KR20130101832A - Virtual instances behavior analysis apparatus and method in cloud systems - Google Patents

Virtual instances behavior analysis apparatus and method in cloud systems Download PDF

Info

Publication number
KR20130101832A
KR20130101832A KR1020120022880A KR20120022880A KR20130101832A KR 20130101832 A KR20130101832 A KR 20130101832A KR 1020120022880 A KR1020120022880 A KR 1020120022880A KR 20120022880 A KR20120022880 A KR 20120022880A KR 20130101832 A KR20130101832 A KR 20130101832A
Authority
KR
South Korea
Prior art keywords
virtual instance
virtual
instance
amount
machine learning
Prior art date
Application number
KR1020120022880A
Other languages
Korean (ko)
Other versions
KR101320386B1 (en
Inventor
정재윤
홍원기
유재형
한승희
황찬규
최영락
Original Assignee
주식회사 케이티
포항공과대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티, 포항공과대학교 산학협력단 filed Critical 주식회사 케이티
Priority to KR1020120022880A priority Critical patent/KR101320386B1/en
Publication of KR20130101832A publication Critical patent/KR20130101832A/en
Application granted granted Critical
Publication of KR101320386B1 publication Critical patent/KR101320386B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/301Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is a virtual computing platform, e.g. logically partitioned systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/328Computer systems status display
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Artificial Intelligence (AREA)
  • Debugging And Monitoring (AREA)

Abstract

PURPOSE: A virtual instance behavior apparatus in a cloud system and a method thereof are provided to reinforce security and to provide safe service by monitoring resource usage of a user accurately and by detecting abnormal behavior. CONSTITUTION: An analysis part analyzes the state of a virtual instance (VI) through machine learning of at least more than one context (S1210). A display part displays the state of the virtual instance (S1220). [Reference numerals] (AA) Start; (BB) End; (S1200) Receive at least more than one context collected in a server providing a cloud service; (S1210) Analyze the state of a virtual instance through the machine learning of the context; (S1220) Display the state of the virtual instance

Description

클라우드 시스템에서의 가상 인스턴스 행동 분석 장치 및 방법 {Virtual Instances Behavior analysis apparatus and method in Cloud systems}{Virtual Instances Behavior Analysis apparatus and method in Cloud systems}

본원 발명은 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치 및 방법에 관한 것으로, 보다 상세하게는 모바일 클라우드 서비스의 가상 모바일 인스턴스의 행동 또는 상태를 모니터링 하고 비정상적인(abnormal) 행동을 탐지 또는 분석하는 장치 및 방법에 관한 것이다.
The present invention relates to an apparatus and method for analyzing virtual instance behavior in a cloud system, and more particularly, to an apparatus and method for monitoring behavior or status of a virtual mobile instance of a mobile cloud service and detecting or analyzing abnormal behavior. It is about.

최근 스토리지, 컴퓨팅 등의 자원을 빌려주고 사용한 만큼 비용을 지불하는 클라우드 서비스가 주목 받고 있다. Recently, cloud services that borrow and pay for resources such as storage and computing have attracted attention.

클라우드 인프라와 가상화 기술의 발전으로 가상 데스크탑(VD : Virtual Desk) 서비스도 점차 증가하는 추세이다. With the development of cloud infrastructure and virtualization technology, virtual desktop (VD) services are gradually increasing.

가상 데스크탑 서비스는 thin client를 사용하여 서버에 집중된 가상화 자원을 사용하는 것으로 클라우드 서비스와 마찬가지로 자원 할당의 신축성과 사용 비용 측면에서 상대적으로 유리하다고 알려져 있다. Virtual desktop services use thin clients to use virtualized resources concentrated on servers. Like cloud services, virtual desktop services are known to be relatively advantageous in terms of elasticity and cost of resource allocation.

또한 최근 급격히 팽창한 모바일 시장과 클라우드 서비스를 결합함으로써 모바일 클라우드 서비스라는 용어가 등장하기 시작했다. In addition, the term mobile cloud service has begun to emerge by combining cloud services with the rapidly expanding mobile market.

모바일 클라우드 서비스는 모바일 단말을 클라우드 인프라에 가상화(virtualization)하여 제공하는 것이다. Mobile cloud service is to provide a mobile terminal virtualized (virtualization) to the cloud infrastructure.

사용자는 클라우드의 가상화 단말에 접속하여 게임, 동영상 재생, 웹 서핑 등 기존의 모바일 서비스뿐만 아니라 고사양 3D 게임, 복잡한 연산, 대용량 스토리지 사용 등 클라우드의 장점을 활용한 서비스도 제공 받을 수 있다.Users can access virtualized terminals in the cloud and receive services that take advantage of the cloud, such as high-end 3D games, complex operations, and mass storage, as well as existing mobile services such as games, video playback, and web surfing.

모바일 클라우드 서비스는 모든 자원을 서비스 제공자가 사용자에게 사용한 만큼 할당하는 방식이기 때문에 서비스 제공자가 사용자의 정보를 더욱 안전하게 보호해야만 한다. Because mobile cloud services allocate all resources to users as they use them, service providers must protect users' information more securely.

모바일 클라우드 서비스 제공자는 안전한 서비스를 제공하기 위하여 사용자의 자원 사용을 정확하게 모니터링 해야 할 뿐 아니라 비정상적인 행동을 탐지하여 보안을 강화해야 한다.In order to provide a secure service, mobile cloud service providers must not only accurately monitor user resource usage but also enhance security by detecting abnormal behavior.

모바일 클라우드의 보안은 단말, 네트워크, 클라우드 인프라를 아우르는 전체 영역에서 이루어져야만 한다.
Mobile cloud security must be secured across the entire spectrum, including devices, networks, and cloud infrastructure.

본 발명의 실시예가 이루고자 하는 기술적 과제는, 클라우드 인프라를 사용하여 모바일 단말을 가상화하는 모바일 클라우드 서비스에서 가상화 환경을 고려하여 모바일 클라우드에 할당된 가상 모바일 인스턴스들의 행동을 모니터링 하고 비정상 행동을 탐지하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치 및 방법을 제공하는 것이다.
An embodiment of the present invention is a cloud system for monitoring the behavior of the virtual mobile instances assigned to the mobile cloud in consideration of the virtualization environment in the mobile cloud service that virtualizes the mobile terminal using the cloud infrastructure and detects abnormal behavior To provide a virtual instance behavior analysis apparatus and method in.

상기 기술적 과제를 달성하기 위한 본 발명의 실시예에 따른 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치는, 적어도 하나 이상의 상황 정보(context)의 기계 학습을 통하여 가상 인스턴스 (VI : Virtual Instance)의 상태를 분석하는 분석부; 및 상기 가상 인스턴스의 상태를 표시하는 표시부;를 포함하는 것을 특징으로 한다.Virtual instance behavior analysis apparatus in a cloud system according to an embodiment of the present invention for achieving the above technical problem, analyzes the state of the virtual instance (VI) through the machine learning of at least one context (context) An analysis unit; And a display unit for displaying the state of the virtual instance.

바람직하게는 상기 상황 정보는 클라우드 서비스를 제공하는 서버에서 수집되는 것을 특징으로 한다.Preferably, the contextual information is collected from a server that provides a cloud service.

바람직하게는 상기 서버로부터 상기 상황 정보를 수신하는 수신부;를 더 포함하는 것을 특징으로 한다.Preferably, the reception unit for receiving the status information from the server; characterized in that it further comprises.

바람직하게는 상기 분석부는 소정의 기계 학습 알고리즘을 통하여 상기 기계 학습을 수행하는 기계 학습 엔진(Machine Learning Engine)을 포함하는 것을 특징으로 한다.Preferably, the analysis unit is characterized in that it comprises a machine learning engine (Machine Learning Engine) for performing the machine learning through a predetermined machine learning algorithm.

바람직하게는 상기 기계 학습 알고리즘은 SVM(Support Vector Machine), Random Forest 또는 베이시안 네트워크(Bayesian Network) 중 어느 하나인 것을 특징으로 한다.Preferably, the machine learning algorithm is one of a support vector machine (SVM), a random forest, and a bayesian network.

바람직하게는 상기 상황 정보는 상기 가상 인스턴스의 호스트 상황 정보 및 상기 가상 인스턴스를 포함하여 클라우드 서비스를 제공하는 서버의 네트워크 상황 정보를 포함하는 것을 특징으로 한다.Preferably, the context information includes host context information of the virtual instance and network context information of a server providing a cloud service including the virtual instance.

바람직하게는 상기 가상 인스턴스는 복수개인것을 특징으로 한다.Preferably, the virtual instance is characterized in that a plurality.

바람직하게는 상기 호스트 상황 정보는 각각의 상기 가상 인스턴스에 포함된 에이전트(agent)에 의해 수집되고 동시에 상기 서버의 자원 관리 도메인 영역의 에이피아이(API : Application Programming Interface)를 통하여 수집되는 것을 특징으로 한다.Preferably, the host context information is collected by an agent included in each virtual instance and simultaneously collected through an API (Application Programming Interface) of the resource management domain region of the server. .

바람직하게는 상기 서버의 유저 도메인 영역에 상기 네트워크 상황 정보를 수집하는 분석용 가상 인스턴스;를 더 포함하고, 상기 가상 인스턴스에서 발생하는 트래픽(traffic)의 상기 분석용 가상 인스턴스에 미러링(Mirroring) 방법으로 상기 네트워크 상황 정보를 수집하는 것을 특징으로 한다.Preferably, the virtual instance for collecting the network status information in the user domain area of the server; further comprising a mirroring method (Mirroring) to the analysis virtual instance of the traffic (traffic) generated in the virtual instance Collecting the network status information.

바람직하게는 상기 호스트 상황 정보는 상기 가상 인스턴스의 CPU 유저 사용량, 상기 가상 인스턴스의 CPU 시스템 사용량, 상기 가상 인스턴스의 사용 메모리량, 상기 가상 인스턴스의 미사용 메모리량, 상기 가상 인스턴스의 anonymous 메모리량, 상기 가상 인스턴스의 동작 프로세스 수 및 상기 가상 인스턴스의 프로세스 생성 횟수 중 적어도 어느 하나 이상인 것을 특징으로 한다.Preferably, the host context information includes CPU user usage of the virtual instance, CPU system usage of the virtual instance, amount of memory used of the virtual instance, amount of unused memory of the virtual instance, amount of anonymous memory of the virtual instance, and the virtual. At least one of the number of operating processes of the instance and the number of processes generated in the virtual instance.

바람직하게는 상기 네트워크 상황 정보는 상기 가상 인스턴스가 접속한 원격 호스트 수, 상기 가상 인스턴스가 발생시긴 플로우(flow) 수, 상기 가상 인스턴스가 발생시킨 패킷 양, 상기 가상 인스턴스가 발생시킨 트래픽의 양, 상기 가상 인스턴스가 특정 포트로 발생시킨 트래픽의 양, 상기 가상 인스턴스가 Well-known 포트로 발생시킨 트래픽의 양 및 상기 가상 인스턴스가 상기 Well-known 포트가 아닌 포트로 발생시킨 트래픽의 양 중 적어도 어느 하나 이상인 것을 특징으로 한다.Preferably, the network status information includes the number of remote hosts to which the virtual instance is connected, the number of flows generated by the virtual instance, the amount of packets generated by the virtual instance, the amount of traffic generated by the virtual instance, At least one of an amount of traffic generated by the virtual instance to a specific port, an amount of traffic generated by the virtual instance to a well-known port, and an amount of traffic generated by the virtual instance to a port other than the well-known port It is characterized by.

바람직하게는 상기 가상 인스턴스는 모바일 가상 인스턴스이며, 상기 클라우드 서비스는 모바일 클라우드 서비스인 것을 특징으로 한다.Preferably, the virtual instance is a mobile virtual instance, the cloud service is characterized in that the mobile cloud service.

상기 기술적 과제를 달성하기 위한 본 발명의 실시예에 따른 클라우드 시스템에서의 가상 인스턴스 행동 분석 방법은, 클라우드 서비스를 제공하는 서버에서 수집된 적어도 하나 이상의 상황 정보 (context)를 수신하는 상황정보 수신단계; 상기 상황 정보(context)의 기계 학습을 통하여 가상 인스턴스 (VI : Virtual Instance)의 상태를 분석하는 분석 단계; 및 상기 가상 인스턴스의 상태를 표시하는 표시 단계;를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a method of analyzing virtual instance behavior in a cloud system, the method including: receiving at least one context information collected from a server providing a cloud service; An analysis step of analyzing a state of a virtual instance (VI) through machine learning of the context information; And a displaying step of displaying a state of the virtual instance.

바람직하게는 상기 분석 단계는 소정의 기계 학습 알고리즘을 통하여 상기 기계 학습을 수행하는 기계 학습 엔진(Machine Learning Engine)을 포함하는 것을 특징으로 한다.Preferably, the analyzing step includes a machine learning engine that performs the machine learning through a predetermined machine learning algorithm.

바람직하게는 상기 기계 학습 알고리즘은 SVM(Support Vector Machine), Random Forest 또는 베이시안 네트워크(Bayesian Network) 중 어느 하나인 것을 특징으로 한다.Preferably, the machine learning algorithm is one of a support vector machine (SVM), a random forest, and a bayesian network.

바람직하게는 상기 상황 정보는 상기 가상 인스턴스의 호스트 상황 정보 및 상기 가상 인스턴스를 포함하여 클라우드 서비스를 제공하는 서버의 네트워크 상황 정보를 포함하는 것을 특징으로 한다.Preferably, the context information includes host context information of the virtual instance and network context information of a server providing a cloud service including the virtual instance.

바람직하게는 상기 가상 인스턴스는 복수개인것을 특징으로 한다.Preferably, the virtual instance is characterized in that a plurality.

바람직하게는 상기 호스트 상황 정보는 각각의 상기 가상 인스턴스에 포함된 에이전트(agent)에 의해 수집되고 동시에 상기 서버의 자원 관리 도메인 영역의 에이피아이(API : Application Programming Interface)를 통하여 수집되는 것을 특징으로 한다.Preferably, the host context information is collected by an agent included in each virtual instance and simultaneously collected through an API (Application Programming Interface) of the resource management domain region of the server. .

바람직하게는 상기 서버의 유저 도메인 영역에 상기 네트워크 상황 정보를 수집하는 분석용 가상 인스턴스;를 더 포함하고, 상기 가상 인스턴스에서 발생하는 트래픽(traffic)의 상기 분석용 가상 인스턴스에 미러링(Mirroring) 방법으로 상기 네트워크 상황 정보를 수집하는 것을 특징으로 한다.Preferably, the virtual instance for collecting the network status information in the user domain area of the server; further comprising a mirroring method (Mirroring) to the analysis virtual instance of the traffic (traffic) generated in the virtual instance Collecting the network status information.

바람직하게는 상기 호스트 상황 정보는 상기 가상 인스턴스의 CPU 유저 사용량, 상기 가상 인스턴스의 CPU 시스템 사용량, 상기 가상 인스턴스의 사용 메모리량, 상기 가상 인스턴스의 미사용 메모리량, 상기 가상 인스턴스의 anonymous 메모리량, 상기 가상 인스턴스의 동작 프로세스 수 및 상기 가상 인스턴스의 프로세스 생성 횟수 중 적어도 어느 하나 이상인 것을 특징으로 한다.Preferably, the host context information includes CPU user usage of the virtual instance, CPU system usage of the virtual instance, amount of memory used of the virtual instance, amount of unused memory of the virtual instance, amount of anonymous memory of the virtual instance, and the virtual. At least one of the number of operating processes of the instance and the number of processes generated in the virtual instance.

바람직하게는 상기 네트워크 상황 정보는 상기 가상 인스턴스가 접속한 원격 호스트 수, 상기 가상 인스턴스가 발생시긴 플로우(flow) 수, 상기 가상 인스턴스가 발생시킨 패킷 양, 상기 가상 인스턴스가 발생시킨 트래픽의 양, 상기 가상 인스턴스가 특정 포트로 발생시킨 트래픽의 양, 상기 가상 인스턴스가 Well-known 포트로 발생시킨 트래픽의 양 및 상기 가상 인스턴스가 상기 Well-known 포트가 아닌 포트로 발생시킨 트래픽의 양 중 적어도 어느 하나 이상인 것을 특징으로 한다.Preferably, the network status information includes the number of remote hosts to which the virtual instance is connected, the number of flows generated by the virtual instance, the amount of packets generated by the virtual instance, the amount of traffic generated by the virtual instance, At least one of an amount of traffic generated by the virtual instance to a specific port, an amount of traffic generated by the virtual instance to a well-known port, and an amount of traffic generated by the virtual instance to a port other than the well-known port It is characterized by.

바람직하게는 상기 가상 인스턴스는 모바일 가상 인스턴스이며, 상기 클라우드 서비스는 모바일 클라우드 서비스인 것을 특징으로 한다.
Preferably, the virtual instance is a mobile virtual instance, the cloud service is characterized in that the mobile cloud service.

본 발명에 의한 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치 및 방법에 의하면, 클라우드 인프라를 사용하여 모바일 단말을 가상화하는 모바일 클라우드 서비스에서 가상화 환경을 고려하여 모바일 클라우드에 할당된 가상 모바일 인스턴스들의 행동을 모니터링 하고 비정상 행동을 탐지할 수 있다.According to the apparatus and method for analyzing virtual instance behavior in a cloud system according to the present invention, a mobile cloud service that virtualizes a mobile terminal using a cloud infrastructure may monitor behavior of virtual mobile instances allocated to the mobile cloud in consideration of a virtualization environment. Detect abnormal behavior.

본 발명에 의한 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치 및 방법에 의하면, 모바일 클라우드 서비스 제공자는 사용자의 자원 사용을 정확하게 모니터링 하고 또한 비정상적인 행동을 탐지하여 보안을 강화하고 안전한 서비스를 제공할 수 있는 효과가 있다.
According to the apparatus and method for analyzing virtual instance behavior in a cloud system according to the present invention, the mobile cloud service provider can accurately monitor user resource usage and detect abnormal behavior to enhance security and provide a secure service. have.

도 1 은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치 를 포함한 시스템 구성을 보여주는 도면이다.
도 2는 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 에이전트를 활용한 호스트 상황정보 수집 과정을 보여주는 도면이다.
도 3은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 Introspection을 통한 호스트 상황정보 수집 과정을 보여주는 도면이다.
도 4 는 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 네트워크 상황정보 수집 과정을 보여주는 도면이다.
도 5 는 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 구성을 보여주는 도면이다.
도 6 은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 기계 학습(ML)을 위한 트레이닝 데이터의 일 실시예를 보여주는 도면이다.
도 7 은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 가상 모바일 단말의 트래픽 생성량의 결과를 보여주는 도면이다.
도 8 은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 가상 모바일 단말의 context switch의 결과를 보여주는 도면이다.
도 9 는 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 가상 모바일 단말의 User CPU의 결과를 보여주는 도면이다.
도 10 은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 가상 모바일 단말이 접속한 remote host 수 결과를 보여주는 도면이다.
도 11 은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 행동 분석 결과를 보여주는 도면이다.
도 12 는 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 방법의 흐름도를 보여주는 도면이다.
도 13은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 에이전트를 활용한 호스트 상황정보를 보여주는 도면이다.1 is a diagram illustrating a system configuration including an apparatus for analyzing virtual instance behavior in a cloud system of the present invention.
2 is a diagram illustrating a process of collecting host context information using an agent of a virtual instance behavior analysis apparatus in a cloud system of the present invention.
3 is a diagram illustrating a process of collecting host context information through introspection of a virtual instance behavior analysis apparatus in a cloud system of the present invention.
4 is a diagram illustrating a network context information collection process of a virtual instance behavior analysis apparatus in a cloud system of the present invention.
5 is a view showing the configuration of a virtual instance behavior analysis device in a cloud system of the present invention.
FIG. 6 is a diagram illustrating an embodiment of training data for machine learning (ML) of a virtual instance behavior analysis device in a cloud system of the present invention.
7 is a view showing a result of the traffic generation amount of the virtual mobile terminal of the virtual instance behavior analysis apparatus in the cloud system of the present invention.
8 is a view showing the results of the context switch of the virtual mobile terminal of the virtual instance behavior analysis device in the cloud system of the present invention.
9 is a view showing the results of the user CPU of the virtual mobile terminal of the virtual instance behavior analysis device in the cloud system of the present invention.
FIG. 10 is a view showing the number of remote hosts connected by the virtual mobile terminal of the virtual instance behavior analysis apparatus in the cloud system of the present invention.
11 is a view showing a behavior analysis result of the virtual instance behavior analysis device in the cloud system of the present invention.
12 is a flowchart illustrating a virtual instance behavior analysis method in the cloud system of the present invention.
FIG. 13 is a diagram illustrating host context information using an agent of a virtual instance behavior analysis apparatus in a cloud system of the present invention.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 도면에 기재된 내용을 참조하여야 한다. In order to fully understand the present invention, operational advantages of the present invention, and objects achieved by the practice of the present invention, reference should be made to the accompanying drawings and the accompanying drawings which illustrate preferred embodiments of the present invention.

