KR20130033161A - 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 - Google Patents
클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 Download PDFInfo
- Publication number
- KR20130033161A KR20130033161A KR1020110097068A KR20110097068A KR20130033161A KR 20130033161 A KR20130033161 A KR 20130033161A KR 1020110097068 A KR1020110097068 A KR 1020110097068A KR 20110097068 A KR20110097068 A KR 20110097068A KR 20130033161 A KR20130033161 A KR 20130033161A
- Authority
- KR
- South Korea
- Prior art keywords
- alarm
- intrusion
- intrusion detection
- beginner
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 148
- 238000012545 processing Methods 0.000 claims description 14
- 238000000034 method Methods 0.000 claims description 9
- 238000004458 analytical method Methods 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 abstract description 7
- 208000018208 Hyperimmunoglobulinemia D with periodic fever Diseases 0.000 abstract 1
- 206010072219 Mevalonic aciduria Diseases 0.000 abstract 1
- DTXLBRAVKYTGFE-UHFFFAOYSA-J tetrasodium;2-(1,2-dicarboxylatoethylamino)-3-hydroxybutanedioate Chemical compound [Na+].[Na+].[Na+].[Na+].[O-]C(=O)C(O)C(C([O-])=O)NC(C([O-])=O)CC([O-])=O DTXLBRAVKYTGFE-UHFFFAOYSA-J 0.000 abstract 1
- 230000000694 effects Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000001186 cumulative effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000007667 floating Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/301—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is a virtual computing platform, e.g. logically partitioned systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45504—Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 전술한 문제를 해결하기 위한 것으로, 본 발명의 목적은 NIDS와 HIDS 기술을 이용하여 클라우드 환경에 적합한 침입 탐지 방법 및 시스템을 제공하는 것이다.
전술한 목적을 달성하기 위하여, 본 발명에 따른 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템은 가상머신을 모니터링하여 상기 가상머신의 트래픽 값이 사용자가 설정한 임계값을 초과하는 경우 초급경보를 발생하는 초급 탐지기; 상기 초급경보와 로컬 데이터 베이스의 블랙리스트를 비교하여 연관성(동일함 포함)이 발견될 경우 침입으로 판단하며 침입으로 판단되면 하이퍼경보를 발생하는 침입 탐지 판단기; 및 상기 초급경보와 하아퍼경보를 전송받는 침입 탐지 관리자를 포함하고, 상기 초급 경보와 하이퍼 경보는 메모리, CPU사용률, 트래픽 총량 등을 포함한 상태값과 상기 임계값이 포함된다.
전술한 목적을 달성하기 위하여, 본 발명에 따른 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템은 가상머신을 모니터링하여 상기 가상머신의 트래픽 값이 사용자가 설정한 임계값을 초과하는 경우 초급경보를 발생하는 초급 탐지기; 상기 초급경보와 로컬 데이터 베이스의 블랙리스트를 비교하여 연관성(동일함 포함)이 발견될 경우 침입으로 판단하며 침입으로 판단되면 하이퍼경보를 발생하는 침입 탐지 판단기; 및 상기 초급경보와 하아퍼경보를 전송받는 침입 탐지 관리자를 포함하고, 상기 초급 경보와 하이퍼 경보는 메모리, CPU사용률, 트래픽 총량 등을 포함한 상태값과 상기 임계값이 포함된다.
Description
본 발명은 클라우드 컴퓨팅 시스템에 관한 것으로, 더욱 상세하게는 클라우드 컴퓨팅 서비스에서 컴퓨터 시스템이나 네트워크에서 발생하는 인가되지 않은 침입 행동을 실시간으로 탐지하는 시스템에 관한 것이다.
클라우드 컴퓨팅은 대규모의 IT 자원을 가상화 기술과 분산처리 기술을 활용하여 인터넷으로 컴퓨팅 자원(메모리, CPU, 스토리지 등)을 서비스하여 사용한 만큼의 요금을 지불하는 컴퓨팅 서비스이다. 즉, 클라우드 컴퓨팅은 서로 다른 물리적인 위치에 존재하는 컴퓨팅 자원(메모리, CPU, 스토리지 등)을 가상화 기술을 통해 하나로 통합하여 제공하는 '인터넷 기반 사용자 중심의 주문형 아웃소싱 서비스 기술이다.
인터넷이 제공된다면, 사용자만의 컴퓨팅 환경을 시간과 장소에 상관없이 사용이 가능하며, 사용한 시간만큼의 요금을 부과하며, 하드웨어/소프트웨어와 사후 서비스 등과 같은 모든 서비스는 클라우드 컴퓨팅 환경에서 제공받을 수 있기 때문에 시스템 유지, 보수 비용과 하드웨어/소프트웨어 구매비용, 에너지 절감 등의 효과를 기대할 수 있다.
클라우드 컴퓨팅 서비스가 주목받으면서 구글, 아마존, 애플, 마이크로소프트와 같은 IT 대기업이 클라우드 컴퓨팅 시대를 열어가고 있다. 클라우드 컴퓨팅 서비스는 퍼블릭 클라우드(Public Cloud), 프라이빗 클라우드(Private Cloud) 등 4가지의 클라우드 컴퓨팅 서비스 타입이 존재 한다..
퍼블릭 클라우드 서비스는 불특정 다수의 사람에게 인터넷을 통해 클라우드 서비스를 제공한다. 퍼블릭 클라우드 서비스가 무료 또는 데이터 및 소스 오픈을 의미하지 않으며 사용자 접근제어 및 요금청구 등의 서비스를 제공한다. 퍼블릭 클라우드는 서비스 제공자가 사용자의 정보를 관리하고 모든 리소스를 공유하므로 개인 정보보호에 취약한 면이 있다.
프라이빗 클라우드 서비스는 퍼블릭 클라우드 서비스와 같은 컴퓨팅 환경을 제공하며 특정 기업 또는 기관에서 서비스, 데이터 그리고 프로세스를 직접 관리하는 서비스를 의미한다. 보안을 위해서 외부와의 접촉을 피하고 인증된 사람만 접근이 가능한 폐쇄적인 클라우드 서비스 모델이다.
커뮤니케이션 클라우드 서비스는 특정 집단을 위한 클라우드 컴퓨팅 서비스로써, 구성원들에게만 접근 권한을 부여한다. 집단의 구성원들은 서로 데이터 및 응용프로그램 등을 서로 공유한다.
하이브리드 클라우드 서비스는 퍼블릭 클라우드 서비스와 프라이빗 클라우드 서비스의 결합한 서비스로써, 퍼블릭 클라우드 서비스를 기본적으로 제공하며 공유를 원치 않는 데이터 및 서비스는 프라이빗 클라우드 서비스 정책을 따른다.
클라우드 컴퓨팅 서비스 구조는 사용자의 요구에 맞춰 사용자만의 컴퓨팅 환경을 제공하는 인프라형 서비스 구조와 사용자의 컴퓨팅 목적에 맞는 플랫폼을 선택하여 사용할 수 있는 환경을 제공하는 플랫폼형 서비스 구조 및 사용자가 사용 목적에 맞는 소프트웨어를 선택하여 사용할 수 있는 환경을 제공하는 소프트웨어 서비스 구조로 구분된다.
침입 탐지는 컴퓨터 시스템이나 네트워크에서 발생하는 트래픽 과부하, 권한 탈취와 같은 침입공격 신호를 분석하는 프로세스이다. 또한, 침입 사고에는 악성코드와 같은 여러 가지 이유로 발생한다.
예를 들어, 공격자가 인터넷을 통해 비인가 접속을 하고 인가된 사용자가 권한 오용 또는 권한탈취 시도 등이 발생할 수 있다. 비록 많은 침입사고는 악의가 있지만 대부분은 아니다.
예를 하나 더 들자면, 한 사람이 컴퓨터의 주소를 잘못 입력하고 우연히 권한이 없는 다른 시스템에서 연결을 시도할 수 있다. 침입 탐지 시스템(IDS)는 자동으로 이러한 침입에 대한 탐지 프로세스를 수행한다.
침입 탐지 시스템은 컴퓨터 시스템이나 네트워크에서 발생하는 이벤트를 모니터링과 보안 정책, 알려진 침입사례 등을 기반으로 컴퓨터 자원(서버, 네트워크, 스토리지 등)을 위협하는 신호를 분석하여 침입 행동을 실시간으로 탐지하는 시스템이다. 침입 탐지 시스템은 크게 두 가지의 종류로 구분할 수 있다. 네트워크 기반의 침입 탐지 시스템(NIDS) (한국 공개특허 2003-0069240 참조)와 호스트 기반의 침입 탐지 시스템(HIDS) (한국 공개특허 2007-0008804 참조)이다.
네트워크 기반의 침입 탐지 시스템(NIDS, Network-based Intrusion Detection System)은 네트워크에서 하나의 독립된 시스템으로 운용되며, 모니터링을 할 때 네트워크 자원이 손실되거나 데이터 변조가 되지 않는 장점이 있다. 또한, 네트워크 전체에 대한 트래픽 감시 및 검사가 가능하지만, 오탐율이 높고 트래픽 전송량이 많은 네트워크에서는 탐지 못하는 패킷이 많아진다.
호스트 기반의 침입 탐지 시스템(HIDS, Host-based Intrusion Detection System)은 운영체제에 추가적으로 설치되어 운용되거나 일반 클라이언트에 설치되어 시스템 호출, 애플리케이션 로그, 파일시스템 수정과 호스트와 연관된 다른 호스트의 활동 및 상태와 같은 데이터를 수집 및 분석을 통해 수행되며 높은 정확도를 제공한다. 하지만, 전체적인 네트워크에 대한 침입 탐지는 불가능하며 호스트 내부에 위치하기 때문에 호스트와 함께 침입공격을 받을 수 있다.
침입 탐지 기법은 오용탐지(Misuse Detection)과 비정상 탐지(Anomaly Detection)으로 분류할 수 있다.
오용 탐지는 패킷 또는 로그정보와 같은 현재 발생 신호와 문자열 비교 연산을 이용한 신호 목록을 비교하여 탐지하기 때문에, 알려진 위협을 탐지하기에는 매우 효과적이지만 이전에 알려지지 않은 위협, 회피기술을 사용한 위장위협, 변형된 위협에 대해서는 비효과적이다.
신호기반 탐지 기술은 다양한 네트워크와 각종 프로그램의 프로토콜에서의 사용 가능한 범위가 좁으며 복잡한 통신에서는 공격 탐지가 어렵다.
또한, 오용탐지는 알려진 공격 패턴을 적용하여 패턴 비교를 통해 침입탐지를 수행한다. 공격패턴에 포함되지 않았거나 새로운 공격패턴에는 취약하며 지속적인 업데이트가 필요하다.
비정상 탐지는 평소의 트래픽 및 신호를 정의와 편차를 지정하여 그 범위를 벗어날 경우를 공격으로 탐지하는 프로세스이다. 비정상 기반 탐지를 사용하는 침입 탐지 시스템은 사용자, 호스트, 네트워크 연결, 또는 애플리케이션의 정상적인 행동을 정의하고 허용 범위를 설정한다. 일정한 시간을 기준으로 정상범위를 초과할 경우 공격으로 인식하여 관리자에게 알린다.
비정상탐지는 통계적인 방법을 통해 현재의 활동과 평소의 활동을 비교하여 대역폭을 초과 사용하였을 때 관리자에게 비정상 탐지를 알린다. 사용자의 전자메일 전송 개수, 로그인 실패 횟수, 정해진 시간 동안 호스트의 프로세서 사용량과 같은 행동 속성을 통해 범위설정을 한다.
비정상 탐지 기법은 아직 알려지지 않은 위협을 탐지하기에 매우 효과적이다. 일정 시간(일반적으로 일 단위, 가끔 주 단위)동안의 임계치 설정을 트레이닝 기간이라고 부른다. 비정상탐지는 고정적 또는 유동적인 임계치 설정을 갖는다.
고정적인 임계치 설정은 침입 탐지 시스템이 새로운 임계치 설정을 만들지 않는 한 바뀌지 않는다. 유동적 임계치는 추가적인 이벤트가 발생할 때마다 끊임없이 조정된다. 임계치를 초과하지 않는 침입 공격은 비정상탐지 기법에서 빈번히 발생한다. 또한, 세부적인 임계치 설정은 컴퓨팅 활동에 매우 부담을 주기 때문에 컴퓨팅 성능을 저하시킨다.
예를 들어 만약 큰 파일 전송하는 특별한 유지활동이 오직 한 달에 한번 발생한다면, 트레이닝 기간에 나타날 수 없다. 하지만, 지속적으로 발생했을 때, 침입으로 간주되고 경보를 작동시킨다. 비정상탐지 기법은 다양하거나 유동적인 환경에서 종종 임계치를 벗어나지만 정상적인 활동을 하기 때문에 가긍정 판단(False Positive)을 하기도 한다. 비정상 기반 탐지 기술의 사용에서 또 다른 주목할만한 문제는 복잡하고 다량의 트래픽이 발생하기 때문에 올바른 분석 및 판단하기가 매우 어렵다.
NIDS와 HIDS는 기존의 인터넷 환경에서 많이 사용되는 침입 탐지 시스템이다. 하지만, 클라우드 환경에 적합하지 않은 침입 탐지 시스템이다.
NIDS는 네트워크에 위치하여 네트워크 전체의 트래픽 분석 및 모니터링을 제공하지만 클라우드 컴퓨팅은 가상화 기술을 이용하여 내부에서도 가상의 네트워크가 형성된다. 하지만, NIDS는 내부의 가상머신(Virtual Machine)간의 침입과 각 클라우드 서비스 제공자 간의 침입 등을 고려하지 않았기 때문에 클라우드 환경에 적합하지 않다.
또한 HIDS는 각각의 호스트에 위치하여 호스트의 로그정보, 애플리케이션 검사, 타 호스트 간의 통신 모니터링 등을 수행하지만 각각의 호스트에 독립적으로 수행하기 때문에 대규모의 침입공격 또는 합동 공격에는 취약하다.
따라서 클라우드 환경을 고려한 새로운 침입 탐지 시스템이 필요하다.
본 발명은 전술한 문제를 해결하기 위한 것으로, 본 발명의 목적은 NIDS와 HIDS 기술을 이용하여 클라우드 환경에 적합한 침입 탐지 방법 및 시스템을 제공하는 것이다.
전술한 목적을 달성하기 위하여, 본 발명에 따른 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템은 가상머신을 모니터링하여 상기 가상머신의 트래픽 값이 사용자가 설정한 임계값을 초과하는 경우 초급경보를 발생하는 초급 탐지기; 상기 초급경보와 로컬 데이터 베이스의 블랙리스트를 비교하여 연관성(동일함 포함)이 발견될 경우 침입으로 판단하며 침입으로 판단되면 하이퍼경보를 발생하는 침입 탐지 판단기; 및 상기 초급경보와 하아퍼경보를 전송받는 침입 탐지 관리자를 포함하고, 상기 초급 경보와 하이퍼 경보는 메모리, CPU사용률, 트래픽 총량 등을 포함한 상태값과 상기 임계값이 포함한다.
이를 위해 본 발명의 초급 탐지기는,상기 가상머신에 존재하고 상기 초급경보 및 하이퍼 경보는 침입 탐지 관리자로 전송된다.
이를 위해 본 발명의 상기 초급 탐지기는, 상기 가상머신의 트래픽 값이 상기 임계값을 초과하는지 판단하는 분석부; 상기 임계값이 포함된 사용자 환경변수를 상기 가상머신에 적용하는 사용자 환경 설정 적용부; 및 상기 분석부에서 상기 가상머신의 트래픽 값이 상기 임계값을 초과했다고 판단한 경우 상기 초급경보를 발생하는 초급경보 발생부를 포함한다.
이를 위해 본 발명의 상기 침입 탐지 판단기는, 클라우드 영역에 존재하며, 상기 초급경보는 형식변환기를 통해 표준 메세지 형식으로 변환되어 로컬 데이터 베이스에 저장되고, 상기 로컬 데이터 베이스 내 복수의 초급경보와 블랙리스트를 비교하여 침입 여부를 판단하며, 침입이라고 판단하면 하이퍼경보를 침입 탐지 관리자에게 전송한다.
이를 위해 본 발명의 침입 탐지 판단기는, 상기 가상머신에 초급 탐지기를 생성하고 관리하는 침입 탐지 생성기; 상기 로컬 데이터 베이스의 블랙리스트와 상기 초급경보를 비교하여 일치하면 침입으로 판단하고, 상기 상태값과 상기 초급경보를 포함한 하이퍼경보를 침입 탐지 관리자로 전송하는 경보 연관기; 및 상기 초급경보 경보 연관기의 하이퍼 경보와 상기 초급 경보를 표준 메세지 형식으로 변환하여 로컬 데이터 베이스에 저장하는 형식 변환기를 포함한다.
이를 위해 본 발명의 침입 탐지 관리자는, 제 1항에 있어서 상기 침입 탐지 관리자는, 상기 초급경보 및 하이퍼경보를 글로벌 데이터 베이스에 저장하며, 상기 하이퍼경보와 상기 글로벌 데이터 베이스의 블랙리스트를 비교하여 일치하면 침입으로 판단하고, 침입이라고 판단한 경우 침입 탐지를 통지하며, 상기 하이퍼경보가 없는 경우 수신되는 모든 경보와 상기 글로벌 데이터 베이스의 블랙리스트를 비교하여 일치하면 침입으로 판단한다.
이를 위해 본 발명의 침입 탐지 관리자는, 임계값이 포함된 사용자 환경변수를 설정할 수 있는 사용자 환경 설정부; 상기 글로벌 데이터 베이스의 블랙리스트와 상기 하이퍼경보를 비교하여 일치하면 침입으로 판단하는 경보 처리부; 클라우드 서버 영역에서 발생하는 모든 경보를 수신하고 글로벌 데이터 베이스에 저장하는 경보 수집부; 및 상기 경보 처리부가 침입이라고 판단한 경우 침입 탐지를 사용자 및 관리자에게 통지하는 통지부를 포함하며, 상기 경보 처리부는 상기 하이퍼경보가 없는 경우 수신되는 모든 경보와 상기 글로벌 데이터 베이스의 블랙리스트를 비교하여 일치하면 침입으로 판단한다.
이상에서 설명한 바와 같이 본 발명에 따른 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템은 기존의 인터넷 환경에서 많이 사용되는 침입 탐지 시스템을 클라우드 환경에 적합하게 하여 내부의 가상머신 간의 침입과 각 클라우드 서비스 제공자간의 침입 등을 탐지가능하고 규모가 큰 침입공격 또는 합동 공격에 대해서도 침입을 탐지할 수 있다.
나아가 상호협력을 통해 더욱 정확한 침입 탐지 및 침입예방이 가능하여 매년 발생하는 인터넷 침해사고를 예방하여 침해 피해액을 감소시킬 수 있다. 또한, 외부 또는 내부의 침입공격을 사전에 차단하기 때문에 서비스의 가용성을 보장하고 서비스 신뢰도를 높여 클라우드 컴퓨팅 서비스의 활성화를 이 끌 수 있다.
도 1은 본 발명의 일실시 예에 따른 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템을 개략적으로 도시한 도면이다.
도 2는 본 발명의 일실시 예에 따른 침입 탐지 시스템의 플로어차트이다.
도 3은 도 1은 본 발명의 또다른 실시 예에 따른 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템을 개략적으로 도시한 도면이다.
도 2는 본 발명의 일실시 예에 따른 침입 탐지 시스템의 플로어차트이다.
도 3은 도 1은 본 발명의 또다른 실시 예에 따른 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템을 개략적으로 도시한 도면이다.
전술한, 그리고 추가적인 본 발명의 양상들은 첨부된 도면을 참조하여 설명되는 바람직한 실시 예들을 통하여 더욱 명백해질 것이다. 이하에서는 본 발명의 이러한 실시 예들을 통하여 본원 발명이 속하는 분야의 통상의 지식을 가진자가 용이하게 이해하고 재현할 수 있도록 상세히 설명하기로 한다.
도 1은 본 발명의 일실시 예에 따른 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템을 개략적으로 도시한 도면이다.
이하, 도 1을 이용하여 본 발명의 일실시 예에 따른 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 대하여 알아보기로 한다.
도 1에 의하면 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템은 초급 탐지기(11)(Elementary Detector), 침입 탐지 판단기(20)(IDS Dispatcher), 침입 탐지 관리자(30)(IDS Manager)를 포함한다.
물론 상술한 구성 외에 다른 구성이 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템에 포함될 수 있음은 자명한 사항이다. 이하 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템을 구성하는 구성요소에 대해서 상세하게 알아보기로 한다.
초급 탐지기(11)는 사용자의 가상머신(10)을 모니터링 하기 위해 가상머신(10)에 배치되고 작동하며, 사용자 시스템의 성능을 위해 정해진 컴퓨팅 상태값(메모리, CPU사용률, 트래픽 총량 등)만으로 구성된다.
사용자의 가상머신(10)은 네트워크 트래픽, 시스템 메모리, 시스템 파일, 로그 등의 가상머신(10) 상태값을 수집 및 분석을 위해 각 초급 탐지기(11)로 실시간 또는 주기적으로 전송한다.
사용자는 자신의 초급 탐지기(11)의 임계값(환경설정) 설정 및 침입 탐지 기능을 추가 및 제거할 수 있다.
단, 서비스 제공자가 사용자의 제공 범위로 한정한 범위 내에서만 가능하며 침입 탐지 관리자(30)를 통해 사용자 환경설정이 이루어진다.
초급 탐지기(11)의 사용자 환경설정 및 기능 구성은 침입 탐지 판단기(20)를 통해 제공된다.
초급 탐지기(11)에 의해 발생하는 경보를 초급 경보(raw alert)라 한다.초급경보는 사용자의 가상머신(10)의 트래픽 값이 임계값을 초과하였을 때 발생한다. 초급경보에는 사용자의 임계 초과값과 네트워크 트래픽, 시스템 메모리, 시스템 파일, 로그 등의 상태값을 포함한다.
초급경보는 IDMEF(Intrusion Detection Message Exchange Form)과 같은 일반적인 형식으로 로컬 데이터 베이스(41)에 저장하여 침입 여부를 결정을 위해 제공한다.
하지만 초급경보를 통해 침입 여부를 결정할 수 없다. 초급탐지기(11)에서 초급경보는 정확하고 자세한 분석을 위해 침입 탐지 판단기(20)로 보내진다.
초급 탐지기(11)는 비정상 상술한 탐지 기법(Anomaly Detection)을 사용한다.
초급 탐지기(11)는 사용자의 가상머신(10)의 트래픽 값이 임계값을 초과했는지 확인하는 분석부(14)(Analyzer), 사용자 환경변수를 적용하는 사용자 환경 설 정 적용부(13), 초급 경보를 발생하는 초급경보 발생부(12)(Alert Updater)를 포함할 수 있다.
분석부(14)는 사용자의 가상머신(10)의 트래픽 값이 임계값을 초과하는지 판단한다.
사용자 환경 설정 적용부(13)는 침입탐지 관리자(30)의 사용자 환경변수를 가상머신(10)에 적용한다. 사용자 환경 변수에는 임계값이 포함된다.
초급경보 발생부(12)는 분석부에서 트래픽값이 임계값을 초과했다고 판단한 경우 가상머신(10)의 상태값과 임계 초과값이 포함된 초급경보를 발생한다.
침입 탐지 판단기(20)는 클라우드 영역에 존재하고 침입을 판단하며, 침입이라고 판단하면 하이퍼경보를 침입 탐지 관리자에게 전송한다.
하이퍼경보에는 누적된 초급경보를 포함하며 초급경보에는 임계 초과값과 가상머신의 CPU, 메모리, 스토리지 사용율 등의 상태값을 포함한다.
침입탐지 판단기(20)은 가상머신(10) 단위로 구성된 초급 탐지기(11)의 생성 및 관리를 책임지며, 클라우드 영역에 존재하고, 클라우드 정책에 따라 다수의 침입 탐지 판단기를 구성할 수 있다.
침입 탐지 판단기(20)는 초급경보, 가상머신(10)의 상태값과 로컬 데이터 베이스(41)의 블랙 리스트(알려진 공격 패턴과 침입자 관리자에서 작성된 공격패턴을 포함)를 비교하여 일치하하거나 비슷한 경우 침입으로 간주한다. 침입이라고 간주되면 하이퍼경보를 침입 탐지 관리자(30)(IDS Manager)에게 전송한다.
또한, 침입 탐지 판단기(20)는 상기 가상머신(10)에 초급 탐지기(11)를 생성하고 관리하는 침입 탐지 생성기(22)(IDS Generator), 형식 변환기(23)(Translation Engine), 경보 연관기(21)(Alert Correlation)을 포함 할 수 있다.
침입 탐지 생성기(22)는 새로 생성되는 가상머신(10)에 초급 탐지기(11)의 생성 또는 관리를 책임지며, 사용자가 지정한 임계값(환경설정)을 기반으로 사용자의 가상머신(10)에 초급 탐지기(11)의 생성과 관리를 책임진다.
형식 변환기(23)는 초급 탐지기(11)의 초급 경보와 상태값을 표준 메시지 형식(IDMEF, Intrusion Detection Message Exchange Form)으로 변환하여 로컬 데이터 베이스(41)에 저장한다.
형식 변환기(23) (Translation Engine)는 초급 탐지기(11)에서 발생한 초급경보를 표준 메세지 형식으로 변환하여 로컬 데이터 베이스(41)에 저장하며, 저장된 초급경보는 차후 경보 연관기(21)에서 침입여부를 판단하는데 사용된다.
초급 탐지기(11)의 경보 전송은 단방향(초급 탐지기(11) ⇒ 형식 변환기(23))전송된다.
경보 연관기(21)은 가상머신(10)의 공격 발생 장소 및 패턴과 같은 침입 정보 및 가상머신(10)의 상태값과 초급경보를 연관짓는다. 상기 침입 정보 및 상태값과 상기 초급경보와 연관된 하이퍼경보를 침입 탐지 관리자로 전송한다.
경보 연관기(21)은 로컬 데이터 베이스(41)의 블랙리스트와 메모리, CPU사용률, 트래픽 총량을 포함한 상태값과 상기 임계 초과값이 포함된 상기 초급경보를 비교하여 일치하면 침입으로 판단한다.
경보 연관기(21)은 초급경보와 블랙리스트를 연관지어 의심스러운 신호(공격)을 보안 관리자 또는 사용자에게 알리기 위해 하이퍼경보(Hyper alert)를 침입 탐지 관리자(30)에 전송한다.
경보 연관기(21)은 침입탐지 관리자(30)에게 하이퍼 경보를 전송하여 복수의 클라우드에서 수신되는 경보와 블랙리스트를 비교하여 의심스러운 신호가 확실한 공격인지 확인할 수 있다. 예를 들어, 침입 탐지 시스템은 가상머신(10)의 상태값(메모리, CPU사용률, 트래픽 총량 등)만 알 수 있기 때문에 의심스러운 신호가 공격신호인지 확인하기 위해 침입탐지 관리자(30)를 통해 복수의 클라우드 경보와 블랙리스트를 비교하여 침입공격 여부를 판단한다.
침임 탐지 관리자(30)는 복수의 클라우드 제공자의 모든 초급 탐지기(11)의 초급경보를 수신하고 글로벌 데이터 베이스(42)에 저장하며, 상기 침입탐지 판단기(20)의 하이퍼 경보와 글로벌 데이터 베이스(42)의 블랙리스트가 일치하면 침입이라고 판단하고, 침입이라 판단한 경우 침입 탐지를 통지한다.
침입 탐지 관리자(30)는 상기 복수의 클라우드 제공자에 위치한 각 침입 탐지 판단기(20)의 하이퍼 경보, 초급경보 및 글로벌 데이터 베이스(42)의 블랙리스트가 비교하여 침입이라고 판단하고, 침입이라 판단한 경우 침입 탐지를 통지한다.
사용자는 서비스 이용 목적에 따라 가상머신(10)에 생성되는 초급 탐지기(11)의 임계값, 기능 등을 설정할 수 있다(단, 관리가 허용하는 범위 내에서만 설정 가능하다.) 사용자 설정은 침입 탐지 관리자(30)에서만 설정할 수 있다.
침입 탐지 관리자(30)는 복수의 클라우드 제공자 간의 침입 탐지 정보 및 침입탐지 경보를 글로벌 데이터 베이스(42)에 저장한다.
침입 탐지 관리자(30)는 서비스 이용 목적에 따라 임계값이 포함된 사용자 환경변수를 설정할 수 있는 사용자 환경 설정부(32); 클라우드 서버 영역에서 발생하는 모든 경보를 수신하고 글로벌 데이터 베이스에 저장하는 경보 수집부(31)(Alert Collector); 및 상기 글로벌 데이터 베이스에 저장된 경보를 분석하여 블랙리스트를 생성하며 침입여부를 판단하는 경보 처리부(33)(Alert Processor); 및 상기 경보 처리부(33)가 침입이라고 판단한 경우 상기 침입탐지를 사용자 및 관리자에게 통지하는 통지부(34)(Notification)를 포함할 수 있다.
사용자 환경 설정부(32)는 사용자가 서비스 이용 목적에 따라 사용자 가상머신(10)에 생성되는 초급 탐지기(11)의 임계값, 기능 등을 설정할 수 있다.
사용자 설정은 침입 탐지 관리자(30)에서만 설정할 수 있으며, 관리가 허용하는 범위 내에서만 설정 가능하다.
경보 처리부(33)는 전송받은 하이퍼 경보와 글로벌 데이터 베이스(42)의 블랙리스트를 비교하여 일치하는 경우 침입이라고 판단한다.
경보 처리부(33)는 침입탐지 판단기(20)에서 침입으로 판단하지 못하여 하이퍼경보가 없는 경우 복수의 클라우드에서 발생하는 초급경보와 글로벌 데이터 베이스(42)의 블랙리스를 비교하여 일치한 경우 침입으로 판단한다.
경보 처리부(33)는 하이퍼 경보 발생시 우선적으로 글로벌 데이터베이스(51)에 저장되어 있는 초급경보, 하이퍼경보 블랙리스트를 이용하여 침입을 판단한다.
경보 수집부(31)는 클라우드 서버 영역에서 발생하는 모든 경보 수신을 책임지며, 경보 처리부(33)가 처리할 수 있도록 글로벌 데이터베이스(42)에 저장한다.
통지부(34)는 경보 처리부(33)을 통해 새로운 침입 패턴이 발생한 경우 기존의 블랙리스트에 추가하고 글로벌 데이터 베이스(42)에 저장한다. 통지부(34)는 추가된 블랙리스트를 모든 침입탐지 판단기로 전송한다. 통지부(34)는 침입관련 목록을 작성하여 사용자의 요구가 있을시 상기 목록을 제공한다.
통지부(34)는 경보처리부(33)에서 침입이라고 판단한경우 침입 탐지를 사용자 및 관리자에 통지한다.
도 2는 본 발명의 일실시 예에 따른 침입 탐지 시스템의 플로우차트이다. 이하, 도 2를 이용하여 본 발명의 일실시 예에 따른 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템에서 수행되는 동작에 대하여 상세하게 알아보기로 한다.
S200단계에서 사용자가 서비스 가입시에 서비스 이용을 위해 사용자 환경 설정부(32)에서 임계값이 포함된 환경 변수를 설정한다.
S210단계에서 사용자가 클라우드 서비스를 이용할 수 있게 가상머신(10)을 생성한다.
S220단계에서 침입 탐지 판단기(20)의 침입 탐지 생성기(22)에서 가상머신(10) 생성시 정해진 컴퓨팅 자원으로 초급 탐지기(11)를 생성한다.
사용자의 환경설정에 따라 초급 탐지기(11)의 사용자 환경 설정 적용부(13)(User Configuration)에서 초급 탐지기(11)의 성능을 구성한다. (임계값 및 침입 탐지 기능 추가/삭제 등을 바탕으로 성능을 구성한다.)
S230 단계에서 가상머신(10)에서 상태값(메모리, 스토리지, CPU사용률 등)을 초급 탐지기(11)에게 실시간(또는 수시)으로 전송하고, 초급 탐지기(11)의 분석부(14)(Analyzer)는 상기 상태값을 확인하여 가상머신(10)의 트래픽값이 임계치를 초과하였는지 판단한다.
S240단계에서 상기 분석부(14)가 가상머신(10)의 트래픽값이 임계치를 초과했다고 판단하면, 초급 탐지기(11)의 초급경보 발생부(12)(Alert Updater)에서 초급경보 발생하여 침입 탐지 판단기(20)로 전달한다.
S250단계에서 칩임 탐지 판단기(20)는 수신된 여러 초급경보를 수집하여 로컬 데이터 베이스(41)에 저장된 블랙리스트를 기반으로 침입 여부를 판단한다.
칩임담지 판단기(20)는 주기적으로 초급경보(임계 초과값, 상태값)를 침입 탐지 관리자(30)에게 전송하며, 침입이라고 판단했을 경우 하이퍼 경보(누적된 초급경보)를 생성하여 침입 탐지 관리자(30)의 경보 수집부(31)로 전송한다.
침입탐지 관리자(30)은 하이퍼경보와 복수의 클라우드에서 수신된 초급경보 및 블랙리스트를 비교하여 침입을 판단한다.
또한, S250단계에서 침임 탐지 판단기(20)에서 침입을 판단하지 못하여 하이퍼경보가 없는 경우 침입탐지 관리자(30)의 경보처리부(33)는 글로벌 데이터 베이스의 블랙리스트와 복수의 클라우드에서 수신된 초급경보를 비교하여 침입으로 판단한다.
경보처리부(33)에서 침입이라고 판단했으면 통지부(34)로 침입을 알린다.
S260단계에서 경보처리부(33)에서 침입이라고 판단한 경우 통지부(34)에서 관리자 및 사용자에게 침입 탐지를 통지한다.
경보 수집부(31)는 연결된 모든 침입 탐지 판단기(20) 또는 침입탐지 관리자(30)에서 보낸 초급경보 및 하이퍼경보를 수신 후 경보 처리부(33)에서 사용할 수 있도록 글로벌 데이터 베이스(51)에 저장한다.
경보 처리부(33)는 초급경보, 하이퍼경보를 비교하여 침입 여부를 판단하고, 침입인 경우 통지부(34)에 침입을 알린다. 통지부(34)에서는 클라우드 제공자 및 사용자에게 침입을 통지하고 기존 블랙리스트의 침입 패턴과 비교하여 새로운 침입 패턴일 경우 블랙리스트에 추가한다. 새로운 침입패턴이 추가된 블랙리스트는 통지부(34)를 통해 모든 침입 탐지 판단기(20)에서 사용할 수 있도록 전송한다.
따라서 기존의 인터넷 환경에서 많이 사용되는 침입 탐지 시스템을 클라우드 환경에 적합하게 하여 내부의 가상머신(10)간의 침입과 각 클라우드 서비스 제공자간의 침입 등을 탐지가능하고 규모가 큰 침입공격 또는 합동 공격에 대해서도 침입을 탐지할 수 있다.
도 3은 도 1은 본 발명의 또다른 실시 예에 따른 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템을 개략적으로 도시한 도면이다.
도 3에 의하면 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템은 초급 탐지기(11)(Elementary Detector), 침입 탐지 판단기(20)(IDS Dispatcher), 침입 탐지 관리자(30)(IDS Manager)를 포함한다. 물론 상술한 구성 외에 다른 구성이 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템에 포함될 수 있음은 자명한 사항이다.
도 3에 의하면 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템은 침입탐지 관리자(30)가 클라우드 제공자 1의 내부에 포함되어 있다.
또한, 침입탐지 관리자(20)과 로컬 데이터 베이스(41)은 복수 개가 포함될 수 있다.
도 3의 구성요소는 상술한 도 1의 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템을 구성하는 구성요소와 기능이 동일 하므로 상세한 기능에 대해서는 생략한다.
본 발명은 도면에 도시된 일실시 예를 참고로 설명되었으나, 이는 예시적인 것에 불과하며 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다며 다수의 클라우드를 동시에 탐지할 수 있는 복수의 침입탐지 시스템이 가능한점은 자명한 것이다.
Claims (7)
- 가상머신을 모니터링하여 상기 가상머신의 트래픽 값이 사용자가 설정한 임계값을 초과하는 경우 초급경보를 발생하는 초급 탐지기;
상기 초급경보와 로컬 데이터 베이스의 블랙리스트를 비교하여 동일하면 침입으로 판단하며 침입으로 판단되면 하이퍼경보를 발생하는 침입 탐지 판단기; 및
상기 초급경보와 하아퍼경보를 전송받는 침입 탐지 관리자를 포함하고,
상기 초급 경보와 하이퍼 경보는 메모리, CPU, 메모리, 스토리지 사용률을 포함한 상태값과 상기 임계 초과값이 포함됨을 특징으로 하는 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템. - 제 1항에 있어서 상기 초급 탐지기는,
상기 가상머신에 존재하고 상기 초급경보는 침입 탐지 관리자로 전송되는 것을 특징으로 하는 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템. - 제 1항 또는 2항에 있어서 상기 초급 탐지기는,
상기 가상머신의 트래픽 값이 상기 임계값을 초과하는지 판단하는 분석부;
상기 임계값이 포함된 사용자 환경변수를 상기 가상머신에 적용하는 사용자 환경 설정 적용부; 및
상기 분석부에서 상기 가상머신의 트래픽 값이 상기 임계값을 초과했다고 판단한 경우 상기 초급경보를 발생하는 초급경보 발생부를 포함함을 특징으로 하는 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템. - 제 1항에 있어서 상기 침입 탐지 판단기는,
클라우드 영역에 존재하고 상기 로컬 데이터 베이스의 블랙리스트와 상기 초급경보를 비교하여 일치여부로 침입을 판단하며,
침입이라고 간주하면 하이퍼경보를 침입 탐지 관리자에게 전송하고,
상기 초급경보는 로컬 데이터 베이스에 저장되어 차후 침입 여부 결정을 위해 제공됨을 특징으로 하는 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템. - 제 1항 또는 4항에 있어서 상기 침입 탐지 판단기는,
상기 가상머신에 초급 탐지기를 생성하고 관리하는 침입 탐지 생성기;
상기 로컬 데이터 베이스의 블랙리스트와 상기 초급경보를 비교하여 일치하면 침입으로 판단하고, 하이퍼경보를 침입 탐지 관리자로 전송하는 경보 연관기; 및
상기 초급 경보를 표준 메세지 형식으로 변환하여 로컬 데이터 베이스에 저장하는 형식 변환기를 포함하는 것을 특징으로 하는 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템. - 제 1항에 있어서 상기 침입 탐지 관리자는,
상기 초급경보 및 하이퍼경보를 복수의 클라우드 제공자로부터 수집하고 글로벌 데이터 베이스에 저장하며,
상기 하이퍼경보와 상기 글로벌 데이터 베이스의 블랙리스트, 복수의 클라우드 제공자에서 수집된 초급 경보를 비교하여 침입으로 판단하고,
침입이라고 판단한 경우 침입 탐지를 통지하며,
상기 하이퍼경보가 없는 경우 복수의 클라우드 제공자에서 수집된 초급경보와 상기 글로벌 데이터 베이스의 블랙리스트를 비교하여 일치하면 침입으로 판단하는 것을 특징으로 하는 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템. - 제 1항 또는 6항에 있어서 상기 침입 탐지 관리자는,
임계값이 포함된 사용자 환경변수를 설정할 수 있는 사용자 환경 설정부;
상기 글로벌 데이터 베이스의 블랙리스트와 상기 하이퍼경보, 복수의 클라우드 제공자에서 수집된 초급경보를 비교하여 일치하면 침입으로 판단하는 경보 처리부;
클라우드 서버 영역에서 발생하는 모든 경보를 수신하고 글로벌 데이터 베이스에 저장하는 경보 수집부; 및
상기 경보 처리부가 침입이라고 판단한 경우 침입 탐지를 사용자 및 관리자에게 통지하는 통지부를 포함하며,
상기 경보 처리부는 상기 하이퍼경보가 없는 경우 상기 복수의 클라우드 제공자에서 수집된 초급 경보와 상기 글로벌 데이터 베이스의 블랙리스트를 비교하여 침입으로 판단하는 것을 특징으로 하는 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템.
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110097068A KR20130033161A (ko) | 2011-09-26 | 2011-09-26 | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 |
| PCT/KR2012/007754 WO2013048111A2 (ko) | 2011-09-26 | 2012-09-26 | 클라우드 컴퓨팅 서비스로의 침입을 탐지하는 방법 및 장치 |
| US14/345,196 US9294489B2 (en) | 2011-09-26 | 2012-09-26 | Method and apparatus for detecting an intrusion on a cloud computing service |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110097068A KR20130033161A (ko) | 2011-09-26 | 2011-09-26 | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20130033161A true KR20130033161A (ko) | 2013-04-03 |
Family
ID=48435723
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020110097068A Withdrawn KR20130033161A (ko) | 2011-09-26 | 2011-09-26 | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20130033161A (ko) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101394424B1 (ko) * | 2013-04-22 | 2014-05-13 | 한국인터넷진흥원 | 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템 |
| KR101959217B1 (ko) * | 2017-09-20 | 2019-03-19 | 주식회사 에즈웰 | 공용 컴퓨팅 환경에서 랜섬웨어의 감염 방지가 가능한 클라우드 컴퓨팅 운용 장치 및 그 동작 방법 |
| KR20190136305A (ko) * | 2018-05-30 | 2019-12-10 | (주)유엠로직스 | 4-tier 방식 CASB의 보안통제 수행을 위한 인공지능 기반 부하균형 시스템 및 그 방법 |
| CN114157458A (zh) * | 2021-11-18 | 2022-03-08 | 深圳依时货拉拉科技有限公司 | 用于混合云环境中的流量检测方法、装置、设备和介质 |
| CN119299206A (zh) * | 2024-11-01 | 2025-01-10 | 广东汇和信息安全技术有限公司 | 一种大数据平台的自适应入侵检测系统及方法 |
-
2011
- 2011-09-26 KR KR1020110097068A patent/KR20130033161A/ko not_active Withdrawn
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101394424B1 (ko) * | 2013-04-22 | 2014-05-13 | 한국인터넷진흥원 | 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템 |
| KR101959217B1 (ko) * | 2017-09-20 | 2019-03-19 | 주식회사 에즈웰 | 공용 컴퓨팅 환경에서 랜섬웨어의 감염 방지가 가능한 클라우드 컴퓨팅 운용 장치 및 그 동작 방법 |
| KR20190136305A (ko) * | 2018-05-30 | 2019-12-10 | (주)유엠로직스 | 4-tier 방식 CASB의 보안통제 수행을 위한 인공지능 기반 부하균형 시스템 및 그 방법 |
| CN114157458A (zh) * | 2021-11-18 | 2022-03-08 | 深圳依时货拉拉科技有限公司 | 用于混合云环境中的流量检测方法、装置、设备和介质 |
| CN119299206A (zh) * | 2024-11-01 | 2025-01-10 | 广东汇和信息安全技术有限公司 | 一种大数据平台的自适应入侵检测系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kholidy et al. | CIDS: A framework for intrusion detection in cloud systems | |
| KR101388090B1 (ko) | 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법 | |
| Ganame et al. | A global security architecture for intrusion detection on computer networks | |
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| CN113660224A (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| CN101018119A (zh) | 基于硬件的与操作系统无关的服务器网络安全集中管理系统 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| Man et al. | A collaborative intrusion detection system framework for cloud computing | |
| KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN118200016A (zh) | 一种基于设备指纹的资产监控方法 | |
| KR20130085473A (ko) | 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템 | |
| CN115766235A (zh) | 一种网络安全预警系统及预警方法 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| KR20120000942A (ko) | 블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치 및 그 탐지 방법 | |
| Schulter et al. | A grid-based intrusion detection system | |
| CN115297481B (zh) | 一种5g mec安全评估系统及方法 | |
| CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
| CN114189360B (zh) | 态势感知的网络漏洞防御方法、装置及系统 | |
| CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
| Schulter et al. | Towards grid-based intrusion detection | |
| Lakra | HSNORT: A Hybrid intrusion detection system using artificial intelligence with snort | |
| CN113360907A (zh) | 一种基于ides和nides的防黑客入侵方法 | |
| Sandhu et al. | A study of the novel approaches used in intrusion detection and prevention systems | |
| CN113328976A (zh) | 一种安全威胁事件识别方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20110926 |
|
| N231 | Notification of change of applicant | ||
| PN2301 | Change of applicant |
Patent event date: 20120817 Comment text: Notification of Change of Applicant Patent event code: PN23011R01D |
|
| PG1501 | Laying open of application | ||
| PC1203 | Withdrawal of no request for examination | ||
| WITN | Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid |