KR20190140893A - Container-based integrated management system - Google Patents

Container-based integrated management system Download PDF

Info

Publication number
KR20190140893A
KR20190140893A KR1020190166328A KR20190166328A KR20190140893A KR 20190140893 A KR20190140893 A KR 20190140893A KR 1020190166328 A KR1020190166328 A KR 1020190166328A KR 20190166328 A KR20190166328 A KR 20190166328A KR 20190140893 A KR20190140893 A KR 20190140893A
Authority
KR
South Korea
Prior art keywords
client
policy
computing device
clients
information
Prior art date
Application number
KR1020190166328A
Other languages
Korean (ko)
Inventor
박상훈
곽동녘
Original Assignee
주식회사 티맥스오에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 티맥스오에스 filed Critical 주식회사 티맥스오에스
Priority to KR1020190166328A priority Critical patent/KR20190140893A/en
Publication of KR20190140893A publication Critical patent/KR20190140893A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0709Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0712Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a virtual computing platform, e.g. logically partitioned systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5072Grid computing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Disclosed is a computer program recorded in a computer-readable recording medium for detecting a system error from a computing device and controlling a service causing the error. According to the present invention, when being executed by one or more processors of a computing device, the computer program recorded in a computer-readable recording medium including encoded instructions allows the one or more processors to perform operations for detecting the system error in the computing device. The operations comprises: an operation of receiving monitoring information about each client from a plurality of clients of the computing device; an operation of comparing the monitoring information about each client with a system monitoring policy; an operation of determining whether a system error occurs based on a comparison result with the system monitoring policy; and an operation of determining to control some of the clients based on a system error determination result.

Description

컨테이너 기반 통합 관리 시스템{CONTAINER-BASED INTEGRATED MANAGEMENT SYSTEM}Container-based integrated management system {CONTAINER-BASED INTEGRATED MANAGEMENT SYSTEM}

본 개시는 통합 관리 시스템에 관한 것으로서, 보다 구체적으로, 컴퓨팅 장치가 복수의 클라이언트의 이상 행위를 감지하고 원인이 되는 서비스를 제어하기 위한 통합 관리 시스템에 관한 것이다.The present disclosure relates to an integrated management system, and more particularly, to an integrated management system for a computing device to detect abnormal behavior of a plurality of clients and to control a cause service.

컴퓨터 네트워크의 기술 발전에 따라, 각 단말의 독립적인 하드웨어 성능에 의존하던 기존의 컴퓨팅 환경은, 네트워크 상의 모든 컴퓨팅 자원을 활용하여 사용자 단말의 요청에 따라 해당 서비스를 간편하고 쉽게 사용하도록 제공하는 클라우드 컴퓨팅(Cloud Computing) 형태로 진화해왔다. 현재 IT 인프라 구축 시에, 클라우드 컴퓨팅 기술은 IT 자원을 서로 공유하고 유휴 자원을 효율적으로 사용할 수 있다는 장점 때문에 서버나 시스템 구성 시 보편적으로 이용되고 있다. 클라우드 컴퓨팅의 핵심 기반 기술로 가상화(Virtualization) 기술을 꼽을 수 있으며, 서버 분야에서 많이 사용되는 공개형 서버 가상화 기술에는 가상머신(Virtual Machine, VM) 또는 하이퍼바이저(Hypervisor) 기반이라 불리는 Xen, KVM, VirtualBox 등이 존재한다. 가상머신 기반의 서버 가상화 기술은 물리적 서버 위에 운영체제(이하 호스트 OS)를 설치하고, 그 위에 하이퍼바이저를 기반으로 자원을 분할하여 가상 머신을 생성한 뒤에 또 다시 운영체제(이하 게스트 OS)를 설치하고 원하는 응용 프로그램을 구동하는 방식이다. 이러한 방식은 하나의 물리적 시스템에 독자적으로 운영 가능한 다수의 서버들을 가질 수 있다는 장점이 있으나, 호스트 OS와 게스트 OS가 동일한 운영체제로 작동 중인 경우에는 자원의 낭비가 크다는 단점이 있다.With the development of computer networks, existing computing environments, which depended on the independent hardware capabilities of each terminal, utilize all computing resources on the network to provide simple and easy use of the corresponding services at the request of user terminals. (Cloud Computing) has evolved. Currently, cloud computing technology is widely used in server or system configuration because of the advantages of sharing IT resources and using idle resources efficiently. Virtualization technology is a core technology of cloud computing, and open server virtualization technology, which is widely used in the server field, is Xen, KVM, which is called a virtual machine (VM) or hypervisor based. VirtualBox and the like exist. Virtual machine-based server virtualization technology installs an operating system (hereinafter referred to as a host OS) on a physical server, creates a virtual machine by dividing resources based on the hypervisor, and then installs an operating system (hereinafter referred to as a guest OS). This is how you run your application. This method has a merit of having a plurality of servers that can be independently operated in a single physical system, but has a disadvantage of wasting resources when the host OS and the guest OS are operated by the same OS.

이에 따라 최근 가상 머신 방식과 다른 방식의 가상화 기술인 컨테이너(Container) 방식이 유행하고 있다. 컨테이너 기반의 시스템은 운영체제 커널을 공유하기때문에 가상 머신 방식보다 훨씬 가벼워 이동성이 뛰어나고, 시동이 훨씬 빠르며, 운영체제 전체 부팅보다 메모리를 훨씬 적게 차지한다는 장점이 있다. 이와 같이 클라우드 서비스 환경에서는 CPU, Memory, 스토리지, 응용 프로그램 등의 필요한 자원이 가상화 기술로 제공되는 클라우드 시스템을 통해 원하는 시점에 원하는 만큼 가상의 머신 서버와 자원을 골라서 사용하게 되어 높은 경제성과 확장성 그리고 고도화된 서비스들도 제공받을 수 있게 됐으나, 애플리케이션이 실행되는 과정에서 외부로부터 악의적인 공격 또는 침입이 발생되는 경우, 호스트 운영체제에 직접적인 피해를 입힐 수 있어 보안과 안정성에 문제가 생겨났다.Accordingly, the container method, which is a virtualization technology that is different from the virtual machine method, has recently become popular. Because container-based systems share an operating system kernel, they are much lighter than virtual machines, providing greater portability, much faster startup, and much less memory than full operating system boot. As such, in the cloud service environment, a virtual system provides the necessary resources such as CPU, memory, storage, and application, and selects and uses virtual machine servers and resources as desired at a desired time. Advanced services can also be provided, but if malicious attacks or intrusions occur from the outside of the application, the host operating system can be directly damaged, causing security and stability problems.

따라서, 당업계에는 컴퓨팅 장치에 연결된 복수의 클라이언트를 대상으로 각각의 클라이언트 컴퓨터에 대한 개별 모니터링을 통해 사용자의 이상 행위를 감지하고 원인이 되는 서비스를 제어하기 위한 정책 기반 관리 시스템의 수요가 존재한다.Accordingly, there is a need in the art for a policy-based management system for detecting abnormal behavior of a user and controlling a causative service through individual monitoring of each client computer for a plurality of clients connected to a computing device.

KR20110003468KR20110003468

본 개시는 전술한 배경 기술에 대응하여 안출된 것으로, 컴퓨팅 장치가 복수의 클라이언트에서 발생하는 시스템 이상을 감지하고 원인이 되는 서비스를 제어하는 통합 관리 시스템을 제공하기 위한 것이다.The present disclosure has been made in response to the above-described background art, and is to provide an integrated management system in which a computing device detects a system abnormality occurring in a plurality of clients and controls a causative service.

전술한 과제를 해결하기 위한 본 개시의 일 실시예에서, 인코딩된 명령들을 포함하는 컴퓨터 판독 가능 저장 매체에 저장된 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램은 컴퓨팅 장치의 하나 이상의 프로세서들에 의해 실행되는 경우, 상기 하나 이상의 프로세서들로 하여금 컴퓨팅 장치에서의 시스템 이상을 감지하기 위한 이하의 동작들을 수행하도록 하며, 상기 동작들은: 상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하는 동작; 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 동작;In one embodiment of the present disclosure for solving the above problems, a computer program stored in a computer readable storage medium comprising encoded instructions, the computer program being executed by one or more processors of a computing device, Allow one or more processors to perform the following operations for detecting a system anomaly at a computing device, the operations comprising: receiving monitoring information for each client from a plurality of clients of the computing device; Comparing each of the monitoring information for each client with a system monitoring policy;

상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하는 동작; 및 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하는 동작;을 포함할 수 있다.Determining whether a system abnormality occurs based on a result of comparison with the system monitoring policy; And determining to control a client of some of the plurality of clients based on the determination of whether or not the system abnormality has occurred.

대안적으로, 상기 모니터링 정보는, 상기 클라이언트의 리소스에 관련한 정보를 포함하는 리소스 정보 및 상기 클라이언트의 동작에 관련한 정보를 포함하는 동작 정보 중 적어도 하나를 포함할 수 있다.Alternatively, the monitoring information may include at least one of resource information including information related to the resource of the client and operation information including information related to the operation of the client.

대안적으로, 상기 시스템 모니터링 정책은, 상기 클라이언트의 리소스와 관련된 리소스 정책 및 상기 클라이언트에 동작과 관련된 동작 정책 중 적어도 하나를 포함할 수 있다.Alternatively, the system monitoring policy may include at least one of a resource policy associated with a resource of the client and an operation policy associated with an operation on the client.

대안적으로, 상기 리소스 정책은, 상기 클라이언트의 리소스 사용량 또는 잔여량이 사전결정된 제 1 시간 기간 동안 사전결정된 임계 값 이상 변동되는지 여부와 관련된 정책을 포함하고, 그리고 상기 동작 정책은, 상기 클라이언트의 저장 공간에 대한 동작에 관한 정책을 포함하며, 사전결정된 제 2 시간 기간 동안 사전결정된 동작이 사전결정된 횟수 이상 발생하는지 여부와 관련된 정책을 포함할 수 있다.Alternatively, the resource policy includes a policy relating to whether the resource usage or remaining amount of the client varies over a predetermined threshold for a first predetermined time period, and the operating policy includes: storage space of the client And a policy relating to an action for, and a policy relating to whether a predetermined action occurs more than a predetermined number of times during a predetermined second time period.

대안적으로, 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하는 동작은, 상기 시스템 모니터링 정책을 위반한 클라이언트가 사전결정된 수 이상인 경우, 상기 시스템 이상이 발생한 것으로 판단하는 동작;을 포함할 수 있다.Alternatively, the operation of determining whether a system abnormality occurs based on a result of comparison with the system monitoring policy may include determining that the system abnormality has occurred when the number of clients in violation of the system monitoring policy is greater than or equal to a predetermined number; It may include.

대안적으로, 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 동작은, 상기 각각의 클라이언트에 대한 모니터링 정보의 상기 리소스 정보의 변화량과 상기 시스템 모니터링 정책의 리소스 정책의 사전결정된 임계 변화량을 비교하는 동작; 및 상기 리소스 정보의 변화량이 상기 리소스 정책의 사전결정된 임계 변화량 이상인 경우, 상기 클라이언트가 상기 시스템 모니터링 정책을 위반한 것으로 판단하는 동작;을 포함할 수 있다.Alternatively, comparing each of the monitoring information for each client with a system monitoring policy may include: changing the resource information of the monitoring information for each client and a predetermined threshold change amount of the resource policy of the system monitoring policy. Comparing the; And when the change amount of the resource information is equal to or greater than a predetermined threshold change amount of the resource policy, determining that the client violates the system monitoring policy.

대안적으로, 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 동작은, 상기 각각의 클라이언트에 대한 모니터링 정보의 상기 동작 정보와 상기 시스템 모니터링 정책의 동작 정책과 비교하는 동작; 및 상기 동작 정보가 상기 동작 정책에 위반되는 정보를 포함하는 경우, 상기 클라이언트가 상기 동작 정책을 위반한 것으로 판단하는 동작;을 포함할 수 있다.Alternatively, comparing each of the monitoring information for each client with a system monitoring policy comprises: comparing the operation information of the monitoring information for each client with an operation policy of the system monitoring policy; And when the operation information includes information that violates the operation policy, determining that the client violates the operation policy.

대안적으로, 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하는 동작은, 발생된 시스템 이상의 종류에 기초하여 상기 복수의 클라이언트들 중 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나 그룹을 제어할 것을 결정하는 동작;을 포함할 수 있다.Alternatively, the operation of determining to control the client of some of the plurality of clients based on the determination of whether the system abnormality occurs may include: a client group in which the abnormality among the plurality of clients is generated based on the type of system abnormality that has occurred. And determining to control at least one group of the client groups in which the abnormality does not occur.

대안적으로, 상기 발생된 시스템 이상의 종류에 기초하여 상기 복수의 클라이언트들 중 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나 그룹을 제어할 것을 결정하는 동작은, 발생된 시스템 이상의 종류가 이상이 발생한 클라이언트 자체에만 영향을 미치는 이상인 경우, 상기 이상이 발생한 클라이언트 그룹을 제어할 것을 결정하는 동작; 및 상기 발생된 시스템 이상의 종류가 다른 클라이언트에 영향을 미치는 이상인 경우, 상기 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나의 그룹을 제어할 것을 결정하는 동작;을 포함할 수 있다.Alternatively, determining to control at least one of a client group in which an abnormality occurs and a client group in which no abnormality occurs among the plurality of clients based on the type of the system abnormality that has occurred may include: Determining whether to control the client group in which the abnormality occurs when is an abnormality affecting only the client itself in which the abnormality has occurred; And when the type of the generated system abnormality is an abnormality affecting another client, determining to control at least one of the client group in which the abnormality occurs and the client group in which the abnormality has not occurred.

대안적으로, 상기 클라이언트에 대한 제어는, 상기 복수의 클라이언트들 중 일부의 클라이언트에 대한 장치 제어, 파일 제어, 프로세스 제어 및 네트워크 제어 중 적어도 하나를 포함할 수 있다.Alternatively, the control for the client may include at least one of device control, file control, process control, and network control for some of the plurality of clients.

본 개시의 다른 실시예에서, 컴퓨팅 장치에서 수행되는 시스템 이상을 감지하기 위한 방법으로서, 상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하는 단계; 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 단계; 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하는 단계; 및 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어하는 단계;를 포함할 수 있다.In another embodiment of the present disclosure, a method for detecting a system abnormality performed in a computing device, comprising: receiving monitoring information for each client from a plurality of clients of the computing device; Comparing each of the monitoring information for each client with a system monitoring policy; Determining whether a system abnormality occurs based on a result of comparison with the system monitoring policy; And controlling a client of some of the plurality of clients based on the determination of whether the system abnormality has occurred.

본 개시의 다른 실시예에서, 시스템 이상을 감지하기 위한 컴퓨팅 장치로서, 하나 이상의 코어를 포함하는 프로세서; 상기 프로세서에서 실행가능한 명령들을 저장하는 메모리; 및 복수의 클라이언트와의 통신을 허용하는 네트워크부;를 포함하고, 상기 프로세서는, 상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하고, 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하고, 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하고, 그리고 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정할 수 있다.In another embodiment of the present disclosure, a computing device for detecting a system abnormality, comprising: a processor including one or more cores; A memory that stores instructions executable by the processor; And a network unit allowing communication with a plurality of clients, wherein the processor receives monitoring information for each client from the plurality of clients of the computing device, and each of the monitoring information for each client. To determine whether a system abnormality occurs based on a result of the comparison with the system monitoring policy, and to control a client of some of the plurality of clients based on the system abnormality determination. You can decide.

본 개시는 컴퓨팅 장치에서 발생하는 시스템 이상을 감지하고 원인이 되는 서비스를 제어하는 통합 관리 시스템을 제공할 수 있다.The present disclosure may provide an integrated management system that detects system anomalies occurring in a computing device and controls a causative service.

다양한 양상들이 이제 도면들을 참조로 기재되며, 여기서 유사한 참조 번호들은 총괄적으로 유사한 구성요소들을 지칭하는데 이용된다. 이하의 실시예에서, 설명 목적을 위해, 다수의 특정 세부사항들이 하나 이상의 양상들의 총체적 이해를 제공하기 위해 제시된다. 그러나, 그러한 양상(들)이 이러한 구체적인 세부사항들 없이 실시될 수 있음은 명백할 것이다.
도 1a는 본 개시의 일 실시예와 관련된 복수의 클라이언트에서 발생하는 시스템 이상을 감지하고 원인이 되는 서비스를 제어하는 컴퓨팅 장치의 전체적인 시스템을 나타낸 개념도이다.
도 1b은 본 개시의 일 실시예와 관련된 서비스 서버에서 발생하는 시스템 이상을 감지하고 원인이 되는 서비스를 제어하는 컴퓨팅 장치의 전체적인 시스템을 나타낸 개념도이다.
도 2는 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 블록구성도를 도시한다.
도 3은 본 개시의 일 실시예와 관련된 컨테이너 기반 클라우드 서버의 형태로 구현된 서비스 서버에 대한 세부 구성도를 도시한다.
도 4는 본 개시의 일 실시예와 관련된 가상머신 기반 클라우드 서버의 형태로 구현된 서비스 서버에 대한 세부 구성도를 도시한다.
도 5는 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 동작의 순서도이다.
도 6은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 관리자가 제공받을 수 있는 시스템 이상 발생 여부를 나타내는 데이터 테이블에 관련한 예시도이다.
도 7은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 수단을 도시한 도면이다.
도 8은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 모듈을 도시한 도면이다.
도 9은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 로직을 도시한 도면이다.
도 10는 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 회로를 도시한 도면이다.
도 11은 본 개시의 일 실시예들이 구현될 수 있는 예시적인 컴퓨팅 환경에 대한 간략하고 일반적인 개략도를 도시한다.Various aspects are now described with reference to the drawings, wherein like reference numerals are used to refer to like components throughout. In the following examples, for purposes of explanation, numerous specific details are set forth in order to provide a thorough understanding of one or more aspects. However, it will be apparent that such aspect (s) may be practiced without these specific details.
FIG. 1A is a conceptual diagram illustrating an overall system of a computing device for detecting a system abnormality occurring in a plurality of clients and controlling a causative service caused by a plurality of clients according to an embodiment of the present disclosure.
FIG. 1B is a conceptual diagram illustrating an overall system of a computing device that detects a system abnormality occurring in a service server and controls a service that causes a service, according to an embodiment of the present disclosure.
2 illustrates a block diagram of a computing device in accordance with an embodiment of the present disclosure.
3 is a detailed block diagram of a service server implemented in the form of a container-based cloud server related to an embodiment of the present disclosure.
4 is a detailed block diagram of a service server implemented in the form of a virtual machine-based cloud server related to an embodiment of the present disclosure.
5 is a flowchart of an operation for a processor of a computing device according to one embodiment of the present disclosure to detect a system abnormality from a plurality of clients and to control a causative service.
6 is an exemplary diagram related to a data table indicating whether a system abnormality that can be provided by an administrator of a computing device according to an exemplary embodiment of the present disclosure occurs.
FIG. 7 illustrates a means for a processor of a computing device in accordance with one embodiment of the present disclosure to detect a system anomaly from a plurality of clients and to control a causative service.
8 is a diagram illustrating a module for a processor of a computing device according to an embodiment of the present disclosure to detect a system abnormality from a plurality of clients and to control a cause service.
FIG. 9 illustrates logic for a processor of a computing device according to an embodiment of the present disclosure to detect a system abnormality from a plurality of clients and to control a causative service.
FIG. 10 illustrates circuitry for a processor of a computing device according to an embodiment of the present disclosure to detect a system abnormality from a plurality of clients and to control a causative service.
11 shows a brief general schematic of an exemplary computing environment in which embodiments of the present disclosure may be implemented.

다양한 실시예들이 이제 도면을 참조하여 설명되며, 전체 도면에서 걸쳐 유사한 도면번호는 유사한 구성요소를 나타내기 위해서 사용된다. 본 명세서에서, 다양한 설명들이 본 개시의 이해를 제공하기 위해서 제시된다. 그러나 이러한 실시예들은 이러한 구체적인 설명 없이도 실행될 수 있음이 명백하다. 다른 예들에서, 공지된 구조 및 장치들은 실시예들의 설명을 용이하게 하기 위해서 블록 다이어그램 형태로 제공된다.Various embodiments are now described with reference to the drawings, wherein like reference numerals are used to refer to like elements throughout. In this specification, various descriptions are presented to provide an understanding of the present disclosure. It is evident, however, that such embodiments may be practiced without these specific details. In other instances, well-known structures and devices are provided in block diagram form in order to facilitate describing the embodiments.

본 명세서에서 사용되는 용어 "컴포넌트", "모듈", "시스템" 등은 컴퓨터-관련 엔티티, 하드웨어, 펌웨어, 소프트웨어, 소프트웨어 및 하드웨어의 조합, 또는 소프트웨어의 실행을 지칭한다. 예를 들어, 컴포넌트는 프로세서상에서 실행되는 처리과정, 프로세서, 객체, 실행 스레드, 프로그램, 및/또는 컴퓨터일 수 있지만, 이들로 제한되는 것은 아니다. 예를 들어, 컴퓨팅 장치에서 실행되는 어플리케이션 및 컴퓨팅 장치 모두 컴포넌트일 수 있다. 하나 이상의 컴포넌트는 프로세서 및/또는 실행 스레드 내에 상주할 수 있고, 일 컴포넌트는 하나의 컴퓨터 내에 로컬화될 수 있고, 또는 2개 이상의 컴퓨터들 사이에 분배될 수 있다. 또한, 이러한 컴포넌트들은 그 내부에 저장된 다양한 데이터 구조들을 갖는 다양한 컴퓨터 판독가능한 매체로부터 실행할 수 있다. 컴포넌트들은 예를 들어 하나 이상의 데이터 패킷들을 갖는 신호(예를 들면, 로컬 시스템, 분산 시스템에서 다른 컴포넌트와 상호작용하는 하나의 컴포넌트로부터 데이터 및/또는 신호를 통해 다른 시스템과 인터넷과 같은 네트워크를 통한 데이터)에 따라 로컬 및/또는 원격 처리들을 통해 통신할 수 있다. As used herein, the terms “component”, “module”, “system” and the like refer to computer-related entities, hardware, firmware, software, a combination of software and hardware, or the execution of software. For example, a component may be, but is not limited to being, a process running on a processor, a processor, an object, an thread of execution, a program, and / or a computer. For example, both an application running on a computing device and the computing device can be a component. One or more components can reside within a processor and / or thread of execution, and a component can be localized within one computer or distributed between two or more computers. In addition, these components can execute from various computer readable media having various data structures stored thereon. The components may for example be signals having one or more data packets (e.g., data from one component interacting with another component in a local system, distributed system, and / or data via a network such as the other system and the internet via signals and / or signals). May communicate via local and / or remote processes.

더불어, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하지만, 하나 이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다. 또한, 달리 특정되지 않거나 단수 형태를 지시하는 것으로 문맥상 명확하지 않은 경우에, 본 명세서와 청구범위에서 단수는 일반적으로 "하나 또는 그 이상"을 의미하는 것으로 해석되어야 한다.In addition, the terms "comprises" and / or "comprising" mean that such features and / or components are present, but exclude the presence or addition of one or more other features, components, and / or groups thereof. It should be understood that it does not. Also, unless otherwise specified or in the context of indicating a singular form, the singular in the specification and claims should generally be interpreted as meaning "one or more."

제시된 실시예들에 대한 설명은 본 개시의 기술 분야에서 통상의 지식을 가진 자가 본 개시를 이용하거나 또는 실시할 수 있도록 제공된다. 이러한 실시예들에 대한 다양한 변형들은 본 개시의 기술 분야에서 통상의 지식을 가진 자에게 명백할 것이며, 여기에 정의된 일반적인 원리들은 본 개시의 범위를 벗어남이 없이 다른 실시예들에 적용될 수 있다. 그리하여, 본 개시는 여기에 제시된 실시예들로 한정되는 것이 아니라, 여기에 제시된 원리들 및 신규한 특징들과 일관되는 최광의의 범위에서 해석되어야 할 것이다.The description of the presented embodiments is provided to enable any person skilled in the art to make or use the present disclosure. Various modifications to these embodiments will be apparent to those skilled in the art, and the generic principles defined herein may be applied to other embodiments without departing from the scope of the present disclosure. Thus, the present disclosure should not be limited to the embodiments presented herein but should be construed in the broadest scope consistent with the principles and novel features presented herein.

도 1a는 본 개시의 일 실시예와 관련된 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하는 컴퓨팅 장치(100)의 전체적인 시스템을 나타낸 개념도이다.1A is a conceptual diagram illustrating an overall system of a computing device 100 that detects system anomalies from a plurality of clients and controls a causative service from a plurality of clients in accordance with one embodiment of the present disclosure.

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 복수의 클라이언트에서의 시스템 이상을 감지하고, 그리고 상기 감지한 시스템 이상에 기초하여 복수의 클라이언트를 제어할 수 있다. 구체적으로, 컴퓨팅 장치(100)는 복수의 클라이언트에서 발생하는 시스템 이상 발생 여부를 판단할 수 있다. 이때, 시스템 이상 발생 여부 판단은 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들로부터 각각의 클라이언트(110)에 대한 모니터링 정보 및 시스템 모니터링 정책의 비교에 기초하여 판단될 수 있다. 자세히 설명하면, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들로부터 각각의 클라이언트(110)에 대한 모니터링 정보를 수신할 수 있다. 또한, 컴퓨팅 장치(100)는 관리자로부터 이상 행위에 대한 식별을 위해 시스템 모니터링 정책을 입력 받을 수 있다. 즉, 컴퓨팅 장치(100)는 복수의 클라이언트들로부터 수신한 모니터링 정보 및 관리자의 입력에 기초하여 설정된 시스템 모니터링 정책의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단할 수 있다. 또한, 컴퓨팅 장치(100)는 시스템 이상이 발생되었다고 판단한 경우, 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들 중 일부의 클라이언트에 복수의 제어 동작을 수행할 수 있다. According to an embodiment of the present disclosure, the computing device 100 may detect a system abnormality in a plurality of clients, and control the plurality of clients based on the detected system abnormality. In detail, the computing device 100 may determine whether a system abnormality occurring in the plurality of clients occurs. In this case, whether the system abnormality occurs may be determined based on a comparison of the monitoring information and the system monitoring policy for each client 110 from the plurality of clients connected to the computing device 100. In detail, the computing device 100 may receive monitoring information about each client 110 from a plurality of clients connected to the computing device 100. In addition, the computing device 100 may receive a system monitoring policy from the administrator to identify the abnormal behavior. That is, the computing device 100 may determine whether a system abnormality occurs based on a comparison result of a system monitoring policy set based on monitoring information received from a plurality of clients and an input of an administrator. In addition, when the computing device 100 determines that a system abnormality has occurred, the computing device 100 may perform a plurality of control operations on some of the clients connected to the computing device 100.

따라서, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들의 이상 행위를 감지할 수 있으며, 상기 이상 행위가 감지된 경우 복수의 클라이언트를 제어하는 동작을 수행하여 개별 클라이언트의 이상 행위가 컴퓨팅 장치(100)를 통해 네트워크 망으로 전이되는 것을 방지할 수 있고, 상기 이상 행위로 인해 발생할 수 있는 추가 위협을 방지할 수 있다. Therefore, the computing device 100 may detect abnormal behavior of a plurality of clients connected to the computing device 100, and when the abnormal behavior is detected, perform an operation of controlling the plurality of clients to perform abnormal behavior of individual clients. May be prevented from transitioning to the network through the computing device 100, and further threats that may occur due to the abnormal behavior may be prevented.

본 개시의 일 실시예에 따른 컴퓨팅 장치(100)는 각 클라이언트로부터의 모니터링 정보를 종합하여 개별 클라이언트 별로는 이상 동작이 아닌 동작이라도, 복수의 클라이언트에서 동시다발적으로 모니터링 정보에 변화가 발생하는 경우, 시스템이상으로 판단함으로써, 랜섬웨어 등 네트워크를 통해 전파될 수 있는 시스템 이상을 감지하고 제어 동작을 취할 수 있다.Computing device 100 according to an embodiment of the present disclosure aggregates the monitoring information from each client, even if the operation is not an abnormal operation for each individual client, when a plurality of clients at the same time a change occurs in the monitoring information, By determining that the system is abnormal, it is possible to detect a system abnormality that can be propagated through the network, such as ransomware, and take control action.

도 1b은 본 개시의 다른 실시예와 관련된 서비스 서버에서 발생하는 시스템 이상을 감지하고 원인이 되는 서비스를 제어하는 컴퓨팅 장치의 전체적인 시스템을 나타낸 개념도이다.FIG. 1B is a conceptual diagram illustrating an overall system of a computing device for detecting a system abnormality occurring in a service server and controlling a causative service that is caused by a service server according to another embodiment of the present disclosure.

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 서비스 서버(10)와 무선 및/또는 유선을 통한 상호 연결을 통해 정보를 전송할 수 있고, 그리고 수신할 수 있다.According to one embodiment of the present disclosure, computing device 100 may transmit and receive information via service server 10 and wireless and / or wired interconnections.

