VM escape 공격을 완화시키는 침입감내시스템 설계

Abstract

기존의 가상화 기반 침입 감내 시스템은 주기적으로 가상 머신을 복구함으로써 잠재적 침입을 대응하는 기술이다. 그러나 가상화 환경에서 가상 머신층을 통과하여 호스트 전체를 공격하는VM escape 유형의 공격에 대해서는 고려하지 않았다. 본 논문에서는 이러한 VM es-cape 유형의 공격 피해를 최소화 하도록 Recovery scheduler를 이용하여 특정 서비스를 호스트마다 중복해서 제공함으로써 VM escape 유형의 공격으로 한 호스트가 공격을 받더라도 다른 호스트에서 서비스를 제공할 수 있도록 하였고, 또한 온라인 가상 머신을 호스트별로 균등하게 분배하여서 VM escape 공격을 받을 확률 및 동시적인 피해를 최소화하여 보안성을 증진시켰다. Cloudsim 3.0 시뮬레이션 엔진을 이용하여 기존SCIT과 실시간 서비스 중복 수준의 유지 여부를 비교 실험하고, 또한 실시간 호스트별 온라인 가상 머신 수를 비교 실험하였다. 이를 통해서 제안한 시스템이 VM escape 공격의 피해를 최소화할 수 있는 침입 감내 시스템이라는 것을 입증하였다.