KR101587959B1 - 서버측 멀티 타깃 침입을 검출하기 위한 크로스 사용자 상관관계 - Google Patents

서버측 멀티 타깃 침입을 검출하기 위한 크로스 사용자 상관관계 Download PDF

Info

Publication number
KR101587959B1
KR101587959B1 KR1020147036969A KR20147036969A KR101587959B1 KR 101587959 B1 KR101587959 B1 KR 101587959B1 KR 1020147036969 A KR1020147036969 A KR 1020147036969A KR 20147036969 A KR20147036969 A KR 20147036969A KR 101587959 B1 KR101587959 B1 KR 101587959B1
Authority
KR
South Korea
Prior art keywords
data center
user
operational
attack
events
Prior art date
Application number
KR1020147036969A
Other languages
English (en)
Other versions
KR20150015537A (ko
Inventor
이제키엘 크룩릭
Original Assignee
엠파이어 테크놀로지 디벨롭먼트 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 filed Critical 엠파이어 테크놀로지 디벨롭먼트 엘엘씨
Publication of KR20150015537A publication Critical patent/KR20150015537A/ko
Application granted granted Critical
Publication of KR101587959B1 publication Critical patent/KR101587959B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computational Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Artificial Intelligence (AREA)
  • Algebra (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

많은 사용자 및/또는 배치 전역에서 데이터센터의 가상 머신 내의 시간 관련 운영 이벤트를 위한 기술이 일반적으로 설명된다. 일부 예시에서, 운영 이벤트의 상관관계는 대규모 해킹 공격을 나타낼 수 있는 반복되는 일반적이지 않은 이벤트의 합류점의 검출을 가능하게 하고, 이에 의해 네트워크 시그니처가 결여된 공격이 검출되는 것을 허용한다. 공격의 검출은 감염된 시스템의 복구를 그리고 취약점이 분석되거나 복구되기 전에 추가적인 해킹을 방지하는 것을 또한 허용할 수 있다.

