KR101864126B1 - 지속적인 서비스 제공을 위한 정상상태 모델 기반의 침입감내 시스템 및 그 제어방법 - Google Patents
지속적인 서비스 제공을 위한 정상상태 모델 기반의 침입감내 시스템 및 그 제어방법 Download PDFInfo
- Publication number
- KR101864126B1 KR101864126B1 KR1020160021464A KR20160021464A KR101864126B1 KR 101864126 B1 KR101864126 B1 KR 101864126B1 KR 1020160021464 A KR1020160021464 A KR 1020160021464A KR 20160021464 A KR20160021464 A KR 20160021464A KR 101864126 B1 KR101864126 B1 KR 101864126B1
- Authority
- KR
- South Korea
- Prior art keywords
- server
- state
- policy
- unit
- control
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000001514 detection method Methods 0.000 claims description 34
- 230000005856 abnormality Effects 0.000 claims description 15
- 230000002159 abnormal effect Effects 0.000 claims description 10
- 230000009471 action Effects 0.000 claims description 7
- 230000003068 static effect Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000011084 recovery Methods 0.000 claims description 4
- 230000002688 persistence Effects 0.000 claims description 3
- 238000013509 system migration Methods 0.000 claims description 2
- 230000009545 invasion Effects 0.000 claims 1
- 239000000725 suspension Substances 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 5
- 230000007704 transition Effects 0.000 description 3
- 241001522296 Erithacus rubecula Species 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 230000009528 severe injury Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3006—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Tourism & Hospitality (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Marketing (AREA)
- Quality & Reliability (AREA)
- Health & Medical Sciences (AREA)
- Economics (AREA)
- Mathematical Physics (AREA)
- Human Resources & Organizations (AREA)
- Technology Law (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Automation & Control Theory (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
본 발명은 외부로부터 사이버 공격을 받는 경우에도 지속적인 서비스 제공을 가능하게 하는 침입감내 시스템 및 기법에 관한 것으로서, 보다 상세하게는 알려진 공격뿐만 아니라 알려지지 않은 사이버 공격이 발생하는 경우에도 서버의 상태를 정상상태로 유지함으로써 서비스를 지속적으로 제공할 수 있도록 한다. 이를 위해, 서버의 무결성이 유지된 상황에서 서버의 상태를 모델링하여 정상상태모델을 구축하고 서버 운영 시 서버의 상태를 기 구축된 정상상태모델과 비교하여 서버가 정상상태를 벗어낫는지의 여부를 체크한다. 만일 정상상태를 벗어난 경우에는 기 설정된 감내정책을 참조하여 서버를 제어하고 서버가 정상상태로 복귀하도록 한다. 본 발명은 서비스를 제공하는 서버가 원활한 서비스 제공을 위해 정상상태를 유지하도록 함으로써 알려진 공격뿐만 아니라 알려지지 않은 공격에 대해서도 여전히 유효하다.
Description
본 발명은 서비스를 제공하는 서버에 사이버 공격이 발생하여 정상적인 서비스 제공을 방해하는 상황에서도 지속적인 서비스 제공을 가능하게 하는 사이버공격 침입감내 시스템 및 기법에 관한 것이다.
군의 전장관리 시스템이나 원자력 발전소 관리시스템과 같이 미션크리티컬(Mission Critical)한 시스템은 지속적인 서비스 제공이 매우 중요하며 짧은 시간의 서비스의 중단도 치명적인 결과를 초래한다.
서버나 네트워크의 고장(Fault)으로 인한 서비스 중단을 방지하는 고장감내기법(Fault-Tolerent Method)은 많은 연구가 수행되어 왔으나 외부의 사이버 공격으로 인한 서비스 중지를 막고 지속적인 서비스 제공이 가능하도록 하는 침입감내기법에 대한 기술은 매우 부족한 실정이다.
사이버 공격으로부터 서버를 보호하기 위하여 다양한 보안장비를 운용하고 있으나 보안장비의 한계 및 시스템의 제로데이 취약점 등으로 인하여 서버에 대한 피해는 계속해서 발생하고 있으며 이는 곧 서비스 연속성유지 실패로 이어진다.
이에 본 발명은 서버가 사이버 공격을 받는 경우에도 서버가 제공하는 서비스는 지속적으로 제공이 가능하도록 하며 이를 위해 서버의 정상상태를 모델화하고 외부의 공격으로 인해 서버가 정상상태를 벗어난 경우 정상상태모델을 참조하여 서버를 다시 정상상태로 복구하는 방법과 하이퍼바이저 환경에서 가상머신의 이주 방식을 사용하여 서비스의 지속성을 유지하는 시스템과 기법을 제시한다.
본 발명의 기술적 과제는 서버가 외부의 사이버 공격을 받더라도 서버가 본래 제공하기로 한 서비스를 지속적으로 제공하는 것을 목적으로 한다.
또한, 본 발명의 목적은 제로데이공격(Zero Day Attack) 혹은 알려지지 않은 공격기법에 의한 사이버 침입에 대해서도 지속적인 서비스 제공을 가능하게 하는, 정상상태 모델 기반의 사이버공격 침입감내 시스템 및 그의 제어방법을 제공하는 것이다.
또한, 본 발명의 목적은 다양한 서비스에 적용할 수 있는 침입감내 시스템 및 그의 제어방법을 제공하는 것이다.
이와 같은 본 발명의 해결 과제를 달성하기 위하여, 본 발명의 일 실시예에 따르는 침임감내 시스템은, 수집에이전트로부터 각 서버의 상태를 수집하는 상태수집부와, 서버의 상태와 정상상태를 비교해서 상기 서버의 이상여부를 탐지하는 이상탐지부 및 이상상태가 발생된 서버를 정상상태로 복귀시키는 제어부를 포함하는 서버제어부; 상기 서버의 상태를 수집하여 상기 상태수집부로 전송하는 수집에이전트와 상기 제어부로부터 제어명령을 받아 상기 서버를 제어하는 제어에이전트; 감내정책을 관리하는 감내정책 관리부; 서버의 정상상태를 모델링하고 관리하는 정상상태모델링부; 및 물리서버의 이상상태 탐지와 물리서버의 이상상태 발생 시 물리서버 단위의 서비스 전환을 담당하는 물리서버 관리부;를 포함하는 것을 특징으로 한다.
일 실시예에 있어서, 상기 수집에이전트는 기 설정된 탐지정책에 근거하여, 서버의 상태를 모니터링하고, 모니터링 결과를 상기 상태수집부로 전송하는 것을 특징으로 한다.
일 실시예에 있어서, 상기 상태정보는 실행 프로세스 정보, 프로세스 간 관계 정보, 실행 커널스레드 정보, 로딩된 라이브러리 정보, 호출되는 시스템콜 정보, 오픈 상태의 네트워크 포트 정보 중 적어도 하나를 포함하는 것을 특징으로 한다.
일 실시예에 있어서, 상기 이상탐지부는 상기 상태수집부로부터 서버의 상태와 관련된 정보를 전달받고, 상기 전달받은 정보와 정상상태모델과 비교하여, 상기 서버가 정상상태인지 여부를 판단하는 것을 특징으로 한다.
일 실시예에 있어서, 상기 서버제어부에 포함된 상기 제어부는 상기 이상탐지부의 탐지결과를 수신하고, 상기 기 설정된 감내정책에 근거하여, 상기 서버를 정상상태로 복구시키기 위한 제어명령을 상기 제어에이전트로 전송하는 것을 특징으로 한다.
일 실시예에 있어서, 상기 기 설정된 감내정책은 조건부와 행위부로 구성되는 것을 특징으로 한다.
일 실시예에 있어서, 상기 조건부는 탐지정책 및 기준 시간 간격 동안 탐지발생 횟수, 감내정책 사이의 우선순위로 구성되는 것을 특징으로 한다.
일 실시예에 있어서, 상기 행위부는 제1 제어정책과, 제1 제어정책 실패 시 실시할 제2 제어정책으로 구성되고, 제어정책은 메모리 복구, 파일 복구, 서비스 재시작, 가상시스템 이주 및 물리시스템 이주 중 적어도 하나를 포함하는 것을 특징으로 한다.
일 실시예에 있어서, 기 정상상태모델링부는, 서비스 제공을 위한 준비완료 후 외부의 접속이 차단된 상태에서 운영체제, 응용 서비스를 포함한 시스템의 정적, 동적 무결성 정보를 추출하여 모델링하는 것을 특징으로 한다.
또한, 상기 목적을 달성하기 위하여 본 발명은, 정상상태 모델을 구축하는 정상상태 모델링부; 서버에서 실행되며 해당 서버의 현 상태를 수집하는 수집에이전트; 상기 수집에이전트가 모니터링한 서버의 상태를 수집하는 상태수집부; 상기 상태수집부가 수집한 서버의 상태를 상기 정상상태 모델링부가 구축한 정상상태 모델과 비교하여 서버의 이상을 탐지하는 이상탐지부; 서버가 정상상태를 벗어난 경우 정상상태로 복구시키는 제어명령을 제어에이전트로 전달하는 제어부; 제어부로부터 제어명령을 받아 서버를 제어하는 제어에이전트; 상기 제어부가 서버를 제어하기 위해 참조하는 감내정책을 관리하는 감내정책 관리부; 물리서버의 상태를 감시하고 물리서버 수준의 서비스 전환을 관리하는 물리서버 관리부;를 포함하는 것을 특징으로 한다.
상기 정상상태 모델링부는 서비스 제공을 위한 준비를 완료한 상태에서 사용자에게 서비스를 제공하기 전 서버의 무결성이 보장된 상태에서 정적, 동적 상태를 수집하여 해당 서버의 정상상태모델을 구축한다. 서버의 정적, 동적 상태를 정의하는 정보는 실행파일, 라이브러리 파일, 실행 프로세스 간 부모-자식 관계, 프로세스 당 허용된 시스템 콜, 커널 스레드, OS 커널 주요 정적 테이블을 포함한다.
수집에이전트는 관리자가 설정한 탐지정책에 따라 서버의 상태를 수집하고 상태수집부로 상태를 전송한다.
상태수집부는 관리대상 서버의 수집에이전트가 전송한 서버의 상태를 모아서 이상탐지부로 전달한다.
이상탐지부는 상태수집부가 전송한 서버의 상태를 받아 정상상태 모델링부가 구축한 각 서버의 정상상태와 비교 후, 서버가 정상상태를 벗어났는지 여부를 탐지하고 탐지결과를 제어부로 전달한다.
제어부는 이상탐지부로부터 정상상태를 벗어난 서버의 정보를 받아 감내정책을 참조하여 제어에이전트에 제어명령을 전달한다.
제어에이전트는 제어부가 전송한 제어명령을 받아 서버를 제어하여 정상상태로 복구한다. 공격자의 방해 혹은 알 수 없는 이유로 인하여 제어명령이 정상적으로 실행되지 않는 경우 후속제어 명령을 실행한다. 만일 동일한 증상이 정해진 횟수를 초과하면 제어부는 가상서버를 전환하거나 물리서버 관리부에 의해서 물리서버 전환을 수행한다.
본 발명에 따르면, 정상상태 모델 기반의 침입감내 시스템 및 기법은 알려진 공격뿐만 아니라 알려지지 않은 사이버 공격이 발생하더라도 서버를 제어하여 정상상태를 유지할 수 있도록 함으로써 지속적인 서비스 제공을 가능하게 한다.
도 1은 본 명세서의 실시 예에 따른 본 발명의 구동 환경 시스템 구성요소를 나타내는 개념도.
도 2는 본 명세서의 실시 예에 따른 본 발명의 구동 환경 시스템의 탐지항목을 나타내는 개념도.
도 3은 본 명세서의 실시 예에 따른 본 발명의 탐지정책을 나타내는 개념도.
도 4는 본 명세서의 실시 예에 따른 본 발명의 제어정책을 나타내는 개념도.
도 5는 본 명세서의 실시 예에 따른 본 발명의 감내정책을 나타내는 개념도.
도 6는 본 명세서의 실시 예에 따른 본 발명의 구동 환경 시스템에서 세 가지 종류의 서비스 제공을 위해 두 개의 물리서버, 그리고 각 물리서버 당 두 개의 가상머신으로 구성된 예를 나타내는 개념도.
도 7는 본 발명의 실시 예에 따른 시스템 운영 상태를 나타내는 블록도.
도 2는 본 명세서의 실시 예에 따른 본 발명의 구동 환경 시스템의 탐지항목을 나타내는 개념도.
도 3은 본 명세서의 실시 예에 따른 본 발명의 탐지정책을 나타내는 개념도.
도 4는 본 명세서의 실시 예에 따른 본 발명의 제어정책을 나타내는 개념도.
도 5는 본 명세서의 실시 예에 따른 본 발명의 감내정책을 나타내는 개념도.
도 6는 본 명세서의 실시 예에 따른 본 발명의 구동 환경 시스템에서 세 가지 종류의 서비스 제공을 위해 두 개의 물리서버, 그리고 각 물리서버 당 두 개의 가상머신으로 구성된 예를 나타내는 개념도.
도 7는 본 발명의 실시 예에 따른 시스템 운영 상태를 나타내는 블록도.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명하되, 본 명세서에서 사용되는 기술적 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 명세서에 개시된 기술의 사상을 한정하려는 의도가 아님을 유의해야 한다. 또한, 본 명세서에서 사용되는 기술적 용어는 본 명세서에서 특별히 다른 의미로 정의되지 않는 한, 본 명세서에 개시된 기술이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 의미로 해석되어야 하며, 과도하게 포괄적인 의미로 해석되거나, 과도하게 축소된 의미로 해석되지 않아야 한다. 또한, 본 명세서에서 사용되는 기술적인 용어가 본 명세서에 개시된 기술의 사상을 정확하게 표현하지 못하는 잘못된 기술적 용어일 때에는, 당업자가 올바르게 이해할 수 있는 기술적 용어로 대체되어 이해되어야 할 것이다. 또한, 본 명세서에서 사용되는 일반적인 용어는 사전에 정의되어 있는 바에 따라, 또는 전후 문맥상에 따라 해석되어야 하며, 과도하게 축소된 의미로 해석되지 않아야 한다.
또한, 본 명세서에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "구성된다" 또는 "포함한다" 등의 용어는 명세서상에 기재된 여러 구성 요소들, 또는 여러 단계들을 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다.
또한, 본 명세서에서 사용되는 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성 요소로 명명될 수 있고, 유사하게 제2 구성 요소도 제1 구성 요소로 명명될 수 있다.
또한, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예들을 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
또한, 본 명세서에 개시된 기술을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 기술의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 기술의 사상을 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 그 기술의 사상이 제한되는 것으로 해석되어서는 아니 됨을 유의해야 한다.
이하 첨부되는 도면을 참조하여 본 발명에 따른 바람직한 실시 예를 상세히 설명하기로 한다.
도 1은 본 명세서의 실시 예에 따른 정상상태 모델 기반의 사이버공격 침입감내 시스템 및 기법(100) 전체 구조를 나타낸다.
본 명세서에 따른 침입감내 기법을 적용한 시스템은 물리서버(109), 감내정책관리부(104), 물리서버 관리부(106) 및 정상상태 모델링부(105) 중 적어도 하나를 포함할 수 있다.
구체적으로, 물리서버(109)는 하이퍼바이저(Hypervisor)(110), 서비스 제공을 위한 서비스 제공 가상머신 서버(107), 적어도 하나 이상의 클론 가상머신 서버(108) 및 서버 제어부(103) 중 적어도 하나를 포함할 수 있다.
서비스 제공 가상머신 서버(107)는 수집에이전트(101) 및 제어에이전트(102) 중 적어도 하나를 포함한다. 상기 서비스 제공 가상머신 서버(107)는 물리서버(109)가 제공하고자 하는 응용서비스를 실행 중인(Running) 가상머신 서버일 수 있다.
클론 가상머신 서버(108)는 대기상태의(Paused) 가상머신 서버일 수 있다. 즉, 클론 가상머신 서버(108)는 중지상태 또는 대기상태를 유지하는 중에, 서비스 제공 가상머신 서버(107)에 사이버 침입이 발생하면, 실행상태로 변경될 수 있다. 이로써, 서비스 제공 가상머신 서버(107)의 정상상태 유지가 어려운 상황이 발생한 경우에도, 대기상태 중이던 클론 가상머신 서버(108)가 실행상태로 변경됨으로써, 사용자에게 계속해서 서비스를 제공할 수 있다.
아울러, 서버 제어부(103)는 상태수집부(103-1), 이상탐지부(103-2) 및 제어부(103-3) 중 적어도 하나를 포함할 수 있다.
상태수집부(103-1)는 수집에이전트(101)로부터 서버 상태정보를 수신할 수 있다.
이상탐지부(103-2)는 상태수집부(103-1)가 수집한 서버 상태정보를 정상상태 모델링부(105)가 구축한 서버의 정상상태와 비교할 수 있다. 또한, 이상탐지부(103-2)는 서버에 이상상태가 발생했는지를 판단할 수 있다.
제어부(103-3)는 이상상태가 발생한 것으로 판단되는 경우, 감내정책 관리부(104)가 설정한 감내정책(이하, 도5 참조)에 따라 제어에이전트(102)에게 제어명령을 전달할 수 있다. 이로써, 제어부(103-3)는 이상상태가 발생된 서버를 정상상태로 전환시킬 수 있다.
제어에이전트(102)의 제어행위로 서버를 정상상태로 전환시킬 수 없는 경우, 제어부(103-3)는 실행 중인 가상머신 서버(서비스 제공 가상머신 서버(107))를 중지시키고, 대기 중인 가상머신 서버(클론 가상머신 서버(108))를 실행시킬 수 있다.
이하의 도 2에서는 본 명세서의 일실시 예에 따른 상기 수집에이전트가 상태수집부로 전달하는 상태의 항목과 내용이 설명된다.
도 2를 참조하면 본 발명이 고려하는 상태정보는 응용 프로세스 상태정보와 OS 상태정보를 포함한다.
도 3 내지 도 5는 본 명세서의 실시 예에 따른 탐지정책(도3), 제어정책(도4), 침입감내정책(도5)을 나타낸다.
도 3을 참조하면, 탐지정책은 항목 아이디와 서버의 상태를 나타내는 항목으로 구성될 수 있다.
도 4를 참조하면, 제어정책은 제어정책 아이디와 시스템 제어와 관련된 제어행위로 구성될 수 있다.
도 5를 참조하면, 침입감내정책은 탐지정책과 감내정책의 조합으로 구성될 수 있다. 본 발명에 따른 침입감내정책은 시간 개념을 반영하여, 기준 시간 내 탐지발생 횟수를 고려할 수 있다.
일 실시예에서, 도 5에 도시된 것과 같이, 감내정책 1은 탐지항목 탐지_1이 정상상태를 벗어난 경우, 제어정책 제어_1을 수행할 수 있다.
또한, 감내정책 2는 탐지항목 탐지_2가 정상상태를 벗어났을 때를 기점으로 60초 이내에 두 번 발생한 경우에 활성화될 수 있으며, 첫 탐지 시 제어행위로써 제어_2을 실행하고, 상기 실행된 제어_2가 성공하지 못한 경우, 후속행위로서 제어_3을 실행할 수 있다.
도 6은 본 발명의 구동 환경 시스템 운영 중 발생 가능한 한 실시 예를 나타낸다.
도 6의 예는 세 개의 서비스타입을 제공하는 서버(601, 602, 603)를 운용 중이며 각 서버집합은 4개의 클론 가상머신으로 구성될 수 있다.
이들은 두 개의 물리서버(107, 108)에 각 두 개씩 할당되어 있으며 이 중 하나의 가상머신 서버만 실행 상태로 활성화되어 사용자에게 서비스를 제공할 수 있다.
서비스를 제공하는 가상머신서버가 사이버공격으로 인하여 정상상태를 유지하기 어려운 경우, 대기상태의 복제서버(가상머신)가 활성화되어 서비스를 제공할 수 있다.
기존 서버는 제어부(103)에 의해서 이미지가 초기화될 수 있다. 초기화된 서버이미지는 무결성이 보장되므로, 사이버공격을 받아 오염된 서버에 존재할 수도 있는 알려지지 않은 악성코드가 원천적으로 삭제된다.
일반적으로는 하나의 물리 서버 안에서 다수 개의 가상머신 서버가 라운드 로빈 방식으로 서비스를 제공한다. 그러나 심각한 피해를 입어 가상머신 수준에서의 서버 교체로는 정상적인 서비스 제공이 불가능한 경우 물리서버관리부(106)에 의해서 물리서버 수준에서의 서비스 전환을 한다. 즉, 다음 물리서버에 있는 해당 가상머신이 활성화되고 서비스를 제공한다.
도 6은 본 발명의 일실시 예이며 최대 복제 가상머신의 수는 물리머신의 하드웨어 스토리지 용량, 메모리 용량을 고려하여 다음과 같은 수식으로 설정한다.
상기 수학식 1 및 수학식 2에서 Stot는 물리머신의 스토리지 용량, fd는 남겨둘 디스크 용량, Sk는 서비스타입 k가 필요로하는 디스크 용량, Mtot는 물리머신의 메모리 용량, fm는 남겨둘 메모리 용량, Wk는 서비스타입 k의 가중치, g는 서비스 타입의 수를 의미할 수 있다.
하이퍼바이저는 실행 중인(running) 가상머신 서버와 대기상태(paused)의 가상머신 서버는 메모리에 로딩하여 관리할 수 있다.
또한, 일시중지(Suspended) 상태의 가상머신 서버는 메모리에 로딩하지 않고 디스크만 차지하므로, 하이퍼바이저는 서비스 타입 당 최대 가상머신 서버의 수에서 서비스 타입 당 실행 중인 가상머신 서버의 수 및 대기상태인 가상머신 서버의 수의 합을 빼는 계산을 수행하여, 일시중지(Suspended) 상태의 가상머신 서버의 개수를 산출할 수 있다.
도 7은 본 발명의 침입감내기술 적용을 위한 운영상태전이도를 나타낸다.
본 발명을 적용한 시스템은 시스템준비(702) 상태에서 시스템 환경구성, 응용서비스 설치 및 설정 등 서비스 준비를 위한 작업을 수행할 수 있다.
시스템 구성이 완료되면 서버이미지를 복제하고 향후 원본이미지로 사용하기 위해 이미지(가상머신 이미지)를 백업할 수 있다.
시스템 구성 및 이미지백업이 완료되면 정상상태모델링상태(701)로 전이할 수 있다. 이 상태에서는 외부의 네트워크 연결만 차단한 채 서버를 구동하고 서비스 제공에 필요한 모든 프로세스를 실행할 수 있다.
정상상태모델링부(105)는 서버의 정적, 동적 정보를 수집하여 정상상태모델을 구축할 수 있다. 실행 파일, 라이브러리 목록, 프로세스간 부모-자식 관계, 커널의 주요 정적(static) 테이블 등이 정상상태 모델의 주요 항목이다.
정상상태모델은 버전별로 관리되며 정상상태모델 구축 작업이 완료되면 시스템준비상태(702)로 돌아올 수 있다. 시스템준비상태(702)에서 관리자는 정상상태모델의 여러 버전 중 적용하고자 하는 버전을 선택하여 이상탐지부(103-2)로 전파하고 실제 서비스제공을 위한 작업을 완료할 수 있다.
시스템준비 작업이 끝나면 서비스제공상태(703)로 전이한다. 이 상태에서는 침입감내기능이 활성화된 상태에서 외부의 사용자에게 서비스를 제공할 수 있다.
본 발명에 따르면, 정상상태 모델 기반의 침입감내 시스템 및 기법은 알려진 공격뿐만 아니라 알려지지 않은 사이버 공격이 발생하더라도 서버를 제어하여 정상상태를 유지할 수 있도록 함으로써 지속적인 서비스 제공을 가능하게 한다.
본 발명은 본 발명의 정신 및 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있음은 당업자에게 자명하다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.
Claims (9)
- 수집에이전트로부터 각 서버의 상태를 수집하는 상태수집부와, 서버의 상태와 정상상태를 비교해서 상기 서버의 이상여부를 탐지하는 이상탐지부 및 이상상태가 발생된 서버를 정상상태로 복귀시키는 제어부를 포함하는 서버제어부;
상기 서버의 상태를 수집하여 상기 상태수집부로 전송하는 수집에이전트와 상기 제어부로부터 제어명령을 받아 상기 서버를 제어하는 제어에이전트;
기 설정된 감내정책을 관리하는 감내정책 관리부;
서버의 정상상태를 모델링하고 관리하는 정상상태모델링부; 및
물리서버의 이상상태 탐지와 물리서버의 이상상태 발생 시 서비스를 제공하는 서버를 가상서버 단위가 아닌 물리서버 단위로 변경시키는 물리서버 관리부;를 포함하고,
상기 감내정책은 탐지정책과 제어정책의 조합으로 구성되고,
상기 탐지정책은 상기 서버의 이상여부를 판단하는 방법이고,
상기 제어정책은 상기 서버가 이상상태일 경우, 상기 서버를 제어하는 방법인는 것을 특징으로 하는 지속적인 서비스 제공을 위한 정상상태 모델 기반의 사이버공격 침입감내 시스템. - 제1항에 있어서,
상기 수집에이전트는,
기 설정된 탐지정책에 근거하여, 서버의 상태를 모니터링하고, 모니터링 중 획득된 상태정보를 상기 상태수집부로 전송하는 것을 특징으로 하는 지속적인 서비스 제공을 위한 정상상태 모델 기반의 사이버공격 침입감내 시스템. - 제2항에 있어서,
상기 상태정보는,
실행 프로세스 정보, 프로세스 간 관계 정보, 실행 커널스레드 정보, 로딩된 라이브러리 정보, 호출되는 시스템콜 정보, 오픈 상태의 네트워크 포트 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 지속적인 서비스 제공을 위한 정상상태 모델 기반의 사이버공격 침입감내 시스템. - 제1항에 있어서,
상기 이상탐지부는,
상기 상태수집부로부터 서버의 상태와 관련된 정보를 전달받고,
상기 전달받은 정보와 정상상태모델과 비교하여, 상기 서버가 정상상태인지 여부를 판단하는 것을 특징으로 하는 지속적인 서비스 제공을 위한 정상상태 모델 기반의 사이버공격 침입감내 시스템. - 제1항에 있어서,
상기 서버제어부에 포함된 상기 제어부는,
상기 이상탐지부의 탐지결과를 수신하고,
상기 기 설정된 감내정책에 근거하여, 상기 서버를 정상상태로 복구시키기 위한 제어명령을 상기 제어에이전트로 전송하는 것을 특징으로 하는 지속적인 서비스 제공을 위한 정상상태 모델 기반의 사이버공격 침입감내 시스템. - 제5항에 있어서,
상기 기 설정된 감내정책은 조건부와 행위부로 구성되는 것을 특징으로 하는 지속적인 서비스 제공을 위한 정상상태 모델 기반의 사이버공격 침입감내 시스템. - 제6항에 있어서,
상기 조건부는 탐지정책 및 기준 시간 간격 동안 탐지발생 횟수, 감내정책 사이의 우선순위로 구성되는 것을 특징으로 하는 지속적인 서비스 제공을 위한 정상상태 모델 기반의 사이버공격 침입감내 시스템. - 제6항에 있어서,
상기 행위부는 제1 제어정책과, 제1 제어정책 실패 시 실시할 제2 제어정책으로 구성되고,
제어정책은 메모리 복구, 파일 복구, 서비스 재시작, 가상시스템 이주 및 물리시스템 이주 중 적어도 하나를 포함하는 것을 특징으로 하는 지속적인 서비스 제공을 위한 정상상태 모델 기반의 사이버공격 침입감내 시스템. - 제1항에 있어서
상기 정상상태모델링부는,
서비스 제공을 위한 준비완료 후 외부의 접속이 차단된 상태에서 운영체제, 응용 서비스를 포함한 시스템의 정적, 동적 무결성 정보를 추출하여 모델링하는 것을 특징으로 하는 지속적인 서비스 제공을 위한 정상상태 모델 기반의 사이버공격 침입감내 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160021464A KR101864126B1 (ko) | 2016-02-23 | 2016-02-23 | 지속적인 서비스 제공을 위한 정상상태 모델 기반의 침입감내 시스템 및 그 제어방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160021464A KR101864126B1 (ko) | 2016-02-23 | 2016-02-23 | 지속적인 서비스 제공을 위한 정상상태 모델 기반의 침입감내 시스템 및 그 제어방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20170099284A KR20170099284A (ko) | 2017-08-31 |
| KR101864126B1 true KR101864126B1 (ko) | 2018-06-04 |
Family
ID=59761225
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160021464A KR101864126B1 (ko) | 2016-02-23 | 2016-02-23 | 지속적인 서비스 제공을 위한 정상상태 모델 기반의 침입감내 시스템 및 그 제어방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101864126B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102575524B1 (ko) * | 2022-12-22 | 2023-09-07 | 한화시스템(주) | 가상화 기반 전투체계를 위한 분산정보처리장치 및 이의 자원 할당 방법 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002342107A (ja) | 2001-05-14 | 2002-11-29 | Nippon Telegr & Teleph Corp <Ntt> | 分散サーバシステム、障害復旧方法、障害復旧プログラムおよび記録媒体 |
| JP2015109070A (ja) | 2013-10-22 | 2015-06-11 | キヤノン電子株式会社 | ウェブシステム、サーバ切替装置、サーバ切替方法およびプログラム |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100411978B1 (ko) * | 2001-01-22 | 2003-12-24 | (주) 로커스네트웍스 | 내 고장성 시스템 및 이중화 방법 |
| KR100628312B1 (ko) * | 2004-11-25 | 2006-09-27 | 한국전자통신연구원 | 인터넷 서버 보안 장치 및 그 방법 |
-
2016
- 2016-02-23 KR KR1020160021464A patent/KR101864126B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002342107A (ja) | 2001-05-14 | 2002-11-29 | Nippon Telegr & Teleph Corp <Ntt> | 分散サーバシステム、障害復旧方法、障害復旧プログラムおよび記録媒体 |
| JP2015109070A (ja) | 2013-10-22 | 2015-06-11 | キヤノン電子株式会社 | ウェブシステム、サーバ切替装置、サーバ切替方法およびプログラム |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102575524B1 (ko) * | 2022-12-22 | 2023-09-07 | 한화시스템(주) | 가상화 기반 전투체계를 위한 분산정보처리장치 및 이의 자원 할당 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20170099284A (ko) | 2017-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107179957B (zh) | 物理机故障分类处理方法、装置和虚拟机恢复方法、系统 | |
| US7975165B2 (en) | Management of information technology risk using virtual infrastructures | |
| US6477663B1 (en) | Method and apparatus for providing process pair protection for complex applications | |
| US7788524B2 (en) | Fault-tolerant networks | |
| CN111953566B (zh) | 一种基于分布式故障监控的方法和虚拟机高可用系统 | |
| US8880936B2 (en) | Method for switching application server, management computer, and storage medium storing program | |
| US11144374B2 (en) | Data availability in a constrained deployment of a high-availability system in the presence of pending faults | |
| CN112181660A (zh) | 一种基于服务器集群的高可用方法 | |
| CN106874136A (zh) | 一种存储系统的故障处理方法及装置 | |
| CN109286529A (zh) | 一种恢复RabbitMQ网络分区的方法及系统 | |
| WO2016029440A1 (en) | Virtual machine service availability | |
| Melo et al. | Comparative analysis of migration-based rejuvenation schedules on cloud availability | |
| CN109274761A (zh) | 一种nas集群节点、系统以及数据访问方法 | |
| US8015432B1 (en) | Method and apparatus for providing computer failover to a virtualized environment | |
| CN111181780A (zh) | 基于ha集群的主机池切换方法、系统、终端及存储介质 | |
| US20150067401A1 (en) | Computer recovery method, computer system, and storage medium | |
| CN103902401B (zh) | 基于监控的虚拟机容错方法及装置 | |
| CN107453888B (zh) | 高可用性的虚拟机集群的管理方法及装置 | |
| US20190243953A1 (en) | Enhanced security for multiple node computing platform | |
| KR101864126B1 (ko) | 지속적인 서비스 제공을 위한 정상상태 모델 기반의 침입감내 시스템 및 그 제어방법 | |
| CN107870777A (zh) | 一种热补丁实现方法及装置、终端 | |
| Park et al. | Static vs. dynamic recovery models for survivable distributed systems | |
| JP6984119B2 (ja) | 監視装置、監視プログラム、及び監視方法 | |
| Heegaard et al. | Survivability as a generalization of recovery | |
| JP2015176168A (ja) | 管理サーバおよび障害復旧方法、並びにコンピュータ・プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |