search

제로데이

circle-info

제로데이 필터는 기존 시그니처로 포착되지 않는 의심 행위(비정형 페이로드·이례적 요청 패턴 등) 를 탐지하기 위한 웹방화벽 필터입니다.

행위 기반 신호와 상관분석을 통해 제로데이 의심 이벤트를 식별하고 우선순위화하여 보안담당자의 초기 대응을 돕습니다.

hashtag
1. 목적

알려지지 않은 취약점·익스플로잇 시도(제로데이)를 조기에 식별하고, 즉시 연관 로그(호스트보안·전체로그)와 연결해 공격 확산 여부를 빠르게 판단하도록 지원합니다.

hashtag
2. 탐지 신호

제로데이 필터는 고정된 시그니처가 아닌 행위·문맥 기반 신호를 조합해 탐지합니다. 주요 단서는 다음과 같습니다.

  • 비정상적 페이로드 특징: 난독화·이상한 인코딩·비정상적 바이너리 패턴 등

  • 이상한 요청 메타데이터: 비정상 User-Agent·비정상 Referer 조합, 비정상적 Content-Length·헤더 혼용

  • 비정형 URI 패턴 / 예상치 못한 파일 업로드(예: .php 업로드 등)

  • 동일 세션/동일 호스트에서의 연쇄적 의심 행위(파일 생성 → 명령 실행 흔적 등)

  • 탐지 시점 전후의 호스트보안 이벤트(프로세스 생성, 권한 변경 등)와의 상관성

hashtag
3. 필터 동작

  1. 웹로그에서 행위 기반 룰이 의심 패턴을 감지

  2. 감지 시 항목을 제로데이 의심으로 표시하고 심각도(우선순위)를 부여

  3. 자동으로 동일 시점의 호스트보안/전체로그(±1s~±60s) 를 조회해 연관 이벤트 존재 여부를 확인(상관분석 연계)

  4. AI 보조 분석(설정된 경우)을 통해 페이로드·행위의 의도·유사 취약점 여부를 요약해 표시

  5. 운영 정책에 따라 탐지(알림) 또는 탐지+차단(주의: 오탐 가능성 고려) 동작을 제공

Previous브루트포스Next추천

Last updated