생성형AI를 활용한 AI 보안관제 및 통합로그분석

정규표현식

문자열을 일정한 규칙으로 표현하여 탐지하는 방식

메타문자 (기본)

문자 매칭

기호                                             의미

.	모든 문자 1개
[]	문자 집합
[^ ]	NOT 문자
\d	숫자
\w	문자 + 숫자
\s	공백

수량자 (Quantifier)

특징: 가능한 많은 문자열을 매칭하려는 성질

기호                                                의미

*	0개 이상
+	1개 이상
?	0 또는 1개
{n}	n개
{n,}	n개 이상
{m,n}	m개 이상 n개 이하

앵커 (위치 지정)

기호                                    의미

^	문자열 시작
$	문자열 끝

그룹 및 OR

기호                                                                         의미

( )	그룹
`	`

전방/후방 탐색

기호                                                              의미

(?= )	긍정 전방탐색
(?! )	부정 전방탐색
(?<= )	긍정 후방탐색
(?<! )	부정 후방탐색

VIM 표현 방식:

• ()@= : 긍정 전방탐색
• ()@! : 부정 전방탐색
• ()@<= : 긍정 후방탐색
• ()@<! : 부정 후방탐색

기타 기호

기호                                       의미

\	이스케이프
\.	. 자체
\*	* 자체

snort.conf 설정

• checksum_mode 변경
• dynamic rule 비활성화
• whitelist / blacklist 설정
• 로그 저장 설정

핵심

• 불필요한 기능 제거
• 탐지 로그 활성화

SNORT 실행 명령어

기본 실행

snort -i eth0 -c /etc/snort/snort.conf

주요 옵션

옵션                                                                            의미

-i	인터페이스 지정
-c	설정파일 지정
-A console	콘솔 출력

SNORT 룰 + PCRE

기본 구조

alert tcp any any -> any 80 (msg:"test"; content:"GET"; pcre:"/regex/"; sid:1;)

pcre 옵션

pcre:"/패턴/옵션"

주요 옵션

옵션                                     의미

i	대소문자 무시
s	개행 포함
m	멀티라인
x	공백 무시

HTTP 검사 옵션

옵션                                               의미

/U	URI
/H	Header
/M	Method
/C	Cookie
/P	POST
/S	상태코드
/Y	응답 메시지

실무 연결

pcre:"/([a-z0-9]{20,})/i"

의미

• 20자 이상 문자열 탐지
• DNS 터널링 의심 패턴

문자 클래스 확장

기호                                                                                                      의미

[a-z]	소문자
[A-Z]	대문자
[0-9]	숫자
[a-zA-Z0-9]	영숫자
[^a-z]	a~z 제외

escape 

문자                                                                                  escape

.	\.
(	\(
)	\)
[	\[
]	\]

탐색 구문 

기호                                                                 의미

()@=	긍정 전방탐색
()@!	부정 전방탐색
()@<=	긍정 후방탐색
()@<!	부정 후방탐색