search

제로데이

circle-info

제로데이(Zero-day)란 알려지지 않았거나 공개된 적 없는 취약점을 공격자가 먼저 이용해 발생하는 보안 사고를 말합니다.

PLURA는 웹방화벽 및 호스트보안의 통합 로그를 활용해 비정형·이례적 행위를 식별하고, 이를 제로데이 징후로 분류해 보안담당자에게 우선적으로 알립니다.

hashtag
1. PLURA 접근법

  • 특징적 어려움: 제로데이 공격은 기존 서명(시그니처) 기반 탐지로 잡기 어렵고, 전통적 패턴과 다르게 행동하므로 탐지 기준 정의가 어렵습니다.

  • PLURA의 접근:

    • 행위 기반 분석: 비정상 요청 헤더, 비정상 페이로드 크기·구성, 이례적 사용자에이전트·레퍼러 조합 등을 행위 기반으로 분석합니다.

    • 상관분석 연계: 웹로그에서 의심 행위가 탐지되면 동일 시간대의 시스로그/호스트보안 로그를 자동 연계해 추가 이상징후(프로세스 생성, 권한 상승 등)를 추적합니다.

    • AI 보조 분석: AI 버튼을 통한 자동 분석으로 페이로드·행동의 의도를 요약하고, 기존 알려진 취약점과의 유사성(혹은 완전한 미식별 여부)을 평가합니다.

hashtag
2. 상세보기 및 연계 기능

  • 상세 레이어: 항목 클릭 시 원문 요청·응답(헤더/본문), 의심 페이로드의 특징(예: 난독화 패턴, 의심 바이너리 유사성), 탐지에 사용된 행위 규칙 요약을 표시합니다.

  • 동일 시점 전체로그 연동: 전체로그(±1s~±60s) 기능으로 동일 시간대의 다른 이벤트(파일 업로드, 쉘 호출, 프로세스 생성 등)를 즉시 조회해 공격의 확장 여부를 확인합니다.

  • 호스트보안 연동: 웹 탐지와 동시에 호스트 쪽에서 프로세스 실행·네트워크 연결·파일 쓰기 등 이상 행위가 있는지 자동으로 매칭해 상관분석 결과를 함께 제공합니다.

Previous브루트포스Next전체로그

Last updated