KR101454838B1 - 하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템 - Google Patents

하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템 Download PDF

Info

Publication number
KR101454838B1
KR101454838B1 KR1020130046185A KR20130046185A KR101454838B1 KR 101454838 B1 KR101454838 B1 KR 101454838B1 KR 1020130046185 A KR1020130046185 A KR 1020130046185A KR 20130046185 A KR20130046185 A KR 20130046185A KR 101454838 B1 KR101454838 B1 KR 101454838B1
Authority
KR
South Korea
Prior art keywords
information
cloud
security
virtualization
management module
Prior art date
Application number
KR1020130046185A
Other languages
English (en)
Inventor
정일안
이슬기
신영상
윤미연
황동욱
손경호
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020130046185A priority Critical patent/KR101454838B1/ko
Application granted granted Critical
Publication of KR101454838B1 publication Critical patent/KR101454838B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 클라우드 컴퓨팅 환경의 하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템이 제공된다. 상기 클라우드 통합 보안 관제 시스템은 가상화 자원 정보와 보안 이벤트 정보를 데이터베이스에 저장하는 클라우드 정보 관리 모듈, 상기 가상화 자원 정보와 상기 보안 이벤트 정보를 분석하는 클라우드 정보 분석 모듈, 및 보안 정책을 제공하고, 수집할 상기 가상화 자원 정보에 관한 정책을 관리하고, 가상화 공격에 대한 대응 정책을 관리하는 클라우드 보안 관리 모듈을 포함하고, 상기 보안 정책은 분석된 상기 가상화 자원 정보 및 분석된 상기 보안 이벤트 정보를 이용하여 생성되고, 클라우드 구축 환경과 목적에 따라 다르게 생성된다.