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 서비스 서버(10)에서 발생하는 시스템 이상을 감지할 수 있고, 그리고 상기 감지한 시스템 이상에 기초하여 서비스 서버(10)에 연결된 복수의 클라이언트를 제어할 수 있다. 보다 구체적으로, 컴퓨팅 장치(100)는 서비스 서버(10)에 연결된 복수의 클라이언트들로부터 각각의 클라이언트(110)에 대한 모니터링 정보 및 시스템 모니터링 정책의 비교에 기초하여 시스템 이상 여부를 판단할 수 있다. 자세히 설명하면, 컴퓨팅 장치(100)는 서비스 서버(10)로부터 상기 서비스 서버(10)에 연결된 복수의 클라이언트들로부터 각각의 클라이언트(110)에 대한 모니터링 정보를 수신할 수 있다. 또한, 컴퓨팅 장치(100)는 관리자로부터 복수의 클라이언트들로부터 발생하는 이상 행위를 식별을 위해 시스템 모니터링 정책을 입력 받을 수 있다. 즉, 컴퓨팅 장치(100) 서비스 서버(10)로부터 수신한 각각의 클라이언트(110)에 대한 모니터링 정보와 관리자의 입력에 기초하여 설정된 시스템 모니터링 정책을 비교할 수 있고, 그리고 상기 비교 결과에 기초하여 시스템 이상 발생 여부를 판단할 수 있다. 또한, 컴퓨팅 장치(100)는 시스템 이상이 발생되었다고 판단한 경우, 서비스 서버(10)로 복수의 클라이언트를 제어하는 제어 정보를 전송할 수 있다. 즉, 각각의 클라이언트에 대한 모니터링 정보는 각각 시스템 모니터링 정책과 비교될 수 있으며, 컴퓨팅 장치(100)는 각각의 클라이언트에 대한 모니터링 정보를 각각 시스템 모니터링 정책과 비교하여 시스템 모니터링 정책을 위반하는 복수의 클라이언트가 존재하는지 여부를 판단할 수도 있다. According to an embodiment of the present disclosure, the computing device 100 may detect a system abnormality occurring in the service server 10, and a plurality of clients connected to the service server 10 based on the detected system abnormality. Can be controlled. More specifically, the computing device 100 may determine whether the system is abnormal based on a comparison of the monitoring information and the system monitoring policy for each client 110 from the plurality of clients connected to the service server 10. In detail, the computing device 100 may receive monitoring information about each client 110 from a plurality of clients connected to the service server 10 from the service server 10. In addition, the computing device 100 may receive a system monitoring policy from the administrator to identify an abnormal behavior occurring from the plurality of clients. That is, the system monitoring policy may be compared based on the monitoring information of each client 110 received from the computing device 100 service server 10 and an administrator's input, and the system abnormality may be based on the comparison result. The occurrence can be determined. In addition, when determining that a system abnormality has occurred, the computing device 100 may transmit control information for controlling the plurality of clients to the service server 10. That is, the monitoring information for each client may be compared with the system monitoring policy, respectively, and the computing device 100 compares the monitoring information for each client with the system monitoring policy, respectively, and the plurality of clients violating the system monitoring policy. It may be determined whether there exists a.

따라서, 컴퓨팅 장치(100)는 서비스 서버(10)에 연결된 복수의 클라이언트들의 이상 행위를 감지할 수 있으며, 상기 이상 행위가 감지된 경우 복수의 클라이언트를 제어하는 제어 동작을 상기 서비스 서버(10)로 전송하고 상기 서비스 서버(10)가 복수의 클라이언트를 제어하는 동작을 수행하여 개별 클라이언트의 이상 행위가 서비스 서버(10)를 통해 네트워크 망으로 전이되는 것을 방지할 수 있고, 상기 이상 행위로 인해 발생할 수 있는 추가 위협을 방지할 수 있다.Therefore, the computing device 100 may detect abnormal behaviors of a plurality of clients connected to the service server 10, and when the abnormal behavior is detected, a control operation of controlling the plurality of clients to the service server 10. Transmitting and performing an operation of controlling the plurality of clients by the service server 10 can prevent the abnormal behavior of individual clients from being transferred to the network through the service server 10, and may occur due to the abnormal behavior. That can prevent additional threats.

본 개시의 일 실시예에 따르면, 서비스 서버(10)는 클라우드 컴퓨팅 서비스일 수 있다. 보다 구체적으로, 서비스 서버(10)는 인터넷 기반 컴퓨팅의 일종으로 정보를 사용자의 컴퓨터가 아닌 인터넷에 연결된 다른 컴퓨터로 처리하는 클라우드 컴퓨팅 서비스 일 수 있다. 상기 클라우드 컴퓨팅 서비스는 인터넷 상에 자료를 저장해 두고, 사용자가 필요한 자료나 프로그램을 자신의 컴퓨터에 설치하지 않고도 인터넷 접속을 통해 언제 어디서나 이용할 수 있는 서비스이며, 인터넷 상에 저장된 자료들을 간단한 조작 및 클릭으로 쉽게 공유하고 전달할 수 있다. 또한, 클라우드 컴퓨팅 서비스는 인터넷 상의 서버에 단순히 자료를 저장하는 것뿐만 아니라, 별도로 프로그램을 설치하지 않아도 웹에서 제공하는 응용프로그램의 기능을 이용하여 원하는 작업을 수행할 수 있으며, 여러 사람이 동시에 문서를 공유하면서 작업을 진행할 수 있는 서비스이다. 또한, 클라우드 컴퓨팅 서비스는 IaaS(Infrastructure as a Service), PaaS(Platform as a Service), SaaS(Software as a Service) 및 가상 머신 기반 클라우드 서버 및 컨테이너 기반 클라우드 서버 중 적어도 하나의 형태로 구현될 수 있다. 즉, 본 개시의 서비스 서버(10)는 상술한 클라우드 컴퓨팅 서비스 중 적어도 하나의 형태로 구현될 수 있다. 전술한 클라우드 컴퓨팅 서비스의 구체적인 기재는 예시일 뿐, 본 개시는 클라우드 컴퓨팅 환경을 구축하는 임의의 플랫폼을 포함할 수도 있다. 서비스 서버(10)가 컨테이너 기반 클라우드 서버(300) 및 가상머신 기반 클라우드 서버(400)로써 구현되는 구체적인 기재는 도3, 도4를 참조하여 후술하도록 한다.According to an embodiment of the present disclosure, the service server 10 may be a cloud computing service. More specifically, the service server 10 is a kind of Internet-based computing, and may be a cloud computing service that processes information with another computer connected to the Internet instead of the user's computer. The cloud computing service is a service that stores data on the Internet and can be used anytime and anywhere through an internet connection without installing necessary materials or programs on a user's computer. It's easy to share and deliver. In addition, the cloud computing service not only stores data on a server on the Internet, but also does not need to install a program, and can use a web application function to perform a desired task. It is a service that can work while sharing. In addition, the cloud computing service may be implemented in the form of at least one of an infrastructure as a service (IaaS), a platform as a service (PaaS), a software as a service (SaaS), a virtual machine-based cloud server, and a container-based cloud server. . That is, the service server 10 of the present disclosure may be implemented in at least one of the above-described cloud computing service. The specific description of the cloud computing service described above is merely an example, and the present disclosure may include any platform for building a cloud computing environment. Detailed description of the service server 10 implemented as the container-based cloud server 300 and the virtual machine-based cloud server 400 will be described later with reference to FIGS. 3 and 4.

도 2는 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 블록구성도를 도시한다.2 illustrates a block diagram of a computing device in accordance with an embodiment of the present disclosure.

도 2에 도시된 컴퓨팅 장치(100)의 컴포넌트들은 예시적인 것이다. 도 2에 도시된 컴포넌트 중 일부만이 컴퓨팅 장치(100)를 구성할 수도 있다. 또한, 도 2에 도시된 컴포넌트 이외에 추가적인 컴포넌트(들)가 상기 컴퓨팅 장치(100)에 포함될 수도 있다.The components of computing device 100 shown in FIG. 2 are exemplary. Only some of the components shown in FIG. 2 may configure the computing device 100. In addition to the components shown in FIG. 2, additional component (s) may be included in the computing device 100.

도 2에 도시된 바와 같이, 컴퓨팅 장치(100)는 프로세서(210), 메모리(220) 및 네트워크부(230)를 포함할 수 있다.As shown in FIG. 2, the computing device 100 may include a processor 210, a memory 220, and a network unit 230.

본 개시의 일 실시예에 따르면, 프로세서(210)는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들로부터 각각의 모니터링 정보를 수신할 수 있다. 이때, 모니터링 정보는 리소스 정보 및 동작 정보를 포함할 수 있다. 모니터링 정보가 포함하는 상기 리소스 정보는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각이 어플리케이션을 구동하기 위해 사용하는 리소스의 변화량에 대한 정보일 수 있다. 예를 들어, 리소스 정보는 클라이언트(110)가 어플리케이션을 동작시키는 경우, 변화하는 CPU, 메모리, 하드디스크, 네트워크의 사용률 및 사용시간 등에 관한 정보를 포함할 수 있다. 모니터링 정보가 포함하는 상기 동작 정보는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각이 수행하는 동작에 관한 정보일 수 있다. 구체적으로, 동작 정보는 각각의 클라이언트에서 실행되는 어플리케이션이 클라이언트(110)의 설치 행위, 삭제 행위 및 제어 행위 중 적어도 하나에 기초하여 변화하는 정보를 포함할 수 있다. 자세한 예를 들어, 상기 어플리케이션에서 동작되는 장치, 파일, 프로세스, 네트워크 및 공유 디렉토리에 대한 해당 클라이언트(110)의 설치 행위, 삭제 행위, 변경 행위, 연결 행위, 해제 행위 및 접근 행위 중 적어도 하나의 행위에 의해 변화하는 정보를 포함할 수 있다. 전술한 리소스 정보 및 동작 정보에 관한 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.According to one embodiment of the present disclosure, the processor 210 may receive respective monitoring information from a plurality of clients connected to the computing device 100. In this case, the monitoring information may include resource information and operation information. The resource information included in the monitoring information may be information about a change amount of resources used by each of a plurality of clients connected to the computing device 100 to drive an application. For example, the resource information may include information about a changing CPU, a memory, a hard disk, a network usage rate, and a usage time when the client 110 runs an application. The operation information included in the monitoring information may be information about an operation performed by each of the plurality of clients connected to the computing device 100. In more detail, the operation information may include information that an application executed in each client changes based on at least one of an installation action, a deletion action, and a control action of the client 110. For example, at least one of installation, deletion, change, connection, release, and access actions of the client 110 with respect to a device, a file, a process, a network, and a shared directory operated by the application. It can include information that changes by. Specific description of the above-described resource information and operation information is only an example, the present disclosure is not limited thereto.

본 개시의 다른 실시예에 따르면, 프로세서(210)는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각의 모니터링 정보들을 데이터베이스(DataBase)를 통하여 수신할 수도 있다. 예를 들어, 상기 데이터베이스는 티맥스 데이터의 Tibero일 수 있다. 자세히 설명하면, 프로세서(210)는 복수의 클라이언트들로부터 수신한 정보에 기초하여 각각의 클라이언트에 대한 시스템 이상을 판단할 수 있다. 이에 따라, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 모든 클라이언트로부터 모니터링 정보를 수신해야 하므로, 보다 큰 부하량을 야기할 수 있다. 따라서, 컴퓨팅 장치(100)는 데이터베이스와 연동하여 복수의 클라이언트 각각의 모니터링 정보들을 수신할 수 있다. 보다 구체적으로, 클라이언트에서 전송한 모니터링 정보는 데이터베이스에 저장되고, 그리고 컴퓨팅 장치(100)는 필요한 정보를 상기 모니터링 정보가 저장된 데이터베이스에 요청하여 수신할 수 있다. 컴퓨팅 장치(100)는 데이터베이스를 통해 적은 부하량으로 복수의 클라이언트의 모니터링 정보를 수신하여 개별 클라이언트의 이상 행위를 감지할 수 있다.According to another embodiment of the present disclosure, the processor 210 may receive monitoring information of each of a plurality of clients connected to the computing device 100 through a database. For example, the database may be Tibero of Tmax data. In detail, the processor 210 may determine a system abnormality for each client based on information received from the plurality of clients. Accordingly, since the computing device 100 must receive monitoring information from all clients connected to the computing device 100, the computing device 100 may cause a greater load. Accordingly, the computing device 100 may receive monitoring information of each of the plurality of clients in cooperation with a database. More specifically, the monitoring information transmitted from the client is stored in a database, and the computing device 100 may request and receive necessary information from the database in which the monitoring information is stored. The computing device 100 may detect abnormal behavior of individual clients by receiving monitoring information of a plurality of clients with a small load through a database.

본 개시의 일 실시예에 따르면, 프로세서(210)는 관리자의 입력에 기초하여 시스템 모니터링 정책을 설정할 수 있다. 이때, 시스템 모니터링 정책은 클라이언트의 리소스와 관련된 리소스 정책 및 클라이언트에 동작과 관련된 동작 정책을 포함할 수 있다. 상기 리소스 정책은, 예를 들어, 클라이언트의 리소스 사용량 또는 잔여량이 기 설정된 기간동안 사전 결정된 임계값 이상 변동되는지 여부와 관련된 정책을 포함할 수 있다. 보다 구체적으로, 리소스 정책은 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각의 사전 결정된 시간에 동안 리소스 변화량에 대한 정책일 수 있다. 예를 들어, 리소스 정책은 10초간 클라이언트의 리소스 사용량이 50% 이상 변화하는 경우 이상으로 판단하는 정책일 수 있다. 또한, 예를 들어, 리소스 정책은 클라이언트의 리소스 사용량이 임계치를 넘는 경우 이상으로 판단하는 정책일 수 있다. 상기 동작 정책은, 클라이언트(110)의 저장 공간에 대한 동작에 관한 정책을 포함하며, 기 설정된 기간동안 사전 결정된 동작이 사전 결정된 횟수 이상 발생하는지 여부와 관련된 정책을 포함할 수 있다. 보다 구체적으로, 동작 정책은 컴퓨팅 장치(100)의 복수의 클라이언트 각각에 대하여 사전 결정된 시간 내에 관리자가 규정한 동작이 발생하는 횟수를 초과하는지에 대한 정책일 수 있다. 예를 들어, 동작 정책은 5초동안 복수의 클라이언트 각각에서 10번의 파일 변경 동작이 발생하는 경우, 정책 위반으로 판단하기 위한 정책일 수 있다. 다른 예를 들어, 동작 정책은 3초동안 복수의 클라이언트 각각에서 15번의 파일 변경 동작을 기준으로 하여 설정될 수도 있다. 상술한 리소스 정책 및 동작 정책에 대한 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.According to an embodiment of the present disclosure, the processor 210 may set a system monitoring policy based on an input of an administrator. In this case, the system monitoring policy may include a resource policy related to a resource of the client and an operation policy related to an operation on the client. The resource policy may include, for example, a policy relating to whether the resource usage or the remaining amount of the client varies by more than a predetermined threshold value for a predetermined period. More specifically, the resource policy may be a policy for the amount of resource change during a predetermined time of each of the plurality of clients connected to the computing device 100. For example, the resource policy may be a policy determined as abnormal when the resource usage of the client changes by 50% or more for 10 seconds. Also, for example, the resource policy may be a policy that determines that the resource usage of the client exceeds the threshold. The operation policy may include a policy regarding an operation of a storage space of the client 110 and may include a policy related to whether a predetermined operation occurs more than a predetermined number of times during a predetermined period. More specifically, the operation policy may be a policy regarding whether the number of times an administrator-defined operation occurs within a predetermined time for each of a plurality of clients of the computing device 100. For example, the operation policy may be a policy for determining a policy violation when 10 file change operations occur in each of the plurality of clients for 5 seconds. As another example, an operation policy may be set based on fifteen file change operations on each of a plurality of clients for three seconds. The description of the above-described resource policy and operation policy is only an example, the present disclosure is not limited thereto.

본 개시의 일 실시예에 따르면, 프로세서(210)는 각각의 클라이언트에 대한 모니터링 정보를 시스템 모니터링 정책과 비교할 수 있다. 보다 구체적으로, 프로세서(210)는 각각의 클라이언트에 대한 모니터링 정보의 상기 리소스 정보의 변화량과 상기 시스템 모니터링 정책의 리소스 정책의 사전 결정된 임계 변화량을 비교할 수 있다. 예를 들어, 프로세서(210)에 각각의 클라이언트에서 10분동안 CPU의 사용량이 70% 초과하는지 여부에 대한 리소스 정책이 설정된 경우, 각각의 클라이언트들로부터 기 설정된 10분 동안 CPU 사용량에 대한 정보를 수신하여, CPU의 사용량이 70%를 초과하는지 비교할 수 있다. 전술한 리소스 정책에 관한 구체적인 수치는 예시일 뿐, 본 개시는 이에 제한되지 않는다.According to one embodiment of the present disclosure, the processor 210 may compare the monitoring information for each client with the system monitoring policy. More specifically, the processor 210 may compare the change amount of the resource information of the monitoring information for each client with the predetermined threshold change amount of the resource policy of the system monitoring policy. For example, if the processor 210 sets a resource policy on whether or not the CPU usage exceeds 70% for 10 minutes at each client, the client 210 receives information about the CPU usage for the preset 10 minutes. Thus, it can be compared whether the CPU usage exceeds 70%. Specific figures relating to the above-described resource policy is only an example, the present disclosure is not limited thereto.

또한, 프로세서(210)는 각각의 클라이언트에 대한 모니터링 정보의 동작 정보와 시스템 모니터링 정책의 동작 정책과 비교할 수 있다. 자세히 설명하면, 프로세서(210)에 설정된 동작 정책에 기초하여 각각의 클라이언트에서 수신한 모니터링 정보를 비교할 수 있다. 예를 들어, 프로세서(210)에 각각의 클라이언트에서 5초동안 특정 파일 변경이 30회를 초과하는지 여부에 대한 동작 정책이 설정된 경우, 각각의 클라이언트들로부터 기 설정된 5초동안 파일 변경에 대한 정보를 수신하여, 파일 변경이 30회를 초과하는 지 비교할 수 있다. 전술한 동작 정책에 관한 구체적인 수치는 예시일 뿐, 본 개시는 이에 제한되지 않는다. 즉, 프로세서(210)는 리소스 정보와 리소스 정책 및 동작 정보와 동작 정책을 각각 비교할 수 있다.In addition, the processor 210 may compare the operation information of the monitoring information for each client with the operation policy of the system monitoring policy. In detail, the monitoring information received from each client may be compared based on the operation policy set in the processor 210. For example, if the processor 210 sets an operation policy for whether a particular file change exceeds 30 times in 5 seconds at each client, information about file change for 5 seconds is set from each client. Can be received and compared to more than 30 file changes. Specific numerical values related to the above-described operation policy are only examples, and the present disclosure is not limited thereto. In other words, the processor 210 may compare the resource information and the resource policy and the operation information and the operation policy, respectively.

본 개시의 일 실시예에 따르면, 프로세서(210)는 모니터링 정보와 시스템 모니터링 정책의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단할 수 있다. 보다 구체적으로, 프로세서(210)는 복수의 클라이언트들 중 시스템 모니터링 정책을 위반한 클라이언트가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다. 자세히 설명하면, 프로세서(210)는 각각의 클라이언트에 대한 모니터링 정보 및 시스템 모니터링 정책의 비교 결과에 기초하여 시스템 모니터링 정책을 위반한 클라이언트를 판단할 수 있다. 이때, 모니터링 정보는 리소스 정보 및 동작 정보를 포함하며, 시스템 모니터링 정책은 리소스 정책 및 동작 정책을 포함할 수 있다. 다시 말해, 프로세서(210)는 리소스 정보와 리소스 정책 및 동작 정보와 동작 정책 각각을 비교하여 리소스 정보 및 동작 정보가 상기 리소스 정책 및 상기 동작 정책을 위반하는지 여부를 판단할 수 있다. 예를 들어, 클라이언트의 CPU 사용량이 70% 이상인 경우, 해당 클라이언트만 이러한 모니터링 정보(CPU 사용량 70% 이상)을 가지는 경우에는 해당 클라이언트가 많은 리소스가 필요한 작업을 수행하는 경우일 수 있다(즉, 정상 동작). 그러나, 여러 클라이언트의 CPU 사용량이 동시다발적으로 증가하는 경우, 컴퓨팅 장치(100)는 여러 클라이언트의 CPU 사용량이 동시다발적으로 증가하는 모니터링 정보에 기초하여 시스템 이상이 발생한 것으로 판단할 수 있다.According to an embodiment of the present disclosure, the processor 210 may determine whether a system abnormality occurs based on a result of comparing the monitoring information with the system monitoring policy. More specifically, the processor 210 may determine that a system abnormality has occurred when the number of clients violating the system monitoring policy among the plurality of clients is greater than or equal to a predetermined number. In detail, the processor 210 may determine a client that violates the system monitoring policy based on the comparison result of the monitoring information and the system monitoring policy for each client. In this case, the monitoring information may include resource information and operation information, and the system monitoring policy may include resource policy and operation policy. In other words, the processor 210 may compare the resource information with the resource policy and the operation information and the operation policy, respectively, and determine whether the resource information and the operation information violate the resource policy and the operation policy. For example, if the client has more than 70% CPU, if only that client has this monitoring information (more than 70% CPU usage), the client may be performing a task that requires a lot of resources (that is, normal). action). However, when CPU usage of several clients increases simultaneously, the computing device 100 may determine that a system abnormality occurs based on monitoring information in which CPU usage of several clients increases simultaneously.

또한, 프로세서(210)는 각각의 클라이언트의 리소스 정보를 리소스 정책과 비교하여 상기 리소스 정책에 위반하는 클라이언트를 판단할 수 있다. 구체적으로, 프로세서(210)는 리소스 변화량이 리소스 정책의 사전 결정된 임계 변화량 이상인 경우, 클라이언트가 리소스 정책을 위반한 것으로 판단할 수 있다. 예를 들어, 프로세서(210)가 관리자의 입력에 기초하여 CPU사용량을 60%로 제한하는 리소스 정책을 사전 설정했을 때, 실시간으로 모니터링한 각각의 클라이언트 CPU사용량이 60%이상인 경우, 프로세서(210)는 CPU의 사용량이 60%이상인 클라이언트가 리소스 정책을 위반한 것으로 판단할 수 있다. 전술한 리소스 정보 및 리소스 정책의 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.In addition, the processor 210 may determine the client violating the resource policy by comparing the resource information of each client with the resource policy. In detail, the processor 210 may determine that the client violates the resource policy when the amount of resource change is equal to or greater than a predetermined threshold change amount of the resource policy. For example, when the processor 210 presets a resource policy that limits the CPU usage to 60% based on the input of the administrator, when the client CPU usage monitored in real time is 60% or more, the processor 210 The client may determine that a client whose CPU usage is greater than 60% violates the resource policy. The detailed description of the aforementioned resource information and resource policy is only an example, and the present disclosure is not limited thereto.

