KR101649909B1 - 가상 머신 취약점 점검과 복구 방법 및 장치 - Google Patents

가상 머신 취약점 점검과 복구 방법 및 장치 Download PDF

Info

Publication number
KR101649909B1
KR101649909B1 KR1020140128022A KR20140128022A KR101649909B1 KR 101649909 B1 KR101649909 B1 KR 101649909B1 KR 1020140128022 A KR1020140128022 A KR 1020140128022A KR 20140128022 A KR20140128022 A KR 20140128022A KR 101649909 B1 KR101649909 B1 KR 101649909B1
Authority
KR
South Korea
Prior art keywords
check
virtual machine
vulnerability
information
virtual
Prior art date
Application number
KR1020140128022A
Other languages
English (en)
Other versions
KR20160036205A (ko
Inventor
김성진
김병준
이철우
김형천
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140128022A priority Critical patent/KR101649909B1/ko
Priority to US14/791,729 priority patent/US9734330B2/en
Publication of KR20160036205A publication Critical patent/KR20160036205A/ko
Application granted granted Critical
Publication of KR101649909B1 publication Critical patent/KR101649909B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Quality & Reliability (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Stored Programmes (AREA)

Abstract

하이퍼바이저 영역에서 가상 머신의 보안 상태를 점검하고 점검결과에 따라 주요 시스템 파일을 복구하거나 해킹 피해를 입은 것으로 의심되는 가상 머신의 사용을 제한하는 가상 머신 취약점 점검과 복구 방법 및 장치를 제시한다. 제시된 방법은 취약점 점검 기준과 복구 기준과 해킹 피해 기준을 포함하는 점검 기준, 및 수집대상 정보를 업데이트한다. 이어, 수집대상 정보를 가상 머신의 가상 디스크 및 가상 메모리에서 수집한다. 수집된 정보를 기반으로 점검 기준에 따라 취약점 점검을 수행한다. 점검 결과에 따라 훼손된 주요 시스템 파일을 복구 기준을 근거로 원상복구시킨다.

Description

가상 머신 취약점 점검과 복구 방법 및 장치{Method and apparatus for virtual machine vulnerability analysis and recovery}
본 발명은 가상 머신 취약점 점검과 복구 방법 및 장치에 관한 것으로, 보다 상세하게는 클라우드 컴퓨팅 환경의 하이퍼바이저 영역에서 자동으로 가상 머신의 취약점을 점검하고 복구하는 방법 및 장치에 관한 것이다.
최근, 해킹위협에 대응하기 위하여 가상 머신 환경에도 안티바이러스(Anti-Virus) 프로그램 및 방화벽 등을 설치하는 것이 일반화되고 있다.
하지만, 이들 보안 소프트웨어는 자기 자신 또는 다른 어플리케이션에 대한 최신 보안패치 유지, 운영체제 보안 설정 관리와 같은, 설치 후 수행되어야 할 중요한 보안 점검 작업을 제대로 수행하지 않고 있다. 이는 보안 소프트웨어의 기능상 한계가 있고 상기 작업들을 수동으로 수행하기 위한 지식을 일반 이용자들이 습득하기 어려운 측면이 있기 때문이다.
따라서, 클라우드 컴퓨팅에서 안전한 가상 머신 사용 환경을 제공하고 해킹 위협에 대응할 수 있는 가상 머신 보안 점검 및 복구 자동화 시스템이 요구된다.
현재 가상 머신의 보안 점검을 자동화하기 위한 방법으로, 호스트 취약성 자동 점검 에이전트를 각 가상 머신에 별도로 설치하고 운영할 수 있다. 호스트 취약성 자동 점검 에이전트는 운영체제 및 어플리케이션의 최신 보안 패치 유지, 주요 보안 설정 등의 점검을 자동화할 수 있는 장점이 있다.
하지만, 에이전트를 각 가상 머신에 모두 설치해야 하고 가상 머신의 어플리케이션 수준에서 실행되기 때문에 악의적인 사용자 또는 악성코드에 의해 점검 결과가 변조될 우려가 있다.
관련 선행기술로는, 호스트의 구성 정보를 수집하고 취약성 데이터베이스의 정보를 기반으로 수집 정보를 분석하여 취약성 점수를 산출하는 자동화 시스템에 대한 내용이, 미국공개특허 제2014-0189873호에 기재되었다.
다른 관련 선행기술로는, 정보보안 관리 자동화의 현황을 다각도로 분석한 결과를 제시하는 내용이, "Information Security Automation: How Far Can We Go?"(저자 : Montesino, R.외 1인)라는 제목으로 IEEE Availability, Reliability and Security p280 - p285, 22-26 Aug. 2011에 기재되었다.
본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로, 하이퍼바이저 영역에서 가상 머신의 보안 상태를 점검하고 점검결과에 따라 주요 시스템 파일을 복구하거나 해킹 피해를 입은 것으로 의심되는 가상 머신의 사용을 제한하여 클라우드 컴퓨팅의 안전한 가상 머신 사용 환경을 제공하는 가상 머신 취약점 점검과 복구 방법 및 장치를 제공함에 그 목적이 있다.
상기와 같은 목적을 달성하기 위하여 본 발명의 바람직한 실시양태에 따른 가상 머신 취약점 점검과 복구 방법은, 정보 수집 모듈부가, 각각의 가상 머신에서 수집대상 정보를 수집하는 단계; 취약점 점검 모듈부가, 상기 수집하는 단계에 의해 수집된 정보를 기반으로 기설정된 취약점 점검 기준에 따라 해당 가상 머신의 취약점 점검을 수행하는 단계; 및 복구 모듈부가, 상기 취약점 점검을 수행하는 단계에 의한 점검 결과에 따라 해당 가상 머신에서 훼손된 주요 시스템 파일을 기설정된 복구 기준을 근거로 원상복구시키는 단계;를 포함한다.
상기 수집하는 단계는, 상기 각각의 가상 머신의 가상 디스크 이미지의 주요 파일 정보를 가상 디스크 읽기/쓰기 API를 통해 수집할 수 있다.
상기 수집하는 단계는, 가상 메모리 읽기 API를 통해 상기 각각의 가상 머신의 가상 메모리에서 얻을 수 있는 해당 가상 머신의 프로세스 실행 정보, 커넬 메모리 정보, 네트워크 포트 상태 정보를 수집할 수 있다.
상기 취약점 점검을 수행하는 단계는, 안티바이러스 검사, 주요 시스템 파일 변조 여부 검사, 유저영역 프로세스 상태 검사, 커널영역 메모리 변조 여부 검사, 네트워크 자원 사용 현황 검사, 소프트웨어 설정 및 패치 검사, 및 운영체제 설정 및 패치 검사 중에서 하나 이상을 수행할 수 있다.
상기 원상복구시키는 단계는, 가상 디스크 읽기/쓰기 API를 통해 상기 훼손된 주요 시스템 파일을 원상 복구시킬 수 있다.
로깅 모듈부가, 상기 취약점 점검을 수행하는 단계에 의한 점검 결과를 로깅하는 단계를 추가로 포함할 수 있다.
가상 머신 제어 모듈부가, 기설정된 해킹 피해 기준에 따라 해킹 피해가 의심되는 가상 머신에 대해 시스템 사용을 제한하는 단계를 추가로 포함할 수 있다.
상기 해킹 피해 기준은 주요 시스템 파일 변조, 주요 프로세스에 대한 의심 DLL 파일 인젝션 사실을 포함할 수 있다.
상기 취약점 점검 기준은 속성에 따라 소프트웨어 버전 관리 상태, 패치 보급 상태, 운영체제 설정 상태, 네트워크 접속 상태, 프로세스 실행 상태로 구분될 수 있다.
상기 수집대상 정보는 레지스트리 및 운영체제 주요 설정 파일, 어플리케이션 설정 파일, 네트워크 접속 정보, 프로세스 실행 정보를 포함할 수 있다.
그리고, 본 발명의 바람직한 실시양태에 따른 가상 머신 취약점 점검과 복구 장치는, 각각의 가상 머신에서 수집대상 정보를 수집하는 정보 수집 모듈부; 상기 수집된 정보를 기반으로 기설정된 취약점 점검 기준에 따라 해당 가상 머신의 취약점 점검을 수행하는 취약점 점검 모듈부; 및 상기 취약점 점검 모듈부의 점검 결과에 따라 해당 가상 머신에서 훼손된 주요 시스템 파일을 기설정된 복구 기준을 근거로 원상복구시키는 복구 모듈부;를 포함한다.
상기 정보 수집 모듈부는 상기 각각의 가상 머신의 가상 디스크 이미지의 주요 파일 정보를 가상 디스크 읽기/쓰기 API를 통해 수집할 수 있다.
상기 정보 수집 모듈부는 가상 메모리 읽기 API를 통해 상기 각각의 가상 머신의 가상 메모리에서 얻을 수 있는 해당 가상 머신의 프로세스 실행 정보, 커널 메모리 정보, 네트워크 포트 상태 정보를 수집할 수 있다.
상기 취약점 점검 모듈부는 안티바이러스 검사, 주요 시스템 파일 변조 여부 검사, 유저영역 프로세스 상태 검사, 커널영역 메모리 변조 여부 검사, 네트워크 자원 사용 현황 검사, 소프트웨어 설정 및 패치 검사, 및 운영체제 설정 및 패치 검사 중에서 하나 이상을 수행할 수 있다.
상기 복구 모듈부는 가상 디스크 읽기/쓰기 API를 통해 상기 훼손된 주요 시스템 파일을 원상 복구시킬 수 있다.
상기 취약점 점검 모듈부의 점검 결과를 로깅하는 로깅 모듈부를 추가로 포함할 수 있다.
상기 점검 정책 모듈부의 점검 기준에 따라 해킹 피해가 의심되는 가상 머신에 대해 시스템 사용을 제한하는 가상 머신 제어 모듈부를 추가로 포함할 수 있다.
이러한 구성의 본 발명에 따르면, 하이퍼바이저 영역에서 자동으로 가상 머신 점검을 수행하고 해킹 피해가 의심되면 주요 시스템 파일을 복구하거나 가상 머신 사용을 제한하여 안전한 가상 머신 사용 환경을 제공한다.
또한, 점검 정책의 수집대상 정보, 점검 기준 및 해킹 피해 기준은 도입 기관의 요구에 따라 변경 가능하므로 점검 및 복구 작업에 유연성을 가진다.
본 발명의 모든 단계는 하이퍼바이저 영역에서 수행되므로 가상 머신의 어플리케이션 수준에서 정보를 수집하거나 점검을 수행하는 방식과 비교할 때 점검 결과 변조와 같은 위협에 보다 안전하다.
도 1은 본 발명의 실시예에 따른 가상 머신 취약점 점검과 복구 장치의 구성을 나타낸 도면이다.
도 2는 본 발명의 실시예에서 하이퍼바이저 기반의 가상 디스크 읽기/쓰기 API와 주요파일 정보 수집 모듈부 및 복구 모듈부의 연동 방식을 설명하기 위한 도면이다.
도 3은 본 발명의 실시예에서 하이퍼바이저 기반의 가상 메모리 읽기 API와 가상 메모리 정보 수집 모듈부의 연동 방식을 설명하기 위한 도면이다.
도 4는 본 발명의 실시예에 따른 가상 머신 취약점 점검과 복구 방법을 설명하기 위한 순서도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 실시예에 따른 가상 머신 취약점 점검과 복구 장치의 구성을 나타낸 도면이고, 도 2는 본 발명의 실시예에서 하이퍼바이저 기반의 가상 디스크 읽기/쓰기 API와 주요파일 정보 수집 모듈부 및 복구 모듈부의 연동 방식을 설명하기 위한 도면이고, 도 3은 본 발명의 실시예에서 하이퍼바이저 기반의 가상 메모리 읽기 API와 가상 메모리 정보 수집 모듈부의 연동 방식을 설명하기 위한 도면이다.
본 발명의 실시예에 따른 가상 머신 취약점 점검과 복구 장치(20)는 가상화 영역이 아니라 클라우드 컴퓨팅 환경의 하이퍼바이저 영역에서 동작한다. 여기서, 하이퍼바이저는 하나의 호스트 컴퓨터상에서 동시에 다수의 운영체제를 구동시킬 수 있는 소프트웨어 가상화 플랫폼이라고 할 수 있다. 하이퍼바이저는 가상 머신 모니터라고도 한다. 클라우드 컴퓨팅은 정보 처리를 자신의 컴퓨터가 아닌 인터넷으로 연결된 다른 컴퓨터로 처리하는 기술을 의미한다고 볼 수 있다.
본 발명의 실시예에 따른 가상 머신 취약점 점검과 복구 장치(20)는, 점검 정책 모듈부(22), 주요 파일 정보 수집 모듈부(24), 가상 메모리 정보 수집 모듈부(26), 취약점 점검 모듈부(28), 로깅 모듈부(30), 복구 모듈부(32), 및 가상 머신 제어 모듈부(34)를 포함한다. 여기서, 각각의 구성요소(22, 24, 26, 28, 30, 32, 34)의 명칭에서 모듈을 삭제하여도 무방하다.
점검 정책 모듈부(22)는 취약점 점검 기준과 복구 기준과 수집대상 정보 및 해킹 피해 기준을 업데이트하고, 이들을 근거로 점검 정책과 복구 정책을 제공한다. 다시 말해서, 점검 정책 모듈부(22)는 수집대상 정보 목록과 최신 점검 기준(즉, 취약점 점검 기준 및 복구 기준), 해킹 피해 기준을 하이퍼바이저 기반 가상 머신 취약점 점검 및 복구 장치(20)에게 제공한다고 볼 수 있다.
여기서, 취약점 점검 기준은 속성에 따라 소프트웨어 버전 관리 상태, 패치 보급 상태, 운영체제 설정 상태, 네트워크 접속 상태, 프로세스 실행 상태로 구분 가능하다. 결국, 취약점 점검 기준은 가상 머신별로 차이날 수 있다. 또한, 수집대상 정보는 레지스트리 및 운영체제 주요 설정 파일, 어플리케이션 설정 파일, 네트워크 접속 정보, 프로세스 실행 정보가 될 수 있다. 이때, 취약점 점검 기준과 수집대상 정보는 도입 기관의 요구에 따라 유연하게 변경 가능하다.
한편, 취약점 점검 기준과 복구 기준 및 해킹 피해 기준은 점검 기준으로 통칭할 수 있고, 이러한 점검 기준에 의해 점검 정책이 수립된다고 볼 수 있다.
주요 파일 정보 수집 모듈부(24)는 하이퍼바이저 영역에서 주기적으로 가상 디스크 이미지의 수집대상 파일 정보를 수집한다. 따라서, 주요 파일 정보 수집 모듈부(24)는 하이퍼바이저 기반의 주요 파일 정보 수집 모듈부라고 할 수도 있다.
주요 파일 정보 수집 모듈부(24)는 하이퍼바이저 영역에서 설정된 시간 주기마다 각 가상 머신(10a ~ 10n; 10)의 가상 디스크 이미지(40; 도 2 참조)의 시스템 파일 및 레지스트리와 같은 주요 파일 정보를 하이퍼바이저 기반의 가상 디스크 읽기/쓰기 API(44; 도 2 참조)를 통해 수집한다. 이때, 가상 디스크 읽기/쓰기 API(44)는 하이퍼바이저 영역에서 구현되며 루트 권한을 가진 하이퍼바이저 플랫폼에서 실행된다. 또한, 주기적으로 가상 디스크의 주요 파일을 수집하기 위한 일련의 API가 스크립트 형태로 구현될 수 있다. 도 2에서, 가상화 데몬의 파일시스템 가상화 데몬(42)은 가상 디스크에 접근할 수 있다. 파일시스템 가상화 데몬(42)은 가상 디스크 읽기/쓰기 API(44)의 호출에 따라 가상 디스크에 존재하는 특정 파일을 다운로드하거나 특정 파일을 가상 디스크에 업로드할 수 있다.
다시 말해서, 주요 파일 정보 수집 모듈부(24)는 하이퍼바이저 영역에서 점검 정책 모듈부(22)가 제시한 수집대상 파일 정보를 가상 디스크에서 하이퍼바이저 기반의 가상 디스크 읽기/쓰기 API(44)를 이용하여 수집한다고 볼 수 있다.
가상 메모리 정보 수집 모듈부(26)는 하이퍼바이저 영역에서 주기적으로 가상 메모리 정보를 수집한다. 따라서, 가상 메모리 정보 수집 모듈부(26)는 하이퍼바이저 기반의 가상 메모리 정보 수집 모듈부라고 할 수도 있다.
가상 메모리 정보 수집 모듈부(26)는 하이퍼바이저 기반의 가상 메모리 읽기 API(54; 도 3 참조)를 통해 가상 메모리(50)에서 얻을 수 있는 가상 머신(10a ~ 10n)의 프로세스 실행 정보, 커널 메모리 정보, 네트워크 포트 상태 정보 등을 수집한다. 이때, 가상 메모리 읽기 API(54)는 하이퍼바이저 영역에서 구현되며 루트 권한을 가진 하이퍼바이저 플랫폼에서 실행된다. 또한, 주기적으로 가상 메모리(50)의 주요정보를 수집하기 위한 일련의 API가 스크립트 형태로 구현될 수 있다. 도 3에서, 가상 메모리 읽기 API(54)는 가상 메모리 주소 매핑 테이블(52)을 통해 특정 가상 머신(예컨대, 10a ~ 10n중에서 어느 하나)의 가상 메모리 위치를 식별하며 가상 메모리 전체 또는 일부 정보를 가져올 수 있다.
다시 말해서, 가상 메모리 정보 수집 모듈부(26)는 하이퍼바이저 영역에서 점검 정책 모듈부(22)가 제시한 수집대상 메모리 정보를 가상 머신의 가상 메모리(50)에서 하이퍼바이저 기반의 가상 메모리 읽기 API(54)를 이용하여 수집한다고 볼 수 있다.
도면에는 도시하지 않았지만, 상술한 주요 파일 정보 수집 모듈부(24) 및 가상 메모리 정보 수집 모듈부(26)를 통칭하여 정보 수집 모듈부라고 할 수 있다.
취약점 점검 모듈부(28)는 주요 파일 정보 수집 모듈부(24)와 가상 메모리 정보 수집 모듈부(26)가 수집한 정보를 기반으로 점검 정책 모듈부(22)의 정책에 따라 취약점 점검을 수행한다.
즉, 취약점 점검 모듈부(28)는 점검 정책 모듈부(22)의 점검 기준에 따라 가상 머신별 취약점 점검을 수행한다. 이때, 취약점 점검의 일 실시 예로, 안티바이러스 검사, 주요 시스템 파일 변조 여부 검사, 유저영역 프로세스 상태 검사, 커널영역 메모리 변조 여부 검사, 네트워크 자원 사용 현황 검사, 소프트웨어 설정 및 패치 검사, 운영체제 설정 및 패치 검사 등을 수행할 수 있다.
로깅 모듈부(30)는 취약점 점검 모듈부(28)의 점검 결과를 로깅한다.
즉, 로깅 모듈부(30)는 가상머신별 점검 결과를 저장매체(도시 생략)에 기록하여 시스템 운용자가 가상 머신 사용자에게 점검 결과를 통보할 때 이용하도록 할 수 있다.
다시 말해서, 로깅 모듈부(30)는 취약점 점검 모듈부(30)의 점검 결과를 외부로 제공하고 통계 정보를 가공할 수 있다고 볼 수 있다.
복구 모듈부(32)는 변조된 주요 시스템 파일을 원상복구시킨다.
즉, 복구 모듈부(32)는 가상 디스크 읽기/쓰기 API(44; 도 2 참조)를 통해 주요 시스템 파일을 원상 복구시킨다. 가상 디스크 읽기/쓰기 API(44)는 하이퍼바이저 영역에서 구현되며 루트 권한을 가진 하이퍼바이저 플랫폼에서 실행된다.
다시 말해서, 복구 모듈부(32)는 점검 정책 모듈부(22)의 해킹 피해 기준에 따라 변조된 주요 시스템 파일을 원본으로 복구하되 복구 기준을 근거로 원상복구시킨다고 볼 수 있다.
또한, 각 가상 머신(10a ~ 10n)의 주요 시스템 파일 원본은 하이퍼바이저 플랫폼의 저장매체에 백업하여 둘 수 있다. 이에 의해, 복구할 때 복구 모듈부(32)가 참조하도록 할 수 있다.
가상 머신 제어 모듈부(34)는 점검 정책 모듈부(22)의 해킹 피해 기준에 따라 해킹 피해가 의심되는 가상 머신(10a ~ 10n중에서 하나 이상)에 대해 시스템 사용을 제한한다. 이때, 해킹 피해 기준은 점검 정책 모듈부(22)가 제시한다. 주요 시스템 파일 변조, 주요 프로세스에 대한 의심 DLL 파일 인젝션 사실 등이 해킹 피해 기준이 될 수 있다. 또한, 시스템 사용 제한은 운용 정책에 따라 시스템 사용 금지 또는 네트워크 차단 등을 고려할 수 있으며, 이는 하이퍼바이저 관리 API(도시 생략)에 의해 스크립트 등으로 구현 가능하다.
상술한 바와 같이 본 발명은 각 가상 머신(10a ~ 10n)에 별도의 점검용 소프트웨어를 설치하지 않고, 하이퍼바이저 영역에서 가상 머신(10a ~ 10n)의 보안 상태를 자동으로 점검 및 복구함으로써 안전한 가상 머신 사용 환경을 제공할 수 있다.
도 4는 본 발명의 실시예에 따른 가상 머신 취약점 점검과 복구 방법을 설명하기 위한 순서도이다. 순서도에 제시된 일련의 동작 과정은 설정된 시간에 따라 일정 주기로 실행되며 전 과정이 자동화될 수 있다.
일단, 점검 정책 모듈부(22)가 취약점 점검 기준, 복구 기준, 수집대상 정보, 및 해킹 피행 기준을 업데이트하여 취약점 점검 모듈부(28)와 복구 모듈부(32)의 정책에 반영한다(S10).
이어, 주요 파일 정보 수집 모듈부(24) 및 가상 메모리 정보 수집 모듈부(26)가 하이퍼바이저 영역에서 주요 파일 정보와 가상 메모리 정보를 수집한다(S12).
이후, 취약점 점검 모듈부(28)가 주요 파일 정보 수집 모듈부(24) 및 가상 메모리 정보 수집 모듈부(26)에 의해 수집된 정보를 기반으로 점검 정책에 따라 취약점 점검을 수행한다(S14).
그리고, 로깅 모듈부(30)는 취약점 점검 모듈부(28)의 점검 결과를 로깅한다(S16). 다시 말해서, 로깅 모듈부(30)는 가상 머신별 점검 결과를 저장매체에 기록한다.
이어, 복구 모듈부(32)가 점검 결과(즉, 해킹 피해 기준)에 따라 훼손된 주요 시스템 파일에 대하여 복구 기준 또는 복구 정책을 근거로 원상복구한다(S18).
그리고, 가상 머신 제어 모듈부(34)는 점검 정책 모듈부(22)의 점검 기준(즉, 해킹 피해 기준)에 따라 해킹 피해가 의심되는 가상 머신(10a ~ 10n중에서 하나 이상)에 대해 시스템 사용을 제한한다(S20).
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
10, 10a, 10b, 10n : 가상 머신
20 : 가상 머신 취약점 점검과 복구 장치
22 : 점검 정책 모듈부
24 : 주요 파일 정보 수집 모듈부
26 : 가상 메모리 정보 수집 모듈부
28 : 취약점 점검 모듈부
30 : 로깅 모듈부
32 : 복구 모듈부
34 : 가상 머신 제어 모듈부

Claims (17)

  1. 클라우드 컴퓨팅 환경의 하이퍼바이저 영역을 기반으로 동작하는 가상 머신 취약점 점검과 복구 장치에 있어서,
    상기 하이퍼바이저 영역을 기반으로 동작하는 정보 수집 모듈부가, 각각의 가상 머신에서 수집대상 정보를 수집하는 단계;
    취약점 점검 모듈부가, 상기 수집하는 단계에 의해 수집된 정보를 기반으로 기설정된 취약점 점검 기준에 따라 해당 가상 머신의 취약점 점검을 수행하는 단계; 및
    복구 모듈부가, 상기 취약점 점검을 수행하는 단계에 의한 점검 결과에 따라 해당 가상 머신에서 훼손된 주요 시스템 파일을 기설정된 복구 기준을 근거로 원상복구시키는 단계;를 포함하고,
    상기 수집하는 단계는
    루트 권한을 가진 하이퍼바이저 플랫폼에서 실행되는 가상 디스크 읽기/쓰기 API를 통해 상기 각각의 가상 머신의 가상 디스크 이미지로 직접 접근하여 주요 파일 정보를 수집하고,
    상기 원상복구시키는 단계는
    상기 가상 디스크 읽기/쓰기 API를 이용하여 상기 주요 시스템 파일 중 상기 기설정된 취약점 점검 기준을 근거로 훼손된 파일에 대해서 상기 기설정된 취약점 점검 기준에 따른 상기 기설정된 복구 기준을 근거로 원상 복구를 수행하는 것을 특징으로 하는 가상 머신 취약점 점검과 복구 방법.
  2. 삭제
  3. 청구항 1에 있어서,
    상기 수집하는 단계는,
    가상 메모리 읽기 API를 통해 상기 각각의 가상 머신의 가상 메모리에서 얻을 수 있는 해당 가상 머신의 프로세스 실행 정보, 커넬 메모리 정보, 네트워크 포트 상태 정보를 수집하는 것을 특징으로 하는 가상 머신 취약점 점검과 복구 방법.
  4. 청구항 1에 있어서,
    상기 취약점 점검을 수행하는 단계는,
    안티바이러스 검사, 주요 시스템 파일 변조 여부 검사, 유저영역 프로세스 상태 검사, 커널영역 메모리 변조 여부 검사, 네트워크 자원 사용 현황 검사, 소프트웨어 설정 및 패치 검사, 및 운영체제 설정 및 패치 검사 중에서 하나 이상을 수행하는 것을 특징으로 하는 가상 머신 취약점 점검과 복구 방법.
  5. 삭제
  6. 청구항 1에 있어서,
    로깅 모듈부가, 상기 취약점 점검을 수행하는 단계에 의한 점검 결과를 로깅하는 단계를 추가로 포함하는 것을 특징으로 하는 가상 머신 취약점 점검과 복구 방법.
  7. 청구항 1에 있어서,
    가상 머신 제어 모듈부가, 기설정된 해킹 피해 기준에 따라 해킹 피해가 의심되는 가상 머신에 대해 시스템 사용을 제한하는 단계를 추가로 포함하는 것을 특징으로 하는 가상 머신 취약점 점검과 복구 방법.
  8. 청구항 7에 있어서,
    상기 해킹 피해 기준은 주요 시스템 파일 변조, 주요 프로세스에 대한 의심 DLL 파일 인젝션 사실을 포함하는 것을 특징으로 하는 가상 머신 취약점 점검과 복구 방법.
  9. 청구항 1에 있어서,
    상기 취약점 점검 기준은 속성에 따라 소프트웨어 버전 관리 상태, 패치 보급 상태, 운영체제 설정 상태, 네트워크 접속 상태, 프로세스 실행 상태로 구분되는 것을 특징으로 하는 가상 머신 취약점 점검과 복구 방법.
  10. 청구항 1에 있어서,
    상기 수집대상 정보는 레지스트리 및 운영체제 주요 설정 파일, 어플리케이션 설정 파일, 네트워크 접속 정보, 프로세스 실행 정보를 포함하는 것을 특징으로 하는 가상 머신 취약점 점검과 복구 방법.
  11. 클라우드 컴퓨팅 환경의 하이퍼바이저 영역을 기반으로 각각의 가상 머신에서 수집대상 정보를 수집하는 정보 수집 모듈부;
    상기 수집된 정보를 기반으로 기설정된 취약점 점검 기준에 따라 해당 가상 머신의 취약점 점검을 수행하는 취약점 점검 모듈부; 및
    상기 취약점 점검 모듈부의 점검 결과에 따라 해당 가상 머신에서 훼손된 주요 시스템 파일을 기설정된 복구 기준을 근거로 원상복구시키는 복구 모듈부;를 포함하고,
    상기 정보 수집 모듈부는
    루트 권한을 가진 하이퍼바이저 플랫폼에서 실행되는 가상 디스크 읽기/쓰기 API를 통해 상기 각각의 가상 머신의 가상 디스크 이미지로 직접 접근하여 주요 파일 정보를 수집하고,
    상기 복구 모듈부는
    상기 가상 디스크 읽기/쓰기 API를 이용하여 상기 주요 시스템 파일 중 상기 기설정된 취약점 점검 기준을 근거로 훼손된 파일에 대해서 상기 기설정된 취약점 점검 기준에 따른 상기 기설정된 복구 기준을 근거로 원상 복구를 수행하는 것을 특징으로 하는 가상 머신 취약점 점검과 복구 장치.
  12. 삭제
  13. 청구항 11에 있어서,
    상기 정보 수집 모듈부는 가상 메모리 읽기 API를 통해 상기 각각의 가상 머신의 가상 메모리에서 얻을 수 있는 해당 가상 머신의 프로세스 실행 정보, 커널 메모리 정보, 네트워크 포트 상태 정보를 수집하는 것을 특징으로 하는 가상 머신 취약점 점검과 복구 장치.
  14. 청구항 11에 있어서,
    상기 취약점 점검 모듈부는 안티바이러스 검사, 주요 시스템 파일 변조 여부 검사, 유저영역 프로세스 상태 검사, 커널영역 메모리 변조 여부 검사, 네트워크 자원 사용 현황 검사, 소프트웨어 설정 및 패치 검사, 및 운영체제 설정 및 패치 검사 중에서 하나 이상을 수행하는 것을 특징으로 하는 가상 머신 취약점 점검과 복구 장치.
  15. 삭제
  16. 청구항 11에 있어서,
    상기 취약점 점검 모듈부의 점검 결과를 로깅하는 로깅 모듈부를 추가로 포함하는 것을 특징으로 하는 가상 머신 취약점 점검과 복구 장치.
  17. 청구항 11에 있어서,
    상기 취약점 점검 모듈부의 점검 기준에 따라 해킹 피해가 의심되는 가상 머신에 대해 시스템 사용을 제한하는 가상 머신 제어 모듈부를 추가로 포함하는 것을 특징으로 하는 가상 머신 취약점 점검과 복구 장치.
KR1020140128022A 2014-09-25 2014-09-25 가상 머신 취약점 점검과 복구 방법 및 장치 KR101649909B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020140128022A KR101649909B1 (ko) 2014-09-25 2014-09-25 가상 머신 취약점 점검과 복구 방법 및 장치
US14/791,729 US9734330B2 (en) 2014-09-25 2015-07-06 Inspection and recovery method and apparatus for handling virtual machine vulnerability

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140128022A KR101649909B1 (ko) 2014-09-25 2014-09-25 가상 머신 취약점 점검과 복구 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20160036205A KR20160036205A (ko) 2016-04-04
KR101649909B1 true KR101649909B1 (ko) 2016-08-22

Family

ID=55584763

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140128022A KR101649909B1 (ko) 2014-09-25 2014-09-25 가상 머신 취약점 점검과 복구 방법 및 장치

Country Status (2)

Country Link
US (1) US9734330B2 (ko)
KR (1) KR101649909B1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101875866B1 (ko) * 2017-11-06 2018-07-06 주식회사 엠시큐어 모바일 어플리케이션의 취약점 점검 방법 및 서버
CN109858252B (zh) * 2017-11-30 2023-04-25 中标软件有限公司 自制系统的漏洞分析修复方法
CN112395616B (zh) * 2019-08-15 2024-01-30 奇安信安全技术(珠海)有限公司 漏洞处理的方法、装置及计算机设备
CN111459609B (zh) * 2020-03-10 2024-04-19 奇安信科技集团股份有限公司 虚拟机安全防护方法、装置及电子设备
JP7380877B2 (ja) 2020-06-10 2023-11-15 日本電気株式会社 セキュリティ検査装置、セキュリティ検査方法、及びプログラム
KR102230442B1 (ko) * 2020-12-14 2021-03-22 주식회사 이글루시큐리티 진단 대상 서버의 설정파일 수집 및 설정파일에 대한 취약점 진단의 주체가 이원화된 취약점 진단 장치 및 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012003651A (ja) * 2010-06-21 2012-01-05 Hitachi Information Systems Ltd 仮想化環境監視装置とその監視方法およびプログラム
JP2012509516A (ja) * 2008-08-20 2012-04-19 マイクロソフト コーポレーション 仮想ディスクを含むコンピュータのリカバリ

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7886294B2 (en) * 2004-12-28 2011-02-08 Sap Ag Virtual machine monitoring
US7992136B2 (en) * 2006-10-18 2011-08-02 International Business Machines Corporation Method and apparatus for automatic application profiling
US8391288B2 (en) * 2007-01-31 2013-03-05 Hewlett-Packard Development Company, L.P. Security system for protecting networks from vulnerability exploits
KR101493076B1 (ko) * 2009-04-07 2015-02-12 삼성전자 주식회사 버퍼 오버플로우 관리를 통한 바이러스 코드 실행방지장치 및 그 방법
US8438349B2 (en) * 2009-08-21 2013-05-07 Symantec Corporation Proxy backup of virtual disk image files on NAS devices
US8572739B1 (en) * 2009-10-27 2013-10-29 Trend Micro Incorporated Detection of malicious modules injected on legitimate processes
US9317692B2 (en) 2009-12-21 2016-04-19 Symantec Corporation System and method for vulnerability risk analysis
JP5494298B2 (ja) * 2010-07-06 2014-05-14 富士通株式会社 計算機装置,障害復旧制御プログラムおよび障害復旧制御方法
KR101731422B1 (ko) * 2010-10-04 2017-04-28 삼성전자주식회사 가상화 환경에서의 장애 복구 장치 및 방법
US20120287931A1 (en) * 2011-05-13 2012-11-15 International Business Machines Corporation Techniques for securing a virtualized computing environment using a physical network switch
US8584235B2 (en) * 2011-11-02 2013-11-12 Bitdefender IPR Management Ltd. Fuzzy whitelisting anti-malware systems and methods
US20130152076A1 (en) * 2011-12-07 2013-06-13 Cisco Technology, Inc. Network Access Control Policy for Virtual Machine Migration
US9891937B2 (en) * 2012-01-30 2018-02-13 Lg Electronics Inc. Method for managing virtual machine and device therefor
WO2014031100A1 (en) * 2012-08-21 2014-02-27 Empire Technology Development Llc Detection and mitigation of side-channel attacks
JP6213053B2 (ja) * 2012-09-04 2017-10-18 富士通株式会社 プログラム、情報処理装置およびスケジュール決定方法
GB2510641A (en) * 2013-02-12 2014-08-13 F Secure Corp Detecting suspicious code injected into a process if function call return address points to suspicious memory area

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012509516A (ja) * 2008-08-20 2012-04-19 マイクロソフト コーポレーション 仮想ディスクを含むコンピュータのリカバリ
JP2012003651A (ja) * 2010-06-21 2012-01-05 Hitachi Information Systems Ltd 仮想化環境監視装置とその監視方法およびプログラム

Also Published As

Publication number Publication date
US20160092679A1 (en) 2016-03-31
KR20160036205A (ko) 2016-04-04
US9734330B2 (en) 2017-08-15

Similar Documents

Publication Publication Date Title
US10546129B2 (en) Method to scan a forensic image of a computer system with multiple malicious code detection engines simultaneously from a master control point
US7437764B1 (en) Vulnerability assessment of disk images
KR101649909B1 (ko) 가상 머신 취약점 점검과 복구 방법 및 장치
KR102419574B1 (ko) 컴퓨터 애플리케이션에서 메모리 손상을 교정하기 위한 시스템 및 방법
US8850587B2 (en) Network security scanner for enterprise protection
US10025674B2 (en) Framework for running untrusted code
JP4406627B2 (ja) 仮想マシンまたは強化オペレーティングシステムなどにおけるコンピュータのセキュリティ管理
US11290492B2 (en) Malicious data manipulation detection using markers and the data protection layer
US20100199351A1 (en) Method and system for securing virtual machines by restricting access in connection with a vulnerability audit
CN107395395B (zh) 安全防护系统的处理方法和装置
CN103856368A (zh) 一种监控程序的方法及系统
US11556652B2 (en) End-point visibility
US10204036B2 (en) System and method for altering application functionality
US9021453B1 (en) Anti-malware installation deployment simulator
US10466924B1 (en) Systems and methods for generating memory images of computing devices
EP2980697B1 (en) System and method for altering a functionality of an application
US9141795B2 (en) Techniques for detecting malicious activity
TWI730415B (zh) 偵測系統、偵測方法、及藉由使用偵測方法所執行的更新驗證方法
RU2468427C1 (ru) Система и способ защиты компьютерной системы от активности вредоносных объектов
US20200167463A1 (en) Out-of-Band Content Analysis
US9372992B1 (en) Ensuring integrity of a software package installer
WO2020159550A1 (en) Corrective actions based on comparisons of changes to computer systems
CN111859405A (zh) 一种威胁免疫框架、方法、设备及可读存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190701

Year of fee payment: 4