수리카타 분석 suricata classification.config
cat classification.config
config classification: not-suspicious,Not Suspicious Traffic,3
config classification: unknown,Unknown Traffic,3
config classification: bad-unknown,Potentially Bad Traffic, 2
config classification: attempted-recon,Attempted Information Leak,2
config classification: successful-recon-limited,Information Leak,2
config classification: successful-recon-largescale,Large Scale Information Leak,2
config classification: attempted-dos,Attempted Denial of Service,2
config classification: successful-dos,Denial of Service,2
config classification: attempted-user,Attempted User Privilege Gain,1
config classification: unsuccessful-user,Unsuccessful User Privilege Gain,1
config classification: successful-user,Successful User Privilege Gain,1
config classification: attempted-admin,Attempted Administrator Privilege Gain,1
config classification: successful-admin,Successful Administrator Privilege Gain,1
config classification: rpc-portmap-decode,Decode of an RPC Query,2
config classification: shellcode-detect,Executable code was detected,1
config classification: string-detect,A suspicious string was detected,3
config classification: suspicious-filename-detect,A suspicious filename was detected,2
config classification: suspicious-login,An attempted login using a suspicious username was detected,2
config classification: system-call-detect,A system call was detected,2
config classification: tcp-connection,A TCP connection was detected,4
config classification: trojan-activity,A Network Trojan was detected, 1
config classification: unusual-client-port-connection,A client was using an unusual port,2
config classification: network-scan,Detection of a Network Scan,3
config classification: denial-of-service,Detection of a Denial of Service Attack,2
config classification: non-standard-protocol,Detection of a non-standard protocol or event,2
config classification: protocol-command-decode,Generic Protocol Command Decode,3
config classification: web-application-activity,access to a potentially vulnerable web application,2
config classification: web-application-attack,Web Application Attack,1
config classification: misc-activity,Misc activity,3
config classification: misc-attack,Misc Attack,2
config classification: icmp-event,Generic ICMP event,3
config classification: inappropriate-content,Inappropriate Content was Detected,1
config classification: policy-violation,Potential Corporate Privacy Violation,1
config classification: default-login-attempt,Attempt to login by a default username and password,2
config classification: targeted-activity,Targeted Malicious Activity was Detected,1
config classification: exploit-kit,Exploit Kit Activity Detected,1
config classification: external-ip-check,Device Retrieving External IP Address Detected,2
config classification: domain-c2,Domain Observed Used for C2 Detected,1
config classification: pup-activity,Possibly Unwanted Program Detected,2
config classification: credential-theft,Successful Credential Theft Detected,1
config classification: social-engineering,Possible Social Engineering Attempted,2
config classification: coin-mining,Crypto Currency Mining Activity Detected,2
config classification: command-and-control,Malware Command and Control Activity Detected,1
제공된 classification.config 파일은 Suricata IDS/IPS 시스템에서 트래픽을 분류하는데 사용되는 분류 규칙을 나타냅니다. 각 항목은 특정 유형의 트래픽이나 공격을 분류하는 기준을 설정하고 있으며, 각 분류는 해당 트래픽의 심각도를 숫자로 평가합니다.
파일에 등장하는 규칙들은 분류 이름(classification), 설명(description), 그리고 우선순위(priority)를 포함하고 있습니다. 이 우선순위는 해당 트래픽 유형의 중요도를 나타냅니다. 우선순위가 낮을수록 더 중요하고 심각한 트래픽으로 간주됩니다.
각 필드 설명:
- classification: 특정 트래픽을 분류하는 이름.
- description: 해당 트래픽 분류에 대한 설명.
- priority: 트래픽의 중요도를 나타내는 숫자. 숫자가 낮을수록 높은 우선순위를 의미합니다. 예를 들어,
1은 매우 중요한 이벤트를,3은 덜 중요한 이벤트를 나타냅니다.