Description

서버측 멀티 타깃 침입을 검출하기 위한 크로스 사용자 상관관계{CROSS-USER CORRELATION FOR DETECTING SERVER-SIDE MULTI-TARGET INTRUSION}
여기에서 달리 지적되지 않는다면, 본 섹션에서 설명되는 내용은 본 출원에서 청구범위에 대한 종래 기술이 아니며, 본 섹션에 포함함으로써 선행 기술로 인정되지 않는다.
일부 데이터센터 공격은 취약점(vulnerability)이 패치되기 전에 수천 명의 고객을 위태롭게 하기 위한 상대적으로 현재의 취약점 또는 제로 데이(zero-day)의 급속한 사용에 의해 특징될 수 있다. 공표된 타협(publicized compromise)의 대부분이 웹 호스트에서 있을 수 있는 한편, 제로 데이 착취(zero-day exploit)는 데이터센터에서 또한 검출되어 왔다. 이러한 착취 중 일부는 며칠 내에 고정될 수 있고, 다른 것은 몇 달을 취할 수 있으며, 전문적인 해커는 일반적으로 가능한 한 빠르게 수천 개의 타깃(사이트, 사용자, 계정)을 위태롭게 하기 위해 취약점을 사용하기 위한 시도를 함으로써 더 빠른 응답을 계획한다. 클라우드 서비스에 대한 시장이 커지고 고객 수요를 수용하기 위하여 그들의 서버 카운트를 대량으로 확장함에 따라, 제로 데이 공격을 통한 해커에 의한 뱃치 착취(batch exploitation)는 계속적으로 문제가 될 수 있다. 그러나, 종래의 침입 결정 시스템은 그러한 제로 데이 공격을 검출하는 것이 가능하지 않을 수 있다.
제로 데이 공격에 관한 다른 어려움은 종래의 컨텐츠 또는 패턴 스캐닝에 의해 검출되지 않는다는 점이다. 발견적 침입 결정(heuristic intrusion detection)이 많은 환경에서 시연되어 왔으나, 통상적으로 많은 긍정 오류(false positive)를 생성하여 잘 스케일(scale)하지 않고 데이터센터 사용에 대한 금지하는 스태프 레벨을 요구할 수 있다. 또한, 발견적 침입 결정은 커맨드 기초 핵(hack)(세션 또는 터미널 핵)을 검출하지 않을 수 있고, 네트워크 트래픽 기반 스캐닝이 더 가능할 수 있다.
본 개시는, 서버측 멀티 멀티 타깃 침입을 검출하기 위한 크로스 사용자 상관관계(cross-user correlation)에 관련된 기술을 일반적으로 설명한다.
일부 예시적인 실시예에 따라, 크로스 사용자 상관관계를 통한 서버측 멀티 타깃 침입을 검출하기 위한 방법은 데이터센터의 사용자와 연관된 낮은 확률 운영 이벤트(administrative event)를 검출하는 단계, 복수의 사용자 및/또는 배치(deployment) 전역에서 데이터센터의 가상 머신 내의 운영 이벤트의 합류점(confluence)을 모니터링하는 단계 및 운영 이벤트가 미리 결정된 확률 기준치보다 더 높은 레벨에서 복수의 배치 및/또는 사용자 전역에서 검출되면, 운영 이벤트를 공격으로 분류하는 단계를 포함할 수 있다.
다른 예시적인 실시예에 따라, 크로스 사용자 상관관계를 통해 서버측 멀티 타깃 침입을 검출하도록 구성되는 클라우드 기반 데이터센터는 하나 이상의 물리적인 머신 상에서 실행되는 것이 가능한 복수의 가상 머신, 복수의 가상 머신으로의 액세스를 제공하고 관찰된 이벤트의 리스트에 기초하여 사용자와 연관된 낮은 확률 운영 이벤트를 검출하도록 구성되는 가상 머신 모니터 및 복수의 사용자 및/또는 배치 전역에서 데이터센터의 가상 머신 내의 운영 이벤트의 합류점을 모니터링하고, 운영 이벤트가 미리 결정된 확률 기준치보다 높은 레벨에서 복수의 배치 및/또는 사용자 전역에서 검출되면, 운영 이벤트를 공격으로 분류하도록 구성되는 데이터센터 컨트롤러를 포함할 수 있다.
추가적인 예시적인 실시예에 따라, 컴퓨터 판독가능 저장 매체는 크로스 사용자 상관관계를 통해 서버측 멀티 타깃 침입을 검출하기 위한 명령어를 저장할 수 있다. 명령어는 데이터센터의 사용자와 연관된 낮은 확률 운영 이벤트를 검출하는 것, 복수의 배치 및/또는 사용자 전역에서 데이터센터의 가상 머신 내의 운영 이벤트의 합류점을 모니터링하는 것 및 운영 이벤트가 미리 결정된 확률 기준치보다 더 높은 레벨에서 복수의 배치 및/또는 사용자 전역에서 검출되는 경우, 운영 이벤트를 공격으로 분류하는 것을 포함할 수 있다.
이상의 요약은 단순히 예시적인 것으로서 어떠한 방식으로든 제한적으로 의도된 것이 아니다. 이하의 상세한 설명과 도면을 참조함으로써, 상기 설명된 예시적인 양태, 실시예, 그리고 특징에 더하여, 추가적인 양태, 실시예, 그리고 특징 또한 명확해질 것이다.
본 개시의 전술한 특징 및 다른 특징은 첨부 도면과 결합하여, 다음의 설명 및 첨부된 청구범위로부터 더욱 충분히 명백해질 것이다. 이들 도면은 본 개시에 따른 단지 몇 개의 예시를 묘사할 뿐이고, 따라서, 본 개시의 범위를 제한하는 것으로 고려되어서는 안 될 것임을 이해하면서, 본 개시는 첨부 도면의 사용을 통해 더 구체적이고 상세하게 설명될 것이다.
도 1은 예시적인 데이터센터를 도시하고, 크로스 사용자 상관관계가 서버측 멀티 타깃 침입을 검출하기 위해 사용될 수 있고,
도 2는 크로스 사용자 상관관계 기반 서버측 멀티 타깃 침입의 검출에서의 주요 행위자를 개념적으로 도시하고,
도 3은 액세스 로그를 사용하는 이상(anormaly) 기반 검출 시스템을 도시하고,
도 4는 가상 머신 모니터(하이퍼바이저)에 의한 크로스 사용자 상관관계가 어떻게 서버측 멀티 타깃 침입을 검출하도록 사용될 수 있는지 도시하고,
도 5는 크로스 사용자 상관관계 기반 서버측 멀티 타깃 침입의 검출을 구현하도록 사용될 수 있는, 범용 컴퓨팅 장치를 도시하고,
도 6은 도 5의 장치와 같은 컴퓨팅 장치에 의해 수행될 수 있는 예시적인 방법을 도시하는 흐름도이고,
도 7은 예시적인 컴퓨터 프로그램 제품의 블록도를 도시하고, 모두 여기에서 기술된 적어도 일부 실시예에 따라 배열된다.
이하의 상세한 설명에서 본 개시의 일부를 이루는 첨부된 도면이 참조된다. 문맥에서 달리 지시하고 있지 않은 한, 통상적으로, 도면에서 유사한 부호는 유사한 컴포넌트를 나타낸다. 상세한 설명, 도면, 그리고 청구범위에 설명되는 예시적인 실시예는 제한적으로 여겨지지 않는다. 본 개시에서 제시되는 대상의 범위 또는 사상에서 벗어나지 않으면서도 다른 실시예가 이용되거나, 다른 변경이 이루어질 수 있다. 여기에서 일반적으로 설명되고, 도면에 도시되는 본 개시의 양태는 다양한 다른 구성으로 배열, 대체, 조합, 분리 및 설계될 수 있음과 이 모두가 여기에서 명시적으로 고려됨이 기꺼이 이해될 것이다.
본 개시는, 그 중에서도, 서버측 멀티 타깃 침입을 검출하기 위한 크로스 사용자 상관관계에 관련된 방법, 장치, 시스템, 기기 및/또는 컴퓨터 판독가능 매체에 일반적으로 관련된다.
간략하게 기술하여, 많은 배치 및 사용자 전역에서 가상 머신 내의 시간 관련 운영 이벤트를 위한 기술이 제시된다. 운영 이벤트의 상관관계는 대규모 해킹 공격을 나타낼 수 있는 반복된 예외적인 이벤트의 합류점의 검출을 가능하게 하고, 이에 의해 네트워크 시그니처가 없는 공격이 검출되는 것을 허용한다. 공격의 검출은 감염된 시스템의 복구를, 그리고 취약점이 분석되거나 복구되기 전에 추가적인 해킹의 예방을 또한 허용한다.
여기에서 사용된 데이터센터는, 다음에는, 복수의 사용자(실제는 고객 및 사용자의 수는 수천 또는 수만 명일 수 있음)에게 데이터센터를 통해 서비스를 제공할 수 있는, 복수의 고객에게 서비스를 제공한다. 각각의 고객은 웹 애플리케이션, 데이터 관리 툴 등과 같은 서비스를 위한 배치로 생각될 수 있다. 그러므로, 배치는 하나 이상의 사용자에 관련될 수 있다. 여기에서 기술된 운영 이벤트는 특권의 승격(elevation of privileges)(예컨대, 더 높거나 슈퍼-사용자 특권을 부여하는 이벤트), 가상 머신에서의 실행가능(executable)의 대체, 사용자 상태 또는 사용자 상태와 연관된 파일에 대한 변화, 사용자와 연관된 데이터 파일에 대한 변화, 전송(transfer), 업데이트 상태(예컨대, 예상된 자동 업데이팅의 결여), 예외적인 포트 또는 하드웨어 사용, 또는 비교할만한 데이터센터 이벤트를 포함하지만, 이에 제한되는 것은 아니다.
도 1은, 여기에서 기술된 적어도 일부 실시예에 따라 배열된, 예시적인 데이터센터를 도시하고, 크로스 사용자 상관관계가 서버측 멀티 타깃 침입을 검출하기 위해 사용될 수 있다.
도표(100)에 도시된 바와 같이, 물리적인 데이터센터(102)는 하나 이상의 물리적인 서버(110, 111 및 113)를 포함할 수 있고, 이들 각각은 하나 이상의 가상 머신(104)을 제공하도록 구성될 수 있다. 예컨대, 물리적인 서버(111 및 113)는 네 개의 가상 머신 및 두 개의 가상 머신을 각각 제공하도록 구성될 수 있다. 일부 실시예에서, 하나 이상의 가상 머신은 하나 이상의 가상 데이터센터로 조합될 수 있다. 예컨대, 서버(111)에 의해 제공되는 네 개의 가상 머신은 가상 데이터센터(112)로 조합될 수 있다. 가상 머신(104) 및/또는 가상 데이터센터(112)는 클라우드(106)를 통해 개인 사용자 또는 기업 고객과 같은 고객(108)의 그룹으로 다양한 애플리케이션, 데이터 스토리지, 데이터 프로세싱 또는 유사한 것과 같은 클라우드 관련 데이터/컴퓨팅 서비스를 제공하도록 구성될 수 있다.
데이터센터는, 그들이 큰 집단 전역에서 다양한 사용자의 특정 시스템 호출을 모니터할 수 있는 능력을 갖는 가상 머신 모니터(하이퍼바이저)를 갖는다는 점에서 핵 공격을 검출하기 위한 발견적 검출 방법을 통한 잠재적인 이점을 갖는다. 여기에서 기술된, 일부 실시예에 따른 시스템은 공격 움직임(attack wave)의 제1 순간 동안 새로운 취약점 공격을 검출함에 있어 하이퍼바이저를 이용할 수 있다.
도 2는, 여기에서 기술된 적어도 일부 실시예에 따라 배열된, 서버측 멀티 타깃 침입의 크로스 사용자 상관관계 기반 검출에서의 주요 행위자를 개념적으로 도시한다. 도표(200)에 도시되는 바와 같이, 데이터센터(202)(도 1의 가상 데이터센터(112) 또는 물리적인 데이터센터(102)에 유사함)는 하나 이상의 고객(208)(도 1의 고객(108)에 유사함)에게 클라우드 관련 데이터/컴퓨팅 서비스를 제공할 수 있다. 공격자(222)는 예컨대, 데이터센터를 직접적으로 공격함으로써 또는 고객(208) 중 하나 이상을 통해 공격함으로써(예컨대, 데이터센터(202)를 위태롭게 하기 위해 고객 계정을 해킹하고 그 계정을 사용함으로써), 데이터센터(202)에 의해 제공되는 서비스 또는 데이터센터(202) 상에 저장된 데이터로의 액세스를 회득하고자 할 수 있다.
