KR102059808B1 - 컨테이너 기반 통합 관리 시스템 - Google Patents

컨테이너 기반 통합 관리 시스템 Download PDF

Info

Publication number
KR102059808B1
KR102059808B1 KR1020180066643A KR20180066643A KR102059808B1 KR 102059808 B1 KR102059808 B1 KR 102059808B1 KR 1020180066643 A KR1020180066643 A KR 1020180066643A KR 20180066643 A KR20180066643 A KR 20180066643A KR 102059808 B1 KR102059808 B1 KR 102059808B1
Authority
KR
South Korea
Prior art keywords
client
policy
clients
information
computing device
Prior art date
Application number
KR1020180066643A
Other languages
English (en)
Other versions
KR20190140179A (ko
Inventor
박상훈
곽동녘
Original Assignee
주식회사 티맥스오에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 티맥스오에스 filed Critical 주식회사 티맥스오에스
Priority to KR1020180066643A priority Critical patent/KR102059808B1/ko
Priority to US16/053,236 priority patent/US11003765B2/en
Publication of KR20190140179A publication Critical patent/KR20190140179A/ko
Application granted granted Critical
Publication of KR102059808B1 publication Critical patent/KR102059808B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0709Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0712Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a virtual computing platform, e.g. logically partitioned systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5072Grid computing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

전술한 바와 같은 과제를 실현하기 위한 본 개시의 일 실시예에 따라 컴퓨팅 장치에서의 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램이 개시된다. 인코딩된 명령들을 포함하는 컴퓨터 판독 가능 저장 매체에 저장된 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램은 컴퓨팅 장치의 하나 이상의 프로세서들에 의해 실행되는 경우, 상기 하나 이상의 프로세서들로 하여금 컴퓨팅 장치에서의 시스템 이상을 감지하기 위한 이하의 동작들을 수행하도록 하며, 상기 동작들은: 상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하는 동작; 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 동작; 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하는 동작; 및 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하는 동작;을 포함할 수 있다.

Description

컨테이너 기반 통합 관리 시스템{CONTAINER-BASED INTEGRATED MANAGEMENT SYSTEM}
본 개시는 통합 관리 시스템에 관한 것으로서, 보다 구체적으로, 컴퓨팅 장치가 복수의 클라이언트의 이상 행위를 감지하고 원인이 되는 서비스를 제어하기 위한 통합 관리 시스템에 관한 것이다.
컴퓨터 네트워크의 기술 발전에 따라, 각 단말의 독립적인 하드웨어 성능에 의존하던 기존의 컴퓨팅 환경은, 네트워크 상의 모든 컴퓨팅 자원을 활용하여 사용자 단말의 요청에 따라 해당 서비스를 간편하고 쉽게 사용하도록 제공하는 클라우드 컴퓨팅(Cloud Computing) 형태로 진화해왔다. 현재 IT 인프라 구축 시에, 클라우드 컴퓨팅 기술은 IT 자원을 서로 공유하고 유휴 자원을 효율적으로 사용할 수 있다는 장점 때문에 서버나 시스템 구성 시 보편적으로 이용되고 있다. 클라우드 컴퓨팅의 핵심 기반 기술로 가상화(Virtualization) 기술을 꼽을 수 있으며, 서버 분야에서 많이 사용되는 공개형 서버 가상화 기술에는 가상머신(Virtual Machine, VM) 또는 하이퍼바이저(Hypervisor) 기반이라 불리는 Xen, KVM, VirtualBox 등이 존재한다. 가상머신 기반의 서버 가상화 기술은 물리적 서버 위에 운영체제(이하 호스트 OS)를 설치하고, 그 위에 하이퍼바이저를 기반으로 자원을 분할하여 가상 머신을 생성한 뒤에 또 다시 운영체제(이하 게스트 OS)를 설치하고 원하는 응용 프로그램을 구동하는 방식이다. 이러한 방식은 하나의 물리적 시스템에 독자적으로 운영 가능한 다수의 서버들을 가질 수 있다는 장점이 있으나, 호스트 OS와 게스트 OS가 동일한 운영체제로 작동 중인 경우에는 자원의 낭비가 크다는 단점이 있다.
이에 따라 최근 가상 머신 방식과 다른 방식의 가상화 기술인 컨테이너(Container) 방식이 유행하고 있다. 컨테이너 기반의 시스템은 운영체제 커널을 공유하기때문에 가상 머신 방식보다 훨씬 가벼워 이동성이 뛰어나고, 시동이 훨씬 빠르며, 운영체제 전체 부팅보다 메모리를 훨씬 적게 차지한다는 장점이 있다. 이와 같이 클라우드 서비스 환경에서는 CPU, Memory, 스토리지, 응용 프로그램 등의 필요한 자원이 가상화 기술로 제공되는 클라우드 시스템을 통해 원하는 시점에 원하는 만큼 가상의 머신 서버와 자원을 골라서 사용하게 되어 높은 경제성과 확장성 그리고 고도화된 서비스들도 제공받을 수 있게 됐으나, 애플리케이션이 실행되는 과정에서 외부로부터 악의적인 공격 또는 침입이 발생되는 경우, 호스트 운영체제에 직접적인 피해를 입힐 수 있어 보안과 안정성에 문제가 생겨났다.
따라서, 당업계에는 컴퓨팅 장치에 연결된 복수의 클라이언트를 대상으로 각각의 클라이언트 컴퓨터에 대한 개별 모니터링을 통해 사용자의 이상 행위를 감지하고 원인이 되는 서비스를 제어하기 위한 정책 기반 관리 시스템의 수요가 존재한다.
KR20110003468
본 개시는 전술한 배경 기술에 대응하여 안출된 것으로, 컴퓨팅 장치가 복수의 클라이언트에서 발생하는 시스템 이상을 감지하고 원인이 되는 서비스를 제어하는 통합 관리 시스템을 제공하기 위한 것이다.
전술한 과제를 해결하기 위한 본 개시의 일 실시예에서, 인코딩된 명령들을 포함하는 컴퓨터 판독 가능 저장 매체에 저장된 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램은 컴퓨팅 장치의 하나 이상의 프로세서들에 의해 실행되는 경우, 상기 하나 이상의 프로세서들로 하여금 컴퓨팅 장치에서의 시스템 이상을 감지하기 위한 이하의 동작들을 수행하도록 하며, 상기 동작들은: 상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하는 동작; 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 동작;
상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하는 동작; 및 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하는 동작;을 포함할 수 있다.
대안적으로, 상기 모니터링 정보는, 상기 클라이언트의 리소스에 관련한 정보를 포함하는 리소스 정보 및 상기 클라이언트의 동작에 관련한 정보를 포함하는 동작 정보 중 적어도 하나를 포함할 수 있다.
대안적으로, 상기 시스템 모니터링 정책은, 상기 클라이언트의 리소스와 관련된 리소스 정책 및 상기 클라이언트에 동작과 관련된 동작 정책 중 적어도 하나를 포함할 수 있다.
대안적으로, 상기 리소스 정책은, 상기 클라이언트의 리소스 사용량 또는 잔여량이 사전결정된 제 1 시간 기간 동안 사전결정된 임계 값 이상 변동되는지 여부와 관련된 정책을 포함하고, 그리고 상기 동작 정책은, 상기 클라이언트의 저장 공간에 대한 동작에 관한 정책을 포함하며, 사전결정된 제 2 시간 기간 동안 사전결정된 동작이 사전결정된 횟수 이상 발생하는지 여부와 관련된 정책을 포함할 수 있다.
대안적으로, 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하는 동작은, 상기 시스템 모니터링 정책을 위반한 클라이언트가 사전결정된 수 이상인 경우, 상기 시스템 이상이 발생한 것으로 판단하는 동작;을 포함할 수 있다.
대안적으로, 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 동작은, 상기 각각의 클라이언트에 대한 모니터링 정보의 상기 리소스 정보의 변화량과 상기 시스템 모니터링 정책의 리소스 정책의 사전결정된 임계 변화량을 비교하는 동작; 및 상기 리소스 정보의 변화량이 상기 리소스 정책의 사전결정된 임계 변화량 이상인 경우, 상기 클라이언트가 상기 시스템 모니터링 정책을 위반한 것으로 판단하는 동작;을 포함할 수 있다.
대안적으로, 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 동작은, 상기 각각의 클라이언트에 대한 모니터링 정보의 상기 동작 정보와 상기 시스템 모니터링 정책의 동작 정책과 비교하는 동작; 및 상기 동작 정보가 상기 동작 정책에 위반되는 정보를 포함하는 경우, 상기 클라이언트가 상기 동작 정책을 위반한 것으로 판단하는 동작;을 포함할 수 있다.
대안적으로, 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하는 동작은, 발생된 시스템 이상의 종류에 기초하여 상기 복수의 클라이언트들 중 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나 그룹을 제어할 것을 결정하는 동작;을 포함할 수 있다.
대안적으로, 상기 발생된 시스템 이상의 종류에 기초하여 상기 복수의 클라이언트들 중 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나 그룹을 제어할 것을 결정하는 동작은, 발생된 시스템 이상의 종류가 이상이 발생한 클라이언트 자체에만 영향을 미치는 이상인 경우, 상기 이상이 발생한 클라이언트 그룹을 제어할 것을 결정하는 동작; 및 상기 발생된 시스템 이상의 종류가 다른 클라이언트에 영향을 미치는 이상인 경우, 상기 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나의 그룹을 제어할 것을 결정하는 동작;을 포함할 수 있다.
대안적으로, 상기 클라이언트에 대한 제어는, 상기 복수의 클라이언트들 중 일부의 클라이언트에 대한 장치 제어, 파일 제어, 프로세스 제어 및 네트워크 제어 중 적어도 하나를 포함할 수 있다.
본 개시의 다른 실시예에서, 컴퓨팅 장치에서 수행되는 시스템 이상을 감지하기 위한 방법으로서, 상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하는 단계; 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 단계; 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하는 단계; 및 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어하는 단계;를 포함할 수 있다.
본 개시의 다른 실시예에서, 시스템 이상을 감지하기 위한 컴퓨팅 장치로서, 하나 이상의 코어를 포함하는 프로세서; 상기 프로세서에서 실행가능한 명령들을 저장하는 메모리; 및 복수의 클라이언트와의 통신을 허용하는 네트워크부;를 포함하고, 상기 프로세서는, 상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하고, 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하고, 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하고, 그리고 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정할 수 있다.
본 개시는 컴퓨팅 장치에서 발생하는 시스템 이상을 감지하고 원인이 되는 서비스를 제어하는 통합 관리 시스템을 제공할 수 있다.
다양한 양상들이 이제 도면들을 참조로 기재되며, 여기서 유사한 참조 번호들은 총괄적으로 유사한 구성요소들을 지칭하는데 이용된다. 이하의 실시예에서, 설명 목적을 위해, 다수의 특정 세부사항들이 하나 이상의 양상들의 총체적 이해를 제공하기 위해 제시된다. 그러나, 그러한 양상(들)이 이러한 구체적인 세부사항들 없이 실시될 수 있음은 명백할 것이다.
도 1a는 본 개시의 일 실시예와 관련된 복수의 클라이언트에서 발생하는 시스템 이상을 감지하고 원인이 되는 서비스를 제어하는 컴퓨팅 장치의 전체적인 시스템을 나타낸 개념도이다.
도 1b은 본 개시의 일 실시예와 관련된 서비스 서버에서 발생하는 시스템 이상을 감지하고 원인이 되는 서비스를 제어하는 컴퓨팅 장치의 전체적인 시스템을 나타낸 개념도이다.
도 2는 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 블록구성도를 도시한다.
도 3은 본 개시의 일 실시예와 관련된 컨테이너 기반 클라우드 서버의 형태로 구현된 서비스 서버에 대한 세부 구성도를 도시한다.
도 4는 본 개시의 일 실시예와 관련된 가상머신 기반 클라우드 서버의 형태로 구현된 서비스 서버에 대한 세부 구성도를 도시한다.
도 5는 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 동작의 순서도이다.
도 6은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 관리자가 제공받을 수 있는 시스템 이상 발생 여부를 나타내는 데이터 테이블에 관련한 예시도이다.
도 7은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 수단을 도시한 도면이다.
도 8은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 모듈을 도시한 도면이다.
도 9은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 로직을 도시한 도면이다.
도 10는 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 회로를 도시한 도면이다.
도 11은 본 개시의 일 실시예들이 구현될 수 있는 예시적인 컴퓨팅 환경에 대한 간략하고 일반적인 개략도를 도시한다.
다양한 실시예들이 이제 도면을 참조하여 설명되며, 전체 도면에서 걸쳐 유사한 도면번호는 유사한 구성요소를 나타내기 위해서 사용된다. 본 명세서에서, 다양한 설명들이 본 개시의 이해를 제공하기 위해서 제시된다. 그러나 이러한 실시예들은 이러한 구체적인 설명 없이도 실행될 수 있음이 명백하다. 다른 예들에서, 공지된 구조 및 장치들은 실시예들의 설명을 용이하게 하기 위해서 블록 다이어그램 형태로 제공된다.
본 명세서에서 사용되는 용어 "컴포넌트", "모듈", "시스템" 등은 컴퓨터-관련 엔티티, 하드웨어, 펌웨어, 소프트웨어, 소프트웨어 및 하드웨어의 조합, 또는 소프트웨어의 실행을 지칭한다. 예를 들어, 컴포넌트는 프로세서상에서 실행되는 처리과정, 프로세서, 객체, 실행 스레드, 프로그램, 및/또는 컴퓨터일 수 있지만, 이들로 제한되는 것은 아니다. 예를 들어, 컴퓨팅 장치에서 실행되는 어플리케이션 및 컴퓨팅 장치 모두 컴포넌트일 수 있다. 하나 이상의 컴포넌트는 프로세서 및/또는 실행 스레드 내에 상주할 수 있고, 일 컴포넌트는 하나의 컴퓨터 내에 로컬화될 수 있고, 또는 2개 이상의 컴퓨터들 사이에 분배될 수 있다. 또한, 이러한 컴포넌트들은 그 내부에 저장된 다양한 데이터 구조들을 갖는 다양한 컴퓨터 판독가능한 매체로부터 실행할 수 있다. 컴포넌트들은 예를 들어 하나 이상의 데이터 패킷들을 갖는 신호(예를 들면, 로컬 시스템, 분산 시스템에서 다른 컴포넌트와 상호작용하는 하나의 컴포넌트로부터 데이터 및/또는 신호를 통해 다른 시스템과 인터넷과 같은 네트워크를 통한 데이터)에 따라 로컬 및/또는 원격 처리들을 통해 통신할 수 있다.
더불어, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하지만, 하나 이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다. 또한, 달리 특정되지 않거나 단수 형태를 지시하는 것으로 문맥상 명확하지 않은 경우에, 본 명세서와 청구범위에서 단수는 일반적으로 "하나 또는 그 이상"을 의미하는 것으로 해석되어야 한다.
제시된 실시예들에 대한 설명은 본 개시의 기술 분야에서 통상의 지식을 가진 자가 본 개시를 이용하거나 또는 실시할 수 있도록 제공된다. 이러한 실시예들에 대한 다양한 변형들은 본 개시의 기술 분야에서 통상의 지식을 가진 자에게 명백할 것이며, 여기에 정의된 일반적인 원리들은 본 개시의 범위를 벗어남이 없이 다른 실시예들에 적용될 수 있다. 그리하여, 본 개시는 여기에 제시된 실시예들로 한정되는 것이 아니라, 여기에 제시된 원리들 및 신규한 특징들과 일관되는 최광의의 범위에서 해석되어야 할 것이다.
도 1a는 본 개시의 일 실시예와 관련된 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하는 컴퓨팅 장치(100)의 전체적인 시스템을 나타낸 개념도이다.
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 복수의 클라이언트에서의 시스템 이상을 감지하고, 그리고 상기 감지한 시스템 이상에 기초하여 복수의 클라이언트를 제어할 수 있다. 구체적으로, 컴퓨팅 장치(100)는 복수의 클라이언트에서 발생하는 시스템 이상 발생 여부를 판단할 수 있다. 이때, 시스템 이상 발생 여부 판단은 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들로부터 각각의 클라이언트(110)에 대한 모니터링 정보 및 시스템 모니터링 정책의 비교에 기초하여 판단될 수 있다. 자세히 설명하면, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들로부터 각각의 클라이언트(110)에 대한 모니터링 정보를 수신할 수 있다. 또한, 컴퓨팅 장치(100)는 관리자로부터 이상 행위에 대한 식별을 위해 시스템 모니터링 정책을 입력 받을 수 있다. 즉, 컴퓨팅 장치(100)는 복수의 클라이언트들로부터 수신한 모니터링 정보 및 관리자의 입력에 기초하여 설정된 시스템 모니터링 정책의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단할 수 있다. 또한, 컴퓨팅 장치(100)는 시스템 이상이 발생되었다고 판단한 경우, 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들 중 일부의 클라이언트에 복수의 제어 동작을 수행할 수 있다.
따라서, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들의 이상 행위를 감지할 수 있으며, 상기 이상 행위가 감지된 경우 복수의 클라이언트를 제어하는 동작을 수행하여 개별 클라이언트의 이상 행위가 컴퓨팅 장치(100)를 통해 네트워크 망으로 전이되는 것을 방지할 수 있고, 상기 이상 행위로 인해 발생할 수 있는 추가 위협을 방지할 수 있다.
본 개시의 일 실시예에 따른 컴퓨팅 장치(100)는 각 클라이언트로부터의 모니터링 정보를 종합하여 개별 클라이언트 별로는 이상 동작이 아닌 동작이라도, 복수의 클라이언트에서 동시다발적으로 모니터링 정보에 변화가 발생하는 경우, 시스템이상으로 판단함으로써, 랜섬웨어 등 네트워크를 통해 전파될 수 있는 시스템 이상을 감지하고 제어 동작을 취할 수 있다.
도 1b은 본 개시의 다른 실시예와 관련된 서비스 서버에서 발생하는 시스템 이상을 감지하고 원인이 되는 서비스를 제어하는 컴퓨팅 장치의 전체적인 시스템을 나타낸 개념도이다.
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 서비스 서버(10)와 무선 및/또는 유선을 통한 상호 연결을 통해 정보를 전송할 수 있고, 그리고 수신할 수 있다.
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 서비스 서버(10)에서 발생하는 시스템 이상을 감지할 수 있고, 그리고 상기 감지한 시스템 이상에 기초하여 서비스 서버(10)에 연결된 복수의 클라이언트를 제어할 수 있다. 보다 구체적으로, 컴퓨팅 장치(100)는 서비스 서버(10)에 연결된 복수의 클라이언트들로부터 각각의 클라이언트(110)에 대한 모니터링 정보 및 시스템 모니터링 정책의 비교에 기초하여 시스템 이상 여부를 판단할 수 있다. 자세히 설명하면, 컴퓨팅 장치(100)는 서비스 서버(10)로부터 상기 서비스 서버(10)에 연결된 복수의 클라이언트들로부터 각각의 클라이언트(110)에 대한 모니터링 정보를 수신할 수 있다. 또한, 컴퓨팅 장치(100)는 관리자로부터 복수의 클라이언트들로부터 발생하는 이상 행위를 식별을 위해 시스템 모니터링 정책을 입력 받을 수 있다. 즉, 컴퓨팅 장치(100) 서비스 서버(10)로부터 수신한 각각의 클라이언트(110)에 대한 모니터링 정보와 관리자의 입력에 기초하여 설정된 시스템 모니터링 정책을 비교할 수 있고, 그리고 상기 비교 결과에 기초하여 시스템 이상 발생 여부를 판단할 수 있다. 또한, 컴퓨팅 장치(100)는 시스템 이상이 발생되었다고 판단한 경우, 서비스 서버(10)로 복수의 클라이언트를 제어하는 제어 정보를 전송할 수 있다. 즉, 각각의 클라이언트에 대한 모니터링 정보는 각각 시스템 모니터링 정책과 비교될 수 있으며, 컴퓨팅 장치(100)는 각각의 클라이언트에 대한 모니터링 정보를 각각 시스템 모니터링 정책과 비교하여 시스템 모니터링 정책을 위반하는 복수의 클라이언트가 존재하는지 여부를 판단할 수도 있다.
따라서, 컴퓨팅 장치(100)는 서비스 서버(10)에 연결된 복수의 클라이언트들의 이상 행위를 감지할 수 있으며, 상기 이상 행위가 감지된 경우 복수의 클라이언트를 제어하는 제어 동작을 상기 서비스 서버(10)로 전송하고 상기 서비스 서버(10)가 복수의 클라이언트를 제어하는 동작을 수행하여 개별 클라이언트의 이상 행위가 서비스 서버(10)를 통해 네트워크 망으로 전이되는 것을 방지할 수 있고, 상기 이상 행위로 인해 발생할 수 있는 추가 위협을 방지할 수 있다.
본 개시의 일 실시예에 따르면, 서비스 서버(10)는 클라우드 컴퓨팅 서비스일 수 있다. 보다 구체적으로, 서비스 서버(10)는 인터넷 기반 컴퓨팅의 일종으로 정보를 사용자의 컴퓨터가 아닌 인터넷에 연결된 다른 컴퓨터로 처리하는 클라우드 컴퓨팅 서비스 일 수 있다. 상기 클라우드 컴퓨팅 서비스는 인터넷 상에 자료를 저장해 두고, 사용자가 필요한 자료나 프로그램을 자신의 컴퓨터에 설치하지 않고도 인터넷 접속을 통해 언제 어디서나 이용할 수 있는 서비스이며, 인터넷 상에 저장된 자료들을 간단한 조작 및 클릭으로 쉽게 공유하고 전달할 수 있다. 또한, 클라우드 컴퓨팅 서비스는 인터넷 상의 서버에 단순히 자료를 저장하는 것뿐만 아니라, 별도로 프로그램을 설치하지 않아도 웹에서 제공하는 응용프로그램의 기능을 이용하여 원하는 작업을 수행할 수 있으며, 여러 사람이 동시에 문서를 공유하면서 작업을 진행할 수 있는 서비스이다. 또한, 클라우드 컴퓨팅 서비스는 IaaS(Infrastructure as a Service), PaaS(Platform as a Service), SaaS(Software as a Service) 및 가상 머신 기반 클라우드 서버 및 컨테이너 기반 클라우드 서버 중 적어도 하나의 형태로 구현될 수 있다. 즉, 본 개시의 서비스 서버(10)는 상술한 클라우드 컴퓨팅 서비스 중 적어도 하나의 형태로 구현될 수 있다. 전술한 클라우드 컴퓨팅 서비스의 구체적인 기재는 예시일 뿐, 본 개시는 클라우드 컴퓨팅 환경을 구축하는 임의의 플랫폼을 포함할 수도 있다. 서비스 서버(10)가 컨테이너 기반 클라우드 서버(300) 및 가상머신 기반 클라우드 서버(400)로써 구현되는 구체적인 기재는 도3, 도4를 참조하여 후술하도록 한다.
도 2는 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 블록구성도를 도시한다.
도 2에 도시된 컴퓨팅 장치(100)의 컴포넌트들은 예시적인 것이다. 도 2에 도시된 컴포넌트 중 일부만이 컴퓨팅 장치(100)를 구성할 수도 있다. 또한, 도 2에 도시된 컴포넌트 이외에 추가적인 컴포넌트(들)가 상기 컴퓨팅 장치(100)에 포함될 수도 있다.
도 2에 도시된 바와 같이, 컴퓨팅 장치(100)는 프로세서(210), 메모리(220) 및 네트워크부(230)를 포함할 수 있다.
본 개시의 일 실시예에 따르면, 프로세서(210)는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들로부터 각각의 모니터링 정보를 수신할 수 있다. 이때, 모니터링 정보는 리소스 정보 및 동작 정보를 포함할 수 있다. 모니터링 정보가 포함하는 상기 리소스 정보는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각이 어플리케이션을 구동하기 위해 사용하는 리소스의 변화량에 대한 정보일 수 있다. 예를 들어, 리소스 정보는 클라이언트(110)가 어플리케이션을 동작시키는 경우, 변화하는 CPU, 메모리, 하드디스크, 네트워크의 사용률 및 사용시간 등에 관한 정보를 포함할 수 있다. 모니터링 정보가 포함하는 상기 동작 정보는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각이 수행하는 동작에 관한 정보일 수 있다. 구체적으로, 동작 정보는 각각의 클라이언트에서 실행되는 어플리케이션이 클라이언트(110)의 설치 행위, 삭제 행위 및 제어 행위 중 적어도 하나에 기초하여 변화하는 정보를 포함할 수 있다. 자세한 예를 들어, 상기 어플리케이션에서 동작되는 장치, 파일, 프로세스, 네트워크 및 공유 디렉토리에 대한 해당 클라이언트(110)의 설치 행위, 삭제 행위, 변경 행위, 연결 행위, 해제 행위 및 접근 행위 중 적어도 하나의 행위에 의해 변화하는 정보를 포함할 수 있다. 전술한 리소스 정보 및 동작 정보에 관한 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
본 개시의 다른 실시예에 따르면, 프로세서(210)는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각의 모니터링 정보들을 데이터베이스(DataBase)를 통하여 수신할 수도 있다. 예를 들어, 상기 데이터베이스는 티맥스 데이터의 Tibero일 수 있다. 자세히 설명하면, 프로세서(210)는 복수의 클라이언트들로부터 수신한 정보에 기초하여 각각의 클라이언트에 대한 시스템 이상을 판단할 수 있다. 이에 따라, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 모든 클라이언트로부터 모니터링 정보를 수신해야 하므로, 보다 큰 부하량을 야기할 수 있다. 따라서, 컴퓨팅 장치(100)는 데이터베이스와 연동하여 복수의 클라이언트 각각의 모니터링 정보들을 수신할 수 있다. 보다 구체적으로, 클라이언트에서 전송한 모니터링 정보는 데이터베이스에 저장되고, 그리고 컴퓨팅 장치(100)는 필요한 정보를 상기 모니터링 정보가 저장된 데이터베이스에 요청하여 수신할 수 있다. 컴퓨팅 장치(100)는 데이터베이스를 통해 적은 부하량으로 복수의 클라이언트의 모니터링 정보를 수신하여 개별 클라이언트의 이상 행위를 감지할 수 있다.
본 개시의 일 실시예에 따르면, 프로세서(210)는 관리자의 입력에 기초하여 시스템 모니터링 정책을 설정할 수 있다. 이때, 시스템 모니터링 정책은 클라이언트의 리소스와 관련된 리소스 정책 및 클라이언트에 동작과 관련된 동작 정책을 포함할 수 있다. 상기 리소스 정책은, 예를 들어, 클라이언트의 리소스 사용량 또는 잔여량이 기 설정된 기간동안 사전 결정된 임계값 이상 변동되는지 여부와 관련된 정책을 포함할 수 있다. 보다 구체적으로, 리소스 정책은 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각의 사전 결정된 시간에 동안 리소스 변화량에 대한 정책일 수 있다. 예를 들어, 리소스 정책은 10초간 클라이언트의 리소스 사용량이 50% 이상 변화하는 경우 이상으로 판단하는 정책일 수 있다. 또한, 예를 들어, 리소스 정책은 클라이언트의 리소스 사용량이 임계치를 넘는 경우 이상으로 판단하는 정책일 수 있다. 상기 동작 정책은, 클라이언트(110)의 저장 공간에 대한 동작에 관한 정책을 포함하며, 기 설정된 기간동안 사전 결정된 동작이 사전 결정된 횟수 이상 발생하는지 여부와 관련된 정책을 포함할 수 있다. 보다 구체적으로, 동작 정책은 컴퓨팅 장치(100)의 복수의 클라이언트 각각에 대하여 사전 결정된 시간 내에 관리자가 규정한 동작이 발생하는 횟수를 초과하는지에 대한 정책일 수 있다. 예를 들어, 동작 정책은 5초동안 복수의 클라이언트 각각에서 10번의 파일 변경 동작이 발생하는 경우, 정책 위반으로 판단하기 위한 정책일 수 있다. 다른 예를 들어, 동작 정책은 3초동안 복수의 클라이언트 각각에서 15번의 파일 변경 동작을 기준으로 하여 설정될 수도 있다. 상술한 리소스 정책 및 동작 정책에 대한 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
본 개시의 일 실시예에 따르면, 프로세서(210)는 각각의 클라이언트에 대한 모니터링 정보를 시스템 모니터링 정책과 비교할 수 있다. 보다 구체적으로, 프로세서(210)는 각각의 클라이언트에 대한 모니터링 정보의 상기 리소스 정보의 변화량과 상기 시스템 모니터링 정책의 리소스 정책의 사전 결정된 임계 변화량을 비교할 수 있다. 예를 들어, 프로세서(210)에 각각의 클라이언트에서 10분동안 CPU의 사용량이 70% 초과하는지 여부에 대한 리소스 정책이 설정된 경우, 각각의 클라이언트들로부터 기 설정된 10분 동안 CPU 사용량에 대한 정보를 수신하여, CPU의 사용량이 70%를 초과하는지 비교할 수 있다. 전술한 리소스 정책에 관한 구체적인 수치는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
또한, 프로세서(210)는 각각의 클라이언트에 대한 모니터링 정보의 동작 정보와 시스템 모니터링 정책의 동작 정책과 비교할 수 있다. 자세히 설명하면, 프로세서(210)에 설정된 동작 정책에 기초하여 각각의 클라이언트에서 수신한 모니터링 정보를 비교할 수 있다. 예를 들어, 프로세서(210)에 각각의 클라이언트에서 5초동안 특정 파일 변경이 30회를 초과하는지 여부에 대한 동작 정책이 설정된 경우, 각각의 클라이언트들로부터 기 설정된 5초동안 파일 변경에 대한 정보를 수신하여, 파일 변경이 30회를 초과하는 지 비교할 수 있다. 전술한 동작 정책에 관한 구체적인 수치는 예시일 뿐, 본 개시는 이에 제한되지 않는다. 즉, 프로세서(210)는 리소스 정보와 리소스 정책 및 동작 정보와 동작 정책을 각각 비교할 수 있다.
본 개시의 일 실시예에 따르면, 프로세서(210)는 모니터링 정보와 시스템 모니터링 정책의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단할 수 있다. 보다 구체적으로, 프로세서(210)는 복수의 클라이언트들 중 시스템 모니터링 정책을 위반한 클라이언트가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다. 자세히 설명하면, 프로세서(210)는 각각의 클라이언트에 대한 모니터링 정보 및 시스템 모니터링 정책의 비교 결과에 기초하여 시스템 모니터링 정책을 위반한 클라이언트를 판단할 수 있다. 이때, 모니터링 정보는 리소스 정보 및 동작 정보를 포함하며, 시스템 모니터링 정책은 리소스 정책 및 동작 정책을 포함할 수 있다. 다시 말해, 프로세서(210)는 리소스 정보와 리소스 정책 및 동작 정보와 동작 정책 각각을 비교하여 리소스 정보 및 동작 정보가 상기 리소스 정책 및 상기 동작 정책을 위반하는지 여부를 판단할 수 있다. 예를 들어, 클라이언트의 CPU 사용량이 70% 이상인 경우, 해당 클라이언트만 이러한 모니터링 정보(CPU 사용량 70% 이상)을 가지는 경우에는 해당 클라이언트가 많은 리소스가 필요한 작업을 수행하는 경우일 수 있다(즉, 정상 동작). 그러나, 여러 클라이언트의 CPU 사용량이 동시다발적으로 증가하는 경우, 컴퓨팅 장치(100)는 여러 클라이언트의 CPU 사용량이 동시다발적으로 증가하는 모니터링 정보에 기초하여 시스템 이상이 발생한 것으로 판단할 수 있다.
또한, 프로세서(210)는 각각의 클라이언트의 리소스 정보를 리소스 정책과 비교하여 상기 리소스 정책에 위반하는 클라이언트를 판단할 수 있다. 구체적으로, 프로세서(210)는 리소스 변화량이 리소스 정책의 사전 결정된 임계 변화량 이상인 경우, 클라이언트가 리소스 정책을 위반한 것으로 판단할 수 있다. 예를 들어, 프로세서(210)가 관리자의 입력에 기초하여 CPU사용량을 60%로 제한하는 리소스 정책을 사전 설정했을 때, 실시간으로 모니터링한 각각의 클라이언트 CPU사용량이 60%이상인 경우, 프로세서(210)는 CPU의 사용량이 60%이상인 클라이언트가 리소스 정책을 위반한 것으로 판단할 수 있다. 전술한 리소스 정보 및 리소스 정책의 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
또한, 프로세서(210)는 각각의 클라이언트의 동작 정보를 동작 정책과 비교하여 상기 동작 정책을 위반하는 클라이언트를 판단할 수 있다. 구체적으로, 프로세서(210)는 각각의 클라이언트의 동작 정보가 기 설정된 동작 정책에 위반하는 정보를 포함하는 경우, 클라이언트가 동작 정책을 위반한 것으로 판단할 수 있다. 예를 들어, 프로세서(210)를 통해 사전 설정된 동작 정책이 3초동안 파일 삭제가 20회 수행되는 동작에 기초하여 설정된 경우, 특정 클라이언트의 동작 정보에서 해당 3초동안 파일 삭제가 26회 수행되는 경우, 프로세서(210)는 상기 특정 클라이언트가 동작 정책을 위반한 것으로 판단할 수 있다. 전술한 동작 정보 및 동작 정책의 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
즉, 프로세서(210)는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트로부터 수신한 모니터링 정보와 사전 설정된 시스템 모니터링 정책을 비교하여 상기 시스템 모니터링 정책을 위반하는 클라이언트를 판단할 수 있으며, 상기 판단된 클라이언트의 수가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다.
이하에서는 도 6을 참조하여 프로세서(210)가 시스템 이상 발생 여부를 판단하는 구체적인 실시예에 대하여 서술하도록 한다.
도 6은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 관리자가 제공받을 수 있는 시스템 이상 발생 여부를 나타내는 데이터 테이블에 관련한 예시도이다.
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 관리자에게 시스템 이상에 관련한 정보를 제공할 수 있다. 이때, 상기 관리자에게 제공되는 정보는 도 6에 도시된 바와 같은 데이터 테이블의 형태로 제공될 수 있고 또는 UI(User Interface)형태로 제공될 수도 있다. 전술한 바와 같이 클라이언트에서 수집된 모니터링 정보는 도 6의 예시와 같이 데이터베이스 테이블 형태로 데이터베이스에 저장될 수 있다.
도 6에 도시된 바와 같이, 관리자에게 제공되는 각 클라이언트의 실시간 상황에 대한 정보는 컴퓨팅 장치(100)에 연결된 클라이언트에 대한 정보(참조번호 610), 각 클라이언트 별 리소스 사용량에 대한 정보(참조번호 620), 각 클라이언트 별 파일 동작 정책에 따른 모니터링 정보(참조번호 630) 및 이상 감지에 따른 알림 정보(참조번호 640) 중 적어도 하나를 포함할 수 있다. 상기 도면에 도시된 정보들은 관리자가 설정한 시스템 모니터링 정책에 기초하여 표시되는 정보일 수 있다. 자세히 설명하면, 도 6에 도시된 정보들은 관리자가 사전 결정된 시간동안 CPU의 임계 변화량 및 사전 결정된 시간동안 파일 확장자 변경 개수에 기초하여 생성된 시스템 모니터링 정책일 수 있다. 예를 들어, 관리자가 사전 결정된 시간동안 메모리의 임계 변화량 및 사전 결정된 시간동안 특정 파일 삭제 개수에 기초하여 시스템 모니터링 정책을 설정한 경우, 참조번호 620영역에는 메모리 사용량이 표시될 수 있으며, 참조번호 630영역에는 특정 파일 삭제 개수가 표시될 수 있다. 즉, 도 6에 도시된 정보들은 예시일 뿐, 본 개시는 이에 제한되지 않음이 통상의 기술자에게 명백할 것이다.
본 개시의 일 실시예에 따르면, 프로세서(210)는 관리자의 입력에 기초하여 시스템 모니터링 정책을 생성할 수 있다. 예를 들어, 프로세서(210)는 관리자의 입력에 기초하여 CPU의 사용량을 70%로, 5초 이내에 파일 확장자 변경이 20개 이상 발생하는 클라이언트가 5개 이상인 경우를 시스템 모니터링 정책으로 생성할 수 있다. 다시 말해, 프로세서(210)는 CPU의 사용량이 70%이상이고, 그리고 5초 이내 파일 확장자 변경이 20개 이상인 클라이언트가 5개 이상일 때 시스템 이상이 발생되었다고 판단할 수 있다. 도 6에 도시된 도면은 상술한 시스템 모니터링 정책에 기초한 예시도이다.
도 6을 참조하면, 참조번호 610영역에 도시된 바와 같이, 컴퓨팅 장치(100)에는 10개의 클라이언트가 연결되었음을 확인할 수 있다. 또한, 10개의 클라이언트 각각에 대한 CPU사용량에 대한 정보(참조번호 620), 파일 확장자 변경 개수에 대한 정보(참조번호 630) 및 이상 감지에 따른 알림 정보(참조번호 640)가 표시될 수 있다. 예를 들어, 클라이언트 1 즉, C1의 CPU사용량 및 파일 확장자 변경 개수는 C1에 대한 모니터링 정보에 기초하여 각각 50%, 18개로 표시될 수 있다. 즉, 프로세서(210)는 C1이 기 설정된 시스템 모니터링 정책(CPU사용량 70%이상, 파일 확장자 변경 개수 20개 이상)을 위반하지 않은 것으로 판단할 수 있다. 따라서, 이상 감지를 나타내는 알림 정보에 “OFF”로 표시될 수 있다. 다른 예를 들어, C2의 CPU사용량 및 파일 확장 변경 개수는 C2에 대한 모니터링 정보에 기초하여 각각 76%, 25 로 표시될 수 있다. 즉, 프로세서(210)는 C2가 기 설정된 시스템 모니터링 정책(CPU사용량 70%이상, 파일 확장자 변경 개수 20개 이상)을 위반한 것으로 판단하여 이상 감지를 나타내는 알림 정보에 “ON”으로 표시될 수 있다. 다른 예를 들어, C3의 경우, CPU의 사용량은 70%로 기 설정된 정책의 CPU사용량(70%) 이상이지만, 파일 확장자 변경 개수가 15개로 기 설정된 정책(파일 확장자 변경 개수 15)미만이므로, 프로세서(210)는 C3이 기 설정된 시스템 모니터링 정책을 위반하지 않은 것으로 판단할 수 있고, 그리고 알림 정보에 “OFF”를 표시할 수 있다. 전술한 시스템 모니터링 정책 위반 여부를 판단하는 과정을 통해, 프로세서(210)는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트(예를 들어, 10개)각각에 대한 시스템 모니터링 정책 위반 여부를 판단할 수 있다.
또한, 프로세서(210)는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들 중 시스템 모니터링 정책을 위반한 클라이언트가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다. 예를 들어, 시스템 모니터링 정책을 위반한 클라이언트의 수가 '5'로 사전 결정된 경우, 도 6에 도시된 컴퓨팅 장치(100)의 프로세서(210)는 시스템 이상이 발생한 것으로 판단할 수 있다. 다른 예를 들어, 시스템 모니터링 정책을 위반한 클라이언트 수가 '4'로 사전 결정된 경우, 도 6에 도시된 컴퓨팅 장치(100)의 프로세서(210)는 시스템 이상이 발생하지 않은 것으로 판단할 수 있다.
즉, 프로세서(210)는 모니터링 정보와 시스템 모니터링 정책을 비교하여 각각의 클라이언트가 시스템 모니터링 정책을 위반하는지 여부를 판단할 수 있고, 그리고 상기 시스템 모니터링 정책을 위반하는 클라이언트가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다. 상기와 같은 프로세서(210)의 구성을 통해 컴퓨팅 장치(100)는 개별 클라이언트(110)에서 발생하는 시스템 이상만을 감지할 뿐 아니라, 개별 클라이언트(110)의 로컬 환경에서의 시스템 이상 또한 감지할 수 있다.
또한, 시스템 모니터링 정책을 위반한 것으로 판단된 클라이언트(110)의 수에 대한 제한은 관리자에 의해 사전 결정될 수 있으므로, 감지하려는 시스템 이상의 종류에 따라 상기 제한을 상이하게 설정할 수 있다. 보다 구체적으로, 프로세서(210)를 통해 감지하려는 시스템 이상이 심각한 피해를 끼칠 것으로 예상되는 시스템 이상인 경우, 시스템 모니터링 정책을 위반한 클라이언트(110)의 수에 대한 제한을 최소화하고, 그리고 프로세서(210)를 통해 감지하여는 시스템 이상이 심각한 피해를 입히지 않는다고 예상되는 시스템 이상인 경우, 시스템 모니터링 정책을 위반한 클라이언트(110)의 수에 대한 제한을 보다 완화하여 사전 결정할 수 있다. 자세한 예를 들어, 랜섬웨어(Ransomware)와 같이 대응이 늦어지는 경우 네트워크 망 전체에 심각한 피해를 주는 시스템 이상인 경우, 하나의 클라이언트라도 시스템 모니터링 정책을 위반할 때, 프로세서(210)가 즉각적으로 시스템 이상이 발생했다고 판단하도록 시스템 이상을 판단하기 위한 모니터링 정책을 위반한 클라이언트의 수의 임계값을 작게 설정할 수 있다. 반면, 감지하려는 이상행위가 복수의 클라이언트들에게 심각한 피해를 입힐 것으로 예상되지 않는 경우, 판단 조건을 완화하여 20개의 클라이언트가 시스템 모니터링 정책을 위반할 때, 프로세서(210)가 시스템 이상이 발생했다고 판단하도록 설정할 수 있다. 따라서, 시스템 이상의 종류 별 개별적인 조건 설정이 가능할 수 있다.
본 개시의 일 실시예에 따르면, 프로세서(210)는 시스템 이상 발생 여부 판단에 기초하여 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정할 수 있다. 자세히 설명하면, 프로세서(210)는 발생된 시스템 이상의 종류에 기초하여 복수의 클라이언트들 중 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나의 그룹을 제어할 것을 결정할 수 있다. 예를 들어, 발생된 시스템 이상이 랜섬웨어인 경우, 프로세서(210)는 이상이 발생한 클라이언트 그룹을 제어할 것을 결정할 수 있다. 이 경우, 프로세서(210)는 랜섬웨어에 이미 감염된 클라이언트 그룹의 네트워크 연결을 차단할 수 있다. 프로세서(210)는 랜섬웨어에 감염된 클라이언트 그룹에서 랜섬웨어에 의한 파일 변경이 계속 발생되고 있는 경우, 해당 클라이언트 그룹의 인스턴스를 종료하고 재시작 함으로써, 랜섬웨어의 구동을 일차적으로 차단할 수 있다. 다른 예를 들어, 발생된 시스템 이상이 보안 결함에 의한 멀웨어 감염인 경우, 프로세서(210)는 이상이 발생하지 않은 클라이언트 그룹을 제어할 것을 결정할 수 있다. 전술한, 시스템 이상에 관한 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
본 개시의 일 실시예에 따르면, 프로세서(210)는 복수의 클라이언트들 중 일부의 클라이언트를 제어할 수 있다. 보다 구체적으로, 프로세서(210)는 복수의 클라이언트들 중 일부의 클라이언트에 대한 복수의 제어 동작을 수행할 수 있다. 상기 복수의 제어 동작은 장치 제어 동작, 파일 제어 동작, 프로세스 제어 동작 및 네트워크 제어 동작 중 적어도 하나의 동작을 포함할 수 있다. 이때, 장치 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트의 단말에 연결된 장치를 제어하는 동작으로, 예를 들어, USB연결 제어, 스마트폰 연결 제어, 블루투스 장치 제어, FDD 장치 제어, DVD 장치 제어, 적외선 제어, 프린터 제어 및 포트 제어 중 적어도 하나를 포함할 수 있다. 또한, 파일 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트 단말에서 실행되는 파일 및 디렉토리를 제어하는 동작으로, 예를 들어, 파일 및 디렉토리 임의 삭제 방지, 파일 및 디렉토리 강제 삭제 및 파일 접근 차단, 파일 수정 제한 및 파일의 중요도에 따른 격리 보관 중 적어도 하나를 포함할 수 있다. 또한, 프로세스 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트 단말에서 실행되는 서비스 및 프로세서를 제어하는 동작으로, 예를 들어, 프로세스 임의 종료 방지, 프로세스 강제 종료 및 프로세스 실행 제한 중 적어도 하나를 포함할 수 있다. 또한, 네트워크 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트의 단말에 대한 네트워크를 제어하는 동작으로, 예를 들어, 네트워크 연결 차단, 포트 오픈 제한, 블랙리스트 IP차단, 블랙리스트 도메인 차단, AP접속 차단 및 HTTP프로토콜 차단 등을 포함할 수 있다. 전술한 장치 제어 동작, 파일 제어 동작, 프로세스 제어 동작 및 네트워크 제어 동작은 예시일 뿐, 본 개시는 이에 제한되지 않는다.
본 개시의 일 실시예에 따르면, 메모리(220)는 프로세서(210)에서 실행가능한 프로그램 코드, 모니터링 정보, 시스템 모니터링 정책, 클라이언트 제어에 대한 정보들을 저장할 수 있다. 예를 들어, 메모리(220)는 프로세서(210)가 복수의 클라이언트들로부터 수신한 모니터링 정보 및 프로세서(210)가 관리자의 입력에 기초하여 생성한 시스템 모니터링 정책에 대한 정보를 저장할 수 있다.
본 개시의 일 실시예에 따르면, 메모리(220)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 메모리 등), 램(Random Access Memory, RAM), SRAM(Static Random Access Memory), 롬(Read-Only Memory, ROM), EEPROM(Electrically Erasable Programmable Read-Only Memory), PROM(Programmable Read-Only Memory), 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다. 컴퓨팅 장치(100)는 인터넷(internet) 상에서 상기 메모리(220)의 저장 기능을 수행하는 웹 스토리지(web storage)와 관련되어 동작할 수도 있다. 전술한 메모리에 대한 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
본 개시의 일 실시예에 따르면, 네트워크부(230)는 컴퓨팅 장치(100)로부터 정보를 전송할 수 있고, 그리고 수신할 수 있다. 보다 구체적으로, 네트워크부(230)는 네트워크 접속을 위한 유/무선 인터넷 모듈을 포함할 수 있다. 무선 인터넷 기술로는 WLAN(Wireless LAN)(Wi-Fi), Wibro(Wireless broadband), Wimax(World Interoperability for Microwave Access), HSDPA(High Speed Downlink Packet Access) 등이 이용될 수 있다. 유선 인터넷 기술로는 XDSL(Digital Subscriber Line), FTTH(Fibers to the home), PLC(Power Line Communication) 등이 이용될 수 있다.
또한, 네트워크부(230)는 근거리 통신 모듈을 포함하여, 사용자 단말과 비교적 근거리에 위치하고 근거리 통신 모듈을 포함한 전자 장치와 데이터를 송수신할 수 있다. 근거리 통신(short range communication) 기술로 블루투스(Bluetooth), RFID(Radio Frequency Identification), 적외선 통신(IrDA, infrared Data Association), UWB(Ultra Wideband), ZigBee 등이 이용될 수 있다.
도 3는 본 개시의 일 실시예와 관련된 컨테이너 기반 클라우드 서버의 형태로 구현된 서비스 서버에 대한 세부 구성도를 도시한다.
본 개시의 일 실시예에 따르면, 서비스 서버(10)는 도 3에 도시된 바와 같이, 컨테이너 기반 클라우드 서버(300)의 형태로 구현될 수 있다. 이하에서는 컴퓨팅 장치(100)가 컨테이너 기반 클라우드 서버(300)의 형태로 구현된 서비스 서버(10)를 통해 복수의 클라이언트 각각으로부터 시스템 이상 행위를 탐지하기 위해 모니터링 정보를 획득하고, 그리고 획득한 모니터링 정보에 기초하여 컨테이너 기반 클라우드 서버(300)의 복수의 클라이언트를 제어하는 구체적인 방법에 대하여 서술하도록 한다.
도 3에 도시된 바와 같이, 컨테이너 기반 클라우드 서버(300)는 상기 컨테이너 기반 클라우드 서버(300)를 구축하기 위한 하드웨어(310)를 포함할 수 있다. 이때, 하드웨어(310)는 클라우드 서버를 구축하는 모든 물리적 부품(장치)을 포함할 수 있으며, 입력, 연산, 제어, 기억 및 출력 중 적어도 하나의 기능을 구현할 수 있다. 예를 들어, 중앙처리장치(CPU), RAM(Random Access Memory), 그래픽카드, 하드 디스크 드라이브(HDD) 등을 포함할 수 있다. 컨테이너 기반 클라우드 서버(300)는 상기 하드웨어(310)에 구비된 호스트 OS(320)에서 복수의 컨테이너가 실행될 수 있도록 각 컨테이너(330)는 자신만의 격리된 공간을 갖도록 OS 환경 자체를 가상화할 수 있다. 따라서, 컨테이너 기반 클라우드 서버(300)의 각각의 컨테이너(330)는 호스트 OS를 통해 CPU, RAM, 파일 시스템, 스토리지 또는 네트워크 등의 자원을 할당 받아 어플리케이션을 독립적으로 실행시킬 수 있다.
본 개시의 일 실시예에 따르면, 컨테이너 기반 클라우드 서버(300)는 복수의 클라이언트로부터 모니터링 정보를 획득할 수 있고, 그리고 상기 획득한 모니터링 정보를 컴퓨팅 장치(100)로 전송할 수 있다. 구체적으로, 컨테이너 기반 클라우드 서버(300)는 호스트 OS(320)에 설치된 에이전트(340)를 통해 복수의 클라이언트 각각에 대한 모니터링 정보를 수신할 수 있다. 이때, 모니터링 정보는 클라이언트의 리소스에 관련한 정보를 포함하는 리소스 정보 및 클라이언트의 동작에 관련한 정보를 포함하는 동작 정보를 포함할 수 있다. 모니터링 정보가 포함하는 상기 리소스 정보는 호스트 OS(320)에 연결된 복수의 클라이언트 각각이 어플리케이션을 구동하기 위해 사용하는 리소스의 변화량에 대한 정보일 수 있다. 예를 들어, 리소스 정보는 클라이언트가 어플리케이션을 동작시키는 경우, 변화하는 CPU, 메모리, 하드디스크, 네트워크의 사용률 및 사용시간 등에 관한 정보를 포함할 수 있다. 모니터링 정보가 포함하는 상기 동작 정보는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각이 수행하는 동작에 관한 정보일 수 있다. 구체적으로, 동작 정보는 각각의 클라이언트에서 실행되는 어플리케이션이 클라이언트의 설치 행위, 삭제 행위 및 제어 행위 중 적어도 하나에 기초하여 변화하는 정보를 포함할 수 있다. 자세한 예를 들어, 상기 어플리케이션에서 동작되는 장치, 파일, 프로세스, 네트워크 및 공유 디렉토리에 대한 해당 클라이언트(110)의 설치 행위, 삭제 행위, 변경 행위, 연결 행위, 해제 행위 및 접근 행위 중 적어도 하나의 행위에 의해 변화하는 정보를 포함할 수 있다. 전술한 리소스 정보 및 동작 정보에 관한 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
본 개시의 구현의 일 예시에서, 컨테이너 기반 클라우드 서버(300)의 호스트 OS(320)는 예를 들어, 리눅스 일 수 있다. 이에 따라, 컨테이너 기반 클라우드 서버(300)에서는 리눅스 커널의 cgroups(Control groups)를 이용할 수 있다. 상기 cgroups는 컨테이너 기반 클라우드 서버(300)의 복수의 클라이언트에서 수행되는 프로세스들을 각각 그룹으로 묶어, 해당 그룹에 있는 프로세스의 시스템 리소스(CPU, memory, disk I/O network 등)사용량을 측정할 수 있도록 고립, 구분시키는 리눅스 커널이다. 본 개시의 구현의 일 예시에서 컨테이너 기반 클라우드 서버(300)는 cgroups를 통해 리소스 사용량을 모니터링하기 위하여 별도의 시스템 라이브러리의 호출이 아닌 cgroups 파일 시스템에 접근하여 파일을 읽음으로써 리소스 사용량에 대한 정보를 모니터링을 수행할 수 있다. 이하에서는, 리눅스 커널의 cgroups를 이용하여 리소스 정보를 모니터링하는 구체적인 방법을 서술하도록 한다.
본 개시의 일 실시예에 따르면, 컨테이너 기반 클라우드 서버(300)는 리눅스 커널의 cgroups를 이용하여 특정 컨테이너의 memory 사용량을 모니터링할 수 있다. 특정 컨테이너의 memory 사용량을 모니터링하기 위한 명령어는 예를 들어, 다음과 같다.
“/sys/fs/cgroup/memory/lxc/10b0fb69677ef5e42cd8dc817b452e179104145a0216 b6cb010c8ac0a9351208/memory.stat”
이때, 상기 명령어가 포함하는 “10b0fb69677ef5e42cd8dc817b452e179104145a0216 b6cb010c8ac0a9351208”는 컨테이너의 고유 ID일 수 있다.
상기와 같은 명령어의 입력을 통해 다음과 같은 결과값을 얻을 수 있다.
“total_cache 110592, total_rss 211771392”
이때, 결과로 출력된 값 중 total_rss는 메모리 사용량을 의미할 수 있다. 구체적으로, 특정 컨테이너는 211771392Byte의 메모리 즉, 약 202MB의 메모리를 사용하고 있음을 컨테이너 기반 클라우드 서버(300)가 알 수 있다. 따라서, 컨테이너 기반 클라우드 서버(300)는 리눅스 커널의 cgroups 이용하여 복수의 컨테이너 중 각각의 클라이언트(프로세스 그룹)에 대한 리소스 모니터링을 수행할 수 있다. 전술한 메모리에 관한 구체적인 명령어는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
또한, 리눅스를 호스트 OS로 하는 컨테이너 기반 클라우드 서버(300)에서는 일반 사용자들에게 파일 시스템에 대한 이해없이 각 컨테이너에 대한 리소스 정보를 간편하고 쉽게 보여주기 위해 lxc-info 명령어를 제공할 수 있다. 구체적으로, lxc-info 명령어는 /sys/fs/cgroup에 위치하는 리소스 정보 파일 내용들을 직접 분석(parsing)하여 일반 유저들이 시스템 용어를 깊이 이해하고 있지 않아도 알아 볼 수 있게 정리하여 출력하는 역할을 할 수 있다. 예를 들어 “lxc-info -n webserver” 를 입력하면, “webserver”의 이름을 가진 컨테이너의 리소스 정보에 대한 모니터링을 수행하여 해당 컨테이너 상태(state), 프로세스 ID, ip 주소, CPU 사용량, memory 사용량 등을 출력으로 보여준다. 상술한 lxc-info 외에도 컨테이너 생성/제거 및 관리를 쉽게 수행할 수 있는 명령어들이 제공될 수 있다. 전술한 명령어의 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다. 또한, 리눅스를 호스트 OS로 하는 컨테이너 기반 클라우드 서버(300)에서는 리눅스 커널의 inotify를 이용하여 특정 디렉토리 내부의 파일 변화를 감지할 수 있다. 구체적으로, inotify를 통해 커널로부터 파일 시스템의 변경 사항에 대한 정보를 획득할 수 있으며, 파일의 수정, 삭제, 생성 등의 변경 정보 또한 획득할 수 있다. 따라서, 리눅스를 호스트 OS로 하는 컨테이너 기반 클라우드 서버(300)는 복수의 클라이언트 각각으로부터 시스템 이상 행위를 판단하기 위한 리소스 정보 및 동작 정보를 획득할 수 있다.
본 개시의 구현의 다른 예시에서, 컨테이너 기반 클라우드 서버(300)의 호스트 OS(320)는 윈도우일 수 있다. 윈도우를 호스트 OS(320)로 하는 컨테이너 기반 클라우드 서버(300)에서는 WMI(Window Management Instrument)를 통해 호스트 OS(320)에 연결된 복수의 클라이언트 각각에 대한 모니터링 정보를 획득할 수 있다. 상기 WMI는 윈도우 운영체제에서 리소스에 관리 정보를 획득할 수 있는 인프라일 수 있다. 이때, 획득할 수 있는 리소스 정보로는 OS, Bios, CPU, Memory, Disk 및 Window service 등을 포함할 수 있다. 즉, WMI 자체적으로 CPU 사용량을 기록하고 있기 때문에 윈도우 환경에서는 해당 클래스에 있는 사용량 멤버의 값을 주기적으로 확인하는 것으로 리소스 정보를 획득할 수 있다.
또한, 윈도우를 호스트 OS(320)로 하는 컨테이너 기반 클라우드 서버(300)에서는 ReadDirectoryChange라는 API를 통해 특정 디렉토리 내부의 파일 변화를 감지할 수 있다. 이때, 특정 디렉토리 내부는 특정 클라이언트의 내부를 의미할 수 있다. ReadDirectoryChange API는 단순히 디렉토리 내부의 파일 변경에 대한 알림을 주는 것뿐만 아니라 어떤 파일이 어떻게 변경되었는지에 대한 정보를 제공할 수 있다. 따라서, 윈도우를 호스트 OS(320)로 하는 컨테이너 기반 클라우드 서버(300)는 복수의 클라이언트들 각각으로부터 시스템 이상 행위를 판단하기 위한 리소스 정보 및 동작 정보를 획득할 수 있다.
본 개시의 일 실시예에 따르면, 컨테이너 기반 클라우드 서버(300)는 호스트 OS(320)로부터 복수의 클라이언트 각각에 대한 모니터링 정보를 획득할 수 있고, 그리고 상기 획득한 모니터링 정보를 컴퓨팅 장치(100)로 전송할 수 있다. 따라서, 상기 컴퓨팅 장치(100)는 컨테이너 기반 클라우드 서버(300)로부터 수신한 모니터링 정보에 기초하여 시스템 이상을 감지할 수 있다.
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 컨테이너 기반 클라우드 서버(300)로부터 수신한 모니터링 정보와 기 설정된 시스템 모니터링 정책을 비교하여 클라이언트가 상기 시스템 모니터링 정책을 위반하는지 여부를 판단할 수 있다. 자세히 설명하면, 컴퓨팅 장치(100)는 관리자에 입력에 기초하여 시스템 모니터링 정책을 설정할 수 있으며, 상기 설정된 시스템 모니터링 정책과 컨테이너 기반 클라우드 서버(300)로부터 수신한 각각의 클라이언트에 대한 모니터링 정책을 비교하여 시스템 모니터링 정책을 위반하는 클라이언트를 판단할 수 있다.
또한, 컴퓨팅 장치(100)는 시스템 모니터링 정책을 위반하는 것으로 판단된 클라이언트가 사전 결정된 수 이상인 경우 시스템 이상이 발생했다고 판단할 수 있다. 예를 들어, 시스템 모니터링 정책을 위반한 클라이언트의 수가 '5'로 사전 결정되고, 그리고 실시간 시스템 모니터링 정책을 위반한 클라이언트의 수가 '6'인 경우, 컴퓨팅 장치(100)는 시스템 이상이 발생했다고 판단할 수 있다. 다른 예를 들어, 시스템 모니터링 정책을 위반한 클라이언트의 수가 '8'로 사전 결정되고, 그리고 실시간 시스템 모니터링 정책을 위반한 클라이언트의 수가 '6'인 경우, 컴퓨팅 장치(100)는 시스템 이상이 발생하지 않았다고 판단할 수 있다.
또한, 컴퓨팅 장치(100)는 컨테이너 기반 클라우드 서버(300)에 연결된 복수의 클라이언트들 중 일부의 클라이언트를 제어하는 정보를 상기 컨테이너 기반 클라우드 서버(300)로 전송할 수 있다. 즉, 컨테이너 기반 클라우드 서버(300)는 컴퓨팅 장치(100)의 제어 정보에 기초하여 상기 컨테이너 기반 클라우드 서버(300)에 연결된 복수의 클라이언트들 중 일부의 클라이언트를 제어할 수 있다.
본 개시의 일 실시예에 따르면, 리눅스를 호스트 OS로 하는 컨테이너 기반 클라우드 서버(300)는 상기 컨테이너 기반 클라우드 서버(300)에 연결된 복수의 클라이언트 중 일부의 클라이언트를 제어할 수 있다. 구체적으로, 리눅스 커널의 cgroups를 이용하여 CPU 및/또는 메모리 사용량의 제한은 호스트 OS(1020)에서 명령어를 통해 각각의 컨테이너에 전달될 수 있다. 예를 들어, 아래의 cgroups 명령어를 수행하면 “webserver”의 이름을 가진 컨테이너의 최대 메모리 사용량을 2MB로 제한 시킬 수 있다.
“$echo 2000000 > /sys/fs/cgroups/memory/webserver/memory.kmem.limit_inbytes” 이때, 상기 명령어 중 '$echo 2000000' 명령어를 '$echo 3000000'으로 변경하는 경우, 최대 메모리 사용량을 3MB로 제한할 수 있다. 다른 예를 들어, 컨테이너 기반 클라우드 서버(300)는 iptables 애플리케이션을 이용하여 각각의 클라이언트의 네트워크를 제어할 수 있다. 상기 iptables는 리눅스 유저 프로그램 중 하나로, 리눅스 커널의 netfilter 프레임워크를 사용하여 네트워크에 대한 특정 규칙(rules)을 설치해 시스템의 네트워크를 제어하도록 할 수 있다. 즉 iptables는 프로토콜에 따른 패킷 내용(e.g., TCP port)과 같은 여러가지 기준에 따라서 패킷을 구분하여 원하는 다양한 행동을 취할 수 있고, 이에 따라 네트워크 패킷 필터 또는 방화벽의 역할을 수행할 수 있다. 실제 iptables 명령어(프로그램)는 예를 들어, 아래와 같은 형식을 가질 수 있다.
“$ iptables -I INPUT -s 198.51.100.0 -j DROP”
상기의 명령어의 예시는 198.51.100.0 의 ip 주소를 가진 호스트로부터 들어온 패킷을 모두 10으로 차단하는 규칙을 추가시키는 명령을 의미할 수 있다. 구체적으로, 각 옵션을 살펴보면, “-I INPUT” 에서는 이 명령어에 해당하는 규칙을 체인의 시작 부분에 추가함을 의미하고(제일 먼저 적용) “-s [ip 주소]”는 해당 ip 주소를 발신 주소(source address)를 가지는 패킷에게 대응시킨다는 의미이며 마지막으로 “-j DROP”은 해당 패킷을 수신할 시 필터링하여 삭제(drop)하라는 실질적 행동(action)을 나타낸다. 이 외에 명령어 옵션으로 특정 프로토콜에 해당하는 패킷만을 선택하는 “-p, --protocol”, 수신 주소(destination address)를 기준으로 하는 패킷을 선택하는 “-d, --destination”, 특정 네트워크 인터페이스만을 선택하여 대상으로 하게하는 “-i, --interface” 등이 존재한다. 본 개시에서는 포트 제어 구현을 위해서 기본적인 옵션 외에 특정 프로토콜에만 대응시킬 수 있는 특수 옵션을 사용하였다: “--destination-port”는 “-p” 옵션으로 TCP 또는 UDP 를 선택하였을 때 적용시킬 수 있는 옵션으로 특정 포트를 차단하는 역할을 수행하도록 도와준다. 이와 같이 iptables 명령어를 이용한 규칙 설정으로, 본 개시의 일 실시예의 클라우드 서버(1000)는 시스템의 자산 중 하나인 네트워크에 대한 제어를 수행할 수도 있다. 전술한 컨테이너 기반 클라우드 서버(300)의 네트워크 제어에 대한 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.
즉, 컨테이너 기반 클라우드 서버(300)는 리눅스 커널의 cgroups, iptables 애플리케이션 등을 이용하여 상기 컨테이너 기반 클라우드 서버(300)에 연결된 복수의 클라이언트들 중 일부의 클라이언트에 대하여 복수의 제어 동작을 수행할 수 있다. 이때, 상기 복수의 제어 동작은 장치 제어 동작, 파일 제어 동작, 프로세스 제어 동작 및 네트워크 제어 동작 중 적어도 하나의 동작을 포함할 수 있다. 장치 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트의 단말에 연결된 장치를 제어하는 동작으로, 예를 들어, USB연결 제어, 스마트폰 연결 제어, 블루투스 장치 제어, FDD 장치 제어, DVD 장치 제어, 적외선 제어, 프린터 제어 및 포트 제어 중 적어도 하나를 포함할 수 있다. 또한, 파일 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트 단말에서 실행되는 파일 및 디렉토리를 제어하는 동작으로, 예를 들어, 파일 및 디렉토리 임의 삭제 방지, 파일 및 디렉토리 강제 삭제 및 파일 접근 차단, 파일 수정 제한 및 파일의 중요도에 따른 격리 보관 중 적어도 하나를 포함할 수 있다. 또한, 프로세스 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트 단말에서 실행되는 서비스 및 프로세서를 제어하는 동작으로, 예를 들어, 프로세스 임의 종료 방지, 프로세스 강제 종료 및 프로세스 실행 제한 중 적어도 하나를 포함할 수 있다. 또한, 네트워크 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트의 단말에 대한 네트워크를 제어하는 동작으로, 예를 들어, 네트워크 연결 차단, 포트 오픈 제한, 블랙리스트 IP차단, 블랙리스트 도메인 차단, AP접속 차단 및 HTTP프로토콜 차단 등을 포함할 수 있다. 전술한 장치 제어 동작, 파일 제어 동작, 프로세스 제어 동작 및 네트워크 제어 동작은 예시일 뿐, 본 개시는 이에 제한되지 않는다.
따라서, 컴퓨팅 장치(100)는 컨테이너 기반 클라우드 서버(300)를 통해 상기 컨테이너 기반 클라우드 서버(300)에 연결된 복수의 클라이언트로부터 모니터링 정보를 수신할 수 있으며, 상기 수신한 모니터링 정보와 기 설정된 시스템 모니터링 정책의 비교를 통해 상기 시스템 모니터링 정책을 위반하는 클라이언트를 판단하고, 그리고 상기 판단에 기초하여 복수의 클라이언트들 중 일부의 클라이언트를 제어할 수 있다.
도 4는 본 개시의 일 실시예와 관련된 가상머신 기반 클라우드 서버의 형태로 구현된 서비스 서버에 대한 세부 구성도를 도시한다. 도 4와 관련하여 도 2내지 도 3에서 상술한 바와 중복되는 내용은 다시 설명하지 않고, 이하 차이점을 중심으로 설명하도록 한다.
본 개시의 다른 실시예에 따르면, 서비스 서버(10)는 도 4에 도시된 바와 같이, 가상머신 기반 클라우드 서버(400)의 형태로 구현될 수 있다. 이하에서는 컴퓨팅 장치(100)가 가상머신 기반 클라우드 서버(400)의 형태로 구현된 서비스 서버(10)를 통해 복수의 클라이언트 각각으로부터 시스템 이상 행위를 탐지하기 위해 모니터링 정보를 획득하고, 그리고 획득한 모니터링 정보에 기초하여 가상머신 기반 클라우드 서버(400)의 복수의 클라이언트를 제어하는 구체적인 방법에 대하여 서술하도록 한다.
도 4에 도시된 바와 같이, 가상머신 기반 클라우드 서버(400)는 상기 가상머신 기반 클라우드 서버(400)를 구축하기 위한 하드웨어를 포함할 수 있다. 이때, 하드웨어(310)는 클라우드 서버를 구축하는 모든 물리적 부품(장치)을 포함할 수 있으며, 입력, 연산, 제어, 기억 및 출력 중 적어도 하나의 기능을 구현할 수 있다. 예를 들어, 중앙처리장치(CPU), RAM(Random Access Memory), 그래픽카드, 하드 디스크 드라이브(HDD) 등을 포함할 수 있다. 가상머신 기반 클라우드 서버(400)는 하이퍼바이저(hypervisor)(430)를 포함할 수 있으며, 상기 하이퍼바이저(430)는 물리적 자원(하드웨어)을 가상머신에 할당하고, 상기 할당된 가상머신에 별도의 게스트 OS를 설치하여 복수의 가상머신들이 각각의 운영체제가 구동될 수 있도록 독립된 가상환경을 제공할 수 있다.
본 개시의 일 실시예에 따르면, 가상머신 기반 클라우드 서버(400)는 복수의 클라이언트로부터 모니터링 정보를 획득할 수 있고, 그리고 상기 획득한 모니터링 정보를 컴퓨팅 장치(100)로 전송할 수 있다. 구체적으로, 도 4에 도시된 바와 같이, 가상머신 기반 클라우드 서버(400)는 복수의 클라이언트 각각에 가상머신을 할당할 수 있다. 예를 들어, 클라이언트 1을 가상머신 1(440)로 할당할 수 있고, 그리고 클라이언트 2를 가상머신 2(450)에 할당할 수 있다. 가상머신 기반 클라우드 서버(400)의 경우 커널을 통해 호스트 운영체제를 공유하는 것이 아닌, 각각의 가상머신에 하드웨어(310)를 할당하므로, 각각의 클라이언트의 모니터링 정보를 획득하기 위해 각각이 가상머신에 에이전트가 설치될 수 있다. 예를 들어, 가상머신 1(440)의 운영체제인 게스트 OS 1에 에이전트 1(441)이 설치될 수 있으며, 가상머신 2(450)의 운영체제인 게스트 OS 2에 에이전트 2(452)가 설치될 수 있다. 즉, 가상머신 기반 클라우드 서버(400)는 가상머신 각각에 에이전트를 설치하여 개별 클라이언트로부터 모니터링 정보를 수신할 수 있다. 이하에서는, 가상머신 기반 클라우드 서버(400)가 각각의 클라이언트로부터 모니터링 정보를 수신하는 구체적인 방법을 서술한다.
본 개시의 구현의 일 예시에서, 가상머신 기반 클라우드 서버(400)의 게스트 OS는 예를 들어, 리눅스일 수 있다. 이에 따라, 리눅스를 게스트 OS로 하는 가상머신 기반 클라우드 서버(400)에서는 자체적으로 proc 파일 시스템을 이용하여 각각의 클라이언트로부터 모니터링 정보를 수신할 수 있다. 상기, proc 파일 시스템은, 유닉스 계열 운영체제에서 프로세스와 다른 시스템 정보를 계층적 파일 구조 형식으로 보여주는 파일 시스템으로, 커널이 가지고 있는 여러가지 데이터들을 시스템 관리자에게 용이하게 전달하기 위한 목적으로 만들어진 파일 시스템이다. 상기 proc 파일 시스템을 이용함으로써 본 개시에서는 리눅스 운영체제에서 보다 용이하게 각각의 클라이언트로부터 모니터링 정보를 수신할 수 있다. 즉, 모니터링 대상이 되는 각각의 클라이언트의 CPU, memory, disk I/O(storage), 네트워크 자원 사용량 등의 수집을 위해 별도의 라이브러리 호출이 아닌, proc 파일 시스템에 접근하여 내용을 읽는 방식으로 각각의 클라이언트에 대한 모니터링 정보를 수신할 수 있다. 보다 구체적으로 설명하면, 호스트 OS에서 하이퍼바이저(430)를 통해 게스트 OS에 모니터링 정보를 수신하는 요청을 보내고, 상기 요청을 받은 게스트 OS는 해당 운영체제의 proc 파일 시스템에 접근하여 각각의 클라이언트에 대한 모니터링 정보를 수신하여 상기 호스트 OS에 송신할 수 있다. 따라서, 가상머신 기반 클라우드 서버(400)는 proc 파일 시스템을 통해 복수의 클라이언트 각각에 대한 모니터링 정보를 획득할 수 있고, 그리고 상기 획득한 모니터링 정보를 컴퓨팅 장치(100)로 전송할 수 있다. 따라서, 상기 컴퓨팅 장치(100)는 가상머신 기반 클라우드 서버(400)로부터 수신한 모니터링 정보에 기초하여 시스템 이상을 감지할 수 있다.
도 5는 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 동작의 순서도이다.
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 복수의 클라이언트에서의 시스템 이상을 감지하고, 그리고 상기 감지한 시스템 이상에 기초하여 복수의 클라이언트를 제어할 수 있다. 구체적으로, 컴퓨팅 장치(100)는 복수의 클라이언트에서 발생하는 시스템 이상 발생 여부를 판단할 수 있다. 이때, 시스템 이상 발생 여부 판단은 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들로부터 각각의 클라이언트(110)에 대한 모니터링 정보 및 시스템 모니터링 정책의 비교에 기초하여 판단될 수 있다. 자세히 설명하면, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들로부터 각각의 클라이언트(110)에 대한 모니터링 정보를 수신할 수 있다. 또한, 컴퓨팅 장치(100)는 관리자로부터 이상 행위에 대한 식별을 위해 시스템 모니터링 정책을 입력 받을 수 있다. 즉, 컴퓨팅 장치(100)는 복수의 클라이언트들로부터 수신한 모니터링 정보 및 관리자의 입력에 기초하여 설정된 시스템 모니터링 정책의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단할 수 있다. 또한, 컴퓨팅 장치(100)는 시스템 이상이 발생되었다고 판단한 경우, 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들 중 일부의 클라이언트에 복수의 제어 동작을 수행할 수 있다.
따라서, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들의 이상 행위를 감지할 수 있으며, 상기 이상 행위가 감지된 경우 복수의 클라이언트를 제어하는 동작을 수행하여 개별 클라이언트의 이상 행위가 컴퓨팅 장치(100)를 통해 네트워크 망으로 전이되는 것을 방지할 수 있고, 상기 이상 행위로 인해 발생할 수 있는 추가 위협을 방지할 수 있다.
본 개시의 일 실시예에 따른 컴퓨팅 장치(100)는 각 클라이언트로부터의 모니터링 정보를 종합하여 개별 클라이언트 별로는 이상 동작이 아닌 동작이라도, 복수의 클라이언트에서 동시다발적으로 모니터링 정보에 변화가 발생하는 경우, 시스템이상으로 판단함으로써, 랜섬웨어 등 네트워크를 통해 전파될 수 있는 시스템 이상을 감지하고 제어 동작을 취할 수 있다.
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신할 수 있다(510).
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들로부터 각각의 모니터링 정보를 수신할 수 있다. 이때, 모니터링 정보는 리소스 정보 및 동작 정보를 포함할 수 있다. 모니터링 정보가 포함하는 상기 리소스 정보는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각이 어플리케이션을 구동하기 위해 사용하는 리소스의 변화량에 대한 정보일 수 있다. 예를 들어, 리소스 정보는 클라이언트(110)가 어플리케이션을 동작시키는 경우, 변화하는 CPU, 메모리, 하드디스크, 네트워크의 사용률 및 사용시간 등에 관한 정보를 포함할 수 있다. 모니터링 정보가 포함하는 상기 동작 정보는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각이 수행하는 동작에 관한 정보일 수 있다. 구체적으로, 동작 정보는 각각의 클라이언트에서 실행되는 어플리케이션이 클라이언트(110)의 설치 행위, 삭제 행위 및 제어 행위 중 적어도 하나에 기초하여 변화하는 정보를 포함할 수 있다. 자세한 예를 들어, 상기 어플리케이션에서 동작되는 장치, 파일, 프로세스, 네트워크 및 공유 디렉토리에 대한 해당 클라이언트(110)의 설치 행위, 삭제 행위, 변경 행위, 연결 행위, 해제 행위 및 접근 행위 중 적어도 하나의 행위에 의해 변화하는 정보를 포함할 수 있다. 전술한 리소스 정보 및 동작 정보에 관한 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
본 개시의 다른 실시예에 따르면, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각의 모니터링 정보들을 데이터베이스를 통하여 수신할 수도 있다. 데이터베이스는 컴퓨팅 장치와 별도의 디바이스일 수도 있다. 또한, 데이터베이스는 컴퓨팅 장치의 모니터링 인스턴스와 상이한 인스턴스일 수도 있다. 예를 들어, 상기 데이터베이스는 티맥스 데이터의 Tibero일 수 있다. 자세히 설명하면, 컴퓨팅 장치(100)는 복수의 클라이언트들로부터 수신한 정보에 기초하여 각각의 클라이언트에 대한 시스템 이상을 판단할 수 있다. 이에 따라, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 모든 클라이언트로부터 모니터링 정보를 수신해야 하므로, 보다 큰 부하량을 야기할 수 있다. 따라서, 컴퓨팅 장치(100)는 데이터베이스와 연동하여 복수의 클라이언트 각각의 모니터링 정보들을 수신할 수 있다. 보다 구체적으로, 클라이언트에서 전송한 모니터링 정보는 데이터베이스에 저장되고, 그리고 컴퓨팅 장치(100)는 필요한 정보를 상기 모니터링 정보가 저장된 데이터베이스에 요청하여 수신할 수 있다. 컴퓨팅 장치(100)는 데이터베이스를 통해 적은 부하량으로 복수의 클라이언트의 모니터링 정보를 수신하여 개별 클라이언트의 이상 행위를 감지할 수 있다.
또한, 컴퓨팅 장치(100)는 관리자의 입력에 기초하여 시스템 모니터링 정책을 설정할 수 있다. 이때, 시스템 모니터링 정책은 클라이언트의 리소스와 관련된 리소스 정책 및 클라이언트에 동작과 관련된 동작 정책을 포함할 수 있다. 상기 리소스 정책은, 클라이언트의 리소스 사용량 또는 잔여량이 기 설정된 기간동안 사전 결정된 임계값 이상 변동되는지 여부와 관련된 정책을 포함할 수 있다. 보다 구체적으로, 리소스 정책은 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각의 사전 결정된 시간에 동안 리소스 변화량에 대한 정책일 수 있다. 예를 들어, 리소스 정책은 10초간 클라이언트의 리소스 사용량이 50% 이상 변화하는 경우 이상으로 판단하는 정책일 수 있다. 또한, 예를 들어, 리소스 정책은 클라이언트의 리소스 사용량이 임계치를 넘는 경우 이상으로 판단하는 정책일 수 있다. 상기 동작 정책은, 클라이언트(110)의 저장 공간에 대한 동작에 관한 정책을 포함하며, 기 설정된 기간동안 사전 결정된 동작이 사전 결정된 횟수 이상 발생하는지 여부와 관련된 정책을 포함할 수 있다. 보다 구체적으로, 동작 정책은 컴퓨팅 장치(100)의 복수의 클라이언트 각각에 대하여 사전 결정된 시간 내에 관리자가 규정한 동작이 발생하는 횟수를 초과하는지에 대한 정책일 수 있다. 예를 들어, 동작 정책은 5초동안 복수의 클라이언트 각각에서 10번의 파일 변경 동작이 발생하는 경우, 정책 위반으로 판단하기 위한 정책일 수 있다. 다른 예를 들어, 동작 정책은 3초동안 복수의 클라이언트 각각에서 15번의 파일 변경 동작을 기준으로 하여 설정될 수도 있다. 상술한 리소스 정책 및 동작 정책에 대한 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 각각의 클라이언트에 대한 모니터링 정보 각각을 시스템 모니터링 정책과 비교할 수 있다(520).
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 각각의 클라이언트에 대한 모니터링 정보를 시스템 모니터링 정책과 비교할 수 있다. 보다 구체적으로, 컴퓨팅 장치(100)는 각각의 클라이언트에 대한 모니터링 정보의 상기 리소스 정보의 변화량과 상기 시스템 모니터링 정책의 리소스 정책의 사전 결정된 임계 변화량을 비교할 수 있다. 예를 들어, 컴퓨팅 장치(100)에 각각의 클라이언트에서 10분동안 CPU의 사용량이 70% 초과하는지 여부에 대한 리소스 정책이 설정된 경우, 각각의 클라이언트들로부터 기 설정된 10분 동안 CPU 사용량에 대한 정보를 수신하여, CPU의 사용량이 70%를 초과하는지 비교할 수 있다. 전술한 리소스 정책에 관한 구체적인 수치는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
또한, 컴퓨팅 장치(100)는 각각의 클라이언트에 대한 모니터링 정보의 동작 정보와 시스템 모니터링 정책의 동작 정책과 비교할 수 있다. 자세히 설명하면, 컴퓨팅 장치(100)에 설정된 동작 정책에 기초하여 각각의 클라이언트에서 수신한 모니터링 정보를 비교할 수 있다. 예를 들어, 컴퓨팅 장치(100)에 각각의 클라이언트에서 5초동안 특정 파일 변경이 30회를 초과하는지 여부에 대한 동작 정책이 설정된 경우, 각각의 클라이언트들로부터 기 설정된 5초동안 파일 변경에 대한 정보를 수신하여, 파일 변경이 30회를 초과하는 지 비교할 수 있다. 전술한 동작 정책에 관한 구체적인 수치는 예시일 뿐, 본 개시는 이에 제한되지 않는다. 즉, 컴퓨팅 장치(100)는 리소스 정보와 리소스 정책 및 동작 정보와 동작 정책을 각각 비교할 수 있다.
본 개시의 일 실시예에 따르면, 컴퓨팅 장치는 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단할 수 있다(530).
컴퓨팅 장치(100)는 복수의 클라이언트들 중 시스템 모니터링 정책을 위반한 클라이언트가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다. 자세히 설명하면, 컴퓨팅 장치(100)는 각각의 클라이언트에 대한 모니터링 정보 및 시스템 모니터링 정책의 비교 결과에 기초하여 시스템 모니터링 정책을 위반한 클라이언트를 판단할 수 있다. 이때, 모니터링 정보는 리소스 정보 및 동작 정보를 포함하며, 시스템 모니터링 정책은 리소스 정책 및 동작 정책을 포함할 수 있다. 다시 말해, 컴퓨팅 장치(100)는 리소스 정보와 리소스 정책 및 동작 정보와 동작 정책 각각을 비교하여 리소스 정보 및 동작 정보가 상기 리소스 정책 및 상기 동작 정책을 위반하는지 여부를 판단할 수 있다. 예를 들어, 클라이언트의 CPU 사용량이 70% 이상인 경우, 해당 클라이언트만 이러한 모니터링 정보(CPU 사용량 70% 이상)을 가지는 경우에는 해당 클라이언트가 많은 리소스가 필요한 작업을 수행하는 경우일 수 있다(즉, 정상 동작). 그러나, 여러 클라이언트의 CPU 사용량이 동시다발적으로 증가하는 경우, 컴퓨팅 장치(100)는 여러 클라이언트의 CPU 사용량이 동시다발적으로 증가하는 모니터링 정보에 기초하여 시스템 이상이 발생한 것으로 판단할 수 있다.
또한, 컴퓨팅 장치(100)는 각각의 클라이언트의 리소스 정보를 리소스 정책과 비교하여 상기 리소스 정책에 위반하는 클라이언트를 판단할 수 있다. 구체적으로, 컴퓨팅 장치(100)는 리소스 변화량이 리소스 정책의 사전 결정된 임계 변화량 이상인 경우, 클라이언트가 리소스 정책을 위반한 것으로 판단할 수 있다. 예를 들어, 컴퓨팅 장치(100)가 관리자의 입력에 기초하여 CPU사용량을 60%으로 제한하는 리소스 정책을 사전 설정했을 때, 실시간으로 모니터링한 각각의 클라이언트 CPU사용량이 60%이상인 경우, 프로세서(210)는 CPU의 사용량이 60%이상인 클라이언트가 리소스 정책을 위반한 것으로 판단할 수 있다. 전술한 리소스 정보 및 리소스 정책의 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
또한, 컴퓨팅 장치(100)는 각각의 클라이언트의 동작 정보를 동작 정책과 비교하여 상기 동작 정책을 위반하는 클라이언트를 판단할 수 있다. 구체적으로, 컴퓨팅 장치(100)는 각각의 클라이언트의 동작 정보가 기 설정된 동작 정책에 위반하는 정보를 포함하는 경우, 클라이언트가 동작 정책을 위반한 것으로 판단할 수 있다. 예를 들어, 컴퓨팅 장치(100)를 통해 사전 설정된 동작 정책이 3초동안 파일 삭제가 20회 수행되는 동작에 기초하여 설정된 경우, 특정 클라이언트의 동작 정보에서 해당 3초동안 파일 삭제가 26회 수행되는 경우, 컴퓨팅 장치(100)는 상기 특정 클라이언트가 동작 정책을 위반한 것으로 판단할 수 있다. 전술한 동작 정보 및 동작 정책의 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
또한, 컴퓨팅 장치(100)는 시스템 모니터링 정책을 위반하는 클라이언트가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다.
도 6을 참조하면, 참조번호 610영역에 도시된 바와 같이, 컴퓨팅 장치(100)에는 10개의 클라이언트가 연결되었음을 확인할 수 있다. 또한, 10개의 클라이언트 각각에 대한 CPU사용량에 대한 정보(참조번호 620), 파일 확장자 변경 개수에 대한 정보(참조번호 630) 및 이상 감지에 따른 알림 정보(참조번호 640)가 표시될 수 있다. 예를 들어, 클라이언트 1 즉, C1의 CPU사용량 및 파일 확장자 변경 개수는 C1에 대한 모니터링 정보에 기초하여 각각 50%, 18개로 표시될 수 있다. 즉, 프로세서(210)는 C1이 기 설정된 시스템 모니터링 정책(CPU사용량 70%이상, 파일 확장자 변경 개수 20개 이상)을 위반하지 않은 것으로 판단할 수 있다. 따라서, 이상 감지를 나타내는 알림 정보에 “OFF”로 표시될 수 있다. 다른 예를 들어, C2의 CPU사용량 및 파일 확장 변경 개수는 C2에 대한 모니터링 정보에 기초하여 각각 76%, 25 로 표시될 수 있다. 즉, 프로세서(210)는 C2가 기 설정된 시스템 모니터링 정책(CPU사용량 70%이상, 파일 확장자 변경 개수 20개 이상)을 위반한 것으로 판단하여 이상 감지를 나타내는 알림 정보에 “ON”으로 표시될 수 있다. 다른 예를 들어, C3의 경우, CPU의 사용량은 70%로 기 설정된 정책의 CPU사용량(70%) 이상이지만, 파일 확장자 변경 개수가 15개로 기 설정된 정책(파일 확장자 변경 개수 15)미만이므로, 컴퓨팅 장치(100)는 C3이 기 설정된 시스템 모니터링 정책을 위반하지 않은 것으로 판단할 수 있고, 그리고 알림 정보에 “OFF”를 표시할 수 있다. 전술한 시스템 모니터링 정책 위반 여부를 판단하는 과정을 통해, 컴퓨팅 장치(100)는 복수의 클라이언트(예를 들어, 10개)각각에 대한 시스템 모니터링 정책 위반 여부를 판단할 수 있다.
또한, 컴퓨팅 장치(100)는 복수의 클라이언트들 중 시스템 모니터링 정책을 위반한 클라이언트가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다. 예를 들어, 시스템 이상이 발생한 것으로 판단하기 위한 모니터링 정책을 위반한 클라이언트에 관한 수가 '5'로 사전 결정된 경우, 도 6의 예시에서 컴퓨팅 장치(100)는 시스템 이상이 발생한 것으로 판단할 수 있다. 다른 예를 들어, 시스템 이상이 발생한 것으로 판단하기 위한 모니터링 정책을 위반한 클라이언트에 관한 수가 '6'로 사전 결정된 경우, 도 6의 예시에서 컴퓨팅 장치(100)는 시스템 이상이 발생하지 않은 것으로 판단할 수 있다.
즉, 컴퓨팅 장치(100)는 모니터링 정보와 시스템 모니터링 정책을 비교하여 각각의 클라이언트가 시스템 모니터링 정책을 위반하는지 여부를 판단할 수 있고, 그리고 상기 시스템 모니터링 정책을 위반하는 클라이언트가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다.
따라서, 컴퓨팅 장치(100)는 개별 클라이언트(110)에서 발생하는 시스템 이상만을 감지할 뿐 아니라, 개별 클라이언트(110)의 로컬 환경에서의 시스템 이상 또한 감지할 수 있다.
또한, 시스템 모니터링 정책을 위반한 것으로 판단된 클라이언트(110)의 수에 대한 제한은 관리자에 의해 사전 결정될 수 있으므로, 감지하려는 시스템 이상의 종류에 따라 상기 제한을 상이하게 설정할 수 있다. 보다 구체적으로, 컴퓨팅 장치(100)를 통해 감지하려는 시스템 이상이 심각한 피해를 끼칠 것으로 예상되는 시스템 이상인 경우, 시스템 모니터링 정책을 위반한 클라이언트(110)의 수에 대한 제한을 최소화하고, 그리고 컴퓨팅 장치(100)를 통해 감지하여는 시스템 이상이 심각한 피해를 입히지 않는다고 예상되는 시스템 이상인 경우, 시스템 모니터링 정책을 위반한 클라이언트(110)의 수에 대한 제한을 보다 완화하여 사전 결정할 수 있다. 자세한 예를 들어, 랜섬웨어(Ransomware)와 같이 대응이 늦어지는 경우 네트워크 망 전체에 심각한 피해를 주는 시스템 이상인 경우, 하나의 클라이언트라도 시스템 모니터링 정책을 위반할 때, 컴퓨팅 장치(100)가 즉각적으로 시스템 이상이 발생했다고 판단하도록 시스템 이상을 판단하기 위한 모니터링 정책을 위반한 클라이언트의 수의 임계값을 작게 설정할 수 있다. 반면, 감지하려는 이상행위가 복수의 클라이언트들에게 심각한 피해를 입힐 것으로 예상되지 않는 경우, 판단 조건을 완화하여 20개의 클라이언트가 시스템 모니터링 정책을 위반할 때, 컴퓨팅 장치(100)가 시스템 이상이 발생했다고 판단하도록 설정할 수 있다. 따라서, 시스템 이상의 종류 별 개별적인 조건 설정이 가능할 수 있다.
본 개시의 일 실시예에 따르면, 컴퓨팅 장치는 시스템 이상 발생 여부 판단에 기초하여 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정할 수 있다(540).
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 발생된 시스템 이상의 종류에 기초하여 복수의 클라이언트들 중 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나의 그룹을 제어할 것을 결정할 수 있다. 예를 들어, 발생된 시스템 이상이 랜섬웨어인 경우, 컴퓨팅 장치(100)는 이상이 발생한 클라이언트 그룹을 제어할 것을 결정할 수 있다. 이 경우, 컴퓨팅 장치(100)는 랜섬웨어에 이미 감염된 클라이언트 그룹의 네트워크 연결을 차단할 수 있다. 컴퓨팅 장치(100)는 랜섬웨어에 감염된 클라이언트 그룹에서 랜섬웨어에 의한 파일 변경이 계속 발생되고 있는 경우, 해당 클라이언트 그룹의 인스턴스를 종료하고 재시작 함으로써, 랜섬웨어의 구동을 일차적으로 차단할 수 있다. 다른 예를 들어, 발생된 시스템 이상이 보안 결함에 의한 멀웨어 감염인 경우, 컴퓨팅 장치(100)는 이상이 발생하지 않은 클라이언트 그룹을 제어할 것을 결정할 수 있다. 전술한 시스템 이상에 관한 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 복수의 클라이언트들 중 일부의 클라이언트를 제어할 수 있다. 보다 구체적으로, 컴퓨팅 장치(100)는 복수의 클라이언트들 중 일부의 클라이언트에 대한 복수의 제어 동작을 수행할 수 있다. 상기 복수의 제어 동작은 장치 제어 동작, 파일 제어 동작, 프로세스 제어 동작 및 네트워크 제어 동작 중 적어도 하나의 동작을 포함할 수 있다. 이때, 장치 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트의 단말에 연결된 장치를 제어하는 동작으로, 예를 들어, USB연결 제어, 스마트폰 연결 제어, 블루투스 장치 제어, FDD 장치 제어, DVD 장치 제어, 적외선 제어, 프린터 제어 및 포트 제어 중 적어도 하나를 포함할 수 있다. 또한, 파일 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트 단말에서 실행되는 파일 및 디렉토리를 제어하는 동작으로, 예를 들어, 파일 및 디렉토리 임의 삭제 방지, 파일 및 디렉토리 강제 삭제 및 파일 접근 차단, 파일 수정 제한 및 파일의 중요도에 따른 격리 보관 중 적어도 하나를 포함할 수 있다. 또한, 프로세스 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트 단말에서 실행되는 서비스 및 프로세서를 제어하는 동작으로, 예를 들어, 프로세스 임의 종료 방지, 프로세스 강제 종료 및 프로세스 실행 제한 중 적어도 하나를 포함할 수 있다. 또한, 네트워크 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트의 단말에 대한 네트워크를 제어하는 동작으로, 예를 들어, 네트워크 연결 차단, 포트 오픈 제한, 블랙리스트 IP차단, 블랙리스트 도메인 차단, AP접속 차단 및 HTTP프로토콜 차단 등을 포함할 수 있다. 전술한 장치 제어 동작, 파일 제어 동작, 프로세스 제어 동작 및 네트워크 제어 동작은 예시일 뿐, 본 개시는 이에 제한되지 않는다.
도 7은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 수단을 도시한 도면이다.
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 시스템 이상을 감지하기 위해서 상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하기 위한 수단(710), 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하기 위한 수단(720), 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하기 위한 수단(730) 및 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하기 위한 수단(740)을 포함할 수 있다.
대안적으로, 상기 모니터링 정보는, 상기 클라이언트의 리소스에 관련한 정보를 포함하는 리소스 정보 및 상기 클라이언트의 동작에 관련한 정보를 포함하는 동작 정보 중 적어도 하나를 포함할 수 있다.
대안적으로, 상기 시스템 모니터링 정책은, 상기 클라이언트의 리소스와 관련된 리소스 정책 및 상기 클라이언트에 동작과 관련된 동작 정책 중 적어도 하나를 포함할 수 있다.
대안적으로, 상기 리소스 정책은, 상기 클라이언트의 리소스 사용량 또는 잔여량이 사전결정된 제 1 시간 기간 동안 사전결정된 임계 값 이상 변동되는지 여부와 관련된 정책을 포함하고, 상기 동작 정책은, 상기 클라이언트의 저장 공간에 대한 동작에 관한 정책을 포함하며, 사전결정된 제 2 시간 기간 동안 사전결정된 동작이 사전결정된 횟수 이상 발생하는지 여부와 관련된 정책을 포함할 수 있다.
대안적으로, 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하는 수단은, 상기 시스템 모니터링 정책을 위반한 클라이언트가 사전결정된 수 이상인 경우, 상기 시스템 이상이 발생한 것으로 판단하는 수단을 포함할 수 있다.
대안적으로, 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 수단은, 상기 각각의 클라이언트에 대한 모니터링 정보의 상기 리소스 정보의 변화량과 상기 시스템 모니터링 정책의 리소스 정책의 사전결정된 임계 변화량을 비교하는 수단 및 상기 리소스 정보의 변화량이 상기 리소스 정책의 사전결정된 임계 변화량 이상인 경우, 상기 클라이언트가 상기 시스템 모니터링 정책을 위반한 것으로 판단하는 수단을 포함할 수 있다.
대안적으로, 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 수단은, 상기 각각의 클라이언트에 대한 모니터링 정보의 상기 동작 정보와 상기 시스템 모니터링 정책의 동작 정책과 비교하는 동작 및 상기 동작 정보가 상기 동작 정책에 위반되는 정보를 포함하는 경우, 상기 클라이언트가 상기 동작 정책을 위반한 것으로 판단하는 수단을 포함할 수 있다.
대안적으로, 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하는 수단은, 발생된 시스템 이상의 종류에 기초하여 상기 복수의 클라이언트들 중 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나 그룹을 제어할 것을 결정하는 수단을 포함할 수 있다.
대안적으로, 상기 발생된 시스템 이상의 종류에 기초하여 상기 복수의 클라이언트들 중 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나 그룹을 제어할 것을 결정하는 수단은, 발생된 시스템 이상의 종류가 이상이 발생한 클라이언트 자체에만 영향을 미치는 이상인 경우, 상기 이상이 발생한 클라이언트 그룹을 제어할 것을 결정하는 수단 및 상기 발생된 시스템 이상의 종류가 다른 클라이언트에 영향을 미치는 이상인 경우, 상기 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나의 그룹을 제어할 것을 결정하는 수단을 포함할 수 있다.
대안적으로, 상기 클라이언트에 대한 제어는, 상기 복수의 클라이언트들 중 일부의 클라이언트에 대한 장치 제어, 파일 제어, 프로세스 제어 및 네트워크 제어 중 적어도 하나를 포함할 수 있다.
도 8은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 모듈을 도시한 도면이다.
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 시스템 이상을 감지하기 위해서 상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하기 위한 모듈(810), 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하기 위한 모듈(820), 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하기 위한 모듈(830) 및 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하기 위한 모듈(840)을 포함할 수 있다.
도 9은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 로직을 도시한 도면이다.
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 시스템 이상을 감지하기 위해서 상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하기 위한 로직(910), 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하기 위한 로직(920), 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하기 위한 로직(930) 및 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하기 위한 로직(940)을 포함할 수 있다.
도 10는 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 회로를 도시한 도면이다.
본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 시스템 이상을 감지하기 위해서 상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하기 위한 회로(1010), 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하기 위한 회로(1020), 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하기 위한 회로(1030) 및 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하기 위한 회로(1040)를 포함할 수 있다.
당업자들은 추가적으로 여기서 개시된 실시예들과 관련되어 설명된 다양한 예시적 논리적 블록들, 구성들, 모듈들, 회로들, 수단들, 로직들 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 양쪽 모두의 조합들로 구현될 수 있음을 인식해야 한다. 하드웨어 및 소프트웨어의 상호교환성을 명백하게 예시하기 위해, 다양한 예시적 컴포넌트들, 블록들, 구성들, 수단들, 로직들, 모듈들, 회로들, 및 단계들은 그들의 기능성 측면에서 일반적으로 위에서 설명되었다. 그러한 기능성이 하드웨어로 또는 소프트웨어로서 구현되는지 여부는 전반적인 시스템에 부과된 특정 어플리케이션(application) 및 설계 제한들에 달려 있다. 숙련된 기술자들은 각각의 특정 어플리케이션들을 위해 다양한 방법들로 설명된 기능성을 구현할 수 있으나, 그러한 구현의 결정들이 본 개시내용의 영역을 벗어나게 하는 것으로 해석되어서는 안된다.
도 11은 본 개시의 일 실시예들이 구현될 수 있는 예시적인 컴퓨팅 환경에 대한 간략하고 일반적인 개략도를 도시한다.
본 발명이 일반적으로 하나 이상의 컴퓨터 상에서 실행될 수 있는 컴퓨터 실행가능 명령어와 관련하여 전술되었지만, 당업자라면 본 발명이 기타 프로그램 모듈들과 결합되어 및/또는 하드웨어와 소프트웨어의 조합으로서 구현될 수 있다는 것을 잘 알 것이다.
일반적으로, 본 명세서에서의 모듈은 특정의 태스크를 수행하거나 특정의 추상 데이터 유형을 구현하는 루틴, 프로시져, 프로그램, 컴포넌트, 데이터 구조, 기타 등등을 포함한다. 또한, 당업자라면 본 발명의 방법이 단일-프로세서 또는 멀티프로세서 컴퓨터 시스템, 미니컴퓨터, 메인프레임 컴퓨터는 물론 퍼스널 컴퓨터, 핸드헬드 컴퓨팅 장치, 마이크로프로세서-기반 또는 프로그램가능 가전 제품, 기타 등등(이들 각각은 하나 이상의 연관된 장치와 연결되어 동작할 수 있음)을 비롯한 다른 컴퓨터 시스템 구성으로 실시될 수 있다는 것을 잘 알 것이다.
본 발명의 설명된 실시예들은 또한 어떤 태스크들이 통신 네트워크를 통해 연결되어 있는 원격 처리 장치들에 의해 수행되는 분산 컴퓨팅 환경에서 실시될 수 있다. 분산 컴퓨팅 환경에서, 프로그램 모듈은 로컬 및 원격 메모리 저장 장치 둘다에 위치할 수 있다.
컴퓨터는 통상적으로 다양한 컴퓨터 판독가능 매체를 포함한다. 컴퓨터에 의해 액세스 가능한 매체는 그 어떤 것이든지 컴퓨터 판독가능 매체가 될 수 있고, 이러한 컴퓨터 판독가능 매체는 휘발성 및 비휘발성 매체, 일시적(transitory) 및 비일시적(non-transitory) 매체, 이동식 및 비-이동식 매체를 포함한다. 제한이 아닌 예로서, 컴퓨터 판독가능 매체는 컴퓨터 판독가능 저장 매체 및 컴퓨터 판독가능 전송 매체를 포함할 수 있다.
컴퓨터 판독가능 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보를 저장하는 임의의 방법 또는 기술로 구현되는 휘발성 및 비휘발성 매체, 일시적 및 비-일시적 매체, 이동식 및 비이동식 매체를 포함한다. 컴퓨터 판독가능 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 기타 메모리 기술, CD-ROM, DVD(digital video disk) 또는 기타 광 디스크 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장 장치 또는 기타 자기 저장 장치, 또는 컴퓨터에 의해 액세스될 수 있고 원하는 정보를 저장하는 데 사용될 수 있는 임의의 기타 매체를 포함하지만, 이에 한정되지 않는다.
컴퓨터 판독가능 전송 매체는 통상적으로 반송파(carrier wave) 또는 기타 전송 메커니즘(transport mechanism)과 같은 피변조 데이터 신호(modulated data signal)에 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터등을 구현하고 모든 정보 전달 매체를 포함한다. 피변조 데이터 신호라는 용어는 신호 내에 정보를 인코딩하도록 그 신호의 특성들 중 하나 이상을 설정 또는 변경시킨 신호를 의미한다. 제한이 아닌 예로서, 컴퓨터 판독가능 전송 매체는 유선 네트워크 또는 직접 배선 접속(direct-wired connection)과 같은 유선 매체, 그리고 음향, RF, 적외선, 기타 무선 매체와 같은 무선 매체를 포함한다. 상술된 매체들 중 임의의 것의 조합도 역시 컴퓨터 판독가능 전송 매체의 범위 안에 포함되는 것으로 한다.
컴퓨터(1102)를 포함하는 본 발명의 여러가지 측면들을 구현하는 예시적인 환경(1100)이 나타내어져 있으며, 컴퓨터(1102)는 처리 장치(1104), 시스템 메모리(1106) 및 시스템 버스(1108)를 포함한다. 시스템 버스(1108)는 시스템 메모리(1106)(이에 한정되지 않음)를 비롯한 시스템 컴포넌트들을 처리 장치(1104)에 연결시킨다. 처리 장치(1104)는 다양한 상용 프로세서들 중 임의의 프로세서일 수 있다. 듀얼 프로세서 및 기타 멀티프로세서 아키텍처도 역시 처리 장치(1104)로서 이용될 수 있다.
시스템 버스(1108)는 메모리 버스, 주변장치 버스, 및 다양한 상용 버스 아키텍처 중 임의의 것을 사용하는 로컬 버스에 추가적으로 상호 연결될 수 있는 몇가지 유형의 버스 구조 중 임의의 것일 수 있다. 시스템 메모리(1106)는 판독 전용 메모리(ROM)(1110) 및 랜덤 액세스 메모리(RAM)(1112)를 포함한다. 기본 입/출력 시스템(BIOS)은 ROM, EPROM, EEPROM 등의 비휘발성 메모리(1110)에 저장되며, 이 BIOS는 시동 중과 같은 때에 컴퓨터(1102) 내의 구성요소들 간에 정보를 전송하는 일을 돕는 기본적인 루틴을 포함한다. RAM(1112)은 또한 데이터를 캐싱하기 위한 정적 RAM 등의 고속 RAM을 포함할 수 있다.
컴퓨터(1102)는 또한 내장형 하드 디스크 드라이브(HDD)(1114)(예를 들어, EIDE, SATA)―이 내장형 하드 디스크 드라이브(1114)는 또한 적당한 섀시(도시 생략) 내에서 외장형 용도로 구성될 수 있음―, 자기 플로피 디스크 드라이브(FDD)(1116)(예를 들어, 이동식 디스켓(1118)으로부터 판독을 하거나 그에 기록을 하기 위한 것임), 및 광 디스크 드라이브(1120)(예를 들어, CD-ROM 디스크(1122)를 판독하거나 DVD 등의 기타 고용량 광 매체로부터 판독을 하거나 그에 기록을 하기 위한 것임)를 포함한다. 하드 디스크 드라이브(1114), 자기 디스크 드라이브(1116) 및 광 디스크 드라이브(1120)는 각각 하드 디스크 드라이브 인터페이스(1124), 자기 디스크 드라이브 인터페이스(1126) 및 광 드라이브 인터페이스(1128)에 의해 시스템 버스(1108)에 연결될 수 있다. 외장형 드라이브 구현을 위한 인터페이스(1124)는 예를 들어, USB(Universal Serial Bus) 및 IEEE 1394 인터페이스 기술 중 적어도 하나 또는 그 둘다를 포함한다.
이들 드라이브 및 그와 연관된 컴퓨터 판독가능 매체는 데이터, 데이터 구조, 컴퓨터 실행가능 명령어, 기타 등등의 비휘발성 저장을 제공한다. 컴퓨터(1102)의 경우, 드라이브 및 매체는 임의의 데이터를 적당한 디지털 형식으로 저장하는 것에 대응한다. 상기에서의 컴퓨터 판독가능 저장 매체에 대한 설명이 HDD, 이동식 자기 디스크, 및 CD 또는 DVD 등의 이동식 광 매체를 언급하고 있지만, 당업자라면 집 드라이브(zip drive), 자기 카세트, 플래쉬 메모리 카드, 카트리지, 기타 등등의 컴퓨터에 의해 판독가능한 다른 유형의 저장 매체도 역시 예시적인 운영 환경에서 사용될 수 있으며 또 임의의 이러한 매체가 본 발명의 방법들을 수행하기 위한 컴퓨터 실행가능 명령어를 포함할 수 있다는 것을 잘 알 것이다.
운영 체제(1130), 하나 이상의 애플리케이션 프로그램(1132), 기타 프로그램 모듈(1134) 및 프로그램 데이터(1136)를 비롯한 다수의 프로그램 모듈이 드라이브 및 RAM(1112)에 저장될 수 있다. 운영 체제, 애플리케이션, 모듈 및/또는 데이터의 전부 또는 그 일부분이 또한 RAM(1112)에 캐싱될 수 있다. 본 발명이 여러가지 상업적으로 이용가능한 운영 체제 또는 운영 체제들의 조합에서 구현될 수 있다는 것을 잘 알 것이다.
사용자는 하나 이상의 유선/무선 입력 장치, 예를 들어, 키보드(1138) 및 마우스(1140) 등의 포인팅 장치를 통해 컴퓨터(1102)에 명령 및 정보를 입력할 수 있다. 기타 입력 장치(도시 생략)로는 마이크, IR 리모콘, 조이스틱, 게임 패드, 스타일러스 펜, 터치 스크린, 기타 등등이 있을 수 있다. 이들 및 기타 입력 장치가 종종 시스템 버스(1108)에 연결되어 있는 입력 장치 인터페이스(1142)를 통해 처리 장치(1104)에 연결되지만, 병렬 포트, IEEE 1394 직렬 포트, 게임 포트, USB 포트, IR 인터페이스, 기타 등등의 기타 인터페이스에 의해 연결될 수 있다.
모니터(1144) 또는 다른 유형의 디스플레이 장치도 역시 비디오 어댑터(1146) 등의 인터페이스를 통해 시스템 버스(1108)에 연결된다. 모니터(1144)에 부가하여, 컴퓨터는 일반적으로 스피커, 프린터, 기타 등등의 기타 주변 출력 장치(도시 생략)를 포함한다.
컴퓨터(1102)는 유선 및/또는 무선 통신을 통한 원격 컴퓨터(들)(1148) 등의 하나 이상의 원격 컴퓨터로의 논리적 연결을 사용하여 네트워크화된 환경에서 동작할 수 있다. 원격 컴퓨터(들)(1148)는 워크스테이션, 서버 컴퓨터, 라우터, 퍼스널 컴퓨터, 휴대용 컴퓨터, 마이크로프로세서-기반 오락 기기, 피어 장치 또는 기타 통상의 네트워크 노드일 수 있으며, 일반적으로 컴퓨터(1102)에 대해 기술된 구성요소들 중 다수 또는 그 전부를 포함하지만, 간략함을 위해, 메모리 저장 장치(1150)만이 도시되어 있다. 도시되어 있는 논리적 연결은 근거리 통신망(LAN)(1152) 및/또는 더 큰 네트워크, 예를 들어, 원거리 통신망(WAN)(1154)에의 유선/무선 연결을 포함한다. 이러한 LAN 및 WAN 네트워킹 환경은 사무실 및 회사에서 일반적인 것이며, 인트라넷 등의 전사적 컴퓨터 네트워크(enterprise-wide computer network)를 용이하게 해주며, 이들 모두는 전세계 컴퓨터 네트워크, 예를 들어, 인터넷에 연결될 수 있다.
LAN 네트워킹 환경에서 사용될 때, 컴퓨터(1102)는 유선 및/또는 무선 통신 네트워크 인터페이스 또는 어댑터(1156)를 통해 로컬 네트워크(1152)에 연결된다. 어댑터(1156)는 LAN(1152)에의 유선 또는 무선 통신을 용이하게 해줄 수 있으며, 이 LAN(1152)은 또한 무선 어댑터(1156)와 통신하기 위해 그에 설치되어 있는 무선 액세스 포인트를 포함하고 있다. WAN 네트워킹 환경에서 사용될 때, 컴퓨터(1102)는 모뎀(1158)을 포함할 수 있거나, WAN(1154) 상의 통신 서버에 연결되거나, 또는 인터넷을 통하는 등, WAN(1154)을 통해 통신을 설정하는 기타 수단을 갖는다. 내장형 또는 외장형 및 유선 또는 무선 장치일 수 있는 모뎀(1158)은 직렬 포트 인터페이스(1142)를 통해 시스템 버스(1108)에 연결된다. 네트워크화된 환경에서, 컴퓨터(1102)에 대해 설명된 프로그램 모듈들 또는 그의 일부분이 원격 메모리/저장 장치(1150)에 저장될 수 있다. 도시된 네트워크 연결이 예시적인 것이며 컴퓨터들 사이에 통신 링크를 설정하는 기타 수단이 사용될 수 있다는 것을 잘 알 것이다.
컴퓨터(1102)는 무선 통신으로 배치되어 동작하는 임의의 무선 장치 또는 개체, 예를 들어, 프린터, 스캐너, 데스크톱 및/또는 휴대용 컴퓨터, PDA(portable data assistant), 통신 위성, 무선 검출가능 태그와 연관된 임의의 장비 또는 장소, 및 전화와 통신을 하는 동작을 한다. 이것은 적어도 Wi-Fi 및 블루투스 무선 기술을 포함한다. 따라서, 통신은 종래의 네트워크에서와 같이 미리 정의된 구조이거나 단순하게 적어도 2개의 장치 사이의 애드혹 통신(ad hoc communication)일 수 있다.
Wi-Fi(Wireless Fidelity)는 유선 없이도 인터넷 등으로의 연결을 가능하게 해준다. Wi-Fi는 이러한 장치, 예를 들어, 컴퓨터가 실내에서 및 실외에서, 즉 기지국의 통화권 내의 아무 곳에서나 데이터를 전송 및 수신할 수 있게 해주는 셀 전화와 같은 무선 기술이다. Wi-Fi 네트워크는 안전하고 신뢰성 있으며 고속인 무선 연결을 제공하기 위해 IEEE 802.11(a,b,g, 기타)이라고 하는 무선 기술을 사용한다. 컴퓨터를 서로에, 인터넷에 및 유선 네트워크(IEEE 802.3 또는 이더넷을 사용함)에 연결시키기 위해 Wi-Fi가 사용될 수 있다. Wi-Fi 네트워크는 비인가 2.4 및 5 GHz 무선 대역에서, 예를 들어, 11Mbps(802.11a) 또는 54 Mbps(802.11b) 데이터 레이트로 동작하거나, 양 대역(듀얼 대역)을 포함하는 제품에서 동작할 수 있다.
본 발명의 기술 분야에서 통상의 지식을 가진 자는 여기에 개시된 실시예들과 관련하여 설명된 다양한 예시적인 논리 블록들, 모듈들, 프로세서들, 수단들, 회로들 및 알고리즘 단계들이 전자 하드웨어, (편의를 위해, 여기에서 "소프트웨어"로 지칭되는) 다양한 형태들의 프로그램 또는 설계 코드 또는 이들 모두의 결합에 의해 구현될 수 있다는 것을 이해할 것이다. 하드웨어 및 소프트웨어의 이러한 상호 호환성을 명확하게 설명하기 위해, 다양한 예시적인 컴포넌트들, 블록들, 모듈들, 회로들 및 단계들이 이들의 기능과 관련하여 위에서 일반적으로 설명되었다. 이러한 기능이 하드웨어 또는 소프트웨어로서 구현되는지 여부는 특정한 애플리케이션 및 전체 시스템에 대하여 부과되는 설계 제약들에 따라 좌우된다. 본 발명의 기술 분야에서 통상의 지식을 가진 자는 각각의 특정한 애플리케이션에 대하여 다양한 방식들로 설명된 기능을 구현할 수 있으나, 이러한 구현 결정들은 본 발명의 범위를 벗어나는 것으로 해석되어서는 안 될 것이다.
여기서 제시된 다양한 실시예들은 방법, 장치, 또는 표준 프로그래밍 및/또는 엔지니어링 기술을 사용한 제조 물품(article)으로 구현될 수 있다. 용어 "제조 물품"은 임의의 컴퓨터-판독가능 장치로부터 액세스 가능한 컴퓨터 프로그램, 캐리어, 또는 매체(media)를 포함한다. 예를 들어, 컴퓨터-판독가능 저장 매체는 자기 저장 장치(예를 들면, 하드 디스크, 플로피 디스크, 자기 스트립, 등), 광학 디스크(예를 들면, CD, DVD, 등), 스마트 카드, 및 플래쉬 메모리 장치(예를 들면, EEPROM, 카드, 스틱, 키 드라이브, 등)를 포함하지만, 이들로 제한되는 것은 아니다. 용어 "기계-판독가능 매체"는 명령(들) 및/또는 데이터를 저장, 보유, 및/또는 전달할 수 있는 무선 채널 및 다양한 다른 매체를 포함하지만, 이들로 제한되는 것은 아니다.
제시된 프로세스들에 있는 단계들의 특정한 순서 또는 계층 구조는 예시적인 접근들의 일례임을 이해하도록 한다. 설계 우선순위들에 기반하여, 본 발명의 범위 내에서 프로세스들에 있는 단계들의 특정한 순서 또는 계층 구조가 재배열될 수 있다는 것을 이해하도록 한다. 첨부된 방법 청구항들은 샘플 순서로 다양한 단계들의 엘리먼트들을 제공하지만 제시된 특정한 순서 또는 계층 구조에 한정되는 것을 의미하지는 않는다.
제시된 실시예들에 대한 설명은 임의의 본 발명의 기술 분야에서 통상의 지식을 가진 자가 본 발명을 이용하거나 또는 실시할 수 있도록 제공된다. 이러한 실시예들에 대한 다양한 변형들은 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 명백할 것이며, 여기에 정의된 일반적인 원리들은 본 발명의 범위를 벗어남이 없이 다른 실시예들에 적용될 수 있다. 그리하여, 본 발명은 여기에 제시된 실시예들로 한정되는 것이 아니라, 여기에 제시된 원리들 및 신규한 특징들과 일관되는 최광의의 범위에서 해석되어야 할 것이다.

Claims (12)

  1. 인코딩된 명령들을 포함하는 컴퓨터 판독 가능 저장 매체에 저장된 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램은 컴퓨팅 장치의 하나 이상의 프로세서들에 의해 실행되는 경우, 상기 하나 이상의 프로세서들로 하여금 컴퓨팅 장치에서의 시스템 이상을 감지하기 위한 이하의 동작들을 수행하도록 하며, 상기 동작들은:
    상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하는 동작;
    각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 동작;
    상기 시스템 모니터링 정책과의 비교 결과 상기 시스템 모니터링 정책을 위반한 클라이언트가 사전결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단하는 동작; 및
    상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하는 동작;
    을 포함하는,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  2. 제 1 항에 있어서,
    상기 모니터링 정보는,
    상기 클라이언트의 리소스에 관련한 정보를 포함하는 리소스 정보 및 상기 클라이언트의 동작에 관련한 정보를 포함하는 동작 정보 중 적어도 하나를 포함하는,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  3. 제 1 항에 있어서,
    상기 시스템 모니터링 정책은,
    상기 클라이언트의 리소스와 관련된 리소스 정책 및 상기 클라이언트에 동작과 관련된 동작 정책 중 적어도 하나를 포함하는,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  4. 제 3 항에 있어서,
    상기 리소스 정책은,
    상기 클라이언트의 리소스 사용량 또는 잔여량이 사전결정된 제 1 시간 기간 동안 사전결정된 임계 값 이상 변동되는지 여부와 관련된 정책을 포함하고,
    상기 동작 정책은,
    상기 클라이언트의 저장 공간에 대한 동작에 관한 정책을 포함하며, 사전결정된 제 2 시간 기간 동안 사전결정된 동작이 사전결정된 횟수 이상 발생하는지 여부와 관련된 정책을 포함하는,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  5. 삭제
  6. 제 2 항에 있어서,
    각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 동작은,
    상기 각각의 클라이언트에 대한 모니터링 정보의 상기 리소스 정보의 변화량과 상기 시스템 모니터링 정책의 리소스 정책의 사전결정된 임계 변화량을 비교하는 동작; 및
    상기 리소스 정보의 변화량이 상기 리소스 정책의 사전결정된 임계 변화량 이상인 경우, 상기 클라이언트가 상기 시스템 모니터링 정책을 위반한 것으로 판단하는 동작;
    을 포함하는,
    컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
  7. 제 2 항에 있어서,
    각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 동작은,
    상기 각각의 클라이언트에 대한 모니터링 정보의 상기 동작 정보와 상기 시스템 모니터링 정책의 동작 정책과 비교하는 동작; 및
    상기 동작 정보가 상기 동작 정책에 위반되는 정보를 포함하는 경우, 상기 클라이언트가 상기 동작 정책을 위반한 것으로 판단하는 동작;
    을 포함하는,
    컴퓨터 판독가능 저장 매체에 포함된 컴퓨터 프로그램.
  8. 제 1 항에 있어서,
    상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하는 동작은,
    발생된 시스템 이상의 종류에 기초하여 상기 복수의 클라이언트들 중 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나 그룹을 제어할 것을 결정하는 동작;
    을 포함하는,
    컴퓨터 판독가능 저장 매체에 포함된 컴퓨터 프로그램.
  9. 제 8 항에 있어서,
    상기 발생된 시스템 이상의 종류에 기초하여 상기 복수의 클라이언트들 중 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나 그룹을 제어할 것을 결정하는 동작은,
    발생된 시스템 이상의 종류가 이상이 발생한 클라이언트 자체에만 영향을 미치는 이상인 경우, 상기 이상이 발생한 클라이언트 그룹을 제어할 것을 결정하는 동작; 및
    상기 발생된 시스템 이상의 종류가 다른 클라이언트에 영향을 미치는 이상인 경우, 상기 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나의 그룹을 제어할 것을 결정하는 동작;
    을 포함하는,
    컴퓨터 판독가능 저장 매체에 포함된 컴퓨터 프로그램.
  10. 제 1 항에 있어서,
    상기 클라이언트에 대한 제어는,
    상기 복수의 클라이언트들 중 일부의 클라이언트에 대한 장치 제어, 파일 제어, 프로세스 제어 및 네트워크 제어 중 적어도 하나를 포함하는,
    컴퓨터 판독가능 저장 매체에 포함된 컴퓨터 프로그램.
  11. 컴퓨팅 장치에서 수행되는 시스템 이상을 감지하기 위한 방법으로서,
    상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하는 단계;
    각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 단계;
    상기 시스템 모니터링 정책과의 비교 결과 상기 시스템 모니터링 정책을 위반한 클라이언트가 사전결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단하는 단계; 및
    상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어하는 단계;
    를 포함하는,
    컴퓨팅 장치에서 수행되는 시스템 이상을 감지하기 위한 방법.
  12. 시스템 이상을 감지하기 위한 컴퓨팅 장치로서,
    하나 이상의 코어를 포함하는 프로세서;
    상기 프로세서에서 실행가능한 명령들을 저장하는 메모리; 및
    복수의 클라이언트와의 통신을 허용하는 네트워크부;
    를 포함하고,
    상기 프로세서는,
    상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하고,
    각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하고,
    상기 시스템 모니터링 정책과의 비교 결과 상기 시스템 모니터링 정책을 위반한 클라이언트가 사전결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단하고, 그리고
    상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하는,
    시스템 이상을 감지하기 위한 컴퓨팅 장치.
KR1020180066643A 2018-06-11 2018-06-11 컨테이너 기반 통합 관리 시스템 KR102059808B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020180066643A KR102059808B1 (ko) 2018-06-11 2018-06-11 컨테이너 기반 통합 관리 시스템
US16/053,236 US11003765B2 (en) 2018-06-11 2018-08-02 Container-based integrated management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180066643A KR102059808B1 (ko) 2018-06-11 2018-06-11 컨테이너 기반 통합 관리 시스템

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020190166328A Division KR20190140893A (ko) 2019-12-13 2019-12-13 컨테이너 기반 통합 관리 시스템

Publications (2)

Publication Number Publication Date
KR20190140179A KR20190140179A (ko) 2019-12-19
KR102059808B1 true KR102059808B1 (ko) 2019-12-27

Family

ID=68765029

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180066643A KR102059808B1 (ko) 2018-06-11 2018-06-11 컨테이너 기반 통합 관리 시스템

Country Status (2)

Country Link
US (1) US11003765B2 (ko)
KR (1) KR102059808B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102187382B1 (ko) * 2020-07-31 2020-12-07 나무기술 주식회사 클라우드 인프라 기반의 컨테이너 가상os 통합 모니터링 운영 방법

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4028920A1 (en) * 2019-09-13 2022-07-20 Equifax, Inc. Secure resource management to prevent resource abuse
KR102370483B1 (ko) * 2020-06-19 2022-03-04 숭실대학교 산학협력단 하드웨어 추상화 계층을 이용하는 자원 모니터링 장치 및 방법
US11811802B2 (en) * 2020-08-21 2023-11-07 Microsoft Technology Licensing, Llc. Cloud security monitoring of applications in PaaS services
US20220156380A1 (en) * 2020-11-16 2022-05-19 Cyber Reconnaissance, Inc. Systems and methods for intelligence driven container deployment
CN112799910A (zh) * 2021-01-26 2021-05-14 中国工商银行股份有限公司 层次化监控方法及装置
CN113157524B (zh) * 2021-04-22 2023-03-21 深圳壹账通创配科技有限公司 基于大数据的异常问题解决方法、***、设备和存储介质
KR20230067755A (ko) * 2021-11-08 2023-05-17 주식회사 시스기어 가상머신의 메모리관리장치
US11695772B1 (en) * 2022-05-03 2023-07-04 Capital One Services, Llc System and method for enabling multiple auxiliary use of an access token of a user by another entity to facilitate an action of the user

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010515158A (ja) 2006-12-28 2010-05-06 マイクロソフト コーポレーション 時間を基準にした許可
JP4725724B2 (ja) * 2005-10-27 2011-07-13 日本電気株式会社 クラスタ障害推定システム
KR101059199B1 (ko) 2011-01-13 2011-08-25 주식회사 이글루시큐리티 클라우드 컴퓨팅 통합보안관제시스템 및 그 방법
KR101799412B1 (ko) * 2017-01-18 2017-11-20 주식회사 한국비즈넷 최적 물류 프로세스 제공방법

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5112751B2 (ja) * 2007-06-05 2013-01-09 株式会社日立ソリューションズ セキュリティ対策状況の自己点検システム
CA2755876C (en) 2008-01-15 2017-04-18 Universite De Strasbourg Synthesis of resorcylic acid lactones useful as therapeutic agents
US9094291B1 (en) * 2010-12-14 2015-07-28 Symantec Corporation Partial risk score calculation for a data object
WO2015197564A1 (en) * 2014-06-23 2015-12-30 Getclouder Ltd. Cloud hosting systems featuring scaling and load balancing with containers
US9992228B2 (en) * 2014-09-14 2018-06-05 Sophos Limited Using indications of compromise for reputation based network security
KR101585342B1 (ko) 2014-09-30 2016-01-14 한국전력공사 이상행위 탐지 장치 및 방법
US11362881B2 (en) * 2015-01-27 2022-06-14 Moogsoft Inc. Distributed system for self updating agents and provides security
US10042697B2 (en) * 2015-05-28 2018-08-07 Oracle International Corporation Automatic anomaly detection and resolution system
US10142353B2 (en) * 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US9542115B1 (en) * 2015-06-23 2017-01-10 Netapp, Inc. Methods and systems for trouble shooting performance issues in networked storage systems
KR101767454B1 (ko) 2015-11-12 2017-08-14 주식회사 엔젠소프트 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치
KR101810762B1 (ko) 2015-12-07 2017-12-19 한양대학교 에리카산학협력단 클라우드 환경에서 hdfs 기반의 도커 컨테이너 보안 로그 분석 방법 및 시스템
KR101743269B1 (ko) 2016-01-13 2017-06-05 주식회사 엔젠소프트 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치
US10536478B2 (en) * 2016-02-26 2020-01-14 Oracle International Corporation Techniques for discovering and managing security of applications
US10389809B2 (en) * 2016-02-29 2019-08-20 Netapp, Inc. Systems and methods for resource management in a networked environment
US10341387B2 (en) * 2016-06-06 2019-07-02 NeuVector, Inc. Methods and systems for applying security policies in a virtualization environment using a security instance
US12021831B2 (en) * 2016-06-10 2024-06-25 Sophos Limited Network security
KR102464390B1 (ko) 2016-10-24 2022-11-04 삼성에스디에스 주식회사 행위 분석 기반 이상 감지 방법 및 장치
US20190081963A1 (en) * 2017-09-08 2019-03-14 Sophos Limited Realtime event detection
US10885211B2 (en) * 2017-09-12 2021-01-05 Sophos Limited Securing interprocess communications
US10560309B1 (en) * 2017-10-11 2020-02-11 Juniper Networks, Inc. Identifying a root cause of alerts within virtualized computing environment monitoring system
US11503051B2 (en) * 2018-01-11 2022-11-15 Perspecta Labs Inc. Migration of traffic flows
US10673882B2 (en) * 2018-01-15 2020-06-02 International Business Machines Corporation Network flow control of internet of things (IoT) devices
US10664592B2 (en) * 2018-03-22 2020-05-26 International Business Machines Corporation Method and system to securely run applications using containers
US11265337B2 (en) * 2018-05-04 2022-03-01 Citrix Systems, Inc. Systems and methods for traffic inspection via an embedded browser
US11483325B2 (en) * 2018-07-17 2022-10-25 Netflix, Inc. Differencing engine for digital forensics

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4725724B2 (ja) * 2005-10-27 2011-07-13 日本電気株式会社 クラスタ障害推定システム
JP2010515158A (ja) 2006-12-28 2010-05-06 マイクロソフト コーポレーション 時間を基準にした許可
KR101059199B1 (ko) 2011-01-13 2011-08-25 주식회사 이글루시큐리티 클라우드 컴퓨팅 통합보안관제시스템 및 그 방법
KR101799412B1 (ko) * 2017-01-18 2017-11-20 주식회사 한국비즈넷 최적 물류 프로세스 제공방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102187382B1 (ko) * 2020-07-31 2020-12-07 나무기술 주식회사 클라우드 인프라 기반의 컨테이너 가상os 통합 모니터링 운영 방법

Also Published As

Publication number Publication date
US11003765B2 (en) 2021-05-11
US20190377871A1 (en) 2019-12-12
KR20190140179A (ko) 2019-12-19

Similar Documents

Publication Publication Date Title
KR102059808B1 (ko) 컨테이너 기반 통합 관리 시스템
KR102093130B1 (ko) 컨테이너 기반 클라우드 서버를 위한 통합관리 시스템
US11720393B2 (en) Enforcing compliance rules using guest management components
US10341387B2 (en) Methods and systems for applying security policies in a virtualization environment using a security instance
EP3014447B1 (en) Techniques for detecting a security vulnerability
US10025612B2 (en) Enforcing compliance rules against hypervisor and host device using guest management components
US8732791B2 (en) Multi-part internal-external process system for providing virtualization security protection
US8346923B2 (en) Methods for identifying an application and controlling its network utilization
US10102019B2 (en) Analyzing network traffic for layer-specific corrective actions in a cloud computing environment
US10715554B2 (en) Translating existing security policies enforced in upper layers into new security policies enforced in lower layers
EP2615793A1 (en) Methods and systems for protecting network devices from intrusion
US10044740B2 (en) Method and apparatus for detecting security anomalies in a public cloud environment using network activity monitoring, application profiling and self-building host mapping
KR20200013028A (ko) 컨테이너 기반 클라우드 서버를 위한 통합관리 시스템
US10169594B1 (en) Network security for data storage systems
US9661023B1 (en) Systems and methods for automatic endpoint protection and policy management
US9832209B1 (en) Systems and methods for managing network security
US11005867B1 (en) Systems and methods for tuning application network behavior
KR20190140893A (ko) 컨테이너 기반 통합 관리 시스템
US20230319075A1 (en) Network access control from anywhere
US20240106855A1 (en) Security telemetry from non-enterprise providers to shutdown compromised software defined wide area network sites
EP4381405A1 (en) Continuous vulnerability assessment system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
A107 Divisional application of patent