이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, the present invention will be described in detail with reference to the preferred embodiments of the present invention with reference to the accompanying drawings. Like reference symbols in the drawings denote like elements.

본원 발명은 클라우드 인프라를 사용하여 모바일 단말을 가상화하는 모바일 클라우드 서비스에서 가상화 환경을 고려하여 모바일 클라우드에 할당된 가상 모바일 인스턴스들의 행동을 모니터링 하고 비정상 행동을 탐지하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치 및 방법을 제공하는 것이다.The present invention provides an apparatus for analyzing virtual instance behavior in a cloud system that monitors the behavior of virtual mobile instances assigned to the mobile cloud and detects abnormal behavior in a mobile cloud service virtualizing a mobile terminal using a cloud infrastructure, and To provide a way.

본원 발명은 목적 달성을 위하여 1) 가상 모바일 인스턴스의 호스트 정보 수집 과정 2) 인프라 내 네트워크 정보 수집 과정 3) 수집된 호스트 정보와 네트워크 정보를 수신, 분석과정을 통하여 비정상 행동을 탐지하는 단계를 포함하여 이루어진다.The present invention includes the steps of 1) collecting the host information of the virtual mobile instance 2) collecting network information in the infrastructure 3) detecting abnormal behavior through receiving and analyzing the collected host information and network information; Is done.

본원 발명은 1) 원활한 클라우드 서비스 제공을 위하여 호스트 정보 및 네트워크 상황 정보를 수집하는 서버(production server)에 구별된 별도의 행동 분석 서버(non-production server)를 두어 가상 인스턴스의 행동을 분석 2) 행동 분석의 신뢰성을 높이기 위하여 에이전트 방식에 의한 호스트 정보 수집과 introspection 방식에 의한 호스트 정보 수집을 동시에 활용하는 점 3) 호스트 상황 정보(context)와 네트워크 상황 정보의 각 데이터를 기초로 기계 학습(machine learning)을 통한 행동 분석을 수행 4) 네트워크 상황 정보 수집을 위하여 가상 인스턴스를 유저 도메인 영역에 생성 5) 네트워크 상황 정보 수집을 위한 가상 인스턴스에서 미러링 방법을 활용한 점에서 특징이 있다.The present invention 1) analyzes the behavior of the virtual instance by placing a separate non-production server (production server) in a production server (gathering host information and network status information to provide a smooth cloud service) 2) behavior In order to improve the reliability of the analysis, the host information collection by the agent method and the host information collection by the introspection method are used simultaneously. 3) Machine learning based on each data of the host context and network context information. 4) Create a virtual instance in the user domain area to collect network context information. 5) The mirroring method is used in the virtual instance for network context information collection.

도 1 은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치 를 포함한 시스템 구성을 보여주는 도면이다.1 is a diagram illustrating a system configuration including an apparatus for analyzing virtual instance behavior in a cloud system of the present invention.

본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치를 포함한 시스템은 호스트 상황 정보 및 네트워크 상황 정보를 수집하는 상황정보 수집 장치(110), 행동 분석 장치(100)를 포함하여 이루어진다.The system including the virtual instance behavior analysis device in the cloud system of the present invention includes a context information collecting device 110 and a behavior analysis device 100 for collecting host context information and network context information.

상황 정보 수집 장치(110)와 행동 분석 장치(100)는 각각 별도의 서버로 구성되어지며, 행동 분석 장치(100)의 통신 모듈(101)을 통하여 상황 정보 수집 장치(110)에서 수집된 상황정보(context) 데이터의 수신이 가능하다.The contextual information collecting device 110 and the behavioral analyzing device 100 are each configured as separate servers, and the contextual information collected by the contextual information collecting device 110 through the communication module 101 of the behavioral analyzing device 100. (context) Data can be received.

본원 발명의 행동 분석 장치(100)는 분석부(104) 및 표시부(105)를 포함하여 구성된다.The behavior analysis device 100 of the present invention includes an analysis unit 104 and a display unit 105.

분석부(104)는 적어도 하나 이상의 상황 정보(context)의 기계 학습을 통하여 가상 인스턴스 (VI : Virtual Instance)의 상태를 분석한다.The analysis unit 104 analyzes a state of a virtual instance (VI) through machine learning of at least one context.

표시부(105)는 분석부(104)의 결과인 가상 인스턴스의 상태를 표시한다.The display unit 105 displays the state of the virtual instance that is the result of the analysis unit 104.

호스트 상황 정보 및 네트워크 상황 정보를 수집하는 상황 정보 수집 장치(110)는 행동 분석 장치와는 별도의 서버로서 클라우드 서비스를 가입자에 제공하는 서버이다.The contextual information collecting apparatus 110 that collects host contextual information and network contextual information is a server that provides a cloud service to a subscriber as a server separate from the behavioral analysis apparatus.

도 1 의 분석 장치(100)의 통신 모듈(101)내 수신부는 상황 정보 수집 장치(110)에서 수집된 상황 정보를 수신한다.The receiver in the communication module 101 of the analysis apparatus 100 of FIG. 1 receives the situation information collected by the situation information collecting device 110.

분석부(104)는 소정의 기계 학습 알고리즘을 통하여 상기 기계 학습을 수행하는 기계 학습 엔진(Machine Learning Engine)(103)을 포함한다.The analysis unit 104 includes a machine learning engine 103 that performs the machine learning through a predetermined machine learning algorithm.

기계 학습 알고리즘은 SVM(Support Vector Machine), Random Forest 또는 베이시안 네트워크(Bayesian Network) 중 어느 하나로 이루어진다.The machine learning algorithm consists of any one of a support vector machine (SVM), a random forest, or a bayesian network.

가상 인스턴스의 행동 분석을 위한 상황 정보는 가상 인스턴스의 호스트 상황 정보 및 클라우드 서비스를 제공하는 서버의 네트워크 상황 정보를 포함한다.The contextual information for behavior analysis of the virtual instance includes host context information of the virtual instance and network context information of a server providing cloud services.

본원 발명에서의 가상 인스턴스 행동 분석 장치는 복수개의 가상 인스턴스 행동을 동시에 분석할 수 있다.The virtual instance behavior analysis apparatus in the present invention may analyze a plurality of virtual instance behaviors at the same time.

호스트 상황 정보는 각각의 가상 인스턴스에 포함된 에이전트(agent)에 의해 수집되거나 상황 정보 수집 서버(110)의 자원 관리 도메인 영역(Dom 0 : 114)의 에이피아이(API : Application Programming Interface)를 통하여 수집된다.Host context information is collected by an agent included in each virtual instance or through an API (Application Programming Interface) of the resource management domain area Dom 0: 114 of the context information collection server 110. do.

본원 발명의 가상 인스턴스 행동 분석을 위한 호스트 상황 정보는 가상 인스턴스의 CPU 유저 사용량, 가상 인스턴스의 CPU 시스템 사용량, 가상 인스턴스의 사용 메모리량, 가상 인스턴스의 미사용 메모리량, 가상 인스턴스의 anonymous 메모리량, 가상 인스턴스의 동작 프로세스 수 및 가상 인스턴스의 프로세스 생성 횟수 중 적어도 어느 하나 이상이 될 수 있다.The host context information for analyzing the virtual instance behavior of the present invention includes the CPU user usage of the virtual instance, the CPU system usage of the virtual instance, the amount of memory used by the virtual instance, the amount of unused memory of the virtual instance, the amount of anonymous memory of the virtual instance, and the virtual instance. At least one of the number of operating processes and the number of processes generated in the virtual instance.

자원 관리 도메인 영역의 에이피아이(API)를 통한 호스트 상황 정보 수집은 서버(110)의 유저 영역이외에 가상화 인프라에서 Introspection을 지원하는 API(Application Programming Interface)를 활용한 구조이다.Host context information collection through the API of the resource management domain area is a structure utilizing an API (Application Programming Interface) supporting introspection in the virtualization infrastructure in addition to the user area of the server 110.

네트워크 상황 정보는 상황 정보 수집 서버(110)의 유저 도메인 영역(Dom U)에 네트워크 상황 정보를 수집하는 분석용 가상 인스턴스(113)에서 수행되며, 가상 인스턴스(111,112)에서 발생하는 트래픽(traffic)의 분석용 가상 인스턴스(113)에 미러링(Mirroring) 방법으로 네트워크 상황 정보를 수집한다.The network status information is performed in the analysis virtual instance 113 which collects network status information in the user domain area Dom U of the situation information collection server 110, and analyzes the traffic generated by the virtual instances 111 and 112. The network condition information is collected in the analysis virtual instance 113 by a mirroring method.

네트워크 상황 정보는 가상 인스턴스가 접속한 원격 호스트 수, 가상 인스턴스가 발생시긴 플로우(flow) 수, 가상 인스턴스가 발생시킨 패킷 양, 가상 인스턴스가 발생시킨 트래픽의 양, 가상 인스턴스가 특정 포트로 발생시킨 트래픽의 양, 가상 인스턴스가 Well-known 포트로 발생시킨 트래픽의 양 및 가상 인스턴스가 상기 Well-known 포트가 아닌 포트로 발생시킨 트래픽의 양 중 적어도 어느 하나 이상이 될 수 있다.Network status information includes the number of remote hosts that a virtual instance has accessed, the number of flows the virtual instance has generated, the amount of packets generated by the virtual instance, the amount of traffic generated by the virtual instance, and the traffic generated by the virtual instance to a specific port. At least one of the amount, the amount of traffic generated by the virtual instance to the well-known port, and the amount of traffic generated by the virtual instance to a port other than the well-known port.

본원 발명의 가상 인스턴스는 클라우드 서비스에서의 모바일 단말을 가상화한 가상 머신이며, 클라우드 서비스는 모바일 클라우드 서비스를 의미한다.The virtual instance of the present invention is a virtual machine that virtualizes a mobile terminal in a cloud service, and the cloud service means a mobile cloud service.

도 2는 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 에이전트를 활용한 호스트 상황정보 수집 과정을 보여주는 도면이다.2 is a diagram illustrating a process of collecting host context information using an agent of a virtual instance behavior analysis apparatus in a cloud system of the present invention.

본원 발명의 가상 인스턴스 행동 분석 시스템은 상황 정보 수집서버(110)와 분석 서버(100)를 포함하여 이루어진다.Virtual instance behavior analysis system of the present invention comprises a situation information collection server 110 and the analysis server 100.

상황 정보 수집 서버(110)에서의 호스트 상황정보를 수집하는 방법은 에이전트를 활용한 방법과 서버 자원 관리 도메인 영역(Dom 0 : 114)에서의 Introspection을 지원하는 API(Application Programming Interface)를 활용한 방법을 동시에 이용한다.The method of collecting the host situation information in the context information collection server 110 is a method using an agent and a method using an API (Application Programming Interface) supporting introspection in a server resource management domain area (Dom 0: 114). Use at the same time.

도 2에서의 에이전트를 활용한 호스트 상황 정보 수집은 Production 노드(110)내 각 가상 인스턴스에 설치되는 에이전트에서 수행되며,Non-production 노드(100)내 설치되어 각 가상 인스턴스에서 모니터링한 호스트 정보를 전송받아 분석하는 부분으로 나누어져 이루어진다. Host situation information collection using the agent in FIG. 2 is performed by an agent installed in each virtual instance in the production node 110, and transmits host information installed in the non-production node 100 and monitored by each virtual instance. It is divided into parts that are received and analyzed.

Production 노드(110)라 함은 모바일 클라우드 서비스를 제공하는 역할을 담당하는 모바일 클라우드 인프라 상의 컴퓨팅 노드를 의미하고, Non-production 노드(100)라 함은 모바일 클라우드 서비스를 직접 제공하지 않고 Production 노드의 컴퓨팅을 뒷받침하거나 Production 노드의 장애 발생시 교체 가능한 노드들을 의미한다.The production node 110 refers to a computing node on a mobile cloud infrastructure that is responsible for providing a mobile cloud service, and the non-production node 100 refers to the computing of a production node without directly providing a mobile cloud service. These are the nodes that can be supported or replaced when a production node fails.

클라우드에 할당된 가상 모바일 인스턴스의 호스트 상황 정보 수집은 에이전트 방식을 이용한 방법과 Introspection을 지원하는 API(Application Programming Interface)를 활용한 방법으로 크게 두 가지로 나눌 수 있다. Host situation information collection of virtual mobile instance allocated to the cloud can be divided into two methods: an agent-based method and an application programming interface (API) that supports introspection.

첫째, 가상 인스턴스에 에이전트 방식(111,112)의 모니터링 프로그램을 설치하여 해당 프로그램으로부터 인스턴스 상황 정보를 수집하는 방법이고 둘째, 가상화 영역에서 Introspection을 지원하는 API(Application Programming Interface)를 활용한 방법(115)으로 가상 인스턴스의 상황 정보를 수집하는 방법이다.First, a method of collecting agent status information from a corresponding program by installing an agent type (111, 112) monitoring program in a virtual instance, and second, using an API (Application Programming Interface) supporting introspection in a virtualization area (115). How to collect status information of a virtual instance.

에이전트를 사용한 모니터링은 가상 모바일 인스턴스의 상태를 자세하게 모니터링 할 수 있다는 장점이 있으나 공격자가 에이전트를 변조하여 에이전트를 무력화 시킬 수 있다는 단점이 있다. Monitoring using agents has the advantage of being able to monitor the status of the virtual mobile instance in detail, but it has the disadvantage that an attacker can deny the agent by tampering with the agent.

가상화 영역에서의 Introspection을 통한 상황 정보(115) 수집 방법은 얻을 수 있는 정보가 제한적이고 방법이 복잡하며 가상화 핵심 역할을 수행하는 하이퍼바이저의 역할을 최대한 단순하게 가져가야 한다는 제약 조건이 있다. The method of collecting situation information 115 through introspection in the virtualization area has a constraint that information to be obtained is limited, the method is complicated, and the role of the hypervisor to play the core role of virtualization should be as simple as possible.

하지만 하이퍼바이저(115)가 공격 당하지 않는다면 가상 모바일 인스턴스에서는 자신이 모니터링 되고 있음을 인지할 수 없으며 정보를 조작할 수도 없다.However, if the hypervisor 115 is not attacked, the virtual mobile instance cannot recognize that it is being monitored and cannot manipulate information.

본원 발명은 에이전트 방식을 이용한 방법과 Introspection을 지원하는 API(Application Programming Interface)를 활용한 방법,두 가지 세부 방식의 호스트 상황정보 수집한다.The present invention collects the host context information in two detailed ways: a method using an agent method and a method using an application programming interface (API) supporting introspection.

본원 발명의 가상 인스턴스 행동 분석 장치는 호스트 상황 정보 뿐만 아니라네트워크 상황 정보를 수집하여 클라우드의 가상 모바일 인스턴스를 모니터링 하고 비정상 행동을 탐지하는 시스템이다. The virtual instance behavior analysis apparatus of the present invention is a system that collects network context information as well as host context information to monitor a virtual mobile instance of the cloud and detect abnormal behavior.

가상 단말에 설치된 에이전트로부터, CPU, memory, 프로세스 호스트 상황정보 등을 수집하고 가상화 영역에서 수집한 호스트 상황 정보를 통해 상호 보완적으로 호스트 모니터링을 수행한다. CPU, memory, process host status information is collected from the agent installed in the virtual terminal, and host monitoring is complementary through host status information collected in the virtualization area.

또한 네트워크 상황 정보는 각 가상 단말에 대한 네트워크 정보를 수집하기 위해 가상 스위치의 기능을 사용하고, 이를 분석하는 가상화 자원(분석용 가상 인스턴스(113))을 할당하여 하이퍼바이저가 복잡한 연산을 수행하지 않도록 한다.In addition, the network status information uses the function of the virtual switch to collect network information about each virtual terminal, and allocates a virtualization resource (analysis virtual instance 113) that analyzes it so that the hypervisor does not perform complicated operations. do.

도 13은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 에이전트를 활용한 호스트 상황정보를 보여주는 도면이다.FIG. 13 is a diagram illustrating host context information using an agent of a virtual instance behavior analysis apparatus in a cloud system of the present invention.

도 13 에서 제시된 호스트 상황 정보는 가상 단말에 설치된 에이전트의 Data Collector(111-1)에서 CPU, memory, 프로세스 호스트 상황정보 등을 수집한다.The host context information shown in FIG. 13 collects CPU, memory, process host context information, and the like from the data collector 111-1 of the agent installed in the virtual terminal.

수집된 상황 정보는 1차 가공을 통하여 데이터 베이스(DB :111-2)에 저장된다.The collected situation information is stored in the database (DB: 111-2) through the primary processing.

또한 에이전트에 의해 수집된 상황 정보는 통신 모듈(111-4)를 통하여 분석 장치, Non-production service node의 분석 장치(100)로 전송된다.In addition, the contextual information collected by the agent is transmitted to the analysis device 100 of the analysis device and the non-production service node through the communication module 111-4.

도 3은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 Introspection을 통한 호스트 상황정보 수집 과정을 보여주는 도면이다.3 is a diagram illustrating a process of collecting host context information through introspection of a virtual instance behavior analysis apparatus in a cloud system of the present invention.

Introspection을 통한 호스트 상황 정보 수집은 가상화 인프라에서 Introspection을 지원하는 API (Application Programming Interface)를 활용한 구조하에서 이루어진다. Host context information collection through Introspection is performed under the structure using API (Application Programming Interface) supporting Introspection in virtualization infrastructure.

가상 모바일 인스턴스 내 에이전트를 통한 모니터링 방식만은 해당 인스턴스의 시스템 상태를 구체적으로 파악 가능하지만, 해당 에이전트에 조작 및 변조된 정보가 모니터링되는지에 대한 여부를 확인할 수 없는 문제점이 있는바 이를 보완하기 위하여 Introspection을 통한 호스트 상황 정보 수집을 수행하는 것이다. Although only the monitoring method through the agent in the virtual mobile instance can identify the system state of the instance in detail, there is a problem in that it is not possible to check whether the agent is monitored for the manipulated and tampered information. Host status information collection is performed through.

상황 정보 수집 서버(110)에서의 서버 자원 관리 도메인 영역(Dom 0 : 114)에서의 Introspection을 지원하는 API(Application Programming Interface)를 활용한다.It utilizes an API (Application Programming Interface) supporting Introspection in the server resource management domain area (Dom 0: 114) in the context information collection server 110.

가상화 레벨에서 호스트 정보를 수집하는 Introspection 방식은 가상 모바일 인스턴스에 보안 침해가 발생하더라도 정확한 모니터링이 가능하고, 해당 수집된 호스트 데이터와 에이전트에서 수집된 호스트 데이터와의 비교를 통해 보다 강화된 모바일 가상 인스턴스의 보안을 제공하는 장점이 있다.The Introspection method, which collects host information at the virtualization level, enables accurate monitoring even if a security breach occurs in the virtual mobile instance, and compares the collected host data with the host data collected by the agent. There is an advantage in providing security.

도 4 는 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 네트워크 상황정보 수집 과정을 보여주는 도면이다.4 is a diagram illustrating a network context information collection process of a virtual instance behavior analysis apparatus in a cloud system of the present invention.

종래의 가상화된 인스턴스에 대한 네트워크 상황 정보 수집 방법은 각 가상 단말에서 에이전트를 활용한 직접적인 네트워크 정보 수집과 가상화를 담당하는 하이퍼바이저를 통한 네트워크 정보 수집 방식이 있다. The conventional network situation information collection method for a virtualized instance includes a network information collection method through a hypervisor responsible for direct network information collection and virtualization using an agent in each virtual terminal.

위 두 방식 중, 전자는 호스트 모니터링을 하는 에이전트 및 각 모바일 가상 단말에 많은 부담을 주는 단점이 있다. Among the above two methods, the former has a disadvantage in that a large burden is placed on the agent for monitoring the host and each mobile virtual terminal.

그리고 후자는 가상화 전반을 담당하는 하이퍼바이저에 부담을 주어 가상 모바일 단말 전체 서비스에 악영향을 미치는 단점을 안고 있다. And the latter has a disadvantage that adversely affects the overall service of the virtual mobile terminal by putting a burden on the hypervisor in charge of virtualization in general.

본원 발명은 종래의 문제점을 해결하기 위하여 모바일 가상 인스턴스에 대한 네트워크 모니터링 방식은 모바일 가상 인스턴스에 최소한의 부하를 주기 위해 노드 내 네트워크 정보 수집을 담당하는 별도의 가상 인스턴스(113)를 생성하고, 각 모바일 가상 인스턴스에서 발생하는 트래픽을 분석용 가상 인스턴스에 미러링하는 방법을 사용한다.In order to solve the conventional problem, the network monitoring method for a mobile virtual instance generates a separate virtual instance 113 in charge of collecting network information in a node to give a minimum load to the mobile virtual instance, and each mobile Use a method of mirroring traffic from a virtual instance to a virtual instance for analysis.

가상화 환경에서 타 가상 인스턴스에 대한 트래픽을 특정 가상 인스턴스로 미러링하는 기법은 하이퍼바이저에 트래픽 미러링을 담당하는 가상 라우터를 적용함으로써 가능하다. In the virtualization environment, a method of mirroring traffic for another virtual instance to a specific virtual instance is possible by applying a virtual router that is responsible for traffic mirroring to the hypervisor.

미러링(Mirroring) 방식은 하이퍼바이저에 최소한의 모듈만을 설치하여 가상화 전반적인 기능에 부담을 최소화한다. Mirroring minimizes the burden on overall virtualization by installing only a few modules in the hypervisor.

네트워크 상황 정보는 상황 정보 수집 서버(110)의 유저 도메인 영역(Dom U)에 네트워크 상황 정보를 수집하는 분석용 가상 인스턴스(113)에서 수행되며, 가상 인스턴스(111,112)에서 발생하는 트래픽(traffic)의 분석용 가상 인스턴스(113)에 미러링(Mirroring) 방법으로 네트워크 상황 정보를 수집한다.The network status information is performed in the analysis virtual instance 113 which collects network status information in the user domain area Dom U of the situation information collection server 110, and analyzes the traffic generated by the virtual instances 111 and 112. The network condition information is collected in the analysis virtual instance 113 by a mirroring method.

뿐만 아니라, 분석용 가상 인스턴스에서는 포트 미러링 결과 IP header, TCP/UDP header, payload를 포함한 모든 트래픽 정보를 얻을 수 있기 때문에 추후 여러가지 분석 기능을 추가 할 때 활용할 수 있다. In addition, the analysis virtual instance can obtain all traffic information including IP header, TCP / UDP header, and payload as a result of port mirroring, which can be used to add various analysis functions later.

분석용 가상 인스턴스(113)에서는 Netflow나 sFlow 등의 정형화된 (formatted) 플로우 정보를 사용하여 네트워크 데이터 정보 수집이 가능하다.The virtual instance 113 for analysis may collect network data information using formatted flow information such as Netflow or sFlow.

트래픽 정보는 각 가상 인스턴스의 행동을 파악할 수 있는 주요한 요소이며 5-tuple flow 정보를 기본으로 한다. Traffic information is a key element to understand the behavior of each virtual instance and is based on 5-tuple flow information.

수집된 flow 정보는 각 가상 인스턴스 단위로 다시 정리되어 네트워크 데이터를 수집한다. Collected flow information is rearranged by each virtual instance to collect network data.

다음은 위 방법을 적용하였을 때 수집 가능한 네트워크 정보 항목에 대한 예시이다. The following is an example of network information items that can be collected when the above method is applied.

(1) 가상 인스턴스가 접속한 remote host의 수, (2) 가상 인스턴스가 발생시킨 flow 양, (3)가상 인스턴스가 발생시킨 패킷 양, (4)가상 인스턴스가 발생시긴 트래픽의 양, (5)가상 인스턴스가 53 포트로 발생시킨 트래픽의 양, (6)가상 인스턴스가 80 포트로 발생시킨 트래픽의 양, (7)가상 인스턴스가 443 포트로 발생시킨 트래픽의 양,(8) 가상 인스턴스가 well-known 포트로 발생시킨 트래픽의 양, (9)가상 인스턴스가 well-known이 아닌 포트로 발생시킨 트래픽의 양이 일 실시예가 될 수 있다.(1) the number of remote hosts that the virtual instance is connected to, (2) the amount of flow generated by the virtual instance, (3) the amount of packets generated by the virtual instance, (4) the amount of traffic generated by the virtual instance, and (5) The amount of traffic generated by the virtual instance to port 53, (6) the amount of traffic generated by the virtual instance to port 80, (7) the amount of traffic generated by the virtual instance to port 443, and (8) the virtual instance The amount of traffic generated by a known port, and (9) the amount of traffic generated by a virtual instance to a port that is not well-known may be an example.

도 5 는 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 구성을 보여주는 도면이다.5 is a view showing the configuration of a virtual instance behavior analysis device in a cloud system of the present invention.

비정상 활동을 분석하기 위해 행동 분석 장치(100)는 상황 정보를 전송받는 통신 모듈(101), DB(102)과 호스트 상황 정보 및 네트워크 상황 정보를 주기적으로 분석하여 비정상을 탐지하는 분석부(104)를 포함하여 이루어진다. In order to analyze abnormal activity, the behavior analysis apparatus 100 periodically analyzes the communication module 101, the DB 102, and the host context information and the network context information, which receive the context information, to detect an abnormality 104. It is made, including.

본원 발명의 가상 인스턴스 행동 분석 시스템은 상황 정보 수집 장치( collector :110)와 분석 장치(analyzer:100)로 구분되어 구성된다.The virtual instance behavior analysis system of the present invention is divided into a situation information collecting device (collector: 110) and an analysis device (analyzer: 100).

이는 도1 에서 도시된 바와 같이 별도의 서버로 구현됨으로써 클라우드 서비스 제공시 추가적인 트래픽 발생으로 인한 서비스 지연등의 문제점이 발생하지 않는 장점이 있다.This is implemented as a separate server as shown in Figure 1 has the advantage that the problem such as service delay due to additional traffic generated when providing cloud services.

상황 정보 수집 장치( collector :110)는 각 가상 모바일 단말로부터 매 분마다 호스트 상황 정보를 에이전트 또는 인트로스펙션(introspection) 결과로부터 수집한다. The context information collecting device (collector 110) collects host context information from each virtual mobile terminal every minute from an agent or an introspection result.

또한 각 node의 가상 모바일 인스턴스들의 네트워크 상황 정보를 수집한다.It also collects network status information of virtual mobile instances of each node.

상황 정보 수집 장치( collector :110)는 전송 받은 호스트 모니터링 정보와 네트워크 모니터링 정보를 해독하여 데이터베이스(111-2)에 저장한다. The context information collecting device (collector: 110) decodes the received host monitoring information and network monitoring information and stores the received information in the database 111-2.

분석 장치(analyzer:100)는 실제 데이터베이스에 저장된 정보를 사용하여 기계 학습 (ML, Machine Learning) 알고리즘으로 비정상 활동을 훈련 및 탐지한다.The analyzer 100 analyzes and detects abnormal activities using machine learning algorithms using information stored in an actual database.

일정 주기마다 기존 전송되었던 데이터를 테스트 데이터로 추출하고 기계 학습 모듈(103)로 넘겨준다. At regular intervals, the previously transmitted data is extracted as test data and passed to the machine learning module 103.

대표적인 기계 학습 모듈로는, Weka가 있다. A representative machine learning module is Weka.

Weka의 알고리즘은 기존에 training된 데이터 모델을 바탕으로 테스트 데이터에서 비정상 데이터를 찾아낸다. Weka's algorithm finds abnormal data from test data based on the existing trained data model.

본원 발명의 특징 중 하나는 호스트 상황 정보 및 네트워크 상황 정보를 이용하여 모바일 가상 머신 또는 가상 인스턴스의 상태를 기계 학습 방법을 사용하여 비정상 행동을 탐지한다. One of the features of the present invention is to detect abnormal behavior using the machine learning method of the state of the mobile virtual machine or virtual instance using the host context information and network context information.

본원 발명의 분석부(104)에서의 기계 학습 엔진(103)에서는 SVM, Random Forest, Bayesian Network 등의 기계 학습 알고리즘이 사용될 수 있다. In the machine learning engine 103 of the analysis unit 104 of the present invention, machine learning algorithms such as SVM, Random Forest, Bayesian Network, and the like may be used.

본원 발명의 분석부(104)에서의 기계 학습을 통한 가상 모바일 인스턴스의 정상 행동과 비정상 행동을 구분하기 위해 정상 행동을 하는 상태의 데이터와 비정상 행동을 할때의 데이터를 수집해야 한다. In order to distinguish between normal behavior and abnormal behavior of the virtual mobile instance through machine learning in the analysis unit 104 of the present invention, data of normal behavior and data of abnormal behavior should be collected.

이를 위해 정상인 상태를 Active와 Inactive class로 나누었고 비정상 활동은 Abnormal class를 갖는다.For this purpose, the normal state is divided into Active and Inactive classes, and abnormal activities have an Abnormal class.

(1) Inactive: 사용자가 가상 모바일 인스턴스를 사용하지 않는 상태. 트위터나 Facebook등 몇 개의 어플리케이션이 백그라운드에서 실행 중(1) Inactive: The user is not using a virtual mobile instance. Several applications like Twitter and Facebook are running in the background

(2) Active: 사용자가 가상 모바일 인스턴스를 사용하고 있는 상태. 웹서핑, 게임 등(2) Active: The user is using a virtual mobile instance. Web surfing, games, etc

(3) Abnormal: 비정상 어플리케이션이 동작하고 있는 상태. 지속적으로 정보를 빼가려 하거나 특정 도메인에 접속하려고 하는 상태로 정의된다.(3) Abnormal: Abnormal application is running. It is defined as the state that wants to continuously withdraw information or access a specific domain.

비정상 활동 분석은 수집된 Inactive 데이터 및 Active 데이터를 기반으로 이루어진다. Anomaly activity analysis is based on collected inactive and active data.

비정상 데이터는 실제 배포된 악성코드 또는 malware 등을 활용해 수집 가능하다. Abnormal data can be collected using actual distributed malware or malware.

모바일 단말 인스턴스에 감염 가능한 악성 프로그램들은 공격자가 모바일 단말을 좀비화 하는 것 등을 목표로 하고 있다. Malicious programs that can infect mobile device instances are targeted by attackers to zombie mobile devices.

도 6 은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 기계 학습(ML)을 위한 트레이닝 데이터의 일 실시예를 보여주는 도면이다.FIG. 6 is a diagram illustrating an embodiment of training data for machine learning (ML) of a virtual instance behavior analysis device in a cloud system of the present invention.

기계학습 (ML)의 데이터는 학습을 위한 트레이닝 데이터와 학습 결과를 바탕으로 실제 탐지를 목표로 하는 테스트 데이터로 구분된다.Machine learning (ML) data is divided into training data for learning and test data for actual detection based on the learning results.

도 6은 기계 학습 엔진(103)에서의 트레이닝 데이터의 일부를 보여주는 것이다. 6 shows a portion of the training data in the machine learning engine 103.

트레이닝 데이터는 10개의 가상 모바일 단말로부터 수집했으며 모니터링 된 시점에서 각 가상 모바일 단말의 상태는 미리 알고 있다고 가정 한 상태로 수집하였다.Training data was collected from 10 virtual mobile terminals, and it was assumed that the status of each virtual mobile terminal was known in advance.

단말의 행동 정보는 dimension 18인 vector로 나타내게 되고 이를 기계 학습 엔진(103)이 parsing 할 수 있도록 ARFF라는 데이터 포멧을 사용한다. The behavior information of the terminal is represented by a vector having a dimension 18 and uses a data format called ARFF so that the machine learning engine 103 can parse it.

ARFF (Attribute-Relation File Format)는 weka에서 파일로 입출력을 수행할 때에 사용되는 속성과 관계를 설명한 파일포맷이다.ARFF (Attribute-Relation File Format) is a file format that describes the attributes and relationships used when performing input / output from a weka file.

ARFF 포멧은 대략 다음과 같습니다. The ARFF format is approximately:

@RELATION은 데이터가 어떠한 관계를 나타내고 있는지를 보여주는 데이터의 title 이다. @RELATION is a title for the data that shows what the data represents.

@ATTRIBUTE는 각 entity값이 어떤 정보를 나타내는지를 보여준다. @ATTRIBUTE shows what information each entity value represents.

@DATA 이후부터는 트레이닝 데이터가 존재한다.Training data exists after @DATA.

각 라인은 1분동안 어떤 가상 모바일 단말 하나에서 수집된 행동 정보를 나타낸다. Each line represents behavior information collected at one virtual mobile terminal for one minute.

예를 들어 @DATA의 첫줄은 1.0.0.1의 2012년 1월 26일 오후 5시 20분의 상황정보 둘째줄은 1.0.0.2의 2012년 1월 26일 오후 5시 20분의 상황정보를 나타낸다. For example, the first line of @DATA is the status information at 5:20 PM on January 26, 2012 at 1.0.0.1 The second line is the status information at 5:20 PM on January 26, 2012 at 1.0.0.1.

본원 발명에서의 가상 모바일 단말 상황 정보는 1 분동안의 통신한 원격 호스트 수, 패킷 수, flow 수, bytes 량, port 53번으로 통신한 byte 량, port 80으로 통신한 byte량, port 443으로 통신한 량, well-known port로 통신한 량, 나머지 포트로 통신한 량등의 네트워크 상황 정보 및 Process 생성 횟수, running process 수, context switch 수, system cpu 사용, user cpu 사용, mapped memory량, active memory량, anonymous memory 량, free memory량등의 호스트 상황 정보를 포함한다.In the present invention, the virtual mobile terminal status information is the number of remote hosts, packets, flows, bytes, byte 53, port 80, byte 80, port 443, and port 443. Network status information such as quantity, communication with well-known port, communication with remaining port, number of process creation, number of running processes, number of context switches, system cpu use, user cpu use, mapped memory amount, active memory amount Contains host status information such as the amount of anonymous memory and free memory.

도 7 은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 가상 모바일 단말의 트래픽 생성량의 결과를 보여주는 도면이다.7 is a view showing a result of the traffic generation amount of the virtual mobile terminal of the virtual instance behavior analysis apparatus in the cloud system of the present invention.

도 7 은 가상 모바일 단말로부터 추출한 행동 특징을 3시간동안 모니터링하여 RRD tool을 사용해 그래프로 나타낸 예시이다. 각 단말의 모니터링된 결과는 웹 포탈로 서비스 되어 관리자가 한눈에 단말의 상태를 파악 할 수 있도록 하였으며 추가적으로 필요한 정보를 쉽게 추가 하거나 변경 할 수 있다. FIG. 7 is a graph illustrating an RRD tool by monitoring behavioral features extracted from a virtual mobile terminal for 3 hours. The monitored results of each terminal are serviced by the web portal so that the administrator can grasp the status of the terminal at a glance, and additionally necessary information can be easily added or changed.

도 8 은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 가상 모바일 단말의 context switch의 결과를 보여주는 도면이다.8 is a view showing the results of the context switch of the virtual mobile terminal of the virtual instance behavior analysis device in the cloud system of the present invention.

도 8 은 가상 모바일 단말로부터 추출한 context switch의 결과를 보여주는 도면이다.8 is a diagram illustrating a result of a context switch extracted from a virtual mobile terminal.

도 9 는 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 가상 모바일 단말의 User CPU의 결과를 보여주는 도면이다.9 is a view showing the results of the user CPU of the virtual mobile terminal of the virtual instance behavior analysis device in the cloud system of the present invention.

도 9 는 가상 모바일 단말로부터 추출한 User CPU의 결과를 보여주는 도면이다.9 is a diagram illustrating a result of a User CPU extracted from a virtual mobile terminal.

도 10 은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 가상 모바일 단말이 접속한 remote host 수 결과를 보여주는 도면이다.FIG. 10 is a view showing the number of remote hosts connected by the virtual mobile terminal of the virtual instance behavior analysis apparatus in the cloud system of the present invention.

도 10 은 가상 모바일 단말로부터 추출한 remote host 수 결과를 보여주는 도면이다.10 is a view showing the number of remote hosts extracted from the virtual mobile terminal.

도 11 은 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치의 행동 분석 결과를 보여주는 도면이다.11 is a view showing a behavior analysis result of the virtual instance behavior analysis device in the cloud system of the present invention.

도 11 은 일정 주기(매 분)마다 crontab을 사용하여 지난 1분동안 서버로 전송된 데이터를 대상으로 비정상 활동을 탐지한 결과를 나타낸 예시이다. FIG. 11 shows an example of detecting abnormal activity of data transmitted to the server for the past 1 minute using crontab at regular intervals (every minute).

각 단말의 상태는 앞서 설명한 바와 같이 Inactive, Active, Abnormal로 구분된다. As described above, the state of each terminal is classified into Inactive, Active, and Abnormal.

각 상태에 따라 단말 상태를 노랑, 녹색, 적색으로 표현하여 역시 웹 포탈을 통해 보여준다.The terminal state is expressed in yellow, green, and red according to each state, and is also displayed through the web portal.

위 그래프는 실제 malware인 Gold Miner를 실행해 보았을 때 나타나는 모습이다. The graph above appears when you run Gold Miner, the actual malware.

20:30부터 21:00까지 Gold Miner 응용프로그램을 실행 하여 플래이 하였으며 그 이후에도 서비스가 종료되지 않고 백그라운드에서 작동하여 계속해서 비정상으로 측정되는 것을 볼 수 있다. (Gold Miner 실행 중 잘못 detection 된 부분은 training set에 추가하여 현재 정상적으로 탐지되고 있음)You can run the Gold Miner application from 20:30 to 21:00 and play it. After that, you can see that the service continues to run in the background without being shut down and continues to measure abnormally. (Incorrectly detected part of running Gold Miner is added to training set and is currently detected normally)

이처럼 수집된 데이터는 1년 단위의 그래프까지 그릴 수 있도록 RRD 데이터베이스를 설계하였다. The RRD database was designed to draw the collected data up to a yearly graph.

추후 대량의 트레이닝 데이터를 확보하여 알고리즘을 학습시킬 경우 보다 정확한 탐지가 가능할 것으로 예상되며, 비정상 행동뿐만 아니라 응용프로그램별 profiling, 사용자별 profiling도 가능할 것으로 예상된다.It is expected that more accurate detection will be possible if the algorithm is learned by acquiring a large amount of training data in the future, and profiling by application and profiling by user as well as abnormal behavior are expected.

도 12 는 본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석 방법의 흐름도를 보여주는 도면이다.12 is a flowchart illustrating a virtual instance behavior analysis method in the cloud system of the present invention.

본원 발명의 클라우드 시스템에서의 가상 인스턴스 행동 분석은 non-production service node의 서버(100)에서 수행된다.Virtual instance behavior analysis in the cloud system of the present invention is performed at server 100 of a non-production service node.

통신 모듈을 통하여 클라우드 서비스를 제공하는 서버(110)에서 수집된 적어도 하나 이상의 상황 정보 (context)를 수신한다.Receive at least one context information (context) collected by the server 110 providing a cloud service through a communication module.

분석부(104)에서 상황 정보(context)의 기계 학습을 통하여 가상 인스턴스 (VI : Virtual Instance)의 상태를 분석한다.The analysis unit 104 analyzes the state of the virtual instance (VI) through machine learning of context information (context).

표시부(105)는 가상 인스턴스의 상태를 active, inactive, abnormal 상태로 구분하여 표시한다.The display unit 105 classifies the virtual instance into active, inactive, and abnormal states.

분석부(104)는 소정의 기계 학습 알고리즘을 통하여 기계 학습을 수행하는 기계 학습 엔진(Machine Learning Engine)을 포함하며,기계 학습 알고리즘은 SVM(Support Vector Machine), Random Forest 또는 베이시안 네트워크(Bayesian Network)등을 실시예로 들 수 있다.The analysis unit 104 includes a machine learning engine (Machine Learning Engine) for performing machine learning through a predetermined machine learning algorithm, the machine learning algorithm is SVM (Support Vector Machine), Random Forest or Bayesian Network And the like can be given as examples.

본원 발명에서의 가상 인스턴스의 행동 분석을 위한 상황 정보는 가상 인스턴스의 호스트 상황 정보 및 가상 인스턴스를 포함하여 클라우드 서비스를 제공하는 서버의 네트워크 상황 정보를 포함하여 분석 결과의 신뢰성을 높혔다.The context information for behavior analysis of the virtual instance in the present invention includes the host context information of the virtual instance and the network context information of the server providing the cloud service including the virtual instance, thereby increasing the reliability of the analysis result.

본원 발명에서의 행동 분석이 수행되는 가상 인스턴스는 복수개로 구성될 수 있고, 호스트 상황 정보는 각각의 가상 인스턴스에 포함된 에이전트(agent)에 의해 수집되고 동시에 상황 정보 수집 장치인 서버(110)의 자원 관리 도메인 영역의 에이피아이(API : Application Programming Interface)를 통하여 수집된다.In the present invention, a virtual instance in which behavior analysis is performed may be configured in plural, and the host context information is collected by an agent included in each virtual instance, and at the same time, a resource of the server 110 that is a context information collecting device. Collected through the API (Application Programming Interface) of the management domain area.

행동 분석을 위한 네트워크 상황 정보는 서버(110)의 유저 도메인 영역(Dom U)에 네트워크 상황 정보를 수집하는 분석용 가상 인스턴스를 생성하여,가상 인스턴스에서 발생하는 트래픽(traffic)의 분석용 가상 인스턴스에 미러링(Mirroring) 방법으로 네트워크 상황 정보를 수집한다.The network condition information for behavior analysis generates an analysis virtual instance that collects network condition information in a user domain area (Dom U) of the server 110, and applies the analysis to the virtual instance for analysis of traffic generated in the virtual instance. Collect network status information by mirroring method.

본원 발명의 가상 인스턴스 행동 분석에서 이용되는 호스트 상황 정보는 가상 인스턴스의 CPU 유저 사용량, 가상 인스턴스의 CPU 시스템 사용량, 가상 인스턴스의 사용 메모리량, 가상 인스턴스의 미사용 메모리량, 가상 인스턴스의 anonymous 메모리량, 가상 인스턴스의 동작 프로세스 수 및 가상 인스턴스의 프로세스 생성 횟수등을 실시예로 들 수 있다.The host situation information used in the virtual instance behavior analysis of the present invention includes the CPU user usage of the virtual instance, the CPU system usage of the virtual instance, the amount of memory used by the virtual instance, the amount of unused memory of the virtual instance, the amount of anonymous memory of the virtual instance, the virtual Examples include the number of operating processes of an instance and the number of process generations of a virtual instance.

본원 발명의 가상 인스턴스 행동 분석에서 이용되는 네트워크 상황 정보는 가상 인스턴스가 접속한 원격 호스트 수,가상 인스턴스가 발생시긴 플로우(flow) 수, 가상 인스턴스가 발생시킨 패킷 양, 가상 인스턴스가 발생시킨 트래픽의 양, 가상 인스턴스가 특정 포트로 발생시킨 트래픽의 양, 가상 인스턴스가 Well-known 포트로 발생시킨 트래픽의 양 및 가상 인스턴스가 상기 Well-known 포트가 아닌 포트로 발생시킨 트래픽의 양 등을 실시예로 들 수 있다.The network status information used in the virtual instance behavior analysis of the present invention includes the number of remote hosts connected to the virtual instance, the number of flows generated by the virtual instance, the amount of packets generated by the virtual instance, and the amount of traffic generated by the virtual instance. For example, the amount of traffic generated by the virtual instance to a specific port, the amount of traffic generated by the virtual instance to a well-known port, and the amount of traffic generated by the virtual instance to a port other than the well-known port are exemplified. Can be.

본원 발명에서의 행동 분석을 위한 가상 인스턴스, 가상 머신은 모바일 단말을 가상화한 모바일 가상 인스턴스이며, 클라우드 서비스는 모바일 클라우드 서비스가 될 수 있다.In the present invention, the virtual instance for the behavior analysis, the virtual machine is a mobile virtual instance virtualized a mobile terminal, the cloud service may be a mobile cloud service.

이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.As described above, optimal embodiments have been disclosed in the drawings and the specification. Although specific terms have been employed herein, they are used for purposes of illustration only and are not intended to limit the scope of the invention as defined in the claims or the claims. Therefore, those skilled in the art will appreciate that various modifications and equivalent embodiments are possible without departing from the scope of the present invention. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

Claims (22)

적어도 하나 이상의 상황 정보(context)의 기계 학습을 통하여 가상 인스턴스 (VI : Virtual Instance)의 상태를 분석하는 분석부; 및
상기 가상 인스턴스의 상태를 표시하는 표시부;를 포함하는 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치.An analysis unit for analyzing a state of a virtual instance (VI) through machine learning of at least one context information; And
And a display unit for displaying the state of the virtual instance. 제 1 항에 있어서, 상기 상황 정보는
클라우드 서비스를 제공하는 서버에서 수집되는 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치.The method of claim 1, wherein the situation information
Virtual instance behavior analysis device in the cloud system, characterized in that collected in the server providing a cloud service. 제 2 항에 있어서,
상기 서버로부터 상기 상황 정보를 수신하는 수신부;를 더 포함하는 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치.3. The method of claim 2,
Virtual instance behavior analysis device in the cloud system further comprises; receiving unit for receiving the situation information from the server. 제 1 항에 있어서, 상기 분석부는
소정의 기계 학습 알고리즘을 통하여 상기 기계 학습을 수행하는 기계 학습 엔진(Machine Learning Engine)을 포함하는 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치.The method of claim 1, wherein the analysis unit
And a machine learning engine (Machine Learning Engine) for performing the machine learning through a predetermined machine learning algorithm. 제 4 항에 있어서, 상기 기계 학습 알고리즘은
SVM(Support Vector Machine), Random Forest 또는 베이시안 네트워크(Bayesian Network) 중 어느 하나인 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치.The method of claim 4, wherein the machine learning algorithm
Virtual instance behavior analysis device in a cloud system, characterized in that any one of SVM (Support Vector Machine), Random Forest or Bayesian Network. 제 1 항에 있어서, 상기 상황 정보는
상기 가상 인스턴스의 호스트 상황 정보 및 상기 가상 인스턴스를 포함하여 클라우드 서비스를 제공하는 서버의 네트워크 상황 정보를 포함하는 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치.The method of claim 1, wherein the situation information
Virtual situation behavior analysis device in the cloud system, characterized in that it comprises the host context information of the virtual instance and the network context information of the server providing a cloud service including the virtual instance. 제 6 항에 있어서,
상기 가상 인스턴스는 복수개인것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치.The method according to claim 6,
Virtual instance behavior analysis device in the cloud system, characterized in that the plurality of virtual instances. 제 7 항에 있어서,상기 호스트 상황 정보는
각각의 상기 가상 인스턴스에 포함된 에이전트(agent)에 의해 수집되고 동시에 상기 서버의 자원 관리 도메인 영역의 에이피아이(API : Application Programming Interface)를 통하여 수집되는 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치.The method of claim 7, wherein the host context information is
Virtual instance behavior analysis in cloud system, characterized in that collected by the agent (agent) included in each of the virtual instance and at the same time through the API (Application Programming Interface) of the resource management domain area of the server Device. 제 6 항에 있어서,
상기 서버의 유저 도메인 영역에 상기 네트워크 상황 정보를 수집하는 분석용 가상 인스턴스;를 더 포함하고,
상기 가상 인스턴스에서 발생하는 트래픽(traffic)의 상기 분석용 가상 인스턴스에 미러링(Mirroring) 방법으로 상기 네트워크 상황 정보를 수집하는 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치.The method according to claim 6,
And a virtual instance for analysis collecting the network status information in the user domain area of the server.
The virtual instance behavior analysis device in the cloud system, characterized in that for collecting the network status information in a mirroring (Mirroring) method to the analysis virtual instance of the traffic (traffic) generated in the virtual instance. 제 6 항에 있어서, 상기 호스트 상황 정보는
상기 가상 인스턴스의 CPU 유저 사용량, 상기 가상 인스턴스의 CPU 시스템 사용량, 상기 가상 인스턴스의 사용 메모리량, 상기 가상 인스턴스의 미사용 메모리량, 상기 가상 인스턴스의 anonymous 메모리량, 상기 가상 인스턴스의 동작 프로세스 수 및 상기 가상 인스턴스의 프로세스 생성 횟수 중 적어도 어느 하나 이상인 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치.7. The method of claim 6, wherein the host context information is
CPU user usage of the virtual instance, CPU system usage of the virtual instance, amount of memory used of the virtual instance, amount of unused memory of the virtual instance, amount of anonymous memory of the virtual instance, number of operating processes of the virtual instance and the virtual Virtual instance behavior analysis device in the cloud system, characterized in that at least one or more of the number of process generation of the instance. 제 6 항에 있어서, 상기 네트워크 상황 정보는
상기 가상 인스턴스가 접속한 원격 호스트 수, 상기 가상 인스턴스가 발생시긴 플로우(flow) 수, 상기 가상 인스턴스가 발생시킨 패킷 양, 상기 가상 인스턴스가 발생시킨 트래픽의 양, 상기 가상 인스턴스가 특정 포트로 발생시킨 트래픽의 양, 상기 가상 인스턴스가 Well-known 포트로 발생시킨 트래픽의 양 및 상기 가상 인스턴스가 상기 Well-known 포트가 아닌 포트로 발생시킨 트래픽의 양 중 적어도 어느 하나 이상인 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치.The method of claim 6, wherein the network status information is
The number of remote hosts to which the virtual instance is connected, the number of flows that the virtual instance has generated, the amount of packets generated by the virtual instance, the amount of traffic generated by the virtual instance, and the virtual instance generated by a specific port. At least one of the amount of traffic, the amount of traffic generated by the virtual instance to a well-known port, and the amount of traffic generated by the virtual instance to a port other than the well-known port. Virtual Instance Behavior Analysis Device. 제 2 항에 있어서, 상기 가상 인스턴스는
모바일 가상 인스턴스이며, 상기 클라우드 서비스는 모바일 클라우드 서비스인 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 장치.The method of claim 2, wherein the virtual instance is
And a mobile virtual instance, wherein the cloud service is a mobile cloud service. 클라우드 서비스를 제공하는 서버에서 수집된 적어도 하나 이상의 상황 정보 (context)를 수신하는 상황정보 수신단계;
상기 상황 정보(context)의 기계 학습을 통하여 가상 인스턴스 (VI : Virtual Instance)의 상태를 분석하는 분석 단계; 및
상기 가상 인스턴스의 상태를 표시하는 표시 단계;를 포함하는 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 방법.A context information receiving step of receiving at least one context information collected from a server providing a cloud service;
An analysis step of analyzing a state of a virtual instance (VI) through machine learning of the context information; And
And displaying the status of the virtual instance. 제 13 항에 있어서, 상기 분석 단계는
소정의 기계 학습 알고리즘을 통하여 상기 기계 학습을 수행하는 기계 학습 엔진(Machine Learning Engine)을 포함하는 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 방법.The method of claim 13, wherein said analyzing step
And a machine learning engine (Machine Learning Engine) for performing the machine learning through a predetermined machine learning algorithm. 제 14 항에 있어서, 상기 기계 학습 알고리즘은
SVM(Support Vector Machine), Random Forest 또는 베이시안 네트워크(Bayesian Network) 중 어느 하나인 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 방법.15. The system of claim 14, wherein the machine learning algorithm
Method for analyzing virtual instance behavior in a cloud system, characterized in that it is any one of a support vector machine (SVM), a random forest, or a bayesian network. 제 13 항에 있어서, 상기 상황 정보는
상기 가상 인스턴스의 호스트 상황 정보 및 상기 가상 인스턴스를 포함하여 클라우드 서비스를 제공하는 서버의 네트워크 상황 정보를 포함하는 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 방법.The method of claim 13, wherein the situation information
And host context information of the virtual instance and network context information of a server providing a cloud service including the virtual instance. 제 16 항에 있어서,
상기 가상 인스턴스는 복수개인것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 방법.17. The method of claim 16,
Virtual instance behavior analysis method in the cloud system, characterized in that the plurality of virtual instances. 제 17 항에 있어서,상기 호스트 상황 정보는
각각의 상기 가상 인스턴스에 포함된 에이전트(agent)에 의해 수집되고 동시에 상기 서버의 자원 관리 도메인 영역의 에이피아이(API : Application Programming Interface)를 통하여 수집되는 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 방법.The method of claim 17, wherein the host context information is
Virtual instance behavior analysis in cloud system, characterized in that collected by the agent (agent) included in each of the virtual instance and at the same time through the API (Application Programming Interface) of the resource management domain area of the server Way. 제 16 항에 있어서,
상기 서버의 유저 도메인 영역에 상기 네트워크 상황 정보를 수집하는 분석용 가상 인스턴스;를 더 포함하고,
상기 가상 인스턴스에서 발생하는 트래픽(traffic)의 상기 분석용 가상 인스턴스에 미러링(Mirroring) 방법으로 상기 네트워크 상황 정보를 수집하는 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 방법.17. The method of claim 16,
And a virtual instance for analysis collecting the network status information in the user domain area of the server.
And analyzing the network condition information in a mirroring method to the analysis virtual instance of traffic generated in the virtual instance. 제 16 항에 있어서, 상기 호스트 상황 정보는
상기 가상 인스턴스의 CPU 유저 사용량, 상기 가상 인스턴스의 CPU 시스템 사용량, 상기 가상 인스턴스의 사용 메모리량, 상기 가상 인스턴스의 미사용 메모리량, 상기 가상 인스턴스의 anonymous 메모리량, 상기 가상 인스턴스의 동작 프로세스 수 및 상기 가상 인스턴스의 프로세스 생성 횟수 중 적어도 어느 하나 이상인 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 방법.The method of claim 16, wherein the host context information is
CPU user usage of the virtual instance, CPU system usage of the virtual instance, amount of memory used of the virtual instance, amount of unused memory of the virtual instance, amount of anonymous memory of the virtual instance, number of operating processes of the virtual instance and the virtual Virtual instance behavior analysis method in the cloud system, characterized in that at least one or more of the number of process generation of the instance. 제 16 항에 있어서, 상기 네트워크 상황 정보는
상기 가상 인스턴스가 접속한 원격 호스트 수, 상기 가상 인스턴스가 발생시긴 플로우(flow) 수, 상기 가상 인스턴스가 발생시킨 패킷 양, 상기 가상 인스턴스가 발생시킨 트래픽의 양, 상기 가상 인스턴스가 특정 포트로 발생시킨 트래픽의 양, 상기 가상 인스턴스가 Well-known 포트로 발생시킨 트래픽의 양 및 상기 가상 인스턴스가 상기 Well-known 포트가 아닌 포트로 발생시킨 트래픽의 양 중 적어도 어느 하나 이상인 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 방법.The method of claim 16, wherein the network status information
The number of remote hosts to which the virtual instance is connected, the number of flows that the virtual instance has generated, the amount of packets generated by the virtual instance, the amount of traffic generated by the virtual instance, and the virtual instance generated by a specific port. At least one of the amount of traffic, the amount of traffic generated by the virtual instance to a well-known port, and the amount of traffic generated by the virtual instance to a port other than the well-known port. Virtual instance behavior analysis method. 제 13 항에 있어서, 상기 가상 인스턴스는
모바일 가상 인스턴스이며, 상기 클라우드 서비스는 모바일 클라우드 서비스인 것을 특징으로 하는 클라우드 시스템에서의 가상 인스턴스 행동 분석 방법.The method of claim 13, wherein the virtual instance is
And a mobile virtual instance, wherein the cloud service is a mobile cloud service.
KR1020120022880A 2012-03-06 2012-03-06 Virtual Instances Behavior analysis apparatus and method in Cloud systems KR101320386B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120022880A KR101320386B1 (en) 2012-03-06 2012-03-06 Virtual Instances Behavior analysis apparatus and method in Cloud systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120022880A KR101320386B1 (en) 2012-03-06 2012-03-06 Virtual Instances Behavior analysis apparatus and method in Cloud systems

Publications (2)

Publication Number Publication Date
KR20130101832A true KR20130101832A (en) 2013-09-16
KR101320386B1 KR101320386B1 (en) 2013-10-23

Family

ID=49451827

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120022880A KR101320386B1 (en) 2012-03-06 2012-03-06 Virtual Instances Behavior analysis apparatus and method in Cloud systems

Country Status (1)

Country Link
KR (1) KR101320386B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150134717A (en) * 2014-05-22 2015-12-02 엔트릭스 주식회사 System for servicing cloud streaming, method of servicing cloud streaming and server for the same

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102010442B1 (en) * 2018-06-04 2019-08-13 주식회사 이노그리드 Total monitoring method and system for cloud virtual machines
KR102181625B1 (en) * 2019-11-20 2020-11-23 주식회사 이노그리드 Real time monitoring system and method for multi cloud

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150134717A (en) * 2014-05-22 2015-12-02 엔트릭스 주식회사 System for servicing cloud streaming, method of servicing cloud streaming and server for the same

Also Published As

Publication number Publication date
KR101320386B1 (en) 2013-10-23

Similar Documents

Publication Publication Date Title
Roschke et al. Intrusion detection in the cloud
US10594714B2 (en) User and entity behavioral analysis using an advanced cyber decision platform
Milenkoski et al. Evaluating computer intrusion detection systems: A survey of common practices
US10375101B2 (en) Computer implemented techniques for detecting, investigating and remediating security violations to IT infrastructure
KR101059199B1 (en) A cloud computing enterprise security management system and a method thereof
US9588821B2 (en) Automatic determination of required resource allocation of virtual machines
US9354960B2 (en) Assigning virtual machines to business application service groups based on ranking of the virtual machines
Simpson et al. Assessing the impact of intra-cloud live migration on anomaly detection
US20140075557A1 (en) Streaming Method and System for Processing Network Metadata
US9542213B2 (en) Method and system for identifying virtualized operating system threats in a cloud computing environment
WO2022035454A1 (en) Opentelemetry security extensions
CA2897664A1 (en) An improved streaming method and system for processing network metadata
Kim et al. Monitoring and detecting abnormal behavior in mobile cloud infrastructure
TW202009764A (en) Cyber breach diagnostics system for use in diagnosing whether target network system is breached by cyber attack
CN102624721B (en) Feature code verification platform system and feature code verification method
CN112306802A (en) Data acquisition method, device, medium and electronic equipment of system
KR101320386B1 (en) Virtual Instances Behavior analysis apparatus and method in Cloud systems
KR102088308B1 (en) Cloud security analysing apparatus, apparatus and method for management of security policy based on nsfv
Borges et al. Towards a hybrid intrusion detection system for android-based PPDR terminals
Fetjah et al. Toward a big data architecture for security events analytic
KR102343501B1 (en) Security System for Cloud Service Based on Machine Learning
KR101454838B1 (en) Cloud enterprise security management system for interworking of Hypervisor-based virtual network and host intrusion prevention system
JP2017199250A (en) Computer system, analysis method of data, and computer
JP2013121008A (en) Attack countermeasure device, attack countermeasure method, and attack countermeasure program
Go et al. An SDN/NFV-enabled architecture for detecting personally identifiable information leaks on network traffic

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161005

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170921

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20181001

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190903

Year of fee payment: 7