1 |
1
보안 인스턴스의 보안 프로파일 생성 시스템의 동작 방법에 있어서,컨테이너로부터 실행코드 및 라이브러리 파일을 추출함으로써 분석 대상을 식별하는 단계;시스템 콜 목록을 생성하기 위하여 상기 실행코드 및 상기 라이브러리 파일을 대상으로 바이너리 정적 분석을 수행하는 단계; 및상기 시스템 콜 목록을 근거로 하여 SECCOMP(Secure Computing Mode) 보안 프로파일을 생성하는 단계를 포함하는 방법
|
2 |
2
제 1 항에 있어서,상기 분석 대상을 식별하는 단계는,컨테이너 이미지 저장소에 상기 컨테이너에 대응하는 이미지 메타 데이터 및 이미지 파일을 요청하는 단계;상기 컨테이너 이미지 저장소로부터 상기 이미지 메타 데이터 및 상기 이미지 파일을 획득하는 단계; 및상기 이미지 메타 데이터 및 상기 이미지 파일을 이용하여 상기 컨테이너를 실행하는 단계를 포함하는 방법
|
3 |
3
제 2 항에 있어서,상기 분석 대상을 식별하는 단계는,상기 컨테이너를 실행할 때 함께 로드되는 상기 실행코드 및 상기 라이브러리 파일을 식별하는 단계; 및상기 식별된 실행코드 및 상기 라이브러리 파일을 추출하는 단계를 더 포함하는 방법
|
4 |
4
제 3 항에 있어서,호스트에서 상기 컨테이너의 proc 파일시스템 정보를 참조하여 상기 컨테이너 내부에서 실행되는 상기 실행코드 및 상기 라이브러리 파일이 수집되는 것을 특징으로 하는 방법
|
5 |
5
제 1 항에 있어서,상기 바이너리 정적 분석을 수행하는 단계는,상기 실행코드 및 상기 라이브러리 파일의 동적 링킹 관계를 식별하는 단계;상기 실행코드 및 상기 라이브러리 파일이 호출하는 직접 혹은 간접 시스템 콜을 식별하는 단계; 및상기 식별된 시스템 콜에 대한 상기 시스템 콜 목록을 생성하는 단계를 포함하는 방법
|
6 |
6
제 5 항에 있어서,상기 바이너리 정적 분석을 수행하는 단계는,상기 직접 혹은 간접 시스템 콜이 참조하는 레지스터(EAX(Extended Accumulator Register) 혹은 rdi/edi 레지스터) 값을 식별하고, 필요한 경우 상기 레지스터의 값을 추적하기 위하여 상세 제어 흐름 분석을 수행하는 단계를 더 포함하는 방법
|
7 |
7
제 1 항에 있어서,상기 SECCOMP 보안 프로파일을 생성하는 단계는,상기 시스템 콜 목록으로부터 시스템 콜 화이트리스트를 생성하는 단계를 더 포함하는 방법
|
8 |
8
제 7 항에 있어서,상기 SECCOMP 보안 프로파일을 생성하는 단계는,대상 컨테이너 플랫폼 환경에 적용 가능한 형식의 상기 SECCOMP 보안 프로파일을 생성하는 단계를 더 포함하는 방법
|
9 |
9
제 7 항에 있어서,상기 생성된 SECCOMP 보안 프로파일을 컨테이너 운용 호스트의 보안 프로파일 저장 위치에 추가하는 단계를 더 포함하는 방법
|
10 |
10
제 9 항에 있어서,상기 컨테이너 운용 호스트는 상기 컨테이너가 실행될 때 상기 SECCOMP 보안 프로파일을 근거로 하여 상기 컨테이너의 시스템 콜 호출을 필터링하는 것을 특징으로 하는 방법
|
11 |
11
보안 인스턴스의 보안 프로파일 생성 시스템에 있어서:적어도 하나의 프로세서; 및상기 적어도 하나의 프로세서에 의해 실행되는 적어도 하나의 인스트럭션을 저장하는 메모리를 포함하고,상기 적어도 하나의 인스트럭션은,분석대상 식별 서브시스템에서 컨테이너로부터 실행코드 및 라이브러리 파일을 추출함으로써 분석 대상을 식별하고;바이너리 정적 분석 서브시스템에서 시스템 콜 목록을 생성하기 위하여 상기 실행코드 및 상기 라이브러리 파일을 대상으로 바이너리 정적 분석을 수행하고; 및보안 프로파일 생성 서브시스템에서 상기 시스템 콜 목록을 근거로 하여 SECCOMP(Secure Computing Mode) 보안 프로파일을 생성하도록 구현되고,상기 분석대상 식별 서브시스템, 상기 바이너리 정적 분석 서브시스템, 및 상기 보안 프로파일 생성 서브시스템은 가상화 시스템인 것을 특징으로 하는 보안 프로파일 생성 시스템
|
12 |
12
제 11 항에 있어서,상기 분석대상 식별 서브시스템은,컨테이너 이미지 저장소로부터 상기 컨테이너에 대응하는 이미지를 획득한 후 상기 컨테이너를 실행하는 컨테이너 인스턴스 실행 모듈;상기 컨테이너에서 실행되는 어플리케이션 및 공유 라이브러리 정보를 수집하는 정보수집 모듈; 및상기 컨테이너의 파일시스템으로부터 상기 수집된 정보를 근거로 하여 상기 실행코드 및 상기 라이브러리 파일을 추출하는 분석대상 식별 모듈을 포함하는 보안 프로파일 생성 시스템
|
13 |
13
제 11 항에 있어서,상기 바이너리 정적 분석 서브시스템은,상기 실행코드 및 상기 라이브러리 파일 사이의 참조 관계를 파악하는 바이너리 의존성 분석 모듈;상기 실행코드 및 상기 라이브러리 파일이 호출하는 직접 혹은 간접 시스템 콜을 식별하는 시스템 콜 식별 모듈; 및상기 시스템 콜이 인자 값으로 참조하는 레지스터(EAX(Extended Accumulator Register) 혹은 rdi/edi 레지스터)값을 추적하기 위하여 제어 흐름 추적, symbolic execution 혹은 concolic testing을 이용하여 상세 제어 흐름을 분석하는 상세 제어 흐름 분석 모듈을 포함하는 보안 프로파일 생성 시스템
|
14 |
14
제 11 항에 있어서,상기 보안 프로파일 생성 서브시스템은,상기 시스템 콜 목록을 수신하고 컨테이너 운용 호스트에서 사용하는 형식의 보안 프로파일을 생성하는 보안 프로파일 변환 모듈;상기 보안 프로파일을 상기 컨테이너 운용 호스트의 보안 프로파일 저장 위치에 저장시키는 보안 프로파일 전달 모듈; 및상기 보안 프로파일을 저장하는 보안 프로파일 데이터베이스를 포함하는 보안 프로파일 생성 시스템
|
15 |
15
제 14 항에 있어서,상기 보안 프로파일 데이터베이스의 레코드는 컨테이너 인스턴스 정보, 설치된 어플리케이션 정보, 및 상기 보안 프로파일을 포함하는 보안 프로파일 생성 시스템
|
16 |
16
컨테이너 가상화 시스템에 있어서:컨테이너 운용 호스트; 및보안 프로파일 생성 시스템을 포함하고,상기 보안 프로파일 생성 시스템은,적어도 하나의 프로세서; 및상기 적어도 하나의 프로세서에 의해 실행되는 적어도 하나의 인스트럭션을 저장하는 메모리를 포함하고,상기 적어도 하나의 인스트럭션은,분석대상 식별 서브시스템에서 컨테이너로부터 실행코드 및 라이브러리 파일을 추출함으로써 분석 대상을 식별하고;바이너리 정적 분석 서브시스템에서 시스템 콜 목록을 생성하기 위하여 상기 실행코드 및 상기 라이브러리 파일을 대상으로 바이너리 정적 분석을 수행하고; 및보안 프로파일 생성 서브시스템에서 상기 시스템 콜 목록을 근거로 하여 SECCOMP(Secure Computing Mode) 보안 프로파일을 생성하도록 구현되는 것을 특징으로 하는 컨테이너 가상화 시스템
|
17 |
17
제 16 항에 있어서,상기 분석대상 식별 서브시스템은,컨테이너 이미지 저장소로부터 상기 컨테이너에 대응하는 이미지를 획득한 후 상기 컨테이너를 실행하는 컨테이너 인스턴스 실행 모듈;상기 컨테이너에서 실행되는 어플리케이션 및 공유 라이브러리 정보를 수집하는 정보수집 모듈; 및상기 컨테이너의 파일시스템으로부터 상기 수집된 정보를 근거로 하여 상기 실행코드 및 상기 라이브러리 파일을 추출하는 분석대상 식별 모듈을 포함하는 보안 프로파일 생성 시스템
|
18 |
18
제 16 항에 있어서,상기 바이너리 정적 분석 서브시스템은,상기 실행코드 및 상기 라이브러리 파일 사이의 참조 관계를 파악하는 바이너리 의존성 분석 모듈;상기 실행코드 및 상기 라이브러리 파일이 호출하는 직접 혹은 간접 시스템 콜을 식별하는 시스템 콜 식별 모듈; 및상기 시스템 콜이 참조하는 레지스터(EAX(Extended Accumulator Register) 혹은 rdi/edi 레지스터) 값을 추적하기 위하여 제어 흐름 추적, symbolic execution 혹은 concolic testing을 이용하여 상세 제어 흐름을 분석하는 상세 제어 흐름 분석 모듈을 포함하는 보안 프로파일 생성 시스템
|
19 |
19
제 16 항에 있어서,상기 보안 프로파일 생성 서브시스템은,상기 시스템 콜 목록을 수신하고 컨테이너 운용 호스트에서 사용하는 형식의 보안 프로파일을 생성하는 보안 프로파일 변환 모듈;상기 보안 프로파일을 상기 컨테이너 운용 호스트의 보안 프로파일 저장 위치에 저장시키는 보안 프로파일 전달 모듈; 및상기 보안 프로파일을 저장하는 보안 프로파일 데이터베이스를 포함하는 보안 프로파일 생성 시스템
|
20 |
20
제 19 항에 있어서,상기 보안 프로파일 데이터베이스의 레코드는 컨테이너 인스턴스 정보, 설치된 어플리케이션 정보, 및 상기 보안 프로파일을 포함하는 보안 프로파일 생성 시스템
|