| 1 |
1
일정 조건의 규칙 집합을 포함하는 구조화된 포맷에 기초하여 컨테이너에 대한 보안 정책을 생성 및 관리하는 정책(policy) 관리부; 상기 컨테이너가 시스템 콜을 요청하면 상기 규칙 집합을 확인하고, 확인된 규칙 집합에 기초하여 상기 구조화된 포맷의 보안정책을 기설정된 형식의 코드로 변경하며, 코드가 변경된 정책을 커널 계층(kernel space)에 전달하는 정책 시행부; 및 상기 시스템 콜을 후킹(hooking)하는 정책 시행 프로그램에 기초하여 상기 정책 시행부로부터 전달받은 정책을 상기 커널 계층(kernel space)에서 시행하고, 일정한 동작을 수행하기 위한 반환값을 생성하는 정책 동작결정부를 포함하는 컨테이너 시스템에 대한 동적 보안 정책 시행 시스템
|
| 2 |
2
제1항에 있어서, 상기 보안 정책은,초기화 상태 또는 실행 상태를 포함한 모든 상태의 상기 컨테이너에 동적으로 적용 가능한 것을 특징으로 하는, 컨테이너 시스템에 대한 동적 보안 정책 시행 시스템
|
| 3 |
3
제1항에 있어서, 상기 일정 조건의 규칙 집합은, 시스템 콜의 이름을 포함하는 시스템 콜 규칙 집합 및 LSM 함수의 이름을 포함하는 LSM 프로브 규칙 집합 중 하나인 것을 특징으로 하는, 컨테이너 시스템에 대한 동적 보안 정책 시행 시스템
|
| 4 |
4
제1항에 있어서, 상기 정책 시행 프로그램은, LSM 후킹(Linux Security Module Hooking) 기술을 이용하는 후킹 프로그램인 것을 특징으로 하는, 컨테이너 시스템에 대한 동적 보안 정책 시행 시스템
|
| 5 |
5
제1항에 있어서, 상기 정책 동작결정부는, 전달받은 정책이 보안 정책을 위반하는지 판단하고, 판단한 결과에 기초하여 해당 컨테이너를 통과시키는 필터링부; 상기 보안 정책을 위반하지 않으면, 특정 컨테이너에 포함된 경로 객체의 유효성을 판단하기 위해 필요한 커널 컨텍스트를 전처리하는 커널 컨텍스트 전처리부; 전처리된 컨텍스트에 포함된 조건을 파싱하는 파싱부; 및 파싱된 조건에 따른 동작에 기초하여 일정한 동작을 수행하기 위한 반환값을 생성하는 동작부를 포함하는 것을 특징으로 하는, 컨테이너 시스템에 대한 동적 보안 정책 시행 시스템
|
| 6 |
6
제1항에 있어서, 상기 정책 관리부 및 상기 정책 시행부는, 사용자 계층(user space)에 구비되고, 상기 정책 동작결정부는 커널 계층(kernel space)에 구비되는 것을 특징으로 하는, 컨테이너 시스템에 대한 동적 보안 정책 시행 시스템
|
| 7 |
7
컨테이너 시스템에 대한 동적 보안 정책 시행 시스템에서 수행되는 컨테이너 시스템에 대한 동적 보안 정책 시행 방법에 있어서, 일정 조건의 규칙 집합을 포함하는 구조화된 포맷에 기초하여 컨테이너에 대한 보안 정책을 생성 및 관리하는 단계; 상기 컨테이너가 시스템 콜을 요청하면 상기 규칙 집합을 확인하고, 확인된 규칙 집합에 기초하여 상기 구조화된 포맷의 보안 정책을 기설정된 형식의 코드로 변경하는 단계; 코드가 변경된 정책을 커널 계층(kernel space)에 전달하는 단계; 상기 시스템 콜을 후킹(hooking)하는 정책 시행 프로그램에 기초하여 상기 커널 계층(kernel space)에 전달하는 단계로부터 전달받은 정책을 시행하는 단계; 및 시행한 결과에 대응되는 일정한 동작을 수행하기 반환값을 생성하는 단계를 포함하는 컨테이너 시스템에 대한 동적 보안 정책 시행 방법
|
| 8 |
8
제7항에 있어서, 상기 보안 정책은,초기화 상태 또는 실행 상태를 포함한 모든 상태의 상기 컨테이너에 동적으로 적용 가능한 것을 특징으로 하는, 컨테이너 시스템에 대한 동적 보안 정책 시행 방법
|
| 9 |
9
제7항에 있어서, 상기 일정 조건의 규칙 집합은, 시스템 콜의 이름을 포함하는 시스템 콜 규칙 집합 및 LSM 함수의 이름을 포함하는 LSM 프로브 규칙 집합 중 하나인 것을 특징으로 하는, 컨테이너 시스템에 대한 동적 보안 정책 시행 방법
|
| 10 |
10
제7항에 있어서, 상기 정책 시행 프로그램은, LSM 후킹(Linux Security Module Hooking) 기술을 이용하는 후킹 프로그램인 것을 특징으로 하는, 컨테이너 시스템에 대한 동적 보안 정책 시행 방법
|
| 11 |
11
제7항에 있어서, 상기 정책을 시행하는 단계는, 전달받은 정책이 보안 정책을 위반하는지 판단하고, 판단한 결과에 기초하여 해당 컨테이너를 통과시키는 단계; 상기 보안 정책을 위반하지 않으면, 특정 컨테이너에 포함된 경로 객체의 유효성을 판단하기 위해 필요한 커널 컨텍스트를 전처리하는 단계; 및전처리된 컨텍스트에 포함된 조건을 파싱하는 단계를 포함하고, 상기 반환값을 생성하는 단계에서는, 파싱된 조건에 따른 동작에 기초하여 일정한 동작을 수행하기 위한 반환값을 생성하는 것을 특징으로 하는 컨테이너 시스템에 대한 동적 보안 정책 시행 방법
|
| 12 |
12
제7항에 있어서, 상기 보안 정책을 생성 및 관리하는 단계, 상기 보안 정책을 기설정된 형식의 코드로 변경하는 단계 및 상기 커널 계층에 전달하는 단계는 사용자 계층(user space)에서 수행되고, 전달받은 정책을 시행하는 단계 및 반환값을 생성하는 단계는 커널 계층(kernel space)에서 수행되는 것을 특징으로 하는, 컨테이너 시스템에 대한 동적 보안 정책 시행 방법
|
| 13 |
13
제7항에 따른 컨테이너 시스템에 대한 동적 보안 정책 시행 방법을 수행하기 위한 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 저장 매체
|
