KR20210072132A - 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법 - Google Patents

클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법 Download PDF

Info

Publication number
KR20210072132A
KR20210072132A KR1020217017458A KR20217017458A KR20210072132A KR 20210072132 A KR20210072132 A KR 20210072132A KR 1020217017458 A KR1020217017458 A KR 1020217017458A KR 20217017458 A KR20217017458 A KR 20217017458A KR 20210072132 A KR20210072132 A KR 20210072132A
Authority
KR
South Korea
Prior art keywords
event
information
agent
cloud
data
Prior art date
Application number
KR1020217017458A
Other languages
English (en)
Other versions
KR102495750B1 (ko
Inventor
크리스토퍼 저베이스
션 티. 리드
니콜라스 에스. 굿윈
조셉 디. 베이커
본카우프만 사무엘 비즈비
나단 디. 쿱라이더
데이비드 씨. 해그먼
루카스 엠. 두보이스
제니퍼 에이. 안드레
Original Assignee
쓰레트 스택, 인코퍼레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 쓰레트 스택, 인코퍼레이티드 filed Critical 쓰레트 스택, 인코퍼레이티드
Publication of KR20210072132A publication Critical patent/KR20210072132A/ko
Application granted granted Critical
Publication of KR102495750B1 publication Critical patent/KR102495750B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/174Redundancy elimination performed by the file system
    • G06F16/1748De-duplication implemented within the file system, e.g. based on file segments
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시 방법은 감시되는 클라우드 기반 요소로부터 이벤트 정보를 수집하는 단계를 포함한다. 이어서, 이벤트 정보에 기초하여 하나 이상의 구조화된 이벤트 페이로드를 생성한다. 이어서, 하나 이상의 유효성확인된 이벤트 컬렉션을 생성하는 구조화된 이벤트 페이로드를 유효성확인한다. 이어서, 하나 이상의 유효성확인된 이벤트 컬렉션을 직렬화하고 필터링하여 여분의 구조화된 이벤트 페이로드 데이터를 제거한다. 이어서, 필터링된 유효성확인된 구조화된 이벤트 페이로드를 역직렬화하여 시간 시퀀싱되고 정렬된 이벤트 스트림을 생성한다. 시간 시퀀싱되고 정렬된 이벤트 스트림을 중복제거하여 중복 구조화된 이벤트 페이로드를 제거한다. 이어서, 시간 시퀀싱되고 정렬된 이벤트 스트림을 처리하여 처리된 정보 보안 결과를 생성한다.

Description

클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법{SYSTEM AND METHOD FOR CLOUD-BASED OPERATING SYSTEM EVENT AND DATA ACCESS MONITORING}
본원은 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법에 관한 것이다.
본 명세서에서 사용되는 식별 항목들은, 구조를 위한 것일 뿐이며, 본원에서 설명하는 주제를 어떤 식으로든 제한하는 것으로서 해석해서는 안 된다.
관련 출원에 대한 상호 참조
본원은, "System and Method for Cloud-Based Operating System Event and Data Access Monitoring"이라는 명칭으로 2016년 12월 21일에 출원된 미국 가특허출원번호 제62/437,411호의 정규출원이다. 미국 가특허출원번호 제62/437,411호의 전문은 본원에 참고로 원용된다.
데이터 및 소프트웨어 애플리케이션이 클라우드로 이동함에 따라, 컴퓨터 시스템이 소프트웨어 애플리케이션과 서비스를 사용자에게 제공하는 방식이 근본적으로 변화하였다. 예를 들어, 통상적인 엔터프라이즈 네트워크의 네트워크 에지는 가상 경계로 대체되었으며, 이에 따라 컴퓨터가 정보를 처리하는 방식 및 데이터가 컴퓨터에 의해 액세스되는 방식을 변경하였다. 그 결과, 하드웨어 보안 기기와 네트워크 가시성 장치가 통상적으로 배치된 진입점(ingress point) 및 이탈점(egress point)이 제거되었다. 클라우드에서의 기본 처리 아키텍처가 다를 뿐 아니라 프로세스, 애플리케이션, 및 서비스의 규모와 성장 모델도 매우 다르다. 클라우드 기반 컴퓨터 시스템 자원은 매우 빠른 시간 척도로 성장 및 축소될 수 있다. 또한, 클라우드 기반 컴퓨터 시스템들은 일반적으로 고도로 분산되어 있어서, 이벤트를 추적하고 올바르게 시퀀싱(sequence)하는 것이 훨씬 더 어렵다. 또한, 보안 및 취약성 위협 모델도, 고정형 인프라스트럭처 엔터프라이즈 네트워크와 비교할 때 클라우드 기반 컴퓨터 시스템에서 필연적으로 다르다.
결국, 클라우드에서 실행되는 시스템 및 네트워크화된 정보를 감시하고 보호하기 위한 새로운 방법 및 시스템이 필요하다. 다시 말하면, 이제 클라우드 기반 정보 시스템을 위해 특정하게 구축된 클라우드를 위한 새로운 감시 및 보안 시스템 및 방법이 필요하다.
신용 카드 처리, 금융 거래, 기업 지배 구조, 콘텐츠 전달, 건강관리, 및 엔터프라이즈 네트워크 보안을 포함한 많은 애플리케이션은, 데이터 처리의 무결성에 대한 확신뿐만 아니라 디지털 데이터의 감시 및 보호도 필요로 한다. 지불 카드 산업 데이터 보안 표준((PCI DSS), 건강 보험 양도 및 책임 준수법(HIPAA), 서비스 기구 제어(SOC), 정보 보안 관리 표준을 표준화하기 위한 국제 표준화 기구(ISO, 27001), 디지털 저작권 관리(DRM), 및 사베인스-옥슬리(SOX) 등의 규제, 보고, 및 표준에 대한 준수 모두는, 편리한 데이터 처리와 데이터에 대한 액세스뿐만 아니라 데이터의 신중하고도 추적가능한 책임성도 요구한다.
본 교시의 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법의 한 가지 특징은, 보안 애플리케이션들의 클라우드 고유(즉, 클라우드를 위해 특정하게 설계된) 플랫폼-독립적 포괄적 세트를 제공한다는 것이다.
본 교시의 시스템의 한 가지 특징은, 클라우드 기반 연산 아키텍처에 분산된 처리 자산을 비용 효율적 방식으로 이용한다는 것이다.
본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법은, 내부자 위협, 외부 공격, 데이터 손실을 식별하고, 많은 수의 정보 보안 및 데이터 처리 규정과 표준의 준수를 보장한다.
바람직한 실시예 및 예시적인 실시예에 따른 본 교시를, 본 교시의 추가 이점과 함께, 첨부 도면과 관련하여 취해진 다음에 따르는 상세한 설명에서 더욱 상세하게 설명한다. 통상의 기술자라면, 이하에서 설명하는 도면이 단지 설명을 위한 것임을 이해할 것이다. 도면은 반드시 일정한 비율로 된 것이 아니며, 대신 일반적으로 교시의 원리를 예시하는 데 중점을 두고 있다. 도면은 어떠한 식으로든 출원인의 교시 범위를 제한하려는 것이 아니다.
도 1a는 본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 방법의 일 실시예의 고 레벨 프로세스 흐름도를 도시한다.
도 1b는 본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 방법의 도 1a와 관련하여 설명한 고 레벨 프로세스 흐름도를 구현하는 시스템 블록도를 도시한다.
도 2는 본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 방법의 일 실시예의 프로세스 흐름도를 도시한다.
도 3은 클라우드에 분산된 에이전트를 이용하는 본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법의 일 실시예의 프로세스 흐름도를 도시한다.
도 4는 커널 운영 체제로부터 이벤트 및 메타데이터를 취득하도록 컨테이너화 플랫폼을 이용하는 본 교시의 에이전트 기반 시스템 및 방법의 일 실시예의 아키텍처 도면을 도시한다.
도 5는 본 교시의 컨테이너화 플랫폼을 사용하여 구조화된 이벤트 페이로드를 생성하는 방법의 프로세스 흐름도를 도시한다.
도 6a와 도 6b는 본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법에 의해 제공되는 결과를 제시하는 그래픽 사용자 인터페이스(GUI)의 일 실시예를 도시한다.
이하, 첨부 도면에 도시된 바와 같이 본 교시의 예시적인 실시예를 참조하여 본 교시를 더욱 상세하게 설명한다. 본 교시를 다양한 실시예 및 예와 관련하여 설명하였지만, 본 교시를 이러한 실시예들로 제한하려는 것은 아니다. 반대로, 본 교시는 통상의 기술자에게 자명한 바와 같이 다양한 대안, 수정, 및 균등물을 포함한다. 본 명세서의 교시에 액세스하는 통상의 기술자는, 추가 구현예, 수정예, 실시예, 및 본원에서 설명하는 바와 같은 본 개시 내용의 범위 내에 있는 다른 사용 분야를 인식할 것이다.
명세서에서 가리키는 "일 실시예" 또는 "실시예"라는 것은, 해당 실시예와 관련하여 설명된 구체적인 기능, 구조, 또는 특징이 본 교시의 적어도 하나의 실시예에 포함됨을 의미한다. 명세서의 여러 곳에서 보이는 "일 실시예에서"라는 문구가 반드시 동일한 실시예를 지칭하는 것은 아니다.
본 교시의 방법의 개별 단계는 본 교시가 적용될 수 있는 한 임의의 순서로 및/또는 동시에 수행될 수 있음을 이해해야 한다. 또한, 본 교시의 장치 및 방법은 본 교시가 적용될 수 있는 한 설명된 실시예들의 임의의 개수 또는 모두를 포함할 수 있음을 이해해야 한다.
많은 클라우드 기반 시스템은, 분산형 시스템에서 데이터를 감시하고 안전하게 처리하기 위한 방법 및 시스템을 필요로 한다. 특히, 많은 클라우드 기반 시스템은, (1) 알려진 믿을 수 있는 소스로부터 장기간 및 단기간에 걸쳐 이벤트의 시간 시퀀스를 추적하는 것, (2) 사용자 추적, (3) 역할 및/또는 개별 사용자에 기초하여 파일 시스템에 대한 액세스를 추적하는 것, 및 (4) 특정 애플리케이션, 시스템, 또는 프로세스가 클라우드 내의 가상 자원에 걸쳐 마이그레이션할 때 이러한 특정 애플리케이션, 시스템, 또는 프로세스의 모든 인스턴스의 저장소를 유지하는 것을 필요로 한다. 본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법은, 클라우드 기반 애플리케이션 및 시스템의 보안 및 감시에 대하여 증가하는 이러한 요구 사항을 해결한다. 본 교시의 애플리케이션의 클라우드 고유 감시 묶음(suite)은, 가상 기계, 서버, 데스크톱, 랩톱, 및 핸드헬드 장치를 비롯한 모든 연산 플랫폼에서 실행될 수 있다. 본 교시의 시스템 및 방법을 실행하는 연산 플랫폼은 전용될 수 있고 또는 공유될 수 있다. 본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법은, 내부자 위협, 외부 공격, 데이터 손실을 식별하고, 많은 수의 정보 보안 및 데이터 처리 규정과 표준의 준수를 보장한다.
본원에서 사용되는 바와 같은 "요소"라는 용어는, 일반적으로 하드웨어, 소프트웨어, 및 하드웨어와 소프트웨어의 조합을 가리킨다. 예를 들어, 클라우드 기반 요소는 클라우드 기반 하드웨어에서 실행되는 소프트웨어만을 가리킬 수 있다. 클라우드 기반 요소는, 또한, 클라우드에 위치하는 하드웨어 장치만을 가리킬 수 있다. 클라우드 기반 요소는, 또한, 소프트웨어와 소프트웨어가 실행되는 하드웨어 연산 장치를 모두 가리킬 수 있다. 소프트웨어는, 본원에서 사용되는 바와 같이, 프로세스, 애플리케이션, 및/또는 서비스를 제공하는 실행가능 코드의 컬렉션을 가리킨다.
본 교시의 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법의 한 가지 특징은, 보안 애플리케이션들의 클라우드 고유(즉, 클라우드를 위해 특정하게 설계된) 플랫폼-독립적 포괄적 세트를 제공한다는 것이다. 본 교시의 시스템의 방법 및 출력의 결과는 합성된 및 문맥화된 데이터를 사용자에게 제공할 수 있다. 결과 및 출력은, 알려진 보안 애플리케이션들의 포괄적인 세트를 지원할 수 있기 때문에, 다양한 활동에 걸친 사이버 위협을 치유하는 것을 돕는다. 본 교시의 시스템의 한 가지 특징은, 클라우드 기반 연산 아키텍처에 분산된 처리 자산을 비용 효율적 방식으로 이용한다는 것이다. 그 결과, 시스템은, 감시되는 정보 시스템이 커짐에 따라 비용 효율적이고 모듈식으로 확장된다. 이는, 적어도 부분적으로, 시스템이, 정보 시스템 요구가 늘어남에 따라 확장될 수 있고 정보 시스템 요구가 줄어듦에 따라 감소될 수 있는 클라우드 기반 처리 자원에 의존하기 때문이다. 이 시스템은, 또한, 구성가능하며 소프트웨어 애플리케이션에 기초하는 감시 방안을 지원함으로써, 새로운 보안 위협 및 새로운 감시 애플리케이션의 추가를 쉽게 수용한다. 이것은, 보안 및 감시를 위한 개별 지점 해결책이 특수하면서 고가인 하드웨어를 필요로 하며 보안 애플리케이션들의 작은 묶음을 제공하는 종래 기술 시스템과 대조된다.
도 1a는 본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 방법의 고 레벨 프로세스 흐름도(100)를 제공한다. 방법의 제1 단계(102)는, 감시되는 정보 시스템의 분산형 정보 처리 환경에서 진행 중인 처리 활동으로부터 이벤트 정보를 수집한다. 이벤트 정보는, 특정 사용자에 연결되어 있으며, 또한, 타이밍 정보를 보존하도록 신중하게 시간 태그되고 포맷화된다. 제2 단계(104)는, 수집된 정보가 하나 이상의 섭취(ingestion) 프로세서에서 섭취되게 하는 것이다. 이어서, 섭취된 정보를 시간 시퀀서에서 필터링, 중복제거, 및 직렬화하여 원시 이벤트 데이터의 스트림을 생성한다. 일부 실시예에서, 수집된 정보는 실시간 연속 이벤트 정보이고, 원시 데이터의 스트림은 실시간 이벤트 스트림이다. 제3 단계(106)는 원시 이벤트 데이터를 처리하는 단계이다. 제3 단계(106)에서의 처리는 다양한 결과를 생성한다. 제4 단계(108)는, 합성된 데이터라고 하는 이들 결과를 제공한다. 결과는, 배포, 예를 들어, 경고, 통지, 보고서, 치유 권고, 및 기타 결과를 위해 다양한 형태로 직접 제공될 수 있고 또는 나중에 조립될 수 있다. 결과는, 예를 들어, 고객, 시스템 관리자, 공개 및 개인 보안 보고 장소, 및 다른 사용자에 의해 이용될 수 있다.
도 1b는, 본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 방법의 도 1a와 관련하여 설명한 고 레벨 프로세스 흐름도(100)를 구현하는 시스템 블록도(150)이다. 하나 이상의 네트워크 도메인(154)에 위치하는 하나 이상의 요소(152)는 섭취 프로세서(157)의 입력 스테이지를 포함하는 수신 요소(156)에 접속된다. 요소(152)는, 수집되어 섭취 프로세서(157)에 전송되는 이벤트 정보를 생성한다. 일부 실시예에서, 이벤트 정보는 특정한 미리 정의된 유형과 메타데이터의 이벤트를 포함한다. 일부 실시예에서, 이벤트 정보는, 클라우드 기반 프로세스 또는 기계에 의해 생성된 실시간으로 연속 생성된 이벤트 정보이다. 일부 실시예에서, 이벤트 정보는, 이벤트가 발생한 시간에 기초하여 시간 스탬핑된다. 이벤트 정보는, 미리 정해진 포맷으로 구조화된 이벤트 페이로드로 조립되어 섭취 프로세서(157)에 전송된다.
수신 요소(156)는 요소(152)로부터 수신 요소(156)에 제공된 이벤트 정보를 인증하고 유효성확인한다. 일부 실시예에서, 인증 및 유효성확인 후에 남아있는 유효성확인된 구조화된 이벤트 페이로드를 유효성확인된 이벤트 컬렉션이라고 칭한다. 수신 요소(156)의 출력은 직렬화 요소(158)에 접속된다. 일부 실시예에서, 직렬화 요소(158)는, 직렬화되고 시간 시퀀싱된 원시 이벤트 데이터 스트림을 생성한다. 일부 실시예에서, 이벤트 정보는 실시간으로 연속적으로 수집되고, 시간 시퀀싱된 원시 이벤트 데이터 스트림은 실시간 이벤트 스트림이다. 직렬화 요소(158)의 출력은 파이프라인 처리(160)에 접속된다. 파이프라인 처리(160)는, 시간 시퀀싱된 원시 이벤트 데이터로부터 도출되는 특정한 처리된 데이터 및 합성된 정보를 생성하는 일련의 처리 요소(162)를 포함한다. 본 교시의 파이프라인 프로세서 아키텍처의 한 가지 이점은, 각 파이프라인 스테이지의 출력이 시간 시퀀싱된 원시 이벤트 데이터이기 때문에, 처리 요소(162)가 임의의 순서로 적용될 수 있다는 점이다. 일부 실시예에서, 처리 요소(162)는 동일한 시간 시퀀싱된 원시 이벤트 데이터를 파이프라인의 다음 요소로 전달한다. 또한, 일부 실시예에서, 처리 요소(162)는, 시간 시퀀싱된 원시 이벤트 데이터를 다음 스테이지로 전달하기 전에 이러한 데이터를 정제한다.
일부 실시예에서, 파이프라인 처리(160)는 시간 상관 이벤트의 스트림을 생성하는 시계열 데이터 처리 엔진을 포함한다. 일부 실시예에서, 시계열 데이터 처리 엔진은, 시간 상관 이벤트 데이터를 메모리에서 지속되는 시간으로 시간 스탬핑한다. 시스템은, 클라우드 기반 요소에서 이벤트가 발생한 시간과 이벤트 데이터가 메모리에서 유지되는 시간을 구별한다. 이러한 두 개의 시간 스탬프는, 정확한 실시간 및 사후 처리된 시간에 민감한 데이터 분석을 제공하는 기능적 시간 상관 이벤트 관리 시스템을 제공하도록 개별적으로 추적되고 함께 통합되어야 한다. 또한, 일부 실시예에서, 파이프라인 처리(160)는 원시 이벤트 로그를 생성하는 원시 이벤트 로깅 엔진을 포함한다. 또한, 일부 실시예에서, 파이프라인 처리(160)는 규칙 기반 이벤트 식별 엔진을 포함한다. 규칙 기반 이벤트 식별 엔진은, 맞춤가능 규칙을 충족시키는 이벤트에 플래그를 지정하여 맞춤화된 규칙 세트를 기반으로 경고와 통지를 생성한다. 또한, 일부 실시예에서, 파이프라인 처리(160)는 다양한 취약성 및 착취 분석 엔진(vulnerability and exploitation analysis engine) 중 임의의 것을 포함한다. 예를 들어, 취약성 및 착취 분석 엔진을 사용하여 시간 시퀀싱된 원시 이벤트 데이터를 보안 위협 및 취약성의 알려진 데이터베이스와 상관지을 수 있다. 상관은 확률론적 필터를 사용하는 등의 다양한 방식으로 수행될 수 있다. 확률론적 필터는, 당해 기술 분야에서, 요소가 세트의 멤버인지를 결정하도록 확률론적 데이터 세트에 대하여 기능하는 효율적인 필터인 것으로 당업계에 알려져 있다. 시간 시퀀싱된 원시 이벤트 스트림은 데이터베이스(164)에 보관된다. 일부 실시예에서는, 시간 스탬프 또는 일련의 시간 스탬프를 적용하여 시간 시퀀싱된 원시 이벤트 스트림이 데이터베이스(164)에 보관되는 시간을 추적한다. 파이프라인 프로세서로부터의 시간 시퀀싱된 원시 이벤트 스트림 출력은, 또한, 추가 다운스트림 처리에서 이용될 수 있다.
일부 실시예에서, 섭취 프로세서(157)와 파이프라인 프로세서는, 제 위치에 분산되고 인터넷을 사용하여 함께 접속되는 클라우드 기반 요소를 포함한다. 예를 들어, 요소(152)는 인터넷을 통해 섭취 프로세서에 접속된 클라우드 기반 요소일 수 있다. 일부 실시예에서, 요소(152)는 공개 또는 개인 클라우드 인프라스트럭처에 상주한다. 또한, 일부 실시예에서, 섭취 프로세서(157)와 파이프라인 처리(160)는 공개 또는 개인 클라우드 인프라스트럭처에 상주하는 요소를 포함한다. 또한, 일부 실시예에서, 요소(152)는 다양한 고객 구내에 위치하는 서버에 상주한다. 또한, 일부 실시예에서, 섭취 프로세서(157)와 파이프라인 처리(160)는 다양한 고객 구내에 위치하는 서버에 상주하는 요소를 포함한다.
요소(152)는 커널을 갖는 운영 체제를 이용할 수 있다. 이들 실시예에서, 운영 체제들은 동일한 유형의 운영 체제일 수 있거나 상이한 유형의 운영 체제일 수 있다. 본 교시의 방법 및 시스템의 일부 특정 실시예는 리눅스 운영 체제를 이용한다. 통상의 기술자는, 운영 체제가 리눅스로 한정되지 않는다는 것을 이해할 것이다. 다양한 실시예에서, 다양한 운영 체제 및/또는 운영 체제의 조합을 이용할 수 있다. 운영 체제는 가상 기계일 수 있고 또는 운영 체제가 전용 하드웨어에서 실행될 수 있음을 이해해야 한다.
도 2는 본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 방법의 일 실시예의 프로세스 흐름도(200)를 도시한다. 방법(200)의 제1 단계(202)에서는, 이벤트 정보를 감시되고 있는 요소로부터 수신한다. 이벤트 정보는, 이벤트, 및 이벤트에 연관된 메타데이터를 생성하는 데 사용될 수 있는 이벤트에 관한 정보를 포함할 수 있다. 일부 실시예에서, 이벤트 정보는 운영 체제 커널로부터 도출된다. 일부 실시예에서, 이벤트 정보는 실시간으로 연속적으로 수집된다.
방법(200)의 제2 단계(204)에서는, 제1 이벤트(202)에서 취득된 이벤트 정보로부터 구조화된 이벤트 페이로드를 생성한다. 일부 실시예에서, 구조화된 이벤트 페이로드는 제1 단계(202)에서 취득된 이벤트들의 그룹화되고 시간 스탬핑된 컬렉션이다. 일부 실시예에서, 구조화된 이벤트 페이로드는 이벤트 정보로부터 도출된 메타데이터를 포함한다. 일부 실시예에서, 구조화된 이벤트 페이로드는, 특정 시스템 호출이 링크해제(링크 제거)인지 또는 getpid(프로세스 식별 얻음)인지 상관없이 특정 시스템 호출이 발생할 때마다 기입된다.
본 교시의 시스템은, 구조화된 이벤트 페이로드의 생성 중에 고유한 파싱 모델을 사용하기 때문에 자원을 효율적으로 사용한다. 본 교시의 파싱 모델은 관련된 이벤트 유형들을 함께 그룹화한다. 파싱 모델은, 파일이 조립될 때 실시간으로 관련이 있는 유형들을 결정하도록 이벤트 유형들을 상관한다. 이것은, 이질적인 이벤트들 간에 다른 많은 라인을 갖는 syslog 출력을 제공하는 종래 기술의 시스템과는 대조적인데, 이러한 이벤트들은 이후에 상관되어야 한다. 구조화된 이벤트 페이로드는, 판독 및 파싱이 비교적 쉬운 자바스크립트 오브젝트 통지(JSON) 포맷으로 출력된다. 이것은, 파싱하는 데 더욱 프로세스 집약적이고 16진수로 랜덤하게 인코딩된 값을 제시하는 키-값 포맷을 제공하는 종래 기술의 시스템과는 대조적이다.
방법(200)의 제3 단계(206)에서는, 구조화된 이벤트 페이로드를 유효성확인한다. 일부 실시예에서, 유효성확인 단계(206)는 특정 프로세스 또는 기계 식별자(ID) 및 이벤트의 사용자 ID를 인증하는 단계를 포함한다. 일부 실시예에서, 유효성확인된 구조화된 이벤트 페이로드는 유효성확인된 이벤트 컬렉션을 형성한다. 유효성확인된 이벤트 컬렉션을, 처리를 위한 전송을 위해 실시간 이벤트 스트림으로 직렬화한다. 방법(200)의 제4 단계(208)는 유효성확인된 이벤트 컬렉션을 필터링하여 여분의 구조화된 이벤트 페이로드를 제거하는 단계를 포함한다. 일부 실시예에서, 역직렬화 단계(도 2에 도시되지 않음)는 필터링 단계인 제4 단계(208)를 따른다. 역직렬화 단계는 방법의 다음 단계로 계속 진행되는 시간 시퀀싱되고 정렬된 이벤트 스트림을 생성한다. 시간 시퀀싱되고 정렬된 이벤트 스트림은 분산형 연산 환경에서 사후 처리에 적합하다.
방법(200)의 제5 단계(210)에서는, 방법(200)의 제4 단계(208)로부터의 출력들을 중복 제거한다. 일부 실시예에서, 출력은 필터링된 이벤트 컬렉션이다. 일부 실시예에서, 출력은 시간 시퀀싱되고 정렬된 이벤트 스트림이다. 방법(200)의 중복 제거 단계(210)는 당업계에 공지된 많은 중복 제거 프로세스 중 임의의 것을 사용할 수 있다. 중복 제거는, 저장된 데이터 청크(chunk)를 새로운 인입 데이터의 동일한 크기의 청크와 비교하여 일치하는 임의의 청크를 제거함으로써, 반복되는 데이터의 중복 카피를 제거한다.
이어서, 방법(200)의 제6 단계(212)에서는, 중복 제거된 데이터를 직렬화한다. 일부 실시예에서, 제6 단계(212)의 직렬화는 시간 시퀀싱된 원시 이벤트 스트림을 생성하는 것을 포함한다. 즉, 원시 이벤트 스트림은, 원래의 이벤트 활동들의 시간 시퀀스를 실질적으로 나타내는 순서로 제6 단계(212)의 출력에서 제공된다. 즉, 처음 발생한 이벤트가 시간 시퀀싱된 원시 이벤트 스트림에서 처음으로 나타난다. 시간상 두 번째로 발생한 이벤트는 시간 시퀀싱된 원시 이벤트 스트림에서 두 번째로 나타나며, 이러한 방식이 계속된다.
이어서, 방법(200)의 제7 단계(214), 제8 단계(216), 및 제9 단계(218)에서는, 제6 단계(212)로부터의 시간 시퀀싱된 원시 이벤트 스트림을 처리한다. 본 교시에 따른 다양한 방법에서, 이들 모든 단계 중 일부는 다양한 순서로 수행된다. 일부 실시예에서, 프로세스 단계인 제7 단계(214)는, 수집된 이벤트 정보에 대한 개별적 이벤트 분석을 사용하여 실시간 신호 검출을 위해 시간 시퀀싱되고 정렬된 이벤트 스트림을 처리하여 처리된 정보 보안 결과를 생성하는 것이다. 일부 실시예에서, 프로세스 단계인 제7 단계(214)는, 위협 인텔리전스를 생성하는 데 사용될 수 있는 원시 이벤트 로그를 생성하는 원시 이벤트 처리이다. 일부 실시예에서, 프로세스 단계인 제8 단계(216)는 규칙 기반 처리이다. 규칙 기반 처리에 있어서, 고객별 규칙을 시간 시퀀싱된 원시 데이터 이벤트 스트림에 적용하여 해당 고객에게 경고 및 통지를 생성한다. 다수의 고객 규칙 세트가 적용될 수 있으므로, 맞춤형 통지 및 경고가 개별 고객에게 제공될 수 있다.
일부 실시예에서, 프로세스 단계인 제9 단계(218)는 데이터 분석 처리를 포함한다. 데이터 분석은 취약성 분석을 포함할 수 있다. 예를 들어, 취약성 분석은, 감시되는 특정 시스템의 자산 및 기능을 분류하고, 그러한 자산들을 우선순위 부여하고, 처리된 시간 시퀀싱된 원시 이벤트 데이터에 기초하여 그러한 자산에 대한 잠재적 위협 및 자산의 특정한 취약성을 식별할 수 있다. 데이터 분석은 착취 분석을 포함할 수 있다. 착취 분석 처리에 있어서, 시간 시퀀싱된 원시 데이터 이벤트 스트림은 사이버 착취의 대상이 되는 다양한 프로세스 및 활동을 식별한다. 프로세싱 단계인 제9 단계(218)의 일부 실시예에서, 프로세서는 확률론적 필터링을 사용하여 위협 코퍼스를 구축한다. 또한, 프로세스 단계인 제9 단계(218)의 일부 실시예에서, 프로세서는 데이터를 알려진 보안 위협의 국가적 데이터베이스와 상관지어 취약성 및 착취를 식별한다. 처리 단계인 제9 단계(218)의 일부 실시예에서, 프로세서는 확률론적 필터를 사용함으로써 이벤트가 알려진 위협 패턴을 나타내는지를 결정한다. 확률론적 필터를 사용하는 것은 많은 수의 이벤트가 있는 경우에 특히 유리하며, 그 이유는, 이벤트가 많은 경우, 이벤트가 위협 패턴의 멤버인지 여부를 확립하는 결정 방법이 비현실적이기 때문이다.
본 교시의 방법의 한 가지 특징은, 방법(200)의 단계들(214, 216, 및 218)이 파이프라인 방식으로 수행될 수 있다는 점이다. 즉, 처리 단계들(214, 216, 및 218)의 입력 및 하나의 출력은 시간 시퀀싱된 원시 이벤트 스트림이다. 이와 같이, 처리 단계들(214, 216, 및 218)은 임의의 순서로 수행될 수 있다. 다양한 방법에서, 통상의 기술자는, 추가 처리 단계들이 방법(200)에 추가될 수 있고 방법(200)의 모든 처리 단계가 모든 실시예에서 반드시 수행되는 것은 아니라는 점을 알 것이다.
방법(200)의 제10 단계(220)에서는, 처리 단계들(214, 216, 및 218)의 처리된 정보 보안 결과를 생성하고 공개한다. 결과는, 본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 방법을 사용하는 한 명 이상의 고객에게 제공될 수 있다. 결과는 시스템에 접속된 기계의 그래픽 사용자 인터페이스에 제시될 수 있다. 결과는 웹 인터페이스를 통해 이용가능하게 될 수 있다. 결과는 보고서 형태로도 공개될 수 있다. 보고서는 다양한 공개 보안 포럼에서 공개적으로 이용가능하게 될 수 있다.
본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법의 한 가지 특징은, 본 교시의 요소들(152)(도 1b)에 의해 이용되는 운영 체제의 커널 레벨에서 생성되는 이벤트들을 감시한다는 점이다. 운영 체제 커널이 컴퓨터의 운영 체제의 핵심 코어라는 것은 당업계에 잘 알려져 있다. 커널은, 컴퓨터 중앙 처리 장치, 메모리, 및 입출력(I/0)에 대한 액세스를 중재하며, 일반적으로 시스템에 의해 행해지는 모든 작업을 완벽하게 제어한다. 커널은, 프로세스들 간의 통신도 관리할 수 있다. 커널은 다른 모든 프로그램보다 먼저 로딩되고, 커널에서 실행되는 모든 소프트웨어 애플리케이션으로부터의 I/0 요청 및 전체 시동을 관리한다. 이처럼, 커널 감시는, 운영 체제에서 실행 중인 정보 시스템의 모든 상위 레벨 활동에 대한 이해를 제공한다.
종래 기술의 감시 시스템은 리눅스 커널 감사 프레임워크로부터 도출되는 정보를 사용한다. 리눅스 커널 감사 프레임워크가 종래 기술 시스템에 사용되는 한 가지 이유는, 리눅스 커널 감사 프레임워크를 사용하는 데 커널 모듈이 필요하지 않기 때문이다. 그러나 리눅스 사용자가 이용할 수 있는 리눅스 커널 감사 프레임워크인 "auditd" 데몬은, 구성하기 어려우며, 이벤트 처리에 있어서 종종 매우 비효율이다. 이로 인해 시스템 성능이 크게 저하된다. 이처럼, 사용자가 리눅스 커널 감사 프레임워크와 직접 상호작용하는 것은 매우 어렵다.
대조적으로, 본 교시의 시스템 및 방법은, 이벤트 추적을 위해 커널 감사 프레임워크와 상호작용하는 에이전트를 이용하고, 이벤트 정보 수집을 자동화한다. 소프트웨어 에이전트는 당업계에 잘 알려져 있다. 일부 실시예에서, 본 교시의 소프트웨어 에이전트는, 운영 체제 이벤트 및 데이터 액세스 감시 시스템 대신 자율적으로 동작하여 특정 태스크 또는 기능을 수행하고 결과 데이터를 시스템 내의 다른 소프트웨어 애플리케이션 또는 프로세스와 통신하는 소프트웨어를 포함한다. 에이전트는, 최소한의 시스템 자원을 사용하고 사용자 공간에서 실행된다. 또한, 에이전트는 여러 리눅스 배포판에 걸쳐 실행될 수 있으며, 이는 관리를 간략화한다. 또한, 에이전트는, 커널 모듈을 업그레이드하는 데 필요한 상당한 운영 오버헤드 없이 새로운 버전으로 업그레이드될 수 있다. 또한, 에이전트는, 커널 모듈로서 실행되는 종래 기술의 이벤트 감시에서 발생할 수 있는 시스템 불안정성을 피한다.
도 1b와 관련하여 설명한 상위 레벨 프로세스 흐름도를 구현하는 시스템 블록도를 다시 참조하면, 본 교시의 에이전트는 요소(152)의 애플리케이션 공간에서 실행되는 상태 기계 프로세서를 포함한다. 에이전트는 프로세스 및/또는 기계(152)로부터 커널 이벤트를 취득한다. 다수의 커널 이벤트는 에이전트에 의해 미리 정의된 포맷을 갖는 구조화된 이벤트 페이로드로 결합된다. 에이전트는, 구조화된 이벤트 페이로드를 도 1b와 관련하여 설명한 백엔드 처리 진입 섭취 프로세서(157)에 전송한다.
일부 실시예에서, 에이전트는 요소(152)와 파이프라인 처리(160) 모두에 상주한다. 이들 실시예에서, 에이전트는, 메타데이터를 네트워크 접속 이벤트에 첨부하여 접속이 어디에서 시작되고 어디로 향하는지를 결정한다. 이어서, 백엔드 파이프라인 처리(160)에서의 에이전트는, 이들 네트워크 이벤트를 상관하여 원래의 프로세스 및 해당 네트워크 이벤트를 유발한 잠재적 사용자 활동을 결정할 수 있다. 이것이 소스와 대상 서버 모두에 상주하는 에이전트의 장점이다. 이는, 박스들에 걸쳐 접속하려 할 때 다수의 호스트에 걸친 네트워크 접속의 추적을 자동화한다. 메타데이터는, 환경에서 SSH 세션을 추적하고 어떠한 서버들이 서로 통신하는지 그리고 그 이유를 디버깅하는 데 특히 유용하다.
감사 시스템이라고도 하는 알려진 커널 기반 이벤트 모니터 시스템은 검색하기 쉬운 로그를 제공하지 않는다. 또한, 알려진 커널 기반 이벤트 모니터 시스템은, 컬렉션 및 사용자에 연관된 특정 세션을 자동으로 찾는 것을 지원하지 않는다. 대신, 알려진 커널 감사 시스템은 통상적인 auditd 로그에 접속 어드레스를 나타내는 16진수로 인코딩된 스트링을 생성한다. 또한, 알려진 커널 감사 시스템은, 인간 판독자가 파싱하는 데 어렵고 관련이 없는 정보 및 이벤트를 제공한다. 본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법의 에이전트는, 로그인된 사용자에 연관된 이벤트, 활동, 및 커맨드를 구조화된 이벤트 페이로드에 저장한다. 이어서, 에이전트는, 구조화된 이벤트 페이로드를 자동으로 재구성하여 정보를 정확하고 컴팩트하며 검색가능하고 판독가능한 타임라인으로 제시한다.
종래 기술 시스템은 사용자 데몬인 "auditd"를 이용하여 이벤트 데이터를 수집하고 소비한다. 그러나, 특히 성능에 민감한 시스템에서 실행될 때 통상적인 오픈 소스 auditd 및 auditd 라이브러리에 연관된 많은 바람직하지 않은 기능이 있다. 예를 들어, 전통적인 오픈 소스 auditd 및 auditd 라이브러리로부터 유용한 데이터를 신속하게 취득하는 것은 특히 어렵다. 이와 같이, 본 교시의 시스템 및 방법은 에이전트 내에서 맞춤형 감사 청취자를 사용한다. 청취자는 사용자 선호도에 기초하여 파일 및 메타볼릭 프로파일을 취득한다.
도 3은 클라우드에 분산된 에이전트들을 이용하는 본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법의 일 실시예의 프로세스 흐름도(300)를 도시한다. 복수의 고객 에이전트는, 이러한 고객을 위한 정보 시스템을 구성하는 복수의 고객의 클라우드 기반 요소에 근접하여 위치한다. 일부 실시예에서, 이러한 고객을 위한 정보 시스템을 구성하는 복수의 고객 클라우드 기반 요소는, 소위 아마존 웹 서비스(AWS) 클라우드를 사용하여 AmazonTM에 의해 제공된다.
프로세스(302)의 제1 단계는, 복수의 분산형 고객 에이전트를 이용하는 복수의 고객에 의해 사용되고 있는 정보 시스템 서비스로부터 이벤트 정보를 수집하는 단계를 포함한다. 제2 단계(304)는, 로드 밸런서를 갖는 각 고객 에이전트의 IP 어드레스의 최종 옥텟의 해시에 기초하여 다양한 고객 에이전트의 접속을 에이전트 청취자(306)에 분산하는 것을 포함한다. 프로세스(306)의 제3 단계는, 청취자 레지스터를 갖는 모든 고객 에이전트에 대한 에이전트 상태의 인증 및 관리를 포함한다. 에이전트 청취자는 모든 고객 에이전트 통신을 수신하고 고객 에이전트에 커맨드를 전송한다.
제4 단계(308)에서, 에이전트 청취자는 고객 에이전트로부터 수신된 모든 데이터를 섭취 큐로 전송한다. 제5 단계(310)에서, 섭취 큐는 클라우드 기반 정보 시스템에 대한 API 호출을 기록하는 서비스로부터 입력을 수신한다. 일부 실시예에서, API 호출을 기록하는 서비스는 AWS CloudTrail이다. AWS CloudTrail은, API 호출자의 ID, API 호출 시간, API 호출자의 소스 IP 어드레스, 요청 파라미터, 및 AWS 서비스에 의해 리턴되는 응답 요소를 기록한다.
제6 단계(312)에서, 섭취 큐는, 큐잉된 데이터를, 데이터를 유효성확인하고, 적절할 때 데이터를 정규화하며, 데이터를 부가 정보로 풍부하게 하는 유효성확인 프로세스에 전송한다. 제7 단계(314)에서, 드롭 프로세스는, 규칙을 실행하여 소정의 기준과 일치하는 데이터를 처리 파이프라인을 따라 더 흐르지 않도록 배제한다. 미리 결정된 기준과 일치하지 않는 데이터는 드롭된다. 제8 단계(316)에서는, 제7 단계(314)에서 실행된 드롭 프로세스로부터 드롭되지 않은 나머지 데이터를, 파이프라인 처리 스테이지에 공급을 행하는 다음 큐에 제공한다.
제9 단계(318)에서, 큐는, 이벤트에 연관된 IP 어드레스를 알려진 불량 IP 어드레스의 데이터베이스와 비교하는 처리 스테이지에 데이터를 전송한다. 일치는 본원에서 인텔리전스 이벤트 마커로 설명된 것으로 플래그 표시되고, 파이프라인을 따라 데이터에 대한 일치 처리를 계속 진행한다. 제10 단계(320)에서는, 이벤트가 미리 정의된 데이터 표준을 준수함을 보장하도록 이벤트를 분석한다. 데이터는, 사용자, 고객, 및 기타 프로세스에 의한 검색 및 탐색을 위해 검색 엔진 저장소에 삽입된다.
이어서, 데이터는 처리 파이프라인을 따라 계속 흐르고, 제11 단계(322)에서, 이벤트 메시지들의 뱃치(batch)는, 미리 결정된 간격으로 처리되도록 재시도된 후 사용자 인터페이스에 전력을 공급하도록 집산된 이벤트 카운트를 위한 데이터 테이블에 저장된다. 예를 들어, 미리 결정된 간격은 10분일 수 있다. 이어서, 데이터는 처리 파이프라인을 따라 계속 흐르고, 제12 단계(324)에서, 변환 이벤트는 로그인/로그아웃 및 프로세스 접속 이벤트를 캡처한다. 변환 이벤트는 적절히 포맷화되고 데이터베이스에 삽입된다. 일부 실시예에서, 데이터베이스는 Apache Cassandra 오픈 소스 데이터베이스 관리 시스템을 사용한다. 일부 실시예에서, 포맷은 시계열 및 의사 그래프 데이터에 적합하다.
이어서, 데이터는 처리 파이프라인을 따라 계속 흐르며, 제13 단계(326)에서, 경고 취입 큐는 데이터를 취입 프로세스에 제공한다. 제14 단계(328)에서, 취입 프로세스는 통지를 생성하기 위해 경고 규칙에 대해 모든 이벤트를 평가한다. 취입 프로세스는, 시간 윈도우와 빈도 임계값을 기반으로 경고를 작성해야 하는지를 결정한다. 취입 프로세스는, 작성되어야 한다고 결정하는 경고를 생성하여 경고 작성자 프로세스에 전송한다. 제15 단계(330)에서, 경보 작성자 프로세스는, 생성된 경고가 시스템 및 사용자 기준에 기초하여 억제되어야 하는지를 결정한다. 경고 작성자 프로세스는, 추가 처리 및 사용자 인터페이스에서의 가용성을 위해 주 데이터 저장소에 경고를 작성한다. 경고 작성자는 경고를 통지 프로세스에 전달한다.
제16 단계(332)에서, 통지 프로세스는 고객 선호도에 기초하여 추가 통지 옵션을 관리한다. 통지 프로세스는 통지를 다양한 정보 시스템 관리 및 동작 도구 세트에 전송한다. 일부 실시예에서, 통지 프로세스는 사건 해결 플랫폼인 PagerDuty와의 통지의 통합을 지원한다. 다른 실시예에서, 통지 프로세스는 실시간 통신 플랫폼인 슬랙(Slack)과의 통지의 통합을 지원한다. 다른 실시예에서, 통치 프로세스는 고객 또는 최종 사용자에 의해 지정된 맞춤형 URL 엔드포인트에 통지를 전송한다.
본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법의 한 가지 특징은, 클라우드 정보 시스템에서 최근 널리 사용되고 있는 컨테이너화 시스템을 사용하여 동작할 수 있다는 점이다. 클라우드 기반 정보 시스템에 대한 워크로드 관리의 최근 추세는 소프트웨어를 컨테이너 내에 캡슐화하는 것이다. 컨테이너는, 특정 프로세스 또는 애플리케이션을 실행하는 데 필요한 기본 소프트웨어만을 포함하도록 설계된다. 컨테이너는 CPU, 저장 장치, 또는 메모리와 같은 자원에 대한 액세스를 가상화한다. 컨테이너는, 특정 소프트웨어, 프로세스, 또는 애플리케이션의 실행을 위해 관리하기 쉬운 완벽하게 캡슐화된 환경을 제공하는 데 중점을 둔다는 점에서 통상적인 가상화 기술과 다르다.
본 교시의 일부 실시예는 컨테이너화를 위한 공지된 도커(Docker) 시스템을 사용한다. 도커 시스템 컨테이너는, 베이스라인 리눅스 운영 체제 및 관련 라이브러리를 제공하는 도커 호스트에서 실행된다. 도커 컨테이너화는 기존 리눅스의 프로세스 관리 및 격리 기능을 기반으로 한다. 따라서 도커 컨테이너 내에서 실행되는 프로세스는, 사용자 공간에서 실행되는 프로세스와 동일한 프로세스 정보와 메타데이터를 갖는다. 또한, 도커 컨테이너화는, 컨테이너 및 프로세스의 질의를 통해 컨테이너의 상태 및 컨테이너 내에서 실행되는 프로세스에 대한 메타데이터를 취득할 수 있게 하는 일련의 API를 제공한다. 본 교시의 일부 양태는 도커 컨테이너화의 사용을 기술하지만, 통상의 기술자는 본 교시가 도커를 사용하는 컨테이너화 시스템으로 한정되지 않으며 다수의 다른 컨테이너화 방식이 이용될 수 있음을 알 것이라는 점을 이해해야 한다.
일부 실시예에서, 본 교시의 시스템 및 방법은 사용자 공간에서 실행되는 다른 프로세스에 관한 이벤트 및 메타데이터를 취득한다. 일부 실시예에서, 본 교시의 시스템 및 방법은, 이용가능한 도커 애플리케이션 프로그래밍 인터페이스(API) 상에서 실행 중인 다른 프로세스에 관한 이벤트 및 메타데이터를 취득한다. 이어서, 에이전트는 취득된 이벤트 및 메타데이터를 구조화된 이벤트 페이로드로 변환한다. 이 작업을 스케일로 행하기 위해, 에이전트는, 도커 컨테이너로부터 정보를 취득하고 관리하며, 특히, 도커 컨테이너 라이프사이클과 기능하여 이벤트를 연산 및 메모리 효율적 방식으로 거의 실시간으로 취득한다.
더욱 구체적으로, 에이전트는, 도커 호스트에서 실행 중인 컨테이너의 수를 결정하고, 이러한 컨테이너를 고유하게 식별한다. 또한, 에이전트는, 새로운 컨테이너가 실행되고 오래된 컨테이너가 종결되어 시스템으로부터 제거되는 때를 결정한다. 에이전트는, CPU 이용률이 바람직하지 못하게 높아지게 되는 도커 API의 반복 폴링을 피하도록 이러한 정보의 내부 캐시를 구축한다. 이어서, 에이전트는 도커 컨테이너 프로세스가 트리거할 수 있는 파일 시스템에 대한 정보를 취득한다. 이어서, 에이전트는, 고유하게 식별된 컨테이너 및 해당 라이프사이클에 대한 정보를 파일 시스템 정보와 함께 미리 정의된 감사 이벤트 내로 결합한다. 이어서, 에이전트는, 미리 정의된 감사 이벤트를 구조화된 이벤트 페이로드로 구축하고, 이벤트를 규칙 기반 경고에 대한 분석, 상관, 표시, 및 프로세스를 위해 사후 처리 시스템에 전송한다.
일부 실시예에서, 컨테이너화 기능은 에이전트의 별도의 컨테이너화 가능 모듈로 전달된다. 이러한 실시예에서, 이러한 특징을 채택하는 고객만이 컨테이너화 기능을 제공받는다. 예를 들어, 일부 실시예에서, 에이전트의 컨테이너화 가능 모듈은 도커 0.8 이상의 버전에서 실행된다. 또한, 일부 실시예에서, 컨테이너화 가능 모듈은, 도커 배치에 공통되는 UbuntuCore, Ubuntu, 및 CoreOS 운영 체제에서 실행된다.
도 4는, 커널 운영 체제로부터 이벤트 및 메타데이터를 취득하는 컨테이너화 플랫폼을 이용하는 본 교시의 에이전트 기반 시스템 및 방법의 아키텍처 도면(400)을 도시한다. 도 4에 도시된 실시예에 대한 운영 체제의 커널(402)은 리눅스 커널이다. 커널(402)은 애플리케이션 및 사용자 공간(404)을 지원한다. 컨테이너화 플랫폼(406)은 애플리케이션 및 사용자 공간(404)에서 실행된다. 에이전트(408)도 애플리케이션 및 사용자 공간에서 실행된다. 도 4에 도시된 실시예에서, 에이전트는 컨테이너화 가능 감사 모듈(410) 및 커널 감사 모듈(412)을 포함한다. 에이전트(408)의 컨테이너화 가능 감사 모듈(410)은 컨테이너화 플랫폼(406)의 API(414)를 호출한다. 컨테이너화 플랫폼(406)은 다양한 프로세스(416)를 포함하는 다양한 컨테이너(418)를 지원한다. 컨테이너화 플랫폼 프로세스(420)는, 다양한 프로세스 정보 및 다양한 컨테이너(418)와 프로세스(416)에 대한 추가 식별 정보를 제공한다. 정보는 API(414)를 통해 이용가능하게 된다. 에이전트(408)의 커널 감사 모듈(412)은, 또한, 커널(402)을 통해 실행되는 커널 감사 프레임워크(422)로부터 이벤트 및 메타데이터를 취득할 수 있다.
본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 방법의 한 가지 특징은, 특정 프로세스, 프로세스를 실행 중인 특정 기계, 이들 모두를 기반으로 클라우드 기반 정보 시스템을 감시할 수 있다는 점이다. 당업계에서는, 클라우드 연산 및 클라우드 기반 서비스가, 공유되는 연산 자원을 이용하는 서비스를 제공하는 연산 시스템 및 방법을 가리킨다는 점이 잘 알려져 있다. 본 개시 내용을 위해, 기계 또는 프로세서는 하드웨어 기반 연산 자원이고, 프로세스, 애플리케이션, 또는 서비스는 소프트웨어 기반 프로세스이다. 클라우드 기반 정보 시스템에서, 공유되는 연산 자원은, 인터넷을 사용하여 함께 접속되는 컴퓨터, 프로세서, 및 저장 장치 자원을 포함한다. 다양한 서비스를 제공하는 다양한 애플리케이션 또는 프로세스는, 공유되는 자원을 사용하여 소프트웨어에서 실행된다. 다양한 프로세스가 시간 경과에 따라 다양한 연산 자원으로 실행되도록 마이그레이션될 수 있다. 결과적으로, 프로세스는 프로세스의 수명 동안 다수의 시스템에 연관될 수 있다. 많은 경우, 운영 체제는, 운영 체제에서 실행되는 모든 애플리케이션 및 프로세스와 함께, 상이한 기계들로 마이그레이션된다. 이와 같이, 본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 방법의 중요한 특징은, 이벤트 정보의 컬렉션이 특정 애플리케이션, 서비스, 또는 프로세스에 결합될 수 있으며, 마이그레이션 중에 그 컬렉션을 유지할 수 있다는 점이다. 일부 실시예에서, 이벤트 정보의 컬렉션은, 특정 운영 체제 인스턴스에 결합되며, 그 운영 체제가 클라우드에서 마이그레이션될 때 마이그레이션할 것이다. 일부 실시예에서, 이벤트 정보의 컬렉션은 특정 공유 자원에 결합될 수 있다.
본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 방법은 가상 기계를 이용하는 시스템을 감시할 수 있다. 가상 컴퓨터는 컴퓨터 자원의 기능을 에뮬레이션한다. 일부 실시예에서, 본 교시의 프로세스, 애플리케이션, 및 서비스를 실행하는 가상 기계는, 완전한 운영 체제, 대개는 리눅스를 실행한다. 일부 실시예에서, 본 교시의 프로세스, 애플리케이션, 및 서비스는, 때때로 프로세스를 실행하는 컨테이너라고도 하는 격리된 사용자 공간을 제공하는 공통 운영 체제의 커널에서 제공되는 가상 기계에서 실행된다. 이러한 시스템에서, 컨테이너는, 별도의 시스템으로 동작하며, 공통 운영 체제를 공유한다.
도 5는 본 교시의 컨테이너 플랫폼을 사용하여 구조화된 이벤트 페이로드를 생성하는 방법(500)의 프로세스 흐름도를 도시한다. 방법(500)의 제1 단계(502)에서는, 컨테이너 프로세스 이벤트들의 컬렉션을 구성한다. 제2 단계(504)에서는, 컨테이너 가능 에이전트 모듈을 초기화한다. 일부 실시예에서, 컨테이너 프로세스 이벤트들의 컬렉션을 개시하는 단계는, 에이전트에 구성 플래그를 설정한 다음 에이전트를 재시작하는 단계를 포함한다. 구성은 디스크에서 지속된다. 에이전트가 재시작되면, 컨테이너 가능 에이전트 모듈이 초기화된다. 제3 단계(506)에서, 모듈은 컨테이너화 플랫폼 API에 접속한다. 제4 단계(508)에서, 컨테이너 가능 에이전트 모듈은 컨테이너의 수를 결정하고 이들 컨테이너를 고유하게 식별한다. 구체적인 일 실시예에서, 방법(500)의 제3 단계(506)는 /var/run/docker.sock에서 도커 소켓에 접속하는 단계를 포함한다. API가 도커 소켓인 실시예에서, 그 소켓에 성공적으로 접속하면, 제4 단계(508)는, 실행 중인 컨테이너의 수를 결정하고 컨테이너 정보를 취득하기 시작하도록 /var/lib/docker/containers/에 위치하는 JSON-포맷화된 구성 파일을 취득하는 단계를 포함한다.
방법(500)의 제5 단계(510)에서는, 컨테이너의 수에 대한 정보 및 고유 식별 정보를 포함하는 캐시를 생성한다. 제5 단계(510)는 컨테이너화 플랫폼을 반복적으로 폴링하는 것을 유리하게 피한다. 일부 실시예에서, 에이전트는, 도커 컨테이너의 리스트에 대하여 반복하고 도커 REST "GET/containers/" API를 호출하여 컨테이너에 관한 정보를 취득한다.
방법(500)의 제6 단계(512)에서는, 컨테이너에서 실행 중인 프로세스에 관련된 이벤트 및 이벤트 정보를 포함하는 이벤트 정보를 취득한다. 제6 단계에서는, 연관된 사용자 정보도 취득할 수 있다. 일부 실시예에서는, /top에 대한 호출을 행하여 컨테이너 내에서 실행 중인 모든 프로세스에 대한 정보를 취득하여 사람이 판독할 수 있는 명칭, 프로세스 ID(PID), 및 그 프로세스에 연관된 사용자 ID를 취득한다.
방법(500)의 제7 단계(514)는 이벤트를 식별하고 미리 결정된 이벤트 유형으로 분류하는 것이다. 제7 단계(514)의 일부 실시예에서는, 해당 프로세스를 구체적으로 식별할 수 있고 고유 PID를 갖는 것을 보장할 수 있도록 도커로부터 커널 PID로 매핑을 수행한다.
방법(500)의 제8 단계(516)에서는, 이벤트에 관한 추가 메타데이터를 취득 및/또는 결정한다. 일부 실시예에서, 제8 단계(516)는, 예를 들어, 에이전트가 컨테이너 명칭과 ID를 포함할 수 있는 컨테이너 자체에 관한 추가 정보를 취득하도록 /json을 호출하는 단계를 포함한다. 이 정보는, 사용자가 주어진 프로세스 이벤트에 대하여 도커 컨테이너를 식별할 수 있도록 사후 처리에 사용된다.
방법(500)의 제9 단계(518)에서는, 구조화된 이벤트 페이로드를 생성한 후 에이전트에 의한 백엔드 처리로 전송한다. 일부 실시예에서, 구조화된 이벤트 페이로드는, 미리 정의된 이벤트 유형을 그룹화하는 것에 기초하는 미리 정의된 포맷을 포함한다. 일부 실시예에서, 파일은, 유효성확인 및 백엔드 처리로의 전송을 위해 컨테이너화 가능 모듈로부터 주 에이전트 코드로 전송된다. 그 후, 방법(500)의 프로세스 흐름은, 감시가 완료될 때까지 제6 단계(512)로부터 반복된다. 감시가 완료된 후, 방법은 제10 단계(520)에서 종료한다.
본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법은, 유리하게도 감시되는 정보 시스템에서의 활동의 실시간 및 이력 분석을 제공한다. 결과적으로 합성된 데이터는, 클라우드 기반 정보 시스템에서 계속 이동하는 암호, 자격 증명, 지적 재산, 및 고객 데이터를 보호하고 차지한다. 일부 실시예에서는, 정보 시스템의 특정 사용자 및 프로세스 활동을 검색하고 분석하여 추세를 결정한다. 일부 실시예에서, 정보 시스템 내의 동작의 실시간 가시성 및 상세한 감사 추적은, HIPAA, PCI DSS, SOC 2, ISO 27001, 및 SOX 404와 같은 특정 준수 규정을 충족시키는 데 필요한 이력 기록을 제공한다.
도 6a와 도 6b는, 본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법에 의해 제공되는 처리된 정보 보안 결과를 제시하는 그래픽 사용자 인터페이스(GUI)(600)의 일 실시예를 도시한다. 시스템 및 방법은, 완전히 처리되고 조직화된 정보를 감시되고 있는 시스템의 다른 사용자 및 정보 시스템 관리자에게 제공한다. 그래픽 사용자 인터페이스(GUI)(600)는 내장 규칙 또는 맞춤형 규칙을 사용하여 경고를 호출 및 해제하는 기능을 지원한다. GUI(600)는, 모든 해제된 경고 및 경고를 체크한 때와 사람의 감사 추적을 제공하고 보관한다. GUI(600)는, 스캐닝 활동, 비정상적 로그인 시도/실패, 와이드 오픈 보안 그룹, 새로운 프로세스 또는 커널 모듈의 개시, 사용자 세션 정보, 프로세스 정지, 커맨드 및 제어를 위한 외부 접속, 및 사용자 세션 정보를 포함하는 다양한 시스템 활동 정보를 호출하는 데 사용될 수 있다. 시스템은, 또한, 사용자 권한 상승, 비인가 설치, 새로 추가된/삭제된 사용자, 의심스러운 커맨드, 보안 그룹 변경, 사용자 세션 정보, 및 프로세스 중지를 포함하는 활동을 자동으로 인식한다.
본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법의 한 가지 특징은, 사용자, 프로세스, 및 파일 거동의 변경을 신속하고 간단하게 식별할 수 있다는 점이다. 일부 실시예에서, 시스템은 워크로드를 연속적으로 감시하고 추적한다. 이러한 실시예에서, 시스템은 활동이 정상으로부터 벗어나는 때를 인식하는 데 사용될 수 있다. 워크로드는, 정보 시스템에서 일상적으로 실행되는 하나 이 상의 애플리케이션, 프로세스, 및 서비스의 그룹이다. 워크로드 추적은, 통상적인 서명 기반 인식 시스템에 비해 몇 가지 이점이 있다. 이러한 이점들 중 하나는 새롭고 알려지지 않은 위협에 대해 더욱 양호한 보호 기능을 제공한다는 점이다. 이러한 이점들 중 다른 하나는, 내부 위협이 본질적으로 악의적인지 또는 자연적으로 발생한 것인지 여부를 식별하는 데 도움이 된다는 점이다.
본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법의 다양한 실시예에서 식별되는 공통 위협 지시자들의 예는, (1) sudo/scp/curl/wget와 같은 커맨드의 사용, (2) 사용자가 파일을 다른 기계로 카피하는 것, (3) 새로운 사용자 로그인 세션, (4) 새로운 비인가 프로세스, 서비스, 및 워크로드의 개시, (5) 새로운 외부 접속, (6) 중요 파일의 변경, 및 (7) "Bad IPs"의 알려진 리스트와의 접속을 포함한다. 다양한 실시예에서, 시스템은, (1) 사용자가 자신의 권한을 어떻게 루트로 확대 또는 변경했는지의 이해, (2) 모든 사용자에 대하여 모든 실행 중인 커맨드의 조사, (3) 다수의 기계에 걸친 사용자 로그인 추적, (4) 왜 서비스가 충돌하였는지의 디버깅, 및 (5) 왜 서비스가 특정 프로세스를 실행하고 있는지의 이해를 포함하는, 데이터 누출에 연관된 공통 활동에 대한 상세 조사를 지원한다.
다양한 실시예에서, 실시간 가시성 및 상세한 감사 추적은, 예를 들어, (1) HIPAA, PCI DSS, SOC 2, ISO 27001, 및 SOX 404 규정에 대한 준수, (2) 내부 제어 및 프로세스 검증, 및 (3) 중요 파일이 보호되고 있다는 인식을 제공한다. 또한, 시스템은 취약성 및 소프트웨어 패치를 감시한다.
본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법의 한 가지 특징은 PCI DSS 준수를 지원하는 능력이다. 신용 카드 데이터를 저장, 처리, 또는 전송하는 조직의 경우, PCI DSS 준수 규정을 충족시킨다는 것은, 이러한 기능을 제공하는 정보 시스템을 위한 적합한 제어, 정책, 및 절차를 마련해야 함을 의미한다. 시스템은, 클라우드에서의 카드홀더 데이터 이동 및 애플리케이션 활동을 지속적으로 감시하고 가시성을 종종 제공해야 한다. 이것은, 시스템이 커널 수준에서뿐만 아니라 트랜잭션 동안 주요 카드홀더 데이터 통신에서의 핵심 지점에서도 감시를 행하기 때문이다.
본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법의 한 특징은, 비인가 데이터, 구성 및 활동 변경, 또는 고 위험 영역 내의 노출의 예방을 지원한다는 점이다. 또한 시스템은, 오픈 웹 애플리케이션 보안 프로젝트(OWASP), SANS 기관, 미국 컴퓨터 비상 대응 팀(CERT), 및 다양한 기타 조직을 포함하는 알려져 있는 사이버 공격을 정보 시스템에 통지한다.
본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법의 또 다른 특징은, 카드홀더 데이터를 갖는 파일이 언제 액세스되었는지 및 어떠한 프로세스 또는 사용자가 파일에 액세스하였는지를 식별하는 것을 도울 수 있는 감사 로그를 컴파일링할 수 있다는 점이다. 따라서, 시스템은, 테스트 프로세스를 개선하는 데 사용될 수 있는 보안 구성과 제어 효율성에 가시성을 제공한다.
본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법의 또 다른 특징은 서비스 조직 제어 2(SOC 2) 보고를 지원하는 능력이다. 대량의 고객 데이터를 저장하고 처리하는 서비스 제공자는, 이러한 고객 데이터에 대한 위험과 노출을 최소화해야 한다. 부적절한 보안 제어는 서비스 제공자와 고객 모두에게 심각한 위험을 초래한다. 미국 공인회계사 협회(AICPA)는, 정치 상태에 있거나 이동 중인지에 상관없이 고객 데이터를 처리하는 모든 서비스 제공자가 SOC 2 요구사항을 준수할 것을 요구한다. 이러한 준수 규정은, 현재의 클라우드 보안 우려에 부합하는 기밀성 및 보안 조치를 제공하며, 서비스 제공자의 고객 데이터의 보안, 가용성, 처리 무결성, 및 기밀성을 커버한다.
서비스 조직 제어 2 준수는, 타협을 나타낼 수 있는 데이터에 대한 제어, 사용자 액세스, 및 변경의 감시를 필요로 한다. 시스템 보안, 가용성, 처리 무결성, 또는 기밀성을 저해할 수 있는 위협은 본 교시의 시스템 및 방법에 의해 식별될 수 있다. 또한, 데이터의 비인가 노출 또는 수정을 즉시 식별하고 대응할 수 있다. 또한, 사고 후 분석에 유용한 시스템 활동을 상세히 설명하는 감사 로그가 제공된다.
본 교시의 운영 체제 이벤트 및 데이터 액세스 감시 시스템 및 방법의 또 다른 특징은, 클라우드를 사용하여 건강관리 기록 및 서비스를 안전하고 준수되는 방식으로 관리할 수 있는 능력이다. 건강관리 규정에 의하면, 어떠한 데이터에 액세스하고 이러한 데이터를 공유하는 사람, 어디서, 및 언제를 건강관리 사업자가 알고 있어야 한다. 또한, 위협을 식별하고 검증하고 개인 건강 정보(PHI)를 안전하게 유지해야 한다는 요구사항이 있다. 건강보험 양도 및 책임 준수법(HIPAA)은, 특정 준수 규정을 통해 매우 민감한 환자 데이터의 프라이버시 및 보안을 보호한다. 본 교시의 시스템 및 방법에 의해 가능해진 건강보험 양도 및 책임 준수 특징은, 의심스러운 파일 시스템, 계정 및 구성 활동을 포함하는 클라우드 활동의 감시를 포함한다. 시스템은, 즉각적인 응답을 가능하게 하는, 암호화 알고리즘, 애플리케이션, 또는 키에 의한 조작 또는 데이터의 변경 또는 노출에 관한 경고를 제공한다. 예를 들어, 시스템은, 정책 및/또는 절차의 위반을 통지할 수 있고, 누가 어떤 데이터 및/또는 어떤 프로세스에 액세스하고 있는지를 정확하게 추적할 수 있다. 또한, 시스템은, 시스템 관리자가 응답 방법에 대한 정보에 근거한 결정을 내릴 수 있도록 시스템 활동에 대한 상세 보고서를 제공한다.
균등물
출원인의 교시를 다양한 실시예와 관련하여 설명하였지만, 출원인의 교시를 이러한 실시예로 한정하고자 하는 것이 아니다. 오히려, 출원인의 교시는, 통상의 기술자가 알 수 있는 바와 같이, 본 교시의 사상 및 범위를 벗어나지 않고서 본원에서 행해질 수 있는 다양한 대안, 수정, 및 균등물을 포함한다.
152: 요소
154: 네트워크 도메인
156: 수신 요소
157: 섭취 프로세서
158: 직렬화 요소
160: 파이프라인 처리
162: 처리 요소
164: 데이터베이스
402: 커널
404: 애플리케이션 및 사용자 공간
406: 컨테이너화 플랫폼
408: 에이전트
410: 컨테이너화된 가능 감사 모듈
412: 커널 감사 모듈
414: API
416: 프로세스
418: 컨테이너
420: 컨테이너화 플랫폼 프로세스
422: 커널 감사 프레임워크
600: 그래픽 사용자 인터페이스

Claims (13)

  1. 에이전트 기반 운영체제 이벤트 및 데이터 액세스 감시 방법으로서,
    a) 에이전트를 이용하는 적어도 하나의 컨테이너에서 실행되는 클라우드 기반 정보 시스템 서비스로부터 이벤트 정보를 수집하는 단계;
    b) 상기 에이전트에 의해, 상기 클라우드 기반 정보 시스템 서비스와 연관된 적어도 하나의 컨테이너를 고유하게 식별하는 단계;
    c) 상기 클라우드 기반 정보 시스템 서비스와 관련된 컨테이너 라이프사이클 정보를 수집하기 위해, 상기 에이전트에 의해 애플리케이션 프로그래밍 인터페이스(API)를 폴링하는 단계;
    d) 상기 수집된 컨테이너 라이프사이클 정보의 캐시를 상기 에이전트 내에 구축하여, 상기 API의 반복적인 폴링을 회피하는 단계;
    e) 상기 컨테이너 라이프사이클 정보 및 상기 수집된 이벤트 정보에 기초하여 하나 이상의 구조화된 이벤트 페이로드를 생성하는 단계;
    f) 상기 컨테이너 라이프사이클 정보를 이용하여 생성된 상기 하나 이상의 구조화된 이벤트 페이로드로부터, 시간 시퀀싱되고 정렬된 이벤트 스트림(time-sequenced, ordered event stream)을 생성하는 단계;
    g) 상기 시간 시퀀싱되고 정렬된 이벤트 스트림 내 IP 어드레스들을 알려진 불량 IP 어드레스들과 비교하고, 일치하는 경우 인텔리전스 이벤트 마커를 생성하는 단계;
    h) 상기 시간 시퀀싱되고 정렬된 이벤트 스트림 내 데이터를 평가하여 정보 시스템 사건을 결정하는 단계; 및
    i) 상기 결정된 정보 시스템 사건을 해결하는 단계를 포함하는, 에이전트 기반 운영체제 이벤트 및 데이터 액세스 감시 방법.
  2. 제1항에 있어서, 상기 에이전트는 컨테이너 상에서 실행되는 에이전트를 포함하는, 에이전트 기반 운영체제 이벤트 및 데이터 액세스 감시 방법.
  3. 제1항에 있어서, 상기 컨테이너는 도커(Docker) 컨테이너를 포함하는, 에이전트 기반 운영체제 이벤트 및 데이터 액세스 감시 방법.
  4. 제1항에 있어서, 상기 컨테이너 라이프사이클 정보는 적어도 하나의 시간 스탬프를 포함하는, 에이전트 기반 운영체제 이벤트 및 데이터 액세스 감시 방법.
  5. 제1항에 있어서, 상기 에이전트와 연관되 코드를 사용하여, 로드 밸런서를 통해 상기 에이전트를 에이전트 청취자(agent listener)에 연결하는 단계를 더 포함하는, 에이전트 기반 운영체제 이벤트 및 데이터 액세스 감시 방법.
  6. 제1항에 있어서, 미리 결정된 기준과 일치하지 않는 이벤트 데이터를 드롭하는 단계를 더 포함하는, 에이전트 기반 운영체제 이벤트 및 데이터 액세스 감시 방법.
  7. 제1항에 있어서, 상기 결정된 정보 시스템 사건을 해결하는 단계는, 사건 해결 플랫폼을 이용하여 해결하는 단계를 포함하는, 에이전트 기반 운영체제 이벤트 및 데이터 액세스 감시 방법.
  8. 제1항에 있어서, 상기 에이전트에 의해 상기 애플리케이션 프로그래밍 인터페이스(API)를 폴링하는 단계는, 도커 API를 폴링하는 단계를 포함하는, 에이전트 기반 운영체제 이벤트 및 데이터 액세스 감시 방법.
  9. 제1항에 있어서, 상기 클라우드 기반 요소는 클라우드 기반 프로세스를 포함하는, 에이전트 기반 운영체제 이벤트 및 데이터 액세스 감시 방법.
  10. 제1항에 있어서, 상기 수집된 이벤트 정보는, 감시되는 프로세스와 연관된 적어도 하나의 컨테이너 명칭 및 컨테이너 ID를 포함하는, 에이전트 기반 운영체제 이벤트 및 데이터 액세스 감시 방법.
  11. 제1항에 있어서, 상기 하나 이상의 구조화된 이벤트 페이로드를 생성하는 단계는, 상기 수집된 이벤트 정보로부터 취득되는 이벤트의 시간 스탬프 컬렉션(time-stamped collection)을 생성하는 단계를 포함하는, 에이전트 기반 운영체제 이벤트 및 데이터 액세스 감시 방법.
  12. 제1항에 있어서, 상기 하나 이상의 구조화된 이벤트 페이로드를 생성하는 단계는, 관련 이벤트 유형들을 실시간으로 함께 그룹화하는 단계를 포함하는, 에이전트 기반 운영체제 이벤트 및 데이터 액세스 감시 방법.
  13. 제1항에 있어서, 상기 하나 이상의 구조화된 이벤트 페이로드를 생성하는 단계는, 메타데이터를 부착하여 검색가능한 구조화된 이벤트 페이로드를 생성하는 단계를 포함하는, 에이전트 기반 운영체제 이벤트 및 데이터 액세스 감시 방법.
KR1020217017458A 2016-12-21 2017-12-20 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법 KR102495750B1 (ko)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US201662437411P 2016-12-21 2016-12-21
US62/437,411 2016-12-21
US15/846,780 2017-12-19
US15/846,780 US10791134B2 (en) 2016-12-21 2017-12-19 System and method for cloud-based operating system event and data access monitoring
PCT/US2017/067584 WO2018119068A1 (en) 2016-12-21 2017-12-20 System and method for cloud-based operating system event and data access monitoring
KR1020197021124A KR102264288B1 (ko) 2016-12-21 2017-12-20 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020197021124A Division KR102264288B1 (ko) 2016-12-21 2017-12-20 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20210072132A true KR20210072132A (ko) 2021-06-16
KR102495750B1 KR102495750B1 (ko) 2023-02-06

Family

ID=62557011

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020197021124A KR102264288B1 (ko) 2016-12-21 2017-12-20 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법
KR1020217017458A KR102495750B1 (ko) 2016-12-21 2017-12-20 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020197021124A KR102264288B1 (ko) 2016-12-21 2017-12-20 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법

Country Status (5)

Country Link
US (2) US10791134B2 (ko)
EP (2) EP4283929A3 (ko)
KR (2) KR102264288B1 (ko)
CN (1) CN110249314B (ko)
WO (1) WO2018119068A1 (ko)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10666443B2 (en) * 2016-10-18 2020-05-26 Red Hat, Inc. Continued verification and monitoring of application code in containerized execution environment
WO2018100432A1 (en) * 2016-12-02 2018-06-07 Secude Ag Data stream surveillance, intelligence and reporting
US20240152612A9 (en) * 2016-12-21 2024-05-09 F5, Inc. System and method for cloud-based operating system event and data access monitoring
CN111742522B (zh) * 2017-12-21 2023-11-24 瑞典爱立信有限公司 用于处理在云环境中部署的网络服务的事件的代理、服务器、核心网络节点及其中的方法
WO2019174048A1 (zh) * 2018-03-16 2019-09-19 华为技术有限公司 容器逃逸检测方法、装置、系统及存储介质
US10749771B2 (en) * 2018-05-18 2020-08-18 Microsoft Technology Licensing, Llc Extensible, secure and efficient monitoring and diagnostic pipeline for hybrid cloud architecture
US11163737B2 (en) * 2018-11-21 2021-11-02 Google Llc Storage and structured search of historical security data
US11023582B2 (en) * 2018-12-19 2021-06-01 EMC IP Holding Company LLC Identification and control of malicious users on a data storage system
US10951496B2 (en) 2018-12-24 2021-03-16 Threat Stack, Inc. System and method for cloud-based control-plane event monitor
US11113270B2 (en) 2019-01-24 2021-09-07 EMC IP Holding Company LLC Storing a non-ordered associative array of pairs using an append-only storage medium
US11368479B2 (en) 2019-09-27 2022-06-21 Musarubra Us Llc Methods and apparatus to identify and report cloud-based security vulnerabilities
KR102122176B1 (ko) * 2020-02-16 2020-06-12 주식회사 케이비시스 향상된 확장성 및 자율성을 갖는 컨테이너 기반 클라우드 시스템 및 클라우드 서비스 제공 방법
US11599546B2 (en) 2020-05-01 2023-03-07 EMC IP Holding Company LLC Stream browser for data streams
US11604759B2 (en) 2020-05-01 2023-03-14 EMC IP Holding Company LLC Retention management for data streams
US11340834B2 (en) 2020-05-22 2022-05-24 EMC IP Holding Company LLC Scaling of an ordered event stream
US11360992B2 (en) 2020-06-29 2022-06-14 EMC IP Holding Company LLC Watermarking of events of an ordered event stream
US20220027250A1 (en) * 2020-07-27 2022-01-27 EMC IP Holding Company LLC Deduplication analysis
US11340792B2 (en) 2020-07-30 2022-05-24 EMC IP Holding Company LLC Ordered event stream merging
US11599420B2 (en) 2020-07-30 2023-03-07 EMC IP Holding Company LLC Ordered event stream event retention
US11513871B2 (en) 2020-09-30 2022-11-29 EMC IP Holding Company LLC Employing triggered retention in an ordered event stream storage system
US11354444B2 (en) * 2020-09-30 2022-06-07 EMC IP Holding Company LLC Access control for an ordered event stream storage system
US11755555B2 (en) 2020-10-06 2023-09-12 EMC IP Holding Company LLC Storing an ordered associative array of pairs using an append-only storage medium
US11323497B2 (en) 2020-10-07 2022-05-03 EMC IP Holding Company LLC Expiration of data streams for application programs in a streaming data storage platform
US11599293B2 (en) 2020-10-14 2023-03-07 EMC IP Holding Company LLC Consistent data stream replication and reconstruction in a streaming data storage platform
US11354054B2 (en) 2020-10-28 2022-06-07 EMC IP Holding Company LLC Compaction via an event reference in an ordered event stream storage system
US11347568B1 (en) 2020-12-18 2022-05-31 EMC IP Holding Company LLC Conditional appends in an ordered event stream storage system
US11816065B2 (en) 2021-01-11 2023-11-14 EMC IP Holding Company LLC Event level retention management for data streams
US11526297B2 (en) 2021-01-19 2022-12-13 EMC IP Holding Company LLC Framed event access in an ordered event stream storage system
US11714614B2 (en) * 2021-02-17 2023-08-01 Microsoft Technology Licensing, Llc Code generation tool for cloud-native high-performance computing
CN113064869B (zh) * 2021-03-23 2023-06-13 网易(杭州)网络有限公司 日志处理方法、装置、发送端、接收端设备及存储介质
US11740828B2 (en) 2021-04-06 2023-08-29 EMC IP Holding Company LLC Data expiration for stream storages
US11954537B2 (en) * 2021-04-22 2024-04-09 EMC IP Holding Company LLC Information-unit based scaling of an ordered event stream
US11513714B2 (en) 2021-04-22 2022-11-29 EMC IP Holding Company LLC Migration of legacy data into an ordered event stream
US11681460B2 (en) 2021-06-03 2023-06-20 EMC IP Holding Company LLC Scaling of an ordered event stream based on a writer group characteristic
US11735282B2 (en) 2021-07-22 2023-08-22 EMC IP Holding Company LLC Test data verification for an ordered event stream storage system
US11971850B2 (en) 2021-10-15 2024-04-30 EMC IP Holding Company LLC Demoted data retention via a tiered ordered event stream data storage system
US11695696B2 (en) 2021-11-23 2023-07-04 Capital One Services, Llc Prepopulation of caches
US11916787B2 (en) 2021-11-23 2024-02-27 Capital One Services, Llc Stream listening cache updater
US11765252B2 (en) 2021-11-23 2023-09-19 Capital One Services, Llc Prepopulation of call center cache
CN114661563B (zh) * 2022-05-24 2022-10-04 恒生电子股份有限公司 基于流处理框架的数据处理方法以及系统
CN117118824B (zh) * 2023-10-20 2024-02-27 成都卓拙科技有限公司 一种日志数据收集方法及设备

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040105582A (ko) * 2003-06-06 2004-12-16 마이크로소프트 코포레이션 자동 태스크 생성 방법 및 시스템
US20120297061A1 (en) * 2011-05-17 2012-11-22 Applied Broadband, Inc. Method and system for collecting and managing network data
KR20130140508A (ko) * 2012-06-14 2013-12-24 (주)아이비즈소프트웨어 로그 정보 수집 장치
KR20140059227A (ko) * 2011-09-09 2014-05-15 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. 이벤트들의 시퀀스에서의 시간적 위치에 따른 기준 베이스라인에 기초하여 이벤트들의 평가를 위한 시스템 및 방법
US20140330926A1 (en) * 2013-05-06 2014-11-06 Microsoft Corporation Scalable data enrichment for cloud streaming analytics
US20150295778A1 (en) * 2014-04-15 2015-10-15 Splunk Inc. Inline visualizations of metrics related to captured network data
WO2016018382A1 (en) * 2014-07-31 2016-02-04 Hewlett-Packard Development Company, L.P. Creating a security report for a customer network
US20160041894A1 (en) * 2014-08-11 2016-02-11 Microsoft Corporation Structured logging and instrumentation framework
US20180089188A1 (en) * 2016-09-26 2018-03-29 Splunk Inc. Hash bucketing of data

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089428B2 (en) * 2000-04-28 2006-08-08 Internet Security Systems, Inc. Method and system for managing computer security information
US8209759B2 (en) 2005-07-18 2012-06-26 Q1 Labs, Inc. Security incident manager
US8079037B2 (en) 2005-10-11 2011-12-13 Knoa Software, Inc. Generic, multi-instance method and GUI detection system for tracking and monitoring computer applications
US8731994B2 (en) 2006-10-06 2014-05-20 Accenture Global Services Limited Technology event detection, analysis, and reporting system
US8271974B2 (en) * 2008-10-08 2012-09-18 Kaavo Inc. Cloud computing lifecycle management for N-tier applications
US9123006B2 (en) * 2009-08-11 2015-09-01 Novell, Inc. Techniques for parallel business intelligence evaluation and management
KR20110036420A (ko) * 2009-10-01 2011-04-07 윤성진 클라우드 컴퓨팅 환경을 위한 가상 방화 장치 및 방법
US9047144B2 (en) * 2009-11-04 2015-06-02 International Business Machines Corporation System and method for providing Quality-of-Services in a multi-event processing environment
US20120137367A1 (en) 2009-11-06 2012-05-31 Cataphora, Inc. Continuous anomaly detection based on behavior modeling and heterogeneous information analysis
GB2483648A (en) * 2010-09-14 2012-03-21 Mastek Uk Ltd Obfuscation of data elements in a message associated with a detected event of a defined type
US9336061B2 (en) * 2012-01-14 2016-05-10 International Business Machines Corporation Integrated metering of service usage for hybrid clouds
CN103124293A (zh) * 2012-12-31 2013-05-29 中国人民解放军理工大学 一种基于多Agent的云数据安全审计方法
KR101454838B1 (ko) 2013-04-25 2014-10-28 한국인터넷진흥원 하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템
US9215240B2 (en) * 2013-07-25 2015-12-15 Splunk Inc. Investigative and dynamic detection of potential security-threat indicators from events in big data
US10616258B2 (en) * 2013-10-12 2020-04-07 Fortinet, Inc. Security information and event management
US9692789B2 (en) * 2013-12-13 2017-06-27 Oracle International Corporation Techniques for cloud security monitoring and threat intelligence
CN103746991B (zh) * 2014-01-02 2017-03-15 曙光云计算技术有限公司 云计算网络中的安全事件分析方法及系统
US9832217B2 (en) * 2014-03-13 2017-11-28 International Business Machines Corporation Computer implemented techniques for detecting, investigating and remediating security violations to IT infrastructure
US10057546B2 (en) * 2014-04-10 2018-08-21 Sensormatic Electronics, LLC Systems and methods for automated cloud-based analytics for security and/or surveillance
US10366101B2 (en) * 2014-04-15 2019-07-30 Splunk Inc. Bidirectional linking of ephemeral event streams to creators of the ephemeral event streams
US9509708B2 (en) * 2014-12-02 2016-11-29 Wontok Inc. Security information and event management
US10334085B2 (en) * 2015-01-29 2019-06-25 Splunk Inc. Facilitating custom content extraction from network packets
WO2016138067A1 (en) 2015-02-24 2016-09-01 Cloudlock, Inc. System and method for securing an enterprise computing environment
US10650424B2 (en) * 2015-03-17 2020-05-12 International Business Machines Corporation Dynamic cloud solution catalog
US9722948B2 (en) * 2015-06-26 2017-08-01 Nicira, Inc. Providing quality of service for containers in a virtualized computing environment
US10348517B2 (en) * 2015-10-09 2019-07-09 Openet Telecom Ltd. System and method for enabling service lifecycle based policy, licensing, and charging in a network function virtualization ecosystem
US10210325B2 (en) * 2015-11-23 2019-02-19 Armor Defense Inc. Extracting and detecting malicious instructions on a virtual machine
US20170187785A1 (en) * 2015-12-23 2017-06-29 Hewlett Packard Enterprise Development Lp Microservice with decoupled user interface

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040105582A (ko) * 2003-06-06 2004-12-16 마이크로소프트 코포레이션 자동 태스크 생성 방법 및 시스템
US20120297061A1 (en) * 2011-05-17 2012-11-22 Applied Broadband, Inc. Method and system for collecting and managing network data
KR20140059227A (ko) * 2011-09-09 2014-05-15 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. 이벤트들의 시퀀스에서의 시간적 위치에 따른 기준 베이스라인에 기초하여 이벤트들의 평가를 위한 시스템 및 방법
KR20130140508A (ko) * 2012-06-14 2013-12-24 (주)아이비즈소프트웨어 로그 정보 수집 장치
US20140330926A1 (en) * 2013-05-06 2014-11-06 Microsoft Corporation Scalable data enrichment for cloud streaming analytics
US20150295778A1 (en) * 2014-04-15 2015-10-15 Splunk Inc. Inline visualizations of metrics related to captured network data
WO2016018382A1 (en) * 2014-07-31 2016-02-04 Hewlett-Packard Development Company, L.P. Creating a security report for a customer network
US20160041894A1 (en) * 2014-08-11 2016-02-11 Microsoft Corporation Structured logging and instrumentation framework
US20180089188A1 (en) * 2016-09-26 2018-03-29 Splunk Inc. Hash bucketing of data

Also Published As

Publication number Publication date
CN110249314B (zh) 2024-04-30
EP3559812B1 (en) 2024-03-27
EP4283929A3 (en) 2024-01-24
US20200404011A1 (en) 2020-12-24
KR102495750B1 (ko) 2023-02-06
US10791134B2 (en) 2020-09-29
EP4283929A2 (en) 2023-11-29
EP3559812A1 (en) 2019-10-30
KR20190090037A (ko) 2019-07-31
US20180176244A1 (en) 2018-06-21
US11283822B2 (en) 2022-03-22
KR102264288B1 (ko) 2021-06-15
CN110249314A (zh) 2019-09-17
WO2018119068A1 (en) 2018-06-28
EP3559812A4 (en) 2020-05-20

Similar Documents

Publication Publication Date Title
KR102264288B1 (ko) 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법
EP3262815B1 (en) System and method for securing an enterprise computing environment
US10956566B2 (en) Multi-point causality tracking in cyber incident reasoning
US10762206B2 (en) Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security
CN108780485B (zh) 基于模式匹配的数据集提取
Khan et al. Cloud log forensics: Foundations, state of the art, and future directions
US9027125B2 (en) Systems and methods for network flow remediation based on risk correlation
US9015845B2 (en) Transit control for data
Tien et al. KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches
US9401922B1 (en) Systems and methods for analysis of abnormal conditions in computing machines
US20200120118A1 (en) Endpoint inter-process activity extraction and pattern matching
CN109997143A (zh) 敏感数据的安全共享
US10938849B2 (en) Auditing databases for security vulnerabilities
US20240152612A9 (en) System and method for cloud-based operating system event and data access monitoring
CN118133318A (zh) 用于基于云的操作系统事件和数据访问监视的系统和方法
Oo Forensic Investigation on Hadoop Big Data Platform
Cox et al. Redflag: Reducing inadvertent leaks by personal machines
Ii TECHNICAL EVALUATION AND LEGAL OPINION OF WARDEN: A NETWORK FORENSICS TOOL

Legal Events

Date Code Title Description
A107 Divisional application of patent
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant