Traffic Analysis Essentials (3)

Traffic analysis란

네트워크 이상과 위협, 시스템 이슈를 감지하고 대응하기 위해 통신 패턴과 네트워크 데이터를 분석, 모니터링, 기록, 가로채는 방법을 의미하며 

네트워크 보안 체제의 한 부분이라 할 수 있다.

 

네트워크 보안 체제의 여러 분야 중 일부는 다음과 같다.
- Network Sniffing and Packet Analysis

- network monitoring

- intrusion detection and prevention

- network forensics

- threat hunting

 

 

Network security부분에 3가지 제어 level 기저에 2가지 주요 접근 방식이 있었던 것처럼

Traffic analysis에서도 사용되는 주요 기술 두 가지가 존재한다. 

 

---

Flow analysis & packet analysis

Flow analysis :: 

네트워크 디바이스로부터 데이터 & 증거를 모으는 것으로 심층적인 packet 수준의 조사는 적용하지 않고

데이터를 정리해 통계적인 결과를 제공하는 것을 목표로 한다.

그렇다 보니 데이터를 수집하고 분석하는 것은 간단하지만 packet의 세부 내용에 대해서는 알 수 없다.

 

 

Packet analysis ::

가능한 네트워크 데이터를 전부 수집하는 유형의 분석으로 flow분석과는 달리

수상쩍고 악의적인 패킷을 차단하고 감지하기 위해 심층 패킷 수준의 조사를 수행한다. [= Deep Packet Inspection]

심층적인 조사를 수행하다 보니 그만큼의 시간과 분석을 위한 능력이 요구되지만 더 많은 데이터를 수집할 수 있다는 것이 장점이다.