종래의 패턴 기반 및 발견적 검출 기법은 DDOS(distributed denial-of-service) 공격과 같은 알려진 컨텐츠 또는 트래픽 패턴의 검출을 이용한다. 여기에서 기술된 실시예에 따른 시스템은 스턱스넷(Stuxnet) 및 두큐(Duqu)와 같은 검출 가능하지 않은 공격 형식을 미리 검출하고 취약점이 결정되기 전에 제로 데이 공격을 멈추고 복구할 수 있는 복구 및 예방 전략을 가능하게 하는 것이 가능할 수 있다. 특히, 일부 실시예에 따른 검출 기법은 잠재적으로 데이터센터에 대한 가장 평판 있는 위험인 데이터센터 대규모 공격을 좌절시킬 수 있다.
도 3은, 여기에서 기술된 적어도 일부 실시예에 따라 배열된, 액세스 로그를 사용하는 이상 기반 검출 시스템을 도시한다. 도표(300)에 도시된 바와 같이, 시스템은 블록(332)의 액세스 로그 데이터베이스로부터의 정보에 기초하여 하나 이상의 네트워크 이벤트를 수집할 수 있다. 하나 이상의 네트워크 이벤트가 검출되면, 블록(334)에서 시스템은 네트워크 이벤트가 정상인지 이상(anomalous)인지 결정할 수 있다. 일부 실시예에서, 결정은 이벤트가 어떻게 전체 네트워크 트래픽, 시스템 안정성 및/또는 전달 서비스에 대한 시스템의 능력에 영향을 끼치는지에 기초하여 이루어질 수 있다.
시스템이 이벤트가 정상이라고 결정하면, 블록(342)에서, 시스템은 이벤트가 진행되는 것을 허용하고, 이후 블록(332)로 되돌아 올 수 있다. 한편, 시스템이 이벤트 중 하나 이상이 이상이라고 결정하는 경우, 블록(336)에서, 시스템은 검출된 이상인 이벤트를 분석하여 처음에 이상인 특징(예컨대, 네트워크 트래픽 패턴)을 결정하여 모으고 이후 이상인 특징이 임의의 이전에 발견된 그리고 특징지어진 이상 중 어느 것과 매치되는지 결정할 수 있다. 이상인 특징이 임의의 이전에 발견된/특징지어진 이상 중 어느 것과 매치되지 않는 경우, 블록(338)에서, 시스템은 이상인 특징에 기초하여 하나 이상의 시그니처를 생성할 수 있고, 이후 블록(346)에서, 시스템은 이상인 특징에 의해 특징 지어진 공격의 유형 또는 클래스를 추론할 수 있다. 예컨대, 이상인 특징이 많은 수의 소스로부터 빠른 연속(succession)에서 수신된 복수의 질의를 포함하는 경우, 시스템은 이상인 특징이 DOS(denial-of-service) 공격을 나타낸다고 추론할 수 있다.
후속적으로, 시스템은 블록(336)에서 미래의 이상 집합(anomaly aggregation)에서의 사용을 위해 생성되고 분류된 시그니처를 제공할 수 있고, 뿐만 아니라 최초 그룹 이벤트를 생성할 수 있다. 분류된 시그니처에 매치되는 후속적인 이상인 이벤트가 블록(336)에서 검출되는 경우, 블록(344)에서 이러한 이상인 이벤트는 최초 그룹 이벤트로 추가될 수 있고 하나 이상의 그룹핑된 알림이 사용자 및/또는 시스템 운영자로 전송될 수 있다.
도 3에 기술된 시스템은, 특정 네트워크 침입 이벤트를 검출하기 위해 유용한 한편, 전체 네트워크 트래픽에 영향을 끼치는 DOS 공격, 웜(worm) 또는 다른 것들과 같은 대규모의 네트워크 공격을 검출하는 데에 사용되는 네트워크 데이터를 일반적으로 수집한다. 특히, 도 3에 기술된 시스템은 공격 검출을 네트워크 트래픽 특징 및 시그니처에 기초하므로, 트래픽 시그니처를 가지지 않는 해킹 공격(예컨대, 버퍼 오버플로우(buffer overflow)를 사용하고 사용자 실행가능을 대체하는 스크립트된 공격)을 갖지 않는 해킹 공격은 검출되지 않을 수 있다.
그러나, 데이터센터에서, 크로스 사용자 또는 크로스 배치 이벤트 상관관계는 트래픽 시그니처가 결여된 해킹 공격을 검출하기 위해 특정 데이터센터 특성(trait)를 이용하는 것이 가능할 수 있다. 예컨대, 많은 데이터센터에서, 머신 내부의 슈퍼 사용자 부가 또는 허가 변화(permission change)와 같은 작동상 커맨드는 가상 머신 모니터(또한 "하이퍼바이저"로 알려짐)에게 가시적일 수 있고, 이러한 커맨드는 사용자(수천에 이를 수 있음) 및 배치 전역에서 모일 수 있다. 크로스 배치/크로스 사용자 상관관계를 사용하는 서버 침입 시스템은, 그렇지 않은 경우 도 3에 기술된 것과 같은 종래의 시스템에 의해 검출되지 않을 수 있는 공격의 클래스를 검출하는 것이 가능할 수 있다. 예컨대, 커맨드 기반 제로 데이 공격은, 사용자 상태 또는 허가를 수정하는 특권 승격 이벤트(예컨대, 유닉스 시스템(Unix system)에서 실행 가능과 연관된 setuid 플래그의 수정과 같은, 더 높거나 슈퍼 사용자 특권을 부여하는 이벤트)에 의존할 수 있다. 그러나, 이러한 이벤트는, 일반적인 사용자가 가끔 이러한 특권 승격 이벤트를 수행하기 위한 능력을 또한 필요로 할 수 있으므로 완전히 막힐 수 없다. 이러한 이벤트를 모니터하도록 구성된 종래의 침입 시스템은 많은 오류 알림을 생성할 수 있는 반면, 크로스 배치/크로스 사용자 상관관계를 사용하는 침입 시스템은 이벤트가 복수의 배치/사용자 전역에서 검출되는 경우에만 알림을 생성할 수 있으므로 이는 실제적인 알림에 더 가까울 수 있다.
도 4는, 여기에서 기술되는 적어도 일부 실시예에 따라 배열된, 가상 머신 모니터(하이퍼바이저)에 의한 크로스 사용자 상관관계가 어떻게 서버측 멀티 타깃 침입을 검출하도록 사용될 수 있는지 도시한다. 도표(400)에 도시된 바와 같이, 하나 이상의 가상 머신 모니터 또는 하이퍼바이저(450)는 관찰된 이벤트의 리스트(452)를 각각 가질 수 있다. 일부 실시예에서, 관찰된 이벤트는 특권의 승격(예컨대, 더 높거나 슈퍼 사용자 승격을 부여하는 이벤트), 가상 머신 내의 실행 가능의 대체, 사용자 상태와 연관된 사용자 상태 또는 파일에 대한 변화, 사용자와 연관된 데이터 파일에 대한 변화 또는 임의의 다른 운영 이벤트를 포함할 수 있다. 감시(observation)는 각각의 가상 머신의 운영 환경에 추가된 프로그램 또는 요소를 또한 통할 수 있다. 그것은 일부 경우에서 다른 목적을 위해 사용되는 모니터링 전략이다. 하이퍼바이저(450)가 리스트(452) 상에서 이벤트의 발생을 검출하는 경우, 하이퍼바이저(450)는, 중요한 및/또는 통계적으로 일반적이지 않은 운영 이벤트(예컨대, 관찰된 이벤트 의 리스트(452) 상의 이벤트)를 저장할 수 있는 이벤트 데이터베이스(454)에 발생을 보고할 수 있다. 이벤트 데이터베이스(454)는 이후 블록(456)에서 중요한/일반적이지 않은 운영 이벤트의 그룹핑을 결정하기 위해 크로스 배치/크로스 사용자 시간 상관관계에 대한 대상이 될 수 있고, 상관관계의 결과에 기초하여, 블록(458)에서, 가능한 대규모 공격 알림이 신호될 수 있다. 예컨대, 검출된 이벤트의 수, 빈도 및/또는 분포가 미리 정의된 확률 기준치를 초과하는 경우, 운영 이벤트는 공격으로 분류될 수 있고 가능한 대규모 공격 알림이 신호될 수 있다.
여기에서 기술된 일부 실시예에서, 블록(456)에서 상관관계 및 그룹핑 결정은, 운영 체제 또는 애플리케이션 업데이트 롤아웃 동안 가능한 것과 같은, 중요한/일반적이지 않은 알려지고 예상되는 운영 이벤트의 클러스터링를 설명하기 위해 적응될 수 있다. 예컨대, 알려진 업데이트는 블록(456)에서 외부 통신으로부터 연결이 끊어진 데이터센터 내의 가상 머신 상에서 수행될 수 있고, 이후 상관관계 및 그룹핑 결정으로부터 제외될 수 있다. 특정 실시예에서, 블록(458)에서 가능한 대규모 공격 알림은, 일시적인 듀얼 인자 사용자 확인(dual-factor user verification), 이벤트 데이터베이스(454)의 모든 최근에 발생된 매칭 이벤트의 락다운(lockdown) 및 전환(reversion) 및/또는 잠재적으로 위태로운 머신 이미지의 고객으로의 통지와 같은, 데이터센터의 보안 환경을 변경하도록 설계된 자동화된 동작으로 링크될 수 있다. 예컨대, 블록(458)에서 신호된 대규모 공격 알림은 듀얼 인자 인가가 획득되지 않으면 매칭 이벤트 후에 즉시 임의의 가상 머신을 원래 수준으로 낮출 수 있는(roll back)일시적인 보안 상태 및 고객에게로의 권고를 야기할 수 있고, 이는 취약점이 발견되기 전에 제로 데이 공격이 멈추어지는 것을 잠재적으로 허용할 수 있다. 일부 실시예에서, 자동화된 동작은, 취약점이 패치되거나 또는 식별되기 전에 잠재적으로, 명확하게 제한된 동작이 제로 데이 취약점에 대한 즉각적인 솔루션을 제공하는 것이 가능하도록 인가된 사용자에 대한 사이드측 채널(예컨대, 이메일) 방법과 조합될 수 있다. 유사하게, 일반적이지 않은 이벤트에 대한 시그니처는 데이터센터 내부에서 공유될 수 있고, 이는 각각의 하이퍼바이저가 식별된 공격을 설명하도록 관찰된 이벤트의 자신의 리스트를 업데이트 하게 하며, 이 뿐만 아니라 요약 레벨에서 데이터센터 전역에서 공유될 수 있어, 취약점이 진단되기 이전에도 제로 데이 공격의 클라우드 유니버스 와이드 중지(cloud-universe-wide halting)을 잠재적으로 고려한다.
도 5는, 여기에서 기술된 적어도 일부 실시예에 따라 배열된, 크로스 사용자 상관관계 기반 서버측 멀티 타깃 침입의 검출을 구현하도록 사용될 수 있는, 범용 컴퓨팅 장치(500)를 도시한다. 예컨대, 컴퓨팅 장치(500)는 여기에서 기술된 바와 같이 낮은 확률 운영 이벤트를 검출하여 복수의 사용자 및/또는 배치 전역에서 가상 머신 내의 운영 이벤트의 합류점을 모니터하도록 사용될 수 있다. 예시적인 기본적인 구성(502)에서, 컴퓨팅 장치(500)는 하나 이상의 프로세서(504) 및 시스템 메모리(506)를 포함할 수 있다. 메모리 버스(508)는 프로세서(504)와 시스템 메모리(506) 간의 통신을 위해 사용될 수 있다. 기본적인 구성(502)은 내부 파선 내부의 컴포넌트에 의해 도 5에서 도시된다.
요구되는 구성에 따라, 프로세서(504)는 마이크로프로세서(μP), 마이크로컨트롤러(μC), 디지털 신호 프로세서(DSP) 또는 그 임의의 조합을 포함하는 임의의 유형일 수 있지만, 이에 한정되는 것은 아니다. 프로세서(504)는 레벨 캐시 메모리(512)와 같은 하나 이상의 레벨의 캐싱, 프로세서 코어(514) 및 레지스터(516)를 포함할 수 있다. 예시적인 프로세서 코어(514)는 ALU(arithmetic logic unit), FPU(floating point unit), DSP 코어(digital signal processing core), 또는 그 임의의 조합을 포함할 수 있다. 예시적인 메모리 컨트롤러(518)는 또한 프로세서(504)와 사용될 수 있거나, 또는 몇몇 구현예에서, 메모리 컨트롤러(518)는 프로세서(504)의 내부 부품일 수 있다.
요구되는 구성에 따라, 시스템 메모리(506)는 (RAM과 같은) 휘발성 메모리, (ROM, 플래시 메모리 등과 같은) 비휘발성 메모리, 또는 그 임의의 조합을 포함할 수 있지만, 이에 한정되지 않는 임의의 유형일 수 있다. 시스템 메모리(506)는 운영 체제(520), 하나 이상의 관리 애플리케이션(522), 및 프로그램 데이터(524)를 포함할 수 있다. 관리 애플리케이션(522)은, 여기에서 기술된 복수의 사용자 및/또는 배치 전역에서 가상 머신 내의 낮은 확률 운영 이벤트를 검출하기 위한 모니터링 모듈(526)을 포함할 수 있다. 프로그램 데이터(524)는, 다른 데이터 사이에서, 여기에서 기술된 운영 이벤트 데이터(528) 등을 포함할 수 있다.
컴퓨팅 장치(500)는 추가적인 특징 또는 기능, 및 기본 구성(502)과 임의의 요구되는 장치와 인터페이스 간 통신을 용이하게 하기 위한 추가적인 인터페이스를 가질 수 있다. 예를 들면, 버스/인터페이스 컨트롤러(530)는 저장 인터페이스 버스(534)를 통한 기본 구성(502)과 하나 이상의 데이터 저장 장치(532) 간의 통신을 용이하게 하는데 사용될 수 있다. 데이터 저장 장치(532)는 하나 이상의 분리형 저장 장치(536), 하나 이상의 비분리형 저장 장치(538), 또는 그들의 조합일 수 있다. 분리형 저장 장치 및 비분리형 저장 장치의 예로는, 몇 가지 말하자면, 플렉서블 디스크 드라이브 및 하드 디스크 드라이브(HDD)와 같은 자기 디스크 장치, 컴팩트 디스크(CD) 드라이브 또는 디지털 다기능 디스크(DVD) 드라이브와 같은 광 디스크 드라이브, 고체 상태 드라이브(solid state drive; SSD), 및 테이프 드라이브가 포함된다. 예시적인 컴퓨터 저장 매체는, 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 다른 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성의, 분리형 및 비분리형 매체를 포함할 수 있다.
시스템 메모리(506), 분리형 저장 장치(536) 및 비분리형 저장 장치(538)는 컴퓨터 저장 매체의 예이다. 컴퓨터 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 다른 메모리 기술, CD-ROM, 디지털 다기능 디스크(DVD), 솔리스 스테이트 드라이브, 또는 다른 광학 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장 장치 또는 다른 자기 저장 장치, 또는 원하는 정보를 저장하는데 사용될 수 있고 컴퓨팅 장치(500)에 의해 액세스될 수 있는 임의의 다른 매체를 포함하지만, 이에 한정되는 것은 아니다. 그러한 임의의 컴퓨터 저장 매체는 컴퓨팅 장치(500)의 일부일 수 있다.
컴퓨팅 장치(500)는 버스/인터페이스 컨트롤러(530)를 통한 다양한 인터페이스 장치(예를 들면, 하나 이상의 출력 장치(542), 주변 인터페이스(550) 및 통신 장치(560))로부터 기본 구성(502)으로의 통신을 용이하게 하기 위한 인터페이스 버스(540)도 포함할 수 있다. 예시적인 출력 장치(542) 중 일부는 그래픽 처리 유닛(544) 및 오디오 처리 유닛(546)을 포함하며, 이는 하나 이상의 A/V 포트(548)를 통해 디스플레이 또는 스피커와 같은 다양한 외부 장치로 통신하도록 구성될 수 있다. 하나 이상의 예시적인 주변 인터페이스(550)는 직렬 인터페이스 컨트롤러(554) 또는 병렬 인터페이스 컨트롤러(556)를 포함하며, 이는 하나 이상의 I/O 포트(558)를 통해 입력 장치(예를 들면, 키보드, 마우스, 펜, 음성 입력 장치, 터치 입력 장치 등) 또는 다른 주변 장치(예를 들면, 프린터, 스캐너 등)와 같은 외부 장치와 통신하도록 구성될 수 있다. 예시적인 통신 장치(560)는 네트워크 컨트롤러(562)를 포함하며, 이는 하나 이상의 통신 포트(564)를 통해 네트워크 통신 상에서의 하나 이상의 다른 컴퓨팅 장치(566)와의 통신을 용이하게 하도록 배치될 수 있다. 하나 이상의 다른 컴퓨팅 장치(566)는 데이터센터, 고객 장치 및 비슷한 장치에서의 서버를 포함할 수 있다.
네트워크 통신 링크는 통신 매체의 일 예시일 수 있다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파 또는 다른 전송 메커니즘 같은 변조된 데이터 신호 내의 다른 데이터에 의해 구현될 수 있고, 임의의 정보 전달 매체를 포함할 수 있다. "변조된 데이터 신호"는 신호 내에 정보를 인코딩하기 위한 방식으로 설정되거나 변경된 특성 중 하나 이상을 갖는 신호일 수 있다. 제한적인지 않은 예로서, 통신 매체는 유선 네트워크 또는 직접 유선 접속과 같은 유선 매체, 및 음파, 무선 주파수(RF), 마이크로웨이브, 적외선(IR) 및 다른 무선 매체와 같은 무선 매체를 포함할 수 있다. 여기서 사용되는 컴퓨터 판독가능 매체라는 용어는 저장 매체 및 통신 매체 둘 다를 포함할 수 있다.
컴퓨팅 장치(500)는 위의 기능 중 임의의 것을 포함하는 범용 또는 전용 서버, 메인프레임 또는 유사한 컴퓨터의 일부로서 구현될 수 있다. 컴퓨팅 장치(500)는 또한 랩톱 컴퓨터 및 랩톱이 아닌 컴퓨터 구성을 모두 포함하는 개인용 컴퓨터로서 구현될 수 있다.
크로스 사용자 상관관계를 사용하여 서버측 멀티 타깃 침입을 검출하기 위한 예시적인 실시예는 또한 방법을 포함할 수 있다. 이러한 방법은 여기에서 기술된 구조를 포함하여, 임의의 여러 방법에서 구현될 수 있다. 하나의 그러한 방법은 본 개시에서 기술된 유형의 장치 중 기계 작동에 의할 수 있다. 선택적인 방법은 작동 중 일부를 수행하는 하나 이상의 작동자(human operator)와 함께 수행될 방법의 개별 작동 중 하나 이상에 대한 것일 수 있는 반면 다른 작동은 기계에 의해 수행될 수 있다. 이러한 작동자는 서로 결합될 필요는 없으나 각각은 프로그램의 일부를 수행하는 기계와 단지 함께일 수 있다. 다른 예시에서, 인간적인 상호작용은 기계 자동화될 수 있는 사전 선택된 기준에 의함과 같이 자동화될 수 있다.
도 6은, 여기에서 기술된 적어도 일부 실시예에 따라 배열된, 도 5의 장치와 같은 컴퓨팅 장치에 의해 수행될 수 있는 크로스 사용자 상관관계를 사용하여 서버측 멀티 타깃 침입을 검출하기 위한 예시적인 방법을 도시하는 흐름도이다. 예시적인 방법은 블록(622, 624, 626, 628 및/또는 630) 중 하나 이상에 의해 도시되는 하나 이상의 동작, 기능 또는 작동을 포함할 수 있고, 일부 실시예에서 도 5의 장치(500)와 같은 컴퓨팅 장치에 의해 수행될 수 있다. 블록(622-630)에서 기술된 동작은 컴퓨팅 장치(610)의 컴퓨터 판독가능 매체(620)과 같은 컴퓨터 판독가능 매체에서 컴퓨터 실행가능 명령어로 또한 저장될 수 있다.
크로스 사용자 상관관계를 사용하여 서버측 멀티 타깃 침입을 검출하기 위한 예시적인 프로세스는 블록(622), "관찰된 이벤트의 리스트에 기초하여 낮은 확률 운영 이벤트 검출"에서 시작할 수 있고, 하나 이상의 하이퍼바이저(예컨대, 도 4의 하이퍼바이저)는 사용자와 연관된 낮은 확률 운영 이벤트의 발생을 검출한다. 낮은 확률 운영 이벤트는 하이퍼바이저와 연관된 관찰된 이벤트의 리스트(예컨대, 도 4의 관찰된 이벤트의 리스트(452)) 상에 포함될 수 있고, 일부 실시예에서 특권의 승격, 가상 머신의 실행 가능의 대체, 사용자 상태와 연관된 사용자 상태 또는 파일에 대한 변화, 사용자와 연관된 데이터 파일에 대한 변화 또는 임의의 다른 운영 이벤트와 같은 이벤트를 포함할 수 있다.
블록(622)에 블록(624), "복수의 사용자 및/또는 배치 전역에서 가상 머신 내의 운영 이벤트의 합류점을 모니터링"이 뒤따를 수 있고, 운영 이벤트의 합류점은 데이터베이스(예컨대, 도 4의 이벤트 데이터베이스(454))에 저장될 수 있고, 복수의 사용자 및/또는 배치 전역에서 운영 이벤트의 합류점은 (예컨대, 도 4의 블록(456)에서와 같은)크로스 사용자 및/또는 크로스 배치 상관관계를 사용하여 모니터링될 수 있다.
일부 실시예에서, 블록(624)에 블록(626), "검출로부터 사용자 배치에 대한 알려진 업데이트 제외"가 뒤따를 수 있고, 데이터센터에서 운영 체제 및/또는 애플리케이션에 대한 알려지고 예측되는 업데이트로부터 비롯된 운영 이벤트는 크로스 사용자/크로스 배치 상관관계 절차에서 검출 및/또는 함유(inclusion)로부터 제외될 수 있다. 그러한 이벤트는 예측된 이벤트의 임의의 유형일 수 있다. 예컨대, 사람들이 조정함에 따라 모든 빌링 사이클의 종료 후에 오히려 더 이루어지는 널리 퍼진 방침 변화 또는 이벤트는 그 시간 동안 조정된 확률을 가질 수 있다.
블록(624)(또는 존재한다면 선택적인 블록(626))에 블록(628), "복수의 사용자 및/또는 배치 전역에서 운영 이벤트가 검출되는 경우 운영 이벤트를 공격으로 분류"가 뒤따를 수 있고, 검출된 운영 이벤트가 복수의 사용자 및/또는 배치 전역에서 발생하는 경우, 운영 이벤트는 공격으로 분류된다. 예컨대, 검출된 운영 이벤트의 수, 빈도 및/또는 분포가 미리 정의된 확률 기준치를 초과하는 경우, 운영 이벤트는 공격으로 분류될 수 있다.
일부 실시예에서, 블록(628)에 선택적인 블록(630), "복수의 사용자 및/또는 배치 전역에서 운영 이벤트의 검출시 가능한 대규모 공격을 공표(issue)"가 뒤따를 수 있고, 운영상 이벤트가 복수의 사용자 및/또는 배치 전역에서 검출된 경우 가능한 대규모 공격 알림이 데이터센터 관리 및/또는 하나 이상의 데이터센터 고객에게 공표될 수 있다. 일부 실시예에서, 가능한 대규모 알림은 도 4를 참조하여 전술된 바와 같이 데이터센터 보안 환경을 변경하도록 설계된 자동화된 동작으로 링크될 수 있다. 자동화된 동작은 공격을 어드레스하도록 명확하게 제한된 동작을 수행하기 위해 인가된 사용자에 대한 사이드 채널 방법과 조합될 수 있다. 특정 실시예에서, 운영 이벤트에 대한 하나 이상의 시그니처는 요약 레벨에서 복수의 데이터센터 전역에서 공유될 수 있으며, 다른 데이터센터가 동작을 취하는 것을 허용한다.
도 7은, 여기에서 기술된 적어도 일부 실시예에 따라 배열된, 예시적인 컴퓨터 프로그램 제품의 블록도를 도시한다.
일부 실시예에서 도 7에 도시된 바와 같이, 컴퓨터 프로그램 제품은 예컨대 프로세서에 의해 실행되는 경우 여기에서 기술된 기능을 제공할 수 있는 하나 이상의 기계 판독가능 명령어(704)를 또한 포함할 수 있는 신호 베어링 매체(702)를 포함할 수 있다. 그러므로, 예컨대, 도 5에 도시된 프로세서(504)를 참조하면, 관리 애플리케이션(522)은 여기에서 기술된 크로스 사용자 상관관계를 사용하여 서버측 멀티 타깃 침입을 검출하는 것과 연관된 동작을 수행하도록 매체(702)에 의해 프로세서(504)로 전달되는 명령어(704)에 응답하여 도 7에 도시된 태스크 중 하나 이상을 수행할 수 있다. 그러한 명령어 중 일부는 여기에서 기술된 일부 실시예에 따라, 예컨대, 낮은 확률 운영 이벤트를 검출하는 것, 복수의 사용자 및/또는 배치 전역에서 가상 머신 내의 운영 이벤트의 합류점을 모니터링하는 것 및/또는 복수의 사용자 및/또는 배치 전역에서 검출되는 경우 운영 이벤트를 공격으로 분류하는 것을 포함할 수 있다.
일부 구현예에서, 도 7에 도시된 신호 베어링 매체(702)는 하드 디스크 드라이브, 솔리드 스테이트 드라이브, CD(Compact Disk), DVD(Digital Versatile Disk), 디지털 테이프, 메모리 등과 같은 컴퓨터 판독 가능 매체(706)를 포함할 수 있으나, 이에 제한되지는 않는다. 일부 구현예에서, 신호 베어링 매체(702)는 메모리, 읽기/쓰기(R/W) CD, R/W DVD 등과 같은 기록 가능 매체(708)를 포함할 수 있으나, 이에 제한되지는 않는다. 일부 구현예에서, 신호 베어링 매체(702)는 디지털 및/또는 아날로그 통신 매체(예컨대, 광섬유 케이블, 도파관(waveguide), 유선 통신 링크, 무선 통신 링크 등)와 같은 통신 매체(710)를 포함할 수 있으나, 이에 제한되지는 않는다. 따라서, 예컨대, 프로그램 제품(700)은, 신호 베어링 매체(702)가 무선 통신 매체(710)(예컨대, IEEE 802.11 표준에 따르는 무선 통신 매체)에 의해 전달되는 RF 신호 베어링 매체에 의하여 프로세서(704)의 하나 이상의 모듈로 전달될 수 있다.
일부 예시에 따라, 크로스 사용자 상관관계를 통해 서버측 멀티 타깃 침입을 검출하기 위한 방법은 데이터센터의 사용자와 연관된 낮은 확률 운영 이벤트를 검출하는 단계, 복수의 사용자 및/또는 배치 전역에서 데이터센터의 가상 머신 내의 운영 이벤트의 합류점을 모니터링하는 단계 및 운영 이벤트가 미리 정의된 확률 기준치보다 더 높은 레벨에서 복수의 사용자 및/또는 배치 전역에서 검출되는 경우 운영 이벤트를 공격으로 분류하는 단계를 포함할 수 있다.
일부 실시예에 따라, 방법은 데이터센터의 각각의 하이퍼바이저에서 관찰된 이벤트의 리스트에 기초하여 낮은 확률 운영 이벤트를 검출하는 단계를 더 포함할 수 있다. 운영 이벤트는 사용자 상태에 대한 변화, 사용자 상태와 연관되는 파일에 대한 변화, 사용자와 연관된 키 실행가능 파일의 대체 및/또는 사용자와 연관된 데이터 파일에 대한 변화일 수 있다. 사용자 상태에 대한 변화는 가상 머신 내부의 슈퍼 사용자 추가 및/또는 허가 변화를 포함할 수 있다.
다른 실시예에 따라, 방법은 검출로부터 사용자 배치에 대한 알려진 업데이트를 제외하는 단계를 더 포함할 수 있다. 알려진 업데이트는 리스트에 기초하여 또는 데이터 레코드에 기초하여 데이터센터 외부의 통신으로부터 연결이 끊어진 가상 머신 상의 알려진 업데이트를 구현함으로써 제외될 수 있다. 일부 실시예에서, 방법은 복수의 사용자 및/또는 배치 전역에서 운영 이벤트의 검출 시 가능한 대규모 공격을 공표하는 단계 및/또는 데이터센터 내부의 보안 환경을 변경하도록 설계되는 자동화된 동작으로 가능한 대규모 공격 알림을 링크하는 단계를 포함할 수 있다. 자동화된 동작은 일시적인 듀얼 인자 사용자 확인, 락다운, 복수의 배치 전역에서 최근에 발생된 매칭 이벤트의 전환 및/또는 잠재적으로 위태로운 머신 이미지의 사용자의 통지를 포함할 수 있다. 방법은 명확하게 제한된 동작이 취약점을 어드레스하게 하도록 인가된 사용자에게 사이드 채널 기법을 제공하는 단계를 더 포함할 수 있다.
추가적인 실시예에 따라, 방법은 낮은 확률 이벤트를 검출하기 위한 데이터센터의 각각의 하이퍼바이저에서 관찰된 이벤트의 리스트를 업데이트하는 단계 및/또는 요약 레벨에서 복수의 데이터센터 전역에서 일반적이지 않은 운영 이벤트의 시그니처를 공유하는 단계를 더 포함할 수 있다.
다른 예시에 따라, 크로스 사용자 상관관계를 통해 서버측 멀티 타깃 침입을 검출하도록 구성되는 클라우드 기반 데이터센터는 하나 이상의 물리적인 머신 상에서 실행되도록 동작 가능한 복수의 가상 머신, 복수의 가상 머신으로의 액세스를 제공하고 관찰된 이벤트의 리스트에 기초하여 사용자와 연관되는 낮은 확률 운영 이벤트를 검출하도록 구성된 가상 머신 모니터 및 복수의 사용자 및/또는 배치 전역에서 데이터센터의 가상 머신 내의 운영 이벤트의 합류점을 모니터하고 운영 이벤트가 미리 정의된 확률 기준치보다 더 높은 레벨에서 복수의 사용자 및/또는 배치 전역에서 검출되는 경우, 운영 이벤트를 공격으로 분류하도록 구성되는 데이터센터 컨트롤러를 포함할 수 있다.
일부 실시예에 따라, 운영 이벤트는 사용자 상태에 대한 변화, 사용자 상태와 연관된 파일에 대한 변화, 사용자와 연관된 키 실행가능 파일의 대체, 사용자와 연관된 데이터 파일에 대한 변화, 전송, 상태의 업데이트, 일반적이지 않은 포트 사용 및/또는 일반적이지 않은 하드웨어 사용일 수 있다. 사용자 상태에 대한 변화는 가상 머신 내부의 슈퍼 사용자 추가 및/또는 허가 변화를 포함할 수 있다.
다른 실시예에 따라, 데이터센터 컨트롤러는 검출로부터 사용자 배치에 대한 알려진 업데이트를 제외하도록 더 구성될 수 있다. 알려진 업데이트는 데이터센터 외부의 통신으로부터 연결이 끊어진 가상 머신 상의 알려진 업데이트를 구현함으로써 제외될 수 있다. 일부 실시예에서, 데이터센터 컨트롤러는 복수의 사용자 전역에서 운영 이벤트의 검출시 가능한 대규모 공격 알림을 발생 및/또는 데이터센터 내부의 보안 환경을 변경하도록 설계된 자동화된 동작으로 가능한 대규모 공격 알림을 링크하도록 더 구성될 수 있다. 자동화된 동작은 일시적인 듀얼 인자 사용자 확인, 락다운, 복수의 배치 전역에서 최근에 발생된 매칭 이벤트의 전환 및/또는 잠재적으로 위태로운 머신 이미지의 사용자의 통지를 포함할 수 있다. 데이터센터 제어기는 명확하게 제한된 동작이 취약점을 어드레스하게 하도록 인가된 사용자의 사이드 채널 기법을 제공하도록 더 구성될 수 있다.
추가적인 실시예에 따라, 데이터센터 컨트롤러는 낮은 확률 이벤트를 검출하기 위해 데이터센터의 각각의 하이퍼바이저에서 관찰된 이벤트의 리스트를 업데이트하고 및/또는 요약 레벨에서 복수의 데이터센터 전역에서 일반적이지 않은 운영 이벤트를 위한 시그니처를 공유하도록 더 구성될 수 있다.
추가적인 예시에서, 컴퓨터 판독가능 저장 매체는 크로스 사용자 상관관계를 통해 서버측 멀티 타깃 침입을 검출하기 위한 명령어를 저장할 수 있다. 명령어는 데이터센터의 사용자와 연관된 낮은 확률 운영 이벤트를 검출하는 것, 복수의 사용자 및/또는 배치 전역에서 데이터센터의 가상 머신 내의 운영 이벤트의 합류점을 모니터링하는 것 및 운영 이벤트가 미리 정의된 확률 기준치보다 더 높은 레벨에서 복수의 사용자 및/또는 배치 전역에서 검출된 경우, 운영 이벤트를 공격으로 분류하는 것을 포함할 수 있다.
일부 실시예에 따라, 명령어는 데이터센터의 각각의 하이퍼바이저에서 관찰된 이벤트의 리스트에 기초하여 낮은 확률 운영 이벤트를 검출하는 것을 더 포함할 수 있다. 운영 이벤트는 사용자 상태에 대한 변화, 사용자 상태와 연관된 파일에 대한 변화, 사용자와 연관된 키 실행가능 파일의 대체 및/또는 사용자와 연관된 데이터 파일에 대한 변화일 수 있다. 사용자 상태에 대한 변화는 가상 머신 내부의 슈퍼 사용자 추가 및/또는 허가 변화를 포함할 수 있다.
다른 실시예에 따라, 명령어는 검출로부터 사용자 배치에 대한 알려진 업데이트를 제외하는 것을 더 포함할 수 있다. 알려진 업데이트는 데이터센터 외부의 통신으로부터 연결이 끊어진 가상 머신 상의 알려진 업데이트를 구현함으로써 제외될 수 있다. 일부 실시예에서, 명령어는 복수의 사용자 및/또는 배치 전역에서 운영 이벤트의 검출시 가능한 대규모 공격 알림을 공표하는 것 및/또는 데이터센터내부의 보안 환경을 변경하도록 설계된 자동화된 동작으로 가능한 대규모 공격을 링크하는 것을 더 포함할 수 있다. 자동화된 동작은 일시적인 듀얼 인자 사용자 확인, 락다운, 복수의 배치 전역에서 최근에 발생된 매칭 이벤트의 전환 및/또는 잠재적으로 위태로운 머신 이미지의 사용자의 통지를 포함할 수 있다. 명령어는 명확하게 제한된 동작이 취약점을 어드레스하게 하도록 인가된 사용자에게 사이드 채널 기법을 제공하는 것을 더 포함할 수 있다.
추가적인 실시예에 따라, 명령어는 낮은 확률 이벤트를 검출하기 위해 데이터센터의 각각의 하이퍼바이저에서 관찰된 이벤트의 리스트를 업데이트하는 것 및/또는 요약 레벨에서 복수의 데이터센터 전역에서 일반적이지 않은 운영 이벤트를 위한 시그니처를 공유하는 것을 더 포함할 수 있다.
시스템 양상들의 하드웨어와 소프트웨어 구현 사이에는 구별이 거의 없다. 하드웨어 또는 소프트웨어의 사용은 일반적으로 (그러나 어떤 맥락에서 하드웨어 및 소프트웨어 사이의 선택이 중요하게 될 수 있다는 점에서 항상 그런 것은 아니지만) 비용 대비 효율의 트레이드오프(tradeoff)를 나타내는 설계상 선택(design choice)이다. 여기에서 기술된 프로세스 및/또는 시스템 및/또는 다른 기술들이 영향 받을 수 있는 다양한 수단(vehicles)(예를 들어, 하드웨어, 소프트웨어 및/또는 펌웨어)이 있으며, 선호되는 수단은 프로세스 및/또는 시스템 및/또는 다른 기술이 사용되는 맥락(context)에 따라 변경될 것이다. 예를 들어, 만약 구현자가 속도 및 정확도가 중요하다고 결정하면, 구현자는 주로 하드웨어 및/또는 펌웨어(firmware) 수단을 선택할 수 있고, 만약 유연성이 중요하다면, 구현자는 주로 소프트웨어 구현을 선택할 수 있으며, 또는, 또 다른 대안으로서, 구현자는 하드웨어, 소프트웨어, 및/또는 펌웨어 중 일부 조합을 선택할 수 있다.
전술한 상세한 설명은 블록도, 흐름도, 및/또는 예시의 사용을 통해 장치 및/또는 프로세스의 다양한 실시예를 설명하였다. 그러한 블록도, 흐름도, 및/또는 예시가 하나 이상의 기능 및/또는 동작을 포함하는 한, 당업자라면 그러한 블록도, 흐름도, 또는 예시 내의 각각의 기능 및/또는 동작은 하드웨어, 소프트웨어, 펌웨어, 또는 실질적으로 그들 임의의 조합의 넓은 범위에 의해 개별적으로 및/또는 집합적으로 구현될 수 있다는 것이 이해될 것이다. 일 실시예에서, 여기에서 기술된 대상의 몇몇 부분은 ASIC(Application Specific Integrated Circuit), FPGA(Field Programmable Gate Array), DSP(Digital Signal Processor) 또는 다른 집적의 형태를 통해 구현될 수 있다. 그러나, 당업자라면, 여기에서 기술된 실시예의 일부 양상이, 하나 이상의 컴퓨터 상에 실행되는 하나 이상의 컴퓨터 프로그램(예를 들어, 하나 이상의 컴퓨터 시스템 상에 실행되는 하나 이상의 프로그램), 하나 이상의 프로세서 상에서 실행되는 하나 이상의 프로그램(예를 들어, 하나 이상의 마이크로프로세서 상에서 실행되는 하나 이상의 프로그램), 펌웨어 또는 실질적으로 그들의 조합으로서, 전체적으로 또는 부분적으로 균등하게 집적 회로에 구현될 수 있다는 알 수 있으며, 소프트웨어 및/또는 펌웨어를 위한 코드의 작성 및/또는 회로의 설계는 본 개시에 비추어 당업자에게 자명할 것이다.
본 개시는 다양한 태양의 예시로서 의도된 본 출원에 기술된 특정 실시예들에 제한되지 않을 것이다. 당업자에게 명백할 바와 같이, 많은 수정과 변형이 그 사상과 범위를 벗어나지 않으면서 이루어질 수 있다. 여기에 열거된 것들에 더하여, 본 개시의 범위 안에서 기능적으로 균등한 방법과 장치가 위의 설명으로부터 당업자에게 명백할 것이다. 그러한 수정과 변형은 첨부된 청구항의 범위에 들어가도록 의도된 것이다. 본 개시는 첨부된 청구항의 용어에 의해서만, 그러한 청구항에 부여된 균등물의 전 범위와 함께, 제한될 것이다. 본 개시가 물론 다양할 수 있는 특정 방법, 시약, 합성 구성 또는 생물학적 시스템에 제한되지 않는 것으로 이해될 것이다. 또한, 여기에서 사용된 용어는 단지 특정 실시예들을 기술하기 위한 목적이고, 제한하는 것으로 의도되지 않음이 이해될 것이다.
또한, 당업자라면, 여기에서 기술된 대상의 수단(mechanism)들이 다양한 형태의 프로그램 제품으로 분포될 수 있음을 이해할 것이며, 여기에서 기술된 대상의 예시는, 분배를 실제로 수행하는데 사용되는 신호 베어링 매체(signal bearing medium)의 특정 유형과 무관하게 적용됨을 이해할 것이다. 신호 베어링 매체의 예시는, 플로피 디스크, 하드 디스크 드라이브, CD(Compact Disc), DVD(Digital Versatile Disk), 디지털 테이프, 컴퓨터 메모리, 솔리드 스테이트 드라이브 등과 같은 판독가능 유형의 매체 및 디지털 및/또는 아날로그 통신 매체(예를 들어, 섬유 광학 케이블, 웨이브가이드, 유선 통신 링크, 무선 통신 링크 등)와 같은 전송 유형 매체를 포함할 수 있으나, 이에 제한되지는 않는다.
당업자라면, 여기서 설명된 형식으로 장치 및/또는 프로세스를 기술하고, 이후, 공학 실무를 사용하여 그러한 기술된 장치 및/또는 프로세스을 데이터 처리 시스템에 통합한다는 것은 당해 분야에서는 일반적이란 것을 인식할 것이다. 즉, 여기서 기술된 장치 및/또는 프로세스의 적어도 일부는 합당한 실험 량을 통해 데이터 처리 시스템에 통합될 수 있다. 당업자라면, 전형적인 데이터 처리 시스템은 일반적으로 시스템 유닛 하우징, 비디오 디스플레이 장치, 휘발성 및 비휘발성 메모리 같은 메모리, 마이크로프로세서 및 디지털 신호 프로세서와 같은 프로세서, 운영 체제, 드라이버, 그래픽 사용자 인터페이스 및 애플리케이션 프로그램과 같은 컴퓨터 엔티티(computational entities), 터치 패드 또는 스크린 같은 하나 이상의 상호작용 장치, 및/또는 피드백 루프 및 제어 모터(예를 들면, 갠트리 시스템의 위치 및/또는 속도를 감지하기 위한 피드백; 컴포넌트 및/또는 양(quantities)을 이동하고 및/또는 조정하기 위한 제어 모터)를 포함하는 제어 시스템 중 하나 이상을 일반적으로 포함한다는 것을 인식할 것이다.
전형적인 데이터 처리 시스템은 데이터 컴퓨팅/통신 및/또는 네트워크 컴퓨팅/통신 시스템에서 전형적으로 발견되는 바와 같은 임의의 적절한 상업적으로 이용 가능한 컴포넌트를 이용하여 구현될 수 있다. 여기에서 기술된 대상은 때때로 상이한 다른 컴포넌트 내에 포함되거나 접속된 상이한 컴포넌트를 도시한다. 도시된 그러한 아키텍처는 단순히 예시적인 것이고, 사실상 동일한 기능을 달성하는 다른 많은 아키텍처가 구현될 수 있다는 것이 이해되어야 한다. 개념적으로, 동일한 기능을 달성하기 위한 컴포넌트의 임의의 배치는 원하는 기능이 달성되도록 유효하게 "연관"된다. 이에 따라, 특정 기능을 달성하기 위해 여기서 결합된 임의의 두 개의 컴포넌트는, 아키텍처 또는 중간 컴포넌트와는 무관하게, 원하는 기능이 달성되도록 서로 "연관"된 것으로 볼 수 있다. 마찬가지로, 연관된 임의의 두 개의 컴포넌트는 또한 원하는 기능을 달성하기 위해 서로 "동작적으로 접속"되거나 또는 "동작적으로 연결"되는 것으로 간주될 수 있고, 그와 같이 연관될 수 있는 임의의 두 개의 컴포넌트는 또한 원하는 기능을 달성하기 위해 서로 "동작적으로 연결가능"한 것으로 볼 수 있다. 동작적으로 연결가능하다는 것의 특정예는 물리적으로 양립가능(mateable)하고 및/또는 물리적으로 인터액팅하는 컴포넌트 및/또는 무선으로 인터액팅이 가능하고 및/또는 무선으로 인터액팅하는 컴포넌트 및/또는 논리적으로 인터액팅하고 및/또는 논리적으로 인터액팅이 가능한 컴포넌트를 포함하지만, 이에 한정되는 것은 아니다.
여기에서 실질적으로 임의의 복수 및/또는 단수의 용어의 사용에 대하여, 당업자는 맥락 및/또는 응용에 적절하도록, 복수를 단수로 및/또는 단수를 복수로 해석할 수 있다. 다양한 단수/복수의 치환은 명확성을 위해 여기에서 명시적으로 기재될 수 있다.
당업자라면, 일반적으로 본 개시에 사용되며 특히 첨부된 청구범위(예를 들어, 첨부된 청구범위)에 사용된 용어들이 일반적으로 "개방적(open)" 용어(예를 들어, 용어 "포함하는"은 "포함하지만 이에 제한되지 않는"으로, 용어 "갖는"는 "적어도 갖는"으로, 용어 "포함하다"는 "포함하지만 이에 한정되지 않는" 등으로 해석되어야 함)로 의도되었음을 이해할 것이다. 또한, 당업자라면, 도입된 청구항의 기재사항의 특정 수가 의도된 경우, 그러한 의도가 청구항에 명시적으로 기재될 것이며, 그러한 기재사항이 없는 경우, 그러한 의도가 없음을 또한 이해할 것이다. 예를 들어, 이해를 돕기 위해, 이하의 첨부 청구범위는 "적어도 하나" 및 "하나 이상" 등의 도입 구절의 사용을 포함하여 청구항 기재사항을 도입할 수 있다. 그러나, 그러한 구절의 사용이, 부정관사 "하나"("a" 또는 "an")에 의한 청구항 기재사항의 도입이, 그러한 하나의 기재사항을 포함하는 실시예들로, 그러한 도입된 청구항 기재사항을 포함하는 특정 청구항을 제한함을 암시하는 것으로 해석되어서는 안되며, 동일한 청구항이 도입 구절인 "하나 이상" 또는 "적어도 하나" 및 "하나"("a" 또는 "an")과 같은 부정관사(예를 들어, "하나"는 "적어도 하나" 또는 "하나 이상"을 의미하는 것으로 해석되어야 함)를 포함하는 경우에도 마찬가지로 해석되어야 한다. 이는 청구항 기재사항을 도입하기 위해 사용된 정관사의 경우에도 적용된다. 또한, 도입된 청구항 기재사항의 특정 수가 명시적으로 기재되는 경우에도, 당업자라면 그러한 기재가 적어도 기재된 수(예를 들어, 다른 수식어가 없는 "두개의 기재사항"을 단순히 기재한 것은, 적어도 두 개의 기재사항 또는 두 개 이상의 기재사항을 의미함)를 의미하도록 해석되어야 함을 이해할 것이다.
또한, "A, B 및 C 등 중의 적어도 하나"와 유사한 규칙이 사용된 경우에는, 일반적으로 그러한 해석은 당업자가 그 규칙을 이해할 것이라는 전제가 의도된 것이다(예를 들어, "A, B 및 C 중의 적어도 하나를 갖는 시스템"은, A만을 갖거나, B만을 갖거나, C만을 갖거나, A 및 B를 함께 갖거나, A 및 C를 함께 갖거나, B 및 C를 함께 갖거나, A, B, 및 C를 함께 갖는 시스템 등을 포함하지만 이에 제한되지 않음). 또한 당업자라면, 실질적으로 임의의 이접 접속어(disjunctive word) 및/또는 두 개 이상의 대안적인 용어들을 나타내는 구절은, 그것이 상세한 설명, 청구범위 또는 도면에 있는지와 상관없이, 그 용어들 중의 하나, 그 용어들 중의 어느 하나, 또는 그 용어들 두 개 모두를 포함하는 가능성을 고려했음을 이해할 것이다. 예를 들어, "A 또는 B"라는 구절은 "A" 또는 "B" 또는 "A 및 B"의 가능성을 포함하는 것으로 이해될 것이다.
추가적으로, 개시의 특징 또는 양태가 마쿠시(Markush) 그룹으로 기술되는 경우, 개시는 마쿠시 그룹의 임의의 개별 요소 또는 요소들의 하위 그룹 역시 포함하고 있다는 것을 당업자는 인식할 것이다.
당업자에게 이해될 것과 같이, 임의의 그리고 모든 목적에서든, 기술 내용을 제공하는 것 등에 있어서, 여기에 개시되어 있는 모든 범위는 임의의 그리고 모든 가능한 하위범위와 그러한 하위범위의 조합을 또한 포함한다. 임의의 열거된 범위는 적어도 1/2, 1/3, 1/4, 1/5, 1/10 등으로 나누어지는 동일한 범위를 충분히 설명하고 실시가능하게 하는 것으로서 쉽게 인식될 수 있다. 제한하지 않는 예시로서, 여기서 논의되는 각각의 범위는 하위 1/3, 중앙 1/3, 상위 1/3 등으로 나누어질 수 있다. 또한, "까지", "적어도", "보다 많은", "보다 적은" 등과 같은 언어는 기재된 수를 포함하며, 전술한 하위범위로 후속적으로 나누어질 수 있는 범위를 지칭함이 당업자에게 이해되어야 한다. 마지막으로, 범위는 각각의 개별 요소를 포함함이 이해되어야 한다. 따라서, 예를 들어, 1-3개의 셀을 갖는 그룹은 1, 2 또는 3개의 셀을 갖는 그룹들을 의미한다. 유사하게, 1-5개의 셀을 갖는 그룹은 1, 2, 3, 4 또는 5개의 셀을 갖는 그룹을 의미한다.
다양한 양상 및 실시예들이 여기에서 개시되었지만, 다른 양상 및 실시예들이 당업자에게 명확할 것이다. 본 개시에 기재된 다양한 양상 및 실시예는 예시의 목적으로 제시된 것이고, 제한하려고 의도된 것이 아니며, 진정한 범위와 사상은 이하 청구범위에 의해 나타낸다.

Claims (35)

  1. 크로스 사용자 상관관계(cross-user correlation)를 통해 서버측 멀티 타깃 침입(server-side multi-target intrusion)을 검출하기 위한 방법으로서,
    데이터센터의 사용자와 연관된 운영 이벤트(low-probability administrative event)를 검출하는 단계 - 상기 운영 이벤트는 사용자 상태에 대한 변화, 사용자 상태와 연관된 파일에 대한 변화, 상기 사용자와 연관된 키 실행가능 파일의 대체, 상기 사용자와 연관된 데이터 파일에 대한 변화, 전송, 상태의 업데이트, 특이한(unusual) 포트 사용 및/또는 특이한 하드웨어 사용 중 하나 이상임 -;
    복수의 사용자 전역에서 상기 데이터센터의 가상 머신 내의 상기 운영 이벤트의 합류점(confluence)을 모니터링하는 단계;
    상기 운영 이벤트가 미리 정의된 확률 기준치보다 더 높은 레벨에서 상기 복수의 사용자 전역에서 검출된다는 결정에 응답하여, 상기 운영 이벤트를 공격(attack)으로 분류하는 단계;
    사이드 채널 기법(side channel technique)을 자동화된 동작(automated actions)과 결합함으로써, 상기 공격이 발생된 상기 데이터센터의 취약점(vulnerability)의 인식에 앞서 상기 데이터센터 내부에서 다른 공격을 방지하는 단계 - 상기 자동화된 동작은 상기 데이터센터 내부의 보안 환경을 변경하도록 설계되고 상기 공격을 위한 솔루션을 제공하도록 가능한 대규모 공격 알림(possible mass attack alert)으로 링크됨 -; 및
    동일한 클라우드 내부의 하나 이상의 다른 데이터센터가, 상기 데이터센터의 상기 취약점의 상기 인식에 앞서, 상기 클라우드 내부에서 전체적으로(universally) 상기 공격을 방지하는 것이 가능해질 수 있도록, 상기 운영 이벤트의 하나 이상의 이상이 있는(anomalous) 특징에 기초하여 상기 운영 이벤트에 대해 생성된 하나 이상의 시그니처를 상기 하나 이상의 다른 데이터센터로 제공하는 단계
    를 포함하는, 방법.
  2. 제1항에 있어서,
    상기 데이터센터의 각각의 하이퍼바이저에서 관찰된 이벤트의 리스트에 기초하여 상기 운영 이벤트를 검출하는 단계
    를 더 포함하는 방법.
  3. 삭제
  4. 제1항에 있어서,
    상기 사용자 상태에 대한 상기 변화는 가상 머신 내부의 슈퍼 사용자 추가(super-user addition) 또는 허가 변화(permission change) 중 하나 이상을 포함하는 것인, 방법.
  5. 제1항에 있어서,
    검출로부터 사용자 배치에 대한 알려진 업데이트를 제외하는 단계
    를 더 포함하는 방법.
  6. 제5항에 있어서,
    상기 알려진 업데이트는 리스트에 기초하여 또는 데이터 레코드에 기초하여 상기 데이터센터 외부의 통신으로부터 연결이 끊어진 가상 머신 상에서 상기 알려진 업데이트를 구현함으로써 제외되는 것인, 방법.
  7. 제1항에 있어서,
    상기 복수의 사용자 전역에서 상기 운영 이벤트의 검출 시 상기 가능한 대규모 공격 알림을 공표(issue)하는 단계
    를 더 포함하는 방법.
  8. 삭제
  9. 제1항에 있어서,
    상기 자동화된 동작은 일시적인 듀얼 인자 사용자 확인(dual-factor user verification), 락다운(lockdown), 상기 복수의 배치 전역에서 최근에 발생된 매칭 이벤트의 및 전환(reversion) 및/또는 잠재적으로 위태로운 머신 이미지(possibly compromised machine image)의 하나 이상의 사용자의 통지 중 하나 이상을 포함하는 것인, 방법.
  10. 제1항에 있어서,
    명확하게 제한된 동작(specifically limited action)이 상기 취약점을 어드레스(address)하게 하도록 인가된 사용자에게 상기 사이드 채널 기법을 제공하는 단계
    를 더 포함하는 방법.
  11. 삭제
  12. 삭제
  13. 크로스 사용자 상관관계를 통해 서버측 멀티 타깃 침입을 검출하도록 구성되는 클라우드 기반 데이터센터로서,
    하나 이상의 물리적인 머신 상에서 실행되도록 동작 가능한 복수의 가상 머신;
    가상 머신 모니터; 및
    데이터센터 컨트롤러
    를 포함하고,
    상기 가상 머신 모니터는,
    상기 복수의 가상 머신으로의 액세스를 제공하고; 그리고
    관찰된 이벤트의 리스트에 기초하여 사용자와 연관된 운영 이벤트를 검출하도록 구성되고 - 상기 운영 이벤트는 사용자 상태에 대한 변화, 사용자 상태와 연관된 파일에 대한 변화, 상기 사용자와 연관된 키 실행가능 파일의 대체, 상기 사용자와 연관된 데이터 파일에 대한 변화, 전송, 상태의 업데이트, 특이한 포트 사용 및/또는 특이한 하드웨어 사용 중 하나 이상임 -;
    상기 데이터센터 컨트롤러는,
    복수의 사용자 전역에서 복수의 가상 머신 모니터를 통해 상기 데이터센터의 가상 머신 내의 상기 운영 이벤트의 합류점을 모니터링하고;
    상기 운영 이벤트가 미리 정의된 확률 기준치보다 더 높은 레벨에서 상기 복수의 사용자 전역에서 검출된다는 결정에 응답하여, 상기 운영 이벤트를 공격으로 분류하고;
    사이드 채널 기법을 자동화된 동작 - 여기서, 상기 자동화된 동작은 상기 데이터센터 내부의 보안 환경을 변경하도록 설계되고 상기 공격을 위한 솔루션을 제공하도록 가능한 대규모 공격 알림으로 링크됨 - 과 결합함으로써, 상기 공격이 발생된, 상기 데이터센터의 취약점의 인식에 앞서 상기 데이터센터 내부에서 다른 공격을 방지하고; 그리고
    동일한 클라우드 내부의 하나 이상의 다른 데이터센터가, 상기 데이터센터의 상기 취약점의 상기 인식에 앞서, 상기 클라우드 내부에서 전체적으로(universally) 상기 공격을 방지하는 것이 가능해질 수 있도록, 상기 운영 이벤트의 하나 이상의 이상이 있는 특징에 기초하여 상기 운영 이벤트에 대해 생성된 하나 이상의 시그니처를 상기 하나 이상의 다른 데이터센터로 제공하도록 구성되는 것인, 클라우드 기반 데이터센터.
  14. 삭제
  15. 삭제
  16. 제13항에 있어서,
    상기 데이터센터 컨트롤러는 검출로부터 사용자 배치에 대한 알려진 업데이트를 제외하도록 더 구성되는 것인, 클라우드 기반 데이터센터.
  17. 삭제
  18. 제13항에 있어서,
    상기 데이터센터 컨트롤러는 상기 복수의 사용자 전역에서 상기 운영 이벤트의 검출 시 상기 가능한 대규모 공격 알림를 공표하도록 더 구성되는 것인, 클라우드 기반 데이터센터.
  19. 삭제
  20. 삭제
  21. 삭제
  22. 제13항에 있어서,
    상기 데이터센터 컨트롤러는 상기 운영 이벤트를 검출하기 위해 상기 데이터센터의 각각의 가상 머신 모니터에서 관찰된 이벤트의 리스트를 업데이트하도록 더 구성되는 것인, 클라우드 기반 데이터센터.
  23. 제13항에 있어서,
    상기 데이터센터 컨트롤러는 요약 레벨에서 복수의 데이터센터 전역에서 특이한 운영 이벤트에 대한 시그니처를 공유하도록 더 구성되는 것인, 클라우드 기반 데이터센터.
  24. 크로스 사용자 상관관계를 통해 서버측 멀티 타깃 침입을 검출하기 위한 명령어를 갖는 비일시적인 컴퓨터 판독가능 저장 매체로서, 상기 명령어는,
    데이터센터의 사용자와 연관된 운영 이벤트를 검출하는 것 - 상기 운영 이벤트는 사용자 상태에 대한 변화, 사용자 상태와 연관된 파일에 대한 변화, 상기 사용자와 연관된 키 실행가능 파일의 대체, 상기 사용자와 연관된 데이터 파일에 대한 변화, 전송, 상태의 업데이트, 특이한 포트 사용 및/또는 특이한 하드웨어 사용 중 하나 이상임 -;
    복수의 사용자 전역에서 상기 데이터센터의 가상 머신 내의 상기 운영 이벤트의 합류점을 모니터링하는 것;
    상기 운영 이벤트가 미리 정의된 확률 기준치보다 더 높은 레벨에서 상기 복수의 사용자 전역에서 검출되는 경우, 상기 운영 이벤트를 공격으로 분류하는 것;
    사이드 채널 기법을 자동화된 동작 - 여기서, 상기 자동화된 동작은 상기 데이터센터 내부의 보안 환경을 변경하도록 설계되고 상기 공격을 위한 솔루션을 제공하도록 가능한 대규모 공격 알림으로 링크됨 - 과 결합함으로써, 상기 공격이 발생된 상기 데이터센터의 취약점의 인식에 앞서 상기 데이터센터 내부에서 다른 공격을 방지하는 것; 및
    동일한 클라우드 내부의 하나 이상의 다른 데이터센터가, 상기 데이터센터의 상기 취약점의 상기 인식에 앞서, 상기 클라우드 내부에서 전체적으로(universally) 상기 공격을 방지하는 것이 가능해질 수 있도록, 상기 운영 이벤트의 하나 이상의 이상이 있는 특징에 기초하여 상기 운영 이벤트에 대해 생성된 하나 이상의 시그니처를 상기 하나 이상의 다른 데이터센터로 제공하는 것을 포함하는 것인, 비일시적인 컴퓨터 판독가능 저장 매체.
  25. 제24항에 있어서,
    상기 명령어는 상기 데이터센터의 각각의 하이퍼바이저에서 관찰된 이벤트의 리스트에 기초하여 상기 운영 이벤트를 검출하는 것을 더 포함하는 것인, 비일시적인 컴퓨터 판독가능 저장 매체.
  26. 삭제
  27. 제24항에 있어서,
    상기 사용자 상태에 대한 상기 변화는 가상 머신 내부의 슈퍼 사용자 추가 또는 허가 변화 중 하나 이상을 포함하는 것인, 비일시적인 컴퓨터 판독가능 저장 매체.
  28. 제24항에 있어서,
    상기 명령어는 검출로부터 사용자 배치에 대한 알려진 업데이트를 제외하는 것을 더 포함하는 것인, 비일시적인 컴퓨터 판독가능 저장 매체.
  29. 삭제
  30. 삭제
  31. 삭제
  32. 삭제
  33. 삭제
  34. 제24항에 있어서,
    상기 명령어는 상기 운영 이벤트를 검출하기 위해 상기 데이터센터의 각각의 하이퍼바이저에서 관찰된 이벤트의 리스트를 업데이트하는 것을 더 포함하는 것인, 비일시적인 컴퓨터 판독가능 저장 매체.
  35. 제24항에 있어서,
    상기 운영 이벤트에 대해 생성된 상기 하나 이상의 시그니처는 상기 하나 이상의 다른 데이터센터로 요약 레벨에서 제공되는 것인, 비일시적인 컴퓨터 판독가능 저장 매체.
KR1020147036969A 2012-06-05 2012-06-05 서버측 멀티 타깃 침입을 검출하기 위한 크로스 사용자 상관관계 KR101587959B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2012/040866 WO2013184099A1 (en) 2012-06-05 2012-06-05 Cross-user correlation for detecting server-side multi-target intrusion

Publications (2)

Publication Number Publication Date
KR20150015537A KR20150015537A (ko) 2015-02-10
KR101587959B1 true KR101587959B1 (ko) 2016-01-25

Family

ID=49672006

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147036969A KR101587959B1 (ko) 2012-06-05 2012-06-05 서버측 멀티 타깃 침입을 검출하기 위한 크로스 사용자 상관관계

Country Status (3)

Country Link
US (2) US9197653B2 (ko)
KR (1) KR101587959B1 (ko)
WO (1) WO2013184099A1 (ko)

Families Citing this family (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101587959B1 (ko) * 2012-06-05 2016-01-25 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 서버측 멀티 타깃 침입을 검출하기 위한 크로스 사용자 상관관계
US9679131B2 (en) * 2013-01-25 2017-06-13 Cybereason Inc. Method and apparatus for computer intrusion detection
US9286047B1 (en) 2013-02-13 2016-03-15 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
KR101394424B1 (ko) * 2013-04-22 2014-05-13 한국인터넷진흥원 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템
US20160036837A1 (en) * 2014-08-04 2016-02-04 Microsoft Corporation Detecting attacks on data centers
US10027689B1 (en) * 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US10270668B1 (en) * 2015-03-23 2019-04-23 Amazon Technologies, Inc. Identifying correlated events in a distributed system according to operational metrics
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US9800497B2 (en) 2015-05-27 2017-10-24 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US10033766B2 (en) 2015-06-05 2018-07-24 Cisco Technology, Inc. Policy-driven compliance
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10089099B2 (en) 2015-06-05 2018-10-02 Cisco Technology, Inc. Automatic software upgrade
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10454950B1 (en) * 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
CN107040494B (zh) * 2015-07-29 2020-04-03 深圳市腾讯计算机系统有限公司 用户账号异常防范方法和系统
US10243972B2 (en) 2016-04-11 2019-03-26 Crowdstrike, Inc. Correlation-based detection of exploit activity
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10931629B2 (en) 2016-05-27 2021-02-23 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
US11238350B2 (en) * 2016-09-21 2022-02-01 Scianta Analytics Llc Cognitive modeling system
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
US10397258B2 (en) 2017-01-30 2019-08-27 Microsoft Technology Licensing, Llc Continuous learning for intrusion detection
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10440037B2 (en) * 2017-03-31 2019-10-08 Mcafee, Llc Identifying malware-suspect end points through entropy changes in consolidated logs
US10623234B2 (en) 2017-06-08 2020-04-14 Microsoft Technology Licensing, Llc Managing alerts regarding additions to user groups
US10949559B1 (en) * 2017-06-23 2021-03-16 Intuit Inc. Repository-based privilege escalation for workflows
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US10521584B1 (en) * 2017-08-28 2019-12-31 Amazon Technologies, Inc. Computer threat analysis service
US10887369B2 (en) * 2017-09-25 2021-01-05 Splunk Inc. Customizable load balancing in a user behavior analytics deployment
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US11765046B1 (en) 2018-01-11 2023-09-19 Cisco Technology, Inc. Endpoint cluster assignment and query generation
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10873593B2 (en) 2018-01-25 2020-12-22 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10917438B2 (en) 2018-01-25 2021-02-09 Cisco Technology, Inc. Secure publishing for policy updates
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
US11113142B2 (en) * 2018-07-25 2021-09-07 Vmware, Inc. Early risk detection and management in a software-defined data center
US11055408B2 (en) * 2018-11-30 2021-07-06 International Business Machines Corporation Endpoint detection and response attack process tree auto-play
US11582120B2 (en) 2019-05-30 2023-02-14 Vmware, Inc. Partitioning health monitoring in a global server load balancing system
CN111049827A (zh) * 2019-12-12 2020-04-21 杭州安恒信息技术股份有限公司 一种网络系统安全防护方法、装置及其相关设备
CN113518055B (zh) * 2020-04-09 2023-04-21 奇安信安全技术(珠海)有限公司 数据安全防护的处理方法及装置、存储介质、终端
US20230024475A1 (en) * 2021-07-20 2023-01-26 Vmware, Inc. Security aware load balancing for a global server load balancing system
US20230022279A1 (en) * 2021-07-22 2023-01-26 Vmware Inc. Automatic intrusion detection based on malicious code reuse analysis

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080148398A1 (en) * 2006-10-31 2008-06-19 Derek John Mezack System and Method for Definition and Automated Analysis of Computer Security Threat Models
US20120059930A1 (en) * 2010-09-02 2012-03-08 International Business Machines Corporation Reactive monitoring of guests in a hypervisor environment

Family Cites Families (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2365153A (en) * 2000-01-28 2002-02-13 Simon William Moore Microprocessor resistant to power analysis with an alarm state
US7007301B2 (en) 2000-06-12 2006-02-28 Hewlett-Packard Development Company, L.P. Computer architecture for an intrusion detection system
US7068998B2 (en) * 2001-04-13 2006-06-27 Northrop Grumman Corp. Methodology for the detection of intrusion into radio frequency (RF) based networks including tactical data links and the tactical internet
US20060265746A1 (en) * 2001-04-27 2006-11-23 Internet Security Systems, Inc. Method and system for managing computer security information
US6715084B2 (en) 2002-03-26 2004-03-30 Bellsouth Intellectual Property Corporation Firewall system and method via feedback from broad-scope monitoring for intrusion detection
US7603711B2 (en) * 2002-10-31 2009-10-13 Secnap Networks Security, LLC Intrusion detection system
US7814542B1 (en) * 2003-06-30 2010-10-12 Cisco Technology, Inc. Network connection detection and throttling
US20050033976A1 (en) * 2003-08-04 2005-02-10 Sbc Knowledge Ventures, L.P. Host intrusion detection and isolation
US7752662B2 (en) 2004-02-20 2010-07-06 Imperva, Inc. Method and apparatus for high-speed detection and blocking of zero day worm attacks
US7478429B2 (en) * 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method
US7930256B2 (en) * 2006-05-23 2011-04-19 Charles River Analytics, Inc. Security system for and method of detecting and responding to cyber attacks on large network systems
JP4996929B2 (ja) * 2007-01-17 2012-08-08 株式会社日立製作所 仮想計算機システム
US8539570B2 (en) * 2007-06-22 2013-09-17 Red Hat, Inc. Method for managing a virtual machine
US9088605B2 (en) * 2007-09-19 2015-07-21 Intel Corporation Proactive network attack demand management
US20100077128A1 (en) * 2008-09-22 2010-03-25 International Business Machines Corporation Memory management in a virtual machine based on page fault performance workload criteria
US8352608B1 (en) * 2008-09-23 2013-01-08 Gogrid, LLC System and method for automated configuration of hosting resources
KR101048000B1 (ko) * 2009-07-14 2011-07-13 플러스기술주식회사 디도스 공격 감지 및 방어방법
CN101958824B (zh) 2009-07-14 2012-06-27 华为技术有限公司 一种数据交换方法及数据交换结构
FR2948795A1 (fr) * 2009-07-30 2011-02-04 St Microelectronics Rousset Detecteur d'injection de fautes dans un circuit integre
US8886788B2 (en) * 2009-08-31 2014-11-11 Accenture Global Services Limited Enterprise-level management, control and information aspects of cloud console
US8631403B2 (en) * 2010-01-04 2014-01-14 Vmware, Inc. Method and system for managing tasks by dynamically scaling centralized virtual center in virtual infrastructure
JP2011145912A (ja) * 2010-01-15 2011-07-28 Fujitsu Ltd 仮想計算機を使用したクライアントシステム、仮想計算機を使用したクライアント制御方法及びそのプログラム
EP2539846B1 (en) 2010-02-22 2018-08-22 Virtustream IP Holding Company LLC Methods and apparatus for data center management independent of hypervisor platform
WO2011156021A2 (en) * 2010-03-01 2011-12-15 The Trustees Of Columbia University In The City Of New York Systems and methods for detecting design-level attacks against a digital circuit
US8966623B2 (en) * 2010-03-08 2015-02-24 Vmware, Inc. Managing execution of a running-page in a virtual machine
US9342373B2 (en) * 2010-05-20 2016-05-17 International Business Machines Corporation Virtual machine management among networked servers
US8712596B2 (en) * 2010-05-20 2014-04-29 Accenture Global Services Limited Malicious attack detection and analysis
US20120240224A1 (en) * 2010-09-14 2012-09-20 Georgia Tech Research Corporation Security systems and methods for distinguishing user-intended traffic from malicious traffic
CA2816970A1 (en) * 2010-11-03 2012-05-10 Virginia Tech Intellectual Properties, Inc. Using power fingerprinting (pfp) to monitor the integrity and enhance security of computer based systems
CN102043917B (zh) * 2010-12-07 2012-10-17 成都市华为赛门铁克科技有限公司 云系统分布式拒绝服务攻击防护方法以及装置和系统
US8479276B1 (en) * 2010-12-29 2013-07-02 Emc Corporation Malware detection using risk analysis based on file system and network activity
TW201235946A (en) * 2011-02-18 2012-09-01 Hon Hai Prec Ind Co Ltd Method and system for configuring USB device in virtual environment
CN102760081B (zh) * 2011-04-29 2016-01-27 国际商业机器公司 虚拟机资源分配的方法和装置
US8719627B2 (en) * 2011-05-20 2014-05-06 Microsoft Corporation Cross-cloud computing for capacity management and disaster recovery
US8549645B2 (en) * 2011-10-21 2013-10-01 Mcafee, Inc. System and method for detection of denial of service attacks
US9804876B2 (en) * 2012-02-28 2017-10-31 Red Hat Israel, Ltd. Hypervisor-driven hibernation
US9281940B2 (en) * 2012-03-02 2016-03-08 Sony Corporation Information processing apparatus, information processing method, and program
US8949931B2 (en) * 2012-05-02 2015-02-03 Cisco Technology, Inc. System and method for monitoring application security in a network environment
US8862727B2 (en) * 2012-05-14 2014-10-14 International Business Machines Corporation Problem determination and diagnosis in shared dynamic clouds
KR101587959B1 (ko) * 2012-06-05 2016-01-25 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 서버측 멀티 타깃 침입을 검출하기 위한 크로스 사용자 상관관계
FR2995429B1 (fr) * 2012-09-10 2015-04-10 Oberthur Technologies Procede de test de la securite d'un dispositif electronique vis-a-vis d'une attaque, et dispositif electronique mettant en oeuvre des contre-mesures
US9141791B2 (en) * 2012-11-19 2015-09-22 Hewlett-Packard Development Company, L.P. Monitoring for anomalies in a computing environment
US9043923B2 (en) * 2012-12-27 2015-05-26 Empire Technology Development Llc Virtual machine monitor (VMM) extension for time shared accelerator management and side-channel vulnerability prevention
US20150309828A1 (en) * 2014-04-24 2015-10-29 Unisys Corporation Hypervisor manager for virtual machine management
US9940458B2 (en) * 2014-08-07 2018-04-10 Empire Technology Development Llc Flag based threat detection

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080148398A1 (en) * 2006-10-31 2008-06-19 Derek John Mezack System and Method for Definition and Automated Analysis of Computer Security Threat Models
US20120059930A1 (en) * 2010-09-02 2012-03-08 International Business Machines Corporation Reactive monitoring of guests in a hypervisor environment

Also Published As

Publication number Publication date
US20160028757A1 (en) 2016-01-28
US20130326623A1 (en) 2013-12-05
KR20150015537A (ko) 2015-02-10
US9197653B2 (en) 2015-11-24
US9882920B2 (en) 2018-01-30
WO2013184099A1 (en) 2013-12-12

Similar Documents

Publication Publication Date Title
KR101587959B1 (ko) 서버측 멀티 타깃 침입을 검출하기 위한 크로스 사용자 상관관계
US11966482B2 (en) Managing untyped network traffic flows
US9838405B1 (en) Systems and methods for determining types of malware infections on computing devices
EP3568792B1 (en) Endpoint detection and response utilizing machine learning
CN106796639B (zh) 用于可信执行环境的数据挖掘算法
EP3356985B1 (en) Detection of security incidents with low confidence security events
US9794270B2 (en) Data security and integrity by remote attestation
US9104864B2 (en) Threat detection through the accumulated detection of threat characteristics
US11757920B2 (en) User and entity behavioral analysis with network topology enhancements
EP3111364B1 (en) Systems and methods for optimizing scans of pre-installed applications
US20200193041A1 (en) Preventing ransomware from encrypting data elements
US20220360594A1 (en) Mitigating threats associated with tampering attempts
CN112491803A (zh) 拟态waf中执行体的裁决方法
Rosli et al. Clustering analysis for malware behavior detection using registry data
US20230412620A1 (en) System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation
KR102311997B1 (ko) 인공지능 행위분석 기반의 edr 장치 및 방법
US11599638B2 (en) Game engine-based computer security
US20220092183A1 (en) Logical identification of malicious threats across a plurality of end-point devices
WO2024037887A1 (en) Intrusion prevention system
GB2621629A (en) Intrusion prevention system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant