KR20230162836A - 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법 및 장치 - Google Patents

컨테이너 가상화 환경에서의 보안 이벤트 처리 방법 및 장치 Download PDF

Info

Publication number
KR20230162836A
KR20230162836A KR1020220061382A KR20220061382A KR20230162836A KR 20230162836 A KR20230162836 A KR 20230162836A KR 1020220061382 A KR1020220061382 A KR 1020220061382A KR 20220061382 A KR20220061382 A KR 20220061382A KR 20230162836 A KR20230162836 A KR 20230162836A
Authority
KR
South Korea
Prior art keywords
container
processor
security event
security
monitored
Prior art date
Application number
KR1020220061382A
Other languages
English (en)
Inventor
김성진
장인혁
황우민
배병철
김병준
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020220061382A priority Critical patent/KR20230162836A/ko
Priority to US17/953,498 priority patent/US20230376591A1/en
Publication of KR20230162836A publication Critical patent/KR20230162836A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명의 일실시예에 따른 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법은 커널 공간에서 지정된 보안 이벤트를 수집하는 단계와, 상기 수집된 보안 이벤트를 실시간으로 보안 이벤트 저장모듈에 저장하는 단계와, 상기 이벤트 저장모듈에 저장된 보안 이벤트들 중 보안 이벤트 관리 모듈의 쿼리 요청에 대응하는 상기 보안 이벤트를 보안 관리자에게 제공하는 단계를 포함할 수 있다.

Description

컨테이너 가상화 환경에서의 보안 이벤트 처리 방법 및 장치{METHOD AND APPARATUS FOR MONITORING SECURITY EVENTS IN CONTAINER VIRUALIZATION ENVIRONMENTS}
본 발명은 보안 이벤트를 모니터링 및 제어하기 위한 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법 및 장치이다.
일반적으로, 컨테이너는 마이크로서비스, PaaS(Plastform as a Service) 및 SaaS(Software as a Service)를 구성하는 기반 인프라로 널리 활용되고 있다. 컨테이너 가상화는 기존 하이퍼바이저 기반의 가상화와 달리 호스트 커널을 공유하는 특성이 있으며, 해당 특성으로 인한 컨테이너 탈출이 심각한 보안 위협으로 인식되고 있다.
컨테이너 탈출은 할당받은 자원 및 권한의 경계를 벗어난 모든 행위 또는 상태를 의미하지만, 컨테이너 호스트의 시스템 관점에서 권한 상승(Privilege Escalation)이 가능한 운영체제 커널 취약점의 서브셋으로 볼 수 있다.
공격자는 특정 컨테이너 호스트를 대상으로 유저 권한의 컨테이너를 할당받고, 공유 커널의 취약점을 악용하여 호스트의 루트 권한을 획득하고, 백도어를 설치하여 원격 경유지에 정보를 전달하는 등의 일련의 공격 행위를 수행하게 된다.
종래에는 컨테이너 가상화 환경에서 보안 위협에 대응하기 위해 이상행위 대응 기능을 포함하는 IPS 또는 EDR(Endopoint Detection and Response) 솔루션과 같은 보안 솔루션이 활용되고 있으나, 종래 솔루션은 컨테이너를 별도의 관리 대상으로 인지하지 않으며, 컨테이너 탈출과 같은 컨테이너 고유의 악성 행위 대응에 특화되어 있지 않은 문제가 있다.
본 발명의 목적은 컨테이너 가상화 환경에서 공격자의 공격 행위에 대한 보안 이벤트를 처리하기 위한 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법 및 장치를 제공하는 것이다.
또한, 본 발명의 목적은 컨테이너와 관련된 보안 이벤트를 관리하고 열람이 가능한 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법 및 장치를 제공하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법은 커널 공간에서 지정된 보안 이벤트를 수집하는 단계와, 상기 수집된 보안 이벤트를 실시간으로 보안 이벤트 저장모듈에 저장하는 단계와, 상기 이벤트 저장모듈에 저장된 보안 이벤트들 중 보안 이벤트 관리 모듈의 쿼리 요청에 대응하는 상기 보안 이벤트를 보안 관리자에게 제공하는 단계를 포함할 수 있다.
상기 보안 이벤트는 컨테이너화된 프로세서의 실행 이벤트, 네트워크 접속 이벤트 및 권한 상승 이벤트 중 적어도 하나를 포함할 수 있다.
상기 커널 공간의 관측 대상 지점에서의 커널 루틴의 인자값 및 커널 데이터를 더 수집하는 단계와, 상기 보안 이벤트 발생 여부, 상기 인자값 및 상기 커널 데이터를 기초로 기 정의된 규칙에 따라 상기 보안 이벤트를 허용 또는 차단시켜 상기 보안 이벤트를 제어하는 단계를 더 포함할 수 있다.
eBPF 프로그램이 제공하는 LMS Hook, Kprobe 및 Tracepoint 중 적어도 하나를 기초로 상기 보안 이벤트를 수집할 수 있다.
상기 보안 이벤트를 수집하는 단계는, eBPF 프로그램이 제공하는 Kprobe를 수행하도록 설정하는 단계와, 상기 모니터링 대상 컨테이너 프로세서를 실행하는 단계와, 상기 모니터링 대상 컨테이너 프로세서의 상태 값을 저장하는 단계와, 상기 모니터링 대상 컨테이너 프로세서의 상태 값을 미리 저장된 기준 값과 비교하여 권한 상승 이벤트를 탐지하는 단계를 포함할 수 있다.
상기 모니터링 대상 컨테이너 프로세서의 상태 값이 미리 저장된 기준 값 보다 작으면, 권한 상승을 시도한 것으로 탐지하고, Kill 신호를 상기 모니터링 대상 컨테이너 프로세서에게 전달할 수 있다.
상기 보안 이벤트를 수집하는 단계는, eBPF 프로그램이 제공하는 LMS Hook을 수행하도록 설정하는 단계와, 상기 모니터링 대상 컨테이너 프로세서를 실행하는 단계와, linux_binprm 구조체에서 실행파일 정보를 추출하고, 상기 실행파일 정보 중실행파일의 해시값을 추출하는 단계와, 상기 해시값이 블랙리스트에 등록된 해시값 중 하나와 비교하여 상기 모니터링 대상 컨테이너 프로세서의 악성 파일 여부를 판단하는 단계를 포함할 수 있다.
상기 모니터링 대상 컨테이너 프로세서의 악성 파일로 판단되면, 0 이외의 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달하여 상기 모니터링 대상 컨테이너 프로세서의 실행을 중단시킬 수 있다.
상기 모니터링 대상 컨테이너 프로세서의 악성 파일로 판단되지 않으면, 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달할 수 있다.
상기 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달한 이후, LSM Hook을 종료할 수 있다.
또한, 실시예에 따른 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치는 보안 이벤트를 처리하기 위한 제어 프로그램이 저장된 메모리와, 상기 메모리에 저장된 제어 프로그램을 실행하는 프로세서를 포함하고, 상기 프로세서는, 커널 공간에서 지정된 보안 이벤트를 수집하고, 상기 수집된 보안 이벤트를 실시간으로 저장하고, 상기 저장된 보안 이벤트들 중 쿼리 요청에 대응하는 상기 보안 이벤트를 제공할 수 있다.
상기 보안 이벤트는 컨테이너화된 프로세서의 실행 이벤트, 네트워크 접속 이벤트 및 권한 상승 이벤트 중 적어도 하나를 포함할 수 있다.
상기 프로세서는, 상기 커널 공간의 관측 대상 지점에서의 커널 루틴의 인자값 및 커널 데이터를 더 수집하고, 상기 보안 이벤트 발생 여부, 상기 인자값 및 상기 커널 데이터를 기초로 기 정의된 규칙에 따라 상기 보안 이벤트를 허용 또는 차단시키도록 제어할 수 있다.
eBPF 프로그램이 제공하는 LMS Hook, Kprobe 및 Tracepoint 중 적어도 하나를 기초로 상기 보안 이벤트를 수집할 수 있다.
상기 프로세서는, eBPF 프로그램이 제공하는 Kprobe를 수행하도록 설정하고, 상기 모니터링 대상 컨테이너 프로세서를 실행하고, 상기 모니터링 대상 컨테이너 프로세서의 상태 값을 저장하고, 상기 모니터링 대상 컨테이너 프로세서의 상태 값을 미리 저장된 기준 값과 비교하여 권한 상승 이벤트를 탐지할 수 있다.
상기 프로세서는, 상기 모니터링 대상 컨테이너 프로세서의 상태 값이 미리 저장된 기준 값 보다 작으면, 권한 상승을 시도한 것으로 탐지하고, Kill 신호를 상기 모니터링 대상 컨테이너 프로세서에게 전달하도록 제어할 수 있다.
상기 프로세서는, eBPF 프로그램이 제공하는 LMS Hook을 수행하도록 설정하고, 상기 모니터링 대상 컨테이너 프로세서를 실행하고, linux_binprm 구조체에서 실행파일 정보를 추출하고, 상기 실행파일 정보 중실행파일의 해시값을 추출하고, 상기 해시값이 블랙리스트에 등록된 해시값 중 하나와 비교하여 상기 모니터링 대상 컨테이너 프로세서의 악성 파일 여부를 판단하도록 제어할 수 있다.
상기 프로세서는, 상기 모니터링 대상 컨테이너 프로세서의 악성 파일로 판단되면, 0 이외의 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달하여 상기 모니터링 대상 컨테이너 프로세서의 실행을 중단시키도록 제어할 수 있다.
상기 프로세서는, 상기 모니터링 대상 컨테이너 프로세서의 악성 파일로 판단되지 않으면, 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달하도록 제어할 수 있다.
상기 프로세서는, 상기 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달한 이후, LSM Hook을 종료하도록 제어할 수 있다.
본 발명에 따르면, 컨테이너 기반의 어플리케이션 가상화 환경에서 컨테이너 탈출과 같은 컨테이너의 악성 행위를 효과적으로 탐지하고 제어할 수 있다.
또한, 본 발명은 컨테이너의 런타임에서 발생할 수 있는 보안 위혐을 탐지하여 컨테이너 운영 환경의 보안성을 향상시킬 수 있다.
도 1은 본 발명의 일실시예에 따른 컨테이너 기반 어플리케이션 가상화 시스템 나타낸 블록도이다.
도 2는 본 발명의 일실시예에 따른 보안 이벤트 처리 장치의 구성을 나타낸 도면이다.
도 3은 STIX의 위협 정보 예시를 나타낸 도면이다.
도 4는 본 발명의 일실시예에 따른 보안 이벤트 처리 방법을 나타낸 순서도이다.
도 5는 실시예에 따른 보안 이벤트를 탐지 및 제어하는 동작을 나타낸 도면이다.
도 6은 보안 이벤트 탐지 및 제어를 위한 Hook point 및 Probe/Trace point의 예시를 나타낸 도면이다.
도 7은 실시예의 따른 Kprobe 기반의 이벤트 탐지 및 제어하는 동작을 나타낸 도면이다.
도 8은 실시예의 따른 Kprobe 기반의 권한 상승 이벤트 탐지 시나리오를 나타낸 순서도이다.
도 9는 실시예의 따른 LSM Hook 기반의 이벤트 탐지 및 제어하는 동작을 나타낸 도면이다.
도 10은 실시예의 따른 LSM Hook 기반의 악성파일 실행 탐지 시나리오를 나타낸 순서도이다.
도 11은 실시예에 따른 컴퓨터 시스템의 구성을 나타낸 블록도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
비록 "제1" 또는 "제2" 등이 다양한 구성요소를 서술하기 위해서 사용되나, 이러한 구성요소는 상기와 같은 용어에 의해 제한되지 않는다. 상기와 같은 용어는 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용될 수 있다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있다.
본 명세서에서 사용된 용어는 실시예를 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 또는 "포함하는(comprising)"은 언급된 구성요소 또는 단계가 하나 이상의 다른 구성요소 또는 단계의 존재 또는 추가를 배제하지 않는다는 의미를 내포한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 해석될 수 있다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 상세히 설명하기로 하며, 도면을 참조하여 설명할 때 동일하거나 대응하는 구성 요소는 동일한 도면 부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도 1은 본 발명의 일실시예에 따른 컨테이너 기반 어플리케이션 가상화 시스템 나타낸 블록도이다.
도 1을 참조하면, 컨테이너 기반 어플리케이션 가상화 시스템은 가상 컨테이너(100)와 컨테이너 제어부(200)와 운영체재부(300)를 포함할 수 있다.
가상 컨테이너(100)는 복수개의 컨테이너를 포함할 수 있으며, 각 컨테이너(100)에는 어플리케이션(110)과 레지스트리(120)가 포함될 수 있다.
운영체재부(130)는 가상 클라우드 서버에 설치된 호스트 운영체제를 포함하고 가상 클라우드 서버에 설치된 호스트 운영 체제를 하나 이상 구축된 가상 컨테이너(100)에 각각 제공될 수 있다. 즉, 가상 클라우드 서버에 설치된 호스트 운영체제와 가상 컨테이너(100)에 제공되는 운영체제가 동일하거나 가상 컨테이너(100)에 제공되는 운영체제가 가상 클라우드서버에 설치되어 별도로 제공될 수 있다.
컨테이너 제어부(200)는 컨테이너 런타임(예를 들어, 도커 런타임) 오케스트레이터(예를 들어, 쿠버네티스)등을 포함할 수 있다.
컨테이너 제어부(200)는 리눅스 시스템의 네임스페이스 서브시스템을 이용하여 컨테이너화된 어플리케이션을 실행할 때 해당 어플리케이션의 프로세서, 네트워크, IPC 및 마운트 공간 등을 호스트와 분리하여 할당할 수 있다.
또한, 컨테이너 제어부(200)는 Cgroups(Control Groups) 서브 시스템을 이용하여 개별 컨테이너(100)가 사용할 수 있는 시스템 자원을 제한할 수 있다. 이와 함께 해당 운영 환경은 eBPF 프로그램의 실행을 위한 Clang, LLVIM 룰 체인 또는 기타 컴파일 도구를 포함할 수 있다.
컨테이너 제어부(200)는 가상 클라우드 서버에 구현된 하나 이상의 가상 컨테이너(100)를 제어 관리할 수 있도록 구성되고, 보안 이벤트를 탐지 및 제어할 수 있다. 컨테이너 제어부(200)는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치의 구조로 이루어질 수 있다. 이하에서는 컨테이너 제어부를 보안 이벤트 처리 장치로 지칭하기로 한다.
도 2는 본 발명의 일실시예에 따른 보안 이벤트 처리 장치의 구성을 나타낸 도면이다.
도 2에 도시된 바와 같이, 실시예에 따른 보안 이벤트 처리 장치(200)는 보안 이벤트 처리모듈(210)과, 보안 이벤트 저장모듈(230)과, 보안 이벤트 관리모듈(250)을 포함할 수 있다.
컨테이너 운영 호스트는 컨테이너 운용을 위한 컨테이너 런타임과 오케스트레이터 등을 포함할 수 있다. 컨테이너 운영 호스트는 보안 이벤트 저장소에 비해 더 많은 물리적인 시스템(예를들어, 베어메탈 서버) 또는 논리적 시스템(예를 들어, 가상 머신)으로 구성될 수 있다. 컨테이너 보안 이벤트의 탐지와 제어는 해당 호스트의 공유 커널 수준에서 이루어질 수 있다.
보안 이벤트 처리모듈(210)은 대상 호스트의 커널에서 지정된 보안 이벤트를 수집하고 제어할 수 있다.
보안 이벤트 처리모듈(210)은 보안 이벤트 발생 여부를 확인하고, 커널의 관측 대상 지점에서 해당 커널 루틴의 인자값 또는 커널 데이터를 수집할 수 있다. 보안 이벤트 처리모듈(210)은 보안 이벤트 발생 여부, 인자값 및 커널 데이터를 미리 정의된 규칙에 따라 해당 보안 이벤트를 허용하거나 차단할 수 있다. 여기서, 보안 이벤트는 컨테이너화된 프로세서의 실행 이벤트, 네트워크 접속 이벤트 및 권한 상승 이벤트 등을 포함할 수 있다.
보안 이벤트 처리모듈(210)은 허용된 보안 이벤트를 실시간으로 보안 이벤트 저장모듈(230)에 전달할 수 있다. 이때, 보안 이벤트는 Logstash, kafka 및 Opentelemetry와 같은 데이터 처리 파이프 라인 서비스를 활용하여 보안 이벤트 저장모듈(230)에 전달될 수 있다.
보안 이벤트 저장모듈(230)은 보안 이벤트를 저장 및 인덱싱할 수 있다. 보안 이벤트 저장모듈(230)은 보안 이벤트 관리모듈(250)의 쿼리 요청에 따라 쿼리 요청에 대응하는 보안 이벤트를 보안 이벤트 관리모듈(250)에 제공할 수 있다. 여기서, 보안 이벤트 저장모듈(230)은 분산 시스템 환경에서 실시간 데이터 수집 및 인덱싱을 수행하는 Elasticsearch 서비스를 활용할 수 있다.
보안 이벤트 관리모듈(250)은 보안 이벤트 저장모듈(230)에 저장된 보안 이벤트를 열람하여 보안 관리자에게 제공할 수 있다. 보안 이벤트 관리모듈(250)은 외부의 CTI(Cyber Threat Intelligence) 정보에서 탐지하고자 하는 위협 정보를 추출할 수 있다.
보안 이벤트 관리모듈(250)은 위협 정보를 얻기 위한 쿼리를 생성하여 보안 이벤트 저장모듈(230)에 전달하고 쿼리 결과를 수신할 수 있다. 보안 이벤트 관리모듈(230)은 데이터 파이프라인 서비스 및 저장소 서비스와 연동하여 모니터링 대시보디를 제공하는 Kibana와 같은 서비스를 활용할 수 있다.
보안 관리자는 외부 CTI(Cyber Threat Intelligence) 정보에서 악성 IP/ 경유지IP 정보 및 악성코드의 해시 값 등을 추출하고, 보안 이벤트 저장모듈(230)에서 해당 값과 일치하는 기록을 보안 이벤트 관리모듈(250)에게 요청할 수 있다. 보안 관리자는 보안 이벤트 관리모듈(250)로부터 요청한 보안 이벤트를 제공받을 수 있다.
도 3은 STIX의 위협 정보 예시를 나타낸 도면이다.
도 3에 도시된 바와 같이, STIX는 공격패턴, 관련된 악성 캠페인 정보, 악성코드 정보, 관측된 데이터 및 위협 행위자 정보를 포함하는 다양한 오브젝트 포맷을 제공할 수 있다.
보안 담당자는 해당 형식을 활용하여 위협 지표(Indicator of Threats)를 작성하고 공유할 수 있다.
실시예에의 보안 이벤트 관리모듈(250)은 STIX 2.0 포멧의 관측 데이터(Observed Data) 및 인디케이터(Indicator) 객체 등에서 악성 파일의 해시 값 또는 약성 경유지의 IP 정보를 추출할 수 있다. 이후, 보안 이벤트 저장모듈(230)에게 전달할 쿼리를 생성하거나 가공된 CTI 정보를 보안 이벤트 처리모듈(210)에게 전달할 수 있다.
도 4는 본 발명의 일실시예에 따른 보안 이벤트 처리 방법을 나타낸 순서도이다. 여기서, 보안 이벤트 처리 방법은 보안 이벤트 처리 장치에서 수행될 수 있다.
도 4를 참조하면, 보안 이벤트 처리모듈(210)은 커널 공간에서 지정된 보안 이벤트를 수집할 수 있다(S100). 보안 이벤트 처리모듈(210)은 커널 공간의 관측 대상 지점에서의 보안 이벤트 발생 여부, 커널 루틴의 인자값, 커널 데이터를 기초로 기 정의된 규칙에 따라 보안 이벤트를 허용 또는 차단시킬 수 있다.
보안 이벤트 저장모듈(230)은 보안 이벤트를 실시간으로 저장할 수 있다(S200). 보안 이벤트 저장모듈(230)은 보안 이벤트를 저장 및 인덱싱할 수 있다.
보안 이벤트 관리모듈(250)은 보안 관리자가 요청한 요구에 대응하여 쿼리를 생성하고, 생성된 쿼리를 보안 이벤트 저장모듈(230)로 전달할 수 있다. 보안 이벤트 관리모듈(250)은 보안 이벤트 저장모듈(230)로부터 쿼리에 대응하는 보안 이벤트를 제공받아 보안 관리자에게 제공할 수 있다(S300).
도 5는 실시예에 따른 보안 이벤트를 탐지 및 제어하는 동작을 나타낸 도면이다.
도 5에 도시된 바와 같이, 보안 이벤트 처리모듈은 이벤트 탐지 및 제어모듈(212)과 이벤트 수집 모듈(214)을 포함할 수 있다. 이벤트 탐지 및 제어모듈(212)은 eBPF가 제공하는 Hook point, Probe/Trace point를 활용하여 특정 커널 함수의 실행을 모니터하거나 LSM hook을 통해 특정 커널 루틴의 실행을 제어할 수 있다. 여기서, Hook point로는 LSM point, Probe로는 Kprobe, Trace point로는 Tracepoint가 일 예로 사용될 수 있다.
이벤트 탐지 및 제어모듈(212)은 맵 저장소(Map Storage, 216)와 태스크 로컬 스토리지(Task Local Storage, 218)를 활용하여 특정 시점의 모니터링 대상 프로세서(P)의 상태 값을 저장하고, 해당 값의 변경을 확인할 수 있다.
이벤트 탐지 및 제어모듈(212)은 탐지된 보안 이벤트 결과를 유저 영역의 BPF 유저 프로그램인 이벤트 수집 모듈(214)로 전달할 수 있다. 이벤트 탐지 및 제어모듈(212)은 데이터를 전달하기 위해 eBPF 매터니즘이 제공하는 perf 버퍼 또는 링 버퍼 등을 이용할 수 있다.
도 6은 보안 이벤트 탐지 및 제어를 위한 Hook point 및 Probe/Trace point의 예시를 나타낸 도면이다.
도 6에 도시된 바와 같이, 프로세스의 권한을 조정하기 위해 uid/gid 값을 변경하는 시스템 콜인 setuid() 및 setgid()를 호출할 때, security_task_fix_setuid()와 security_task_fix_setgid() security hook이 해당 커널 루틴 상에 존재한다. eBPF 프로그램은 해당 LSM Hook을 연결(Attach)하여 대상 프로세서의 권한 변경 이벤트를 모니터링하고 지정된 정책에 따라 해당 이벤트를 허용 또는 차단할 수 있다.
또한, eBPF 프로그램은 Kprobe의 probe 대상으로 setns() 시스템 콜을 지정하여 이미 존재하는 네임 스페이스에 대상 프로세서(P)를 연결하는 것을 감시할 수 있다.
Setns() 시스템 콜은 proc 파일시스템의 "/proc/[pid]/ns/" 링크를 참조하며, 6개의 네임스페이스 타입(예를들어, CLONE_NEWNS, CLONE_NEWUTS, CLONE_NEWIPC, CLONE_NEWPID, CLONE_NEWUSER 및 CLONE_NEWNET)를 지정할 수 있다. 만일, 모니터링 대상 프로세서(P)가 setns() 시스템 콜을 이용하여 컨테이너 운용 호스트의 네임 스페이스에 연결할 때, 해당 이벤트를 컨테이너 탈출을 위한 악의적인 행위로 간주할 수 있다.
도 7은 실시예의 따른 Kprobe 기반의 이벤트 탐지 및 제어하는 동작을 나타낸 도면이다.
도 7에 도시된 바와 같이, 이벤트 탐지 및 제어 모듈(212)은 모니터링 대상 커널 함수를 지정하여 해당 함수의 호출을 추적할 수 있다. 함수의 호출이 지정된 정책을 위배하는 경우 모니터링 대상 프로세스(P)에게 SIGKILL을 전송하여 컨테이너 프로세서를 종료시키고 악위적인 행위의 진행을 차단할 수 있다. 이러한 동작은 커널 루틴 컨트롤 플로우를 변경하지 않으며 비동기적으로 수행될 수 있다.
도 8은 실시예의 따른 Kprobe 기반의 권한 상승 이벤트 탐지 시나리오를 나타낸 순서도이다.
이벤트 탐지 및 제어 모듈(eBPF 프로그램, 212)이 commit_creds() 함수의 호출을 추적할 수 있도록 설정할 수 있다(S101).
이어서, 모니터링 대상 컨테이너 프로세서를 실행할 수 있다(S102). 모니터링 대상 컨테이너 프로세서가 실행할 때 task_struct의 현재 uid, gid 값을 맵 저장소 및 태스크 로컬 저장소에 저장할 수 있다(S103). commit_creds() 커널 함수는 프로세서의 실행 시점에 여러 번 실행될 수 있다.
프로세서의 런 타임 시점에 commit_creds() 함수가 호출될 때, eBPF 프로그램은 변경 대상 task_struct의 값을 확인할 수 있다(S104). 변경된 task_struct의 값인 uid/gid 값이 맵 저장소 또는 태스크 로컬 저장소에 저장된 uid/gid 값과 비교할 수 있다(S105).
변경된 task_struct의 값인 uid/gid 값이 맵 저장소 또는 태스크 로컬 저장소에 저장된 uid/gid 값 보다 작은 경우, 프로세서가 악위적인 권한 상승을 시도한 것으로 판단하고 해당 프로세스에게 SIGKILL 시그널을 전달할 수 있다(S106). 여기서, 맵 저장소 또는 태스크 로컬 저장소에 저장된 uid/gid 값은 프로세서 실행 시점에 저장한 값을 의미할 수 있다.
반면, 확인한 uid/gid 값이 맵 저장소 또는 태스크 로컬 저장소에 저장된 uid/gid 값 보다 작지 않은 경우, 이상 행위가 일어나지 않은 것으로 판단하고 별도의 조치를 취하지 않을 수 있다(S107).
도 9는 실시예의 따른 LSM Hook 기반의 이벤트 탐지 및 제어하는 동작을 나타낸 도면이다.
도 9를 참조하면, 이벤트 탐지 및 제어모듈(212)은 LSM Hook을 지정하여 특정 커널 루틴(L)을 감시하며, 지정된 정책을 위배하는 경우 모니터링 대상 프로세서(P)에게 LSM Hook에서 EACCES 및 EPERM과 같은 에러를 리턴하여 'operation not permitted'를 유발하거나 대상 프로세서(P)를 종료시켜 악성 행위의 진행을 차단할 수 있다.
이러한 동작은 동기적으로 이루어지며, 지정된 LSM Hook에서 커널 루틴(L)의 컨트롤 플로우를 넘겨받고 이벤트 탐지 및 제어모듈(212)이 포함하는 프로시저를 수행한 후, 원래의 커널 루틴(L)으로 컨트롤 플로우를 넘겨줄 수 있다. 이때, 해당 루틴은 프로시저에 의해 중단될 수 있다.
도 10은 실시예의 따른 LSM Hook 기반의 악성파일 실행 탐지 시나리오를 나타낸 순서도이다.
도 10에 도시된 바와 같이, 이벤트 탐지 및 제어모듈(eBPF 프로그램)이 bprm_check_security()에서 LSM hook을 수행하도록 설정할 수 있다(S110). 이어서 컨테이너 프로세서가 실행될 수 있다(S111).
이어서, execve(), execveat() 등의 시스템 콜 호출에 의해 프로세서가 실행될 때 코드 컨트롤 플로우가 이벤트 탐지 및 제어모듈로 변경될 수 있다(S112).
이벤트 탐지 및 제어모듈은 linux_binprm 구조체 등에서 실행 파일 정보를 식별하고, 해당 파일의 해시값을 추출할 수 있다(S113). 추출한 해시값이 블랙리스트에 등록된 해시값 중 하나와 일치하는지 여부를 판별할 수 있다(S114). 여기서, 블랙리스트는 eBPF 프로그램이 직접 접근할 수 있는 위치인 맵 저장소에 있다고 가정할 수 있다.
해당 해시값이 블랙리스트의 값 중 하나와 일치할 경우, 프로세서를 악성 파일로 판단하고 리턴값으로 EACCESS/EPERM을 전달할 수 있다(S115). 이로 인해, 프로세서의 실행이 중단될 수 있다(S116).
반면, 추출한 해시값이 블랙리스트에 없을 경우 이상 행위가 일어나지 않은 것으로 간주하고 리턴 값으로 0을 전달할 수 있다(S117). 이에 따라, 이벤트 탐지 및 제어모듈의 프로시저를 종료하고 원래의 커널 루틴으로 복귀하여 프로세서가 정상적으로 실행될 수 있다(S118).
실시예에 따른 보안 이벤트 처리 장치는 컴퓨터 판독 가능한 기록매체와 같은 컴퓨터 시스템에서 구현될 수 있다.
도 11은 실시예에 따른 컴퓨터 시스템의 구성을 나타낸 블록도이다.
도 11을 참조하면, 실시예에 따른 컴퓨터 시스템(1000)은 버스(1020)를 통하여 서로 통신하는 하나 이상의 프로세서(1010), 메모리(1030), 사용자 인터페이스 입력 장치(1040), 사용자 인터페이스 출력 장치(1050) 및 스토리지(1060)를 포함할 수 있다. 또한, 컴퓨터 시스템(1000)은 네트워크에 연결되는 네트워크 인터페이스(1070)를 더 포함할 수 있다.
프로세서(1010)는 중앙 처리 장치 또는 메모리나 스토리지에 저장된 프로그램 또는 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 프로세서(1010)는 일종의 중앙처리장치로서 보안 이벤트 처리 장치(200)의 전체 동작을 제어할 수 있다.
프로세서(1010)는 데이터를 처리할 수 있는 모든 종류의 장치를 포함할 수 있다. 여기서, '프로세서(processor)'는 예를 들어 프로그램 내에 포함된 코드 또는 명령으로 표현된 기능을 수행하기 위해 물리적으로 구조화된 회로를 갖는, 하드웨어에 내장된 데이터 처리 장치를 의미할 수 있다. 이와 같이 하드웨어에 내장된 데이터 처리 장치의 일 예로써, 마이크로프로세서(microporcessor), 중앙처리장치(central processing unit: CPU), 프로세서 코어(processor core), 멀티프로세서(multiprocessor), ASIC(application-specific integrated circuit), FPGA(field programmable gate array) 등의 처리 장치를 망라할 수 있으나, 이에 한정되는 것은 아니다.
메모리(1030)는 실시예에 따른 보안 이벤트 처리 방법을 수행하기 위한 제어 프로그램 등 전반적인 동작을 위한 다양한 데이터가 저장될 수 있다. 구체적으로, 메모리에는 보안 이벤트 처리 장치에서 구동되는 다수의 응용 프로그램, 보안 이벤트 처리 장치의 동작을 위한 데이터 및 명령어가 저장될 수 있다.
메모리(1030) 및 스토리지(1060)는 휘발성 매체, 비휘발성 매체, 분리형 매체, 비분리형 매체, 통신 매체, 또는 정보 전달 매체 중에서 적어도 하나 이상을 포함하는 저장 매체일 수 있다. 예를 들어, 메모리(1030)는 ROM(1031)이나 RAM(1032)을 포함할 수 있다.
일 실시예에 따르면, 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능한 기록 매체로서, 커널 공간에서 지정된 보안 이벤트를 수집하는 동작과, 상기 수집된 보안 이벤트를 실시간으로 보안 이벤트 저장모듈에 저장하는 동작과, 상기 이벤트 저장모듈에 저장된 보안 이벤트들 중 보안 이벤트 관리 모듈의 쿼리 요청에 대응하는 상기 보안 이벤트를 보안 관리자에게 제공하는 동작을 포함하는 방법을 프로세서가 수행하도록 하기 위한 명령어를 포함할 수 있다.
본 발명에서 설명하는 특정 실행들은 실시예들로서, 어떠한 방법으로도 본 발명의 범위를 한정하는 것은 아니다. 명세서의 간결함을 위하여, 종래 전자적인 구성들, 제어시스템들, 소프트웨어, 상기 시스템들의 다른 기능적인 측면들의 기재는 생략될 수 있다. 또한, 도면에 도시된 구성 요소들 간의 선들의 연결 또는 연결 부재들은 기능적인 연결 및/또는 물리적 또는 회로적 연결들을 예시적으로 나타낸 것으로서, 실제 장치에서는 대체 가능하거나 추가의 다양한 기능적인 연결, 물리적인 연결, 또는 회로 연결들로서 나타내어질 수 있다. 또한, "필수적인","중요하게" 등과 같은 구체적인 언급이 없다면 본 발명의 적용을 위하여 반드시 필요한 구성 요소가 아닐 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 또는 이로부터 등가적으로 변경된 모든 범위는 본 발명의 사상의 범주에 속한다고 할 것이다.
100: 컨테이너
200: 컨테이너 제어부
210: 보안 이벤트 처리모듈
230: 보안 이벤트 저장모듈
250: 보안 이벤트 관리모듈

Claims (20)

  1. 커널 공간에서 지정된 보안 이벤트를 수집하는 단계;
    상기 수집된 보안 이벤트를 실시간으로 보안 이벤트 저장모듈에 저장하는 단계; 및
    상기 이벤트 저장모듈에 저장된 보안 이벤트들 중 보안 이벤트 관리 모듈의 쿼리 요청에 대응하는 상기 보안 이벤트를 보안 관리자에게 제공하는 단계;
    를 포함하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법.
  2. 청구항 1에 있어서,
    상기 보안 이벤트는 컨테이너화된 프로세서의 실행 이벤트, 네트워크 접속 이벤트 및 권한 상승 이벤트 중 적어도 하나를 포함하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법.
  3. 제1항에 있어서,
    상기 커널 공간의 관측 대상 지점에서의 커널 루틴의 인자값 및 커널 데이터를 더 수집하는 단계; 및
    상기 보안 이벤트 발생 여부, 상기 인자값 및 상기 커널 데이터를 기초로 기 정의된 규칙에 따라 상기 보안 이벤트를 허용 또는 차단시켜 상기 보안 이벤트를 제어하는 단계를 더 포함하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법.
  4. 제1항에 있어서,
    eBPF 프로그램이 제공하는 LMS Hook, Kprobe 및 Tracepoint 중 적어도 하나를 기초로 상기 보안 이벤트를 수집하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법.
  5. 제1항에 있어서,
    상기 보안 이벤트를 수집하는 단계는,
    eBPF 프로그램이 제공하는 Kprobe를 수행하도록 설정하는 단계;
    상기 모니터링 대상 컨테이너 프로세서를 실행하는 단계;
    상기 모니터링 대상 컨테이너 프로세서의 상태 값을 저장하는 단계; 및
    상기 모니터링 대상 컨테이너 프로세서의 상태 값을 미리 저장된 기준 값과 비교하여 권한 상승 이벤트를 탐지하는 단계;
    를 포함하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법.
  6. 제5항에 있어서,
    상기 모니터링 대상 컨테이너 프로세서의 상태 값이 미리 저장된 기준 값 보다 작으면, 권한 상승을 시도한 것으로 탐지하고, Kill 신호를 상기 모니터링 대상 컨테이너 프로세서에게 전달하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법.
  7. 제1항에 있어서,
    상기 보안 이벤트를 수집하는 단계는,
    eBPF 프로그램이 제공하는 LMS Hook을 수행하도록 설정하는 단계;
    상기 모니터링 대상 컨테이너 프로세서를 실행하는 단계;
    linux_binprm 구조체에서 실행파일 정보를 추출하고, 상기 실행파일 정보 중실행파일의 해시값을 추출하는 단계; 및
    상기 해시값이 블랙리스트에 등록된 해시값 중 하나와 비교하여 상기 모니터링 대상 컨테이너 프로세서의 악성 파일 여부를 판단하는 단계;
    를 포함하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법.
  8. 제7항에 있어서,
    상기 모니터링 대상 컨테이너 프로세서의 악성 파일로 판단되면, 0 이외의 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달하여 상기 모니터링 대상 컨테이너 프로세서의 실행을 중단시키는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법.
  9. 제8항에 있어서,
    상기 모니터링 대상 컨테이너 프로세서의 악성 파일로 판단되지 않으면, 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법.
  10. 제9항에 있어서,
    상기 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달한 이후, LSM Hook을 종료하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법.
  11. 보안 이벤트를 처리하기 위한 제어 프로그램이 저장된 메모리; 및
    상기 메모리에 저장된 제어 프로그램을 실행하는 프로세서를 포함하고,
    상기 프로세서는,
    커널 공간에서 지정된 보안 이벤트를 수집하고, 상기 수집된 보안 이벤트를 실시간으로 저장하고, 상기 저장된 보안 이벤트들 중 쿼리 요청에 대응하는 상기 보안 이벤트를 제공하는 보안 이벤트 처리 장치.
  12. 청구항 11에 있어서,
    상기 보안 이벤트는 컨테이너화된 프로세서의 실행 이벤트, 네트워크 접속 이벤트 및 권한 상승 이벤트 중 적어도 하나를 포함하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치.
  13. 제11항에 있어서,
    상기 프로세서는,
    상기 커널 공간의 관측 대상 지점에서의 커널 루틴의 인자값 및 커널 데이터를 더 수집하고, 상기 보안 이벤트 발생 여부, 상기 인자값 및 상기 커널 데이터를 기초로 기 정의된 규칙에 따라 상기 보안 이벤트를 허용 또는 차단시키도록 제어하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치.
  14. 제11항에 있어서,
    eBPF 프로그램이 제공하는 LMS Hook, Kprobe 및 Tracepoint 중 적어도 하나를 기초로 상기 보안 이벤트를 수집하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치.
  15. 제11항에 있어서,
    상기 프로세서는,
    eBPF 프로그램이 제공하는 Kprobe를 수행하도록 설정하고, 상기 모니터링 대상 컨테이너 프로세서를 실행하고, 상기 모니터링 대상 컨테이너 프로세서의 상태 값을 저장하고, 상기 모니터링 대상 컨테이너 프로세서의 상태 값을 미리 저장된 기준 값과 비교하여 권한 상승 이벤트를 탐지하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치.
  16. 제15항에 있어서,
    상기 프로세서는,
    상기 모니터링 대상 컨테이너 프로세서의 상태 값이 미리 저장된 기준 값 보다 작으면, 권한 상승을 시도한 것으로 탐지하고, Kill 신호를 상기 모니터링 대상 컨테이너 프로세서에게 전달하도록 제어하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치.
  17. 제11항에 있어서,
    상기 프로세서는,
    eBPF 프로그램이 제공하는 LMS Hook을 수행하도록 설정하고, 상기 모니터링 대상 컨테이너 프로세서를 실행하고, linux_binprm 구조체에서 실행파일 정보를 추출하고, 상기 실행파일 정보 중실행파일의 해시값을 추출하고, 상기 해시값이 블랙리스트에 등록된 해시값 중 하나와 비교하여 상기 모니터링 대상 컨테이너 프로세서의 악성 파일 여부를 판단하도록 제어하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치.
  18. 제17항에 있어서,
    상기 프로세서는,
    상기 모니터링 대상 컨테이너 프로세서의 악성 파일로 판단되면, 0 이외의 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달하여 상기 모니터링 대상 컨테이너 프로세서의 실행을 중단시키는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치.
  19. 제18항에 있어서,
    상기 프로세서는,
    상기 모니터링 대상 컨테이너 프로세서의 악성 파일로 판단되지 않으면, 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치.
  20. 제19항에 있어서,
    상기 프로세서는,
    상기 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달한 이후, LSM Hook을 종료하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치.
KR1020220061382A 2022-05-19 2022-05-19 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법 및 장치 KR20230162836A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020220061382A KR20230162836A (ko) 2022-05-19 2022-05-19 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법 및 장치
US17/953,498 US20230376591A1 (en) 2022-05-19 2022-09-27 Method and apparatus for processing security events in container virtualization environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220061382A KR20230162836A (ko) 2022-05-19 2022-05-19 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20230162836A true KR20230162836A (ko) 2023-11-29

Family

ID=88791621

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220061382A KR20230162836A (ko) 2022-05-19 2022-05-19 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법 및 장치

Country Status (2)

Country Link
US (1) US20230376591A1 (ko)
KR (1) KR20230162836A (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117389421B (zh) * 2023-12-07 2024-05-14 浙江网商银行股份有限公司 一种可信接入处理方法、装置、存储介质及电子设备

Also Published As

Publication number Publication date
US20230376591A1 (en) 2023-11-23

Similar Documents

Publication Publication Date Title
US11775326B2 (en) Techniques for securing a plurality of virtual machines in a cloud computing environment
US10078752B2 (en) Continuous malicious software identification through responsive machine learning
US9977895B2 (en) Malicious software identification integrating behavioral analytics and hardware events
KR101948711B1 (ko) 멀웨어 탐지를 위한 복합 스코어링
CA3006003C (en) Dual memory introspection for securing multiple network endpoints
KR101535502B1 (ko) 보안 내재형 가상 네트워크 제어 시스템 및 방법
EP2860657B1 (en) Determining a security status of potentially malicious files
KR20190090037A (ko) 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법
CN109076063A (zh) 在云环境中保护动态和短期虚拟机实例
CN104392175A (zh) 一种云计算系统中云应用攻击行为处理方法、装置及系统
AU2014330136A1 (en) Complex scoring for malware detection
CN113138836B (zh) 一种使用基于Docker容器的防逃逸系统的防逃逸方法
JP2023550974A (ja) イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム
KR20230162836A (ko) 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법 및 장치
Majumdar et al. ProSAS: Proactive security auditing system for clouds
KR102630816B1 (ko) 보안 설정 장치, 프로세스 단위의 보안 정책을 설정하는 보안 설정 방법 및 상기 방법을 실행시키기 위하여 기록매체에 저장된 컴퓨터 프로그램
WO2019125516A1 (en) Continuous malicious software identification through responsive machine learning
CN110597690A (zh) 系统行为态势感知方法、系统及设备

Legal Events

Date Code Title Description
E902 Notification of reason for refusal