KR101816751B1 - 하이퍼바이저 기반의 가상머신 모니터링 장치 및 방법 - Google Patents

하이퍼바이저 기반의 가상머신 모니터링 장치 및 방법 Download PDF

Info

Publication number
KR101816751B1
KR101816751B1 KR1020160075780A KR20160075780A KR101816751B1 KR 101816751 B1 KR101816751 B1 KR 101816751B1 KR 1020160075780 A KR1020160075780 A KR 1020160075780A KR 20160075780 A KR20160075780 A KR 20160075780A KR 101816751 B1 KR101816751 B1 KR 101816751B1
Authority
KR
South Korea
Prior art keywords
file
virtual machine
system call
malicious
executable file
Prior art date
Application number
KR1020160075780A
Other languages
English (en)
Other versions
KR20170041618A (ko
Inventor
김성진
황우민
김병준
이철우
김형천
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US15/274,126 priority Critical patent/US10121004B2/en
Publication of KR20170041618A publication Critical patent/KR20170041618A/ko
Application granted granted Critical
Publication of KR101816751B1 publication Critical patent/KR101816751B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

하이퍼바이저 기반의 가상머신 모니터링 장치 및 방법이 개시된다. 본 발명에 따른 가상머신 모니터링 방법은 가상머신의 내부에 위치한 실행파일에 대한 접근 시도를 모니터링 하는 단계; 상기 실행파일로의 접근 시도가 탐지된 경우, 접근을 시도한 태스크(task)를 통해 입력된 시스템 콜 전달 인자를 추출하는 단계; 상기 시스템 콜 전달 인자를 기반으로 상기 실행파일에 상응하는 실행경로와 상기 실행파일과 함께 실행된 참조파일에 상응하는 참조경로를 획득하는 단계; 및 상기 실행경로와 상기 참조경로를 기반으로 상기 실행파일과 상기 참조파일의 악성여부를 점검하고, 상기 실행파일 및 상기 참조파일 중 악성파일이 존재하는 경우에 상기 악성파일이 존재하는 파일을 수집하는 단계를 포함한다.

Description

하이퍼바이저 기반의 가상머신 모니터링 장치 및 방법 {APPARATUS AND METHOD FOR MONITORING VIRTUAL MACHINE BASED ON HYPERVISOR}
본 발명은 가상머신의 실행파일을 모니터링하는 기술에 관한 것으로, 특히 가상화 환경에서 하이퍼바이저 또는 가상 호스트를 신뢰기반(Base of Trust)으로 가상머신 내부의 실행파일을 모니터링할 수 있는 하이퍼바이저 기반의 가상머신 모니터링 장치 및 방법에 관한 것이다.
가상화 환경에서 가상 호스트 기반으로 실행파일의 모니터링을 수행하고 악성파일을 수집하기 위해서, 기존에는 호스트 운영체제 커널 또는 유저영역에 보안 에이전트를 설치하여 모니터링을 수행할 수 있었다. 즉, 보안 에이전트를 통해 실행파일의 실행과 관련된 시스템 콜의 호출을 모니터링하거나, 블록장치의 Input/Output를 모니터링하고, 이벤트 발생 시 특정 경로의 악성코드를 채증하는 방법 등을 이용할 수 있었다.
하지만, 상기 예와 같은 보안 에이전트 또는 보안 프로그램은 악성코드와 동등한 권한으로 동작하기 때문에, 악성코드가 보안 프로그램의 모니터링 작업을 방해하거나 심지어 종료시킬 수 있는 단점이 있다. 또한, 악성 코드가 자신의 존재를 숨기기 위해 은닉하거나 실행 즉시 삭제하는 행위가 빈번하게 발생하고 있기 때문에, 사고조사를 위한 악성코드 본체의 수집에 어려움을 겪고 있다.
이러한 가상화 환경에서 하이퍼바이저는 가상머신의 게스트 운영체제보다 높은 권한을 가지므로, 가상머신 내부의 악성 행위에 영향을 받지 않고 보안 작업을 수행할 수 있는 신뢰 기반이 된다.
따라서, 가상머신보다 높은 권한을 갖는 하이퍼바이저 또는 가상화 호스트 영역에서 가상머신 내부의 실행파일을 모니터링하여, 침해사고 조사 및 분석을 위한 악성파일의 본체나 관련 파일을 빠른 시간 내에 자동으로 채증할 수 있는 새로운 가상머신 모니터링 기술의 필요성이 절실하게 대두된다.
한국 등록 특허 제10-1405831호, 2014년 6월 3일 공개(명칭: 악성실행코드의 숙주 파일 탐지 시스템 및 방법)
본 발명의 목적은 가상머신에 별도의 보안 프로그램을 설치하지 않고도 가상머신 내부의 실행파일을 모니터링하는 것이다.
또한, 본 발명의 목적은 하이퍼바이저 또는 가상 호스트 영역에서 모니터링 및 채증을 수행함으로써 가상머신 운영체제 커널이 해킹에 의해 점거 당하더라도 정확한 모니터링 및 채증을 수행할 수 있는 방법을 제공하는 것이다.
또한, 본 발명의 목적은 가상머신 내부의 실행파일을 상시 모니터링하여 침해사고 조사 및 분석을 위한 악성파일 본체 또는 관련된 파일을 빠른 시간 내에 자동으로 채증하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 하이퍼바이저 기반의 가상머신 모니터링 방법은, 가상머신의 내부에 위치한 실행파일에 대한 접근 시도를 모니터링 하는 단계; 상기 실행파일로의 접근 시도가 탐지된 경우, 접근을 시도한 태스크(task)를 통해 입력된 시스템 콜 전달 인자를 추출하는 단계; 상기 시스템 콜 전달 인자를 기반으로 상기 실행파일에 상응하는 실행경로와 상기 실행파일과 함께 실행된 참조파일에 상응하는 참조경로를 획득하는 단계; 및 상기 실행경로와 상기 참조경로를 기반으로 상기 실행파일과 상기 참조파일의 악성여부를 점검하고, 상기 실행파일 및 상기 참조파일 중 악성파일이 존재하는 경우에 상기 악성파일이 존재하는 파일을 수집하는 단계를 포함한다.
이 때, 모니터링 하는 단계는 상기 가상머신에 상응하는 가상 메모리에서 상기 실행파일에 대응하는 시스템 콜 코드의 위치를 파악하고, 상기 시스템 콜 코드의 실행 시도를 기반으로 생성되는 접근 이벤트가 탐지된 경우에 상기 실행파일로의 접근 시도가 발생한 것으로 판단할 수 있다.
이 때, 모니터링 하는 단계는 상기 태스크가 상기 시스템 콜 코드의 위치로 접근하는 경우 및 상기 태스크가 상기 시스템 콜 코드의 위치를 가리키는 페이지 테이블 엔트리로 접근하여 예외상황(exception)이 발생하는 경우 중 적어도 하나의 경우에 상기 접근 이벤트를 생성할 수 있다.
이 때, 페이지 테이블 엔트리는 상기 가상머신에 상응하는 커널이 관리하는 페이지 테이블에 해당하는 페이지 테이블 엔트리 및 상기 가상머신의 내부에서 접근할 수 없는 하드웨어 지원(Hardware-assisted) 주소변환 테이블에 해당하는 페이지 테이블 엔트리 중 적어도 하나에 상응할 수 있다.
이 때, 시스템 콜 전달 인자를 추출하는 단계는 상기 접근 이벤트가 감지된 경우에 상기 가상머신에서 사용하는 레지스터 및 스택 중 적어도 하나에서 상기 시스템 콜 전달 인자를 추출할 수 있다.
이 때, 시스템 콜 전달 인자를 추출하는 단계는 상기 접근 이벤트가 감지된 경우에 상기 가상머신에 상응하는 가상머신 식별자와 상기 태스크에 상응하는 태스크 식별자를 연동하여 식별자 세트를 생성하고, 상기 식별자 세트를 기반으로 상기 레지스터 및 스택 중 적어도 하나를 식별할 수 있다.
이 때, 획득하는 단계는 상기 시스템 콜 전달 인자에 포함된 실행파일명과 파일저장 경로를 기반으로 상기 실행파일에 상응하는 프리패치 파일의 삭제여부를 점검하고, 상기 프리패치 파일이 삭제되지 않고 존재하는 경우에 상기 프리패치 파일에 포함된 상기 실행경로와 상기 참조경로를 획득할 수 있다.
이 때, 획득하는 단계는 상기 프리패치 파일이 삭제된 경우에 파일시스템 전체 구조에 대한 레이아웃을 나타내는 파일시스템 메타데이터를 분석하여 상기 프리패치 파일에 상응하는 디스크 섹터를 검색하고, 상기 디스크 섹터에서 상기 프리패치 파일에 상응하는 실 데이터를 획득하여 상기 프리패치 파일을 복구할 수 있다.
이 때, 디스크 섹터는 섹터 번호를 포함한 정보로 표기되는 가상 및 물리 저장장치의 위치를 나타낼 수 있다.
이 때, 수집하는 단계는 상기 실행경로와 상기 참조경로를 참조하여 상기 실행파일과 상기 참조파일의 삭제 여부를 판단하고, 상기 실행파일 및 상기 참조파일 중 적어도 하나가 삭제된 경우에 상기 파일시스템 메타데이터를 이용하여 삭제된 파일을 복구할 수 있다.
이 때, 수집하는 단계는 시그니처 기반 악성파일 탐지 기법, 행위기반 악성파일 탐지 기법 및 자제적인 기준 수립에 의한 악성파일 탐지 기법 중 적어도 하나를 기반으로 상기 악성여부를 점검할 수 있다.
이 때, 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역을 기반으로 상기 복구를 수행할 수 있다.
이 때, 수집하는 단계는 상기 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역에서 상기 악성파일이 존재하는 파일을 수집하고, 수집한 파일을 저장할 수 있다.
또한, 본 발명의 일실시예에 따른 하이퍼바이저 기반의 가상머신 모니터링 장치는, 가상머신의 내부에 위치한 실행파일에 대한 접근 시도를 모니터링 하는 모니터링부; 상기 실행파일로의 접근 시도가 탐지된 경우, 접근을 시도한 태스크(task)를 통해 입력된 시스템 콜 전달 인자를 추출하는 전달 인자 추출부; 상기 시스템 콜 전달 인자를 기반으로 상기 실행파일에 상응하는 실행경로와 상기 실행파일과 함께 실행된 참조파일에 상응하는 참조경로를 획득하는 경로 획득부; 및 상기 실행경로와 상기 참조경로를 기반으로 상기 실행파일과 상기 참조파일의 악성여부를 점검하고, 상기 실행파일 및 상기 참조파일 중 악성파일이 존재하는 경우에 상기 악성파일이 존재하는 파일을 수집하는 악성파일 수집부를 포함한다.
이 때, 모니터링부는 상기 가상머신에 상응하는 가상 메모리에서 상기 실행파일에 대응하는 시스템 콜 코드의 위치를 파악하고, 상기 시스템 콜 코드의 실행 시도를 기반으로 생성되는 접근 이벤트가 탐지된 경우에 상기 실행파일로의 접근 시도가 발생한 것으로 판단할 수 있다.
이 때, 모니터링부는 상기 태스크가 상기 시스템 콜 코드의 위치로 접근하는 경우 및 상기 태스크가 상기 시스템 콜 코드의 위치를 가리키는 페이지 테이블 엔트리로 접근하여 예외상황(exception)이 발생하는 경우 중 적어도 하나의 경우에 상기 접근 이벤트를 생성할 수 있다.
이 때, 전달 인자 추출부는 상기 가상머신에서 사용하는 레지스터 및 스택 중 적어도 하나에서 상기 시스템 콜 전달 인자를 추출할 수 있다.
이 때, 전달 인자 추출부는 상기 접근 이벤트가 감지된 경우에 상기 가상머신에 상응하는 가상머신 식별자와 상기 태스크에 상응하는 태스크 식별자를 연동하여 식별자 세트를 생성하고, 상기 식별자 세트를 기반으로 상기 레지스터 및 스택 중 적어도 하나를 식별할 수 있다.
이 때, 경로 획득부는 상기 시스템 콜 전달 인자에 포함된 실행파일명과 파일저장 경로를 기반으로 상기 실행파일에 상응하는 프리패치 파일의 삭제여부를 점검하는 프리패치 파일 점검부; 및 상기 프리패치 파일이 삭제된 경우에 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역에서 파일시스템 메타데이터를 분석하여 상기 프리패치 파일을 복구하는 파일 복구부를 포함하고, 상기 프리패치 파일을 통해 상기 실행경로와 상기 참조경로를 획득할 수 있다.
이 때, 파일 복구부는 상기 파일시스템 메타데이터를 분석하여 상기 프리패치 파일에 상응하는 디스크 섹터를 검색하고, 상기 디스크 섹터에서 상기 프리패치 파일에 상응하는 실 데이터를 획득하여 상기 프리패치 파일을 복구할 수 있다.
이 때, 디스크 섹터는 섹터 번호를 포함한 정보로 표기되는 가상 및 물리 저장장치의 위치를 나타낼 수 있다.
이 때, 악성파일 수집부는 상기 실행경로와 상기 참조경로를 참조하여 상기 실행파일과 상기 참조파일의 삭제 여부를 판단하고, 상기 파일 복구부는 상기 실행파일 및 상기 참조파일 중 적어도 하나가 삭제된 경우에 상기 파일시스템 메타데이터를 이용하여 삭제된 파일을 복구할 수 있다.
본 발명에 따르면, 가상머신에 별도의 보안 프로그램을 설치하지 않고도 가상머신 내부의 실행파일을 모니터링할 수 있다.
또한, 본 발명은 하이퍼바이저 또는 가상 호스트 영역에서 모니터링 및 채증을 수행함으로써 가상머신 운영체제 커널이 해킹에 의해 점거 당하더라도 정확한 모니터링 및 채증을 수행할 수 있는 방법을 제공할 수 있다.
또한, 본 발명은 가상머신 내부의 실행파일을 상시 모니터링하여 침해사고 조사 및 분석을 위한 악성파일 본체 또는 관련된 파일을 빠른 시간 내에 자동으로 채증할 수 있다.
도 1은 본 발명의 일실시예에 따른 하이퍼바이저 기반의 가상머신 모니터링 시스템을 나타낸 블록도이다.
도 2는 도 1에 도시된 가상머신 모니터링 장치의 일 예를 나타낸 블록도이다.
도 3은 도 2에 도시된 경로 획득부의 일 예를 나타낸 블록도이다.
도 4는 본 발명의 일실시예에 따른 하이퍼바이저 기반의 가상머신 모니터링 방법을 나타낸 동작 흐름도이다.
도 5는 도 4에 도시된 가상머신 모니터링 방법 중 실행파일로의 접근 시도를 모니터링하는 과정을 상세하게 나타낸 동작 흐름도이다.
도 6은 도 4에 도시된 가상머신 모니터링 방법 중 시스템 콜 전달 인자를 추출하는 과정을 상세하게 나타낸 동작 흐름도이다.
도 7은 도 4에 도시된 가상머신 모니터링 방법 중 실행파일과 참조파일의 악성여부를 점검하는 과정을 상세하게 나타낸 동작 흐름도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 하이퍼바이저 기반의 가상머신 모니터링 시스템을 나타낸 블록도이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 하이퍼바이저 기반의 가상머신 모니터링 시스템은 가상화 영역(140)에 실행된 가상머신(120)과 하이퍼바이저 영역 또는 가상 호스트 영역(130)에 포함된 가상머신 모니터링 장치(110)를 포함한다.
이 때, 본 발명의 일실시예에 따른 하이퍼바이저 기반의 가상머신 모니터링 시스템이 적용되는 환경은 클라우드 컴퓨팅 환경의 특정 노드 상에서 복수의 가상 머신이 구동되는 가상 시스템 환경에 상응할 수 있다. 즉, 가상화 환경에서 하이퍼바이저 영역 또는 가상 호스트 영역(130)을 신뢰기반(Base of Trust)으로 하여, 가상머신(120) 내부 실행파일의 실행을 모니터링 및 채증할 수 있다.
이 때, 가상머신 모니터링 장치(110)는 가상머신(120)보다 높은 권한을 갖는 하이퍼바이저 영역 또는 가상 호스트 영역(130)에서 실행되어, 가상머신(120)의 실행파일과 관련된 시스템 콜 기반으로 가상머신(120)을 모니터링할 수 있다.
이 때, 가상머신 모니터링 장치(110)는 하이퍼바이저 영역 또는 가상 호스트 영역(130)에서 실행되기 때문에, 가상머신 운영체제 커널이 해킹에 의해서 점거 당하더라도 정확한 모니터링을 통해 악성파일의 채증이 가능할 수 있다. 또한, 가상머신(120)에 별도의 보안 에이전트나 보안 프로그램을 설치할 필요가 없다.
또한, 가상머신 모니터링 장치(110)는 가상머신(120) 내부 실행파일의 실행을 상시 모니터링하여, 침해사고 조사 및 분석을 위한 악성파일의 본체 및 관련된 파일을 빠른 시간 내에 자동으로 채증할 수 있는 기능을 제공할 수 있다.
가상머신 모니터링 장치(110)의 동작 흐름을 설명하면 다음과 같을 수 있다.
먼저, 가상머신 모니터링 장치(110)는 가상머신(120)의 내부에 위치한 실행파일에 대한 접근 시도를 모니터링 한다.
이 때, 가상머신(120)에 상응하는 가상 메모리(123)에서 실행파일에 대응하는 시스템 콜 코드의 위치를 파악하고, 시스템 콜 코드의 실행 시도를 기반으로 생성되는 접근 이벤트가 탐지된 경우에 실행파일로의 접근 시도가 발생한 것으로 판단할 수 있다.
이 때, 태스크가 시스템 콜 코드의 위치로 접근하는 경우 및 태스크가 시스템 콜 코드의 위치를 가리키는 페이지 테이블 엔트리로 접근하여 예외상황(exception)이 발생하는 경우 중 적어도 하나의 경우에 접근 이벤트를 생성할 수 있다.
이 때, 페이지 테이블 엔트리는 가상머신(120)에 상응하는 커널이 관리하는 페이지 테이블에 해당하는 페이지 테이블 엔트리 및 가상머신(120)의 내부에서 접근할 수 없는 하드웨어 지원(Hardware-assisted) 주소변환 테이블에 해당하는 페이지 테이블 엔트리 중 적어도 하나에 상응할 수 있다.
또한, 가상머신 모니터링 장치(110)는 실행파일로의 접근 시도가 탐지된 경우, 접근을 시도한 태스크(Task)를 통해 입력된 시스템 콜 전달 인자를 추출한다.
이 때, 접근 이벤트가 감지된 경우에 가상머신(120)에서 사용하는 레지스터 및 스택 중 적어도 하나에서 시스템 콜 전달 인자를 추출할 수 있다.
이 때, 접근 이벤트가 감지된 경우에 가상머신(120)에 상응하는 가상머신 식별자와 태스크에 상응하는 태스크 식별자를 연동하여 식별자 세트를 생성하고, 식별자 세트를 기반으로 레지스터 및 스택 중 적어도 하나를 식별할 수 있다.
또한, 가상머신 모니터링 장치(110)는 시스템 콜 전달 인자를 기반으로 실행파일에 상응하는 실행경로와 실행파일과 함께 실행된 참조파일에 상응하는 참조경로를 획득한다.
이 때, 시스템 콜 전달 인자에 포함된 실행파일명과 파일저장 경로를 기반으로 실행파일에 상응하는 프리패치 파일의 삭제여부를 점검하고, 프리패치 파일이 삭제되지 않고 존재하는 경우에 프리패치 파일에 포함된 실행경로와 참조경로를 획득할 수 있다.
이 때, 프리패치 파일이 삭제된 경우에 파일시스템 전체 구조에 대한 레이아웃을 나타내는 파일시스템 메타데이터를 분석하여 프리패치 파일에 상응하는 디스크 섹터를 검색하고, 디스크 섹터에서 프리패치 파일에 상응하는 실 데이터를 획득하여 프리패치 파일을 복구할 수 있다.
이 때, 디스크 섹터는 섹터 번호를 포함한 정보로 표기되는 가상 및 물리 저장 장치의 위치를 나타내는 것으로, SSD(Solid State Drive)의 FTL(Flash Translation Layer)로 입력되는 섹터 번호 등의 위치를 측정하는 정보 입력, 플래시 메모리의 물리 주소 등과 같은 물리 저장장치 위치 등을 포함할 수 있다.
또한, 가상머신 모니터링 장치(110)는 실행경로와 참조경로를 기반으로 실행파일과 참조파일의 악성여부를 점검하고, 실행파일 및 참조파일 중 악성파일이 존재하는 경우에 악성파일이 존재하는 파일을 수집한다.
이 때, 실행경로와 참조경로를 참조하여 실행파일과 참조파일의 삭제 여부를 판단하고, 실행파일 및 참조파일 중 적어도 하나가 삭제된 경우에 파일시스템 메타데이터를 이용하여 삭제된 파일을 복구할 수 있다.
이 때, 시그니처 기반 악성파일 탐지 기법, 행위기반 악성파일 탐지 기법 및 자체적인 기준 수립에 의한 악성파일 탐지 기법 중 적어도 하나를 기반으로 악성여부를 점검할 수 있다.
이 때, 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역을 기반으로 복구를 수행할 수 있다.
이 때, 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역에서 악성파일이 존재하는 파일을 수집하고, 수집한 파일을 저장할 수 있다.
도 2는 도 1에 도시된 가상머신 모니터링 장치의 일 예를 나타낸 블록도이다.
도 2를 참조하면, 도 1에 도시된 가상머신 모니터링 장치(110)는 모니터링부(210), 전달 인자 추출부(220), 경로 획득부(230) 및 악성파일 수집부(240)를 포함한다.
모니터링부(210)는 가상머신의 내부에 위치한 실행파일에 대한 접근 시도를 모니터링 한다. 즉, 가상머신의 내부에서 실행파일이 실행되는지 여부를 상시 모니터링할 수 있다.
일반적으로 보안 프로그램이나 보안 에이전트를 이용한 가상머신 모니터링은 호스트 운영체제 커널 또는 유저영역에 설치되어 실행될 수 있다. 그러나, 이러한 보안 프로그램은 악성코드와 동등한 권한으로 동작하기 때문에, 악성코드로부터 보안 프로그램의 모니터링 작업을 방해하거나 심지어 악성코드에 의해 보안 프로그램이 종료될 수도 있다.
따라서, 본 발명에서는 이러한 문제점을 해결하기 위해 가상머신보다 높은 권한을 갖는 하이퍼바이저 또는 가상 호스트 영역에서 실행파일에 대한 모니터링을 수행할 수 있다.
이 때, 본 발명의 일실시예에 따른 따른 가상머신 모니터링 장치(110)는 복수개의 가상머신들이 동작하는 클라우드 컴퓨팅 환경에서 복수개의 가상머신들 각각에 대한 실행파일의 실행을 모니터링하는 것일 수 있다. 이하에서는 설명의 편의를 위해 복수개의 가상머신들 중 어느 하나의 가상머신에 대한 예를 들어, 설명을 하도록 한다.
이 때, 가상머신에 상응하는 가상 메모리에서 실행파일에 대응하는 시스템 콜 코드의 위치를 파악하고, 시스템 콜 코드의 실행 시도를 기반으로 생성되는 접근 이벤트가 탐지된 경우에 실행파일로의 접근 시도가 발생한 것으로 판단할 수 있다.
이 때, 시스템 콜(system call)은 가상머신 커널이 제공하는 실행파일에 대한 실행 요청에 따라 커널에 접근하게 해주는 인터페이스에 상응할 수 있다. 즉, 유저공간의 응용 프로그램에서 가상머신 커널의 서비스를 사용하는 방법이 시스템 콜에 상응할 수 있다.
이 때, 임의의 태스크가 시스템 콜을 호출하기 위해서는 실행파일에 대응하는 시스템 콜 코드, 즉 커널 코드로 접근할 필요가 있다. 이 때, 시스템 콜 코드에 해당하는 가상머신 커널의 코드는 가상 메모리 상에 위치할 수 있다. 따라서, 가상 메모리에서 시스템 콜 코드의 위치를 파악할 수 있다.
이 때, 태스크가 시스템 콜 코드의 위치로 접근하는 경우 및 태스크가 시스템 콜 코드의 위치를 가리키는 페이지 테이블 엔트리로 접근하여 예외상황(exception)이 발생하는 경우 중 적어도 하나의 경우에 접근 이벤트를 생성할 수 있다.
예를 들어, 페이지 테이블 엔트리로의 접근이 파악되면 예외상황(Exception)을 발생시키도록 페이지 테이블을 설정하고, 예외상황을 인식함으로써 접근 이벤트를 생성할 수 있다.
이 때, 페이지 테이블(page table)은 페이징 기법에서 사용되는 자료구조로서, 프로세스의 페이지 정보를 저장하고 있는 테이블에 상응할 수 있다. 또한, 페이지 테이블 엔트리(page table entry)는 페이지 테이블의 레코드에 상응할 수 있다. 즉, 실행파일의 시스템 콜 코드는 실행파일에 상응하는 페이지 테이블 엔트리에 위치할 수 있다.
따라서, 가상 메모리 상에서 임의의 태스크가 실행파일에 대응하는 시스템 콜 코드 또는 실행파일에 상응하는 페이지 테이블 엔트리에 접근하는 경우에 실행파일로의 접근 시도가 발생한 것으로 판단하고, 이를 알리기 위해 접근 이벤트를 생성할 수 있다.
이 때, 페이지 테이블 엔트리는 가상머신에 상응하는 커널이 관리하는 페이지 테이블에 해당하는 페이지 테이블 엔트리 및 가상머신의 내부에서 접근할 수 없는 하드웨어 지원(Hardware-assisted) 주소변환 테이블에 해당하는 페이지 테이블 엔트리 중 적어도 하나에 상응할 수 있다.
이 때, 하나의 프로세스는 하나의 페이지 테이블을 가질 수 있다.
이 때, 주소변환 테이블은 가상 기억 시스템에서 데이터 항목 또는 명령의 주소를 가상 메모리의 주소로부터 실 기억 주소로 변경하여 저장하고 있는 테이블에 상응할 수 있다.
전달 인자 추출부(220)는 실행파일로의 접근 시도가 탐지된 경우, 접근을 시도한 태스크(Task)를 통해 입력된 시스템 콜 전달 인자를 추출한다.
이 때, 접근 이벤트가 감지된 경우에 가상머신에서 사용하는 레지스터 및 스택 중 적어도 하나에서 시스템 콜 전달 인자를 추출할 수 있다.
이 때, 시스템 콜 전달 인자는 시스템 콜을 호출하기 위해서 레지스터나 스택에 입력된 전달 인자에 해당할 수 있다.
이 때, 접근 이벤트가 감지된 경우에 가상머신에 상응하는 가상머신 식별자와 태스크에 상응하는 태스크 식별자를 연동하여 식별자 세트를 생성하고, 식별자 세트를 기반으로 레지스터 및 스택 중 적어도 하나를 식별할 수 있다.
이 때, 접근 이벤트가 감지됨에 따라 실행파일로 접근을 시도한 태스크의 태스크 식별자와 접근 시도가 발생한 가상머신의 가상머신 식별자를 획득할 수 있다.
경로 획득부(230)는 시스템 콜 전달 인자를 기반으로 실행파일에 상응하는 실행경로와 실행파일과 함께 실행된 참조파일에 상응하는 참조경로를 획득한다.
이 때, 시스템 콜 전달 인자에 포함된 실행파일명과 파일저장 경로를 기반으로 실행파일에 상응하는 프리패치 파일의 삭제여부를 점검하고, 프리패치 파일이 삭제되지 않고 존재하는 경우에 프리패치 파일에 포함된 실행경로와 참조경로를 획득할 수 있다.
이 때, 프리패치 파일은 프로그램의 실행 효율성을 높이기 위해 운영체제가 메모리에 로딩되어 있는 실행 프로그램 정보를 저장해 놓은 일종의 캐시 파일에 상응할 수 있다. 따라서, 프리패치 파일은 프로그램 본체와 함께 실행파일의 실행경로명, 그리고 함께 실행된 참조파일의 경로명 등 실행 요약정보를 포함할 수 있다.
따라서, 프리패치 파일이 삭제 되었으면 이를 복구하는 과정을 거쳐 실행 요약정보를 획득할 수 있다.
이 때, 프리패치 파일이 삭제된 경우에 파일시스템 전체 구조에 대한 레이아웃을 나타내는 파일시스템 메타데이터를 분석하여 프리패치 파일에 상응하는 디스크 섹터를 검색하고, 디스크 섹터에서 프리패치 파일에 상응하는 실 데이터를 획득하여 프리패치 파일을 복구할 수 있다.
이 때, 디스크 섹터는 섹터 번호를 포함한 정보로 표기되는 가상 및 물리 저장 장치의 위치를 나타내는 것으로, SSD(Solid State Drive)의 FTL(Flash Translation Layer)로 입력되는 섹터 번호 등의 위치를 측정하는 정보 입력, 플래시 메모리의 물리 주소 등과 같은 물리 저장장치 위치 등을 포함할 수 있다.
이 때, 파일시스템 메타데이터를 분석하면 삭제된 파일 또는 디렉터리 정보와 실 데이터가 저장되어 있는 디스크 섹터의 위치 정보 등을 획득할 수 있다.
또한, 프리패치 파일이 삭제되지 않았다면 복구과정을 거치지 않고, 즉시 프리패치 파일을 분석하여 실행경로와 참조경로를 획득할 수 있다.
악성파일 수집부(240)는 실행경로와 참조경로를 기반으로 실행파일과 참조파일의 악성여부를 점검하고, 실행파일 및 참조파일 중 악성파일이 존재하는 경우에 악성파일이 존재하는 파일을 수집한다.
이 때, 실행경로와 참조경로를 참조하여 실행파일과 참조파일의 삭제 여부를 판단하고, 실행파일 및 참조파일 중 적어도 하나가 삭제된 경우에 파일시스템 메타데이터를 이용하여 삭제된 파일을 복구할 수 있다.
이 때, 삭제된 실행파일 또는 삭제된 참조파일을 복구하는 과정은 삭제된 프리패치 파일을 복구하는 과정과 동일하게 메타데이터를 분석하고, 삭제된 파일의 실 데이터를 획득하여 수행될 수 있다.
이 때, 시그니처 기반 악성파일 탐지 기법, 행위기반 악성파일 탐지 기법 및 자체적인 기준 수립에 의한 악성파일 탐지 기법 중 적어도 하나를 기반으로 악성여부를 점검할 수 있다.
이 때, 시그니처 기반 악성파일 탐지 방법은 정적인 분석 방법에 상응하는 것으로, 이미 수집된 악성코드의 특징을 분석하여 해당 악성코드를 탐지하는 시그니처를 생성하여 수행될 수 있다. 예를 들어, AV(Anti-Virus) 스캔으로 기존에 알려진 악성코드를 판정하거나 파일 헤더 및 바이너리 내 문자열을 분석하는 등의 방법을 이용될 수 있다. 좀 더 전문적으로는 디버거를 통한 API 호출 관계 분석 등의 방법으로 악성코드 여부를 판정할 수 있다.
이 때, 행위기반 악성파일 탐지 기법은 동적인 분석 방법에 상응하는 것으로, 운영체제에 변화가 생기는 것을 감지하기 위해서 분석 환경에서는 사용자 모드(user mode)와 커널 모드(kernel mode)에서 API함수를 후킹하는 방식과 특정 이벤트 발생 시 시스템에서 자동으로 호출하는 이벤트 알림 루틴을 모니터링하는 방식 등이 이용될 수 있다. 이 때, 해당 정보들을 바탕으로 실행파일이 어떠한 순서로 실행되는지를 모두 로그로 남길 수 있다. 그리고 악성코드의 실행 형태와 얼마나 유사한 행위를 하는지 측정하고, 해당 실행파일이 악성코드로 진단된다면 로그 값들을 기반으로 실행된 순서의 역으로 시스템을 복구할 수 있다.
이 때, 자체적인 기준 수립에 의한 악성파일 탐지 기법은 의미 그대로 시스템 내부에 자체적인 기준을 설정해두고, 해당하는 기준에 만족하는 실행파일을 악성코드로 진단하는 방식에 상응할 수 있다.
이 때, 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역을 기반으로 복구를 수행할 수 있다.
예를 들어, 프리패치 파일, 실행파일 및 참조파일 중 적어도 하나가 삭제된 경우 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역을 기반으로 복구를 수행할 수 있다.
이 때, 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역에서 악성파일이 존재하는 파일을 수집하고, 수집한 파일을 저장할 수 있다.
이 때, 수집한 파일은 별도의 저장모듈에 저장해 두었다가 악성파일을 분석하기 위해 사용될 수 있다.
이 때, 하이퍼바이저 및 가상 호스트 영역을 기반으로 가상머신 운영체제의 컨텍스트에 영향을 받지 않고 가상머신 보다 높은 권한으로 가상디스크에 직접 접근할 수 있기 때문에, 가상머신 운영체제가 악성코드 및 악성파일에 의해 전복되더라도 접근이 차단되거나 접근 결과가 위조되는 것을 방지할 수 있다.
또한, 도 2에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 하이퍼바이저 기반의 가상머신 모니터링 방법은 상술한 바와 같이 본 발명의 일실시예에 따른 가상머신 모니터링 과정에서 발생되는 다양한 정보를 저장하는 저장 모듈을 더 포함할 수 있다.
실시예에 따라, 저장 모듈은 가상머신 모니터링 장치와 독립적으로 구성되어 가상머신 모니터링을 위한 기능을 지원할 수 있다. 이 때, 저장 모듈은 별도의 대용량 스토리지로 동작할 수 있고, 동작 수행을 위한 제어 기능을 포함할 수 있다.
한편, 가상머신 모니터링 장치는 메모리가 탑재되어 그 장치 내에서 정보를 저장할 수 있다. 일 구현예의 경우, 메모리는 컴퓨터로 판독 가능한 매체이다. 일 구현 예에서, 메모리는 휘발성 메모리 유닛일 수 있으며, 다른 구현예의 경우, 메모리는 비휘발성 메모리 유닛일 수도 있다. 일 구현예의 경우, 저장장치는 컴퓨터로 판독 가능한 매체이다. 다양한 서로 다른 구현 예에서, 저장장치는 예컨대 하드디스크 장치, 광학디스크 장치, 혹은 어떤 다른 대용량 저장장치를 포함할 수도 있다.
이와 같은 가상머신 모니터링 장치를 이용함으로써 가상머신에 별도의 보안 프로그램을 설치하지 않고도 가상머신 내부의 실행파일을 모니터링할 수 있다.
또한, 하이퍼바이저 또는 가상 호스트 영역에서 모니터링 및 채증을 수행함으로써 가상머신 운영체제 커널이 해킹에 의해 점거 당하더라도 정확한 모니터링 및 채증을 수행할 수 있는 방법을 제공할 수 있다.
또한, 가상머신 내부의 실행파일을 상시 모니터링하여 침해사고 조사 및 분석을 위한 악성파일 본체 또는 관련된 파일을 빠른 시간 내에 자동으로 채증할 수 있다.
도 3은 도 2에 도시된 경로 획득부의 일 예를 나타낸 블록도이다.
도 3을 참조하면, 도 2에 도시된 경로 획득부(230)는 프리패치 파일 점검부(310)와 파일 복구부(320)를 포함한다.
프리패치 파일 점검부(310)는 시스템 콜 전달 인자에 포함된 실행파일명과 파일저장 경로를 기반으로 실행파일에 상응하는 프리패치 파일의 삭제여부를 점검한다.
이 때, 프리패치 파일이 삭제되지 않고 존재하는 경우에 프리패치 파일에 포함된 실행경로와 참조경로를 획득할 수 있다.
이 때, 프리패치 파일은 프로그램의 실행 효율성을 높이기 위해 운영체제가 메모리에 로딩되어 있는 실행 프로그램 정보를 저장해 놓은 일종의 캐시 파일에 상응할 수 있다. 따라서, 프리패치 파일은 프로그램 본체와 함께 실행파일의 실행경로명, 그리고 함께 실행된 참조파일의 경로명 등 실행 요약정보를 포함할 수 있다.
따라서, 프리패치 파일이 삭제 되었으면 이를 복구하는 과정을 거쳐 실행 요약정보를 획득할 수 있다.
파일 복구부(320)는 프리패치 파일이 삭제된 경우에 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역에서 파일 시스템 메타데이터를 분석하여 프리패치 파일을 복구한다.
이 때, 파일시스템 메타데이터를 분석하여 프리패치 파일에 상응하는 디스크 섹터를 검색하고, 디스크 섹터에서 프리패치 파일에 상응하는 실 데이터를 획득하여 프리패치 파일을 복구할 수 있다.
이 때, 디스크 섹터는 섹터 번호를 포함한 정보로 표기되는 가상 및 물리 저장 장치의 위치를 나타내는 것으로, SSD(Solid State Drive)의 FTL(Flash Translation Layer)로 입력되는 섹터 번호 등의 위치를 측정하는 정보 입력, 플래시 메모리의 물리 주소 등과 같은 물리 저장장치 위치 등을 포함할 수 있다.
이 때, 파일시스템 메타데이터를 분석하면 삭제된 파일 또는 디렉터리 정보와 실 데이터가 저장되어 있는 디스크 섹터의 위치 정보 등을 획득할 수 있다.
또한, 프리패치 파일이 삭제되지 않았다면 복구과정을 거치지 않고, 즉시 프리패치 파일을 분석하여 실행경로와 참조경로를 획득할 수 있다.
도 4는 본 발명의 일실시예에 따른 하이퍼바이저 기반의 가상머신 모니터링 방법을 나타낸 동작 흐름도이다.
도 4를 참조하면, 본 발명의 일실시예에 따른 하이퍼바이저 기반의 가상머신 모니터링 방법은 가상머신의 내부에 위치한 실행파일에 대한 접근 시도를 모니터링 한다(S410). 즉, 가상머신의 내부에서 실행파일이 실행되는지 여부를 상시 모니터링 할 수 있다.
일반적으로 보안 프로그램이나 보안 에이전트를 이용한 가상머신 모니터링은 호스트 운영체제 커널 또는 유저영역에 설치되어 실행될 수 있다. 그러나, 이러한 보안 프로그램은 악성코드와 동등한 권한으로 동작하기 때문에, 악성코드로부터 보안 프로그램의 모니터링 작업을 방해하거나 심지어 악성코드에 의해 보안 프로그램이 종료될 수도 있다.
따라서, 본 발명에서는 이러한 문제점을 해결하기 위해 가상머신보다 높은 권한을 갖는 하이퍼바이저 또는 가상 호스트 영역에서 실행파일에 대한 모니터링을 수행할 수 있다.
이 때, 본 발명의 일실시예에 따른 가상머신 모니터링 방법은 복수개의 가상머신들이 동작하는 클라우드 컴퓨팅 환경에서 복수개의 가상머신들 각각에 대한 실행파일의 실행을 모니터링 하는 것일 수 있다. 이하에서는 설명의 편의를 위해 복수개의 가상머신들 중 어느 하나의 가상머신에 대한 예를 들어, 설명을 하도록 한다.
또한, 본 발명의 일실시예에 따른 하이퍼바이저 기반의 가상머신 모니터링 방법은 실행파일로의 접근 시도가 탐지되었는지 여부를 판단한다(S415).
이 때, 가상머신에 상응하는 가상 메모리에서 실행파일에 대응하는 시스템 콜 코드의 위치를 파악하고, 시스템 콜 코드의 실행 시도를 기반으로 생성되는 접근 이벤트가 탐지된 경우에 실행파일로의 접근 시도가 발생한 것으로 판단할 수 있다.
이 때, 시스템 콜(system call)은 가상머신 커널이 제공하는 실행파일에 대한 실행 요청에 따라 커널에 접근하게 해주는 인터페이스에 상응할 수 있다. 즉, 유저공간의 응용 프로그램에서 가상머신 커널의 서비스를 사용하는 방법이 시스템 콜에 상응할 수 있다.
이 때, 임의의 태스크가 시스템 콜을 호출하기 위해서는 실행파일에 대응하는 시스템 콜 코드, 즉 커널 코드로 접근할 필요가 있다. 이 때, 시스템 콜 코드에 해당하는 가상머신 커널의 코드는 가상 메모리 상에 위치할 수 있다. 따라서, 가상 메모리에서 시스템 콜 코드의 위치를 파악할 수 있다.
이 때, 태스크가 시스템 콜 코드의 위치로 접근하는 경우 및 태스크가 시스템 콜 코드의 위치를 가리키는 페이지 테이블 엔트리로 접근하여 예외상황(exception)이 발생하는 경우 중 적어도 하나의 경우에 접근 이벤트를 생성할 수 있다.
예를 들어, 페이지 테이블 엔트리로의 접근이 파악되면 예외상황(Exception)을 발생시키도록 페이지 테이블을 설정하고, 예외상황을 인식함으로써 접근 이벤트를 생성할 수 있다.
이 때, 페이지 테이블(page table)은 페이징 기법에서 사용되는 자료구조로서, 프로세스의 페이지 정보를 저장하고 있는 테이블에 상응할 수 있다. 또한, 페이지 테이블 엔트리(page table entry)는 페이지 테이블의 레코드에 상응할 수 있다. 즉, 실행파일의 시스템 콜 코드는 실행파일에 상응하는 페이지 테이블 엔트리에 위치할 수 있다.
따라서, 가상 메모리 상에서 임의의 태스크가 실행파일에 대응하는 시스템 콜 코드 또는 실행파일에 상응하는 페이지 테이블 엔트리에 접근하는 경우에 실행파일로의 접근 시도가 발생한 것으로 판단하고, 이를 알리기 위해 접근 이벤트를 생성할 수 있다.
이 때, 페이지 테이블 엔트리는 가상머신에 상응하는 커널이 관리하는 페이지 테이블에 해당하는 페이지 테이블 엔트리 및 가상머신의 내부에서 접근할 수 없는 하드웨어 지원(Hardware-assisted) 주소변환 테이블에 해당하는 페이지 테이블 엔트리 중 적어도 하나에 상응할 수 있다.
이 때, 하나의 프로세스는 하나의 페이지 테이블을 가질 수 있다.
이 때, 주소변환 테이블은 가상 기억 시스템에서 데이터 항목 또는 명령의 주소를 가상 메모리의 주소로부터 실 기억 주소로 변경하여 저장하고 있는 테이블에 상응할 수 있다.
단계(S415)의 판단결과 접근 시도가 탐지되지 않으면, 지속적으로 실행파일에 대한 접근 시도 모니터링을 수행할 수 있다.
또한, 단계(S415)의 판단결과 접근 시도가 탐지되면, 접근을 시도한 태스크(Task)를 통해 입력된 시스템 콜 전달 인자를 추출한다(S420).
이 때, 접근 이벤트가 감지된 경우에 가상머신에서 사용하는 레지스터 및 스택 중 적어도 하나에서 시스템 콜 전달 인자를 추출할 수 있다.
이 때, 시스템 콜 전달 인자는 시스템 콜을 호출하기 위해서 레지스터나 스택에 입력된 전달 인자에 해당할 수 있다.
이 때, 접근 이벤트가 감지된 경우에 가상머신에 상응하는 가상머신 식별자와 태스크에 상응하는 태스크 식별자를 연동하여 식별자 세트를 생성하고, 식별자 세트를 기반으로 레지스터 및 스택 중 적어도 하나를 식별할 수 있다.
이 때, 접근 이벤트가 감지됨에 따라 실행파일로 접근을 시도한 태스크의 태스크 식별자와 접근 시도가 발생한 가상머신의 가상머신 식별자를 획득할 수 있다.
또한, 본 발명의 일실시예에 따른 하이퍼바이저 기반의 가상머신 모니터링 방법은 시스템 콜 전달 인자를 기반으로 실행파일에 상응하는 실행경로와 실행파일과 함께 실행된 참조파일에 상응하는 참조경로를 획득한다(S430).
이 때, 시스템 콜 전달 인자에 포함된 실행파일명과 파일저장 경로를 기반으로 실행파일에 상응하는 프리패치 파일의 삭제여부를 점검하고, 프리패치 파일이 삭제되지 않고 존재하는 경우에 프리패치 파일에 포함된 실행경로와 참조경로를 획득할 수 있다.
이 때, 프리패치 파일은 프로그램의 실행 효율성을 높이기 위해 운영체제가 메모리에 로딩되어 있는 실행 프로그램 정보를 저장해 놓은 일종의 캐시 파일에 상응할 수 있다. 따라서, 프리패치 파일은 프로그램 본체와 함께 실행파일의 실행경로명, 그리고 함께 실행된 참조파일의 경로명 등 실행 요약정보를 포함할 수 있다.
따라서, 프리패치 파일이 삭제 되었으면 이를 복구하는 과정을 거쳐 실행 요약정보를 획득할 수 있다.
이 때, 프리패치 파일이 삭제된 경우에 파일시스템 전체 구조에 대한 레이아웃을 나타내는 파일시스템 메타데이터를 분석하여 프리패치 파일에 상응하는 디스크 섹터를 검색하고, 디스크 섹터에서 프리패치 파일에 상응하는 실 데이터를 획득하여 프리패치 파일을 복구할 수 있다.
이 때, 디스크 섹터는 섹터 번호를 포함한 정보로 표기되는 가상 및 물리 저장 장치의 위치를 나타내는 것으로, SSD(Solid State Drive)의 FTL(Flash Translation Layer)로 입력되는 섹터 번호 등의 위치를 측정하는 정보 입력, 플래시 메모리의 물리 주소 등과 같은 물리 저장장치 위치 등을 포함할 수 있다.
이 때, 파일시스템 메타데이터를 분석하면 삭제된 파일 또는 디렉터리 정보와 실 데이터가 저장되어 있는 디스크 섹터의 위치 정보 등을 획득할 수 있다.
또한, 프리패치 파일이 삭제되지 않았다면 복구과정을 거치지 않고, 즉시 프리패치 파일을 분석하여 실행경로와 참조경로를 획득할 수 있다.
또한, 본 발명의 일실시예에 따른 하이퍼바이저 기반의 가상머신 모니터링 방법은 실행경로와 참조경로를 기반으로 실행파일과 참조파일의 악성여부를 점검한다(S440).
이 때, 실행경로와 참조경로를 참조하여 실행파일과 참조파일의 삭제 여부를 판단하고, 실행파일 및 참조파일 중 적어도 하나가 삭제된 경우에 파일시스템 메타데이터를 이용하여 삭제된 파일을 복구할 수 있다.
이 때, 삭제된 실행파일 또는 삭제된 참조파일을 복구하는 과정은 삭제된 프리패치 파일을 복구하는 과정과 동일하게 메타데이터를 분석하고, 삭제된 파일의 실 데이터를 획득하여 수행될 수 있다.
이 때, 시그니처 기반 악성파일 탐지 기법, 행위기반 악성파일 탐지 기법 및 자체적인 기준 수립에 의한 악성파일 탐지 기법 중 적어도 하나를 기반으로 악성여부를 점검할 수 있다.
이 때, 시그니처 기반 악성파일 탐지 방법은 정적인 분석 방법에 상응하는 것으로, 이미 수집된 악성코드의 특징을 분석하여 해당 악성코드를 탐지하는 시그니처를 생성하여 수행될 수 있다. 예를 들어, AV(Anti-Virus) 스캔으로 기존에 알려진 악성코드를 판정하거나 파일 헤더 및 바이너리 내 문자열을 분석하는 등의 방법을 이용될 수 있다. 좀 더 전문적으로는 디버거를 통한 API 호출 관계 분석 등의 방법으로 악성코드 여부를 판정할 수 있다.
이 때, 행위기반 악성파일 탐지 기법은 동적인 분석 방법에 상응하는 것으로, 운영체제에 변화가 생기는 것을 감지하기 위해서 분석 환경에서는 사용자 모드(user mode)와 커널 모드(kernel mode)에서 API함수를 후킹하는 방식과 특정 이벤트 발생 시 시스템에서 자동으로 호출하는 이벤트 알림 루틴을 모니터링 하는 방식 등이 이용될 수 있다. 이 때, 해당 정보들을 바탕으로 실행파일이 어떠한 순서로 실행되는지를 모두 로그로 남길 수 있다. 그리고 악성코드의 실행 형태와 얼마나 유사한 행위를 하는지 측정하고, 해당 실행파일이 악성코드로 진단된다면 로그 값들을 기반으로 실행된 순서의 역으로 시스템을 복구할 수 있다.
이 때, 자체적인 기준 수립에 의한 악성파일 탐지 기법은 의미 그대로 시스템 내부에 자체적인 기준을 설정해두고, 해당하는 기준에 만족하는 실행파일을 악성코드로 진단하는 방식에 상응할 수 있다.
이 때, 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역을 기반으로 복구를 수행할 수 있다.
예를 들어, 프리패치 파일, 실행파일 및 참조파일 중 적어도 하나가 삭제된 경우 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역을 기반으로 복구를 수행할 수 있다.
또한, 본 발명의 일실시예에 따른 하이퍼바이저 기반의 가상머신 모니터링 방법은 실행파일 및 참조파일 중 악성파일이 존재하는지 여부를 판단한다(S445).
단계(S445)의 판단결과 실행파일 및 참조파일 중 악성파일이 존재하면, 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역에서 악성파일이 존재하는 파일을 수집하고, 수집한 파일을 저장할 수 있다.
이 때, 수집한 파일은 별도의 저장모듈에 저장해 두었다가 악성파일을 분석하기 위해 사용될 수 있다.
이 때, 하이퍼바이저 및 가상 호스트 영역을 기반으로 가상머신 운영체제의 컨텍스트에 영향을 받지 않고 가상머신 보다 높은 권한으로 가상디스크에 직접 접근할 수 있기 때문에, 가상머신 운영체제가 악성코드 및 악성파일에 의해 전복되더라도 접근이 차단되거나 접근 결과가 위조되는 것을 방지할 수 있다.
또한, 단계(S445)의 판단결과 판단결과 실행파일 및 참조파일 중 악성파일이 존재하지 않으면, 지속적으로 실행파일에 대한 접근 시도를 모니터링 할 수 있다.
또한, 도 4에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 하이퍼바이저 기반의 가상머신 모니터링 방법은 상술한 바와 같이 본 발명의 일실시예에 따른 가상머신 모니터링 과정에서 발생되는 다양한 정보를 저장할 수 있다.
실시예에 따라, 정보를 저장하는 저장 모듈은 가상머신 모니터링 장치와 독립적으로 구성되어 가상머신 모니터링을 위한 기능을 지원할 수 있다. 이 때, 저장 모듈은 별도의 대용량 스토리지로 동작할 수 있고, 동작 수행을 위한 제어 기능을 포함할 수 있다.
이와 같은 가상머신 모니터링 방법을 통해 가상머신에 별도의 보안 프로그램을 설치하지 않고도 가상머신 내부의 실행파일을 모니터링 할 수 있다.
또한, 하이퍼바이저 또는 가상 호스트 영역에서 모니터링 및 채증을 수행함으로써 가상머신 운영체제 커널이 해킹에 의해 점거 당하더라도 정확한 모니터링 및 채증을 수행할 수 있는 방법을 제공할 수 있다.
또한, 가상머신 내부의 실행파일을 상시 모니터링 하여 침해사고 조사 및 분석을 위한 악성파일 본체 또는 관련된 파일을 빠른 시간 내에 자동으로 채증할 수 있다.
도 5는 도 4에 도시된 가상머신 모니터링 방법 중 실행파일로의 접근 시도를 모니터링하는 과정을 상세하게 나타낸 동작 흐름도이다.
도 5를 참조하면, 도 4에 도시된 가상머신 모니터링 방법 중 실행파일로의 접근 시도를 모니터링 하는 과정은 먼저 가상 메모리에서 실행파일에 상응하는 시스템 콜의 시스템 콜 코드 위치를 파악할 수 있다(S510).
이 때, 시스템 콜(system call)은 가상머신 커널이 제공하는 실행파일에 대한 실행 요청에 따라 커널에 접근하게 해주는 인터페이스에 상응할 수 있다. 즉, 유저공간의 응용 프로그램에서 가상머신 커널의 서비스를 사용하는 방법이 시스템 콜에 상응할 수 있다.
이 때, 임의의 태스크가 시스템 콜을 호출하기 위해서는 실행파일에 대응하는 시스템 콜 코드, 즉 커널 코드로 접근할 필요가 있다. 이 때, 시스템 콜 코드에 해당하는 가상머신 커널의 코드는 가상 메모리 상에 위치할 수 있다. 따라서, 가상 메모리에서 시스템 콜 코드의 위치를 파악할 수 있다.
이 후, 시스템 콜 코드의 위치를 가리키는 페이지 테이블 엔트리를 추적하고(S520), 시스템 콜 코드 및 페이지 테이블 엔트리를 모니터링할 수 있다(S530).
이 때, 페이지 테이블(page table)은 페이징 기법에서 사용되는 자료구조로서, 프로세스의 페이지 정보를 저장하고 있는 테이블에 상응할 수 있다. 또한, 페이지 테이블 엔트리(page table entry)는 페이지 테이블의 레코드에 상응할 수 있다. 즉, 실행파일의 시스템 콜 코드의 위치는 실행파일에 상응하는 페이지 테이블 엔트리를 통해 획득할 수 있다.
이 때, 페이지 테이블 엔트리는 가상머신에 상응하는 커널이 관리하는 페이지 테이블에 해당하는 페이지 테이블 엔트리 및 가상머신의 내부에서 접근할 수 없는 하드웨어 지원(Hardware-assisted) 주소변환 테이블에 해당하는 페이지 테이블 엔트리 중 적어도 하나에 상응할 수 있다.
이 후, 임의의 태스크(Task)가 시스템 콜 코드의 위치 및 페이지 테이블 엔트리로 접근하는지 여부를 판단할 수 있다(S535).
단계(S535)의 판단결과 임의의 태스크가 시스템 콜 코드의 위치나 페이지 테이블 엔트리로 접근하지 않으면, 지속적으로 모니터링 할 수 있다.
또한, 단계(S535)의 판단결과 임의의 태스크가 시스템 콜 코드의 위치나 페이지 테이블 엔트리로 접근하면, 접근 이벤트를 생성할 수 있다(S540).
즉, 가상 메모리 상에서 임의의 태스크가 실행파일에 대응하는 시스템 콜 코드나 실행파일에 상응하는 페이지 테이블 엔트리에 접근하는 경우에 실행파일로의 접근 시도가 발생한 것으로 판단하고, 이를 알리기 위해 접근 이벤트를 생성할 수 있다.
이 때, 임의의 태스크가 페이지 테이블 엔트리로 접근하면 예외상황(exception)이 발생하도록 페이지 테이블을 설정함으로써 접근 여부를 파악할 수 있다.
이 후, 접근 이벤트를 감시하여 실행파일로의 접근 시도가 발생한 것으로 판단할 수 있다(S550).
도 6은 도 4에 도시된 가상머신 모니터링 방법 중 시스템 콜 전달 인자를 추출하는 과정을 상세하게 나타낸 동작 흐름도이다.
도 6을 참조하면, 도 4에 도시된 가상머신 모니터링 방법 중 시스템 콜 전달 이자를 추출하는 과정은 먼저 가상머신 내부의 실행파일로 접근 시도가 탐지되면(S610), 가상머신 식별자와 접근을 시도한 임의의 태스크의 태스크 식별자를 연동하여 식별자 세트를 생성할 수 있다(S620).
이 때, 접근 시도에 상응하는 접근 이벤트가 감지됨에 따라 실행파일로의 접근을 시도한 태스크의 태스크 식별자와 접근 시도가 발생한 가상머신의 가상머신 식별자를 획득할 수 있다.
이 후, 식별자 세트를 기반으로 가상머신에서 사용하는 레지스터 및 스택 중 적어도 하나를 식별할 수 있다.
이 후, 레지스터나 스택에서 시스템 콜 전달 인자를 추출할 수 있다.
이 때, 레지스터나 스택에 저장된 시스템 콜 전달 인자를 추출할 수 있다.
이 때, 시스템 콜 전달 인자는 시스템 콜을 호출하기 위해서 레지스터나 스택에 입력된 전달 인자에 해당할 수 있다.
도 7은 도 4에 도시된 가상머신 모니터링 방법 중 실행파일과 참조파일의 악성여부를 점검하는 과정을 상세하게 나타낸 동작 흐름도이다.
도 7을 참조하면, 도 4에 도시된 가상머신 모니터링 방법 중 실행파일과 참조파일의 악성여부를 점검하는 과정은 먼저 시스템 콜 전달 인자에서 실행파일과 파일 저장 경로를 획득할 수 있다(S710).
이 때, 실행파일과 파일 저장 경로를 기반으로 실행파일에 상응하는 프리패치 파일을 점검할 수 있다.
이 때, 프리패치 파일은 프로그램의 실행 효율성을 높이기 위해 운영체제가 메모리에 로딩되어 있는 실행 프로그램 정보를 저장해 놓은 일종의 캐시 파일에 상응할 수 있다. 따라서, 프리패치 파일은 프로그램 본체와 함께 실행파일의 실행경로명, 그리고 함께 실행된 참조파일의 경로명 등 실행 요약정보를 포함할 수 있다.
이 후, 프리패치 파일이 삭제되었는지 여부를 판단할 수 있다(S715).
단계(S715)의 판단결과 프리패치 파일이 삭제되었으면, 파일시스템 메타데이터를 분석할 수 있다(S720).
이 때, 파일시스템 메타데이터는 파일시스템 전체 구조에 대한 레이아웃을 나타낼 수 있다.
이 때, 파일시스템 메타데이터를 분석하면 삭제된 파일 또는 디렉터리 정보와 실 데이터가 저장되어 있는 디스크 섹터의 위치 정보 등을 획득할 수 있다.
이 후, 디스크 섹터에서 실 데이터를 획득하여 프리패치 파일을 복구할 수 있다(S730). 즉, 파일시스템 메타데이터를 분석하여 프리패치 파일에 상응하는 디스크 섹터를 검색하고, 해당 디스크 섹터에서 실 데이터를 획득할 수 있다.
이 후, 프리패치 파일을 분석하여 실행파일에 상응하는 실행경로와 참조파일에 상응하는 참조경로를 획득할 수 있다(S740).
또한, 단계(S715)의 판단결과 프리패치 파일이 삭제되지 않았으면, 프리패치 파일을 복구하는 과정을 생략하고, 존재하는 프리패치 파일을 분석하여 실행경로와 참조경로를 획득할 수 있다.
또한, 실행경로와 참조경로를 참조하여 실행파일이나 참조파일이 삭제되었는지 여부를 판단할 수 있다(S745).
단계(S745)의 판단결과 실행파일 및 참조파일 중 적어도 하나가 삭제되었으면, 파일시스템 메타데이터를 분석할 수 있다(S750).
이 후, 디스크 섹터에서 실 데이터를 획득하여 삭제된 파일을 복구할 수 있다(S760).
이 때, 프리패치 파일의 복구 과정과 유사하게 파일시스템 메타데이터를 분석하여 삭제된 실행파일 또는 삭제된 참조파일에 대한 디스크 섹터를 검색하고, 검색된 디스크 섹터에서 삭제된 실행파일 또는 삭제된 참조파일에 상응하는 실 데이터를 획득하여 복구를 수행할 수 있다.
이 때, 디스크 섹터는 섹터 번호를 포함한 정보로 표기되는 가상 및 물리 저장 장치의 위치를 나타내는 것으로, SSD(Solid State Drive)의 FTL(Flash Translation Layer)로 입력되는 섹터 번호 등의 위치를 측정하는 정보 입력, 플래시 메모리의 물리 주소 등과 같은 물리 저장장치 위치 등을 포함할 수 있다.
이 때, 상기의 모든 복구 과정은 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역을 기반으로 수행될 수 있다. 예를 들어, 프리패치 파일, 실행파일 및 참조파일 중 적어도 하나가 삭제된 경우 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역을 기반으로 복구를 수행할 수 있다.
이 후, 실행파일과 참조파일에 대한 악성여부를 점검할 수 있다(S770).
이 때, 시그니처 기반 악성파일 탐지 기법, 행위기반 악성파일 탐지 기법 및 자체적인 기준 수립에 의한 악성파일 탐지 기법 중 적어도 하나를 기반으로 악성여부를 점검할 수 있다.
이 때, 시그니처 기반 악성파일 탐지 방법은 정적인 분석 방법에 상응하는 것으로, 이미 수집된 악성코드의 특징을 분석하여 해당 악성코드를 탐지하는 시그니처를 생성하여 수행될 수 있다. 예를 들어, AV(Anti-Virus) 스캔으로 기존에 알려진 악성코드를 판정하거나 파일 헤더 및 바이너리 내 문자열을 분석하는 등의 방법을 이용될 수 있다. 좀 더 전문적으로는 디버거를 통한 API 호출 관계 분석 등의 방법으로 악성코드 여부를 판정할 수 있다.
이 때, 행위기반 악성파일 탐지 기법은 동적인 분석 방법에 상응하는 것으로, 운영체제에 변화가 생기는 것을 감지하기 위해서 분석 환경에서는 사용자 모드(user mode)와 커널 모드(kernel mode)에서 API함수를 후킹하는 방식과 특정 이벤트 발생 시 시스템에서 자동으로 호출하는 이벤트 알림 루틴을 모니터링 하는 방식 등이 이용될 수 있다. 이 때, 해당 정보들을 바탕으로 실행파일이 어떠한 순서로 실행되는지를 모두 로그로 남길 수 있다. 그리고 악성코드의 실행 형태와 얼마나 유사한 행위를 하는지 측정하고, 해당 실행파일이 악성코드로 진단된다면 로그 값들을 기반으로 실행된 순서의 역으로 시스템을 복구할 수 있다.
이 때, 자체적인 기준 수립에 의한 악성파일 탐지 기법은 의미 그대로 시스템 내부에 자체적인 기준을 설정해두고, 해당하는 기준에 만족하는 실행파일을 악성코드로 진단하는 방식에 상응할 수 있다.
이상에서와 같이 본 발명에 따른 하이퍼바이저 기반의 가상머신 모니터링 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
110: 가상머신 모니터링 장치 120: 가상머신
121: 가상머신 운영체제 122: 가상 시스템 자원
123: 가상 메모리 124: 가상 디스크
130: 하이퍼바이저 영역 또는 가상 호스트 영역
140: 가상화 영역 210: 모니터링부
220: 전달 인자 추출부 230: 경로 획득부
240: 악성파일 수집부 310: 프리패치 파일 점검부
320: 파일 복구부

Claims (20)

  1. 가상머신의 내부에 위치한 실행파일에 대한 접근 시도를 모니터링 하는 단계;
    상기 실행파일로의 접근 시도가 탐지된 경우, 접근을 시도한 태스크(Task)를 통해 입력된 시스템 콜 전달 인자를 추출하는 단계;
    상기 시스템 콜 전달 인자를 기반으로 상기 실행파일에 상응하는 실행경로와 상기 실행파일과 함께 실행된 참조파일에 상응하는 참조경로를 획득하는 단계; 및
    상기 실행경로와 상기 참조경로를 기반으로 상기 실행파일과 상기 참조파일의 악성여부를 점검하고, 상기 실행파일 및 상기 참조파일 중 악성파일이 존재하는 경우에 상기 악성파일이 존재하는 파일을 수집하는 단계
    를 포함하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 방법.
  2. 청구항 1에 있어서,
    상기 모니터링 하는 단계는
    상기 가상머신에 상응하는 가상 메모리에서 상기 실행파일에 대응하는 시스템 콜 코드의 위치를 파악하고, 상기 시스템 콜 코드의 실행 시도를 기반으로 생성되는 접근 이벤트가 탐지된 경우에 상기 실행파일로의 접근 시도가 발생한 것으로 판단하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 방법.
  3. 청구항 2에 있어서,
    상기 모니터링 하는 단계는
    상기 태스크가 상기 시스템 콜 코드의 위치로 접근하는 경우 및 상기 태스크가 상기 시스템 콜 코드의 위치를 가리키는 페이지 테이블 엔트리로 접근하여 예외상황(exception)이 발생하는 경우 중 적어도 하나의 경우에 상기 접근 이벤트를 생성하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 방법.
  4. 청구항 3에 있어서,
    상기 페이지 테이블 엔트리는
    상기 가상머신에 상응하는 커널이 관리하는 페이지 테이블에 해당하는 페이지 테이블 엔트리 및 상기 가상머신의 내부에서 접근할 수 없는 하드웨어 지원(Hardware-assisted) 주소변환 테이블에 해당하는 페이지 테이블 엔트리 중 적어도 하나에 상응하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 방법.
  5. 청구항 2에 있어서,
    상기 시스템 콜 전달 인자를 추출하는 단계는
    상기 접근 이벤트가 감지된 경우에 상기 가상머신에서 사용하는 레지스터 및 스택 중 적어도 하나에서 상기 시스템 콜 전달 인자를 추출하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 방법.
  6. 청구항 5에 있어서,
    상기 시스템 콜 전달 인자를 추출하는 단계는
    상기 접근 이벤트가 감지된 경우에 상기 가상머신에 상응하는 가상머신 식별자와 상기 태스크에 상응하는 태스크 식별자를 연동하여 식별자 세트를 생성하고, 상기 식별자 세트를 기반으로 상기 레지스터 및 스택 중 적어도 하나를 식별하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 방법.
  7. 청구항 1에 있어서,
    상기 획득하는 단계는
    상기 시스템 콜 전달 인자에 포함된 실행파일명과 파일저장 경로를 기반으로 상기 실행파일에 상응하는 프리패치 파일의 삭제여부를 점검하고, 상기 프리패치 파일이 삭제되지 않고 존재하는 경우에 상기 프리패치 파일에 포함된 상기 실행경로와 상기 참조경로를 획득하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 방법.
  8. 청구항 7에 있어서,
    상기 획득하는 단계는
    상기 프리패치 파일이 삭제된 경우에 파일시스템 전체 구조에 대한 레이아웃을 나타내는 파일시스템 메타데이터를 분석하여 상기 프리패치 파일에 상응하는 디스크 섹터를 검색하고, 상기 디스크 섹터에서 상기 프리패치 파일에 상응하는 실 데이터를 획득하여 상기 프리패치 파일을 복구하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 방법.
  9. 청구항 8에 있어서,
    상기 디스크 섹터는
    섹터 번호를 포함한 정보로 표기되는 가상 및 물리 저장장치의 위치를 나타내는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 방법.
  10. 청구항 8에 있어서,
    상기 수집하는 단계는
    상기 실행경로와 상기 참조경로를 참조하여 상기 실행파일과 상기 참조파일의 삭제 여부를 판단하고, 상기 실행파일 및 상기 참조파일 중 적어도 하나가 삭제된 경우에 상기 파일시스템 메타데이터를 이용하여 삭제된 파일을 복구하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 방법.
  11. 청구항 1에 있어서,
    상기 수집하는 단계는
    시그니처 기반 악성파일 탐지 기법, 행위기반 악성파일 탐지 기법 및 자제적인 기준 수립에 의한 악성파일 탐지 기법 중 적어도 하나를 기반으로 상기 악성여부를 점검하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 방법.
  12. 청구항 10에 있어서,
    하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역을 기반으로 상기 복구를 수행하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 방법.
  13. 청구항 12에 있어서,
    상기 수집하는 단계는
    상기 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역에서 상기 악성파일이 존재하는 파일을 수집하고, 수집한 파일을 저장하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 방법.
  14. 가상머신의 내부에 위치한 실행파일에 대한 접근 시도를 모니터링 하는 모니터링부;
    상기 실행파일로의 접근 시도가 탐지된 경우, 접근을 시도한 태스크(Task)를 통해 입력된 시스템 콜 전달 인자를 추출하는 전달 인자 추출부;
    상기 시스템 콜 전달 인자를 기반으로 상기 실행파일에 상응하는 실행경로와 상기 실행파일과 함께 실행된 참조파일에 상응하는 참조경로를 획득하는 경로 획득부; 및
    상기 실행경로와 상기 참조경로를 기반으로 상기 실행파일과 상기 참조파일의 악성여부를 점검하고, 상기 실행파일 및 상기 참조파일 중 악성파일이 존재하는 경우에 상기 악성파일이 존재하는 파일을 수집하는 악성파일 수집부
    를 포함하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 장치.
  15. 청구항 14에 있어서,
    상기 모니터링부는
    상기 가상머신에 상응하는 가상 메모리에서 상기 실행파일에 대응하는 시스템 콜 코드의 위치를 파악하고, 상기 시스템 콜 코드의 실행 시도를 기반으로 생성되는 접근 이벤트가 탐지된 경우에 상기 실행파일로의 접근 시도가 발생한 것으로 판단하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 장치.
  16. 청구항 15에 있어서,
    상기 모니터링부는
    상기 태스크가 상기 시스템 콜 코드의 위치로 접근하는 경우 및 상기 태스크가 상기 시스템 콜 코드의 위치를 가리키는 페이지 테이블 엔트리로 접근하여 예외상황(exception)이 발생하는 경우 중 적어도 하나의 경우에 상기 접근 이벤트를 생성하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 장치.
  17. 청구항 15에 있어서,
    상기 전달 인자 추출부는
    상기 가상머신에서 사용하는 레지스터 및 스택 중 적어도 하나에서 상기 시스템 콜 전달 인자를 추출하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 장치.
  18. 청구항 17에 있어서,
    상기 전달 인자 추출부는
    상기 접근 이벤트가 감지된 경우에 상기 가상머신에 상응하는 가상머신 식별자와 상기 태스크에 상응하는 태스크 식별자를 연동하여 식별자 세트를 생성하고, 상기 식별자 세트를 기반으로 상기 레지스터 및 스택 중 적어도 하나를 식별하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 장치.
  19. 청구항 14에 있어서,
    상기 경로 획득부는
    상기 시스템 콜 전달 인자에 포함된 실행파일명과 파일저장 경로를 기반으로 상기 실행파일에 상응하는 프리패치 파일의 삭제여부를 점검하는 프리패치 파일 점검부; 및
    상기 프리패치 파일이 삭제된 경우에 하이퍼바이저 및 가상 호스트 영역 중 어느 하나의 영역에서 파일시스템 메타데이터를 분석하여 상기 프리패치 파일을 복구하는 파일 복구부를 포함하고,
    상기 프리패치 파일을 통해 상기 실행경로와 상기 참조경로를 획득하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 장치.
  20. 청구항 19에 있어서,
    상기 파일 복구부는
    상기 파일시스템 메타데이터를 분석하여 상기 프리패치 파일에 상응하는 디스크 섹터를 검색하고, 상기 디스크 섹터에서 상기 프리패치 파일에 상응하는 실 데이터를 획득하여 상기 프리패치 파일을 복구하는 것을 특징으로 하는 하이퍼바이저 기반의 가상머신 모니터링 장치.
KR1020160075780A 2015-10-07 2016-06-17 하이퍼바이저 기반의 가상머신 모니터링 장치 및 방법 KR101816751B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US15/274,126 US10121004B2 (en) 2015-10-07 2016-09-23 Apparatus and method for monitoring virtual machine based on hypervisor

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020150141000 2015-10-07
KR20150141000 2015-10-07

Publications (2)

Publication Number Publication Date
KR20170041618A KR20170041618A (ko) 2017-04-17
KR101816751B1 true KR101816751B1 (ko) 2018-01-10

Family

ID=58703213

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160075780A KR101816751B1 (ko) 2015-10-07 2016-06-17 하이퍼바이저 기반의 가상머신 모니터링 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101816751B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102327886B1 (ko) 2021-03-30 2021-11-18 (주)지란지교시큐리티 가상 머신 운영 장치 및 방법

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101937935B1 (ko) * 2017-07-07 2019-04-11 한국전자통신연구원 가상머신 프로세스 실행에 따른 감사 증적 저장 장치 및 방법
US10802863B2 (en) 2017-07-07 2020-10-13 Electronics And Telecommunications Research Institute Apparatus and method for storing audit trail in response to virtual-machine process execution
KR101931779B1 (ko) 2017-08-07 2018-12-21 한국전자통신연구원 가상 머신 내부의 파일 접근 모니터링 장치 및 그 방법
KR102526681B1 (ko) * 2021-07-13 2023-05-02 한국전자통신연구원 가상 머신 보안 위협 방지 장치 및 방법
WO2023229065A1 (ko) * 2022-05-26 2023-11-30 시큐레터 주식회사 리버싱 엔진과 cdr 엔진을 활용한 악성 비실행 파일 차단 방법 및 장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012003651A (ja) 2010-06-21 2012-01-05 Hitachi Information Systems Ltd 仮想化環境監視装置とその監視方法およびプログラム
KR101454837B1 (ko) 2013-04-22 2014-10-28 한국인터넷진흥원 하이퍼바이저 보안 api 모듈 및 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012003651A (ja) 2010-06-21 2012-01-05 Hitachi Information Systems Ltd 仮想化環境監視装置とその監視方法およびプログラム
KR101454837B1 (ko) 2013-04-22 2014-10-28 한국인터넷진흥원 하이퍼바이저 보안 api 모듈 및 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102327886B1 (ko) 2021-03-30 2021-11-18 (주)지란지교시큐리티 가상 머신 운영 장치 및 방법

Also Published As

Publication number Publication date
KR20170041618A (ko) 2017-04-17

Similar Documents

Publication Publication Date Title
KR101816751B1 (ko) 하이퍼바이저 기반의 가상머신 모니터링 장치 및 방법
US10121004B2 (en) Apparatus and method for monitoring virtual machine based on hypervisor
TWI401582B (zh) 用於一硬體之監控裝置、監控方法及其電腦程式產品
Canfora et al. Detecting android malware using sequences of system calls
US8978141B2 (en) System and method for detecting malicious software using malware trigger scenarios
KR101554633B1 (ko) 악성 코드 검출 장치 및 그 방법
JP5992622B2 (ja) 悪意あるアプリケーション診断装置及び方法
US9230106B2 (en) System and method for detecting malicious software using malware trigger scenarios in a modified computer environment
US10235520B2 (en) System and method for analyzing patch file
Graziano et al. Hypervisor memory forensics
KR20090051956A (ko) 악성 코드에 의해 삽입된 동적 연결 라이브러리 검출 장치 및 방법
KR101715759B1 (ko) 멀티코어 환경에서의 악성코드 분석 장치 및 방법
JP2009140485A (ja) ソフトウェアコンポーネントをホワイトリストに登録する方法およびシステム
KR101256468B1 (ko) 악성 파일 진단 장치 및 방법
Seo et al. A study on memory dump analysis based on digital forensic tools
KR101327740B1 (ko) 악성코드의 행동 패턴 수집장치 및 방법
CN113176926A (zh) 一种基于虚拟机自省技术的api动态监控方法及系统
Ahmed et al. Robust fingerprinting for relocatable code
EP2819055B1 (en) System and method for detecting malicious software using malware trigger scenarios
US20090133124A1 (en) A method for detecting the operation behavior of the program and a method for detecting and clearing the virus program
KR101530530B1 (ko) 모바일단말의 악성 프로세스 실행 탐지 시스템 및 방법
EP1962168A1 (en) A method for detecting the operation behavior of the program and a method for detecting and clearing the virus program
KR101421630B1 (ko) 코드 인젝션된 악성코드 탐지 시스템 및 방법
KR101937935B1 (ko) 가상머신 프로세스 실행에 따른 감사 증적 저장 장치 및 방법
CN101739519B (zh) 用于一硬件的监控装置及监控方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant