| 1 |
1
공격자의 공격에 대해서 보호 대상 시스템을 가장하여 응답하고, 공격자의 공격을 모니터링하며, 공격에 의해 수정된 중요 파일들을 복구하는 허니팟; 복구 대상이 되는 중요 파일의 원본과 수정된 파일들을 저장하는 저장 서버; 및 상기 허니팟에서 발생하는 로그를 취합하여 추후 공격자의 역추적을 가능케하는 로그 서버를 포함하는 것을 특징으로 하는 허니팟 시스템
|
| 2 |
2
청구항 1에 있어서, 허니팟 관리, 중요 파일의 관리, 모니터링 로그 보여주기 기능을 담당하는 허니팟 매니저를 더 포함하는 것을 특징으로 하는 허니팟 시스템
|
| 3 |
3
청구항 1 또는 청구항 2에 있어서, 상기 허니팟은, 상기 허니팟 매니저와 교신하고 실제 설정들을 바꾸는 역할을 수행하는 데몬; UI 요청을 처리하고 손상된 자원을 자동복구하는 커널 모듈; 및 상기 데몬과 커널 모듈이 통신하는데 사용되는 캐릭터 디바이스를 포함하는 것을 특징으로 하는 허니팟 시스템
|
| 4 |
4
청구항 3에 있어서, 상기 커널 모듈은 리눅스 커널 모듈인 것을 특징으로 하는 허니팟 시스템
|
| 5 |
5
청구항 3에 있어서, 상기 커널 모듈은 캐릭터 디바이스 드라이버와 시스템 콜 프로세싱부를 포함하는 것을 특징으로 하는 허니팟 시스템
|
| 6 |
6
청구항 5에 있어서, 상기 캐릭터 디바이스 드라이버는 UI와의 통신을 위해 캐릭터 디바이스의 커맨드 세트를 정의하여 실제 UI의 요청을 처리하는 것을 특징으로 하는 허니팟 시스템
|
| 7 |
7
청구항 5에 있어서, 상기 시스템 콜 프로세싱부는 로깅 기능을 지원하기 위해 기존의 시스템 콜을 재정의된 시스템 콜로 바꾸고, 침입자의 공격으로 손상된 시스템 자원의 자동 복구를 시행하는 것을 특징으로 하는 허니팟 시스템
|
| 8 |
8
청구항 3에 있어서, 상기 커널 모듈은 사용자의 키스트로크 캡쳐, 프로세스 실행 감시, 파일 접근 및 변경 감시 등을 위해 시스템 콜들을 후킹하는 것을 특징으로 하는 허니팟 시스템
|
| 9 |
9
청구항 7에 있어서, 상기 시스템 콜은 사용자 키로그 캡쳐에 관련한 read 시스템 콜, 모든 프로세스 실행 내역을 로깅하는 execve 시스템 콜, 중요 파일에 대한 접근 내역을 로깅하는 open 시스템 콜, 중요 파일의 변경 내역을 로깅하고 중요 파일 변경시 복원을 수행하는 write 시스템 콜, 숨기고 싶은 파일들을 사용자에게 보이지 않기 위해 사용하는 getdents64, stat64 시스템 콜, 특정 프로세스를 사용자에게서 감추기 위해 사용하는 kill 시스템 콜, 및 감추어진 프로세스에서 파생된 차일드 프로세스를 숨기는데 사용되는 fork, clone 시스템 콜을 포함하는 것을 특징으로 하는 허니팟 시스템
|
| 10 |
10
청구항 3 또는 청구항 8에 있어서, 상기 커널 모듈은 시스템의 execve 시스템 콜을 모니터링하다가 셸이 실행되는 순간에 실행된 셸의 프로세스 ID를 해시 테이블에 기록하고, 다음에 read 시스템 콜을 모니터링하다가 해시 테이블에 기록된 프로세스에 대한 스탠다드-인으로 들어오는 키스트로크를 캡쳐하도록 구성되는 것을 특징으로 하는 허니팟 시스템
|
| 11 |
11
청구항 1에 있어서, 상기 허니팟은 허니팟 로그를 SSL 채널을 이용하여 로그 서버로 전송하는 것을 특징으로 하는 허니팟 시스템
|
| 12 |
11
청구항 1에 있어서, 상기 허니팟은 허니팟 로그를 SSL 채널을 이용하여 로그 서버로 전송하는 것을 특징으로 하는 허니팟 시스템
|