분석
1. 트래픽 분류의 범위
classification항목은 네트워크 공격과 비정상적인 트래픽을 감지하는 다양한 기준을 포함합니다. 예를 들어,attempted-recon(정보 유출 시도),successful-recon-limited(제한된 정보 유출 성공),successful-dos(서비스 거부 공격 성공) 등 다양한 공격 유형을 분류하고 있습니다.- 또한 비정상적인 트래픽(
unusual-client-port-connection,network-scan등), 악성 코드 활동(trojan-activity,coin-mining,exploit-kit), 사회적 공학 공격(social-engineering), 정책 위반(policy-violation) 등 다양한 카테고리로 분류됩니다.
2. 우선순위(priority)
우선순위 값은 각 분류의 중요도를 나타냅니다. 일반적으로 숫자가 작을수록 중요성이 높고, 큰 숫자는 상대적으로 덜 중요한 트래픽을 나타냅니다.
- 우선순위 1 (가장 높은 우선순위):
shellcode-detect: 실행 가능한 코드가 감지됨.suspicious-filename-detect: 의심스러운 파일 이름이 감지됨.web-application-attack: 웹 애플리케이션 공격.denial-of-service: 서비스 거부 공격.command-and-control: 악성 소프트웨어의 명령 및 제어 활동.exploit-kit: 익스플로잇 키트 활동.credential-theft: 자격 증명 도난.
- 우선순위 2 (중간 우선순위):
attempted-dos: 서비스 거부 공격 시도.successful-dos: 서비스 거부 공격 성공.rpc-portmap-decode: RPC 쿼리 디코딩.network-scan: 네트워크 스캔 탐지.social-engineering: 사회적 공학 공격 시도.coin-mining: 암호 화폐 채굴 활동.targeted-activity: 표적화된 악성 활동.external-ip-check: 외부 IP 주소 확인 활동.
- 우선순위 3 (낮은 우선순위):
not-suspicious: 의심되지 않은 트래픽.unknown: 알 수 없는 트래픽.misc-activity: 다양한 활동.icmp-event: 일반적인 ICMP 이벤트.inappropriate-content: 부적절한 콘텐츠 탐지.policy-violation: 정책 위반 탐지.default-login-attempt: 기본 사용자 이름과 비밀번호로 로그인 시도.
3. 특정 공격 유형
- 정보 유출 관련:
attempted-recon,successful-recon-limited,successful-recon-largescale등의 분류는 공격자가 정보 유출을 시도하거나 성공했을 때 감지합니다. - 서비스 거부 공격 관련:
attempted-dos,successful-dos등의 분류는 DOS 공격을 감지합니다. - 사용자 및 관리자 권한 공격:
attempted-user,successful-user,attempted-admin,successful-admin등은 사용자의 권한을 탈취하려는 시도를 분류합니다. - 네트워크 스캔 및 비정상적인 트래픽:
network-scan,unusual-client-port-connection은 비정상적인 네트워크 활동을 탐지합니다. - 웹 애플리케이션 공격:
web-application-activity,web-application-attack는 웹 애플리케이션과 관련된 공격을 탐지합니다.
4. 우선순위 관리
이 설정 파일은 트래픽의 중요도에 따라 다른 우선순위를 부여하여 응급 대응 및 경고 시스템을 세분화할 수 있도록 돕습니다. 예를 들어, 우선순위 1의 트래픽은 즉시 대응이 필요하고, 우선순위 3의 트래픽은 나중에 점검할 수 있는 항목으로 분류될 수 있습니다.
결론
이 파일은 Suricata에서 트래픽을 다양한 카테고리로 분류하고 각 분류에 우선순위를 부여하는 분류 규칙 설정 파일입니다. 우선순위가 1인 항목들은 즉각적으로 대응이 필요한 중요한 트래픽을, 3인 항목들은 상대적으로 중요도가 낮은 트래픽을 의미합니다. 이 설정을 통해 보안 분석 및 모니터링 시스템은 공격을 탐지하고 우선순위에 따라 경고를 설정할 수 있습니다.
