1 |
1
커널 공간에서 지정된 보안 이벤트를 수집하는 단계;상기 수집된 보안 이벤트를 실시간으로 보안 이벤트 저장모듈에 저장하는 단계; 및상기 이벤트 저장모듈에 저장된 보안 이벤트들 중 보안 이벤트 관리 모듈의 쿼리 요청에 대응하는 상기 보안 이벤트를 보안 관리자에게 제공하는 단계;를 포함하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법
|
2 |
2
청구항 1에 있어서,상기 보안 이벤트는 컨테이너화된 프로세서의 실행 이벤트, 네트워크 접속 이벤트 및 권한 상승 이벤트 중 적어도 하나를 포함하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법
|
3 |
3
제1항에 있어서,상기 커널 공간의 관측 대상 지점에서의 커널 루틴의 인자값 및 커널 데이터를 더 수집하는 단계; 및상기 보안 이벤트 발생 여부, 상기 인자값 및 상기 커널 데이터를 기초로 기 정의된 규칙에 따라 상기 보안 이벤트를 허용 또는 차단시켜 상기 보안 이벤트를 제어하는 단계를 더 포함하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법
|
4 |
4
제1항에 있어서,eBPF 프로그램이 제공하는 LMS Hook, Kprobe 및 Tracepoint 중 적어도 하나를 기초로 상기 보안 이벤트를 수집하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법
|
5 |
5
제1항에 있어서,상기 보안 이벤트를 수집하는 단계는,eBPF 프로그램이 제공하는 Kprobe를 수행하도록 설정하는 단계;상기 모니터링 대상 컨테이너 프로세서를 실행하는 단계;상기 모니터링 대상 컨테이너 프로세서의 상태 값을 저장하는 단계; 및상기 모니터링 대상 컨테이너 프로세서의 상태 값을 미리 저장된 기준 값과 비교하여 권한 상승 이벤트를 탐지하는 단계;를 포함하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법
|
6 |
6
제5항에 있어서,상기 모니터링 대상 컨테이너 프로세서의 상태 값이 미리 저장된 기준 값 보다 작으면, 권한 상승을 시도한 것으로 탐지하고, Kill 신호를 상기 모니터링 대상 컨테이너 프로세서에게 전달하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법
|
7 |
7
제1항에 있어서,상기 보안 이벤트를 수집하는 단계는,eBPF 프로그램이 제공하는 LMS Hook을 수행하도록 설정하는 단계;상기 모니터링 대상 컨테이너 프로세서를 실행하는 단계;linux_binprm 구조체에서 실행파일 정보를 추출하고, 상기 실행파일 정보 중실행파일의 해시값을 추출하는 단계; 및상기 해시값이 블랙리스트에 등록된 해시값 중 하나와 비교하여 상기 모니터링 대상 컨테이너 프로세서의 악성 파일 여부를 판단하는 단계;를 포함하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법
|
8 |
8
제7항에 있어서,상기 모니터링 대상 컨테이너 프로세서의 악성 파일로 판단되면, 0 이외의 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달하여 상기 모니터링 대상 컨테이너 프로세서의 실행을 중단시키는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법
|
9 |
9
제8항에 있어서,상기 모니터링 대상 컨테이너 프로세서의 악성 파일로 판단되지 않으면, 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법
|
10 |
10
제9항에 있어서,상기 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달한 이후, LSM Hook을 종료하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법
|
11 |
11
보안 이벤트를 처리하기 위한 제어 프로그램이 저장된 메모리; 및상기 메모리에 저장된 제어 프로그램을 실행하는 프로세서를 포함하고, 상기 프로세서는,커널 공간에서 지정된 보안 이벤트를 수집하고, 상기 수집된 보안 이벤트를 실시간으로 저장하고, 상기 저장된 보안 이벤트들 중 쿼리 요청에 대응하는 상기 보안 이벤트를 제공하는 보안 이벤트 처리 장치
|
12 |
12
청구항 11에 있어서,상기 보안 이벤트는 컨테이너화된 프로세서의 실행 이벤트, 네트워크 접속 이벤트 및 권한 상승 이벤트 중 적어도 하나를 포함하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치
|
13 |
13
제11항에 있어서,상기 프로세서는,상기 커널 공간의 관측 대상 지점에서의 커널 루틴의 인자값 및 커널 데이터를 더 수집하고, 상기 보안 이벤트 발생 여부, 상기 인자값 및 상기 커널 데이터를 기초로 기 정의된 규칙에 따라 상기 보안 이벤트를 허용 또는 차단시키도록 제어하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치
|
14 |
14
제11항에 있어서,eBPF 프로그램이 제공하는 LMS Hook, Kprobe 및 Tracepoint 중 적어도 하나를 기초로 상기 보안 이벤트를 수집하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치
|
15 |
15
제11항에 있어서,상기 프로세서는,eBPF 프로그램이 제공하는 Kprobe를 수행하도록 설정하고, 상기 모니터링 대상 컨테이너 프로세서를 실행하고, 상기 모니터링 대상 컨테이너 프로세서의 상태 값을 저장하고, 상기 모니터링 대상 컨테이너 프로세서의 상태 값을 미리 저장된 기준 값과 비교하여 권한 상승 이벤트를 탐지하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치
|
16 |
16
제15항에 있어서,상기 프로세서는,상기 모니터링 대상 컨테이너 프로세서의 상태 값이 미리 저장된 기준 값 보다 작으면, 권한 상승을 시도한 것으로 탐지하고, Kill 신호를 상기 모니터링 대상 컨테이너 프로세서에게 전달하도록 제어하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치
|
17 |
17
제11항에 있어서,상기 프로세서는,eBPF 프로그램이 제공하는 LMS Hook을 수행하도록 설정하고, 상기 모니터링 대상 컨테이너 프로세서를 실행하고, linux_binprm 구조체에서 실행파일 정보를 추출하고, 상기 실행파일 정보 중실행파일의 해시값을 추출하고, 상기 해시값이 블랙리스트에 등록된 해시값 중 하나와 비교하여 상기 모니터링 대상 컨테이너 프로세서의 악성 파일 여부를 판단하도록 제어하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치
|
18 |
18
제17항에 있어서,상기 프로세서는,상기 모니터링 대상 컨테이너 프로세서의 악성 파일로 판단되면, 0 이외의 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달하여 상기 모니터링 대상 컨테이너 프로세서의 실행을 중단시키는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치
|
19 |
19
제18항에 있어서,상기 프로세서는,상기 모니터링 대상 컨테이너 프로세서의 악성 파일로 판단되지 않으면, 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치
|
20 |
20
제19항에 있어서,상기 프로세서는,상기 리턴 값을 상기 모니터링 대상 컨테이너 프로세서에 전달한 이후, LSM Hook을 종료하는 컨테이너 가상화 환경에서의 보안 이벤트 처리 장치
|