Criminal IP 스플렁크 통합 앱 출시, IP 인텔리전스 활용한 FDS

오늘은 Criminal IP 그리고 Splunk 유저라면 흥미로워 할 소식을 알려드립니다. 로그 분석 플랫폼 스플렁크(Splunk) 대시보드와 Criminal IP FDS (Fraud Detection System, 이상 금융 거래 탐지 시스템) API 기능이 연동된 Criminal IP 스플렁크 통합 앱이 출시되었습니다.

이제 Splunkbase 에서 Criminal IP FDS를 다운받아 기업 및 기관의 이상 금융 거래와 어뷰징 유저의 실시간 로그를 스플렁크 대시보드에서 모니터링 할 수 있게 되었습니다.

FDS (Fraud Detection System, 이상 금융 거래 탐지 시스템) 이란?

FDS란 이상 금융 거래 탐지 시스템을 의미하며, 기존의 패턴과 상이한 방식으로 결제 등의 금융 거래를 시도하는 유저를 식별하고, 부정 행위를 차단하는 보안 시스템입니다. 즉, 기업에서 운영중인 서비스에 접속하는 악성 유저를 판별하는 시스템을 의미합니다. 로그인이나 회원가입과 같은 일상적인 행위부터 결제 및 송금과 같은 금융 거래에서도 악성 유저를 판별해 서비스와 고객을 보호하는 것이 FDS의 목적입니다.

Criminal IP FDS의 차별점 – IP Intelligence 활용

이렇듯 FDS는 악성 유저와 부정행위의 실시간 탐지가 중요합니다. 하지만 기존의 FDS 탐지 프로세스에는 몇 가지 문제점들이 있었습니다.

기존 FDS 의 문제점

1. FDS 를 구축하는 데 굉장히 많은 로그가 필요하다.
2. 로그를 기록하는 시스템 자체가 마련되지 않은 회사도 많다.
3. 로그 분석과 학습에 장시간이 소요된다.

IP Intelligence 를 활용한 FDS를 제안

이러한 FDS의 문제점을 보완하기 위해 Criminal IP FDS에서는 IP 인텔리전스를 활용하는 방법을 제안하게 되었습니다. 결국, 악성 유저는 감염된 IP 주소 혹은 우회한 IP 주소를 통해 접속과 부정행위를 시도합니다. 따라서 접속 IP 주소 하나만으로 기존 FDS처럼 복잡한 로그분석을 행하지 않아도 결제 혹은 로그인을 시도하는 유저의 악성 여부를 판단할 수 있습니다. 실제로 Criminal IP FDS 는 행위 로그 전체를 분석하는 방식과 비교해 더 단기간에 동일하거나 그 이상의 탐지 효과가 나타나고 있습니다.

Criminal IP 가 악성 유저를 판별하는 방법은 다음과 같습니다

예를 들어, VPN IP 주소를 통해 우회 접속을 시도하는 유저가 있습니다. 이 유저가 Criminal IP FDS를 연동한 서비스에 접속할 때 자동으로 Criminal IP 의 API 를 호출합니다. API 결과 VPN IP로 판별되어 결과를 네트워크 보안장비에 전송하면 해당 보안 장비에서는 유저의 접속을 차단하는 것으로 활용할 수 있습니다.

Criminal IP 스플렁크 통합 앱을 통한 FDS 실시간 모니터링

스플렁크 (Splunk) 는 빅데이터를 웹 인터페이스로 검색, 모니터링, 분석할 수 있는 소프트웨어입니다. Criminal IP 스플렁크 통합 앱을 사용하면 운영중인 서비스에서 탐지되는 실시간 악성유저의 로그 현황을 한 눈에 확인할 수 있습니다.

일일 탐지된 IP 개수와 위치정보

• Today Query Count : 고객이 요청한 쿼리 수 (아래 그래프는 변화 추이)
• Today Total Detection : VPN, Tor, Scanner, Hosting, Proxy IP거나 Score가 Critical, Dangerous인 경우 탐지된 IP 수
• Country : 탐지된 IP의 국가 통계
• Query IP World Map : 탐지된 IP의 위치 정보

접속한 IP의 위험도와 악성 IP의 상세정보

• Score Table : 탐지된 IP에 대한 Score, 수, 비율을 나타낸 테이블 그래프
• IP Score : 탐지된 IP의 Score 파이 차트
• IP Status : 탐지된 IP 주소 중 블랙리스트로 진단된 IP 주소의 수와 비율
• Top 10 AS_Name : 일정 시간 내에 시스템에 접속한 IP 주소의 상위 10개 AS Name
• Top 10 Dirty IP : 일정 시간 동안 시스템에 최소 3회 이상 접속한 IP 주소 상위 10개 목록 제시
• Dirty IP Detection : 일정 시간 내에 위협으로 간주되는 IP 주소에 연결된 세부 정보와 함께 전체 목록을 제시

접속한 IP 주소에 대해 필터링한 정보

• Search Table : 설정된 기간 동안 탐지된 모든 IP 주소에 연결된 세부 정보가 포함된 전체 목록을 제공, 카테고리 및 키워드를 사용하여 필터링 검색 가능

스플렁크 대시보드와 Criminal IP 검색엔진 연동

탐지한 IP 주소를 Criminal IP 스플렁크 통합 앱 대시보드에서 클릭하면, Criminal IP 페이지에서 해당 IP 주소의 상세정보를 확인할 수 있습니다. 또한, Criminal IP의 IP 인텔리전스 데이터베이스의 정보에 따라 IP 주소에 지정된 태그가 있습니다. 이 태그들을 클릭하면 Criminal IP에서 키워드 검색으로 이어집니다. 

제공되는 태그 리스트

• mobile : 모바일 IP 주소
• snort : Snort에 의해 악성으로 판단된 IP 주소
• vpn : VPN IP 주소
• tor : 토르 IP 주소
• scanner : 스캐너 IP 주소
• hosting : 호스팅 IP 주소
• proxy : 프록시 IP 주소

Criminal IP 스플렁크 통합 앱 설치 방법

1. Splunkbase에서 Criminal IP FDS를 다운로드합니다.
2. ‘Restart’ 메시지가 표시되면 Splunk를 다시 시작합니다.
3. ‘idx_cip_fds’ 인덱스를 생성합니다.
4. https://www.criminalip.io/ 에 접속 하여 회원가입을 한 후, API 키를 생성합니다.
5. Criminal IP에서 API를 사용하여 json 형식의 로그 파일을 생성합니다.
   • {“datetime”: “2022-09-28 13:46:34”, “ip_score”: “Moderate”, “IP”: “223.38.40.211”, “country”: “Korea”, “as_name”: “SK Telecom”, “mobile”: true, “tag_category”: “mobile, vpn”, “ip_category”: “ddos (Medium), tor”}
   • 자세한 사용 가이드 ( Criminal IP FDS Usage Guide.pdf )
   • 깃허브 링크: https://github.com/criminalip/CIP-FDS
6. 대시보드에서 Criminal IP FDS 확인합니다.

Criminal IP FDS 스플렁크 앱 설치 또는 사용에 대해 문의가 있으시면 support@aispera.com 으로 연락 주시기 바랍니다.
Criminal IP API로 악성 유저와 네트워크 침입자를 탐지하는 기능과 관련하여 VPN 탐지: 악의적인 사용자 및 네트워크 침입자 식별 글을 참고해주시기 바랍니다.

---

데이터 출처 : Criminal IP (https://www.criminalip.io)

관련 글 : 

VPN 탐지: 악의적인 사용자 및 네트워크 침입자 식별