[go: up one dir, main page]

KR101394424B1 - 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템 - Google Patents

하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템 Download PDF

Info

Publication number
KR101394424B1
KR101394424B1 KR1020130044139A KR20130044139A KR101394424B1 KR 101394424 B1 KR101394424 B1 KR 101394424B1 KR 1020130044139 A KR1020130044139 A KR 1020130044139A KR 20130044139 A KR20130044139 A KR 20130044139A KR 101394424 B1 KR101394424 B1 KR 101394424B1
Authority
KR
South Korea
Prior art keywords
module
hypervisor
vips
virtualization
internal information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
KR1020130044139A
Other languages
English (en)
Inventor
신영상
정일안
이슬기
윤미연
황동욱
손경호
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020130044139A priority Critical patent/KR101394424B1/ko
Priority to US13/871,264 priority patent/US20140317737A1/en
Application granted granted Critical
Publication of KR101394424B1 publication Critical patent/KR101394424B1/ko
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템이 제공된다. 상기 하이퍼바이저 기반 침입 방지 플랫폼은 하이퍼바이저로부터 가상화 시스템의 내부 정보를 획득하고, 상기 가상화 시스템의 내부 정보를 이용한 침입 탐지 결과에 대응하여 상기 하이퍼바이저에 보안 제어를 수행하는 vIPS 프레임워크, 상기 vIPS 프레임워크가 상기 하이퍼바이저에 접근하기 위한 API를 제공하는 하이퍼바이저 보안 API 모듈, 가상화 네트워크 침입 방지 시스템의 관리자 계정을 관리하고, 상기 관리자 계정의 인증을 수행하는 관리자 계정 관리 및 인증 모듈, 상기 가상화 네트워크 침입 방지 시스템의 내부 모듈들의 환경 설정 값들을 관리하는 환경 설정 관리 모듈, 및 외부에 시스템 제어 및 보안 제어를 위한 인터페이스를 제공하는 외부 인터페이스 모듈을 포함한다.

Description

하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템{Hypervisor-based intrusion prevention platform and virtual network intrusion prevention system}
본 발명은 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템에 관한 것이다.
하이퍼바이저는 CPU, 메모리, 스토리지 등의 물리 자원을 가상 머신들의 서로 다른 운영체제(OS)가 공유할 수 있도록 하는 소프트웨어를 나타낸다. 가상 스위치(vSwitch)는 가상 머신간 통신을 위해 하이퍼바이저 내부에 존재하는 소프트웨어 형태의 스위치를 나타낸다. 이와 같이 하이퍼바이저를 이용하여 구현되는 가상화 시스템은, 가상 머신에 대한 ARP 스푸핑 도청 또는 침투, 악의적 하이퍼콜로 자원 독점 및 고갈 유발 등의 보안 위협이 존재한다.
본 발명이 해결하려는 과제는, 클라우드 컴퓨팅을 위한 가상화 시스템을 대상으로 하는 가상 네트워크 기반 공격을 탐지할 수 있는 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템을 제공하는 것이다.
본 발명이 해결하려는 다른 과제는, 클라우드 컴퓨팅을 위한 가상화 시스템을 대상으로 하는 가상화 자원 고갈 공격을 탐지할 수 있는 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템을 제공하는 것이다.
본 발명이 해결하려는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 본 발명의 하이퍼바이저 기반 침입 방지 플랫폼의 일 태양(aspect)은 하이퍼바이저로부터 가상화 시스템의 내부 정보를 획득하고, 상기 가상화 시스템의 내부 정보를 이용한 침입 탐지 결과에 대응하여 상기 하이퍼바이저에 보안 제어를 수행하는 vIPS 프레임워크, 상기 vIPS 프레임워크가 상기 하이퍼바이저에 접근하기 위한 API를 제공하는 하이퍼바이저 보안 API 모듈, 가상화 네트워크 침입 방지 시스템의 관리자 계정을 관리하고, 상기 관리자 계정의 인증을 수행하는 관리자 계정 관리 및 인증 모듈, 상기 가상화 네트워크 침입 방지 시스템의 내부 모듈들의 환경 설정 값들을 관리하는 환경 설정 관리 모듈, 및 외부에 시스템 제어 및 보안 제어를 위한 인터페이스를 제공하는 외부 인터페이스 모듈을 포함한다.
상기 과제를 해결하기 위한 본 발명의 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템의 일 태양은 가상 머신의 내부 정보, 하이퍼바이저의 내부 정보, 가상화 시스템의 가상 네트워크 패킷를 이용하여 침입 탐지를 수행하는 침입 탐지 모듈, 및 상기 가상 머신의 내부 정보, 상기 하이퍼바이저의 내부 정보, 상기 가상화 시스템의 가상 네트워크 패킷을 상기 침입 탐지 모듈에 제공하고, 상기 침입 탐지 모듈로부터 침입 탐지 결과를 입력받는 하이퍼바이저 기반 침입 방지 플랫폼을 포함하되, 상기 하이퍼바이저 기반 침입 방지 플랫폼은, 상기 하이퍼바이저로부터 상기 가상 머신의 내부 정보, 상기 하이퍼바이저의 내부 정보, 상기 가상화 시스템의 가상 네트워크 패킷을 획득하고, 상기 침입 탐지 결과에 대응하여 상기 하이퍼바이저에 상기 가상 머신의 동작 제어, 상기 가상 네트워크 트래픽의 레이트 제어를 수행하는 vIPS 프레임워크와, 상기 vIPS 프레임워크가 상기 하이퍼바이저에 접근하기 위한 API를 제공하는 하이퍼바이저 보안 API 모듈과, 시스템의 관리자 계정을 관리하고, 상기 관리자 계정의 인증을 수행하는 관리자 계정 관리 및 인증 모듈과, 시스템의 내부 모듈들의 환경 설정 값들을 관리하는 환경 설정 관리 모듈과, 외부에 시스템 제어 및 보안 제어를 위한 인터페이스를 제공하는 외부 인터페이스 모듈을 포함한다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
도 1은 본 발명의 실시예에 따른 클라우드 환경 보안 시스템을 설명하기 위한 블록도이다.
도 2는 도 1의 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템의 세부 구성을 설명하기 위한 블록도이다.
도 3은 도 2의 하이버파이저 보안 API 모듈이 보안 제어를 수행하는 구조를 설명하기 위한 블록도이다.
도 4는 도 2의 vIPS 프레임워크의 세부 구성을 설명하기 위한 블록도이다.
도 5는 도 4의 가상화 시스템 내부 정보 수집 및 분석 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 6은 도 4의 정책 및 시그니쳐 관리 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 7은 도 4의 침입 대응 처리 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 8은 도 4의 침입 방지 시스템 제어 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 9는 도 4의 로깅 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 10은 도 2의 관리자 계정 관리 및 인증 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 11은 도 2의 환경 설정 관리 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 12는 도 2의 침입 탐지 모듈들의 동작을 설명하기 위한 도면이다.
도 13은 inline 모드에서 가상 네트워크 패킷의 흐름을 설명하기 위한 도면이다.
도 14는 tap 모드에서 가상 네트워크 패킷의 흐름을 설명하기 위한 도면이다.
도 15는 inline 모드에서 stateful 방화벽 모듈 및 NIPS 모듈의 상세 동작을 설명하기 위한 도면이다.
도 16은 tap 모드에서 stateful 방화벽 모듈 및 NIPS 모듈의 상세 동작을 설명하기 위한 도면이다.
도 17은 도 2의 Stateful 방화벽 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 18은 도 2의 NIPS 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 19는 도 2의 가상화 자원 고갈 공격 탐지 모듈의 세부 구성을 설명하기 위한 블록도이다.
도 20은 도 2의 외부 인터페이스 모듈의 세부 구성을 설명하기 위한 블록도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 명세서에서 사용되는 '모듈'이라는 용어는 소프트웨어, FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '모듈'은 어떤 역할들을 수행한다. 그렇지만 '모듈'은 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '모듈'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '모듈'은 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '모듈'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '모듈'들로 결합되거나 추가적인 구성요소들과 '모듈'들로 더 분리될 수 있다.
비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하에서는 첨부된 도면을 참조하여 본 발명의 실시예를 상세하게 설명하기로 한다.
도 1은 본 발명의 실시예에 따른 클라우드 환경 보안 시스템을 설명하기 위한 블록도이다.
도 1을 참조하면, 본 발명의 실시예에 따른 클라우드 환경 보안 시스템(1)은 가상화 시스템(10), 클라우드 통합 보안 관제 시스템(20)을 포함한다.
가상화 시스템(10)은 단일의 물리 머신(phisical machine)에서 다수의 가상 머신(virtual machine)들을 구동시킨다. 각각의 가상 머신은 독립적으로 동작할 수 있으며, 서로 다른 운영체제를 구동시킬 수 있다. 이러한 가상화 시스템(10)은 하이퍼바이저(1000), 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템(2000; vIPS), 클라우드 에이전트(3000)를 포함한다.
하이퍼바이저(1000; hypervisor)는 가상화 시스템(10)에서 다수의 가상 머신들을 구동하기 위하여, 물리적 자원(예를 들어, CPU, 메모리, 스토리지, 네트워크 등)들을 다수의 가상 머신들에게 배분 및 스케쥴링한다. 하이퍼바이저(1000)는 가상화 시스템(10) 내의 가상 머신들과, 가상 머신들이 사용 중인 자원들에 접근(access)할 수 있다. 하이퍼바이저(1000)는 가상 머신들 간 통신을 위해 가상 네트워크 패킷을 중계하는 소프트웨어 형태의 가상 스위치(vSwitch), 설정된 규칙에 따라 가상 네트워크 패킷을 필터링하는 방화벽 패킷 필터를 포함할 수 있다. 이러한 하이퍼바이저(1000)를 VMM(Virtual Machine Monitor)라 부를 수도 있다.
vIPS(2000)는 하이퍼바이저(1000)를 통해 가상화 시스템(10)의 내부 정보를 획득하고, 이를 이용하여 가상화 네트워크 침입 탐지를 수행한다. vIPS(2000)는 침입에 대응하기 위한 보안 제어 명령을 하이퍼바이저(1000)에 제공한다. 가상화 시스템(10)의 내부 정보는 가상 머신의 내부 정보, 하이퍼바이저(1000)의 내부 정보, 가상화 시스템(10) 내의 가상 네트워크 패킷 등을 포함할 수 있다. 보안 제어는 가상 머신의 동작 제어, 가상 네트워크 트래픽의 레이트(rate) 제어 등을 포함할 수 있다.
클라우드 통합 보안 관제 시스템(20)은, 다수의 vIPS(2000)들로부터 가상화 시스템(10)의 정보 및 보안 이벤트 등을 수집하여, 클라우드 인프라 전체에 대한 통합 보안 관제를 수행한다. 클라우드 통합 보안 관제 시스템(20)은 침입에 대응하기 위한 보안 제어 명령 및 관련 보안 정책을 각각의 vIPS(2000)에 제공한다. 클라우드 통합 보안 관제 시스템(20)은 vIPS(2000)의 동작 제어 및 환경 변수 관리를 위한 시스템 제어 명령을 각각의 vIPS(2000)에 제공한다. 수집 정보는 가상 머신 현황 정보, 하이퍼바이저(1000) 현황 정보, 가상화 시스템(10)의 물리 자원 명세 정보, 가상화 시스템(10) 내의 네트워크 트래픽 요약 정보, 보안 이벤트, vIPS(2000) 시스템 로그 등을 포함할 수 있다. 보안 제어는 가상 머신의 동작 제어, 가상 네트워크 트래픽의 레이트(rate) 제어, 공격 대응 정책, 정책 및 시그니쳐 룰 셋 등을 포함할 수 있다. 시스템 제어는 vIPS(2000) 시스템의 동작 제어, vIPS(2000) 시스템의 환경 변수 설정 및 조회 등을 포함할 수 있다.
클라우드 에이전트(3000)는 가상화 시스템(10) 상에서 동작하여, 클라우드 통합 보안 관제 시스템(20)과 vIPS(2000) 간의 커뮤니케이션을 중계한다. 클라우드 에이전트(3000)는 가상화 시스템(10)의 정보, 보안 이벤트를 vIPS(2000)로부터 수집하여, 클라우드 통합 보안 관제 시스템(20)에 전달한다. 또한, 클라우드 에이전트(3000)는 클라우드 통합 보안 관제 시스템(20)으로부터 보안 제어 명령, 시스템 제어 명령을 전달받아 vIPS(2000)에 제공한다.
도 2는 도 1의 vIPS의 세부 구성을 설명하기 위한 블록도이다.
도 2를 참조하면, vIPS(2000)는 하이퍼바이저 기반 침입 방지 플랫폼(2100), Stateful 방화벽 모듈(2200), NIPS 모듈(2300), 가상화 자원 고갈 공격 탐지 모듈(2400)을 포함한다.
하이퍼바이저 기반 침입 방지 플랫폼(2100)은 상위의 Stateful 방화벽 모듈(2200), NIPS(Network-based IPS) 모듈, 가상화 자원 고갈 공격 탐지 모듈(2400)들의 동작을 제어한다. 하이퍼바이저 기반 침입 방지 플랫폼(2100)은 상기 모듈들이 침입 탐지를 수행하기 위해 필요한 정보를 제공하는 인터페이스와, 상기 모듈들로부터 침입 탐지 결과를 입력 받는 인터페이스 등을 제공한다. 이러한 하이퍼바이저 기반 침입 방지 플랫폼(2100)은 하이버파이저 보안 API 모듈(2110), vIPS 프레임워크(2120), 관리자 계정 관리 및 인증 모듈(2130), 환경 설정 관리 모듈(2140), 외부 인터페이스 모듈(2150)을 포함한다.
하이퍼바이저 보안 API 모듈(2110)은 하이퍼바이저 기반 침입 방지 플랫폼(2100)의 모듈들이 하이퍼바이저(1000)를 통해 가상화 시스템(10)의 내부 정보에 접근하고, 하이퍼바이저(1000)에 보안 제어 명령을 내릴 수 있도록 API(예를 들어, XenSecurity API)를 제공한다. 즉, 하이퍼바이저 보안 API 모듈(2110)은 보안 관련 기능을 위한 하이퍼바이저(1000)에의 접근에 대한 추상화를 제공하는 모듈이다.
하이퍼바이저 보안 API 모듈(2110)은 하이퍼바이저(100)로부터 vIPS 프레임워크(2120) 내의 모듈들이 필요로 하는 가상화 시스템(10) 내부 정보를 입력 받으며, 하이퍼바이저(100)에 가상화 시스템(10)의 보안 제어를 수행한다.
vIPS 프레임워크(2120)는 vIPS(2000)에서 IPS(Intrusion Prevention System)와 방화벽을 구성하기 위한 필수 공통 모듈들의 집합이다. vIPS 프레임워크(2120)는 상위의 침입 탐지 모듈들(Stateful 방화벽 모듈(2200), NIPS 모듈(2300), 가상화 자원 고갈 공격 탐지 모듈(2400))이 접근 제어, 침입 탐지 및 대응을 수행하기 위해 필요한 공통 기능 및 구조를 제공한다.
관리자 계정 관리 및 인증 모듈(2130)은 사용자(즉, vIPS(2000)의 관리자) 계정을 관리하며 관리자 계정의 인증을 수행한다.
환경 설정 관리 모듈(2140)은 환경 설정 값들을 관리한다. 모든 모듈의 환경 설정 값에 접근(읽기, 쓰기)시에 환경 설정 관리 모듈(2140)을 통하도록 함으로써, vIPS(2000)가 항상 최신의 설정 값에 따라 동작하도록 할 수 있다.
외부 인터페이스 모듈(2150)은 vIPS(2000)에의 시스템 제어 및 보안 제어를 위한 인터페이스를 제공한다.
침입 탐지 모듈들(Stateful 방화벽 모듈(2200), NIPS 모듈(2300), 가상화 자원 고갈 공격 탐지 모듈(2400))은, 하이퍼바이저 기반 침입 방지 플랫폼(2100)로부터 침입 탐지 및 접근 제어를 위한 정보(예를 들어, 가상 머신의 내부 정보, 하이퍼바이저(1000)의 내부 정보, 가상 네트워크 패킷 등)를 입력 받아 침입 탐지 기능을 수행 한다. Stateful 방화벽 모듈(2200)은 Stateful 방화벽의 엔진 기능을 수행한다. NIPS 모듈(2300)은 네트워크 기반 IPS(Network-based IPS)의 엔진 기능을 수행한다. 가상화 자원 고갈 공격 탐지 모듈(2400)은 가상화 자원에 대한 자원 고갈 공격을 탐지한다.
도 3은 도 2의 하이버파이저 보안 API 모듈이 보안 제어를 수행하는 구조를 설명하기 위한 블록도이다.
도 3을 참조하면, 하이퍼바이저 보안 API 모듈(2110)은 보안 제어를 수행하기 위해서, 하이퍼바이저(1000)와 도메인 0(11; Domain 0)에 접근한다.
가상화 시스템(10)의 가상 머신들은 도메인 0(11)와 도메인 U(12; Domain U)로 구분될 수 있다. 도메인 0(11)은 특권(privilege)을 가지고 있는 관리 도메인으로서, 사용자 가상 머신으로 사용되는 도메인 U(12)들을 관리할 수 있다. 하이퍼바이저(1000)는 드라이버를 포함하지 않고, 도메인 0(11)가 네트워크와 통신하는 네트워크 드라이버(11a), 물리 디바이스(예를 들어, 디스크 등)를 핸들링하는 디바이스 드라이버(11b) 등을 포함한다. 그리고, 도메인 0(11)는 각 도메인 U(12)를 제어하기 위한 관리 모듈(11c)을 포함한다.
도 4는 도 2의 vIPS 프레임워크의 세부 구성을 설명하기 위한 블록도이다.
도 4를 참조하면, vIPS 프레임워크(2120)는 침입 탐지 모듈들에게 침입 탐지를 수행하기 위해 필요한 정보를 제공하고, 상기 모듈들로부터 침입 탐지 결과를 입력 받는다. vIPS 프레임워크(2120)는 외부 인터페이스 모듈(2150)에 클라우드 에이전트(3000)가 요구하는 가상화 시스템(10)의 자원 정보와 vIPS(2000)에서 발생되는 보안 이벤트를 제공하고, 보안 제어 명령과 정책을 입력 받는다. vIPS 프레임워크(2120)는 환경 설정 관리 모듈(2140)로부터 내부 모듈들의 기능 수행을 위한 환경 설정 값을 입력 받는다.
이러한 vIPS 프레임워크(2120)는 가상화 시스템 내부 정보 수집 및 분석 모듈(2121), 침입 방지 시스템 제어 모듈(2122), 침입 대응 처리 모듈(2123), 정책 및 시그니쳐 관리 모듈(2124), 로깅 모듈(2125)을 포함한다.
가상화 시스템 내부 정보 수집 및 분석 모듈(2121)은 하이퍼바이저 보안 API 모듈(2110)을 통해 가상 머신의 내부 정보, 하이퍼바이저(1000)의 내부 정보 등을 획득한다. 가상화 시스템 내부 정보 수집 및 분석 모듈(2121)은 특히 가상 머신의 메모리 내용에 대해 가상 머신 guest OS에 따른 해석을 제공할 수 있다.
침입 방지 시스템 제어 모듈(2122)은 vIPS(2000)의 전체적인 동작을 제어한다. 침입 방지 시스템 제어 모듈(2122)은 침입 탐지 모듈들(Stateful 방화벽 모듈(2200), NIPS 모듈(2300), 가상화 자원 고갈 공격 탐지 모듈(2400))의 동작을 각각 제어한다.
침입 대응 처리 모듈(2123)은 침입 탐지 결과에 대해 대응 정책에 따른 대응을 수행한다.
정책 및 시그니쳐 관리 모듈(2124)은 NIPS 모듈(2300)의 공격 탐지 시그니쳐 및 대응 정책 룰과 방화벽을 위한 정책 룰 등을 관리한다.
로깅 모듈(2125)은 로그를 생성하고 관리한다.
도 5는 도 2의 가상화 시스템 내부 정보 수집 및 분석 모듈(2121)의 세부 구성을 설명하기 위한 블록도이다.
도 5를 참조하면, 가상화 시스템 내부 정보 수집 및 분석 모듈(2121)은 가상화 시스템(10) 내의 가상 자원 현황, 가상 머신의 내부 정보, 하이퍼바이저(1000)의 내부 정보를 수집 및 분석한다. 이러한 가상화 시스템 내부 정보 수집 및 분석 모듈(2121)은 가상화 시스템 자원 카탈로그 서비스 처리기(2121a), 가상 머신 내부 정보 처리기(2121b), 가상 네트워크 센서(2121c), 하이퍼바이저 내부 정보 처리기(2121d), 가상 스위치 정보 처리기(2121e), OS 인터페이스 서비스 처리기(2121f)를 포함한다.
가상화 시스템 자원 카탈로그 서비스 처리기(2121a)는 가상화 시스템(10)의 자원 정보를 주기적으로 수집하여 카탈로그를 구축하고, 카탈로그에 대한 검색 서비스를 제공한다. 정보 수집 주기(예를 들어, default는 10초)는 관리자의 조정이 가능하다. 한편, 가상화 시스템 자원 카탈로그 서비스 처리기(2121a)는 주기적으로 정보를 수집하지 않고, 자원 정보가 수정되었을 때 통보 받을 수 있는 방법으로 변형될 수 있다.
가상 머신 내부 정보 처리기(2121b)는 가상 머신의 내부 정보에 접근할 수 있다. 가상 네트워크 패킷은 가상 네트워크 센서(2121c)가 별도로 처리 한다. 가상 머신 내부 정보는 가상 머신의 가상 하드웨어 스펙 정보(예를 들어, CPU 개수/속도, 메모리 용량, 디스크 용량, NIC 개수/속도), 가상머신의 현재 내부정보(예를 들어, vCPU 레지스터, 메모리, 네트워크 사용 현황) 등을 포함할 수 있다.
가상 네트워크 센서(2121c)는 가상 네트워크에서 가상 네트워크 패킷을 획득한다. 네트워크 패킷 획득 모드는 inline 모드와 tap 모드를 포함할 수 있다. 가상 네트워크 센서(2121c)는 환경 설정 관리 모듈(2140)로부터 네트워크 패킷 획득 모드를 확인하여 설정될 수 있다. 가상 네트워크 센서(2121c)는 하이퍼바이저 보안 API 모듈(2110)을 통해 가상 네트워크 패킷을 획득하여 침입 탐지 모듈들로 전달한다.
하이퍼바이저 내부 정보 처리기(2121d)는 하이퍼바이저(1000)의 내부 정보에 접근할 수 있다. 하이퍼바이저(1000) 내부 정보는 하이퍼바이저(1000) 종류(예를 들어. xenserver, kvm 등), 하이퍼바이저(1000) 버전(예를 들어, Xen의 경우, citrix xenserver와 xen hypervisor 정보), 하이퍼바이저(1000) 패치 정보, 하이퍼바이저(1000) 물리 cpu 코어 수/속도, 하이퍼바이저(1000) 물리 메모리 등을 포함할 수 있다.
가상 스위치 정보 처리기(2121e)는 현재 가상화 시스템(10) 상의 가상 스위치 내부 정보를 제공한다. 가상 스위치 내부 정보는 가상 스위치 타입(예를 들어, Open vSwitch, Linux Bridge 등), 브릿지, NAT 등의 설정 현황, VLAN 설정 현황, 가상 인터페이스 현황 등을 포함할 수 있다.
OS 인터페이스 서비스 처리기(2121f)는 Guest OS별로 가상 머신의 메모리 내용(특히, 커널 내용)에 대한 해석을 제공한다. OS 인터페이스 서비스 처리기(2121f)가 제공하는 서비스는 커널 심볼, 윈도우 레지스트리 읽기 등을 포함할 수 있다.
도 6은 도 4의 정책 및 시그니쳐 관리 모듈(2124)의 세부 구성을 설명하기 위한 블록도이다.
도 6을 참조하면, 정책 및 시그니쳐 관리 모듈(2124)은 NIPS 모듈(2300) 및 Stateful 방화벽 모듈(2200)을 위한 정책 및 공격 탐지 시그니쳐 룰들을 관리하고, vIPS 프레임워크(2120) 내의 모듈 및 외부 모듈이 접근할 수 있는 API를 제공한다.
정책 및 시그니쳐 관리 모듈(2124)이 관리하는 정책과 룰들은, Stateful 방화벽을 위한 정책 룰(예를 들어, 정책 기반 접근 제어를 위한 정책 룰), NIPS 모듈(2300)을 위한 시그니쳐 및 정책 룰(예를 들어, 탐지 시그니쳐 룰, 대응 정책 룰) 등을 포함할 수 있다.
정책 및 시그니쳐 관리 모듈(2124)이 관리하는 시그니쳐 및 정책 룰들은 NIPS 및 stateful 방화벽, 그리고 방화벽 패킷 필터에, vIPS(2000)가 시작/재시작 시, 외부 인터페이스를 통해 시그니쳐 및 정책이 추가/수정/삭제 될 시, 침입 탐지에 따른 대응으로 특정 패킷, 연결에 대한 대응 행위가 수행 되어야 할 시(실시간으로 접근 제어를 위한 패킷 필터 생성 및 적용)에 적용 또는 수정 적용될 수 있다.
이러한 정책 및 시그니쳐 관리 모듈(2124)은 방화벽 정책 관리기(2124a), 탐지 시그니쳐 관리기(2124b), 대응 정책 관리기(2124c), 실시간 접근 제어 룰 관리기(2124d)를 포함한다. 각각의 관리기들은 공통적으로 정책 및 시그니쳐 룰 등을 시그니쳐 및 정책 DB에 저장 및 관리하며, 이에 대한 접근 서비스를 제공한다.
방화벽 정책 관리기(2124a)는 방화벽을 위한 정책 기반 접근 제어 룰을 관리한다. 탐지 시그니쳐 관리기(2124b)는 NIPS 모듈(2300)을 위한 공격 탐지 시그니쳐 룰을 관리한다. 대응 정책 관리기(2124c)는 NIPS 모듈(2300)을 위한 공격에 따른 대응 정책 룰을 관리한다. 실시간 접근 제어 룰 관리기(2124d)는 침입 탐지에 따른 대응으로서 특정 패킷, 연결에 대한 대응 행위를 수행하기 위해 실시간으로 생성되는 접근 제어 룰을 관리한다.
도 7은 도 4의 침입 대응 처리 모듈(2123)의 세부 구성을 설명하기 위한 블록도이다.
도 7을 참조하면, 침입 대응 처리 모듈(2123)은 Stateful 방화벽 모듈(2200), NIPS 모듈(2300), 가상화 자원 고갈 공격 탐지 모듈(2400)들이 발생시키는 탐지 결과와 대응 정책을 수신하고, 대응 정책에 기반하여 탐지 결과에 대한 대응 행위를 결정한다. 이렇게 결정된 대응 행위는 하이퍼바이저 보안 API 모듈(2110) 및 정책 및 시그니쳐 관리 모듈(2124)을 이용하여 수행되며, 침입 대응 처리 모듈(2123)은 로깅 모듈(2125)을 통해 해당 침입 탐지 및 대응에 대한 보안 이벤트를 발생 시킨다.
이러한 침입 대응 처리 모듈(2123)은 대응 행위 처리기(2123a), 대응 정책 적용 처리기(2123b)를 포함한다.
대응 행위 처리기(2123a)는 해당 침입에 대해 계획된 대응 행위를 정책 및 시그니쳐 관리 모듈(2124) 및 하이퍼바이저 보안 API 모듈(2110)을 통해 수행한다. 대응 행위 처리기(2123a)는 침입 탐지 결과와 대응에 대한 보안 이벤트를 발생한다. 대응 행위 처리기(2123a)는 로깅 모듈(2125)을 통해 로깅하고, 외부 인터페이스 모듈(2150)을 통해 클라우드 에이전트(3000)로 보안 이벤트를 전송한다.
대응 정책 적용 처리기(2123b)는 탐지된 침입에 대한 대응 정책을 적용하기 위한 대응 행위를 계획한다. 대응 행위는 접근 제어를 위한 실시간 접근 제어 룰, 네트워크 트래픽 레이트 제한, 네트워크 트래픽 포워딩 등을 포함할 수 있다.
도 8은 도 4의 침입 방지 시스템 제어 모듈(2122)의 세부 구성을 설명하기 위한 블록도이다.
도 8을 참조하면, 침입 방지 시스템 제어 모듈(2122)은 vIPS(2000)의 전체적인 동작을 제어하고, Stateful 방화벽 모듈(2200), NIPS 모듈(2300), 가상화 자원 고갈 공격 탐지 모듈(2400)의 동작을 제어 한다. 이러한 침입 방지 시스템 제어 모듈(2122)은 vIPS 주 제어기(2122a), 네트워크 패킷 공급 제어기(2122b), Stateful 방화벽 제어기(2122c), NIPS 제어기(2122d), 가상화 자원 고갈 공격 탐지 제어기(2122e)를 포함한다.
vIPS 주 제어기(2122a)는 vIPS(2000)의 주 동작을 제어한다. vIPS 주 제어기(2122a)는 vIPS(2000) 구동/재시작 시 환경 설정 값과 정책 및 시그니쳐 룰 셋 등을 업데이트한다. vIPS 주 제어기(2122a)는 vIPS(2000)의 구동/재시작시 환경 설정 값에 따라 필요한 동작을 제어하고, 침입 탐지 모듈들의 제어기(Stateful 방화벽 제어기(2122c), NIPS 제어기(2122d), 가상화 자원 고갈 공격 탐지 제어기(2122e))를 통해 각각의 모듈들의 정책 및 시그니쳐 룰 셋 등이 최신 버전으로 업데이트 되도록 제어한다.
vIPS 주 제어기(2122a)는 Stateful 방화벽 제어기(2122c), NIPS 제어기(2122d), 가상화 자원 고갈 공격 탐지 제어기(2122e) 등을 이용하여 침입 탐지 모듈들(Stateful 방화벽 모듈(2200), NIPS 모듈(2300), 가상화 자원 고갈 공격 탐지 모듈(2400))을 각각 구동시킨다.
vIPS 주 제어기(2122a)는 네트워크 패킷 공급 제어기(2122b)를 이용하여 가상 네트워크 센서(2121c)가 가상 네트워크 패킷을 획득하도록 설정하고, Stateful 방화벽 모듈(2200) 및 NIPS 모듈(2300)에 가상 네트워크 패킷을 공급하도록 제어한다
네트워크 패킷 공급 제어기(2122b)는 가상 네트워크 센서(2121c)로부터 Stateful 방화벽 모듈(2200) 및 NIPS 모듈(2300)에 대한 가상 네트워크 패킷의 공급을 제어한다. 네트워크 패킷 공급 제어기(2122b)는 vIPS(2000)가 inline 모드로 동작할 경우 가상 네트워크로의 공급도 제어한다.
Stateful 방화벽 제어기(2122c)는 Stateful 방화벽 모듈(2200)의 방화벽 정책 룰 셋 업데이트를 제어한다. Stateful 방화벽 제어기(2122c)는 Stateful 방화벽 모듈(2200)이 유입되는 가상 네트워크 패킷에 대해 동작하도록 제어한다. Stateful 방화벽 제어기(2122c)는 stateful 방화벽 관련 환경 설정 값을 읽어, Stateful 방화벽 모듈(2200)이 설정 내용 대로 동작하도록 제어하고, stateful 방화벽의 동작 시작, 중지 등을 제어한다.
NIPS 제어기(2122d)는 NIPS 모듈(2300)의 시그니처 및 대응 룰 셋 업데이트를 제어한다. NIPS 제어기(2122d)는 NIPS 모듈(2300)이 유입되는 가상 네트워크 패킷에 대해 동작하도록 제어한다. NIPS 제어기(2122d)는 NIPS 관련 환경 설정 값을 읽고, NIPS 모듈(2300)이 설정 내용 대로 동작하도록 제어하고, NIPS의 동작 시작, 중지 등을 제어한다.
가상화 자원 고갈 공격 탐지 제어기(2122e)는 가상화 자원 고갈 공격 탐지 모듈(2400)의 동작을 제어한다. 가상화 자원 고갈 공격 탐지 제어기(2122e)는 가상화 자원 고갈 공격 탐지 관련 환경 설정 값을 읽어, 가상화 자원 고갈 공격 탐지 모듈(2400)이 설정 내용 대로 동작 하도록 제어하고, 가상화 자원 고갈 공격 탐지 모듈(2400)의 동작 시작, 중지 등을 제어한다.
도 9는 도 4의 로깅 모듈(2125)의 세부 구성을 설명하기 위한 블록도이다.
도 9를 참조하면, 로깅 모듈(2125)은 각 모듈이 발생시키는 로그를 기록하며, 외부 인터페이스 모듈(2150)이 로그를 읽거나 백업할 수 있는 기능을 제공한다. 이러한 로깅 모듈(2125)은 로그 관리기(2125a), 로그 포맷팅 도구(2125b), 로그 백업 처리기(2125c), 로그 접근 처리기(2125d)를 포함한다.
로그 관리기(2125a)는 환경 설정 변수들을 참조하여 로그가 저장되어야 하는 위치, 파일 이름 등을 관리한다.
로그 백업 처리기(2125c)는 저장되어 있는 로그 파일들을 원하는 위치로 백업하는 기능을 제공한다.
로그 포맷팅 도구(2125b)는 각 모듈들이 로그의 내용을 전달해 주면, 실제 로그 메시지로 포맷팅하여 로그 접근 처리기(2125d)가 직접 스토리지에 저장할 수 있는 형태로 생성시켜 주는 기능을 제공한다.
로그 접근 처리기(2125d)는 로그를 디스크(또는, 다른 형태의 스토리지)에 읽고 쓰는 기능을 제공한다. 로그 접근 처리기(2125d)는 스토리지에 로그를 쓸 때 버퍼링 없이 즉시 쓸 수 있다.
보안 이벤트에서, 트래픽 정보는 Netflow로 Open vSwitch에서 제공되는 트래픽 정보를 나타내고, 보안 경보는 IPS 및 방화벽 룰에 매칭되며 경보를 발생시키도록 설정된 이벤트를 나타내고, 보안 로그는 IPS 및 방화벽 룰에 매칭 되지만, 경보 없이 로깅만 되도록 설정된 이벤트를 나타낼 수 있다. 시스템 이벤트에서, 시스템 로그는 vIPS(2000)내의 각 모듈들이 발생시키는 시스템 동작과 관련된 이벤트를 나타낼 수 있다.
도 10은 도 2의 관리자 계정 관리 및 인증 모듈(2130)의 세부 구성을 설명하기 위한 블록도이다.
도 10을 참조하면, 관리자 계정 관리 및 인증 모듈(2130)은 관리자 계정을 관리하며 관리자 인증 기능을 제공한다. 이러한 관리자 계정 관리 및 인증 모듈(2130)은 관리자 계정 관리기(2131), 관리자 그룹 관리기(2132), 관리자 계정 인증 처리기(2133)를 포함한다.
관리자 계정 관리기(2131)는 관리자 계정을 관리하며, 외부 인터페이스 모듈(2150)을 통한 계정 정보의 접근(읽고, 쓰기)을 제공한다. 관리자 계정 정보는 관리자 아이디, 관리자 그룹, 패스워드, 권한(권한은 관리자 그룹이 가지는 권한을 상속하며, 그 이외에 추가적인 권한 만을 관리함), 관리자 이름 및 기타 정보 등을 포함할 수 있다.
관리자 그룹 관리기(2132)는 관리자 그룹을 관리한다. 관리자 그룹 정보는 관리자 그룹 이름, 권한 등을 포함할 수 있다.
관리자 계정 인증 처리기(2133)는 관리자의 계정 아이디 및 패스워드로 관리자 계정 인증을 수행한다.
도 11은 도 2의 환경 설정 관리 모듈(2140)의 세부 구성을 설명하기 위한 블록도이다.
도 11을 참조하면, 환경 설정 관리 모듈(2140)은 환경 설정 값들을 관리하며, 이들의 입출력 기능을 제공한다. 이러한 환경 설정 관리 모듈(2140)은 환경 설정 값 접근 처리기(2141)를 포함한다.
환경 설정 값 접근 처리기(2141)는 환경 설정 값에 대한 입출력시 상호배제 (mutual exclusive)를 보장하여, 환경 설정 값 변경 중에 일부 변경된 값들만 부분적으로 읽어가는 경우가 없다. 환경 설정 값 접근 처리기(2141)는 외부 인터페이스 모듈(2150)을 통해 환경 설정 값을 쓸 수 있는 인터페이스를 제공한다. 환경 설정 값 접근 처리기(2141)는 시스템 내의 다른 모듈이 환경 설정 값을 읽을 수 있는 인터페이스를 제공한다.
도 12는 도 2의 침입 탐지 모듈들의 동작을 설명하기 위한 도면이다.
도 12를 참조하면, Stateful 방화벽 모듈(2200), NIPS 모듈(2300), 가상화 자원 고갈 공격 탐지 모듈(2400)은 가상화 시스템(10)에 대한 접근 제어 정책 및 공격 탐지 시그니쳐 룰을 해석/적용하여 침입 탐지 기능을 수행하고, 탐지 결과를 vIPS 프레임워크(2120)에 전달하여 대응 정책에 따른 대응 행위를 수행하도록 한다.
침입 탐지 모듈(Stateful 방화벽 모듈(2200), NIPS 모듈(2300), 가상화 자원 고갈 공격 탐지 모듈(2400))들은 다음과 같은 2가지 모드 중 어느 하나로 동작할 수 있다.
먼저, inline 모드로 동작하게 되면, vIPS(2000)가 가상 네트워크 패킷 흐름에 inline으로 관여하여, 가상 스위치를 통과하는 모든 가상 네트워크 패킷이 방화벽 모듈(패킷 필터 및 stateful 방화벽)과 NIPS 모듈(2300)을 모두 성공적으로 통과했을 경우만, 가상 스위치에서 스위칭되어 가상 네트워크를 통해 목적지로 보내어 진다. 단, 화이트리스트에 적용되는 네트워크 패킷의 경우 패스(pass)되어 바로 목적지로 스위칭되어 보내어 진다.
다음으로, tap 모드로 동작하게 되면, 가상 네트워크 패킷 흐름이 tap(미러링)되어, 중복 생성된 네트워크 패킷들이 vIPS(2000)로 공급되게 된다. 단, tap되기 전에 방화벽 패킷 필터에 의한 접근 제어가 적용되어 드롭(drop)되지 않은 패킷들만이 목적지로 스위칭되어 보내어 지며, 또한 tap되어 vIPS(2000) 및 Stateful 방화벽 모듈(2200)로 보내어 진다. 또한, 미러링 대상 네트워크 패킷 중 화이트리스트에 적용되는 네트워크 패킷은 Stateful 방화벽 모듈(2200) 및 NIPS 모듈(2300)에 공급되지 않는다.
동작 모드에 따른 가상 네트워크 패킷의 흐름은 다음과 같다. 먼저, 가상 네트워크의 모든 네트워크 패킷은 방화벽 패킷 필터를 거친다. 방화벽 패킷 필터를 거친 네트워크 패킷은 크게 드롭(drop)되는 패킷, 화이트리스트에 의해 패스(pass)되는 패킷, 드롭(drop)도 바이패스도 되지 않은 나머지 패킷으로 나뉜다.
도 13은 inline 모드에서 가상 네트워크 패킷의 흐름을 설명하기 위한 도면이다.
도 13을 참조하면, inline 모드에서, 방화벽 패킷 필터를 거친 후 드롭(drop)되지 않은 2종류의 패킷들은 다음과 같은 두 가지의 경로로 이동된다.
화이트 리스트에 의해 바이패스된 패킷들은 패킷 경로 1(fast path)로 이동된다. 이러한 패킷들은 목적지에 따라서 가상화 시스템(10) 내의 가상 머신들 또는 가상화 시스템(10)의 외부로 보내어 진다. 이 경우 관리 도메인 커널 영역에서만 처리됨으로써 빠른 스위칭이 이루어 진다(fast path). 따라서, vIPS(2000)를 통해 침입 탐지를 하지 않아도 되는, 화이트 리스트에 포함되는 네트워크 패킷의 고속 처리를 보장할 수 있다.
드롭(drop) 또는 패스(pass)되지 않은 패킷들은 패킷 경로 2 (slow path)로 이동된다. 이러한 패킷들은 가상 네트워크 센서(2121c)에 의해 수집되어, Stateful 방화벽 모듈(2200)과 NIPS 모듈(2300)을 거치게 된다. Stateful 방화벽 모듈(2200)과 NIPS 모듈(2300)에 의해 탐지되는 경우, 대응 정책에 따라 드롭(drop)되는 등의 대응 행위가 적용된다. Stateful 방화벽 모듈(2200) 또는 NIPS 모듈(2300)에 설정된 화이트 리스트에 포함되는 네트워크 패킷들은 즉시 패스(pass)되어, 목적지에 따라서 가상화 시스템(10) 내의 가상 머신들 혹은 가상화 시스템(10)의 외부로 보내어 진다. 패킷이 유저 영역을 거쳐야 하므로 상대적으로 느린 경로를 통하게 된다(slow path).
도 14는 tap 모드에서 가상 네트워크 패킷의 흐름을 설명하기 위한 도면이다.
도 14를 참조하면, tap 모드에서, 방화벽 패킷 필터를 거친 후 드롭(drop)되지 않은 2종류의 패킷들은 다음과 같은 두가지의 경로로 이동한다.
드롭(drop)된 패킷을 제외한 패킷들은 패킷 경로 1 (fast path)로 이동된다. 이러한 패킷들은 목적지에 따라서 가상화 시스템(10) 내의 가상 머신들 또는 가상화 시스템(10)의 외부로 보내어 진다. 이 경우 관리 도메인 커널 영역에서만 처리됨으로써 빠른 스위칭이 이루어 진다(fast path). 따라서, vIPS(2000)를 통해 침입 탐지를 하지 않아도 되는 화이트 리스트에 포함되는 네트워크 패킷의 고속 처리를 보장할 수 있다.
드롭(drop) 또는 패스(pass)되지 않은 패킷들은 패킷 경로 2 (slow path)로 이동된다. 이러한 패킷들은 가상 네트워크 센서(2121c)에 의해 수집되어, Stateful 방화벽 모듈(2200)과 NIPS 모듈(2300)을 거치게 된다. Stateful 방화벽 모듈(2200)과 NIPS 모듈(2300)에 의해 탐지되는 경우, 대응 정책에 따라 해당 접속 연결을 끊거나, 트래픽 레이트를 줄이는 등의 대응 행위가 적용된다. Stateful 방화벽 모듈(2200) 또는 NIPS 모듈(2300)에 설정된 화이트 리스트에 포함되는 네트워크 패킷들은 Stateful 방화벽 모듈(2200) 또는/및 NIPS 모듈(2300)에 의해 조사되지 않고 패스(pass)된다. 패킷이 유저 영역을 거쳐야 하므로 상대적으로 느린 경로를 통하게 된다(slow path).
도 15는 inline 모드에서 Stateful 방화벽 모듈 및 NIPS 모듈의 상세 동작을 설명하기 위한 도면이다.
도 15를 참조하면, inline 모드에서, 침입 방지 시스템 제어 모듈(2122)은 정책 및 시그니쳐 관리 모듈(2124)을 통해 최신의 방화벽 정책과 NIPS 시그니쳐에 접근하여, Stateful 방화벽 모듈(2200)과 NIPS 모듈(2300)에 각각 제공한다. 이어서, 침입 방지 시스템 제어 모듈(2122)은 Stateful 방화벽 모듈(2200)과 NIPS 모듈(2300), 그리고 가상 네트워크 센서(2121c)의 동작을 시작시킨다. 이어서, 가상 네트워크 상의 가상 네트워크 패킷은 가상 네트워크 센서(2121c)로 보내어 지기 전, 방화벽 패킷 필터에 의해 필터링 된다. 이어서, 방화벽 패킷 필터에서 드롭(drop) 또는 패스(pass)되지 않은 가상 네트워크 패킷을 가상 네트워크 센서(2121c)가 수집한다.
이어서, 가상 네트워크 센서(2121c)가 수집한 가상 네트워크 패킷에 대해 Stateful 방화벽과 NIPS의 기능을 적용한다. Stateful 방화벽 모듈(2200)과 NIPS 모듈(2300)에 패킷을 공급하고 Stateful 방화벽과 NIPS의 결과에 따라 네트워크 패킷의 향후 흐름을 결정하는 과정은 침입 방지 시스템 제어 모듈(2122)이 제어한다. 구체적으로, 가상 네트워크 센서(2121c)에 수집된 패킷은 우선 Stateful 방화벽 모듈(2200)에 제공된다. 이어서, Stateful 방화벽 모듈(2200)에서의 룰 적용 결과는 침입 방지 시스템 제어 모듈(2122)에 보내어 진다. 이어서, 침입 방지 시스템 제어 모듈(2122)은, Stateful 방화벽의 룰 적용 결과가 패스(pass)인 경우 해당 패킷을 바로 가상 네트워크로 보내고, 드롭(drop)일 경우 해당 패킷을 드롭(drop)시키며, 패스(pass)도 드롭(drop)도 아닐 경우 해당 패킷을 NIPS 모듈(2300)에 제공한다.
이어서, NIPS 모듈(2300)은 제공된 네트워크 패킷에 대하여 시그니쳐 룰로 패턴 매칭을 수행하며, 이의 결과를 침입 방지 시스템 제어 모듈(2122)에 제공한다. 이어서, 침입 방지 시스템 제어 모듈(2122)은 NIPS 엔진 모듈이 제공한 결과에 따라 다음과 같은 행위를 수행한다.
결과가 탐지 시그니쳐 룰에 매칭되는 패킷의 경우, 침입 방지 시스템 제어 모듈(2122)은 침입 대응 처리 모듈(2123)에 해당 탐지 결과를 제공하여, 침입 대응 처리 모듈(2123)이 이에 관련된 대응 정책에 따라서 대응 행위를 처리하도록 한다. 이 경우 연결을 끊거나, 패킷을 포워딩 시키거나, 트래픽의 레이트가 조절되는 등의 행위가 가해진다. 패킷이 드롭(drop)되어야 하는 경우, 해당 패킷이 가상 네트워크로 보내어 져서 목적지로 보내어 지지 않도록, 침입 방지 시스템 제어 모듈(2122)이 제어한다.
결과가 pass 이거나 탐지 시그니쳐 룰에 매칭 되지 않는 패킷의 경우, 침입 방지 시스템 제어 모듈(2122)은 가상 스위치를 이용해 목적지에 따라서 가상화 시스템(10) 내의 가상 머신들 또는 가상화 시스템(10)의 외부로 패킷을 보내도록 한다.
도 16은 tap 모드에서 Stateful 방화벽 모듈(2200) 및 NIPS 모듈(2300)의 상세 동작을 설명하기 위한 도면이다.
도 16을 참조하면, tap 모드에서, 침입 방지 시스템 제어 모듈(2122)은 정책 및 시그니쳐 관리 모듈(2124)을 통해 최신의 방화벽 정책과 NIPS 시그니쳐에 접근하여, Stateful 방화벽 모듈(2200)과 NIPS 모듈(2300)에 각각 제공한다. 이어서, 침입 방지 시스템 제어 모듈(2122)은 Stateful 방화벽 모듈(2200)과 NIPS 모듈(2300), 그리고 가상 네트워크 센서(2121c)의 동작을 시작시킨다. 이어서, 가상 네트워크 상의 가상 네트워크 패킷은 가상 네트워크 센서(2121c)로 보내어 지기 전, 방화벽 패킷 필터에 의해 필터링된다. 이어서, 방화벽 패킷 필터를 거친 가상 네트워크 패킷들 중, 패스(pass)된 패킷과 드롭(drop)되지 않은 패킷은, 가상 스위치를 이용해 목적지에 따라서 가상화 시스템(10) 내의 가상 머신들 또는 가상화 시스템(10)의 외부로 패킷을 보내도록 한다. 패스(pass)되지도 않고 드롭(drop)되지 않은 네트워크 패킷은, 위의 조건에 해당되는 패킷들의 복제된 사본이 가상 네트워크 센서(2121c)로 보내어 진다.
이어서, 가상 네트워크 센서(2121c)로 보내어진 패킷들에 대해 Stateful 방화벽과 NIPS의 기능을 적용한다. Stateful 방화벽 모듈(2200)과 NIPS 모듈(2300)에 패킷을 공급하고, 방화벽과 NIPS의 결과에 따라 네트워크 패킷의 향후 흐름을 결정하는 과정은 침입 방지 시스템 제어 모듈(2122)이 제어한다. 구체적으로, 가상 네트워크 센서(2121c)에 수집된 패킷은 우선 Stateful 방화벽 모듈(2200)에 제공한다. 이어서, Stateful 방화벽 모듈(2200)에서의 룰 적용 결과는 침입 방지 시스템 제어 모듈(2122)에 보내어 진다.
침입 방지 시스템 제어 모듈(2122)은 Stateful 방화벽의 룰 적용 결과가 매칭되는 경우가 아닐 경우, 해당 패킷을 NIPS 모듈(2300)에 제공 한다. 룰 적용 결과가 매칭 되는 경우, 침입 방지 시스템 제어 모듈(2122)은 해당 탐지 결과와 이를 위한 대응 룰을 침입 대응 처리 모듈(2122)에 제공하여 대응 행위를 처리하도록 한다. 이 경우 해당 패킷은 NIPS 모듈(2300)에 제공되지 않는다.
이어서, NIPS 모듈(2300)은 제공된 패킷에 대해 시그니쳐 룰을 적용하고, 이의 결과를 침입 방지 시스템 제어 모듈(2122)에 제공한다. 이어서, 침입 방지 시스템 제어 모듈(2122)은 침입 대응 처리 모듈(2122)에 해당 탐지 결과 및 대응 룰을 제공하여, 침입 대응 처리 모듈(2122)이 이에 관련된 대응 정책에 따라서 대응 행위를 처리하도록 한다.
도 17은 도 2의 Stateful 방화벽 모듈(2200)의 세부 구성을 설명하기 위한 블록도이다.
도 17을 참조하면, Stateful 방화벽 모듈(2200)은 Stateful 방화벽의 엔진 기능을 제공한다. 이러한 Stateful 방화벽 모듈(2200)은 SPI(Stateful Packet Inspection) 처리기, 룰 관리기(2220), 룰 적용 처리기(2230)를 포함한다.
SPI 처리기(2210)는 Stateful Packet Inspection을 수행한다.
룰 관리기(2220)는 침입 방지 시스템 제어 모듈(2122)을 통해 획득한 방화벽 정책 룰을 관리한다.
룰 적용 처리기(2230)는 Stateful Packet Inspection의 결과가 제공된 Stateful 방화벽 룰과 매칭되는 지를 검사한다. 룰 적용 처리기(2230)는 Stateful 방화벽 룰에 매칭되는 경우 해당 결과를 침입 방지 시스템 제어 모듈(2122)에 통보하고, 해당 모듈을 통해 보안 이벤트를 발생시켜 로깅 모듈(2125)을 통한 로깅을 수행한다.
도 18은 도 2의 NIPS 모듈(2300)의 세부 구성을 설명하기 위한 블록도이다.
도 18을 참조하면, NIPS 모듈(2300)은 NIPS의 엔진 기능을 제공한다. 이러한 NIPS 모듈(2300)은 DPI(Deep Packet Inspection) 처리기, 룰 관리기(2320), 룰 적용 처리기(2330)를 포함한다.
DPI 처리기(2310)는 Deep Packet Inspection을 수행한다.
룰 관리기(2320)는 침입 방지 시스템 제어 모듈(2122)을 통해 획득한 NIPS 시그니쳐 룰을 관리한다.
룰 적용 처리기(2330)는 네트워크 패킷의 패턴 및 Deep Packet Inspection의 결과가 NIPS 시그니쳐 룰과 매칭되는 지를 검사한다. 룰 적용 처리기(2330)는 NIPS 시그니쳐 룰에 매칭되는 경우 탐지 결과를 침입 방지 시스템 제어 모듈(2122)에 통보하고, 해당 모듈을 통해 보안 이벤트를 발생시켜 로깅 모듈(2125)을 통한 로깅을 수행한다.
도 19는 도 2의 가상화 자원 고갈 공격 탐지 모듈(2400)의 세부 구성을 설명하기 위한 블록도이다.
도 19를 참조하면, 가상화 자원 고갈 공격 탐지 모듈(2400)은 가상화 시스템(10) 자원 고갈 공격을 탐지하는 행위 기반의 시그니쳐 룰 셋과 이에 대한 매칭 검사를 수행한다. 가상화 자원 고갈 공격 탐지 모듈(2400)은 하이퍼콜 호출 행위를 분석하고, 가상화 시스템의 자원 사용 현황을 분석하여, DoS(Denial of Service) 공격을 탐지할 수 있다. 가상화 자원 고갈 공격 탐지 모듈(2400)은 외부로부터의 DDoS(Distributed Denial of Service) 공격을 탐지할 수도 있다.
이러한 가상화 자원 고갈 공격 탐지 모듈(2400)은 하이퍼콜 분석 룰(2410), 자원 사용 분석 룰(2420), 외부 접속 분석 룰(2430), 가상화 시스템 내부정보 수집 및 관리기(2440), 룰 적용 처리기(2450), 룰 관리기(2460)를 포함한다.
하이퍼콜 분석 룰(2410)은 하이퍼콜의 정량적 호출 현황에 대한 분석 기반의 룰(예를 들어, 가상머신 별 단위 시간당 하이퍼콜 횟수), 하이퍼콜의 정성적 호출 현황에 대한 분석 기반의 룰(예를 들어, 가상머신 별 단위 시간당 특정 하이퍼콜 횟수) 등을 포함할 수 있다. 해당 하이퍼콜의 호출 현황에 대한 분석 기반의 룰들은 가상화 시스템(10)의 현재 부하와 연관 지어서 판단된다.
자원 사용 분석 룰(2420)은 네트워크 트래픽 분석 기반의 룰(예를 들어, 가상 머신 별 단위 시간당 네트워크 트래릭 부하 및 패턴), 스토리지 접근 행위 분석 기반의 룰(가상 머신 별 단위 시간당 스토리지 접근 행위 패턴), 메모리 사용 행위 분석 기반의 룰(예를 들어, 가상 머신 별 단위 시간당 메모리 thrashing 현황) 등을 포함할 수 있다. 해당 자원 사용 분석 기반의 룰들은 가상화 시스템(10)의 현재 부하와 연관 지어서 판단된다.
외부 접속 분석 룰(2430)은 가상 머신의 접속 호스트 IP 현황 분석 기반의 룰(예를 들어, 가상 머신 별 접속중인 호스트 현황), 가상 머신의 접속 이상행위 분석 기반의 룰(예를 들어, 가상 머신 별 네트워크 프로토콜 실행의 이상 행위), 가상 머신의 접속 호스트 현황 및 이상행위의 연관 분석 기반 룰 등을 포함할 수 있다.
가상화 시스템 내부 정보 수집 및 관리기(2440)는 vIPS 프레임워크(2120)를 통해 가상화 시스템(10) 내의 가상 머신 및 하이퍼바이저(1000)의 내부 정보를 수집하고 관리한다. 가상화 시스템 내부 정보 수집 및 관리기(2440)는 룰 셋들이 필요로 하는 내부 정보의 목록을 추출 후, 필요한 정보만을 획득 및 관리한다.
룰 관리기(2460)는 룰 셋들을 관리한다.
룰 적용 처리기(2450)는 가상화 시스템(10)의 내부 정보가 가상화 자원 고갈 공격 시그니쳐 룰들과 매칭되는 지를 검사한다. 가상화 자원 고갈 공격 시그니쳐 룰은 하이퍼콜 분석 룰(2410), 자원 사용 분석 룰(2420), 외부 접속 분석 룰(2430)을 포함한다. 룰 적용 처리기(2450)는 룰에 매칭되는 경우 탐지 결과를 침입 방지 시스템 제어 모듈(2122)에 통보하고, 해당 모듈을 통해 보안 이벤트를 발생시켜 로깅 모듈(2125)을 통한 로깅을 수행한다.
도 20은 도 2의 외부 인터페이스 모듈(2150)의 세부 구성을 설명하기 위한 블록도이다.
도 20을 참조하면, 외부 인터페이스 모듈(2150)은 클라우드 에이전트(3000) 및 기타 외부와의 연동을 위한 외부 인터페이스를 제공한다.
외부 인터페이스는 가상화 시스템(10) 자원 정보 인터페이스(로그파일 형태), vIPS(2000) 로그 인터페이스(로그파일 형태), 보안 이벤트 인터페이스(Syslog 형태), 네트워크 트래픽 정보 인터페이스(Netflow 형태), 보안 제어 인터페이스(XML-RPC 형태), vIPS(2000) 제어 인터페이스(XML-RPC 형태)를 포함한다.
외부 인터페이스 모듈(2150)은 가상화 시스템 자원 정보 수집기(2151), 보안제어 인터페이스 처리기, vIPS(2000)제어 인터페이스 처리기를 포함한다.
가상화 시스템 자원 정보 수집기(2151)는 가상화 시스템(10)의 자원 정보를 가상화 시스템 내부 정보 수집 및 분석 모듈(2121)을 통해 주기적으로 수집하고, 수집된 정보를 로그 파일 형태로 디스크에 기록한다.
보안 제어 인터페이스 처리기(2152)는 클라우드 에이전트(3000)에게 보안 제어 인터페이스를 XML-RPC 형태의 API로 제공하고, 클라우드 에이전트(3000)가 호출한 보안 제어 명령을 하이퍼바이저 보안 API 모듈(2110)을 통해 실행한다.
vIPS 제어 인터페이스 처리기(2153)는 클라우드 에이전트(3000)에게 vIPS(2000)의 제어를 위한 인터페이스를 XML-RPC 형태의 API로 제공한다. vIPS 제어 인터페이스 처리기(2153)는 클라우드 에이전트(3000)가 조회하는 vIPS(2000)의 환경 설정 값들을 제공하고, 호출하는 vIPS(2000)의 제어 명령 실행한다.
보안 이벤트 전송기(2154)는 클라우드 에이전트(3000)에게 보안 이벤트 인터페이스를 제공한다. 보안 이벤트 인터페이스는 vIPS(2000)가 발생시키는 보안 이벤트를 Syslog 프로토콜을 이용해서 생성할 수 있다.
네트워크 트래픽 정보 인터페이스는 XenServer의 경우 Open vSwitch에 의해 제공할 수 있고, VMware의 경우 vSphere가 제공할 수 있다. vIPS(2000) 제어 인터페이스는 XenServer가 XenAPI를 위해 HTTPS over port 443를 사용하므로, 다른 포트를 사용하는 HTTPS 방식으로 통신할 수 있다. 단, vIPS(2000) 제어 인터페이스는 vIPS(2000)와 동일한 서버에 존재하는 클라우드 에이전트(3000)를 위해서 HTTP를 사용할 수 있다.
본 발명의 실시예와 관련하여 설명된 방법 또는 알고리즘의 단계는 프로세서에 의해 실행되는 하드웨어, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 당업계에 알려진 임의의 다른 형태의 컴퓨터로 읽을 수 있는 기록 매체에 상주할 수도 있다. 예시적인 기록 매체는 프로세서에 커플링되며, 그 프로세서는 기록 매체로부터 정보를 판독할 수 있고 기록 매체에 정보를 기입할 수 있다. 다른 방법으로, 기록 매체는 프로세서와 일체형일 수도 있다. 프로세서 및 저장 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 저장 매체는 사용자 단말기 내에 개별 컴포넌트로서 상주할 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
10: 가상화 시스템
20: 클라우드 통합 보안 관제 시스템
1000: 하이퍼바이저
2000: 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템
2100: 하이퍼바이저 기반 침입 방지 플랫폼
2110: 하이퍼바이저 보안 API 모듈
2120: vIPS 프레임워크
2121: 가상화 시스템 내부 정보 수집 및 분석 모듈
2122: 침입 방지 시스템 제어 모듈
2123: 침입 대응 처리 모듈
2124: 정책 및 시그니쳐 관리 모듈
2125: 로깅 모듈
2130: 관리자 계정 관리 및 인증 모듈
2140: 환경 설정 관리 모듈
2150: 외부 인터페이스 모듈
2200: Stateful 방화벽 모듈
2300: NIPS 모듈
2400: 가상화 자원 고갈 공격 탐지 모듈
3000: 클라우드 에이전트

Claims (15)

  1. 하이퍼바이저로부터 가상화 시스템의 내부 정보를 획득하고, 상기 가상화 시스템의 내부 정보를 이용한 침입 탐지 결과에 대응하여 상기 하이퍼바이저에 보안 제어를 수행하는 vIPS 프레임워크;
    상기 vIPS 프레임워크가 상기 하이퍼바이저에 접근하기 위한 API를 제공하는 하이퍼바이저 보안 API 모듈;
    가상화 네트워크 침입 방지 시스템의 관리자 계정을 관리하고, 상기 관리자 계정의 인증을 수행하는 관리자 계정 관리 및 인증 모듈;
    상기 가상화 네트워크 침입 방지 시스템의 내부 모듈들의 환경 설정 값들을 관리하는 환경 설정 관리 모듈; 및
    외부에 시스템 제어 및 보안 제어를 위한 인터페이스를 제공하는 외부 인터페이스 모듈을 포함하는, 하이퍼바이저 기반 침입 방지 플랫폼.
  2. 제1항에 있어서,
    상기 vIPS 프레임워크는 상기 하이퍼바이저로부터 가상 머신의 내부 정보, 상기 하이퍼바이저의 내부 정보, 상기 가상화 시스템의 가상 네트워크 패킷을 획득하는 가상화 시스템 내부 정보 수집 및 분석 모듈을 포함하는, 하이퍼바이저 기반 침입 방지 플랫폼.
  3. 제1항에 있어서,
    상기 vIPS 프레임워크는 대응 정책에 기반하여 상기 침입 탐지 결과에 대한 대응 행위을 결정하는 침입 대응 처리 모듈을 포함하는, 하이퍼바이저 기반 침입 방지 플랫폼.
  4. 제1항에 있어서,
    상기 vIPS 프레임워크는 방화벽 정책 룰, 탐지 시그니쳐 룰, 대응 정책 룰, 실시간 접근 제어 룰을 관리하는 정책 및 시그니쳐 관리 모듈을 포함하는, 하이퍼바이저 기반 침입 방지 플랫폼.
  5. 제1항에 있어서,
    상기 vIPS 프레임워크는 로그를 생성하고 관리하는 로깅 모듈을 포함하는, 하이퍼바이저 기반 침입 방지 플랫폼.
  6. 제1항에 있어서,
    상기 가상화 시스템의 내부 정보는 가상 머신의 내부 정보, 하이퍼바이저의 내부 정보, 상기 가상화 시스템의 가상 네트워크 패킷을 포함하는, 하이퍼바이저 기반 침입 방지 플랫폼.
  7. 제1항에 있어서,
    상기 보안 제어는 가상 머신의 동작 제어, 가상 네트워크 트래픽의 레이트(rate) 제어를 포함하는, 하이퍼바이저 기반 침입 방지 플랫폼.
  8. 가상 머신의 내부 정보, 하이퍼바이저의 내부 정보, 가상화 시스템의 가상 네트워크 패킷를 이용하여 침입 탐지를 수행하는 침입 탐지 모듈; 및
    상기 가상 머신의 내부 정보, 상기 하이퍼바이저의 내부 정보, 상기 가상화 시스템의 가상 네트워크 패킷을 상기 침입 탐지 모듈에 제공하고, 상기 침입 탐지 모듈로부터 침입 탐지 결과를 입력받는 하이퍼바이저 기반 침입 방지 플랫폼을 포함하되,
    상기 하이퍼바이저 기반 침입 방지 플랫폼은, 상기 하이퍼바이저로부터 상기 가상 머신의 내부 정보, 상기 하이퍼바이저의 내부 정보, 상기 가상화 시스템의 가상 네트워크 패킷을 획득하고, 상기 침입 탐지 결과에 대응하여 상기 하이퍼바이저에 상기 가상 머신의 동작 제어, 상기 가상 네트워크 트래픽의 레이트 제어를 수행하는 vIPS 프레임워크와,
    상기 vIPS 프레임워크가 상기 하이퍼바이저에 접근하기 위한 API를 제공하는 하이퍼바이저 보안 API 모듈과,
    시스템의 관리자 계정을 관리하고, 상기 관리자 계정의 인증을 수행하는 관리자 계정 관리 및 인증 모듈과,
    시스템의 내부 모듈들의 환경 설정 값들을 관리하는 환경 설정 관리 모듈과,
    외부에 시스템 제어 및 보안 제어를 위한 인터페이스를 제공하는 외부 인터페이스 모듈을 포함하는, 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템.
  9. 제8항에 있어서,
    상기 vIPS 프레임워크는 상기 하이퍼바이저로부터 가상 머신의 내부 정보, 상기 하이퍼바이저의 내부 정보, 상기 가상화 시스템의 가상 네트워크 패킷을 획득하는 가상화 시스템 내부 정보 수집 및 분석 모듈을 포함하는, 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템.
  10. 제8항에 있어서,
    상기 vIPS 프레임워크는 대응 정책에 기반하여 상기 침입 탐지 결과에 대한 대응 행위을 결정하는 침입 대응 처리 모듈을 포함하는, 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템.
  11. 제8항에 있어서,
    상기 vIPS 프레임워크는 방화벽 정책 룰, 탐지 시그니쳐 룰, 대응 정책 룰, 실시간 접근 제어 룰을 관리하는 정책 및 시그니쳐 관리 모듈을 포함하는, 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템.
  12. 제8항에 있어서,
    상기 vIPS 프레임워크는 로그를 생성하고 관리하는 로깅 모듈을 포함하는, 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템.
  13. 제8항에 있어서,
    상기 침입 탐지 모듈은 Stateful 방화벽의 엔진 기능을 수행하는 Stateful 방화벽 모듈을 포함하고, 상기 Stateful 방화벽 모듈은 가상 네트워크 패킷에 대하여 Stateful Packet Inspection을 수행하여 침입 탐지를 수행하는, 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템.
  14. 제8항에 있어서,
    상기 침입 탐지 모듈은 네트워크 기반 IPS(Intrusion Prevention System)의 엔진 기능을 수행하는 NIPS 모듈을 포함하고, 상기 NIPS 모듈은 가상 네트워크 패킷에 대하여 DPI(Deep Packet Inspection)을 수행하여 침입 탐지를 수행하는, 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템.
  15. 제8항에 있어서,
    상기 침입 탐지 모듈은 가상화 자원에 대한 자원 고갈 공격을 탐지하는 가상화 자원 고갈 공격 탐지 모듈을 포함하고, 상기 가상화 자원 고갈 공격 탐지 모듈은 하이퍼콜 호출 행위, 상기 가상화 시스템의 자원 사용 현황을 분석하여 침입 탐지를 수행하는, 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템.
KR1020130044139A 2013-04-22 2013-04-22 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템 Expired - Fee Related KR101394424B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130044139A KR101394424B1 (ko) 2013-04-22 2013-04-22 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템
US13/871,264 US20140317737A1 (en) 2013-04-22 2013-04-26 Hypervisor-based intrusion prevention platform and virtual network intrusion prevention system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130044139A KR101394424B1 (ko) 2013-04-22 2013-04-22 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템

Publications (1)

Publication Number Publication Date
KR101394424B1 true KR101394424B1 (ko) 2014-05-13

Family

ID=50893947

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130044139A Expired - Fee Related KR101394424B1 (ko) 2013-04-22 2013-04-22 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템

Country Status (2)

Country Link
US (1) US20140317737A1 (ko)
KR (1) KR101394424B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170115046A (ko) * 2015-02-04 2017-10-16 인텔 코포레이션 가상화된 네트워크의 스케일러블 보안 아키텍처를 위한 기술
KR20180086919A (ko) * 2017-01-24 2018-08-01 한국전자통신연구원 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법
CN113886007A (zh) * 2021-09-18 2022-01-04 云宏信息科技股份有限公司 Kvm虚拟化系统配置方法、管理方法、系统及介质

Families Citing this family (85)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9930066B2 (en) 2013-02-12 2018-03-27 Nicira, Inc. Infrastructure level LAN security
US9286047B1 (en) 2013-02-13 2016-03-15 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US10095863B2 (en) * 2013-08-14 2018-10-09 Hewlett Packard Enterprise Development Lp Automating monitoring of a computing resource in a cloud-based data center
US9246935B2 (en) 2013-10-14 2016-01-26 Intuit Inc. Method and system for dynamic and comprehensive vulnerability management
US9313281B1 (en) 2013-11-13 2016-04-12 Intuit Inc. Method and system for creating and dynamically deploying resource specific discovery agents for determining the state of a cloud computing environment
US9501345B1 (en) 2013-12-23 2016-11-22 Intuit Inc. Method and system for creating enriched log data
US9323926B2 (en) * 2013-12-30 2016-04-26 Intuit Inc. Method and system for intrusion and extrusion detection
US20150304343A1 (en) 2014-04-18 2015-10-22 Intuit Inc. Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment
US9325726B2 (en) 2014-02-03 2016-04-26 Intuit Inc. Method and system for virtual asset assisted extrusion and intrusion detection in a cloud computing environment
US10757133B2 (en) 2014-02-21 2020-08-25 Intuit Inc. Method and system for creating and deploying virtual assets
US9866581B2 (en) 2014-06-30 2018-01-09 Intuit Inc. Method and system for secure delivery of information to computing environments
US9276945B2 (en) 2014-04-07 2016-03-01 Intuit Inc. Method and system for providing security aware applications
US9606853B2 (en) * 2014-03-28 2017-03-28 Intel Corporation Protecting a memory device from becoming unusable
US9245117B2 (en) 2014-03-31 2016-01-26 Intuit Inc. Method and system for comparing different versions of a cloud based application in a production environment using segregated backend systems
US11294700B2 (en) 2014-04-18 2022-04-05 Intuit Inc. Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets
US9374389B2 (en) 2014-04-25 2016-06-21 Intuit Inc. Method and system for ensuring an application conforms with security and regulatory controls prior to deployment
US9319415B2 (en) 2014-04-30 2016-04-19 Intuit Inc. Method and system for providing reference architecture pattern-based permissions management
US9900322B2 (en) 2014-04-30 2018-02-20 Intuit Inc. Method and system for providing permissions management
US9330263B2 (en) 2014-05-27 2016-05-03 Intuit Inc. Method and apparatus for automating the building of threat models for the public cloud
US10445509B2 (en) * 2014-06-30 2019-10-15 Nicira, Inc. Encryption architecture
US10102082B2 (en) 2014-07-31 2018-10-16 Intuit Inc. Method and system for providing automated self-healing virtual assets
US9473481B2 (en) 2014-07-31 2016-10-18 Intuit Inc. Method and system for providing a virtual asset perimeter
US9591018B1 (en) * 2014-11-20 2017-03-07 Amazon Technologies, Inc. Aggregation of network traffic source behavior data across network-based endpoints
US9961105B2 (en) * 2014-12-31 2018-05-01 Symantec Corporation Systems and methods for monitoring virtual networks
US10264020B1 (en) 2015-02-05 2019-04-16 Symantec Corporation Systems and methods for scalable network monitoring in virtual data centers
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US9497165B2 (en) * 2015-03-26 2016-11-15 International Business Machines Corporation Virtual firewall load balancer
US20160283259A1 (en) * 2015-03-28 2016-09-29 Mcafee, Inc. Management of agentless virtual machines via security virtual appliance
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US9645842B2 (en) * 2015-04-28 2017-05-09 United States Of America As Represented By Secretary Of The Navy Cybernaut: a cloud-oriented energy-efficient intrusion-tolerant hypervisor
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US9800497B2 (en) 2015-05-27 2017-10-24 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10089099B2 (en) 2015-06-05 2018-10-02 Cisco Technology, Inc. Automatic software upgrade
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US10033766B2 (en) 2015-06-05 2018-07-24 Cisco Technology, Inc. Policy-driven compliance
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US9992212B2 (en) * 2015-11-05 2018-06-05 Intel Corporation Technologies for handling malicious activity of a virtual network driver
JP6693114B2 (ja) * 2015-12-15 2020-05-13 横河電機株式会社 制御装置及び統合生産システム
JP6759572B2 (ja) 2015-12-15 2020-09-23 横河電機株式会社 統合生産システム
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10931629B2 (en) 2016-05-27 2021-02-23 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
US10798073B2 (en) 2016-08-26 2020-10-06 Nicira, Inc. Secure key management protocol for distributed network encryption
KR102511451B1 (ko) 2016-11-09 2023-03-17 삼성전자주식회사 리치 실행 환경에서 보안 어플리케이션을 안전하게 실행하는 컴퓨팅 시스템
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10581859B2 (en) 2017-08-07 2020-03-03 International Business Machines Corporation Detection and prevention of attempts to access sensitive information in real-time
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US11765046B1 (en) 2018-01-11 2023-09-19 Cisco Technology, Inc. Endpoint cluster assignment and query generation
US10873593B2 (en) 2018-01-25 2020-12-22 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10917438B2 (en) 2018-01-25 2021-02-09 Cisco Technology, Inc. Secure publishing for policy updates
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
WO2019237072A1 (en) * 2018-06-08 2019-12-12 Nvidia Corporation Virtualized intrusion detection and prevention in autonomous vehicles
US10846342B2 (en) * 2018-12-04 2020-11-24 Dhiraj Sharan Artificial intelligence-assisted information technology data management and natural language playbook system
US11397832B2 (en) * 2018-12-04 2022-07-26 Dhiraj Sharan Virtual data lake system created with browser-based decentralized data access and analysis
US11258635B2 (en) * 2018-12-28 2022-02-22 Alibaba Group Holding Limited Overlay network routing using a programmable switch
US11895092B2 (en) * 2019-03-04 2024-02-06 Appgate Cybersecurity, Inc. Network access controller operation
US11297106B2 (en) 2019-07-08 2022-04-05 Secnap Network Security Corp. Pre-routing intrusion protection for cloud based virtual computing environments
FR3098615B1 (fr) * 2019-07-08 2021-07-02 Secnap Network Security Corp Protection contre les intrusions avant routage pour environnements informatiques virtuels en nuage
EP4229785A4 (en) * 2020-10-13 2024-08-28 Bedrock Systems, Inc. FORMALLY VERIFIED SECURE COMPUTER BASE WITH ACTIVE POLICY AND SECURITY APPLICATION
US20220394059A1 (en) * 2021-06-08 2022-12-08 Level 3 Communications, Llc Lightweight tuned ddos protection
CA3224133A1 (en) * 2021-06-24 2022-12-29 Amit Vasudevan System and method implementing an architecture for trusted edge iot security gateways

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120011962A (ko) * 2010-07-29 2012-02-09 삼성에스디에스 주식회사 가상머신의 보안 강화를 위한 단말장치, 서버 및 방법
KR20120061249A (ko) * 2010-12-03 2012-06-13 한국과학기술원 하이퍼바이저를 활용한 사용자 어플리케이션 메모리 보호방법
KR20130033161A (ko) * 2011-09-26 2013-04-03 인텔렉추얼디스커버리 주식회사 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
KR20130126569A (ko) * 2013-10-24 2013-11-20 삼성에스디에스 주식회사 커넥터 어플리케이션의 자동화 배포를 위한 멀티 테넌트 SaaS 플랫폼 및 그를 위한 방법, 그리고, 가상머신을 이용하는 테넌트와 서비스 공급업체

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140373144A9 (en) * 2006-05-22 2014-12-18 Alen Capalik System and method for analyzing unauthorized intrusion into a computer network
CA2661398C (en) * 2008-04-05 2016-05-17 Third Brigade Inc. System and method for intelligent coordination of host and guest intrusion prevention in virtualized environment
US8799997B2 (en) * 2011-04-18 2014-08-05 Bank Of America Corporation Secure network cloud architecture
US9197653B2 (en) * 2012-06-05 2015-11-24 Empire Technology Development Llc Cross-user correlation for detecting server-side multi-target intrusion

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120011962A (ko) * 2010-07-29 2012-02-09 삼성에스디에스 주식회사 가상머신의 보안 강화를 위한 단말장치, 서버 및 방법
KR20120061249A (ko) * 2010-12-03 2012-06-13 한국과학기술원 하이퍼바이저를 활용한 사용자 어플리케이션 메모리 보호방법
KR20130033161A (ko) * 2011-09-26 2013-04-03 인텔렉추얼디스커버리 주식회사 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
KR20130126569A (ko) * 2013-10-24 2013-11-20 삼성에스디에스 주식회사 커넥터 어플리케이션의 자동화 배포를 위한 멀티 테넌트 SaaS 플랫폼 및 그를 위한 방법, 그리고, 가상머신을 이용하는 테넌트와 서비스 공급업체

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170115046A (ko) * 2015-02-04 2017-10-16 인텔 코포레이션 가상화된 네트워크의 스케일러블 보안 아키텍처를 위한 기술
KR102454075B1 (ko) * 2015-02-04 2022-10-14 인텔 코포레이션 가상화된 네트워크의 스케일러블 보안 아키텍처를 위한 기술
US11533341B2 (en) 2015-02-04 2022-12-20 Intel Corporation Technologies for scalable security architecture of virtualized networks
KR20180086919A (ko) * 2017-01-24 2018-08-01 한국전자통신연구원 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법
KR102088308B1 (ko) 2017-01-24 2020-03-12 한국전자통신연구원 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법
CN113886007A (zh) * 2021-09-18 2022-01-04 云宏信息科技股份有限公司 Kvm虚拟化系统配置方法、管理方法、系统及介质
CN113886007B (zh) * 2021-09-18 2022-03-01 云宏信息科技股份有限公司 Kvm虚拟化系统配置方法、管理方法、系统及介质

Also Published As

Publication number Publication date
US20140317737A1 (en) 2014-10-23

Similar Documents

Publication Publication Date Title
KR101394424B1 (ko) 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템
US12224921B2 (en) Technologies for managing compromised sensors in virtualized environments
US11743289B2 (en) Managing transmissions of virtual machines using a network interface controller
KR102301721B1 (ko) 다수의 네트워크 종점들을 보호하기 위한 듀얼 메모리 인트로스펙션
EP3214568B1 (en) Method, apparatus and system for processing cloud application attack behaviours in cloud computing system
US9166988B1 (en) System and method for controlling virtual network including security function
US8949827B2 (en) Tracking a virtual machine
EP2204948B1 (en) Apparatus, system and method for managing subscription requests for configuring a network interface component
US8707417B1 (en) Driver domain as security monitor in virtualization environment
US20170054686A1 (en) Agentless Security of Virtual Machines using a Filtering Platform
US9276953B2 (en) Method and apparatus to detect and block unauthorized MAC address by virtual machine aware network switches
US10623439B2 (en) Computer system and control method thereof
CN104023034A (zh) 一种基于软件定义网络的安全防御系统及防御方法
KR101454837B1 (ko) 하이퍼바이저 보안 api 모듈 및 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템
JP7026298B2 (ja) セキュアモードとノンセキュアモードとを選択的に切り替え可能なシステム
US20180137274A1 (en) Malware analysis method and storage medium
US20180165156A1 (en) Communication apparatus, system, method, and non-transitory medium
Fan et al. Adaptive and flexible virtual honeynet
CN104023035A (zh) 一种同一安全域内虚机之间流量的防护方法
US10459631B2 (en) Managing deletion of logical objects of a managed system
Chouhan et al. Network based malware detection within virtualised environments
KR101454838B1 (ko) 하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템
Xiaopeng et al. VNSS: a Network Security sandbox for virtual Computing environment
Winarno et al. A performance evaluation of resilient server with a self-repair network model
US20240370292A1 (en) Automatic Reconfiguration of Network Interface Driver on Network Sensor

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20130422

PA0201 Request for examination
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20140424

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20140507

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20140508

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
LAPS Lapse due to unpaid annual fee
PC1903 Unpaid annual fee

Termination category: Default of registration fee

Termination date: 20180218