Description

하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템{Cloud enterprise security management system for interworking of Hypervisor-based virtual network and host intrusion prevention system}
본 발명은 클라우드 컴퓨팅 환경의 하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템에 관한 것으로서, 보다 상세하게는 서버 가상화 등 클라우드 인프라를 구축한 사업자나 기업 데이터센터에서, 기존 보안 장비가 탐지할 수 없는 가상화 기술로 구축된 클라우드 시스템 내부에서 발생되는 가상머신(Virtual Machine, VM) 간 해킹, 하이퍼바이저 루트킷 등 가상화 공격에 대응하기 위해 실시간 가상화 네트워크 및 호스트 대상 공격 탐지/대응 시스템과 연동하여 보안이벤트 및 클라우드 자원 정보 수집, 클라우드 보안현황 모니터링 및 분석, 클라우드 보안 정책을 적용할 수 있는 클라우드 통합 보안 관제 시스템에 관한 것이다.
클라우드 컴퓨팅은 사업자가 인터넷 기술을 활용하여, 가상화된 IT 자원을 서비스로 제공하고, 사용자는 IT 자원을 필요한 만큼 빌려서 사용하고, 사용한 만큼에 해당하는 비용을 지불하는 컴퓨팅을 의미한다. 클라우드 컴퓨팅 기술은, 기업의 IT 인프라에 대한 유지보수 비용을 절감시키고, 사업 초기에 대규모 투자비용에 대한 부담도 경감시킬 수 있는 등 기업의 IT 혁신을 통한 비용 절감에 큰 효용이 있을 것으로 기대된다.
최근에는, CSA(Cloud Security Alliance)에서 발표한 '클라우드 컴퓨팅에서의 보안 고려 사항'에서는 데이터 암호화, 접근 관리, 스토리지 보안 등을 포함하고 있고, RSA 2011에서는 '클라우드 보안전망','클라우드 보안 협력 방안','기업들의 클라우드 보안 문제점 연구' 등 클라우드 보안이 메인 이슈로 논의될 정도로 보안 기술은 클라우드 컴퓨팅의 핵심 기술이다. 2011년 Symantec 조사에 의하면, 정부, 기업 등에서 클라우드 도입 시 장애 요인 1순위로 악성코드, 기밀 데이터 해킹 및 유출 등 보안 문제를 가장 염려하고 있고, TrendMicro, BlueCoat 등 글로벌 주요 보안 업체들은 2012년 보안 위협으로 가상화 및 클라우드 보안 위협이 본격화될 것으로 전망하고 있다.
본 발명이 해결하려는 과제는, 클라우드 시스템 내부에서 발생되는 가상 머신 간 해킹, 하이퍼바이저 루트킷 등 가상화 공격에 대응하기 위해 실시간 가상화 네트워크 및 호스트 대상 공격 탐지/대응 시스템과 연동하여 보안이벤트 및 클라우드 자원 정보 수집, 클라우드 보안현황 모니터링 및 분석, 클라우드 보안 정책을 적용할 수 있는 클라우드 통합 보안 관제 시스템을 제공하는 것이다.
본 발명이 해결하려는 과제는 이상에서 언급한 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 본 발명의 클라우드 통합 보안 관제 시스템의 일 태양(aspect)은, 가상화 자원 정보와 보안 이벤트 정보를 데이터베이스에 저장하는 클라우드 정보 관리 모듈, 상기 가상화 자원 정보와 상기 보안 이벤트 정보를 분석하는 클라우드 정보 분석 모듈, 및 보안 정책을 제공하고, 수집할 상기 가상화 자원 정보에 관한 정책을 관리하고, 가상화 공격에 대한 대응 정책을 관리하는 클라우드 보안 관리 모듈을 포함하고, 상기 보안 정책은 분석된 상기 가상화 자원 정보 및 분석된 상기 보안 이벤트 정보를 이용하여 생성되고, 클라우드 구축 환경과 목적에 따라 다르게 생성된다.
상기 과제를 해결하기 위한 본 발명의 클라우드 통합 보안 관제 시스템의 다른 태양(aspect)은, 가상화 자원 정보, 보안 이벤트 정보, 및 넷플로우 정보가 저장되는 데이터베이스, 상기 가상화 자원 정보와 상기 보안 이벤트 정보를 상기 데이터베이스에 저장하는 클라우드 정보 관리 모듈, 상기 가상화 자원 정보와 상기 보안 이벤트 정보를 분석하는 클라우드 정보 분석 모듈, 보안 정책을 제공하는 클라우드 보안 관리 모듈, 및 상기 클라우드 정보 관리 모듈과 상기 클라우드 정보 분석 모듈과 상기 클라우드 보안 관리 모듈을 관리하고 모니터링하는, 시스템 및 사용자 인터페이스 관리 모듈을 포함한다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.
본 발명은 하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템에서 제공하는 가상화 자원 및 보안이벤트 정보를 수집, 분석, 관리할 수 있도록 하여 가상화 보안상태 및 자원변화, 공격 연관성, 가상 네트워크 트래픽 현황을 파악할 수 있는 효과를 갖는다.
본 발명은 가상 머신의 라이프사이클 관리, 물리 호스트 간의 가상 머신 이동 이력 정보 분석 및 추적, 가상 머신 이동에 따른 시계열적 보안 상태 변화 분석을 통하여 가상화 자원변화를 파악할 수 있는 효과를 갖는다.
본 발명은 가상화 네트워크의 내외부 연결 및 내부 간 연결 정보의 연관성과 공격 탐지 정보 및 이상 트래픽 정보과의 연관성을 파악할 수 있는 효과를 갖는다.
본 발명은 가상화 자원 정보와 보안이벤트 정보를 기초로 하여 대상, 범위, 대응 방식별로 보안 정책을 관리하면서 유연하게 적용할 수 있는 효과를 갖는다.
본 발명은 클라우드 데이터 센터의 가상 머신들에 대한 보안 상태를 관리하고, 악성 가상 머신의 존재 여부를 분석하여 격리 및 치료할 수 있는 효과를 갖는다.
도 1은 본 발명의 실시예에 따른 클라우드 환경 보안 시스템을 설명하기 위한 블록도이다.
도 2는 클라우드 통합 보안 관제 시스템 및 클라우드 에이전트의 세부 모듈을 설명하기 위한 블록도이다.
도 3은 도 2의 클라우드 정보 수집 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 4는 도 2의 클라우드 보안 제어 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 5는 클라우드 보안 정책 처리기의 동작 절차를 나타낸 것이다.
도 6은 도 2의 클라우드 정보 관리 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 7은 도 2의 클라우드 정보 분석 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 8은 가상화 공격 연관성 분석기의 동작 절차를 순차적으로 나타낸 흐름도이다.
도 9 및 도 10은 각각 가상 머신의 라이프 사이클 및 동작 상태를 나타낸 것이다.
도 11 및 도 12는 각각 가상 머신의 라이프 사이클 및 동작 상태 변화를 설명하기 위한 개념도 및 예시도이다.
도 13은 도 2의 클라우드 보안 관리 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 14는 도 2의 시스템 및 사용자 인터페이스 관리 모듈의 세부 구성을 설명하기 위한 블록도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 명세서에서 사용되는 '모듈'이라는 용어는 소프트웨어, FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '모듈'은 어떤 역할들을 수행한다. 그렇지만 '모듈'은 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '모듈'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '모듈'은 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '모듈'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '모듈'들로 결합되거나 추가적인 구성요소들과 '모듈'들로 더 분리될 수 있다.
비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하에서는 첨부된 도면을 참조하여 본 발명의 실시예를 상세하게 설명하기로 한다.
도 1은 본 발명의 실시예에 따른 클라우드 환경 보안 시스템을 설명하기 위한 블록도이다.
도 1을 참조하면, 본 발명의 실시예에 따른 클라우드 환경 보안 시스템은 가상화 시스템(1), 클라우드 통합 보안 관제 시스템(2)을 포함한다.
가상화 시스템(1)은 단일의 물리 머신(physical machine)에서 다수의 가상 머신(virtual machine)들을 구동시킨다. 각각의 가상 머신은 독립적으로 동작할 수 있으며, 서로 다른 운영체제를 구동시킬 수 있다. 이러한 가상화 시스템(1)은 클라우드 에이전트(3), 가상화 네트워크 침입 방지 시스템(4; vIPS), 하이퍼바이저(5)를 포함할 수 있다.
클라우드 에이전트(3)는 가상화 시스템(1) 상에서 동작하여, 클라우드 통합 보안 관제 시스템(2)과 vIPS(4) 간의 커뮤니케이션을 중계한다. 클라우드 에이전트(3)는 가상화 시스템(1)의 정보, 보안 이벤트 정보를 vIPS(4)로부터 수집하여, 클라우드 통합 보안 관제 시스템(2)에 전달할 수 있다. 또한, 클라우드 에이전트(3)는 클라우드 통합 보안 관제 시스템(2)으로부터 보안 제어 명령, 시스템 제어 명령을 전달받아 vIPS(4)에 제공할 수 있다.
vIPS(4)는 하이퍼바이저(5)를 통해 가상화 시스템(1)의 내부 정보를 획득하고, 이를 이용하여 가상화 네트워크 침입 탐지를 수행한다. vIPS(4)는 침입에 대응하기 위한 보안 제어 명령을 하이퍼바이저(5)에 제공할 수 있다. 가상화 시스템(1)의 내부 정보는 가상 머신의 내부 정보, 하이퍼바이저(5)의 내부 정보, 가상화 시스템(1) 내의 가상 네트워크 패킷 등을 포함할 수 있다. 보안 제어는 가상 머신의 동작 제어, 가상 네트워크 트래픽의 레이트(rate) 제어 등을 포함할 수 있다.
하이퍼바이저(5; hypervisor)는 가상화 시스템(1)에서 다수의 가상 머신들을 구동하기 위하여, 물리적 자원(예를 들어, CPU, 메모리, 스토리지, 네트워크 등)들을 다수의 가상 머신들에게 배분하고 스케쥴링한다. 하이퍼바이저(5)는 가상화 시스템(1) 내의 가상 머신들과, 가상 머신들이 사용 중인 자원들에 접근(access)할 수 있다. 하이퍼바이저(5)는 가상 머신들 간 통신을 위해 가상 네트워크 패킷을 중계하는 소프트웨어 형태의 가상 스위치(vSwitch), 설정된 규칙에 따라 가상 네트워크 패킷을 필터링하는 방화벽 패킷 필터를 포함할 수 있다. 이러한 하이퍼바이저(5)를 VMM(Virtual Machine Monitor)이라 부를 수도 있다.
클라우드 통합 보안 관제 시스템(2)은, 다수의 vIPS(4)들로부터 가상화 시스템(1)의 정보 및 보안 이벤트 정보 등을 수집하여, 클라우드 인프라 전체에 대한 통합 보안 관제를 수행한다. 클라우드 통합 보안 관제 시스템(2)은 침입에 대응하기 위한 보안 제어 명령 및 관련 보안 정책을 각각의 vIPS(4)에 제공할 수 있다. 클라우드 통합 보안 관제 시스템(2)은 vIPS(4)의 동작 제어 및 환경 변수 관리를 위한 시스템 제어 명령을 각각의 vIPS(4)에 제공할 수 있다. 수집 정보는 가상 머신 현황 정보, 하이퍼바이저(5) 현황 정보, 가상화 시스템(1)의 물리 자원 명세 정보, 가상화 시스템(1) 내의 네트워크 트래픽 요약 정보, 보안 이벤트 정보, vIPS(4) 시스템 로그 등을 포함할 수 있다. 보안 제어는 가상 머신의 동작 제어, 가상 네트워크 트래픽의 레이트(rate) 제어, 공격 대응 정책, 정책 및 시그니쳐 룰 셋 등을 포함할 수 있다. 시스템 제어는 vIPS(4) 시스템의 동작 제어, vIPS(4) 시스템의 환경 변수 설정 및 조회 등을 포함할 수 있다.
도 2는 클라우드 통합 보안 관제 시스템 및 클라우드 에이전트의 세부 모듈을 설명하기 위한 블록도이다.
도 2를 참조하면, 클라우드 에이전트(3)는 클라우드 정보 수집 모듈(400; Cloud Information Collection Module, CICM), 클라우드 보안 제어 모듈(500; Cloud Security Control Module, CSCM)을 포함한다. 클라우드 통합 보안 관제 시스템(2)은 클라우드 정보 관리 모듈(100; Cloud Information Management Module, CIMM), 클라우드 정보 분석 모듈(300; Cloud Information Analysis Module, CIAM), 클라우드 보안 관리 모듈(200; Cloud Security Management Module, CSMM), 시스템 및 사용자 인터페이스 관리 모듈(700; System and User-interface Management Module, SUMM), 데이터베이스(600; DBMS), 레거시 시스템(800)을 포함한다.
CICM(400)은 vIPS(4)에서 생성되는 가상화 자원 정보와 보안 이벤트 정보를 수집하고, 수집된 가상화 자원 정보와 보안 이벤트 정보를 CIMM(100)으로 제공한다. 가상화 자원 정보는 가상화 시스템(1)의 자원 사용 정보, 가상화 시스템(1)에 관한 구성 정보, 가상 머신에 관한 구성 정보, 가상화 네트워크에 관한 구성 정보를 포함할 수 있다. 보안 이벤트 정보는 가상화 네트워크 및 가상화 자원 고갈 공격에 관한 정보를 포함할 수 있다. 가상화 자원 정보와 보안 이벤트 정보를 수집하고 CIMM(100)으로 제공하는 것은, 수집된 가상화 자원 정보와 보안 이벤트 정보를 메시지 규격화하고, 표준 API 및 프로토콜 기반으로 정보를 생성하고, 전송할 수 있다. 또한, 레거시(Legacy) 시스템(800) 연동을 위해 정보를 변환하여 생성하고, 전송할 수 있다.
CSCM(500)은 CSMM(200)으로부터 제공된 보안 정책을 vIPS(4)으로 제공한다. 가상화 공격이 탐지된 경우, CSCM(500)은 제공된 보안 정책에 따라, 가상화 자원의 생성, 삭제, 변경, 및 이동을 제어할 수 있다.
CIMM(100)은 CICM(400)을 통해 제공된 가상화 자원 정보와 보안 이벤트 정보를 데이터베이스(600)에 축약 및 저장한다. CIMM(100)이 가상화 자원 정보와 보안 이벤트 정보를 데이터베이스(600)에 축약 및 저장하는 것은, 데이터베이스 스키마 정의, 대용량 정보의 축약 및 필터링, 정보의 분산 저장, 저장된 정보 검색, 레거시 시스템(800)의 데이터베이스 연동을 위한 변환 과정을 수행할 수 있다.
CIAM(300)은 가상화 자원 정보와 보안 이벤트 정보를 분석한다. 구체적으로, CIAM(300)은 가상화 자원 정보와 보안 이벤트 정보를 분석하여, 가상화 보안 상태 현황 및 가상화 자원 변화, 공격 연관성, 가상 네트워크 트래픽 현황 정보를 알 수 있다. 가상화 보안 상태 현황은 가상 머신별 보안 상태 정보의 유형을 분석하여 알 수 있다. 가상화 자원 변화는 가상 머신의 라이프 사이클 관리, 물리 호스트 간의 가상 머신 이동 이력 정보 분석 및 추적, 가상 머신 이동에 따른 시계열적 보안 상태 변화 분석을 통하여 알 수 있다. 공격 연관성은 내외부 연결 및 내부 간 연결 정보의 연관성 분석, 공격 탐지 정보와 이상 트래픽 정보 간의 연관성 분석을 통하여 알 수 있다. 가상화 시스템(1)의 자원 정보 현황은 가상화 시스템(1)의 자원 및 가상 머신의 사용 현황, 가상 머신에 탑재된 애플리케이션 등의 사용 현황 모니터링을 통하여 알 수 있다. 또한, 가상화 시스템(1)의 공격 탐지 현황을 모니터링 하고, 가상 네트워크 트래픽 흐름 현황을 모니터링 할 수 있다.
CSMM(200)은 CSCM(500)로 보안 정책을 제공한다. 구체적으로, CSMM(200)은 가상화 시스템(1)의 공격 여부를 탐지하고, 대응하는 보안 정책을 제공할 수 있다. 또한, 가상화 자원 정보를 수집하는 정책을 관리하고, 가상 머신 영역(VM Zone) 구간을 설정하고, VM Zone 보안 정책을 제공할 수 있다.
SUMM(700)은 CIMM(100), CIAM(300), CSMM(200)의 상태를 관리 및 모니터링 한다.
데이터베이스(600)에는 가상화 자원 정보, 보안 이벤트 정보, 넷플로우 정보, 사용자 계정 설정 정보, 클라우드 이벤트 수집 조건 설정 정보, 클라우드 에이전트 및 가상 머신 노드 상태 정보, 클라우드 이벤트 연관성 분석 설정 정보, 클라우드 이벤트 연관성 경보 이벤트, 가상화 자원 정보 및 보안 이벤트 정보 통계 등이 저장된다.
레거시 시스템(800)은 CIMM(100)과 CIAM(300)로부터 보안 이벤트 정보 및 클라우드 분석 정보를 제공받는다.
도 3은 도 2의 클라우드 정보 수집 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 3을 참조하면, CICM(400)은 클라우드 자원 정보 수집기(410; Cloud Resource Information Collection Task, CRICT), 보안 이벤트 정보 수집기(420; Security Event Information Collection Task, SEICT), 네트워크 트래픽 정보 수집기(430; Network Traffic Information Collection Task, NTICT)를 포함한다.
CRICT(410)는 vIPS(4)의 가상화 자원 정보 추출 모듈에서 제공하는 가상화 자원 정보를 수집한다. 이러한 가상화 자원 정보는 가상화 시스템(1)과 가상 머신별 CPU, 메모리, 및 디스크의 할당량 및 사용량 정보를 포함할 수 있다. 또한, 가상화 시스템(1), 가상 머신, 및 가상화 네트워크의 구성 정보를 포함할 수 있다. CRICT(410)에서 수집된 가상화 자원 정보는 클라우드 통합 보안 관제 시스템(2)에서 관리할 수 있도록 CIMM(100)으로 전송될 수 있다. CRICT(410)와 CIMM(100) 사이에서 수집 정책이나 수집 정보들을 안전하게 전송할 수 있도록 보안 프로토콜(SSL/TLS)을 지원할 수 있다.
구체적으로, CRICT(410)가 vIPS(4)로부터 수집하는 가상 머신 내부의 자원 정보는 [표 1]과 같고, 하이퍼바이저 내부 정보는 [표 2]와 같고, 물리 시스템의 정보는 [표 3]과 같다.
분류 항목 설명 비고
가상머신
식별자
(VMDESC)		 VM UUID 가상머신 식별자 ID 문자열
Domain 도메인 종류 0: Xen Dom0,
1: Xen DomU,
2: VMware VM
(Reserved)
VM Name VM 이름 문자열
예시) VMDESC=174725a6-22f3-8e35-13a1-e6c1039bc575:1:Web Server
가상화시스템
식별자
(VSDESC)		 VS UUID 가상화시스템의 UUID
 문자열
예시) VSDESC=345625a6-22f3-8e35-13a1-e6c1039bc575
가상 CPU
(VCPU)		 VCPU ID 사용중인 Virtual CPU의
일련번호		 일련번호는 복수의 VCPU를 구분하고, 여러 개 값으로 표현(1부터 시작)
Mhz VCPU 속도 Mhz
Usage Rate VCPU 사용률 백분율(%)
예시) VCPU=1:1024:80,VCPU=2:1024:50
메모리
(VMEM)		 VMEM Size 가상 메모리 전체 크기 KBytes
Usage Rate 가상 메모리 사용률 백분율(%)
PMEM Size 물리 메모리 전체 크기 KBytes
Usage Rate 물리 메모리 사용률 백분율(%)
예시) VMEM=4194304:20:1048576:90
가상 디스크
(VDISK)		 VDISK Size 가상 디스크 전체 크기 KBytes
Usage Rate 가상 디스크 사용률 백분율(%)
예시) VDISK=10485760:10
대역폭 사용률
(BUSAGE)		 Usage Rate 전체 가상 NIC 사용률 백분율(%)
예시) BUSAGE=50
가상 NIC
(VNIC)		 Device Name 가상 NIC 이름 형식: vif0, vif1, ...
IP Address IPv4 주소 형식: A.B.C.D
Mbps 가상 NIC 속도 Mbps
In Usage Inbound 사용량 KBytes
In Usage Rate Inbound 사용률 백분율(%)
Out Usage Outbound 사용량 KBytes
Out Usage Rate Outbound 사용률 백분율(%)
예시) VNIC=vif0:1.2.3.4:1000:5678:80:6678:90
스왑
(SWAP)		 SWAP Size 스왑 전체 크기 KBytes
Usage Rate 스왑 사용률 백분율(%)
예시) SWAP=512000:40
라이프사이클
이벤트
(LCEVENT)		 State VM 라이프사이클 상태
(종료, 동작, 정지, 절전)		 0: powered down
1: running
2: paused
3: suspended
예시) LCEVENT=2
가상머신
운영환경
(ENV)		 OS Name Guest OS 문자열(win, linux, ...)
ServicePack Name 서비스 팩 문자열
Security Patch 보안 패치 문자열
예시) ENVOS=win, ENVSP=sp1, ENVSECP=kb12345678
분류 항목 설명 비고
하이퍼바이저
이름/버전
(HYPERVISOR)		 HV Name 하이퍼바이저 이름 문자열
HV Version 하이퍼바이저 버전 번호 문자열
예시) HYPERVISOR=XenServer:6.1
에디션
(HVED)		 HV Edition 하이퍼바이저 에디션 문자열
예시) HVED=Citrix XenServer Enterprise Edition
업데이트
(HVUPDATE)		 HV Update 하이퍼바이저 업데이트 문자열
예시) HVUPDATESTR=XS61E001
분류 항목 설명 비고
물리 CPU
(PCPU)		 Mhz 물리 CPU의 속도 Mhz
Sockets 물리 CPU의 소켓 개수 숫자
Cores 전체 코어 개수의 합 숫자
예시) CPU=1024:2:8
물리 디스크
(PDISK)		 PDISK Size 물리 디스크의 크기 KBytes
예시) DISK=524288000
호스트 이름
(HOSTNAME)		 HOST Name 물리 시스템의 호스트 이름 문자열
예시) HOSTNAME=XenCloudSvr01
CRICT(410)는 가상화 자원 정보의 유형에 따라, 가상 머신 내부의 자원 정보, 하이퍼바이저 내부 정보, 물리 시스템의 내부 정부로 구분하고, 수집 정책에 의해 설정된 주기로 가상화 자원 정보를 수집하여 보안 프로토콜을 통해 가상화 자원 정보를 CIMM(100)으로 전송한다.
SEICT(420)는 vIPS(4)의 가상화 네트워크 공격 및 가상화 자원 고갈 공격에 대한 보안 이벤트 정보를 제공받는다. SEICT(420)에서 수집된 보안 이벤트 정보들은 클라우드 통합 보안 관제 시스템(2)에서 관리될 수 있도록 CIMM(100)로 전송될 수 있다. 보안 이벤트 정보 메시지는 호환성을 갖도록 표준화된 메시지 규격인 CEF(Common Event Format, Revision 15)를 사용할 수 있다.
구체적으로, SEICT(420)가 vIPS(4)으로부터 수집하는 보안 이벤트 정보는 CEF 형식을 우선적으로 따른다. 보안 이벤트 정보는 [표 4]와 같다.
분류 항목 설명 비고
Prefix
Fields		 CEF: CEF 식별자 고정 문자열
Version CEF 버전 고정 숫자(0)
Device Vendor 디바이스 업체명 문자열
Device Product 디바이스 제품명 문자열
Device Version 디바이스 버전 숫자
Signature ID 시그니처 식별자 문자열 or 숫자
Name 이벤트 명칭 문자열
Severity 위험도 숫자(0 ~ 10)
Extension
Dictionary		 Extension 확장 항목 CEF의 확장 사전 참조
(키-값 쌍)
예시) Sep 19 08:26:10 host CEF:0|security|threatmanager|1.0|100|worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2 spt=1232
SEICT(420)는 vIPS(4)에서 Syslog 프로토콜을 통해 수집한 CEF 형식의 보안 이벤트 정보를 보안 프로토콜을 통해 클라우드 통합 보안 관제 시스템(2)으로 전달한다.
NTICT(430)는 vIPS(4)의 Open vSwitch에서 전송하는 넷플로우(Netflow) 정보를 수집한다. 넷플로우 정보는, IP 주소, 포트, 프로토콜, 시간, 패킷, 및 플로우 수에 관한 정보를 포함할 수 있다. NTICT(430)에서 수집한 네트워크 트래픽 정보들은 클라우드 통합 보안 관제 시스템(2)에서 관리될 수 있도록 CIMM(100)으로 전송될 수 있다. 넷플로우 정보는 Open vSwitch에서 지원하며 범용적으로 사용되고 있는, Version 5를 기준으로 생성될 수 있다.
구체적으로, NTICT(430)가 vIPS(4)로부터 수집하는 네트워크 트래픽 정보는 Netflow Version 5 형식(Header와 Record 포맷)을 우선적으로 따른다. 네트워크 트래픽 정보는 [표 5]과 같다.
분류 항목 설명 옵셋 길이(Bytes)
Header version NetFlow 포맷 버전 번호 0 2
count 패킷내 포함된 Flow 수 2 2
unix_secs 초 단위 시간 8 4
unix_nsecs 마이크로 초 단위 시간 12 4
flow_sequence 전체 Flow의 일련번호 16 4
Record srcaddr Source IP 주소 0 4
dstaddr Destination IP 주소 4 4
dPkts Flow 내의 패킷 수 16 4
First Flow의 시작 시간 24 4
Last 수신된 Flow의 마지막 패킷 시간 28 4
srcport TCP/UDP Source 포트 번호 32 2
dstport TCP/UDP Destination 포트 번호 34 2
prot IP 프로토콜 유형 38 1
src_mask Source 주소 prefix mask bits 44 1
dst_mask Destination 주소 prefix mask bits 45 1
NTICT(430)는 vIPS(4)에서 전송하는 넷플로우 스타일의 네트워크 트래픽 정보를 UDP 프로토콜(기본 포트번호 2055)을 통해 수집하고, 수집 정책에 따라 보안 프로토콜을 통해 클라우드 통합 보안 관제 시스템(2)의 CIMM(100)로 전송한다.
도 4는 도 2의 클라우드 보안 제어 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 4를 참조하면, CSCM(500)은 클라우드 보안 제어 처리기(520; Cloud Security Control Processing Task, CSCPT), 클라우드 보안 정책 처리기(510; Cloud Security Policy Processing Task, CSPPT)를 포함한다.
CSCPT(520)는 가상화 자원을 제어하기 위한 신호를 vIPS(4)로 제공하고, vIPS(4)에서 제어해야 할 가상화 자원에 대한 제어 명령을 처리한다. 관리자는 클라우드 통합 보안 관제 시스템(2)의 SUMM(700)과 CSMM(200)을 통하여 가상화 자원에 대한 제어 명령을 CSCM(500)으로 전송하여, vIPS(4)에 적용할 수 있다. 가상화 자원 제어를 위한 API는 XML-RPC를 사용하고, 이는 XenServer에서 제공하는 명령어를 지원할 수 있다. 가상화 자원 제어는 가상 머신, 가상화 네트워크, 디스크 등 가상화 시스템(1) 자원을 대상으로 관리자에 의한 수동 제어 또는 자동 제어가 가능하도록 할 수 있다. 클라우드 에이전트(3)와 클라우드 통합 보안 관제 시스템(2) 사이에 클라우드 보안 제어 및 보안 정책 정보들을 안전하게 전송하기 위하여, 보안 프로토콜을 지원할 수 있다.
구체적으로, CSCPT(520)가 vIPS(4)에서 제어해야 할 가상화 자원 및 제어 명령에 관한 XML-RPC 클래스는 vIPS Platform 보안제어 인터페이스 API Specification 및 Citrix XenServer Management API Revision 1.1을 우선적으로 따른다. 클라우드 보안 제어를 지원하기 위한 클래스 정보는 [표 6]와 같다.
클래스 항목 설명
VM vm_operations start 시작
pause / unpause 정지
suspend 절전 모드
resume / resume_on 재가동
clean_shutdown / hard_shutdown 종료
clean_reboot / hard_reboot 재시작
vm_power_state Halted 종료된 상태
Paused 정지된 상태
Running 동작중인 상태
Suspended 절전모드 상태
VIF vif_operations attach VM에 VIF 연결
plug / unplug VIF 연결/해제
CSCPT(520)는 관리자가 클라우드 통합 보안 관제 시스템(2)의 SUMM(700) 및 CSMM(200)을 통해 가상화 자원에 대한 제어 명령을 XML-RPC 형태로 클라우드 에이전트(3)의 CSCPT(520)로 전송하여, vIPS(4)에 적용할 수 있다.
CSPPT(510)는 보안 정책을 vIPS(4)으로 제공하고, vIPS(4)에 적용해야 할 가상화 공격에 대한 탐지 및 대응 정책과 가상화 자원의 수집 정책을 처리할 수 있다. 관리자는 클라우드 통합 보안 관제 시스템(2)의 SUMM(700) 및 CSMM(200)을 통해 가상화 공격에 대한 탐지 및 대응 정책을 클라우드 에이전트(3)의 CSCM(500)에 전송하여, vIPS(4)에 적용할 수 있고, 가상화 자원의 수집 정책을 클라우드 에이전트(3)의 CICM(400)에 전송한다. 보안 정책 처리를 위한 API는 XML-RPC를 사용하고, 가상화 공격 탐지시 대응 정책에 따라 트래픽 차단 및 제한, 악성 가상 머신 격리 및 자원 할당 제한 등을 제어할 수 있다.
구체적으로, CSPPT(510)가 vIPS(4) 및 클라우드 에이전트(3)에 적용해야 할 클라우드 보안 정책 정보들은 [표 7]와 같다.
분류 항목 설명 비고
헤더 정보 Cloud Policy Type 클라우드 보안정책 유형 1x: 탐지/대응 정책
2x: 정보수집 정책
Cloud Policy ID 클라우드 보안정책 식별자 숫자
VM Zone ID VM Zone 식별자 숫자
처리 정보 Action 대응 유형 0: Allow
1: Reject
2: Drop
3: Capture
4: Inspection
Applied 정책 적용 및 해제 0: 해제
1: 적용
가상화 공격
탐지 및 대응
(1x)		 Firewall Rule ID(11) 방화벽 룰 식별자 숫자
IDPS Rule ID(12) 침입 탐지 및 대응 룰 식별자 숫자
AV Rule ID(13) 안티 바이러스 룰 식별자 Reserved
가상 자원
정보 수집
(2x)		 Resource Info ID(21) 클라우드 자원 정보 숫자
Security Info ID(22) 보안이벤트 정보 숫자
NetworkTraffic Info ID(23) 네트워크 트래픽 정보 숫자
CSPPT(510)는 관리자가 클라우드 통합 보안 관제 시스템(2)의 SUMM(700) 및 CSMM(200)을 통해 가상화 공격 탐지 및 대응 정책, 가상화 자원 정보 수집 정책, VM Zone 정책들을 XML-RPC 형태로 클라우드 에이전트(3)의 CSPPT(510)로 전송하여, vIPS(4)에 적용할 수 있다.
도 5는 클라우드 보안 정책 처리기의 동작 절차를 나타낸 것이다.
도 5를 참조하면, 클라우드 통합 보안 관제 시스템(2)이 클라우드 보안 정책을 생성하여, VM Zone에 속하는 가상화 시스템 식별자(VS UUID)별로 분류하여, 해당하는 클라우드 에이전트(3)로 보안 정책을 전송한다. 클라우드 에이전트(3)는 보안 정책의 적용이 완료되면, 그 결과에 대한 적용 응답(Response)을 클라우드 통합 보안 관제 시스템(2)으로 전송한다. 가상화 공격에 대한 탐지 및 대응 정책에서, 방화벽 정책은 Iptables Rule 형식(버전 1.4 이상)을 따르고, IDPS 정책은 Snort Rule 형식(버전 2.9 이상)을 따른다. 정책 내용의 형식에 관하여, 방화벽 정책은 XML 메시지 형식이고, IDPS 정책은 Snort Rule의 압축(zip) 바이너리 데이터를 Base64로 인코딩한 텍스트 형식이다.
도 6은 도 2의 클라우드 정보 관리 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 6을 참조하면, CIMM(100)은 클라우드 자원 정보 처리기(110; Cloud Resource Information Processing Task, CRIPT), 보안 이벤트 정보 처리기(120; Security Event Information Processing Task, SEIPT), 네트워크 트래픽 정보 처리기(130; Network Traffic Information Processing Task, NTIPT)를 포함한다.
CRIPT(110)는 클라우드 에이전트(3)로부터 수집한 가상화 자원 정보를 데이터베이스(600)에 축약 및 필터링하여, 저장한다. 가상화 자원 정보는 가상화 시스템(1)과 가상 머신별 CPU, 메모리, 및 디스크의 할당량 및 사용량 정보를 포함할 수 있다. 또한, 가상화 시스템(1), 가상 머신, 및 가상화 네트워크의 구성 정보를 포함할 수 있다. CRIPT(110)는 수집된 가상화 자원 정보 관리를 위하여, 데이터베이스 스키마를 정의하고, 수집된 가상화 자원 정보를 축약 및 필터링하고, 저장하고, 검색할 수 있다. CRIPT(110)는 클라우드 에이전트(3)의 CICM(400)으로부터 전송받은 가상화 자원 정보 및 현황 정보들을 클라우드 통합 보안 관제 시스템(2)의 데이터베이스(600)에 축약 및 필터링하여 저장하고, CIAM(300)에 분석 요청을 할 수 있다.
