[논문]클라우드 보안성 강화를 위한 연산 효율적인 인스턴스 메모리 모니터링 기술

최상훈; 박기웅

doi:10.13089/jkiisc.2017.27.4.775

클라우드 보안성 강화를 위한 연산 효율적인 인스턴스 메모리 모니터링 기술
Computationally Efficient Instance Memory Monitoring Scheme for a Security-Enhanced Cloud Platform 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.27 no.4, 2017년, pp.775 - 783

최상훈 (세종대학교 정보보호학과 시스템보안연구실) , 박기웅 (세종대학교 정보보호학과)

초록
AI-Helper

클라우드 컴퓨팅 기반의 인프라 구축이 활성화됨에 따라, 안전성과 보안성이 강화된 클라우드 구축을 위한 기술이 큰 화두로 인식되고 있다. 이에 대한 방안으로써, 클라우드 사용자 인스턴스의 시스템 보안 강화를 위한 다양한 보안 솔루션이 등장하고 있다. 특히 인스턴스(가상머신)의 메모리 분석을 통한 악성코드 분석 및 탐지에 관한 연구가 활발히 진행되고 있다. 하지만 메모리 분석을 통한 보안 모니터링 기술은 메모리 덤프 시 수반되는 연산 오버헤드로 인해 다수의 인스턴스가 하나의 물리적 서버 노드에서 구동되는 클라우드 플랫폼과 같은 환경으로의 적용에 어려움이 있어왔다. 본 논문에서는 메모리 덤프 시 발생하는 오버헤드를 최소화하기 위해 악성코드 분석 및 탐지에 필요한 인스턴스 메모리의 특정 부분을 모니터링 하는 기술을 제안하고, 부분 메모리 모니터링 기반 악성코드 탐지 시스템을 통해 제안 기술의 실효성을 검증한다.

Abstract ▼ AI-Helper

As interest in cloud computing grows, the number of users using cloud computing services is increasing. However, cloud computing technology has been steadily challenged by security concerns. Therefore, various security breaches are springing up to enhance the system security for cloud services users. In particular, research on detection of malicious VM (Virtual Machine) is actively underway through the introspecting virtual machines on the cloud platform. However, memory analysis technology is not used as a monitoring tool in the environments where multiple virtual machines are run on a single server platform due to obstructive monitoring overhead. As a remedy to the challenging issue, we proposes a computationally efficient instance memory introspection scheme to minimize the overhead that occurs in memory dump and monitor it through a partial memory monitoring based on the well-defined kernel memory map library.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 메모리 덤프 기술이 모니터링 기술로써 활용될 수 없었던 연산 오버헤드 문제를 해결하기 위해 부분 메모리 덤프 기반의 모니터링 기술을 제안하였다. 또한 이를 검증하기 위해 악성코드 탐지 시스템을 구현하였다.
본 논문에서는 클라우드 보안성 강화를 위한 연산 효율적인 인스턴스 메모리 모니터링을 위한 기법을 제안한다. 본 논문에서 제안하는 기법은 게스트 운영 체제의 커널 메모리 구조 분석을 통해 가상머신의 전체적인 메모리 덤프 없이, 시스템 모니터링에 필요한 커널 메모리 중 일부분만을 덤프 하여 분석을 하도록 하여, 메모리 덤프 시 발생되는 연산 및 I/O 오버헤드를 최소화 하였으며, 이를 통해 다수의 가상머신에 대한 효율적인 시스템 모니터링을 가능하게 한다.
이를 수행하기 위해서는 파일 연산 오버헤드가 발생한다. 본 논문에서는 클라우드 인스턴스 메모리 덤프연산에 따른 오버헤드를 측정하기 위한 실험을 수행하였다. 실험 결과에 따르면 Libvirt를 이용하여 1GB의 메모리를 갖는 인스턴스의 메모리 덤프를 수행하는데 걸리는 소요시간은 4,945ms로 측정되었다.
본 장에서는 기존 메모리 분석을 통한 클라우드 시스템 모니터링 연산에서 발생하는 오버헤드를 획기적으로 줄일 수 있는 부분 메모리 덤프를 통한 연산 효율적인 인스턴스 모니터링 기술을 제안한다. 메모리 덤프 시 발생하는 오버헤드를 최소화하기 위해 악성코드 분석 및 탐지에 필요한 인스턴스 메모리의 특정 부분을 모니터링 하는 기술을 제안하고, 부분 메모리 모니터링 기반 악성코드 탐지 시스템을 통해 제안 기술의 실효성을 검증한다.

제안 방법

Fig. 1.과 같이 호스트 머신에서 가상머신이 사용 하는 메모리 영역 중 커널 메모리 영역에 대한 부분 메모리 덤프를 수행하기 위해, 가상머신의 페이지 테이블 분석을 수행하였다. 추출된 커널 메모리 영역의 주소를 기반으로 QEMU[17]의 pmemsave() 함수를 이용하여 각 가상머신의 커널 메모리 영역을 추출할 수 있도록 하였다.
메모리 덤프 시 발생하는 오버헤드를 최소화하기 위해 악성코드 분석 및 탐지에 필요한 인스턴스 메모리의 특정 부분을 모니터링 하는 기술을 제안하고, 부분 메모리 모니터링 기반 악성코드 탐지 시스템을 통해 제안 기술의 실효성을 검증한다. 구현된 부분 메모리 덤프 기술의 활용성을 검증하기 위해, 메모리 분석을 통해 악성코드를 탐지 할 수 있는 시스템을 설계하였다.
본 장에서는 기존 메모리 분석을 통한 클라우드 시스템 모니터링 연산에서 발생하는 오버헤드를 획기적으로 줄일 수 있는 부분 메모리 덤프를 통한 연산 효율적인 인스턴스 모니터링 기술을 제안한다. 메모리 덤프 시 발생하는 오버헤드를 최소화하기 위해 악성코드 분석 및 탐지에 필요한 인스턴스 메모리의 특정 부분을 모니터링 하는 기술을 제안하고, 부분 메모리 모니터링 기반 악성코드 탐지 시스템을 통해 제안 기술의 실효성을 검증한다. 구현된 부분 메모리 덤프 기술의 활용성을 검증하기 위해, 메모리 분석을 통해 악성코드를 탐지 할 수 있는 시스템을 설계하였다.
메모리 덤프/분석 시 발생하는 연산의 오버헤드를 최소화시키기 위해서는 메모리 덤프 영역을 최소화시 켜야 한다. 메모리 덤프 영역을 최소화시키기 위해 악성코드 분석 및 탐지에 필요한 인스턴스 메모리의 특정 부분에 대한 모니터링 덤프를 수행하고, 분석하는 방법을 고안하였다.
본 논문에서는 클라우드 보안성 강화를 위한 연산 효율적인 인스턴스 메모리 모니터링을 위한 기법을 제안한다. 본 논문에서 제안하는 기법은 게스트 운영 체제의 커널 메모리 구조 분석을 통해 가상머신의 전체적인 메모리 덤프 없이, 시스템 모니터링에 필요한 커널 메모리 중 일부분만을 덤프 하여 분석을 하도록 하여, 메모리 덤프 시 발생되는 연산 및 I/O 오버헤드를 최소화 하였으며, 이를 통해 다수의 가상머신에 대한 효율적인 시스템 모니터링을 가능하게 한다.
본 논문에서 제안한 부분 메모리 모니터링 기술을 클라우드 플랫폼에 적용하기 위해 설계 및 구현한 메모리 모니터링 시스템의 구조는 Fig. 4.
본 논문에서 제안한 부분 메모리 모니터링 기술이 클라우드 플랫폼에서 모니터링 도구로 활용이 가능함을 검증하기 위해 악성코드가 수행하는 행위를 탐지할 수 있는 시스템을 설계하였다.
본 실험에서는 커널 메모리영역 중 네트워크 커널 메모리 영역에 대한 부분 메모리 덤프를 추출하고 이를 통해 악성행위를 탐지한다. 측정 대상의 가상머신에는 Windows 7 SP1-64bit가 탑재되었으며, 1GB의 메모리를 할당하였다.
본 장에서는 구현된 메모리 모니터링 시스템에 대한 활용성을 검증하기 위해 모니터링 모듈이 적재된 클라우드 플랫폼에 악성코드 탐지 성능을 평가한다. 클라우드 플랫폼에 대한 활용성을 검증하기 위해 IaaS 오픈 클라우드 서비스인 오픈스택(Ver.
부분 메모리 모니터링 기술과 전체 메모리 모니터링 기술의 성능을 비교하기 위해 클라우드 플랫폼에 다수의 가상머신을 구동 시키고 악성코드에 감염시켰을 때의 탐지까지의 소요시간을 측정하였다.
이와 같은 메모리 영역의 시작 주소는 가상머신에 할당된 메모리 용량 및 설치된 운영체제에 따라 커널 메모리 영역의 시작주소가 가변적이다. 이와 같은 문제를 해결하기 위해 가상머신의 메모리 할당량 및 설치된 운영체제의 버전에 따른 커널 메모리 영역에 대한 시작주소 정보를 효율적으로 관리하기 위해 운영체제 별, 메모리 사이즈 별 커널 메모리 맵 라이브러리를 구축하였다.

대상 데이터

본 연구의 실험 환경을 구축하기 위하여 5대의 서버 노드로 구성된 클라우드 테스트베드를 구성하였으며, 각 서버 노드에는 Xeon E5-2609(2.5GHz), 32GB의 메모리, SSD 128GB를 장착하였다. 가상머신이 구동되는 컴퓨트 노드의 호스트 운영체제는 Ubuntu 16.
악성코드 탐지 실험을 위해 악성코드를 분석하여 악성코드 동작 시 사용되는 드라이버, 네트워크, 레지스트리 등의 시그니쳐 정보를 수집하였다. Fig.

데이터처리

본 논문에서는 가상머신의 메모리 정보를 추출하기 위해 가상머신 관리도구의 대표적인 Libvirt를 사용하였다. 메모리 덤프 연산 시 발생하는 오버헤드의 원인을 파악하기 위해 내부 연산과정을 분석하였다. Perf[16]의 report기능을 이용하여 Libvirt의 내부 메모리를 덤프하기 위한 과정과 QEMU에서 메모리를 덤프하기위해 수행되는 연산 과정을 분석 해본결과 Table 1.

이론/모형

본 논문에서는 가상머신의 메모리 정보를 추출하기 위해 가상머신 관리도구의 대표적인 Libvirt를 사용하였다. 메모리 덤프 연산 시 발생하는 오버헤드의 원인을 파악하기 위해 내부 연산과정을 분석하였다.

성능/효과

1대의 가상머신에 대해 메모리를 모니터링 수행한 결과 전체 메모리 모니터링의 경우 악성코드를 탐지하는데 약 4,945ms의 시간이 소요되었고, 부분 메모리 모니터링의 경우 약 32ms의 시간이 소요되었다. 이와 같은 결과는 부분 메모리 모니터링 기술은 전체 메모리 덤프 기술과 비교하여 오버헤드가 1/154로 감소되었음을 보여준다.
또한 이를 검증하기 위해 악성코드 탐지 시스템을 구현하였다. 구현한 악성코드 탐지 시스템을 통해 기존 메모리 덤프 기술과 성능을 비교해 본 결과 연산 오버헤드가 1/154로 줄어들었다. 이와 같은 결과를 통해 본 논문에서 제안한 부분 메모리 덤프 기반 모니터링 기술이 다수의 가상머신이 구동되는 클라우드 플랫폼 같은 대규모 환경에서 가상머신의 보안성 강화를 위한 모니터링 도구로써 활용될 수 있음을 입증하였다.
실험 결과와 같이 부분 메모리 모니터링 기술을 통해 전체 메모리 모니터링 시 발생하는 덤프 성능 오버헤드와 일시정지현상 문제를 해결하였다. 또한 짧은 시간 내에 수많은 가상머신에 대해서 메모리 추출이 가능하졌기 때문에, 병렬 메모리 모니터링의 한계점도 해결되었다.
구현한 악성코드 탐지 시스템을 통해 기존 메모리 덤프 기술과 성능을 비교해 본 결과 연산 오버헤드가 1/154로 줄어들었다. 이와 같은 결과를 통해 본 논문에서 제안한 부분 메모리 덤프 기반 모니터링 기술이 다수의 가상머신이 구동되는 클라우드 플랫폼 같은 대규모 환경에서 가상머신의 보안성 강화를 위한 모니터링 도구로써 활용될 수 있음을 입증하였다. 본 연구에서는 제한된 운영체제 집합에 대한 커널 메모리 라이브러리 맵 생성을 통한 부분 메모리 덤프 연산에 대한 연산효율화 방안을 연구를 수행하였지만, 이를 확장하여 동적 커널 메모리 라이브러리 삽입 및 모듈화를 통한 부분 메모리 덤프 기술에 대한 확장연구를 수행할 계획이다.

후속연구

이와 같은 결과를 통해 본 논문에서 제안한 부분 메모리 덤프 기반 모니터링 기술이 다수의 가상머신이 구동되는 클라우드 플랫폼 같은 대규모 환경에서 가상머신의 보안성 강화를 위한 모니터링 도구로써 활용될 수 있음을 입증하였다. 본 연구에서는 제한된 운영체제 집합에 대한 커널 메모리 라이브러리 맵 생성을 통한 부분 메모리 덤프 연산에 대한 연산효율화 방안을 연구를 수행하였지만, 이를 확장하여 동적 커널 메모리 라이브러리 삽입 및 모듈화를 통한 부분 메모리 덤프 기술에 대한 확장연구를 수행할 계획이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	Libvirt는 무엇인가?	Libvirt는 하이퍼바이저 계층에서 구동중인 가상 머신을 관리하기 위한 연산을 구현한 대표적인 라이브러리이다. Libvirt에서 제공되는 API 중 인스턴스(가상머신)에 대한 메모리 덤프 연산을 위한 API, virsh_dump() 호출을 통해 인스턴스에 대한 메모리 덤프 파일을 얻을 수 있다.
	클라우드 가상머신 메모리 덤프를 통한 시스템 모니터링 기술의 이점은 무엇인가?	클라우드 가상머신 메모리 덤프를 통한 시스템 모니터링 기술은 가상머신 내 운영체제와 독립적으로 가상머신 구동을 관리하는 하이퍼바이저 계층에서 메모리 덤프를 수행하고 분석 할 수 있도록 한다. 게스트 운영체제에 별도의 에이전트 설치가 불필요하고, 메모리 분석을 통해 운영체제의 다양한 정보를 추출할 수 있다는 큰 이점이 있다. 이러한 이점에도 불구하고 메모리 분석기술이 클라우드 플랫폼과 같은 대규모 환경에서 모니터링 도구로써 활용될 수 없었던 이유는 가상머신의 메모리를 분석하기 위해 수행되어야 하는 메모리 덤프 연산이 과도한 연산 및 I/O 오버헤드를 발생하기 때문이다.
	메모리 덤프를 활용한 모니터링 기술의 실현에 있어 한계점으로 적용되는 것은 무엇인가?	이는 클라우드 인스턴스에 모니터링 주기는 최소 4,945ms라는 것을 의미한다. 시스템 모니터링은 실시간성이 중요하기 때문에, 클라우드 인스턴스에 대한 메모리 덤프에 수반되는 시간적 오버헤드는 메모리 덤프를 활용한 모니터링 기술의 실현에 있어 한계점으로 작용된다.

참고문헌 (18)

Jae-yoon Sim and Kyung-ho Lee, "A Study on Information Access Control Policy Based on Risk Level of Security Incidents about IT Human Resources in Financial Institutions," Journal of The Korea Institute of Information Security & Cryptology, 25(2), pp. 343-361, Apr, 2015

원문보기 상세보기
Armbrust, Michael, et al. "A view of cloud computing," Communications of the ACM vol. 53, no. 4, pp. 50-58, Apr, 2010
Sang-Baek Chris Kang, "Cloud Computing Strategy Recommendations for Korean Public Organizations - Based on U.S. Federal Institutions' Cloud Computing Adoption Status and SDLC Initiative," The Jounal of Society for e-Business Studies, vol. 20, no. 4, pp. 103-236, Nov, 2015

원문보기 상세보기
Cloud Computing Development Act, http://www.law.go.kr/lsInfoP.do?lsi-Seq169562&chrClsCd010204#0000
Uhlig, G. Neiger, D. Rodgers, A. L. Santoni, F. C. M. Martins, A. V. Anderson, S. M. Bennett, A. Kagi, F. H. Leung, and L. Smith, "Intel virtualization technology," Computer vol. 38, no. 5, pp. 48-56, Feb, 2005

상세보기
Taehyoung Kim, Inhyuk Kim, Junghan Kim, Changwoo Min, Jee-hong Kim and Young Ik Eom, "Security-Enhanced Local Process Execution Scheme in Cloud Computing Environments," Journal of The Korea Institute of Information Security & Cryptology, 20(5), pp. 69-79, Oct, 2010
Safaa Salam Hatem, Dr. Maged H. wafy and Dr. Mahmoud M. El-Khouly, "Malware detection in Cloud computing," International Journal of Advanced Computer Science and Applications, vol. 5, no.4, pp. 187-192, Apr, 2014
Tamas K. Lengyel, Steve Maresca, Bryan D. Payne, George D. Webster, Sebastian Vogl and Aggelos Kiayias, "Scalability, fidelity and stealth in the DRAKVUF dynamic malware analysis system," Proceedings of the 30th Annual Computer Security Applications Conference, pp. 386-395, Dec, 2014
Artem Dinaburg, Paul Royal, Monirul Sharif and Wenke Lee, "Ether: malware analysis via hardware virtualization extensions," Proceedings of the 15th ACM conference on Computer and communications security, pp. 51-62, Oct , 2008
Rayan Mosli, Rui Li, Bo Yuan and Yin Pan, "Automated malware detection using artifacts in forensic memory images," Technologies for Homeland Security (HST), 2016 IEEE Symposium on, pp. 1-6, May, 2016
Haiquan Xiong, Zhiyong Liu, Weizhi Xu and Shuai Jiao, "Libvmi: a library for bridging the semantic gap between guest OS and VMM, " : Proceedings of the 12th International Conference on Computer and Information Technology, pp.549-556, Oct, 2012
Matthias Bolte, Michael Sievers, Georg Birkenheuer, Oliver Niehorster and Andre Brinkmann, "Non-intrusive virtualization management using libvirt," Proceedings of the Conference on Design, Automation and Test in Europe, pp. 574-579, Mar, 2010
Sang-hoon Choi", Accelerated memory dump and memory recording schemes for analyzing cloud computing platform in a microscopic level," Daejeon university of graduation thesis, pp. 1-26, Aug, 2016
Volatility, http://www.volatilityfoundation.org/about
Rekall, http://www.rekall-forensic.com/about.html
De Melo, Arnaldo Carvalho. "The new linux perf' tools," Slides from Linux Kongress. Vol. 18, Sep, 2010
Bellard, Fabrice. "QEMU, a fast and portable dynamic translator," USENIX Annual Technical Conference, pp. 41-46, Apr, 2005
Sefraoui, Omar, Mohammed Aissaoui, and Mohsine Eleuldj. "OpenStack: toward an open-source solution for cloud computing," International Journal of Computer Applications, vol. 55, no. 3, pp. 38-42, Oct, 2012

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증