[go: up one dir, main page]

KR20160115132A - 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 - Google Patents

클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 Download PDF

Info

Publication number
KR20160115132A
KR20160115132A KR1020150042233A KR20150042233A KR20160115132A KR 20160115132 A KR20160115132 A KR 20160115132A KR 1020150042233 A KR1020150042233 A KR 1020150042233A KR 20150042233 A KR20150042233 A KR 20150042233A KR 20160115132 A KR20160115132 A KR 20160115132A
Authority
KR
South Korea
Prior art keywords
virtual machine
server
cloud system
service
predetermined
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
KR1020150042233A
Other languages
English (en)
Other versions
KR101703491B1 (ko
Inventor
차병래
Original Assignee
제노테크주식회사
(주) 아프로
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 제노테크주식회사, (주) 아프로 filed Critical 제노테크주식회사
Priority to KR1020150042233A priority Critical patent/KR101703491B1/ko
Publication of KR20160115132A publication Critical patent/KR20160115132A/ko
Application granted granted Critical
Publication of KR101703491B1 publication Critical patent/KR101703491B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템이 개시된다. 본 발명에 의하면, 트래픽이 소정 공격레벨 이상이거나 공격패턴인 경우, 클라우드 시스템 내의 제2서버가 제1가상머신을 복제한 제2가상머신을 생성하고, 클라우드 시스템 내의 제3서버가 상기 제1가상머신을 이주한 제3가상머신을 생성하여, 제1가상머신에서 제공하던 서비스를 제3가상머신이 제공한다.

Description

클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템{METHOD FOR PROVIDING SECURITY SERVICE IN CLOUD SYSTEM AND THE CLOUD SYSTEM THEREOF}
본 발명은 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템에 대한 것이다.
최근 정보통신기술(information and communications technologies, ICT) 분야의 메가트렌드(megatrend)는 클라우드(cloud), 빅데이터(big data) 및 사물인터넷(internet of things, IoT) 등으로 대변되고 있다.
현재, 사물인터넷과 클라우드 등 미래인터넷 서비스 확대에 따른 보안 이슈가 지속적으로 발생하고 있으며, 지능화 및 고도화되는 사이버 사기와 국가간 해킹 및 공격개념의 사이버전 등 대/내외적으로 사이버 위협이 증가할 것으로 예견되고 있다.
이와 관련하여, 한국인터넷진흥원은 현재 스팸이나 분산된 서비스 거부공격( distributed denial of service, DDoS) 등 단순한 패턴의 공격에 대비한 보안은 강화되고 있으나, 보안규격이 미비한 사물인터넷 기기나 클라우드를 대상으로 한 취약점 중심의 공격증가에 대한 대비의 필요성이 제기되고 있다.
한편, 네트워크 보안기술의 하나로서, 허니팟(honeypot) 기술이 사용되고 있다. 허니팟은 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템을 의미하는 것으로서, 과거에는 방어적으로 사용되었으나 현재에는 서비스 공격을 약화시키거나 루트를 우회하는 용도로 사용되어, 공격으로부터의 위험을 최소화하는 기능을 수행하고 있다.
그러나 이러한 허니팟은 클라우드 환경을 지원하기에는 복잡하고, 실제 운영 시스템(operational program system, OS)이 요구되는 등, 클라우드 환경에서 보안 서비스를 제공하기에는 어려운 문제점이 있다.
본 발명이 해결하고자 하는 기술적 과제는, 클라우드 서비스를 방해하는 공격자로부터 보호하여 클라우드 서비스를 원활하게 하기 위한, 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템을 제공하는 것이다.
상기와 같은 기술적 과제를 해결하기 위해, 제1서버가 생성한 것으로서, 적어도 하나 이상의 사용자 단말에 소정 서비스를 제공하는 제1가상머신을 포함하는 클라우드 시스템에서, 보안서비스를 제공하는 본 발명의 일실시예의 방법은, 상기 제1가상머신을 복제하여, 상기 클라우드 시스템 내의 제2서버가 제2가상머신을 생성하는 단계; 상기 클라우드 시스템 내의 제3서버가 상기 제1가상머신을 이주한 제3가상머신을 생성하는 단계; 및 상기 제3가상머신이 상기 제1가상머신이 제공하던 상기 소정 서비스를 상기 적어도 하나 이상의 사용자 단말에 제공하는 단계를 포함할 수 있다.
본 발명의 일실시예의 방법은, 상기 제1서버에 유입되는 트래픽이 소정 공격레벨 이상인지 확인하는 단계를 더 포함할 수 있다.
본 발명의 일실시예의 방법은, 상기 제1서버에 유입되는 트래픽의 패턴이 소정 공격패턴인지 확인하는 단계를 더 포함할 수 있다.
본 발명의 일실시예에서, 상기 제1서버에 유입되는 트래픽의 패턴을 업데이트하여 저장하는 단계를 더 포함할 수 있다.
본 발명의 일실시예의 방법은, 상기 제3가상머신의 정보를 상기 적어도 하나 이상의 사용자 단말에 전송하는 단계를 더 포함할 수 있다.
본 발명의 일실시예에서, 상기 소정 서비스는, 근거리 통신(NFC) 기반 페이먼트(payment) 게이트웨이, 보이스 오버 아이피(VoIP) 기반 사설교환망(PBX), 티켓판매 서비스, 사물인터넷, 만물인터넷 및 ATO 중 어느 하나를 포함할 수 있다.
또한, 상기와 같은 기술적 과제를 해결하기 위해, 본 발명의 일실시예의 클라우드 시스템은, 적어도 하나 이상의 사용자 단말에 소정 서비스를 제공하는 제1가상머신을 생성하는 제1서버; 상기 제1가상머신을 복제한 제2가상머신을 생성하는 제2서버; 상기 제1가상머신을 이주한 제3가상머신을 생성하는 제3서버; 및 상기 제2가상머신을 생성하도록 상기 제2서버를 제어하고, 상기 제3가상머신을 생성하도록 제3서버를 제어하는 제어서버를 포함할 수 있다.
본 발명의 일실시예에서, 상기 제어서버는, 상기 제1서버로의 트래픽이 소정 공격레벨 이상이거나 소정 공격패턴인 경우, 상기 제2가상머신을 생성하도록 상기 제2서버를 제어하고, 상기 제3가상머신을 생성하도록 제3서버를 제어할 수 있다.
본 발명의 일실시예에서, 상기 제어서버는, 상기 소정 공격패턴을 데이터베이스에 저장할 수 있다.
본 발명의 일실시예에서, 상기 제어서버는, 상기 제3가상머신의 정보를 상기 적어도 하나 이상의 사용자 단말에 전송할 수 있다.
상기와 같은 본 발명은, 클라우드 시스템 내의 가용 서버를 확인하여 가용 서버의 가상머신으로 복제한 후, 다른 가용 서버의 가상머신으로 원 가상머신의 데이터 등을 이주시킴으로써, 끊김없이 안전한 클라우드 서비스를 제공하게 하는 효과가 있다.
또한, 본 발명은, 공격패턴이 이미 서버의 데이터베이스에 저장되어 있으므로, 공격레벨까지 트래픽이 증가하기 전에도 공격패턴을 확인하고 보안 서비스를 제공함으로써 보다 안정적으로 클라우드 서비스를 제공하게 하는 효과가 있다.
도 1은 본 발명의 일실시예의 클라우드 시스템을 설명하기 위한 구성도이다.
도 2a 내지 도 2d는 본 발명의 일실시예의 클라우드 시스템의 보안 서비스 제공방법을 설명하기 위한 일예시도이다.
도 3은 본 발명의 일실시예의 클라우드 시스템의 보안 서비스 제공방법을 설명하기 위한 일실시예 흐름도이다.
본 발명은 다양한 변경을 가할 수 있고 여러가지 실시예를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
도 1은 본 발명의 일실시예의 클라우드 시스템을 설명하기 위한 구성도이다.
도면에 도시된 바와 같이, 본 발명이 적용되는 클라우드 시스템(1)은, 클라우드 기반 보이스 오버 아이피(VoIP) 서버(10)를 중심으로, 제어서버(20) 및 복수의 서버(30 내지 60)로 구성되어, 프라이빗 클라우드 인프라(private cloud infra)를 구성할 수 있다. 다만, 본 발명의 일실시예에서는 복수의 서버(30~60)의 예로써 4개가 구성되는 것을 설명하고 있으나, 본 발명이 이에 한정되는 것이 아니며, 그보다 적거나 많은 수의 서버가 클라우드 인프라를 구성할 수 있음은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 자명하다 할 것이다. 이하에서는, 편의상 제1서버(30), 제2서버(40), 제3서버(50) 및 제4서버(60)라고 칭하기로 하겠지만, 본 발명이 이에 한정되는 것은 아니다.
제1 내지 제4서버(30~60)는 각각 XaaS(everything as a service)를 제공하는 가상머신(virtual machine)을 적어도 하나 이상 생성하여 사용자 단말(2, 3)에 클라우드 서비스를 제공할 수 있다.
예를 들어, 제1서버(30)는 가상머신(31)을 생성하여, 사용자 단말(2, 3)에 클라우드 서비스를 제공할 수 있는 것이다. 즉, 가상머신(31)은, XaaS 서비스를 제공하는 것으로서, 예를 들어, 근거리 통신(near field communication, NFC) 기반 페이먼트 게이트웨이, VoIP 기반 사설교환망(private branch exchange, PBX), 티켓판매 서비스 제공서버, 사물인터넷(IoT) 서버, 만물인터넷(internet of everything, IoE) 서버, ATO(all to one) 서버 등일 수 있다. 다만, 이는 예시적인 것으로서, 다양한 방식의 XaaS 서비스 제공자일 수 있을 것이다. 또한, 본 발명의 일실시예에서는 제1서버(30)가 하나의 가상머신(31)을 생성하는 것을 예를 들어 설명하고 있으나, 이에 한정되는 것은 아니며, 복수의 가상머신을 생성하여 각각 서비스를 수행하게 할 수도 있을 것이다.
사용자 단말(2, 3)은 각각 동일 또는 서로 다른 사용자가 소지하는 단말로서, 사용자는 사용자 단말(2, 3)을 이용하여 무선 또는 유선으로 가상머신(31)에 접속하여 가상머신(31)이 제공하는 XaaS 서비스를 제공받을 수 있을 것이다. 사용자 단말(2, 3)이 가상머신(31)으로부터 XaaS 서비스를 이용하는 구체적인 방식에 대해서는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 자명하다 할 것이므로, 그 상세한 설명은 생략하기로 한다.
제어서버(20)는 본 발명의 시스템을 제어하기 위한 것으로서, 클라우드 시스템 내의 서버(30~60)를 스캔하고, 각 서버(30~60)의 트래픽을 감시하며, 어느 하나의 서버(30)의 트래픽에 이상이 있는 경우, 본 발명의 일실시예의 보안 서비스를 제공할 수 있다. 제어서버(20)의 동작에 대해서는 아래에서 도면을 참조로 더욱 상세하게 설명하기로 한다.
도 2a 내지 도 2d는 본 발명의 일실시예의 클라우드 시스템의 보안 서비스 제공방법을 설명하기 위한 일예시도이며, 도 2a는 본 발명의 일실시예의 시스템에 트래픽이 폭주하고 있는 상황을 예를 들어 나타낸 일예시도이다.
즉, 도 2a는 적어도 하나 이상의 공격단말(4)로부터 네트워크(예를 들어 인터넷 등)를 통해 제1서버(30)로 많은 양의 트래픽이 유입되는 상황을 나타낸 것이다. 이러한 상황은, 예를 들어 분산서비스거부(distribute denial of service, DDoS) 또는 서비스거부(denial of service, DoS) 공격 등에 의해 발생한다. 도면에서는 DDoS 상황인 것을 도시하고 있으나 DoS 공격이 발생하는 상황 역시 동일하다 할 것이다. 이와 같은 상황에서는, 가상머신(31)에서 제공하는 XaaS 서비스는 네트워크 트래픽과 서비스 요구가 폭주하게 될 것이며, 정상적인 사용자 단말(2, 3)의 접근 및 사용이 차단될 것이다.
이러한 경우, 제어서버(20)는 제1서버(30)의 가상머신(31)에서 소정 기준 이상의 트래픽이 발생하는 경우, 이를 모니터링하여, 공격레벨에 해당하는 트래픽 폭주상황이 발생하였음을 결정할 수 있다. 또는, 제1서버(30)가 제어서버(20)에 트래픽 폭주상황이 발생하였음을 제어서버(20)에 통지할 수도 있다.
이와 같은 경우, 제어서버(20)는 제2서버(40)를 제어하여 제1서버(30)의 가상머신(31)과 동일한 가상머신(41)을 복제하게 할 수 있다. 이러한 가상머신(32)은 허니팟으로서 기능할 수 있다.
복제된 제2서버(40)의 가상머신(41)은, 공격단말(4)의 네트워크 위치, 가용한 프라이빗 클라우드 인프라의 서버, 스토리지 자원 등을 이용하여 제어서버(20)가 선택하는 것이다. 제2서버(40)가 복제한 가상머신(41)은, 제1서버(30)의 가상머신(41)과 인터넷 프로토콜(internet protocol, IP) 어드레스(address) 등 정보가 동일한 것으로서, 이하, '복제 가상머신(41)'이라고 하고, 제1서버(30)의 가상머신(31)은 '원 가상머신(31)'이라고 하기로 한다.
제어서버(20)는 제1서버(30)에 제어메시지를 전송하여, 제1서버(30)가 제2서버(40)의 복제 가상머신(41)으로 트래픽을 전달하도록 제어할 수 있다. 이를 위해 제1서버(30)는 내부에 소프트웨어 정의 네트워크(software-defined network) 방식에 의해 구성되는 네트워크 격리부(도시되지 않음)를 포함할 수 있다.
이후, 도 2c와 같이, 제어서버(20)는 원활한 클라우드 서비스를 제공하기 위하여, 제3서버(50)를 제어하여 가상머신(51)을 생성하도록 제어할 수 있다. 제3서버(50)의 가상머신(51)은 원 가상머신(31)의 시스템을 이주(migration)한 것으로서, 이하에서는 이를 '이주 가상머신(51)이라고 하기로 한다. 이때, 이주는, 준 실시간(near realtime) 이주 또는 실시간(realtime) 이주를 포함한다.
이주 가상머신(51)을 운용하는 제3서버(50) 또는 이주 가상머신(51)은 제어서버(20)에 자신의 IP 어드레스를 포함하는 정보를 제공할 수 있으며, 또는 제어서버(20)는 이미 이주 가상머신(51)의 IP 어드레스를 포함하는 정보를 제3서버(50)를 할당하는 과정에서 알고 있을 수도 있다.
이후, 도 2d와 같이, 제어서버(20)는, 원 가상머신(31)으로부터 서비스를 제공받던 사용자 단말(2, 3)에 이주 가상머신(51)의 정보를 전송할 수 있다. 이에 의해, 사용자 단말(2, 3)은, 원 가상머신(31)에 의해 제공받던 클라우드 서비스를 이주 가상머신(51)으로부터 동일하게 제공받을 수 있다. 즉, 사용자 단말(2, 3)은, 원 가상머신(31)의 IP 어드레스로 접속하지 않고, 제어서버(20)로부터 수신한 이주 가상머신(51)의 IP 어드레스에 접속함으로써, 사용자 입장에서는 변화없이 동일한 클라우드 서비스를 제공받을 수 있을 것이다.
한편, 도시되지는 않았으나, 공격단말(4)로부터의 공격이 있는 경우, 해당 공격 패턴을 확인하여 그 내부 또는 외부에 포함되는 데이터베이스(database) 서버(도시되지 않음)에 데이터베이스를 작성할 수 있다. 일반적으로, 공격 패턴은 공격자마다 상이하므로, 동일한 공격자에 대해서는 패턴 데이터페이스에 의해 바로 위에서 설명한 보안 서비스를 제공할 수 있다.
도 3은 본 발명의 일실시예의 클라우드 시스템의 보안 서비스 제공방법을 설명하기 위한 일실시예 흐름도이다.
도면에 도시된 바와 같이, 본 발명의 일실시예의 방법은, 도 1과 같은 클라우드 시스템에서, 제1서버(30)에 의해 생성된 원 가상머신(31)은 사용자 단말(2, 3)에 XaaS 서비스를 제공하면(S31), 제어서버(2)는 이를 지속적으로 모니터링할 수 있다.
제어서버(2)가 클라우드 시스템 내의 서버를 모니터링하는 방식은, 다양하게 이루어질 수 있다. 예를 들어, 제어서버(2)가 클라우드 시스템 내의 복수의 서버(30~60)의 포트를 스캔하는 것에 의해 모니터링할 수 있다. 이와 같은 포트의 스캐닝에 의해, 서버(30~60)가 현재 수행하는 서비스가 무엇인지 제어서버(20)가 확인할 수 있다. 다만, 이는 일실시예로서, 본 발명이 이에 한정되는 것은 아니며, 제어서버(20)는 다양한 방식으로 복수의 서버(30~60)를 모니터링할 수 있다.
제어서버(20)는, 이와 같이 클라우드 시스템(1)을 모니터링하다가, 트래픽이 소정의 제1레벨 이상인 경우(S32)에는, 공격패턴이 데이터베이스에 저장되어 있는 것인지 확인한다(S33). 제어서버(20)는, 트래픽이 소정 제1레벨 이상인 경우, 해당 공격패턴을 확인함으로써, 공격레벨에 해당하지 않는 경우에도 공격패턴이 이미 저장되어 있는 경우에 보안 서비스를 제공할 수 있다. DDoS와 같은 공격은, 그 패턴이 고유하므로, 저장된 패턴이 공격패턴에 해당하는 경우, 공격레벨에 해당하지 않더라도 보안 서비스를 제공함으로써, 보다 견고한 보안 서비스를 제공할 수 있다.
만약, 공격패턴이 데이터베이스에 저장된 것이 아닌 경우에는(S33), 해당 트래픽이 소정의 제2레벨 이상인지 확인할 수 있다(S34). 이때 제2레벨은 공격레벨에 해당하는 것으로서, 도 2a와 같이 DDoS 공격이 있는 경우, 해당 공격레벨을 넘어서게 될 수 있다.
제어서버(20)는 만약 S33의 공격패턴이 데이터베이스에 저장된 것이 아니면, S34을 확인하지 않고 바로 S35로 진행할 수 있다.
S35에서, 제어서버(20)는, 클라우드 시스템의 제1서버(30)에 대한 공격이 있는 것으로 판단하여, 제1서버(30)가 생성한 원 가상머신(31)을 복제하여 제2서버(40)가 복제 가상머신(41)을 생성하도록 할 수 있다(S35). 이때, 복제 가상머신(41)은, 원 가상머신(31)과 동일한 정보를 가지는 것이다.
이에 의해, 제1서버(30)는 공격단말(4)로부터 유입되는 트래픽을 제2서버(40)의 복제 가상머신(41)으로 전달할 수 있다. 이를 위해 SDN 방식의 네트워크 격리장치가 사용될 수 있음은 이미 설명한 바와 같다.
이후, 제어서버(20)는, 제3서버(50)의 이주 가상머신(51)을 생성하도록 제어하고, 원 가상머신(31)의 정보 및 데이터 일체를 이주 가상머신(51)으로 이주하도록 제어할 수 있다(S36).
이주 가상머신(51)을 운용하는 제3서버(50) 또는 이주 가상머신(51)은 제어서버(20)에 자신의 IP 어드레스를 포함하는 정보를 제공할 수 있으며, 또는 제어서버(20)는 이미 이주 가상머신(51)의 IP 어드레스를 포함하는 정보를 제3서버(50)를 할당하는 과정에서 알고 있을 수도 있다.
이후, 제어서버(20)는, 이주 가상머신(51)의 IP 어드레스를 포함하는 정보를 원 가상머신(31)의 서비스를 이용하는 사용자 단말(2, 3)에 전송하고(S37), 이주 가상머신(51)은 원 가상머신(31)이 제공하던 XaaS 서비스를 사용자 단말(2, 3)에 제공할 수 있을 것이다(S38).
마지막으로, 제어서버(20)는, 공격패턴을 데이터베이스에 업데이트할 수 있다(S39). 해당 공격패턴이 데이터베이스에 저장되어 있지 않은 경우에는, 해당 공격패턴을 데이터베이스에 저장할 수 있으며, 이미 공격패턴이 데이터베이스에 저장되어 있는 경우에도 이를 업데이트하여 저장할 수 있을 것이다.
이와 같은 본 발명은, 공격패턴이 이미 서버의 데이터베이스에 저장되어 있으므로, 공격레벨까지 트래픽이 증가하기 전에도 공격패턴을 확인하고 보안 서비스를 제공함으로써 보다 안정적으로 클라우드 서비스를 제공할 수 있다.
또한, 본 발명은 클라우드 시스템 내의 가용 서버를 확인하여 가용 서버의 가상머신으로 복제한 후, 다른 가용 서버의 가상머신으로 원 가상머신의 데이터 등을 이주시킴으로써, 끊김없이 안전한 클라우드 서비스를 제공할 수 있을 것이다.
이상에서 본 발명에 따른 실시예들이 설명되었으나, 이는 예시적인 것에 불과하며, 당해 분야에서 통상적 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 범위의 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 다음의 특허청구범위에 의해서 정해져야 할 것이다.
10: VoIP 서버 20: 제어서버
30~60: 서버 2, 3: 사용자 단말
4: 공격단말

Claims (10)

  1. 제1서버가 생성한 것으로서, 적어도 하나 이상의 사용자 단말에 소정 서비스를 제공하는 제1가상머신을 포함하는 클라우드 시스템에서, 보안서비스를 제공하는 방법에 있어서,
    상기 클라우드 시스템 내의 제2서버가 상기 제1가상머신을 복제한 제2가상머신을 생성하는 단계;
    상기 클라우드 시스템 내의 제3서버가 상기 제1가상머신을 이주한 제3가상머신을 생성하는 단계; 및
    상기 제3가상머신이 상기 제1가상머신이 제공하던 상기 소정 서비스를 상기 적어도 하나 이상의 사용자 단말에 제공하는 단계를 포함하는 방법.
  2. 제1항에 있어서,
    상기 제1서버에 유입되는 트래픽이 소정 공격레벨 이상인지 확인하는 단계를 더 포함하는 방법.
  3. 제1항에 있어서,
    상기 제1서버에 유입되는 트래픽의 패턴이 소정 공격패턴인지 확인하는 단계를 더 포함하는 방법.
  4. 제2항 또는 제3항에 있어서,
    상기 제1서버에 유입되는 트래픽의 패턴을 업데이트하여 저장하는 단계를 더 포함하는 방법.
  5. 제1항에 있어서,
    상기 제3가상머신의 정보를 상기 적어도 하나 이상의 사용자 단말에 전송하는 단계를 더 포함하는 방법.
  6. 제1항에 있어서, 상기 소정 서비스는, 근거리 통신(NFC) 기반 페이먼트 게이트웨이, 티켓판매 서비스, 보이스 오버 아이피(VoIP) 기반 사설교환망(PBX), 사물인터넷, 만물인터넷 및 ATO 중 어느 하나를 포함하는 방법.
  7. 적어도 하나 이상의 사용자 단말에 소정 서비스를 제공하는 제1가상머신을 생성하는 제1서버;
    상기 제1가상머신을 복제한 제2가상머신을 생성하는 제2서버;
    상기 제1가상머신을 이주한 제3가상머신을 생성하는 제3서버; 및
    상기 제2가상머신을 생성하도록 상기 제2서버를 제어하고, 상기 제3가상머신을 생성하도록 제3서버를 제어하는 제어서버를 포함하는 클라우드 시스템.
  8. 제7항에 있어서, 상기 제어서버는,
    상기 제1서버로의 트래픽이 소정 공격레벨 이상이거나 소정 공격패턴인 경우, 상기 제2가상머신을 생성하도록 상기 제2서버를 제어하고, 상기 제3가상머신을 생성하도록 제3서버를 제어하는 클라우드 시스템.
  9. 제8항에 있어서, 상기 제어서버는, 상기 소정 공격패턴을 데이터베이스에 저장하는 클라우드 시스템.
  10. 제7항에 있어서, 상기 제어서버는,
    상기 제3가상머신의 정보를 상기 적어도 하나 이상의 사용자 단말에 전송하는 클라우드 시스템.
KR1020150042233A 2015-03-26 2015-03-26 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 Active KR101703491B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150042233A KR101703491B1 (ko) 2015-03-26 2015-03-26 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150042233A KR101703491B1 (ko) 2015-03-26 2015-03-26 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템

Publications (2)

Publication Number Publication Date
KR20160115132A true KR20160115132A (ko) 2016-10-06
KR101703491B1 KR101703491B1 (ko) 2017-02-22

Family

ID=57164762

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150042233A Active KR101703491B1 (ko) 2015-03-26 2015-03-26 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템

Country Status (1)

Country Link
KR (1) KR101703491B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110008005A (zh) * 2019-04-11 2019-07-12 中国南方电网有限责任公司 基于云平台的电网通信资源虚拟机迁移系统及方法
KR102174507B1 (ko) * 2019-05-17 2020-11-04 (주)유미테크 통신 게이트웨이 방화벽 자동설정장치 및 그 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101901628B1 (ko) 2018-07-27 2018-11-07 박승호 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120254951A1 (en) * 2011-03-31 2012-10-04 International Business Machines Corporation Providing protection against unauthorized network access
WO2013191360A1 (ko) * 2012-06-20 2013-12-27 엘지전자 주식회사 신호 송수신 방법 및 이를 위한 장치
CN104468181A (zh) * 2013-09-23 2015-03-25 英特尔公司 虚拟网络设备故障的检测和处理

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120254951A1 (en) * 2011-03-31 2012-10-04 International Business Machines Corporation Providing protection against unauthorized network access
WO2013191360A1 (ko) * 2012-06-20 2013-12-27 엘지전자 주식회사 신호 송수신 방법 및 이를 위한 장치
CN104468181A (zh) * 2013-09-23 2015-03-25 英特尔公司 虚拟网络设备故障的检测和处理

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110008005A (zh) * 2019-04-11 2019-07-12 中国南方电网有限责任公司 基于云平台的电网通信资源虚拟机迁移系统及方法
KR102174507B1 (ko) * 2019-05-17 2020-11-04 (주)유미테크 통신 게이트웨이 방화벽 자동설정장치 및 그 방법

Also Published As

Publication number Publication date
KR101703491B1 (ko) 2017-02-22

Similar Documents

Publication Publication Date Title
US12015666B2 (en) Systems and methods for distributing partial data to subnetworks
Khan et al. Topology discovery in software defined networks: Threats, taxonomy, and state-of-the-art
US10382401B1 (en) Cloud over IP for enterprise hybrid cloud network and security
Demchak et al. China’s maxim–leave no access point unexploited: The hidden story of china telecom’s bgp hijacking
US9369434B2 (en) Whitelist-based network switch
KR101861201B1 (ko) 소프트웨어 정의 네트워킹에서의 서버 은닉 방법, 시스템 및 컴퓨터 프로그램
US9762546B2 (en) Multi-connection system and method for service using internet protocol
CN106487556B (zh) 业务功能sf的部署方法及装置
CN104967609A (zh) 内网开发服务器访问方法、装置及系统
US10812511B2 (en) Method for processing a network service
CN117478428A (zh) 一种隐身通信系统和配置方法
CN110798459B (zh) 一种基于安全功能虚拟化的多安全节点联动防御方法
Alotaibi et al. Multidomain SDN‐Based Gateways and Border Gateway Protocol
US20240422179A1 (en) Autonomous network security scaling
KR101703491B1 (ko) 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템
Spadaccino et al. Analysis and emulation of BGP hijacking events
Amin et al. Edge-computing with graph computation: A novel mechanism to handle network intrusion and address spoofing in SDN
Kirkpatrick Fixing the internet
Alomari et al. Towards optimal synchronization in NFV‐based environments
Nalayini et al. Block link flooding algorithm for TCP SYN flooding attack
RU2714217C1 (ru) Способ осуществления правил политики безопасности в одноранговых коммуникационных сетях киберфизических устройств
KR102246290B1 (ko) 소프트웨어 정의 네트워크 기반 망 분리 방법, 장치 및 컴퓨터 프로그램
AU2023203129B2 (en) Systems and methods for distributing partial data to subnetworks
KR102114484B1 (ko) 소프트웨어 정의 네트워크에서 네트워크 접근을 제어하는 방법, 장치 및 컴퓨터 프로그램
CN111917683B (zh) 安全交互方法、计算节点、控制中心、云平台及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20150326

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20151030

Patent event code: PE09021S01D

AMND Amendment
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20160527

Patent event code: PE09021S01D

AMND Amendment
PG1501 Laying open of application
E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20161123

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20160527

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I

Patent event date: 20151030

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I

AMND Amendment
PX0901 Re-examination

Patent event code: PX09011S01I

Patent event date: 20161123

Comment text: Decision to Refuse Application

Patent event code: PX09012R01I

Patent event date: 20160927

Comment text: Amendment to Specification, etc.

Patent event code: PX09012R01I

Patent event date: 20160128

Comment text: Amendment to Specification, etc.

PX0701 Decision of registration after re-examination

Patent event date: 20170106

Comment text: Decision to Grant Registration

Patent event code: PX07013S01D

Patent event date: 20161226

Comment text: Amendment to Specification, etc.

Patent event code: PX07012R01I

Patent event date: 20161123

Comment text: Decision to Refuse Application

Patent event code: PX07011S01I

Patent event date: 20160927

Comment text: Amendment to Specification, etc.

Patent event code: PX07012R01I

Patent event date: 20160128

Comment text: Amendment to Specification, etc.

Patent event code: PX07012R01I

X701 Decision to grant (after re-examination)
GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20170201

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20170201

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20201126

Start annual number: 5

End annual number: 5

PR1001 Payment of annual fee

Payment date: 20220329

Start annual number: 6

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20230222

Start annual number: 7

End annual number: 7

PR1001 Payment of annual fee

Payment date: 20240131

Start annual number: 8

End annual number: 8