SEIPT(120)는 클라우드 에이전트(3)로부터 수집한 보안 이벤트 정보를 데이터베이스(600)에 축약 및 필터링하여, 저장한다. 보안 이벤트 정보는 가상화 네트워크 공격 및 가상화 자원 고갈 공격에 대한 정보를 포함할 수 있다. SEIPT(120)는 수집된 보안 이벤트 정보의 관리를 위하여, 데이터베이스 스키마를 정의하고, 수집된 보안 이벤트 정보의 축약 및 필터링하고, 저장하고, 검색할 수 있다. SEIPT(120)는 클라우드 에이전트(3)의 CICM(400)로부터 전송받은 가상화 네트워크 및 자원 고갈 공격의 탐지 정보들을 클라우드 통합 보안 관제 시스템(2)의 데이터베이스(600)에 축약 및 필터링하여 저장하고, CIAM(300)에 분석 요청을 할 수 있다. 또한, 관리자의 설정에 따라 레거시 시스템(800)에 보안 이벤트 정보를 전송할 수 있다.
NTIPT(130)는 클라우드 에이전트(3)로부터 수집한 넷플로우 정보를 데이터베이스(600)에 축약 및 필터링하여, 저장한다. 넷플로우 정보는, IP 주소, 포트, 프로토콜, 시간, 패킷, 및 플로우 수에 관한 정보를 포함할 수 있다. NTIPT(130)는 수집된 넷플로우 정보 관리를 위하여, 데이터베이스 스키마를 정의하고, 수집된 보안 이벤트 정보를 축약 및 필터링하고, 저장하고, 검색할 수 있다. NTIPT(130)는 클라우드 에이전트(3)의 CICM(400)으로부터 전송받은 플로우 및 패킷에 대한 넷플로우 정보들을 클라우드 통합 보안 관제 시스템(2)의 데이터베이스(600)에 축약 및 필터링하여 저장하고, CIAM(300)에 분석 요청을 할 수 있다.
도 7은 도 2의 클라우드 정보 분석 모듈의 세부 구성을 설명하기 위한 블록도이다. 도 8은 가상화 공격 연관성 분석기의 동작 절차를 순차적으로 나타낸 흐름도이다.
도 7을 참조하면, CIAM(300)은 수집 정보 모니터링 분석기(310; Collection Information Monitoring Analysis Task, CIMAT), 가상화 자원 변화 분석기(320; Virtualization Resource Changing Analysis Task, VRCAT), 가상화 공격 연관성 분석기(330; Virtualization Attack Correlation Analysis Task, VACAT)를 포함한다.
CIMAT(310)는 가상화 자원 정보를 분석한다. CIMAT(310)는 가상화 보안 상태 현황, 가상화 시스템(1)의 자원 정보 현황, 가상화 공격 탐지 및 대응 현황, 가상화 네트워크 트래픽 현황 등을 분석할 수 있다. CIMAT(310)가 수집 및 저장된 가상화 자원 정보로부터 분석하는 정보들은 [표 8] 내지 [표 11]과 같다. [표 8]은 가상화 보안 상태 분석 정보, [표 9]는 가상화 시스템 자원 정보 현황 분석 정보, [표 10]은 가상화 시스템 공격 탐지 및 대응 현황 분석 정보, [표 11]은 가상화 네트워크 트래픽 현황 분석 정보를 나타낸 것이다.
분류 항목 설명 비고
공통 Date Time 날짜 및 시간 YYYY-MM-DD
hh:mm:ss
VM 보안 상태 VM ID/Name 가상머신 식별자 및 이름 문자열
VM OS Name 가상머신 OS 종류 문자열
VM Service Pack 가상머신 서비스팩 문자열
VM Security Patch 가상머신 보안 패치 문자열
VM Integrity Status 가상머신 무결성 상태 점검 결과
VM State 가상머신 동작상태 0: 종료, 1: 동작
2: 정지, 3: 절전
4: 비정상
분류 항목 설명 비고
공통 Date Time 날짜 및 시간 YYYY-MM-DD
hh:mm:ss
가상화시스템
기본 정보		 VS UUID 가상화시스템 식별자 문자열
HOST Name 가상화시스템 이름 문자열
HOST IP Address 가상화시스템 IP 주소 문자열(A.B.C.D)
HOST Status 가상화시스템 동작상태 0: 종료, 1: 동작
2: 비정상
가상화시스템
자원 정보		 HOST Usage
(CPU, MEM, DISK)		 가상화시스템 자원 사용 현황
(CPU, 메모리, 디스크)		 사용률(%)
VM OS AppService VM 탑재 OS, 애플리케이션,
서비스 사용 현황		 별도 Agent 탑재시에만 지원
VM
기본 정보		 VM UUID 가상머신 식별자 문자열
VM
자원 정보		 VCPU ID/Usage 가상 CPU 식별자 및 사용률 문자열
사용률(%)
VMEM Size/Usage 가상 메모리 크기 및 사용률 크기(Kbytes)
사용률(%)
VDISK Size/Usage 가상 디스크 크기 및 사용률 크기(Kbytes)
사용률(%)
vNIC
자원 정보		 vNIC ID 가상 NIC 식별자 문자열(vif1.2)
vNIC IP Address 가상 NIC IP 주소 문자열(A.B.C.D)
vNIC Usage 가상 NIC 사용률 사용률(%)
vNIC In/Out Usage 가상 NIC 입출력 사용률 사용률(%)
분류 항목 설명 비고
공통 Date Time 날짜 및 시간 YYYY-MM-DD
hh:mm:ss
기본 정보 Src/Dst IP Address 소스/목적지 IP 주소 문자열(A.B.C.D)
Src/Dst Port 소스/목적지 포트 숫자
Protocol 프토로콜 숫자
가상화시스템
공격 탐지/대응
현황		 Attack Type 탐지/대응 공격 유형 숫자(시그니처 ID)
Defense Type 공격 대응 유형 [표 7] Action 참조
Severity 위험도 숫자(0~10),
문자열(Low, Mid, High)
분류 항목 설명 비고
공통 Date Time 날짜 및 시간 YYYY-MM-DD
hh:mm:ss
기본 정보 Src/Dst IP Address 소스/목적지 IP 주소 문자열(A.B.C.D)
Src/Dst Port 소스/목적지 포트 숫자
Protocol 프토로콜 숫자
가상화
네트워크
트래픽 현황		 Inter VM Traffic Info VM 내부 통신 트래픽량 사용률(Bytes)
Intra VM Traffic Info VM 외부 통신 트래픽량 사용률(Bytes)
Netflow Traffic Info 가상화 네트워크 트래픽량 사용률(Bytes)
CIMAT(310)는 수집 및 저장된 클라우드 자원, 보안 이벤트 정보, 네트워크 정보들에 대해, [표 8] 내지 [표 11]에 정의된 정보들을 기반으로 각 정보들의 현황 및 통계를 분석하여 데이터베이스(600)에 저장할 수 있다.
VRCAT(320)는 가상 머신의 라이프 사이클 등의 가상화 자원 정보의 변화를 분석한다. 즉, VRCAT(320)는 가상 머신의 라이프 사이클(예를 들어, 생성, 동작, 이동, 삭제 등)을 관리할 수 있다. 여기에서, 가상 머신의 라이프 사이클 중 '생성'은 수집한 가상 머신의 정보가 기존의 가상 머신 정보 목록에 없는 경우 새로 생성됨을 의미하고, '삭제'는 기존의 가상 머신 정보 목록에 있는 가상 머신 정보가 수집한 가상 머신 정보에 없는 경우에 삭제함을 의미한다. 또한, 물리 호스트 간의 가상 머신 이동 이력 정보를 분석하고, 추적할 수 있다. 가상 머신의 라이프 사이클 중 '이동'은 수집한 가상 머신 정보의 VS UUID가 기존의 가상 머신 정보 목록에 있는 해당 가상 머신의 VS UUID와 다른 경우에 변경됨을 의미한다. 또한, 가상 머신 이동에 따른 시계열적 보안 상태 변화를 분석할 수 있다. 즉, 시간 정보에 기초하여 가상 머신의 이동 이력/추적 및 보안 상태 변화 정보의 분석/관리를 할 수 있다. 분석 정보들의 로그 분석을 통해서도 상태 및 변화를 관리할 수 있다. 이러한 정보들은 클라우드 에이전트(3)의 CRICT(410)에 의하여 추가적으로 수집될 수 있다.
예를 들어, XenServer의 경우, '/var/log/xensource.log' 로그 내의 'VM.start'와 ‘VM_create' 키워드가 포함된 기록을 통해 가상 머신의 생성 및 시작을 알 수 있다.
구체적으로, VRCAT(320)가 가상 머신의 라이프 사이클 변화에 대해 분석하는 정보는 [표 12]와 같다.
분류 항목 설명 비고
VM 기본 정보 VM UUID 가상머신 식별자 문자열
VS UUID 가상화시스템 식별자 문자열
VM 관리 정보 VM IID 가상머신 인덱스 식별자 숫자(1~)
VM HUID 가상머신 해쉬된 식별자 문자열(HEXA)
VM PHUID 가상머신 상위 HUID 문자열(HEXA)
VM LifeCycle
변화 정보		 History Major Info 가상머신 이력 정보(Major, Minor) 숫자(형식: x, y)
Date Time 날짜 및 시간 YYYY-MM-DD
hh:mm:ss
VM LifeCycle Status 가상머신 라이프사이클 상태 1: 생성, 2: 동작,
3: 이동, 0: 삭제
VM Running State 가상머신 동작 상태 [표 8]의
VM State 참조
Change Info 변화 설명 정보 문자열
VM HUID(Hashed UID)는 VM UUID와 VS UUID의 해쉬 연산한 결과값으로 정의하고, VM PHUID(Parent HUID)는 변화 직전의 VM HUID 상속 값으로 정의한다. 또한, VM IID(Index ID)는 해쉬 값의 형태를 갖는 VM HUID를 쉽게 관리하기 위해 숫자형으로 변환한 VM 식별자를 정의한 것으로, 가상머신 라이프사이클 변화 중 생성(created) 및 복사(copy)시 중복되지 않게 순차적으로 증가시켜 관리한다.
VRCAT(320)는 수집 및 저장된 가상 머신과 물리 호스트 정보들에 대해, [표 12]에서 정의된 정보들을 기반으로 각 정보들 간의 변화를 연결 및 분석하여 데이터베이스(600)에 저장할 수 있다.
도 9 및 도 10은 각각 가상 머신의 라이프 사이클 및 동작 상태를 나타낸 것이다.
도 9 및 도 10을 참조하면, 가상 머신의 라이프 사이클의 상태는 생성-동작-이동-삭제 단계로 구성되고, 이 중에서 가상 머신의 동작 상태는 종료, 실행, 정지, 절전 단계로 구성된다.
도 11 및 도 12는 각각 가상 머신의 라이프 사이클 및 동작 상태 변화를 설명하기 위한 개념도 및 예시도이다.
도 11을 참조하면, 가상 머신의 라이프 사이클 및 동작 상태 변화를 반영하기 위해 정의한 번호 체계 형식을 알 수 있다. 도 12를 참조하면, 도 11의 개념도를 기반으로 한 가상 머신의 생성, 동작, 복사, 이동, 삭제 동작 변화에 따른 번호 체계 변화를 알 수 있다. 즉, 도 11에 나타난 번호 체계의 상태 변화 규칙을 기반으로 도 12에 나타난 것과 같이 상태 변화를 한다. 이와 같은 시스템에서, 관련된 가상 머신들의 연결은 VM IID와 PHUID를 기반으로 도 12와 같은 동작을 유추할 수 있고, 가상화 공격 정보와 연관시켜 특정 시점이나 해당 가상 머신을 추적하는데 활용될 수 있다.
VACAT(330)는 보안 이벤트 정보에 대해 가상화 시스템(1)의 내ㆍ외부 공격들 사이의 연관성을 분석한다. VACAT(330)는 공격 대상인 가상 머신의 가상 IP/Port, 외부 연결 물리 IP/Port, 내부간 연결된 가상 IP 주소들의 연관성을 분석할 수 있다. 또한, 가상화 시스템(1)의 공격 탐지 정보와 가상화 네트워크의 트래픽 발생 정보 간의 연관성을 분석할 수 있다.
구체적으로, VACAT(330)가 가상화 시스템(1)의 내ㆍ외부 공격 및 트래픽과의 연관성에 대해 분석하는 정보는 [표 13]과 같다.
분류 항목 설명 비고
기본 정보 Correlation ID 연관성 분석 식별자 숫자
Correlated Date Time 연관성 분석 날짜 및 시간 YYYY-MM-DD hh:mm:ss
VM UUID 가상머신 식별자 문자열
VS UUID 가상화시스템 식별자 문자열
연결 정보 Network Type 네트워크 환경 유형 1: 가상, 2: 물리
InOut Type 내부/외부 연결 구분 1: 내부, 2: 외부
Src/Dst IP Address 소스/목적지 IP 주소 문자열(A.B.C.D)
Src/Dst Port 소스/목적지 포트 숫자
Protocol 프로토콜 숫자
공격 탐지
정보		 Attack Type 공격 유형 숫자(시그니처 ID)
Severity 위험도 숫자(0~10),
문자열(Low, Mid, High)
트래픽 정보 Related Date Time 관련 트래픽 날짜 및 시간 YYYY-MM-DD hh:mm:ss
Src/Dst IP Address 소스/목적지 IP 주소 문자열(A.B.C.D)
Src/Dst Port 소스/목적지 포트 숫자
Protocol 프로토콜 숫자
연관 정보 Related Type 연관 정보 유형 1: VM, 2: Security Event,
3: Network Traffic
Related ID 연관 정보 식별자 문자열/숫자
Description 연관 정보 설명 문자열
VACAT(330)는 수집 및 저장된 가상화 시스템(1)의 공격 탐지 및 대응 정보, 네트워크 이상 트래픽 정보들에 대해, [표 13]에서 정의된 정보들을 기반으로, 도 8에 도시된 것과 같이 다차원적으로 연관성 분석을 하여 데이터베이스(600)에 저장할 수 있다. 연결 정보(S1000)를 기준으로 관련 트래픽 및 가상 머신의 라이프 사이클 변화 정보와 함께 각 연결 정보별(예를 들어, 내부-내부, 내부-외부, 공격-공격, 공격-트래픽) 공격 연관성을 분석할 수 있다. 연관성 분석 정보의 예로는, 이상행위 가상 머신 추적, FW/vIPS/Traffic 이벤트 간의 연관 정보 등이 있다. 이상행위 가상 머신 추적은 가상 IP 변화, 가상화 플랫폼 간 이동, 가상/물리 네트워크 관계를 분석하는 것으로, 상태 변화 및 이동이 잦은 가상 머신, 과거 이력이 불분명한 가상 머신, 가상/물리 네트워크 연결 정보 변경이 잦은 가상 머신 등을 찾는다. 각 탐지 이벤트들 간의 연관 정보는 서로 다른 가상화 공격 탐지 이벤트들 간의 상호 관계를 분석하는 것으로, statefulFW, NIPS, 가상화 자원고갈 공격(하이퍼콜) 이벤트들 간의 관련성을 찾을 수 있다.
도 13은 도 2의 클라우드 보안 관리 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 13을 참조하면, CSMM(200)은 클라우드 보안 정책 관리기(210; Cloud Security Policy Management Task, CSPMT), VM Zone 보안 관리기(220; VM Zone Security Management Task, VZSMT)를 포함한다.
CSPMT(210)는 가상화 자원 정보와 보안 이벤트 정보를 기초로하여 보안 정책을 제공한다. 즉, CSPMT(210)는 가상화 자원 정보 수집 정책, 가상화 시스템 공격 탐지 및 대응 정책을 관리할 수 있다. 가상화 자원 정보 수집 정책의 적용 및 해제를 관리하는 것은, 클라우드 구축 환경 및 목적에 따라 수집할 가상화 자원 정보(예를 들어, 가상 자원, 네트워크 트래픽 정보 등)에 관한 정책을 관리할 수 있다. 가상화 시스템 공격 탐지 및 대응 정책을 적용하고 해제하는 것을 관리하는 것은, 전체(NIC/vNIC), 그룹별(VMs/vNIC), 개별 가상 머신에 대한 공격 대응(In/Outbound 차단/허용, 우회/포워딩, 로깅, 분석, 트래픽 제한 등) 정책을 관리할 수 있다.
CSPMT(210)가 처리하는 가상 자원 정보 수집 정책 정보는 [표 14]와 같고, 가상화 시스템 공격 탐지 및 대응 정책 정보는 [표 15]과 같다.
분류 항목 설명 비고
기본 정보 COLLECT_POLICY 보안정책 식별자 문자열(고정값)
Policy ID 정책 식별자 숫자
Date Time 날짜 및 시간 YYYY-MM-DD hh:mm:ss
VS UUID 가상화시스템 식별자 문자열
수집정책 Collection Info Type 수집 정보 유형 1: 클라우드 자원 정보,
2: 보안이벤트 정보,
3: 네트워크 트래픽 정보
Action 설정 및 해제 1: 설정, 2: 해제
Collection Fields 수집 정보 항목 문자열(식별자)
[표 1] 내지 [표 5] 참조
분류 항목 설명 비고
기본 정보 IDPS_POLICY 보안정책 식별자 문자열(고정값)
Date Time 날짜 및 시간 YYYY-MM-DD hh:mm:ss
Enforcement Scope 적용 범위 유형 0: 전체, 1: 그룹, 2: 개별
Target Type 적용 대상 유형 1: VS, 2: VM, 3: vNIC
Target UUID 적용 대상 식별자 문자열
공격 탐지 및 대응 정책 Defense Type 탐지 및 대응 1: 탐지, 2: 대응
Policy Action 설정 및 해제 1: 설정, 2: 해제
Policy IDs 적용 정책 식별자 숫자(시그니처 ID)
Defense Fields 탐지 및 대응 항목 1: Inbound
Defense Action 탐지 및 대응 방법 1: Allow, 2: Drop,
3: Forward,
4: Logging,
5: Analysis,
6: Rate-limit
 CSPMT(210)는 가상 자원 정보 수집 정책, 가상화 시스템 공격 탐지 및 대응 정책 정보들을 클라우드 에이전트(3)의 CSCM(500)에 전송하고, 실행 결과를 수신할 수 있다. 또한, 각 상세 정책들을 식별하고 적용 상태를 파악하여 그 결과를 데이터베이스(600)에 저장할 수 있다.
VZSMT(220)는 가상 머신들의 효율적 관리를 위하여, 가상의 관리 영역인 VM Zone을 구성하고, 각 보안 정책들을 가상 머신별로 적용한다. VZSMT(220)는 가상 머신 관리를 위한 VM Zone 구성 및 보안 정책을 설정하고 관리할 수 있다. VM Zone 보안 정책을 vIPS(4)에 전송하여 접근을 통제할 수 있다.
구체적으로, VZSMT(220)가 관리하는 VM Zone 구성 정보 및 각 보안 정책들과의 관계 정보는 [표 16]과 같다.
분류 항목 설명 비고
VM Zone
정보		 VMZone ID VM Zone 식별자 숫자
VMZone Name VM Zone 이름 문자열
VMZone Type VM Zone 유형 문자열(Trust/Untrust,
VM 격리, 사용자 지정 등)
VMZone Priority VM Zone 우선순위 숫자(0:관리자 ~ 5)
Date Time 날짜 및 시간 YYYY-MM-DD hh:mm:ss
Description VM Zone 설명 문자열
관리 VM
정보		 VM UUID 가상머신 식별자 문자열
VS UUID 가상화시스템 식별자 문자열
Group ID VM/VS 그룹 식별자 문자열
Group Name VM/VS 그룹 이름 문자열
보안 정책
정보		 Cloud Policy Type 클라우드 보안정책 유형 숫자
[표 7] 참조
Cloud Policy IDs 클라우드 보안정책 식별자 숫자(시그니처 ID)
VZSMT(220)는 관리 대상의 가상 머신들을 분류하여 VM Zone 별로 구성하고, 각 VM Zone별로 해당 보안 정책을 클라우드 에이전트(3)의 CSCM(500)으로 전송하여, vIPS(4)에 적용할 수 있다. VM Zone 구성 정보 및 각 보안 정책들과의 관계 정보는 데이터베이스(600)에 저장하여 관리할 수 있다.
도 14는 도 2의 시스템 및 사용자 인터페이스 관리 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 14를 참조하면, SUMM(700)은 클라우드 ESM 시스템 관리기(710; Cloud ESM System Management Task, CESMT), 클라우드 ESM 사용자 인터페이스 관리기(720; Cloud ESM User-interface Management Task, CEUMT)를 포함한다.
CESMT(710)는 클라우드 통합 보안 관제 시스템(2)의 운영 환경 설정 및 변경, 관리자 등록 및 변경에 관한 요청을 처리한다. CESMT(710)가 처리해야 하는 시스템의 운영 환경, 관리자 및 일반 사용자 정보는 [표 17]와 같다.
분류 항목 설명 비고
공통 Cloud ESM ID 클라우드 ESM 식별자 숫자
Cloud ESM Name 클라우드 ESM 이름 문자열
Request Type 요청 정보 유형 1: 시스템, 2: 네트워크,
3: 사용자, 4: 추가
시스템
정보(1)		 System Name 시스템 이름 문자열
CPU Core/Usage 시스템 CPU 개수/사용률 개수/사용률(%)
Memory Size/Usage 시스템 메모리 크기/사용률 크기(Bytes)/사용률(%)
Disk Size/Usage 시스템 디스크 용량/사용률 사용률(%)
네트워크
정보(2)		 System IP/Netmask 시스템 IP/Netmask 문자열
Network Usage 시스템 네트워크 사용률 사용률(%)
사용자
정보(3)		 User Type 사용자 유형 1: 관리자, 2: 일반 사용자
User ID 사용자 식별자 문자열
User Password 사용자 암호 문자열(암호화 필수)
User Description 사용자 설명 문자열
추가 정보(4) DBMS Info DBMS 정보 문자열
User-defined Info 사용자 정의 정보 문자열
CESMT(710)는 관리자 및 사용자의 요청 정보를 별도의 GUI를 통해 클라우드 통합 보안 관제 시스템(2)의 CEUMT(720)로부터 전송받아, 해당 요청들을 처리할 수 있다.
CEUMT(720)는 클라우드 통합 보안 관제 시스템(2)의 CIMM(100), CIAM(300), CSMM(200)에서 처리해야 하는 각각의 요청들을 클라우드 통합 보안 관제 시스템(2), 관리자, 및 사용자로부터 제공받아 전달해준다. CEUMT(720)가 처리해야 하는 가상화 자원 정보, 보안 이벤트 정보, 네트워크 정보에 대한 수집 및 분석 정보, 보안 정책, 및 VM Zone 보안 관리 정보는 [표 1] 내지 [표 14]를 참조할 수 있다.
본 발명의 실시예와 관련하여 설명된 방법 또는 알고리즘의 단계는 프로세서에 의해 실행되는 하드웨어, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 당업계에 알려진 임의의 다른 형태의 컴퓨터로 읽을 수 있는 기록 매체에 상주할 수도 있다. 예시적인 기록 매체는 프로세서에 커플링되며, 그 프로세서는 기록 매체로부터 정보를 판독할 수 있고 기록 매체에 정보를 기입할 수 있다. 다른 방법으로, 기록 매체는 프로세서와 일체형일 수도 있다. 프로세서 및 저장 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 저장 매체는 사용자 단말기 내에 개별 컴포넌트로서 상주할 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
1: 가상화 시스템
2: 클라우드 통합 보안 관제 시스템
3: 클라우드 에이전트
100: 클라우드 정보 관리 모듈
200: 클라우드 보안 관리 모듈
300: 클라우드 정보 분석 모듈
400: 클라우드 정보 수집 모듈
500: 클라우드 보안 제어 모듈
600: 데이터베이스
700: 시스템 및 사용자 인터페이스 관리 모듈
800: 레거시 시스템

Claims (15)

  1. 가상화 자원 정보와 보안 이벤트 정보를 데이터베이스에 저장하는 클라우드 정보 관리 모듈;
    상기 가상화 자원 정보와 상기 보안 이벤트 정보를 분석하는 클라우드 정보 분석 모듈; 및
    보안 정책을 제공하고, 수집할 상기 가상화 자원 정보에 관한 정책을 관리하고, 가상화 공격에 대한 대응 정책을 관리하는 클라우드 보안 관리 모듈을 포함하고,
    상기 보안 정책은 분석된 상기 가상화 자원 정보 및 분석된 상기 보안 이벤트 정보를 이용하여 생성되고, 클라우드 구축 환경과 목적에 따라 다르게 생성되고,
    상기 가상화 자원 정보와 상기 보안 이벤트 정보는 클라우드 정보 수집 모듈을 통해 상기 클라우드 정보 관리 모듈로 제공되고, 상기 보안 정책은 클라우드 보안 제어 모듈을 통해 가상화 네트워크 침입 방지 시스템으로 제공되는 클라우드 통합 보안 관제 시스템.
  2. 삭제
  3. 제 1항에 있어서,
    상기 가상화 자원 정보와 상기 보안 이벤트 정보는 상기 가상화 네트워크 침입 방지 시스템에서 생성되는, 클라우드 통합 보안 관제 시스템.
  4. 제 3항에 있어서,
    상기 클라우드 정보 수집 모듈은, 상기 가상화 자원 정보를 제공받는 클라우드 자원 정보 수집기와, 상기 보안 이벤트 정보를 제공받는 보안 이벤트 정보 수집기와, 넷플로우(Netflow) 정보를 제공받는 네트워크 트래픽 정보 수집기를 포함하는 클라우드 통합 보안 관제 시스템.
  5. 제 4항에 있어서,
    상기 넷플로우 정보는, IP 주소, 포트, 프로토콜, 시간, 패킷, 및 플로우 수에 관한 정보를 포함하는 클라우드 통합 보안 관제 시스템.
  6. 제 3항에 있어서,
    상기 클라우드 보안 제어 모듈은, 가상화 자원을 제어하기 위한 신호를 상기 가상화 네트워크 침입 방지 시스템으로 제공하는 클라우드 보안 제어 처리기와, 상기 보안 정책을 상기 가상화 네트워크 침입 방지 시스템으로 제공하는 클라우드 보안 정책 처리기를 포함하는 클라우드 통합 보안 관제 시스템.
  7. 제 1항에 있어서,
    상기 클라우드 정보 관리 모듈, 상기 클라우드 정보 분석 모듈, 및 상기 클라우드 보안 관리 모듈을 관리하고 모니터링하는, 시스템 및 사용자 인터페이스 관리 모듈을 더 포함하는 클라우드 통합 보안 관제 시스템.
  8. 제 6항에 있어서,
    상기 시스템 및 사용자 인터페이스 관리 모듈은, 시스템 운영 환경 설정 및 변경, 관리자 등록 및 변경에 관한 요청을 처리하는 클라우드 시스템 관리기와,
    사용자 인터페이스로부터 제공받은 요청을, 상기 클라우드 정보 관리 모듈, 상기 클라우드 정보 분석 모듈, 및 상기 클라우드 보안 관리 모듈로 전달하는 클라우드 사용자 인터페이스 관리기를 포함하는 클라우드 통합 보안 관제 시스템.
  9. 제 1항에 있어서,
    상기 클라우드 정보 관리 모듈과 상기 클라우드 정보 분석 모듈로부터, 상기 보안 이벤트 정보 및 클라우드 분석 정보를 제공받는, 레거시(legacy) 시스템을 더 포함하는 클라우드 통합 보안 관제 시스템.
  10. 제 1항에 있어서,
    상기 클라우드 정보 관리 모듈은, 상기 가상화 자원 정보를 상기 데이터베이스에 저장하는 클라우드 자원 정보 처리기와, 상기 보안 이벤트 정보를 상기 데이터베이스에 저장하는 보안 이벤트 정보 처리기와, 넷플로우 정보를 상기 데이터베이스에 저장하는 네트워크 트래픽 정보 처리기를 포함하는 클라우드 통합 보안 관제 시스템.
  11. 제 1항에 있어서,
    상기 클라우드 정보 분석 모듈은, 상기 가상화 자원 정보를 분석하는 수집 정보 모니터링 분석기와, 상기 가상화 자원 정보의 변화를 분석하는 가상화 자원 변화 분석기와, 상기 보안 이벤트 정보를 분석하는 가상화 공격 연관성 분석기를 포함하는 클라우드 통합 보안 관제 시스템.
  12. 제 1항에 있어서,
    상기 클라우드 보안 관리 모듈은, 상기 가상화 자원 정보와 상기 보안 이벤트 정보를 기초로하여 상기 보안 정책을 제공하는 클라우드 보안 정책 관리기와, 가상 머신별로 상기 보안 정책을 적용하는 VM Zone 보안 관리기를 포함하는 클라우드 통합 보안 관제 시스템.
  13. 제 1항에 있어서,
    상기 가상화 자원 정보는, 가상화 시스템, 가상 머신, 및 가상화 네트워크에 관한 구성 정보를 포함하는 클라우드 통합 보안 관제 시스템.
  14. 제 1항에 있어서,
    상기 보안 이벤트 정보는, 가상화 네트워크 및 가상화 자원 고갈 공격에 관한 정보를 포함하는 클라우드 통합 보안 관제 시스템.
  15. 가상화 자원 정보, 보안 이벤트 정보, 및 넷플로우 정보가 저장되는 데이터베이스;
    상기 가상화 자원 정보와 상기 보안 이벤트 정보를 상기 데이터베이스에 저장하는 클라우드 정보 관리 모듈;
    상기 가상화 자원 정보와 상기 보안 이벤트 정보를 분석하는 클라우드 정보 분석 모듈;
    보안 정책을 제공하는 클라우드 보안 관리 모듈; 및
    상기 클라우드 정보 관리 모듈, 상기 클라우드 정보 분석 모듈, 및 상기 클라우드 보안 관리 모듈을 관리하고 모니터링하는, 시스템 및 사용자 인터페이스 관리 모듈을 포함하되,
    상기 보안 정책은 분석된 상기 가상화 자원 정보 및 분석된 상기 보안 이벤트 정보를 이용하여 생성되고, 클라우드 구축 환경과 목적에 따라 다르게 생성되고,
    상기 가상화 자원 정보와 상기 보안 이벤트 정보는 클라우드 정보 수집 모듈을 통해 상기 클라우드 정보 관리 모듈로 제공되고, 상기 보안 정책은 클라우드 보안 제어 모듈을 통해 가상화 네트워크 침입 방지 시스템으로 제공되는 클라우드 통합 보안 관제 시스템.
KR1020130046185A 2013-04-25 2013-04-25 하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템 KR101454838B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130046185A KR101454838B1 (ko) 2013-04-25 2013-04-25 하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130046185A KR101454838B1 (ko) 2013-04-25 2013-04-25 하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템

Publications (1)

Publication Number Publication Date
KR101454838B1 true KR101454838B1 (ko) 2014-10-28

Family

ID=51998785

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130046185A KR101454838B1 (ko) 2013-04-25 2013-04-25 하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템

Country Status (1)

Country Link
KR (1) KR101454838B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101690949B1 (ko) * 2016-03-11 2016-12-29 국방과학연구소 가상화 환경에서의 가상머신 게스트 os 자원 정보 수집 장치 및 방법
KR101857009B1 (ko) * 2017-01-19 2018-05-11 숭실대학교산학협력단 안드로이드 악성코드 분석을 위한 컨테이너 플랫폼 및 이를 이용한 모바일 장치의 보안 방법
KR20190090037A (ko) * 2016-12-21 2019-07-31 쓰레트 스택, 인코퍼레이티드 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100838799B1 (ko) 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
KR20110036420A (ko) * 2009-10-01 2011-04-07 윤성진 클라우드 컴퓨팅 환경을 위한 가상 방화 장치 및 방법
KR101059199B1 (ko) 2011-01-13 2011-08-25 주식회사 이글루시큐리티 클라우드 컴퓨팅 통합보안관제시스템 및 그 방법
KR101201629B1 (ko) * 2010-08-17 2012-11-14 삼성에스디에스 주식회사 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100838799B1 (ko) 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
KR20110036420A (ko) * 2009-10-01 2011-04-07 윤성진 클라우드 컴퓨팅 환경을 위한 가상 방화 장치 및 방법
KR101201629B1 (ko) * 2010-08-17 2012-11-14 삼성에스디에스 주식회사 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법
KR101059199B1 (ko) 2011-01-13 2011-08-25 주식회사 이글루시큐리티 클라우드 컴퓨팅 통합보안관제시스템 및 그 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101690949B1 (ko) * 2016-03-11 2016-12-29 국방과학연구소 가상화 환경에서의 가상머신 게스트 os 자원 정보 수집 장치 및 방법
KR20190090037A (ko) * 2016-12-21 2019-07-31 쓰레트 스택, 인코퍼레이티드 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법
KR102264288B1 (ko) 2016-12-21 2021-06-15 쓰레트 스택, 인코퍼레이티드 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법
KR101857009B1 (ko) * 2017-01-19 2018-05-11 숭실대학교산학협력단 안드로이드 악성코드 분석을 위한 컨테이너 플랫폼 및 이를 이용한 모바일 장치의 보안 방법

Similar Documents

Publication Publication Date Title
US11700190B2 (en) Technologies for annotating process and user information for network flows
US10530789B2 (en) Alerting and tagging using a malware analysis platform for threat intelligence made actionable
US11936663B2 (en) System for monitoring and managing datacenters
US10200389B2 (en) Malware analysis platform for threat intelligence made actionable
KR101394424B1 (ko) 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템
EP3214568B1 (en) Method, apparatus and system for processing cloud application attack behaviours in cloud computing system
Roschke et al. Intrusion detection in the cloud
Tupakula et al. Intrusion detection techniques for infrastructure as a service cloud
US20230011397A1 (en) Analysis system detecting threats to datacenter
KR101454838B1 (ko) 하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템
Fischer et al. CloudIDEA: a malware defense architecture for cloud data centers
Yin et al. Research of security as a service for VMs in IaaS platform
US10860712B2 (en) Entropy based security detection system
Chouhan et al. Network based malware detection within virtualised environments
Araújo et al. Virtualization in intrusion detection systems: a study on different approaches for cloud computing environments
KR20130101832A (ko) 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치 및 방법
US20210367830A1 (en) Dynamic event processing for network diagnosis
US11997120B2 (en) Detecting threats to datacenter based on analysis of anomalous events
US20240179153A1 (en) System for monitoring and managing datacenters
US20230011957A1 (en) Detecting threats to datacenter based on analysis of anomalous events
CN115622808A (zh) 安全隔离的方法、电子设备、计算机可读介质
YIN et al. Research of Security as a Service for VMs in IaaS Platform (May 2018)

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee