KR101753647B1 - 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법 - Google Patents
클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법 Download PDFInfo
- Publication number
- KR101753647B1 KR101753647B1 KR1020150149305A KR20150149305A KR101753647B1 KR 101753647 B1 KR101753647 B1 KR 101753647B1 KR 1020150149305 A KR1020150149305 A KR 1020150149305A KR 20150149305 A KR20150149305 A KR 20150149305A KR 101753647 B1 KR101753647 B1 KR 101753647B1
- Authority
- KR
- South Korea
- Prior art keywords
- server
- unit
- service
- pattern
- cracker
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
Abstract
본 발명은 유저서버에게 클라우드 인프라 및 플랫폼 기반의 서비스 제공을 저해하거나 방해하는 크래커서버의 공격력을 유인 및 약화시키면서 상기 유저서버로 정상적인 서비스를 원활하게 제공할 수 있는 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법이다.
본 발명은 서비스를 제공받기 위한 유저서버(300)로 서비스데이터를 제공하기 위한 서비스제공부(101)와, 상기 유저서버(300) 및 상기 서비스제공부(101)의 서비스데이터 제공을 방해하기 위해 공격하는 크래커서버(400)를 모니터링하기 위한 모니터링부(102)와, 상기 모니터링부(102)에서 상기 유저서버(300) 및 크래커서버(400)로 인해 생성된 로그데이터를 저장하는 로그스토리지부(103)와, 상기 로그데이터를 샌드박스로 분석하기 위한 분석프레임워크부(105)와, 상기 분석에 따라 상기 크래커서버(400)를 유인하기 위한 허니팟부(109)와, 상기 허니팟부(109)로 유인된 크래커서버(400)의 데이터를 수집하는 데이터수집부(110)와, 상기 수집된 크래커서버(400)의 데이터를 이용하여 상기 크래커서버(400)의 공격력을 약화시키기 위한 크래커대처부(111)를 포함한 호넷클라우드(100)와, 상기 호넷클라우드(100)로부터 로그데이터를 통지받아 관리하기 위한 관리자서버(200)를 포함하는 클라우드 컴퓨팅 기반의 허니팟 보안시스템에 있어서, 상기 호넷클라우드(100)는, 상기 분석프레임워크부(106)에서 분석된 로그데이터의 패턴을 공격패턴과 이상패턴과 정상패턴 중 하나로 분류하기 위한 패턴분류부(106)와, 상기 패턴분류부(106)에서 분류된 공격패턴과 이상패턴과 정상패턴에 따라 대처할 수 있는 룰을 생성하기 위한 룰 제너레이터부(108)와, 상기 허니팟(109)에 상기 크래커서버(400)가 우회되거나 격리되었을 경우 상기 유저서버(300)에게 서비스를 제공하기 위해 상기 서비스제공부(101)의 데이터를 이동시키기 위한 데이터이동부(112)를 포함하고, 상기 로그스토리지부(103)는, 상기 허니팟부(109)를 지원하는 대용량 분산 스토리지가 되어 스토리지의 성능이 향상되도록 상기 로그데이터를 외부네트워크 및 내부네트워크로 분리하여 저장하며, 상기 분석프레임워크부(105)는, 상기 샌드박스를 통해 패턴이 분석된 로그데이터가 순서대로 상기 패턴분류부(106)로 전송되도록 작업의 스케줄을 정하고 처리 부하를 균등하게 분배하기 위해 잡스케줄러와 로드밸런스를 실행시키는 것을 특징으로 한다.
본 발명은 서비스를 제공받기 위한 유저서버(300)로 서비스데이터를 제공하기 위한 서비스제공부(101)와, 상기 유저서버(300) 및 상기 서비스제공부(101)의 서비스데이터 제공을 방해하기 위해 공격하는 크래커서버(400)를 모니터링하기 위한 모니터링부(102)와, 상기 모니터링부(102)에서 상기 유저서버(300) 및 크래커서버(400)로 인해 생성된 로그데이터를 저장하는 로그스토리지부(103)와, 상기 로그데이터를 샌드박스로 분석하기 위한 분석프레임워크부(105)와, 상기 분석에 따라 상기 크래커서버(400)를 유인하기 위한 허니팟부(109)와, 상기 허니팟부(109)로 유인된 크래커서버(400)의 데이터를 수집하는 데이터수집부(110)와, 상기 수집된 크래커서버(400)의 데이터를 이용하여 상기 크래커서버(400)의 공격력을 약화시키기 위한 크래커대처부(111)를 포함한 호넷클라우드(100)와, 상기 호넷클라우드(100)로부터 로그데이터를 통지받아 관리하기 위한 관리자서버(200)를 포함하는 클라우드 컴퓨팅 기반의 허니팟 보안시스템에 있어서, 상기 호넷클라우드(100)는, 상기 분석프레임워크부(106)에서 분석된 로그데이터의 패턴을 공격패턴과 이상패턴과 정상패턴 중 하나로 분류하기 위한 패턴분류부(106)와, 상기 패턴분류부(106)에서 분류된 공격패턴과 이상패턴과 정상패턴에 따라 대처할 수 있는 룰을 생성하기 위한 룰 제너레이터부(108)와, 상기 허니팟(109)에 상기 크래커서버(400)가 우회되거나 격리되었을 경우 상기 유저서버(300)에게 서비스를 제공하기 위해 상기 서비스제공부(101)의 데이터를 이동시키기 위한 데이터이동부(112)를 포함하고, 상기 로그스토리지부(103)는, 상기 허니팟부(109)를 지원하는 대용량 분산 스토리지가 되어 스토리지의 성능이 향상되도록 상기 로그데이터를 외부네트워크 및 내부네트워크로 분리하여 저장하며, 상기 분석프레임워크부(105)는, 상기 샌드박스를 통해 패턴이 분석된 로그데이터가 순서대로 상기 패턴분류부(106)로 전송되도록 작업의 스케줄을 정하고 처리 부하를 균등하게 분배하기 위해 잡스케줄러와 로드밸런스를 실행시키는 것을 특징으로 한다.
Description
본 발명은 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법에 관한 것으로, 보다 상세하게는 유저서버에게 클라우드 인프라 및 플랫폼 기반의 서비스 제공을 저해하거나 방해하는 크래커서버의 공격력을 유인 및 약화시키면서 상기 유저서버로 정상적인 서비스를 원활하게 제공할 수 있는 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법이다.
현재, 네트워크 환경은 사용자들에게 언제 어디서나 편리하고 쉽게 서비스를 제공할 수 있도록 가상 인프라를 이용해 서비스를 제공하는 클라우드 컴퓨팅 자원의 사용이 점차 증가되고 있다.
그러나 상기 클라우드 컴퓨팅 자원의 사용은 점차 증가되고 있지만 대부분의 기업이나 개인이 상기 클라우드 컴퓨팅에 대해 최적화된 보안전략의 부재를 우려하고 있는 실정이다.
또한, 상기 클라우드는 가상환경의 보안 취약성 때문에 외부 및 내부 침입의 가능성이 더욱 커졌고 사이버 공격 수법도 빠르게 변화하고 있어 사이버 공격에 의해 개인정보유출, 정보유출, 바이러스 등과 같은 막대한 피해가 발생하는 사건이 증가하고 있는 추세이다.
이에 따라, 상기와 같은 피해를 미연에 방지하기 위해 공개특허 제10-2014-0011496호(공개일자: 2014년01월29일)는 트러스티드 플랫폼이 장착된 경우 상기 트러스티드 플랫폼이 제공하는 암호화된 정보 기반의 보안 인증 및 사전등록한 아이디와 패스워드 정보 기반의 일반 인증을 수행하고 상기 보안 인증 및 일반 인증에 따른 클라우드 서비스를 지원받는 단말기; 상기 트러스티드 플랫폼이 장착된 단말기와 상기 일반 인증 및 보안 인증을 완료 후, 상기 단말기에 기 설정된 클라우드 서비스를 제공하는 클라우드 서비스 장치; 를 포함하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스 시스템을 기술하였다.
그러나 상기 공개특허는 클라우드에 접속되는 유저서버의 인증 등급에만 따라 클라우드 서비스 이용이 가능하도록 되어 있을 뿐 실질적으로 클라우드 컴퓨팅 자원에 크래커서버의 공격 및 침입이 있을 때 보안하기 어려운 실정이다. 즉, 해킹 시도로부터 클라우드 컴퓨팅 시스템을 보호하기 위해서는 단순한 접근 제어나 침입 차단 시스템의 운영만으로는 유저서버에게 원활한 서비스를 제공하는 것이 불가능하였다.
따라서, 상기와 같이 단순한 접근 제어나 침입 차단 시스템과 다른 보안 시스템인 침입탐지시스템(IDS), 허니팟, 피쉬보울 등이 개발되었다.
그 중 허니팟은 컴퓨팅 시스템에 침입한 스팸 및 컴퓨터바이러스, 크래커서버를 탐지하는 가상의 컴퓨팅 시스템이며, 크래커서버를 속이는 최신 침입탐지기법으로 마치 실제로 공격을 당하는 것처럼 보이게 하여 크래커서버를 추적하고 정보를 수집하기 때문에 분산서비스거부(Distributed Denial of Service, DDoS) 공격자의 공격을 유인, 격리 및 차단하기 용이하여 많이 활용되고 있다.
그러나 기존 허니팟은 크래커서버의 공격이나 이상패턴에 따라 생성되지 않고 미리 설정되어 있는 Low-interaction 기능 때문에 상기 크래커서버가 허니팟으로 유인될 확률이 감소되었다.
따라서, 크래커서버의 공격이나 이상패턴에 따라 High-interaction 허니팟을 생성하여 크래커서버를 유인할 확률을 향상시킬 뿐만 아니라 상기 허니팟으로 인해 상기 크래커서버의 컴퓨팅 및 네트워킹 자원을 소진 및 격리시키면서 다른 서비스에 영향을 미치지 못하도록 하여 유저서버들에게는 정상적으로 원활한 클라우드기반의 서비스를 제공하기 위한 방안이 요구되고 있다.
본 발명은 상술한 문제점을 해결하기 위해 제안된 것으로, 모든 서버의 패턴을 분류하여 룰을 생성한 후 유저서버에게 클라우드 인프라 및 플랫폼 기반의 서비스 제공을 저해하거나 방해하는 크래커서버의 공격패턴이나 이상패턴일 시 생성한 룰에 따라 High-interaction 허니팟을 생성함으로써 상기 크래커서버의 자원을 유인, 격리 및 소진시키는 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법을 제공하는 목적이 있다.
또한, High-intraction 허니팟으로 유인된 크래커서버의 공격에 대처하기 위해 상기 크래커서버의 법적 증거를 확보하여 역추적하기 위한 포렌식 툴 등을 이용하는 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법을 제공하는 목적이 있다.
또한, 크래커서버를 유인하면서 유저서버에게 서비스를 제공하기 위한 서비스제공부의 서비스데이터를 여분의 다른 서비스제공부로 이동시켜 상기 유저서버에게 정상적으로 원활한 서비스를 제공하는 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법을 제공하는 목적이 있다.
또한, 모니터링을 통해 생성된 로그 저장을 위한 로그스토리지를 외부 네트워크와 내부 네트워크로 분리하여 구현함으로써 스토리지의 성능이 대폭 향상되는 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법을 제공하는 목적이 있다.
본 발명이 해결하려는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기의 목적을 달성하기 위한 본 발명에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템은 서비스를 제공받기 위한 유저서버(300)로 서비스데이터를 제공하기 위한 서비스제공부(101)와, 상기 유저서버(300) 및 상기 서비스제공부(101)의 서비스데이터 제공을 방해하기 위해 공격하는 크래커서버(400)를 모니터링하기 위한 모니터링부(102)와, 상기 모니터링부(102)에서 상기 유저서버(300) 및 크래커서버(400)로 인해 생성된 로그데이터를 저장하는 로그스토리지부(103)와, 상기 로그데이터를 샌드박스로 분석하기 위한 분석프레임워크부(105)와, 상기 분석에 따라 상기 크래커서버(400)를 유인하기 위한 허니팟부(109)와, 상기 허니팟부(109)로 유인된 크래커서버(400)의 데이터를 수집하는 데이터수집부(110)와, 상기 수집된 크래커서버(400)의 데이터를 이용하여 상기 크래커서버(400)의 공격력을 약화시키기 위한 크래커대처부(111)를 포함한 호넷클라우드(100)와, 상기 호넷클라우드(100)로부터 로그데이터를 통지받아 관리하기 위한 관리자서버(200)를 포함하는 클라우드 컴퓨팅 기반의 허니팟 보안시스템에 있어서, 상기 호넷클라우드(100)는, 상기 분석프레임워크부(106)에서 분석된 로그데이터의 패턴을 공격패턴과 이상패턴과 정상패턴 중 하나로 분류하기 위한 패턴분류부(106)와, 상기 패턴분류부(106)에서 분류된 공격패턴과 이상패턴과 정상패턴에 따라 대처할 수 있는 룰을 생성하기 위한 룰 제너레이터부(108)와, 상기 허니팟(109)에 상기 크래커서버(400)가 우회되거나 격리되었을 경우 상기 유저서버(300)에게 서비스를 제공하기 위해 상기 서비스제공부(101)의 데이터를 이동시키기 위한 데이터이동부(112)를 포함하고, 상기 로그스토리지부(103)는, 상기 허니팟부(109)를 지원하는 대용량 분산 스토리지가 되어 스토리지의 성능이 향상되도록 상기 로그데이터를 외부네트워크 및 내부네트워크로 분리하여 저장하며, 상기 분석프레임워크부(105)는, 상기 샌드박스를 통해 패턴이 분석된 로그데이터가 순서대로 상기 패턴분류부(106)로 전송되도록 작업의 스케줄을 정하고 처리 부하를 균등하게 분배하기 위해 잡스케줄러와 로드밸런스를 실행시키는 것을 특징으로 한다.
또한, 상기 패턴분류부(106)는, 상기 분석프레임워크부(105)에서 분석된 로그데이터의 패턴을 상기 공격패턴과 이상패턴과 정상패턴에 따라 자동으로 매치시키기 위한 템플릿부(107)를 더 포함하여 구성될 수 있다.
본 발명에 있어서, 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행방법은 서비스를 제공받기 위한 유저서버(300)로 서비스데이터를 제공하는 서비스제공부(101)를 포함한 호넷클라우드(100)에서 상기 유저서버(300) 및 상기 유저서버(300)로 서비스 제공을 방해하는 크래커서버(400)을 모니터링하는 모니터링단계와, 상기 모니터링되어 생성된 상기 유저서버(300) 및 크래커서버(400)의 로그데이터를 로그스토리지부(103)에 저장하는 로그데이터저장단계와, 상기 저장된 로그데이터를 상기 관리자서버(200)로 통지하는 데이터통지단계와, 상기 로그데이터를 분석하여 상기 크래커서버(400)를 유인하기 위해 상기 서비스제공부(101)가 복제된 디코이가상서버(114)를 생성하는 허니팟단계와, 상기 크래커서버(400)를 유인하여 상기 크래커서버(400)의 데이터를 수집하고, 상기 크래커서버(400)의 공격력을 약화시키기 위한 대처방안을 실행하는 데이터수집 및 대처단계를 포함하는 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행방법에 있어서,
상기 데이터통지단계와 허니팟단계 사이에는, 상기 로그데이터를 분석하여 공격패턴과 이상패턴과 정상패턴 중 하나로 분류하는 패턴분류단계와, 상기 분류된 로그데이터의 패턴에 대응되도록 대처하기 위해 공격패턴과 이상패턴과 정상패턴에 따른 룰을 생성하는 룰 제너레이터단계를 포함하여 상기 로그데이터가 룰 제너레이터단계에서 공격패턴이나 이상패턴으로 분류될 경우에 상기 디코이가상서버(114)를 생성하며, 상기 허니팟단계를 통해 상기 크래커서버(400)를 유인한 후, 상기 호넷클라우드(100)에서 상기 서비스제공부(101)의 서비스데이터를 이동시켜 상기 유저서버(300)로 제공될 서비스를 준비하는 서비스준비단계와, 상기 준비된 서비스의 정보를 상기 유저서버(300)에게 전송 및 상기 서비스 정보를 갱신한 후, 상기 유저서버(300)의 서비스요청신호를 수신하여 상기 유저서버(300)에 서비스를 전달하는 서비스전달단계를 포함하여 구성되고, 상기 패턴분류단계에서 정상패턴으로 분류될 경우, 상기 서비스제공부(101)의 서비스를 상기 유저서버(300)에 제공하는 서비스제공단계를 포함하여 구성된다.
또한, 상기 패턴분류부(106)는, 상기 분석프레임워크부(105)에서 분석된 로그데이터의 패턴을 상기 공격패턴과 이상패턴과 정상패턴에 따라 자동으로 매치시키기 위한 템플릿부(107)를 더 포함하여 구성될 수 있다.
본 발명에 있어서, 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행방법은 서비스를 제공받기 위한 유저서버(300)로 서비스데이터를 제공하는 서비스제공부(101)를 포함한 호넷클라우드(100)에서 상기 유저서버(300) 및 상기 유저서버(300)로 서비스 제공을 방해하는 크래커서버(400)을 모니터링하는 모니터링단계와, 상기 모니터링되어 생성된 상기 유저서버(300) 및 크래커서버(400)의 로그데이터를 로그스토리지부(103)에 저장하는 로그데이터저장단계와, 상기 저장된 로그데이터를 상기 관리자서버(200)로 통지하는 데이터통지단계와, 상기 로그데이터를 분석하여 상기 크래커서버(400)를 유인하기 위해 상기 서비스제공부(101)가 복제된 디코이가상서버(114)를 생성하는 허니팟단계와, 상기 크래커서버(400)를 유인하여 상기 크래커서버(400)의 데이터를 수집하고, 상기 크래커서버(400)의 공격력을 약화시키기 위한 대처방안을 실행하는 데이터수집 및 대처단계를 포함하는 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행방법에 있어서,
상기 데이터통지단계와 허니팟단계 사이에는, 상기 로그데이터를 분석하여 공격패턴과 이상패턴과 정상패턴 중 하나로 분류하는 패턴분류단계와, 상기 분류된 로그데이터의 패턴에 대응되도록 대처하기 위해 공격패턴과 이상패턴과 정상패턴에 따른 룰을 생성하는 룰 제너레이터단계를 포함하여 상기 로그데이터가 룰 제너레이터단계에서 공격패턴이나 이상패턴으로 분류될 경우에 상기 디코이가상서버(114)를 생성하며, 상기 허니팟단계를 통해 상기 크래커서버(400)를 유인한 후, 상기 호넷클라우드(100)에서 상기 서비스제공부(101)의 서비스데이터를 이동시켜 상기 유저서버(300)로 제공될 서비스를 준비하는 서비스준비단계와, 상기 준비된 서비스의 정보를 상기 유저서버(300)에게 전송 및 상기 서비스 정보를 갱신한 후, 상기 유저서버(300)의 서비스요청신호를 수신하여 상기 유저서버(300)에 서비스를 전달하는 서비스전달단계를 포함하여 구성되고, 상기 패턴분류단계에서 정상패턴으로 분류될 경우, 상기 서비스제공부(101)의 서비스를 상기 유저서버(300)에 제공하는 서비스제공단계를 포함하여 구성된다.
삭제
삭제
삭제
상술한 바와 같이 본 발명에 따르면, 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법은 모든 서버의 패턴을 분류하여 룰을 생성한 후 유저서버에게 클라우드 인프라 및 플랫폼 기반의 서비스 제공을 저해하거나 방해하는 크래커서버의 공격패턴이나 이상패턴일 시 생성된 룰에 따라 High-interaction 허니팟을 생성함으로써 상기 크래커서버의 자원을 유인, 격리 및 소진시켜 다른 서비스가 손상되는 것을 방지할 수 있게 된다.
또한, High-intraction 허니팟으로 유인된 크래커서버의 공격에 대처하기 위해 포렌식 툴 등을 이용하여 상기 크래커서버의 법적 증거를 확보할 뿐만 아니라 상기 크래커서버를 역추적할 수 있게 된다.
또한, 크래커서버를 유인하면서 유저서버에게 서비스가 제공되는 서비스제공부의 서비스데이터를 이동시켜 상기 유저서버에게는 정상적으로 원활한 서비스를 제공할 수 있게 된다.
또한, 모니터링을 통해 생성된 로그 데이터 저장을 위한 로그스토리지를 외부 네트워크와 내부 네트워크로 분리하여 구현함으로써 스토리지의 성능이 대폭 향상되어 스토리지의 부하를 감소시킬 수 있게 된다.
도 1은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템,
도 2는 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 호넷클라우드,
도 3은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 관리자서버,
도 4는 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 유저서버,
도 5는 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 크래커서버,
도 6은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 하이브리드클라우드,
도 7은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 호넷클라우드 패턴분류 및 룰 제너레이터,
도 8은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 호넷클라우드 인프라 설계도,
도 9는 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행순서도,
도 10은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행순서 중 모니터링단계,
도 11은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행순서 중 디코이가상서버복제단계,
도 12는 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행순서 중 데이터이동단계 및 서비스준비단계,
도 13은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행순서 중 서비스전달단계.
도 2는 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 호넷클라우드,
도 3은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 관리자서버,
도 4는 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 유저서버,
도 5는 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 크래커서버,
도 6은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 하이브리드클라우드,
도 7은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 호넷클라우드 패턴분류 및 룰 제너레이터,
도 8은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 호넷클라우드 인프라 설계도,
도 9는 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행순서도,
도 10은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행순서 중 모니터링단계,
도 11은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행순서 중 디코이가상서버복제단계,
도 12는 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행순서 중 데이터이동단계 및 서비스준비단계,
도 13은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행순서 중 서비스전달단계.
이하, 첨부된 도면을 참조하여 본 발명에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법을 상세히 설명한다.
도 1은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템이고, 도 2는 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 호넷클라우드이며, 도 3은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 관리자서버이다.
또한, 도 4는 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 유저서버이며, 도 5는 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 크래커서버이고, 도 6은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 하이브리드클라우드이다.
또한, 도 7은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 호넷클라우드 패턴분류 및 룰 제너레이터이고, 도 8은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 호넷클라우드 인프라 설계도이며, 도 9는 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행순서도이다.
또한, 도 10은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행순서 중 모니터링단계이며, 도 11은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행순서 중 디코이가상서버복제단계이고, 도 12는 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행순서 중 데이터이동단계 및 서비스준비단계이며, 도 13은 본 발명의 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행순서 중 서비스전달단계이다.
상기 도면의 구성 요소들에 인용부호를 부가함에 있어서, 동일한 구성요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 동일한 부호를 가지도록 하고 있으며, 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 공지 기능 및 구성에 대한 상세한 설명은 생략한다. 또한, '상부', '하부', '앞', '뒤', '선단', '전방', '후단' 등과 같은 방향성 용어는 개시된 도면(들)의 배향과 관련하여 사용된다. 본 발명의 실시 예의 구성요소는 다양한 배향으로 위치설정될 수 있기 때문에 방향성 용어는 예시를 목적으로 사용되는 것이지 이를 제한하는 것은 아니다.
본 발명의 바람직한 일실시 예에 의한 클라우드 컴퓨팅 기반의 허니팟 보안시스템은 상기 도 1에 도시된 바와 같이, 서비스 제공을 방해하는 공격을 방어하면서 상기 서비스를 제공하는 호넷클라우드(100)와, 상기 호넷클라우드(100)를 관리하는 관리자서버(200)와, 상기 호넷클라우드(100)의 서비스를 제공받는 유저서버(300)를 포함하는 보안시스템에 있어서, 상기 호넷클라우드(100)는 서비스 제공을 방해하기 위해 침입하거나 공격하는 크래커서버(400)의 공격력을 약화시키기 위해 구성된다.
여기서, 상기 크래커서버(400)는, 상기 도 5에 도시된 바와 같이, 포트스캔부(401)을 포함하여 구성되며, 일반적으로 상기 크래커서버(400)는 서비스를 공격하기 전에는 상기 포트스캔부(401)를 통해 공격 대상을 검색한다.
상기 포트 스캔한 정보를 이용하여 상기 크래커서버(400)는 취약점과 공격 대상을 선정하게 된다.
상기 유저서버(300)는, 상기 도 4에 도시된 바와 같이, 상기 호넷클라우드(100)로부터 제공받는 서비스를 수신하기 위한 서비스수신부(301)와 상기 호넷클라우드(100)에 서비스를 요청하기 위한 서비스요청부(302)를 포함하여 구성된다.
상기 관리자서버(200)는, 상기 도 3에 도시된 바와 같이, 상기 호넷클라우드(100)를 관리하기 위해 상기 호넷클라우드(100)와 통신하는 통신부(201)와 상기 통신부(201)를 통해 수신된 상기 호넷클라우드(100)의 데이터를 저장하고 관리하기 위한 관리부(202)를 포함하여 구성된다.
상기 호넷클라우드(100)는, 상기 도 2에 도시된 바와 같이, 상기 유저서버(300)의 서비스수신부(301)로 송신되는 서비스를 제공하기 위한 서비스제공부(101)를 포함하여 구성된다.
상기 서비스는 IoT(Internet of Thing), AtO(All to One), VoIP(Voice over IP) 등의 XaaS 서비스일 수 있다.
상기 서비스를 서비스제공부(101)로 지원하기 위해서는, 상기 도 6에 도시된 바와 같이, PC, 노트북, 테블릿 등의 다수 유저 서비스 그룹에 다양한 서비스를 제공하기 위한 프라이빗 클라우드 인프라와 클라우드 버스팅(Cloud bursting)기술이 필요하다.
기존의 레거시 시스템보다 컴퓨팅, 네트워킹 그리고 스토리징의 자원을 탄력적으로 지원 및 운용할 수 있는 프라이빗 클라우드 인프라를 구축한 후, 상기 프라이빗 클라우드를 기반으로 퍼블릭 클라우드와 레거시 시스템으로 서비스를 확장한 하이브리드 클라우드를 구축하여야 한다.
상기 하이브리드 클라우드를 구축함으로써 상기 프라이빗 클라우드와 퍼블릭 클라우드의 병용은 물론 기존의 레거시 시스템까지 통합 운영할 수 있게 된다.
여기서, 상기 퍼블릭 클라우드는 신규 서비스의 출시나 서비스 트래픽의 갑작스런 증대 등으로 인해 상기 프라이빗 인프라의 수용량이 초과되어 여분이 필요한 상황이 될 경우에 컴퓨팅, 스토리지 및 네트워크의 확장성을 제공해야 하기 때문에 클라우드 버스팅(Cloud bursting)을 통해 자동적으로 자원을 추가할 수 있다.
또한, 상기 호넷클라우드(100)는 상기 유저서버(300) 및 크래커서버(400)를 모니터링하는 모니터링부(102)와, 상기 모니터링부(102)에서 생성된 데이터는 샌드박스(sandbox)를 이용하여 분석한 후 실행되어야 할 작업의 스케줄을 정하고 처리 부하를 균등하게 분배하기 위한 잡스케줄러(job scheduler)와 로드밸런서(load balancer)를 실행시키는 분석프레임워크부(105)와, 상기 분석프레임워크부(105)의 잡스케줄러에 따라 분석된 데이터를 공격패턴 및 이상패턴과 정상패턴으로 분류하는 패턴분류부(106)와, 상기 패턴분류부(106)의 분류된 공격패턴 및 이상패턴의 정보를 통해 룰을 발생시키는 룰 제너레이터부(108)와, 상기 룰 제너레이터부(108)에 따라 생성되며 상기 크래커서버(400)를 유인하기 위한 허니팟부(109)와, 상기 허니팟부(109)를 통해 상기 크래커서버(400)의 데이터를 수집하는 데이터수집부(110)와, 상기 데이터수집부(110)에서 수집된 상기 크래커서버(400)의 데이터를 이용하여 상기 크래커서버의 공격력을 약화시키기 위한 크래커대처부(111)와, 상기 허니팟부(109)에서 상기 크래커서버를 유인하면 상기 유저서버에게 서비스를 제공하기 위해 상기 서비스제공부(101)의 데이터를 이동시키는 데이터이동부(112)를 포함하여 구성될 수 있다.
상기 모니터링부(102)는 상기 서비스제공부(101)로부터 서비스를 제공받거나 서비스 제공을 방해하기 위해 상기 서비스제공부(101)에 접근하는 모든 서버를 모니터링할 뿐만 아니라 상기 허니팟부(109)의 구동 및 운영도 모니터링을 수행하게 된다.
다시 말해, 상기 유저서버(300)부터 상기 크래커서버(400)의 포트스캔, 상기 허니팟부(109)의 구동 및 운영, 상기 크래커서버(400)의 모든 행위들을 모니터링하게 된다.
여기서, 상기 모니터링부(102)에서 상기 유저서버(300) 및 크래커서버(400)로 인해 생성된 로그데이터를 기록하기 위한 로그스토리지부(103)를 더 포함하여 구성한다.
상기 로그스토리지부(103)는 상기 모니터링부(102)에서 생산된 상기 크래커서버(400) 및 유저서버(300)의 로그 데이터를 외부네트워크와 내부네트워크로 분리하여 저장한다.
상기 로그스토리지부(103)의 외부네트워크는 클라이언트나 어플리케이션 API 등에 의한 스토리지에 데이터의 Read/Write 기능을 제공하기 위해 사용될 수 있고, 상기 로그스토리지부(103)의 내부네트워크는 스토리지 클러스터를 연결하며 클러스터 내의 데이터 응답, 삭제코딩, 로드밸런스, 자기회복작용, 클러스터 회복 등의 용도로 사용될 수 있다.
이와 같이, 상기 로그스토리지부(103)를 외부네트워크와 내부네트워크로 분리함으로 인해 상기 호넷클라우드(100)의 다양한 서비스와 이에 대응되는 허니팟부(109)를 지원할 수 있는 대용량 분산 스토리지가 되어 스토리지의 성능이 대폭 향상될 수 있다.
또한, 상기 로그스토리지부(103)에 낮은 가격과 저전력으로 자주 사용되지 않는 데이터를 처리하기 위한 저장 장치 및 시스템인 Cold 스토리지 기술을 사용하여 데이터를 보존함으로써 에너지 절감을 실행할 수 있다.
상기 로그스토리지부(103)에 기록된 로그데이터를 상기 관리자서버(200)로 통지부(104)를 통해 전송하게 된다.
상기 도 7에 도시된 바와 같이, 상기 로그스토리지부(103)에 기록된 로그데이터를 상기 분석프레임워크부(105)에서 분석하여 상기 허니팟부(109)를 생성시키고 상기 크래커서버(400)의 공격에 대해 대처한다.
상기 분석프레임워크부(105)는 상기 로그데이터를 샌드박스(sandbox)에 가둔 후 데이터 근원지, 관리 및 대시보드, 저장 및 변환, 하둡 및 스톰, 분석 툴과 인포그래픽스 등을 이용하여 상기 로그데이터의 패턴을 분석하게 된다.
그 후, 상기 분석프레임워크부(105)는 상기 잡스케줄러(job scheduler)와 로드밸런스(load balancer)를 실행시켜 작업의 스케줄을 정하여 효율적으로 작업을 진행시킬 수 있으며 처리 부하를 균등하게 배분함으로써 과부하로 인해 응답이 지연되거나 정지되는 것을 방지할 수 있다.
상기 분석프레임워크부(105)에서 분석이 완료된 데이터패턴은 상기 잡스케줄러(job scheduler)의 작업 스케줄에 따라 상기 호넷클라우드(100)의 패턴분류부(106)로 전송된다.
상기 패턴분류부(106)는 상기 로그데이터가 상기 호넷클라우드(100)를 공격할 공격패턴인지, 상기 호넷클라우드(100)를 공격할 공격패턴은 아니지만 상기 호넷클라우드(100)에 접근하는 패턴이 정상적이지 않는 이상패턴인지 또는 정상적으로 서비스를 받기 위한 정상 패턴인지를 구분하여 분류하게 된다.
이때, 상기 패턴분류부(106)는 템플릿부(107)를 포함하여 구성되고, 상기 템플릿부(107)로 인해 상기 분석프레임워크부(105)로부터 분석된 데이터를 상기 패턴분류부(106)의 분류에 따라 자동으로 매치시켜 분류될 수 있다.
상기 패턴분류부(106)에서 분류된 패턴들을 이용하여 상기 룰 제너레이터부(108)는 공격패턴, 이상패턴 및 정상패턴에 따라 대처할 수 있는 룰을 생성한다.
상기 패턴분류부(106)를 통해 분류된 패턴 중 정상패턴일 경우, 상기 룰 제너레이터부(108)는 상기 서비스제공부(101)에서 서비스를 상기 유저서버(300)에게 제공하게 한다.
반면, 상기 패턴분류부(106)를 통해 분류된 패턴이 공격패턴이거나 이상패턴일 경우, 상기 룰 제너레이터부(108)는 상기 공격패턴 및 이상패턴의 크래커서버(400)에 취약점이 될 정보를 이용하여 상기 허니팟부(109)을 생성시키게 된다.
상기 룰 제너레이터부(108)의 룰에 따라 대처할 수 있기 때문에 추후에 상기 공격패턴 및 이상패턴과 비슷하거나 같은 크래커서버(400)가 침입하였을 시 빠른 대처가 가능하게 된다.
상기 룰 제너레이터부(108)에서 발생시킨 룰에 따라 상기 허니팟부(109)에서 High-interaction 허니팟을 생성시킨다.
상기 허니팟부(109)는 다수의 허니팟으로 존재할 수 있으며 정상적인 시스템의 모든 구성 요소를 갖추고 있어야하고 상기 크래커서버(400)의 포트스캔부(401)에 검색되기 위해 노출되어 있으며 공격이 용이해보이고 해킹이 가능한 것처럼 취약해 보여야한다.
상기 허니팟부(109)는 상기 크래커서버(400)의 공격을 방지하거나 공격력을 약화시키기 위해 상기 서비스제공부(101)를 복사한 디코이가상서버(114)를 생성하여 상기 크래커서버(400)를 유인한다. 즉, 상기 허니팟부(109)는 상기 크래커서버(400)를 상기 디코이가상서버(114)에 오래 머물게 하여 상기 크래커서버(400)의 컴퓨팅 및 네트워킹 자원을 격리 및 소진시키면서 상기 크래커서버(400)의 데이터를 상기 데이터수집부(110)가 수집할 수 있도록 함으로써 상기 크래커대처부(111)에서 포렌식 툴을 사용하여 상기 크래커서버(400)를 역추적하거나 능동적으로 상기 크래커서버(400)의 공격을 방어할 수 있게 된다.
여기서, 상기 디코이가상서버(114)는 상기 서비스제공부(101)를 복사하고, 상기 크래커서버(400)의 네트워크 위치, 가용 가능한 하이브리드 클라우드 인프라의 컴퓨팅, 네트워킹, 스토리지 자원 풀 리스트 등을 이용하여 최적의 네트워크 위치와 디코이 역할을 수행할 허니팟을 선택하여 생성될 수 있다.
한편, 기존의 레거시 시스템은 상기 레거시 시스템에서 구축된 서비스와 그 서비스에 대해 공격하는 크래커서버(400)를 유인하기 위해 상기 레거시 시스템의 서비스에 상기와 같은 허니팟부(109)를 구성하여야 한다.
상기 레거시 시스템 서비스의 허니팟부(109) 구성은 상기 기존 레거시 시스템 서비스를 클라우드 서비스로 전환한 후, 기존 소스를 이용하여 High-interaction 허니팟으로 수정하고 상기 기존 레거시 시스템에 공격한 공격벡터와 패턴을 저장하는 것이 바람직하다.
또한, 상기 기존 레거시 시스템에서 클라우드 서비스로 전환하면서 서비스 제공을 위한 성능을 향상시키기 위해 캐시 기술인 memcached와 zookeeper 등의 오픈소스를 이용하여 상기 유저서버(300)에 서비스 제공하는 것을 가속화한다.
다시 말해, 특정 스토리지에 주기적으로 저장되는 hot-spot 데이터를 캐싱하여 상기 유저서버(300)에게 신속한 서비스 제공을 할 수 있으며, 상기 로그 스토리지의 부하를 감소시킬 수 있게 된다.
상기 디코이가상서버(114)가 생성됨으로써 상기 크래커서버(400)로 인한 상기 서비스제공부(101)의 네트워크 트래픽이 초과하지 않음은 물론 상기 크래커서버(400)를 호넷클라우드(100)의 네트워크로부터 우회시키거나 격리시켜 상기 디코이가상서버(114)로 유인하게 되어 상기 유저서버(300)에게 원활한 서비스를 제공할 수 있게 된다.
상기 허니팟부(109)를 이용하여 상기 데이터수집부(110)에서 상기 크래커서버(400)의 공격벡터와 패턴 등의 데이터를 수집한다.
상기 수집된 데이터를 통해 상기 크래커대처부(111)에서는 포렌식 툴 등을 이용하여 상기 크래커서버(400)를 역추적하고 상기 크래커서버(400)의 공격을 방어하거나 약화시킨다.
상기 포렌식 툴은 PC나 노트북, 휴대폰 등 각종 저장매체나 인터넷 상에 남아 있는 각종 디지털 정보를 분석해 범죄 단서를 찾아내는 수사기법으로써 상기 크래커서버(400)와 관련된 증거를 확보하여 분석할 수 있다.
다시 말해, 상기 포렌식 툴을 이용하여 상기 크래커서버(400)가 법적으로 처벌받을 수 있도록 법적 증거를 확보하고 분석함은 물론 상기 크래커서버(400)를 역추적할 수 있게 된다.
상기 크래커서버(400)를 상기 허니팟부(106)가 우회시키거나 격리시키고 있을 때, 상기 데이터이동부(112)는 상기 서비스제공부(101)의 서비스데이터를 여분의 다른 서비스제공부(101)로 이동시킨다.
상기 이동된 서비스데이터가 저장된 여분의 다른 서비스제공부(101)는 상기 하이브리드 클라우드 인프라의 자원을 이용하여 본래의 서비스를 준비하게 되며, 상기 서비스 준비가 완료되었을 시 보안 전략 알고리즘을 상기 모니터링부(102)와 관리자서버(200)에게 통보하여야 한다.
상기 이동된 서비스데이터가 저장된 여분의 다른 서비스제공부(101)는 상기 유저서버(300)로 서비스의 정보를 메시지 큐로 전송 및 서비스 정보 갱신하게 되면 상기 유저서버(300)의 서비스요청부(302)에서 서비스 요청에 의해 서비스를 제공하게 된다.
한편, 상기 호넷클라우드(100)는 상기 모니터링부(102) 등의 기능이 예정대로 실행되고 있는가의 여부를 평가하기 위한 감사부(113)를 더 포함하여 구성될 수 있는데, 상기 감사부(113)는 상기 로그스토리지부(103)에 저장된 로그 데이터를 사용하여 상기 호넷클라우드(100)를 감사(audit)한다.
상기와 같이 구성된 호넷클라우드(100)의 인프라는, 상기 도 8에 도시된 바와 같이, 상기 호넷클라우드(100)를 개략적으로 CPU, 스토리지, 네트워크 카드로 나누어 설명할 수 있다.
상기 호넷클라우드(100) 인프라의 노드는 상기 CPU의 코어를 이용하여 상기 유저서버에 제공하기 위한 다양한 서비스를 서비스제공부(101)에 할당하게 되고, 상기 노드에 할당되는 스토리지는 용도에 따라 물리적 분리가 필요하게 된다.
상기 스토리지는 OS와 서비스를 위한 상기 서비스제공부(101) 공간, 서비스 템플릿부(107), 그리고 모니터링부(102)와 감사부(113) 등을 위한 저장 공간으로 활용된다.
상기 네트워크 카드는 내부네트워크 카드와 외부네트워크 카드로 분리하고, 상기 외부네트워크 카드는 외부네트워크와 연결되어 서비스를 제공하기 위한 용도이며 상기 내부네트워크 카드는 내부네트워크와 연결되어 상기 허니팟부(109)를 운용하기 위한 용도로 사용된다.
상기 호넷클라우드(100)에는 다수의 상기 허니팟부(109) 데몬을 구성하고 상기 허니팟부(109)가 보안 전략을 운용할 시 상기 스토리지에서 템플릿부(107)를 운용하여 상기 룰 제너레이터부(108)를 실행시킨다.
한편, 상기와 같이 구성된 본 발명인 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행 방법은, 상기 도 9 내지 도 13에 도시된 바와 같이, 상기 호넷클라우드(100)에 접속하는 상기 유저서버(300) 및 크래커서버(400)를 모니터링 한다(S100).
상기 모니터링 후 생성된 상기 유저서버(300) 및 크래커서버(400)의 로그데이터를 상기 로그스토리지부(103)에 저장한 후(S120), 상기 저장된 로그데이터를 상기 관리자서버(200)로 통지한다(S130).
상기 로그데이터를 상기 분석프레임워크부(105)에서 샌드박스에 가둔 후 분석하고 잡스케줄러를 이용한 작업 스케줄에 따라 상기 패턴분류부(106)의 공격패턴과 이상패턴 및 정상패턴에 매치되는 패턴으로 분류한다(S140).
상기 분류된 패턴을 통해 상기 룰 제너레이터부(108)에서 룰을 발생시킨다(S150).
상기 패턴분류부(106)에서 정상패턴으로 분류될 경우, 상기 서비스제공부(101)의 서비스를 상기 유저서버(300)에 제공한다(S160).
반면, 상기 패턴분류부(106)에서 공격패턴과 이상패턴으로 분류될 경우, 상기 룰 제너레이터부(108)를 통한 룰에 따라 상기 크래커서버(400)를 유인하기 위해 상기 서비스제공부(101)가 복제된 디코이가상서버(114)를 생성한다(S170).
상기 복제된 디코이가상서버(114)로 상기 크래커서버(400)를 유인하면서 상기 크래커서버(400)의 데이터를 수집하고, 상기 수집된 데이터를 이용하여 상기 크래커서버(400)의 공격력을 약화시키기 위한 크래커대처부(111)를 실행한다(S171).
상기 크래커대처부(111)에서는 상기 크래커서버(400)의 데이터를 수집하기 위해 포렌식 툴 등을 실행시킨다.
상기 디코이가상서버(114)로 상기 크래커서버(400)를 유인하여 상기 호넷클라우드(100)의 네트워크로부터 격리시키거나 우회시킨 후, 상기 호넷클라우드(100)의 데이터이동부(112)에서는 여분의 다른 서비스제공부(101)로 서비스데이터를 이동시킨다(S172).
상기 이동된 데이터를 갖는 여분의 다른 서비스제공부(101)는 상기 유저서버(300)로 제공될 서비스를 상기 하이브리드 클라우드 인프라의 자원을 이용하여 서비스를 준비한다(S173).
또한, 상기 서비스의 준비가 완료된 후 보안 전략 알고리즘을 상기 모니터링부(102)와 관리자서버(200)에 통보한다.
상기 준비된 서비스의 정보를 메시지 큐로 상기 유저서버(300)에게 전송 및 상기 서비스 정보를 갱신한 후, 상기 유저서버(300)의 서비스요청신호를 수신할 시 상기 유저서버(300)에 서비스를 전달한다(S174).
따라서, 본 발명은 모든 서버의 패턴을 분류하여 룰을 생성한 후 유저서버에게 클라우드 인프라 및 플랫폼 기반의 서비스 제공을 저해하거나 방해하는 크래커서버의 공격패턴이나 이상패턴일 시 생성한 룰에 따라 상기 크래커서버를 유인시키기 위한 High-interaction 허니팟을 생성함으로써 상기 크래커서버의 자원을 유인, 격리 및 소진시켜 다른 서비스가 손상되는 것을 방지할 수 있게 된다.
또한, High-intraction 허니팟으로 유인된 크래커서버의 공격에 대처하기 위해 포렌식 툴 등을 이용하여 상기 크래커서버의 법적 증거를 확보할 뿐만 아니라 상기 크래커서버를 역추적할 수 있게 된다.
또한, 크래커서버를 유인하면서 유저서버에게 서비스가 제공되는 서비스제공부의 서비스데이터를 이동시켜 상기 유저서버에게는 정상적으로 원활한 서비스를 제공할 수 있게 된다.
한편, 모니터링을 통해 생성된 로그 데이터 저장을 위한 로그스토리지를 외부 네트워크와 내부 네트워크로 분리하여 구현함으로써 스토리지의 성능이 대폭 향상되어 스토리지의 부하를 감소시킬 수 있게 된다.
앞에서 설명되고, 도면에 도시된 본 발명의 실시 예들은 본 발명의 기술적 사상을 한정하는 것으로 해석되어서는 안 된다. 본 발명의 보호범위는 청구범위에 기재된 사항에 의하여만 제한되고, 본 발명의 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상을 다양한 형태로 개량 변경하는 것이 가능하다. 따라서 이러한 개량 및 변경은 통상의 지식을 가진 자에게 자명한 것인 경우에는 본 발명의 보호범위에 속하게 될 것이다.
100: 호넷클라우드 101: 서비스제공부
102: 모니터링부 103: 로그스토리지부
104: 통지부 105: 분석프레임워크부
106: 패턴분류부 107: 템플릿부
108: 룰 제너레이터부 109: 허니팟부
110: 데이터수집부 111: 크래커대처부
112: 데이터이동부 113: 감사부
114: 디코이가상서버 200: 관리자서버
201: 통신부 202: 관리부
300: 유저서버 301: 서비스수신부
302: 서비스요청부 400: 크래커서버
401: 포트스캔부
102: 모니터링부 103: 로그스토리지부
104: 통지부 105: 분석프레임워크부
106: 패턴분류부 107: 템플릿부
108: 룰 제너레이터부 109: 허니팟부
110: 데이터수집부 111: 크래커대처부
112: 데이터이동부 113: 감사부
114: 디코이가상서버 200: 관리자서버
201: 통신부 202: 관리부
300: 유저서버 301: 서비스수신부
302: 서비스요청부 400: 크래커서버
401: 포트스캔부
Claims (4)
- 서비스를 제공받기 위한 유저서버(300)로 서비스데이터를 제공하기 위한 서비스제공부(101)와, 상기 유저서버(300) 및 상기 서비스제공부(101)의 서비스데이터 제공을 방해하기 위해 공격하는 크래커서버(400)를 모니터링하기 위한 모니터링부(102)와, 상기 모니터링부(102)에서 상기 유저서버(300) 및 크래커서버(400)로 인해 생성된 로그데이터를 저장하는 로그스토리지부(103)와, 상기 로그데이터를 샌드박스로 분석하기 위한 분석프레임워크부(105)와, 상기 분석에 따라 상기 크래커서버(400)를 유인하기 위한 허니팟부(109)와, 상기 허니팟부(109)로 유인된 크래커서버(400)의 데이터를 수집하는 데이터수집부(110)와, 상기 수집된 크래커서버(400)의 데이터를 이용하여 상기 크래커서버(400)의 공격력을 약화시키기 위한 크래커대처부(111)를 포함한 호넷클라우드(100)와, 상기 호넷클라우드(100)로부터 로그데이터를 통지받아 관리하기 위한 관리자서버(200)를 포함하는 클라우드 컴퓨팅 기반의 허니팟 보안시스템에 있어서,
상기 호넷클라우드(100)는, 상기 분석프레임워크부(106)에서 분석된 로그데이터의 패턴을 공격패턴과 이상패턴과 정상패턴 중 하나로 분류하기 위한 패턴분류부(106)와, 상기 패턴분류부(106)에서 분류된 공격패턴과 이상패턴과 정상패턴에 따라 대처할 수 있는 룰을 생성하기 위한 룰 제너레이터부(108)와, 상기 허니팟(109)에 상기 크래커서버(400)가 우회되거나 격리되었을 경우 상기 유저서버(300)에게 서비스를 제공하기 위해 상기 서비스제공부(101)의 데이터를 이동시키기 위한 데이터이동부(112)를 포함하고,
상기 로그스토리지부(103)는, 상기 허니팟부(109)를 지원하는 대용량 분산 스토리지가 되어 스토리지의 성능이 향상되도록 상기 로그데이터를 외부네트워크 및 내부네트워크로 분리하여 저장하며,
상기 분석프레임워크부(105)는, 상기 샌드박스를 통해 패턴이 분석된 로그데이터가 순서대로 상기 패턴분류부(106)로 전송되도록 작업의 스케줄을 정하고 처리 부하를 균등하게 분배하기 위해 잡스케줄러와 로드밸런스를 실행시키는 클라우드 컴퓨팅 기반의 허니팟 보안시스템.
- 청구항 1에 있어서,
상기 패턴분류부(106)는, 상기 분석프레임워크부(105)에서 분석된 로그데이터의 패턴을 상기 공격패턴과 이상패턴과 정상패턴에 따라 자동으로 매치시키기 위한 템플릿부(107)를 더 포함하여 구성되는 클라우드 컴퓨팅 기반의 허니팟 보안시스템.
- 서비스를 제공받기 위한 유저서버(300)로 서비스데이터를 제공하는 서비스제공부(101)를 포함한 호넷클라우드(100)에서 상기 유저서버(300) 및 상기 유저서버(300)로 서비스 제공을 방해하는 크래커서버(400)을 모니터링하는 모니터링단계와, 상기 모니터링되어 생성된 상기 유저서버(300) 및 크래커서버(400)의 로그데이터를 로그스토리지부(103)에 저장하는 로그데이터저장단계와, 상기 저장된 로그데이터를 상기 관리자서버(200)로 통지하는 데이터통지단계와, 상기 로그데이터를 분석하여 상기 크래커서버(400)를 유인하기 위해 상기 서비스제공부(101)가 복제된 디코이가상서버(114)를 생성하는 허니팟단계와, 상기 크래커서버(400)를 유인하여 상기 크래커서버(400)의 데이터를 수집하고, 상기 크래커서버(400)의 공격력을 약화시키기 위한 대처방안을 실행하는 데이터수집 및 대처단계를 포함하는 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행방법에 있어서,
상기 데이터통지단계와 허니팟단계 사이에는, 상기 로그데이터를 분석하여 공격패턴과 이상패턴과 정상패턴 중 하나로 분류하는 패턴분류단계와, 상기 분류된 로그데이터의 패턴에 대응되도록 대처하기 위해 공격패턴과 이상패턴과 정상패턴에 따른 룰을 생성하는 룰 제너레이터단계를 포함하여 상기 로그데이터가 룰 제너레이터단계에서 공격패턴이나 이상패턴으로 분류될 경우에 상기 디코이가상서버(114)를 생성하며,
상기 허니팟단계를 통해 상기 크래커서버(400)를 유인한 후, 상기 호넷클라우드(100)에서 상기 서비스제공부(101)의 서비스데이터를 이동시켜 상기 유저서버(300)로 제공될 서비스를 준비하는 서비스준비단계와,
상기 준비된 서비스의 정보를 상기 유저서버(300)에게 전송 및 상기 서비스 정보를 갱신한 후, 상기 유저서버(300)의 서비스요청신호를 수신하여 상기 유저서버(300)에 서비스를 전달하는 서비스전달단계를 포함하여 구성되고,
상기 패턴분류단계에서 정상패턴으로 분류될 경우, 상기 서비스제공부(101)의 서비스를 상기 유저서버(300)에 제공하는 서비스제공단계를 포함하여 구성되는 클라우드 컴퓨팅 기반의 허니팟 보안시스템의 실행방법. - 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150149305A KR101753647B1 (ko) | 2015-10-27 | 2015-10-27 | 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150149305A KR101753647B1 (ko) | 2015-10-27 | 2015-10-27 | 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20170048785A KR20170048785A (ko) | 2017-05-10 |
| KR101753647B1 true KR101753647B1 (ko) | 2017-07-05 |
Family
ID=58743727
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020150149305A KR101753647B1 (ko) | 2015-10-27 | 2015-10-27 | 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101753647B1 (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20190029486A (ko) | 2017-09-11 | 2019-03-20 | 숭실대학교산학협력단 | 탄력적 허니넷 시스템 및 그 동작 방법 |
| KR102651735B1 (ko) | 2023-05-26 | 2024-03-28 | 쿤텍 주식회사 | 가상 세션을 이용한 허니팟 시스템 및 허니팟 운영 방법 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102126626B1 (ko) * | 2018-01-26 | 2020-06-25 | 지엘디앤아이에프 주식회사 | 허니팟이 적용된 망 분리 시스템 |
| KR102075003B1 (ko) * | 2018-03-28 | 2020-02-07 | 정경수 | 보안 서버 및 보안 서버의 운영 방법 |
| KR102210051B1 (ko) * | 2018-12-14 | 2021-02-01 | 지엘디앤아이에프 주식회사 | 허니팟이 적용된 망 분리 시스템 |
| KR102176961B1 (ko) * | 2019-01-07 | 2020-11-10 | 지엘디앤아이에프 주식회사 | 허니팟이 적용된 망 분리 시스템 |
| CN109831447A (zh) * | 2019-03-05 | 2019-05-31 | 浙江大学 | 一种基于nfv的智能蜜网系统 |
-
2015
- 2015-10-27 KR KR1020150149305A patent/KR101753647B1/ko active IP Right Grant
Non-Patent Citations (2)
| Title |
|---|
| Niels Provos, "A Virtual Honeypot Framework", CITI Technical Report 03-1 (2003.10.21.) |
| 김천석 외 2명, "Virtual Honeynet을 이용한 신종공격 탐지 사례", 한국전자통신학회논문지, 제7권 제2호 (2012.04.) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20190029486A (ko) | 2017-09-11 | 2019-03-20 | 숭실대학교산학협력단 | 탄력적 허니넷 시스템 및 그 동작 방법 |
| KR102651735B1 (ko) | 2023-05-26 | 2024-03-28 | 쿤텍 주식회사 | 가상 세션을 이용한 허니팟 시스템 및 허니팟 운영 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20170048785A (ko) | 2017-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101753647B1 (ko) | 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법 | |
| Modi et al. | Virtualization layer security challenges and intrusion detection/prevention systems in cloud computing: a comprehensive review | |
| Lee et al. | On security and privacy issues of fog computing supported Internet of Things environment | |
| US10122760B2 (en) | Computer network security system | |
| AU2015374078B2 (en) | Systems and methods for automatically applying firewall policies within data center applications | |
| Jian et al. | A defense method against docker escape attack | |
| CN104871484B (zh) | 用于安全环境中的端点硬件辅助的网络防火墙的系统和方法 | |
| Carlin et al. | Intrusion detection and countermeasure of virtual cloud systems-state of the art and current challenges | |
| US20150326588A1 (en) | System and method for directing malicous activity to a monitoring system | |
| Inayat et al. | Cloud-based intrusion detection and response system: open research issues, and solutions | |
| CN101496025A (zh) | 用于向移动设备提供网络安全的系统和方法 | |
| EP3352110B1 (en) | System and method for detecting and classifying malware | |
| Kebande et al. | A generic Digital Forensic Readiness model for BYOD using honeypot technology | |
| Man et al. | A collaborative intrusion detection system framework for cloud computing | |
| WO2016081561A1 (en) | System and method for directing malicious activity to a monitoring system | |
| US20220166783A1 (en) | Enabling enhanced network security operation by leveraging context from multiple security agents | |
| Mudgerikar et al. | Edge-based intrusion detection for IoT devices | |
| Kandukuru et al. | Android malicious application detection using permission vector and network traffic analysis | |
| Al-Marghilani | Comprehensive Analysis of IoT Malware Evasion Techniques | |
| US9461984B1 (en) | Systems and methods for blocking flanking attacks on computing systems | |
| Liang et al. | Collaborative intrusion detection as a service in cloud computing environment | |
| Anisetti et al. | Security threat landscape | |
| Fellah et al. | Mobile cloud computing: Architecture, advantages and security issues | |
| Kumar | Intrusion detection and prevention system in enhancing security of cloud environment | |
| Chen et al. | A Brief Survey of Open Radio Access Network (O-RAN) Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right |