KR20130085473A - 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템 - Google Patents

클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템 Download PDF

Info

Publication number
KR20130085473A
KR20130085473A KR1020110129243A KR20110129243A KR20130085473A KR 20130085473 A KR20130085473 A KR 20130085473A KR 1020110129243 A KR1020110129243 A KR 1020110129243A KR 20110129243 A KR20110129243 A KR 20110129243A KR 20130085473 A KR20130085473 A KR 20130085473A
Authority
KR
South Korea
Prior art keywords
intrusion detection
beginner
detector
determiner
alarm
Prior art date
Application number
KR1020110129243A
Other languages
English (en)
Inventor
허의남
나상호
박준영
김진택
Original Assignee
인텔렉추얼디스커버리 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔렉추얼디스커버리 주식회사 filed Critical 인텔렉추얼디스커버리 주식회사
Priority to KR1020110129243A priority Critical patent/KR20130085473A/ko
Priority to US14/345,196 priority patent/US9294489B2/en
Priority to PCT/KR2012/007754 priority patent/WO2013048111A2/ko
Publication of KR20130085473A publication Critical patent/KR20130085473A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Abstract

본 발명의 목적은 가짜 초급탐지기 생성 및 데이터 유출 등 침입탐지 시스템의 성능 저하 및 공격 발생에 대비한 침입탐지 시스템의 노드간 인증 및 암호화 시스템을 제공하는 것이다.
이를 위해 본 발명에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템은, 가상머신을 모니터링하여 상기 가상머신의 트래픽 값이 사용자가 설정한 임계값을 초과하는 경우 초급경보를 발생하는 초급 탐지기; 상기 초급경보와 로컬 데이터 베이스의 블랙리스트를 비교하여 동일하면 침입으로 판단하며 침입으로 판단되면 하이퍼경보를 발생하는 침입 탐지 판단기; 및 상기 초급경보와 하아퍼경보를 전송받는 침입 탐지 관리자를 포함하되, 상기 초급 경보와 하이퍼 경보는 메모리, CPU, 메모리, 스토리지 사용률을 포함한 상태값과 상기 임계 초과값, 침입탐지 ID가 포함되고, 상기 초급 탐지기는, 상기 가상머신의 네트워크 임계치가 초과된 경우 상기 초급 경보를 암호화하는 초급탐지기 암호기를 포함하며, 상기 침입탐지 판단기는 침입탐지 관리자 ID를 저장하고, 상기 가상머신의 네트워크 임계치가 초과된 경우 상기 하이퍼 경보를 암호화하는 판단기 암호기, 판단기 복호기를 포함하고, 상기 침입탐지 관리자는 상기 침입탐지 판단기의 ID를 저장하고, 비밀키 생성기, 관리자 복호기를 포함한다.

Description

클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템{Encryption System For Intrusion Detection System of Cloud Computing Service}
본 발명은 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템에 관한 것으로, 더욱 상세하게는 가짜 초급탐지기 생성 및 데이터 유출 등 침입탐지 시스템의 성능 저하 및 공격을 방어하기 위한 침입탐지 시스템의 노드간 인증 및 암호화 시스템에 관한 것이다.
클라우드 컴퓨팅은 대규모의 IT 자원을 가상화 기술과 분산처리 기술을 활용하여 인터넷으로 컴퓨팅 자원(메모리, CPU, 스토리지 등)을 서비스하여 사용한 만큼의 요금을 지불하는 컴퓨팅 서비스이다. 즉, 클라우드 컴퓨팅은 서로 다른 물리적인 위치에 존재하는 컴퓨팅 자원(메모리, CPU, 스토리지 등)을 가상화 기술을 통해 하나로 통합하여 제공하는 '인터넷 기반 사용자 중심의 주문형 아웃소싱 서비스 기술이다.
인터넷이 제공된다면, 사용자만의 컴퓨팅 환경을 시간과 장소에 상관없이 사용이 가능하며, 사용한 시간만큼의 요금을 부과하며, 하드웨어/소프트웨어와 사후 서비스 등과 같은 모든 서비스는 클라우드 컴퓨팅 환경에서 제공받을 수 있기 때문에 시스템 유지, 보수 비용과 하드웨어/소프트웨어 구매비용, 에너지 절감 등의 효과를 기대할 수 있다.
클라우드 컴퓨팅 서비스가 주목받으면서 구글, 아마존, 애플, 마이크로소프트와 같은 IT 대기업이 클라우드 컴퓨팅 시대를 열어가고 있다. 클라우드 컴퓨팅 서비스는 퍼블릭 클라우드(Public Cloud), 프라이빗 클라우드(Private Cloud) 등 4가지의 클라우드 컴퓨팅 서비스 타입이 존재 한다..
퍼블릭 클라우드 서비스는 불특정 다수의 사람에게 인터넷을 통해 클라우드 서비스를 제공한다. 퍼블릭 클라우드 서비스가 무료 또는 데이터 및 소스 오픈을 의미하지 않으며 사용자 접근제어 및 요금청구 등의 서비스를 제공한다. 퍼블릭 클라우드는 서비스 제공자가 사용자의 정보를 관리하고 모든 리소스를 공유하므로 개인 정보보호에 취약한 면이 있다.
프라이빗 클라우드 서비스는 퍼블릭 클라우드 서비스와 같은 컴퓨팅 환경을 제공하며 특정 기업 또는 기관에서 서비스, 데이터 그리고 프로세스를 직접 관리하는 서비스를 의미한다. 보안을 위해서 외부와의 접촉을 피하고 인증된 사람만 접근이 가능한 폐쇄적인 클라우드 서비스 모델이다.
커뮤니케이션 클라우드 서비스는 특정 집단을 위한 클라우드 컴퓨팅 서비스로써, 구성원들에게만 접근 권한을 부여한다. 집단의 구성원들은 서로 데이터 및 응용프로그램 등을 서로 공유한다.
하이브리드 클라우드 서비스는 퍼블릭 클라우드 서비스와 프라이빗 클라우드 서비스의 결합한 서비스로써, 퍼블릭 클라우드 서비스를 기본적으로 제공하며 공유를 원치 않는 데이터 및 서비스는 프라이빗 클라우드 서비스 정책을 따른다.
클라우드 컴퓨팅 서비스 구조는 사용자의 요구에 맞춰 사용자만의 컴퓨팅 환경을 제공하는 인프라형 서비스 구조와 사용자의 컴퓨팅 목적에 맞는 플랫폼을 선택하여 사용할 수 있는 환경을 제공하는 플랫폼형 서비스 구조 및 사용자가 사용 목적에 맞는 소프트웨어를 선택하여 사용할 수 있는 환경을 제공하는 소프트웨어 서비스 구조로 구분된다.
침입 탐지는 컴퓨터 시스템이나 네트워크에서 발생하는 트래픽 과부하, 권한 탈취와 같은 침입공격 신호를 분석하는 프로세스이다. 또한, 침입 사고에는 악성코드와 같은 여러 가지 이유로 발생한다.
예를 들어, 공격자가 인터넷을 통해 비인가 접속을 하고 인가된 사용자가 권한 오용 또는 권한탈취 시도 등이 발생할 수 있다. 비록 많은 침입사고는 악의가 있지만 대부분은 아니다.
예를 하나 더 들자면, 한 사람이 컴퓨터의 주소를 잘못 입력하고 우연히 권한이 없는 다른 시스템에서 연결을 시도할 수 있다. 침입 탐지 시스템(IDS)는 자동으로 이러한 침입에 대한 탐지 프로세스를 수행한다.
침입 탐지 시스템은 컴퓨터 시스템이나 네트워크에서 발생하는 이벤트를 모니터링과 보안 정책, 알려진 침입사례 등을 기반으로 컴퓨터 자원(서버, 네트워크, 스토리지 등)을 위협하는 신호를 분석하여 침입 행동을 실시간으로 탐지하는 시스템이다. 침입 탐지 시스템은 크게 두 가지의 종류로 구분할 수 있다. 네트워크 기반의 침입 탐지 시스템(NIDS) (한국 공개특허 2003-0069240 참조)와 호스트 기반의 침입 탐지 시스템(HIDS) (한국 공개특허 2007-0008804 참조)이다.
네트워크 기반의 침입 탐지 시스템(NIDS, Network-based Intrusion Detection System)은 네트워크에서 하나의 독립된 시스템으로 운용되며, 모니터링을 할 때 네트워크 자원이 손실되거나 데이터 변조가 되지 않는 장점이 있다. 또한, 네트워크 전체에 대한 트래픽 감시 및 검사가 가능하지만, 오탐율이 높고 트래픽 전송량이 많은 네트워크에서는 탐지 못하는 패킷이 많아진다.
호스트 기반의 침입 탐지 시스템(HIDS, Host-based Intrusion Detection System)은 운영체제에 추가적으로 설치되어 운용되거나 일반 클라이언트에 설치되어 시스템 호출, 애플리케이션 로그, 파일시스템 수정과 호스트와 연관된 다른 호스트의 활동 및 상태와 같은 데이터를 수집 및 분석을 통해 수행되며 높은 정확도를 제공한다. 하지만, 전체적인 네트워크에 대한 침입 탐지는 불가능하며 호스트 내부에 위치하기 때문에 호스트와 함께 침입공격을 받을 수 있다.
침입 탐지 기법은 오용탐지(Misuse Detection)과 비정상 탐지(Anomaly Detection)으로 분류할 수 있다.
오용 탐지는 패킷 또는 로그정보와 같은 현재 발생 신호와 문자열 비교 연산을 이용한 신호 목록을 비교하여 탐지하기 때문에, 알려진 위협을 탐지하기에는 매우 효과적이지만 이전에 알려지지 않은 위협, 회피기술을 사용한 위장위협, 변형된 위협에 대해서는 비효과적이다.
신호기반 탐지 기술은 다양한 네트워크와 각종 프로그램의 프로토콜에서의 사용 가능한 범위가 좁으며 복잡한 통신에서는 공격 탐지가 어렵다.
또한, 오용탐지는 알려진 공격 패턴을 적용하여 패턴 비교를 통해 침입탐지를 수행한다. 공격패턴에 포함되지 않았거나 새로운 공격패턴에는 취약하며 지속적인 업데이트가 필요하다.
비정상 탐지는 평소의 트래픽 및 신호를 정의와 편차를 지정하여 그 범위를 벗어날 경우를 공격으로 탐지하는 프로세스이다. 비정상 기반 탐지를 사용하는 침입 탐지 시스템은 사용자, 호스트, 네트워크 연결, 또는 애플리케이션의 정상적인 행동을 정의하고 허용 범위를 설정한다. 일정한 시간을 기준으로 정상범위를 초과할 경우 공격으로 인식하여 관리자에게 알린다.
비정상탐지는 통계적인 방법을 통해 현재의 활동과 평소의 활동을 비교하여 대역폭을 초과 사용하였을 때 관리자에게 비정상 탐지를 알린다. 사용자의 전자메일 전송 개수, 로그인 실패 횟수, 정해진 시간 동안 호스트의 프로세서 사용량과 같은 행동 속성을 통해 범위설정을 한다.
비정상 탐지 기법은 아직 알려지지 않은 위협을 탐지하기에 매우 효과적이다. 일정 시간(일반적으로 일 단위, 가끔 주 단위)동안의 임계치 설정을 트레이닝 기간이라고 부른다. 비정상탐지는 고정적 또는 유동적인 임계치 설정을 갖는다.
고정적인 임계치 설정은 침입 탐지 시스템이 새로운 임계치 설정을 만들지 않는 한 바뀌지 않는다. 유동적 임계치는 추가적인 이벤트가 발생할 때마다 끊임없이 조정된다. 임계치를 초과하지 않는 침입 공격은 비정상탐지 기법에서 빈번히 발생한다. 또한, 세부적인 임계치 설정은 컴퓨팅 활동에 매우 부담을 주기 때문에 컴퓨팅 성능을 저하시킨다.
예를 들어 만약 큰 파일 전송하는 특별한 유지활동이 오직 한 달에 한번 발생한다면, 트레이닝 기간에 나타날 수 없다. 하지만, 지속적으로 발생했을 때, 침입으로 간주되고 경보를 작동시킨다. 비정상탐지 기법은 다양하거나 유동적인 환경에서 종종 임계치를 벗어나지만 정상적인 활동을 하기 때문에 가긍정 판단(False Positive)을 하기도 한다. 비정상 기반 탐지 기술의 사용에서 또 다른 주목할만한 문제는 복잡하고 다량의 트래픽이 발생하기 때문에 올바른 분석 및 판단하기가 매우 어렵다.
NIDS와 HIDS는 기존의 인터넷 환경에서 많이 사용되는 침입 탐지 시스템이다. 하지만, 클라우드 환경에 적합하지 않은 침입 탐지 시스템이다.
NIDS는 네트워크에 위치하여 네트워크 전체의 트래픽 분석 및 모니터링을 제공하지만 클라우드 컴퓨팅은 가상화 기술을 이용하여 내부에서도 가상의 네트워크가 형성된다. 하지만, NIDS는 내부의 가상머신(Virtual Machine)간의 침입과 각 클라우드 서비스 제공자 간의 침입 등을 고려하지 않았기 때문에 클라우드 환경에 적합하지 않다.
또한 HIDS는 각각의 호스트에 위치하여 호스트의 로그정보, 애플리케이션 검사, 타 호스트 간의 통신 모니터링 등을 수행하지만 각각의 호스트에 독립적으로 수행하기 때문에 대규모의 침입공격 또는 합동 공격에는 취약하다.
대칭키 기반 암호화
암호화 및 복호화에 동일한 키인 비밀키를 사용하는 암호화 방식.
암복호화를 하고자 하는 당사자 간에 서로 동일한 비밀키를 가지고 있어서, 메시지를 암호화하거나 복호화할 때, 서로 공유하는 비밀키로 수행하는 방식으로 비밀키로 암호화된 데이터는 동일한 비밀키가 없으면 복호화가 불가능하다.
관련 기술로 마스터키 기반 기법, Pair-wise Key기반 기법, 랜덤 키 사전 분배 기법 등이 있다.
공개키 기반 암호화는 메시지를 암호화하는 공개키와 메시지를 복호화하는 개인키를 따로 두는 암호화 방식이다. 공개키는 일반적으로 누구나 알 수 있으나 개인키는 소유자만이 알고 있다. 송신자는 메시지 수신자의 공개키로 메시지를 암호화하여 수신자에게 전송하고, 메시지를 받은 수신자는 자신의 개인키를 이용해서 복호화한다. 공개키 기반 암호화는 대칭키 방식에 비하여 여전히 더 많은 연산 능력과 메모리를 필요로 하며, 공개키 환경에서 각각의 공개키는 사전에 인증을 받아야 한다는 점은 해결해야할 과제이다.
아이디 기반 프로토콜
ID(식별자)기반 암호화(Identity-based Encryption, IBE)은 1984년 Shamir가 제안한 이래 다양한 ID(식별자)기반 기법들이 제시되었다. 그러나 Boneh and Frankin에 이르러 ID(식별자)기반 암호화의 틀이 잡혀졌다. 이후 IBE의 아이디어를 기반으로 많은 기법들이 제안되었고, 사전 키 분배가 필요 없고, 연산량이 적은 ID(식별자)기반 암호화 기법의 센서 네트워크 적용이 중요 이슈가 되고 있다. 논문에서도 이를 위해 ID(식별자)기반 암호화 기법에 대한 고찰을 담고 있으며, 시뮬레이션 결과 동일한 보안 레벨에서 IBE와 RSA의 수행 시간은 각각 6.8s와 29s로 수행 시간이 빠르며, 메모리 사용량 역시 IBE는 DES와 RSA에 비해 각각 2.8%, 41.1% 만큼의 메모리(RAM) 사용량을 보인다.
1)ID(식별자)기반 암호화 방법
도 1은 ID(식별자)기반 암호화 방법을 나타내는 도면이다.
Sender : 공개된 Receiver의 ID(식별자)를 이용하여 메시지를 암호화한다. (Receiver의 ID는 Receiver의 공개키가 된다)
Ciphertext = Public Key(ke, Receiver's ID) + plaintext
Receiver : Sender의 Ciphertext를 복호화 하기 위해 Key Generator에게 Receiver의 ID(식별자)를 이용하여 인증 후 복호화 키(Receiver's private key)를 건네받는다. 복호화키를 이용하여 Sender의 Ciphertext를 복호화 한다.Receiver's Private key(kd) = Key Generator(Receiver's ID)
plaintext = private Key(kd) + Ciphertext
Key Generator는 신뢰하는 영역으로써 IBE에서 가장 중요한 역할을 수행한다. 따라서 신뢰하는 3rd Party에서 관리하는 것이 바람직하다. 만약 Key Generator가 위협받은 경우 IBE를 신뢰할 수 없다.
2)ID(식별자)기반 인증 방법
도 2는 ID(식별자)기반 인증 방법을 나타내는 도면이다. ID(식별자)기반 인증 방법의 인증 절차는 암호화 방법과 역순이다.
Sender에서 Sender의 ID(식별자)를 이용하여 PKG에게 Private key를 요청
PKG는 ID(식별자)를 이용하여 Private key 생성 후 Sender에게 전송
Sender는 Private Key를 이용하여 인증을 위해 암호화 후 Receiver에게 전송
Receiver는 Sender의 공개된 ID(식별자)를 이용하여 Sender's Public key 생성 후 복호화하여 Sender를 인증한다.
기존의 클라우드 컴퓨팅 서비스의 침입탐지 시스템은 초급탐지기가 가상머신과 동일한 물리적인 위치에 존재하기 때문에 가상머신의 가짜 초급탐지기 생성과 데이터 하이잭킹이 가능하다. 만약 가짜 초급탐지기 생성으로 인해 침입탐지 송신기로 거짓 정보를 보내어 침입탐지 시스템의 혼란을 가져올 수 있으며, 데이터 하이재킹와 같은 데이터 유출은 가상머신의 상태 정보를 파악하고 이를 악용하여 가상머신을 공격할 수 있는 정보를 제공한다.
따라서 클라우드 컴퓨팅 서비스의 침입탐지 시스템은 같은 물리적 공간에 존재하기 때문에 가짜 초급탐지기 생성 및 데이터 유출 등 침입탐지 시스템의 성능 저하 및 공격 발생이 가능하므로 침입탐지 시스템의 노드간 인증 및 암호화 시스템이 필요하다.
본 발명은 전술한 문제를 해결하기 위한 것으로, 본 발명의 목적은 가짜 초급탐지기 생성 및 데이터 유출 등 침입탐지 시스템의 성능 저하 및 공격 발생에 대비한 침입탐지 시스템의 노드간 인증 및 암호화 시스템을 제공하는 것이다.
본 발명에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템은, 가상머신을 모니터링하여 상기 가상머신의 트래픽 값이 사용자가 설정한 임계값을 초과하는 경우 초급경보를 발생하는 초급 탐지기; 상기 초급경보와 로컬 데이터 베이스의 블랙리스트를 비교하여 동일하면 침입으로 판단하며 침입으로 판단되면 하이퍼경보를 발생하는 침입 탐지 판단기; 및 상기 초급경보와 하아퍼경보를 전송받는 침입 탐지 관리자를 포함하되, 상기 초급 경보와 하이퍼 경보는 메모리, CPU, 메모리, 스토리지 사용률을 포함한 상태값과 상기 임계 초과값, 침입탐지 ID(식별자)가 포함되고, 상기 초급 탐지기는, 상기 가상머신의 네트워크 임계치가 초과된 경우 상기 초급 경보를 암호화하는 초급탐지기 암호기(15)를 포함하며, 상기 침입탐지 판단기는 침입탐지 관리자 ID(식별자)를 저장하고, 상기 가상머신의 네트워크 임계치가 초과된 경우 상기 하이퍼 경보를 암호화하는 판단기 암호기(26), 판단기 복호기(25)를 포함하고, 상기 침입탐지 관리자는 상기 침입탐지 판단기의 ID(식별자)를 저장하고, 비밀키 생성기(37), 관리자 복호기(36)를 포함한다.
또한, 본 발명에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템의 초급 탐지기는, 상기 침입탐지 관리자 ID(식별자)의 수정이 있는 경우에 상기 초급 탐지기 ID(식별자)를 침입탐지 관리자로 전송한다.
또한, 본 발명에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템의 침입탐지 판단기는, 상기 초급탐지기 ID(식별자)를 상기 침입탐지 관리자 ID와 비교하여 초급 탐지기를 인증하고, 상기 판단기 복호기(25)는 상기 암호화된 초급 경보를 복호화하며, 상기 판단기 암호기(26)는 상기 하이퍼 경보와 침입탐지 판단기 ID를 상기 침입탐지 관리자 ID를 이용하여 암호화하여 침입탐지 관리자에 전송한다.
또한, 본 발명에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템의 침입탐지 판단기는, 상기 침입탐지 관리자 ID의 수정이 있는 경우에 상기 초급 탐지기 ID를 침입탐지 관리자로 전송한다.
또한, 본 발명에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 침입탐지 관리자 ID는 침입탐지 관리자 ID는 상기 침입 탐지 판단기 ID와 모든 초급 탐지기 ID를 포함하며,상기 관리자 복호기(36)는 상기 암호화된 초급경보 및 상기 암호화된 하이퍼 경보를 복호화한다.
또한, 본 발명에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 침입탐지 관리자는 침입탐지 관리자는 침입탐지 판단기 추가시 침입탐지 판단기 ID를 부여하고 상기 암호화된 하이퍼 경보를 복호화 후 상기 침입 탐지 판단기 ID를 상기 침입탐지 관리자 ID에 전송하여 인증을 수행한다.
또한, 본 발명에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 상기 관리자 복호기(36)는 상기 암호화된 초급 경보 및 상기 암호화된 하이퍼 경보를 침입탐지 판단기의 ID와 상기 비밀키 생성기(37)를 통하여 복호화한다.
또한, 본 발명에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 상기 비밀키 생성기(37)는,상기 초급 탐지기 ID 또는 상기 칩입 탐지 판단기 ID를 이용하여 비밀키를 생성한다.
이상에서 설명한 바와 같이 본 발명에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템은, 클라우드 컴퓨팅 서비스의 침입탐지 시스템이 같은 물리적 공간에 존재하기 때문에 가짜 초급탐지기 생성 및 데이터 유출 등 침입탐지 시스템의 성능 저하 및 공격 발생이 가능하므로 침입탐지 시스템의 노드간 인증 및 암호화 기법을 제공할 수 있는 효과가 있다.
도 1은 공개키 기반 암호화 과정을 나타내는 도면이다.
도 2는 ID기반 암호화 시스템을 나타내는 도면이다.
도 3는 ID기반 인증방법을 나타내는 도면이다.
도 4은 본 발명의 일실시 예에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템의 구성을 도시한 도면이다.
도 5는 본 발명의 일실시 예에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템의 흐름도이다.
전술한, 그리고 추가적인 본 발명의 양상들은 첨부된 도면을 참조하여 설명되는 바람직한 실시 예들을 통하여 더욱 명백해질 것이다. 이하에서는 본 발명의 이러한 실시 예들을 통하여 본원 발명이 속하는 분야의 통상의 지식을 가진자가 용이하게 이해하고 재현할 수 있도록 상세히 설명하기로 한다.
도 4는 본 발명의 일실시 예에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템의 구성을 개략적으로 도시한 도면이다. 이하, 도 4를 이용하여 본 발명의 일실시 예에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템에 대하여 알아보기로 한다.
도 4에 의하면 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템의 암호화 시스템은 초급 탐지기(11)(Elementary Detector), 침입 탐지 판단기(20)(IDS Dispatcher), 침입 탐지 관리자(30)(IDS Manager)를 포함한다.
물론 상술한 구성 외에 다른 구성이 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템에 포함될 수 있음은 자명한 사항이다. 이하 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템을 구성하는 구성요소에 대해서 상세하게 알아보기로 한다.
초급 탐지기(11)는 사용자의 가상머신(10)을 모니터링 하기 위해 가상머신(10)에 배치되고 작동하며, 사용자 시스템의 성능을 위해 정해진 컴퓨팅 상태값(메모리, CPU사용률, 트래픽 총량, 침입탐지ID 등)만으로 구성된다.
사용자의 가상머신(10)은 네트워크 트래픽, 시스템 메모리, 시스템 파일, 로그 등의 가상머신 상태값을 수집 및 분석을 위해 각 초급 탐지기(11)로 실시간 또는 주기적으로 전송한다. 사용자는 자신의 초급 탐지기(11)의 임계값(환경설정) 설정 및 침입 탐지 기능을 추가 및 제거할 수 있다. 단, 서비스 제공자가 사용자의 제공 범위로 한정한 범위 내에서만 가능하며 침입 탐지 관리자(30)를 통해 사용자 환경설정이 이루어진다.
초급 탐지기(11)의 사용자 환경설정 및 기능 구성은 침입 탐지 판단기(20)를 통해 제공된다.초급 탐지기(11)에 의해 발생하는 경보를 초급 경보(raw alert)라 한다.초급경보는 사용자의 가상머신(10)의 트래픽 값이 임계값을 초과하였을 때 발생한다. 초급경보에는 사용자의 임계 초과값과 네트워크 트래픽, 시스템 메모리, 시스템 파일, 로그 등의 상태값을 포함한다. 초급경보는 IDMEF(Intrusion Detection Message Exchange Form)과 같은 일반적인 형식으로 로컬 데이터 베이스(41)에 저장하여 침입 여부를 결정을 위해 제공한다. 하지만 초급경보를 통해 침입 여부를 결정할 수 없다. 초급탐지기(11)에서 초급경보는 정확하고 자세한 분석을 위해 침입 탐지 판단기(20)로 보내진다. 초급 탐지기(11)는 비정상 상술한 탐지 기법(Anomaly Detection)을 사용한다. 초급 탐지기(11)는 사용자의 가상머신(10)의 트래픽 값이 임계값을 초과했는지 확인하는 분석부(14)(Analyzer), 사용자 환경변수를 적용하는 사용자 환경 설정 적용부(13), 초급 경보를 발생하는 초급경보 발생부(12)(Alert Updater)를 포함할 수 있다.
분석부(14)는 사용자의 가상머신(10)의 트래픽 값이 임계값을 초과하는지 판단한다.
사용자 환경 설정 적용부(13)는 침입탐지 관리자(30)의 사용자 환경변수를 가상머신(10)에 적용한다. 사용자 환경 변수에는 임계값이 포함된다.
초급경보 발생부(12)는 분석부에서 트래픽값이 임계값을 초과했다고 판단한 경우 가상머신(10)의 상태값과 임계 초과값이 포함된 초급경보를 발생한다.
초급탐지기 암호기(15)는, 초급 탐지기 생성시에 인증을 위해 침입탐지 판단기(20)가 생성한 각 초급 탐지기 만의 고유 ID를 전송 받으며 암호화를 위해 침입 탐지 판단기(20)의 ID(Public Key)를 할당받는다. 초급탐지기 암호기(15)는 네트워크의 임계치가 초과할 경우 침입탐지 ID, 임계 초과값, 가상머신의 CPU, 메모리, 스토리지 사용률 등의 상태값을 포함한 초급경보를 칩임탐지 판단기(20)ID(public key)를 이용하여 암호화하여 송신기에게 전송한다.
침입 탐지 판단기(20)는 클라우드 영역에 존재하고 침입을 판단하며, 침입이라고 판단하면 하이퍼경보를 침입 탐지 관리자에게 전송한다. 하이퍼경보에는 누적된 초급경보를 포함하며 초급경보에는 임계 초과값과 가상머신의 CPU, 메모리, 스토리지 사용율 등의 상태값을 포함한다. 침입탐지 판단기(20)은 가상머신(10) 단위로 구성된 초급 탐지기(11)의 생성 및 관리를 책임지며, 클라우드 영역에 존재하고, 클라우드 정책에 따라 다수의 침입 탐지 판단기를 구성할 수 있다.침입 탐지 판단기(20)는 초급경보, 가상머신(10)의 상태값과 로컬 데이터 베이스(41)의 블랙 리스트(알려진 공격 패턴과 침입자 관리자에서 작성된 공격패턴을 포함)를 비교하여 일치하하거나 비슷한 경우 침입으로 간주한다. 침입이라고 간주되면 하이퍼경보를 침입 탐지 관리자(30)(IDS Manager)에게 전송한다. 또한, 침입 탐지 판단기(20)는 상기 가상머신(10)에 초급 탐지기(11)를 생성하고 관리하는 침입 탐지 생성기(22)(IDS Generator), 형식 변환기(23)(Translation Engine), 경보 연관기(21)(Alert Correlation), 침입 탐지 관리자 ID, 판단기 복호기(25), 판단기 암호기(26)를 포함 할 수 있다. 침입탐지 판단기(20)은 클라우드 서버를 관리하기 위해 독립적인 서버 또는 관리시스템으로 운용되며 침입탐지 판단기 생성 및 추가시에 암호화를 위해 침입탐지 관리자 ID를 저장하고 있다. 또한 기존의 시스템처럼 초급경보는 송신기에 전송과 함께 관리자에게도 전송한다.
침입 탐지 생성기(22)는 새로 생성되는 가상머신(10)에 초급 탐지기(11)의 생성 또는 관리를 책임지며, 사용자가 지정한 임계값(환경설정)을 기반으로 사용자의 가상머신(10)에 초급 탐지기(11)의 생성과 관리를 책임진다.
형식 변환기(23)는 초급 탐지기(11)의 초급 경보와 상태값을 표준 메시지 형식(IDMEF, Intrusion Detection Message Exchange Form)으로 변환하여 로컬 데이터 베이스(41)에 저장한다. 형식 변환기(23) (Translation Engine)는 초급 탐지기(11)에서 발생한 초급경보를 표준 메세지 형식으로 변환하여 로컬 데이터 베이스(41)에 저장하며, 저장된 초급경보는 차후 경보 연관기(21)에서 침입여부를 판단하는데 사용된다. 초급 탐지기(11)의 경보 전송은 단방향(초급 탐지기(11) ⇒ 형식 변환기(23))전송된다.
경보 연관기(21)은 가상머신(10)의 공격 발생 장소 및 패턴과 같은 침입 정보 및 가상머신(10)의 상태값과 초급경보를 연관짓는다. 상기 침입 정보 및 상태값과 상기 초급경보와 연관된 하이퍼경보를 침입 탐지 관리자로 전송한다. 경보 연관기(21)은 로컬 데이터 베이스(41)의 블랙리스트와 메모리, CPU사용률, 트래픽 총량, 침입탐지 ID를 포함한 상태값과 상기 임계 초과값이 포함된 상기 초급경보를 비교하여 일치하면 침입으로 판단한다. 경보 연관기(21)은 초급경보와 블랙리스트를 연관지어 의심스러운 신호(공격)을 보안 관리자 또는 사용자에게 알리기 위해 하이퍼경보(Hyper alert)를 침입 탐지 관리자(30)에 전송한다. 경보 연관기(21)은 침입탐지 관리자(30)에게 하이퍼 경보를 전송하여 복수의 클라우드에서 수신되는 경보와 블랙리스트를 비교하여 의심스러운 신호가 확실한 공격인지 확인할 수 있다. 예를 들어, 침입 탐지 시스템은 가상머신(10)의 상태값(메모리, CPU사용률, 트래픽 총량 등)만 알 수 있기 때문에 의심스러운 신호가 공격신호인지 확인하기 위해 침입탐지 관리자(30)를 통해 복수의 클라우드 경보와 블랙리스트를 비교하여 침입공격 여부를 판단한다.
침입 탐지 관리자 ID는 가짜 초급탐지기를 식별 및 초급탐지기 인증을 위해 칩입탐지 판단기(20)에 저장되어 있으며, 초급 탐지기(11) 생성시에 고유의 초급 탐지기 ID가 부여된다. 초급탐지기 ID 정보는 침입탐지 관리자 ID에 수정이 있을 경우 전송된다. 암호화된 초급경보를 복호화 후에 초급경보에 포함된 초급탐지기 ID를 침입 탐지 관리자 ID와 비교하여 초급탐지기를 인증한다.
판단기 복호기(25)는 초급탐지기 암호기(15)가 암호화한 초급경보 복호화를 수행한다. 판단기 복호기(25)는 상기 초급탐지기 암호기(15)가 암호화한 초급경보 복호화를 위해서 침입탐지 관리자(30)의 비밀키 생성기(37)에게 침입탐지 판단기 ID를 이용하여 비밀키(private key)를 요청한다. 복호화 후에는 초급탐지기 ID를 침입 탐지 관리자 ID 로 전송하여 인증을 수행하며 형식변환기(23)에 전송되어 DB저장하고 경보연관기(21)에서는 DB에 저장된 초급경보를 침입 패턴과 비교한다.
판단기 암호기(26)는 침입탐지 판단기(20)에서 발생하는 하이퍼 경보와 침입 탐지 판단기 ID를 침입탐지 관리자 ID를 이용하여 암호화하여 전송한다. 상기 하이퍼 경보는 누적된 초급경보 정보와 연관된 공격패턴, 의심되는 공격 패턴 등의 정보를 포함한다.
침임 탐지 관리자(30)는 복수의 클라우드 제공자의 모든 초급 탐지기(11)의 초급경보를 수신하고 글로벌 데이터 베이스(42)에 저장하며, 상기 침입탐지 판단기(20)의 하이퍼 경보와 글로벌 데이터 베이스(42)의 블랙리스트가 일치하면 침입이라고 판단하고, 침입이라 판단한 경우 침입 탐지를 통지한다. 침입 탐지 관리자(30)는 상기 복수의 클라우드 제공자에 위치한 각 침입 탐지 판단기(20)의 하이퍼 경보, 초급경보 및 글로벌 데이터 베이스(42)의 블랙리스트가 비교하여 침입이라고 판단하고, 침입이라 판단한 경우 침입 탐지를 통지한다. 사용자는 서비스 이용 목적에 따라 가상머신(10)에 생성되는 초급 탐지기(11)의 임계값, 기능 등을 설정할 수 있다(단, 관리가 허용하는 범위 내에서만 설정 가능하다.) 사용자 설정은 침입 탐지 관리자(30)에서만 설정할 수 있다. 침입 탐지 관리자(30)는 복수의 클라우드 제공자 간의 침입 탐지 정보 및 침입탐지 경보를 글로벌 데이터 베이스(42)에 저장한다. 침입 탐지 관리자(30)는 서비스 이용 목적에 따라 임계값이 포함된 사용자 환경변수를 설정할 수 있는 사용자 환경 설정부(32); 클라우드 서버 영역에서 발생하는 모든 경보를 수신하고 글로벌 데이터 베이스에 저장하는 경보 수집부(31)(Alert Collector); 및 상기 글로벌 데이터 베이스에 저장된 경보를 분석하여 블랙리스트를 생성하며 침입여부를 판단하는 경보 처리부(33)(Alert Processor); 및 상기 경보 처리부(33)가 침입이라고 판단한 경우 상기 침입탐지를 사용자 및 관리자에게 통지하는 통지부(34)(Notification), 침입탐지 관리자 ID, 관리자 복호기(36), 비밀키 생성기(37)(Private-key Generator, PKG)를 포함할 수 있다.
사용자 환경 설정부(32)는 사용자가 서비스 이용 목적에 따라 사용자 가상머신(10)에 생성되는 초급 탐지기(11)의 임계값, 기능 등을 설정할 수 있다. 사용자 설정은 침입 탐지 관리자(30)에서만 설정할 수 있으며, 관리가 허용하는 범위 내에서만 설정 가능하다.
경보 처리부(33)는 전송받은 하이퍼 경보와 글로벌 데이터 베이스(42)의 블랙리스트를 비교하여 일치하는 경우 침입이라고 판단한다. 경보 처리부(33)는 침입탐지 판단기(20)에서 침입으로 판단하지 못하여 하이퍼경보가 없는 경우 복수의 클라우드에서 발생하는 초급경보와 글로벌 데이터 베이스(42)의 블랙리스를 비교하여 일치한 경우 침입으로 판단한다. 경보 처리부(33)는 하이퍼 경보 발생시 우선적으로 글로벌 데이터베이스(51)에 저장되어 있는 초급경보, 하이퍼경보 블랙리스트를 이용하여 침입을 판단한다.
경보 수집부(31)는 클라우드 서버 영역에서 발생하는 모든 경보 수신을 책임지며, 경보 처리부(33)가 처리할 수 있도록 글로벌 데이터베이스(42)에 저장한다.
통지부(34)는 경보 처리부(33)을 통해 새로운 침입 패턴이 발생한 경우 기존의 블랙리스트에 추가하고 글로벌 데이터 베이스(42)에 저장한다. 통지부(34)는 추가된 블랙리스트를 모든 침입탐지 판단기로 전송한다. 통지부(34)는 침입관련 목록을 작성하여 사용자의 요구가 있을시 상기 목록을 제공한다. 통지부(34)는 경보처리부(33)에서 침입이라고 판단한경우 침입 탐지를 사용자 및 관리자에 통지한다.
침입탐지 관리자(30)는 침입탐지 판단기 ID와 모든 초급 탐지기 ID를 포함하고 있다. 모든 초급 탐지기(11)에서 발생한 초급 경보는 침입탐지 관리자(30)에게 전송되기 때문에 인증을 위해서 침입탐지 관리자(30)는 초급 탐지기 ID를 포함하고 있다. 침입 탐지 관리자(30)는 침입 탐지 판단기(20) 추가시 침입 탐지 판단기 ID 부여 및 하이퍼 경보 복호화시 인증을 위해 이용된다.
관리자 복호기(36)는 침입탐지 관리자는 침입탐지 송신기의 모든 ID를 알고 있기 때문에 암호화된 초급경보를 해당 송신기의 ID와 PKG를 통해서 복호화를 수행한다. 관리자 복호기(36)는 침입탐지 판단기의 판단기 암호기(26)에서 발생한 암호화된 하이퍼 경보 또는 침입탐지 관리자 ID와 비밀키 생성기(37)를 통하여 복호화를 수행한다. 복호화 후에 송신기 ID 정보를 ID리스트에게 전송하여 인증을 수행한다.
비밀키 생성기(37)는 각 해당 ID를 이용하여 요청하면 해당 비밀키를 제공하는 Key Pool 또는 Key 관리자이다. 비밀키 생성기(37)는 기존의 IBE기반에서 Key Generator와 역할은 동일하며 요청하는 노드 ID에 따른 비밀키를 생성하여 요청 노드에게 제공한다.
도 5는 본 발명의 일실시 예에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템의 흐름도이다. 이하, 도 5을 이용하여 본 발명의 일실시 예에 따른 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템의 동작에 대하여 알아보기로 한다.
S200 단계에서 사용자가 서비스 가입시에 서비스 이용을 위해 사용자 환경 설정부(32)에서 임계값이 포함된 환경 변수를 설정한다.
S210 단계에서 사용자가 클라우드 서비스를 이용할 수 있게 가상머신(10)을 생성한다.
S220 단계에서 침입 탐지 판단기(20)의 침입 탐지 생성기(22)에서 가상머신(10) 생성시 정해진 컴퓨팅 자원으로 초급 탐지기(11)를 생성하고 초급 탐지기 ID가 부여 된다. 기존 초급 탐지기(11)에 암호화 통신을 위해 침입 탐지 판단기 ID 저장과 ID기반 모듈이 추가된다. 사용자의 환경설정에 따라 초급 탐지기(11)의 사용자 환경 설정 적용부(13)(User Configuration)에서 초급 탐지기(11)의 성능을 구성한다. (임계값 및 침입 탐지 기능 추가/삭제 등을 바탕으로 성능을 구성한다.)
S230 단계에서 가상머신(10)에서 상태값(메모리, 스토리지, CPU사용률 등)을 초급 탐지기(11)에게 실시간(또는 수시)으로 전송하고, 초급 탐지기(11)의 분석부(14)(Analyzer)는 상기 상태값을 확인하여 가상머신(10)의 트래픽값이 임계치를 초과하였는지 판단한다.
S240 단계에서 초급 탐지기(11)에서 발생한 초급경보는 임계치 및 가상머신의 상태정보가 담겨있으므로 암호화가 필요하다. 암호화 시 가상머신(10)의 성능을 보장하기 위해 최대한 경량화된 ID기반 암호화 기법을 사용한다. 침입탐지 판단기의 ID는 Public key이므로 침입탐지 판단기 ID를 이용하여 초급경보(ID, 임계치 초과값, 상태값)을 암호화한다.
S250 단계에서 암호화된 초급경보는 침입탐지 판단기 ID(Public Key)로 암호화 되있기 때문에 메시지 복호화를 위해 침입탐지 판단기(20)는 침입탐지 판단기 ID를 이용하여 비밀키 생성기(37)에 송신기 인증 및 Private key를 요청한다. 판단기 암호기(26)는 비밀키 생성기(37)에서 받은 비밀키를 이용하여 초급경보를 복호화한다. 복호화 후에는 침입탐지 판단기 ID를 통해 인증을 수행하며 가짜 침입탐지 판단기 ID일 경우 하이퍼바이저에게 통보하여 관련 조치를 취할수 있도록 한다.초급경보는 복사되여 침입탐지 판단기(20)와 침입탐지 관리자(10)에게 각각 암호화되어 전송된다.
S260 단계에서 침입탐지 판단기(20)는 관리자의 ID 정보를 알고 있기 때문에 누적된 초급경보의 데이터를 분석하여 침입여부를 판단한다. 침입 탐지 판단기(20)는 의심되는 데이터를 하이퍼 경보(누적 상태값, 송신기 ID 등)로 생성하고 이를 침입탐지 관리자 ID를 이용하여 암호화한다.
S270 단계에서 침입탐지 관리자(30)는 침입탐지 판단기(20)에서 발생한 암호화된 하이퍼 경보와 초급탐지기에서 발생한 초급경보를 암호화하기 위해서 침입탐지 관리자 ID와 해당 침입탐지 판단기 ID 정보를 통해 비밀키 생성기(37)에게 관련 비밀키 생성을 요청한다. 관리자 복호기(36)는 각 초급탐지기에서 발생한 암호화된 초급경보는 해당 침입탐지 판단기 ID와 비밀키 생성기(37)를 통해 해당 비밀키를 이용하여 복호화한다. 관리자 복호기(36)는 각 침입탐지 판단기(20)에서 발생한 암호화된 하이퍼 경보를 침입탐지 관리자 ID와 비밀키 생성기(37)를 이용해 침입탐지 관리자(30)의 비밀키를 이용하여 복호화한다. 침입 탐지 관리자는 복호화한 경보(초급경보, 하이퍼 경보)에 포함된 ID를 침입탐지 관리자 ID에서 비교하여 각 노드를 인증한다.
본 발명은 도면에 도시된 일실시 예를 참고로 설명되었으나, 이는 예시적인 것에 불과하며 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다며 다수의 클라우드를 동시에 탐지할 수 있는 복수의 침입탐지 시스템이 가능한점은 자명한 것이다.

Claims (8)

  1. 가상머신을 모니터링하여 상기 가상머신의 트래픽 값이 사용자가 설정한 임계값을 초과하는 경우 초급경보를 발생하는 초급 탐지기;
    상기 초급경보와 로컬 데이터 베이스의 블랙리스트를 비교하여 동일하면 침입으로 판단하며 침입으로 판단되면 하이퍼경보를 발생하는 침입 탐지 판단기; 및
    상기 초급경보와 하아퍼경보를 전송받는 침입 탐지 관리자를 포함하되,
    상기 초급 경보와 하이퍼 경보는 메모리, CPU, 메모리, 스토리지 사용률을 포함한 상태값과 상기 임계 초과값, 침입탐지 ID가 포함되고,
    상기 초급 탐지기는, 상기 가상머신의 네트워크 임계치가 초과된 경우 상기 초급 경보를 암호화하는 초급탐지기 암호기를 포함하며,
    상기 침입탐지 판단기는 침입탐지 관리자 ID를 저장하고, 상기 가상머신의 네트워크 임계치가 초과된 경우 상기 하이퍼 경보를 암호화하는 판단기 암호기, 판단기 복호기를 포함하고,
    상기 침입탐지 관리자는 상기 침입탐지 판단기의 ID를 저장하고, 비밀키 생성기, 관리자 복호기를 포함하는 것을 특징으로 하는 침입탐지 시스템에서의 암호화 시스템.
  2. 제 1항에 있어서, 상기 초급 탐지기는,
    상기 가상머신에 존재하고 초급 탐지기만의 고유 ID를 생성하며 침입탐지 판단기의 ID를 할당받고 상기 암호화된 초급경보를 침입 탐지 관리자로 전송하는 것을 특징으로 하는 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템.
  3. 제 1항에 있어서, 상기 침입탐지 판단기는,
    상기 초급탐지기 ID를 상기 침입탐지 관리자 ID와 비교하여 초급 탐지기를 인증하고,
    상기 판단기 복호기는 상기 암호화된 초급 경보를 복호화하며,
    상기 판단기 암호기는 상기 하이퍼 경보와 침입탐지 판단기 ID를 상기 침입탐지 관리자 ID를 이용하여 암호화하여 침입탐지 관리자에 전송하는 것을 특징으로 하는 침입탐지 시스템에서의 암호화 시스템.
  4. 제 1항 또는 3항에 있어서, 상기 침입탐지 판단기는,
    상기 침입탐지 관리자 ID의 수정이 있는 경우에 상기 초급 탐지기 ID를 침입탐지 관리자로 전송하는 것을 특징으로 하는 침입탐지 시스템에서의 암호화 시스템.
  5. 제 1항에 있어서,
    상기 침입탐지 관리자 ID는 상기 침입 탐지 판단기 ID와 모든 초급 탐지기 ID를 포함하며,
    상기 관리자 복호기는 상기 암호화된 초급경보 및 상기 암호화된 하이퍼 경보를 복호화하는 것을 특징으로 하는 침입탐지 시스템에서의 암호화 시스템.
  6. 제 1항 또는 제 5항에 있어서,
    상기 침입탐지 관리자는 침입탐지 판단기 추가시 침입탐지 판단기 ID를 부여하고 상기 암호화된 하이퍼 경보를 복호화 후 상기 침입 탐지 판단기 ID를 상기 침입탐지 관리자 ID에 전송하여 인증을 수행하는 것을 특징으로 하는 침입탐지 시스템에서의 암호화 시스템.
  7. 제 5항에 있어서, 상기 관리자 복호기는,
    상기 암호화된 초급 경보 및 상기 암호화된 하이퍼 경보를 침입탐지 판단기의 ID와 상기 비밀키 생성기를 통하여 복호화하는 것을 특징으로 하는 침입탐지 시스템에서의 암호화 시스템.
  8. 제 1항에 있어서, 상기 비밀키 생성기는,
    상기 초급 탐지기 ID 또는 상기 칩입 탐지 판단기 ID를 이용하여 비밀키를 생성하는 것을 특징으로 하는 침입탐지 시스템에서의 암호화 시스템.
KR1020110129243A 2011-09-26 2011-12-05 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템 KR20130085473A (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020110129243A KR20130085473A (ko) 2011-12-05 2011-12-05 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템
US14/345,196 US9294489B2 (en) 2011-09-26 2012-09-26 Method and apparatus for detecting an intrusion on a cloud computing service
PCT/KR2012/007754 WO2013048111A2 (ko) 2011-09-26 2012-09-26 클라우드 컴퓨팅 서비스로의 침입을 탐지하는 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110129243A KR20130085473A (ko) 2011-12-05 2011-12-05 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템

Publications (1)

Publication Number Publication Date
KR20130085473A true KR20130085473A (ko) 2013-07-30

Family

ID=48995634

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110129243A KR20130085473A (ko) 2011-09-26 2011-12-05 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템

Country Status (1)

Country Link
KR (1) KR20130085473A (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180054389A (ko) * 2016-11-14 2018-05-24 숭실대학교산학협력단 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체
KR20180086919A (ko) * 2017-01-24 2018-08-01 한국전자통신연구원 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법
US10216503B2 (en) 2013-03-13 2019-02-26 Elasticbox Inc. Deploying, monitoring, and controlling multiple components of an application
KR20200048691A (ko) * 2018-10-30 2020-05-08 강원대학교산학협력단 비트코인 교환기의 침입탐지를 위한 블록체인 분석장치
US10956588B2 (en) 2015-12-15 2021-03-23 Samsung Electronics Co., Ltd. Server, electronic device, and method for processing image by electronic device

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10216503B2 (en) 2013-03-13 2019-02-26 Elasticbox Inc. Deploying, monitoring, and controlling multiple components of an application
US10956588B2 (en) 2015-12-15 2021-03-23 Samsung Electronics Co., Ltd. Server, electronic device, and method for processing image by electronic device
KR20180054389A (ko) * 2016-11-14 2018-05-24 숭실대학교산학협력단 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체
KR20180086919A (ko) * 2017-01-24 2018-08-01 한국전자통신연구원 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법
KR20200048691A (ko) * 2018-10-30 2020-05-08 강원대학교산학협력단 비트코인 교환기의 침입탐지를 위한 블록체인 분석장치

Similar Documents

Publication Publication Date Title
Yaacoub et al. Cyber-physical systems security: Limitations, issues and future trends
Khan A survey of security issues for cloud computing
US9294489B2 (en) Method and apparatus for detecting an intrusion on a cloud computing service
Swessi et al. A survey on internet-of-things security: threats and emerging countermeasures
Moustafa A systemic IoT–fog–cloud architecture for big-data analytics and cyber security systems: A review of fog computing
Vijayakumaran et al. A reliable next generation cyber security architecture for industrial internet of things environment
Islam et al. An analysis of cybersecurity attacks against internet of things and security solutions
CN111464563B (zh) 一种工业控制网络的防护方法及对应的装置
Humayun Industry 4.0 and cyber security issues and challenges
Mukherjee et al. Security and privacy issues and solutions for fog
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及系统
KR20130085473A (ko) 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템
Miller et al. Traffic classification for the detection of anonymous web proxy routing
CN115051836A (zh) 基于sdn的apt攻击动态防御方法及系统
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
Sangui et al. Cloud Security Using Honeypot Network and Blockchain: A Review
Jena et al. A Pragmatic Analysis of Security Concerns in Cloud, Fog, and Edge Environment
Rani et al. Classification of Security Issues and Cyber Attacks in Layered Internet of Things
Qi et al. A security transmission and early warning mechanism for intelligent sensing information in internet of things
Patel et al. Security Issues, Attacks and Countermeasures in Layered IoT Ecosystem.
Kumar Possible solutions on security and privacy issues in fog computing
Devi et al. Cyber attacks, security data detection, and critical loads in the power systems
Tanya et al. A Comprehensive Study on Cybersecurity Challenges and Solutions in an IoT Framework
Das et al. Smart City Vulnerabilities: An Overview
Mishra et al. Intrusion detection systems for high performance computing environment

Legal Events

Date Code Title Description
N231 Notification of change of applicant
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid