분석
• 과거의 이벤트들과 타 수집기로부터의 이벤트들을 교차 분석하여 상관 관계 파악하여 REmake의 기반 정보로 제공

: 탐지룰 자동 생성 및 관리

REmake는 탐지룰을 자동으로 생성하고 최적화합니다. REconverge가 분석한 정보를 입력받아 해당 정보를 표현하는 패턴을 정규표현식으로 작성합니다. 이렇게 작성된 정규표현식 패턴은 REconverge에 다시 피드백되어 기존 분석을 강화하는데 활용됩니다. 유해 정보를 표현하는 패턴은 REmatch에 전달되어 데이터의 유해성 여부를 판단하는데 사용됩니다.

위협을 탐지하는 시그너쳐(signature) 자동 생성 및 최적화
• 고객 시스템 기반으로 생성하므로 고객별 맞춤 시그너쳐 DB(유해정보 DB) 확보 가능
• 기계 학습(machine learning)을 통하여 오탐과 미탐을 줄이는 최적화

빅데이터 기반 실시간 및 피드백 지능적 학습
• 다양한 기존의 위협 탐지 솔루션의 판단 결과도 활용
• 빅 데이터 분석으로 실시간 적용 가능
• 피드백 적용으로 지능형 강화 학습

기존 위협 정보 시그너쳐 DB의 검증 및 최적화
• DB의 중복/불필요 구성 요소 제거 및 정규표현식 성능 최적화

: PCRE 호환 정규표현식 검색 솔루션

REmatch는 수천 개의 정규표현식을 초고속으로 검색합니다. PCRE와 완전 호환되고, streaming, assertion, back-references 등 각종 기능을 모두 지원합니다. REmatch는 속도와 기능 모두에서 정규표현식 검색 솔루션 중 가장 뛰어납니다.

<REmatch와 타 정규표현식 검색 솔루션의 기능 비교>

<REmatch와 타 정규표현식 검색 솔루션의 성능 비교>

왜 머신러닝 네트워크 보안인가?

최근 사람들이 인터넷을 통해서 동영상 컨텐츠를 보는 비율이 엄청나게 증가함으로써, 네트워크의 트래픽이 기하급수적으로 늘어나고 있습니다. 2021년에는 2016년에 비해 1인당 평균 트래픽 사용량, 비즈니스 인터넷 트래픽 사용량 등 전반적인 네트워크 트래픽이 3배가 넘게 늘어날 것으로 전망하고 있습니다.

또한, IoT 서비스의 확대, 빅데이터 및 블록체인 등 새로운 기술의 적용에 의해서, 네트워크가 기존의 계층적 구조를 가진 형태에서 작은 스위칭 장비를 유연하게 배열하여, 확장성이 높고 상호 통신이 빈번한 엔드포인트로 구성된 형태로 그 구조 또한 변화하고 있습니다.

이러한 네트워크 트래픽의 증가와 변화, 유무선 복합 환경에서 다양한 기기의 연결 등의 네트워크 구조의 변경으로 인해, 보안 취약성이 급격히 증가하고 있습니다. 또한, 새로운 IT 기술은 인간 생활의 이로운 부분 뿐 아니라 사이버 위협에도 적용되어 침해 유형도 사람이 쉽게 예측할 수 없을 정도로 지능적으로 변화하고 있습니다. 침해 문제를 해결하기 위해 소요되는 기간이 30일이 넘는 경우가 60% 이상이 되는 등 위협의 종류가 다양하고 심각해지고 있습니다.

구글은 MIT Technology Review(2017년 7월 20일)에서, 사이버 위협이 신기술인 머신러닝 기법으로 발전하고 있고 이러한 위협은 기존의 방식으로 방어하는 것이 불가능하므로, 반드시 머신러닝 기반의 보안이 필요함을 지적했습니다.

머신러닝 기반 보안 솔루션은 그 필요성은 중요하게 대두되고 있지만, 세계적인 업체들도 아직 기초 연구 수준 정도에 그쳐 원천 기술을 확보하지 못한 상태로 당사의 완성된 솔루션인 머신러닝 기반 인공지능 보안 솔루션은 세계적으로 가장 앞서 있습니다.