또한, 프로세서(210)는 각각의 클라이언트의 동작 정보를 동작 정책과 비교하여 상기 동작 정책을 위반하는 클라이언트를 판단할 수 있다. 구체적으로, 프로세서(210)는 각각의 클라이언트의 동작 정보가 기 설정된 동작 정책에 위반하는 정보를 포함하는 경우, 클라이언트가 동작 정책을 위반한 것으로 판단할 수 있다. 예를 들어, 프로세서(210)를 통해 사전 설정된 동작 정책이 3초동안 파일 삭제가 20회 수행되는 동작에 기초하여 설정된 경우, 특정 클라이언트의 동작 정보에서 해당 3초동안 파일 삭제가 26회 수행되는 경우, 프로세서(210)는 상기 특정 클라이언트가 동작 정책을 위반한 것으로 판단할 수 있다. 전술한 동작 정보 및 동작 정책의 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.In addition, the processor 210 may determine the client violating the operation policy by comparing the operation information of each client with the operation policy. In detail, the processor 210 may determine that the client violates the operation policy when the operation information of each client includes information that violates the predetermined operation policy. For example, when the preset operation policy is set based on an operation in which file deletion is performed 20 times during 3 seconds through the processor 210, when file deletion is performed 26 times during the corresponding 3 seconds in the operation information of a specific client. The processor 210 may determine that the specific client violates the operation policy. The detailed description of the above-described operation information and operation policy is only an example, and the present disclosure is not limited thereto.

즉, 프로세서(210)는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트로부터 수신한 모니터링 정보와 사전 설정된 시스템 모니터링 정책을 비교하여 상기 시스템 모니터링 정책을 위반하는 클라이언트를 판단할 수 있으며, 상기 판단된 클라이언트의 수가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다.That is, the processor 210 may compare the monitoring information received from the plurality of clients connected to the computing device 100 with a preset system monitoring policy, and determine a client that violates the system monitoring policy. If the number is more than the predetermined number, it may be determined that a system abnormality has occurred.

이하에서는 도 6을 참조하여 프로세서(210)가 시스템 이상 발생 여부를 판단하는 구체적인 실시예에 대하여 서술하도록 한다.Hereinafter, a specific embodiment in which the processor 210 determines whether a system abnormality occurs will be described with reference to FIG. 6.

도 6은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 관리자가 제공받을 수 있는 시스템 이상 발생 여부를 나타내는 데이터 테이블에 관련한 예시도이다.6 is an exemplary diagram related to a data table indicating whether a system abnormality that can be provided by an administrator of a computing device according to an exemplary embodiment of the present disclosure occurs.

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 관리자에게 시스템 이상에 관련한 정보를 제공할 수 있다. 이때, 상기 관리자에게 제공되는 정보는 도 6에 도시된 바와 같은 데이터 테이블의 형태로 제공될 수 있고 또는 UI(User Interface)형태로 제공될 수도 있다. 전술한 바와 같이 클라이언트에서 수집된 모니터링 정보는 도 6의 예시와 같이 데이터베이스 테이블 형태로 데이터베이스에 저장될 수 있다. According to an embodiment of the present disclosure, the computing device 100 may provide the administrator with information related to system abnormality. In this case, the information provided to the administrator may be provided in the form of a data table as shown in FIG. 6 or may be provided in the form of a user interface (UI). As described above, the monitoring information collected by the client may be stored in the database in the form of a database table as illustrated in FIG. 6.

도 6에 도시된 바와 같이, 관리자에게 제공되는 각 클라이언트의 실시간 상황에 대한 정보는 컴퓨팅 장치(100)에 연결된 클라이언트에 대한 정보(참조번호 610), 각 클라이언트 별 리소스 사용량에 대한 정보(참조번호 620), 각 클라이언트 별 파일 동작 정책에 따른 모니터링 정보(참조번호 630) 및 이상 감지에 따른 알림 정보(참조번호 640) 중 적어도 하나를 포함할 수 있다. 상기 도면에 도시된 정보들은 관리자가 설정한 시스템 모니터링 정책에 기초하여 표시되는 정보일 수 있다. 자세히 설명하면, 도 6에 도시된 정보들은 관리자가 사전 결정된 시간동안 CPU의 임계 변화량 및 사전 결정된 시간동안 파일 확장자 변경 개수에 기초하여 생성된 시스템 모니터링 정책일 수 있다. 예를 들어, 관리자가 사전 결정된 시간동안 메모리의 임계 변화량 및 사전 결정된 시간동안 특정 파일 삭제 개수에 기초하여 시스템 모니터링 정책을 설정한 경우, 참조번호 620영역에는 메모리 사용량이 표시될 수 있으며, 참조번호 630영역에는 특정 파일 삭제 개수가 표시될 수 있다. 즉, 도 6에 도시된 정보들은 예시일 뿐, 본 개시는 이에 제한되지 않음이 통상의 기술자에게 명백할 것이다.As illustrated in FIG. 6, information about a real-time situation of each client provided to an administrator may include information about a client connected to the computing device 100 (reference number 610), and information on resource usage of each client (reference number 620). ), At least one of monitoring information (reference number 630) according to a file operation policy for each client and notification information (reference number 640) according to abnormality detection. The information shown in the figure may be information displayed based on a system monitoring policy set by an administrator. In detail, the information illustrated in FIG. 6 may be a system monitoring policy generated based on the threshold change amount of the CPU for a predetermined time and the number of file extension changes during the predetermined time. For example, when the administrator sets the system monitoring policy based on the threshold change amount of memory for a predetermined time and the number of specific file deletions during the predetermined time, the memory usage may be displayed in area 620 and reference number 630. The area may display the number of specific file deletions. That is, the information shown in FIG. 6 is merely an example, and it will be apparent to those skilled in the art that the present disclosure is not limited thereto.

본 개시의 일 실시예에 따르면, 프로세서(210)는 관리자의 입력에 기초하여 시스템 모니터링 정책을 생성할 수 있다. 예를 들어, 프로세서(210)는 관리자의 입력에 기초하여 CPU의 사용량을 70%로, 5초 이내에 파일 확장자 변경이 20개 이상 발생하는 클라이언트가 5개 이상인 경우를 시스템 모니터링 정책으로 생성할 수 있다. 다시 말해, 프로세서(210)는 CPU의 사용량이 70%이상이고, 그리고 5초 이내 파일 확장자 변경이 20개 이상인 클라이언트가 5개 이상일 때 시스템 이상이 발생되었다고 판단할 수 있다. 도 6에 도시된 도면은 상술한 시스템 모니터링 정책에 기초한 예시도이다.According to an embodiment of the present disclosure, the processor 210 may generate a system monitoring policy based on an input of an administrator. For example, the processor 210 may generate a system monitoring policy when 5 or more clients generate 20 or more file extension changes within 5 seconds using 70% of CPU usage based on an administrator's input. . In other words, the processor 210 may determine that the system abnormality has occurred when the CPU usage is 70% or more and 5 or more clients have 20 or more file extension changes within 5 seconds. 6 is an exemplary view based on the system monitoring policy described above.

도 6을 참조하면, 참조번호 610영역에 도시된 바와 같이, 컴퓨팅 장치(100)에는 10개의 클라이언트가 연결되었음을 확인할 수 있다. 또한, 10개의 클라이언트 각각에 대한 CPU사용량에 대한 정보(참조번호 620), 파일 확장자 변경 개수에 대한 정보(참조번호 630) 및 이상 감지에 따른 알림 정보(참조번호 640)가 표시될 수 있다. 예를 들어, 클라이언트 1 즉, C1의 CPU사용량 및 파일 확장자 변경 개수는 C1에 대한 모니터링 정보에 기초하여 각각 50%, 18개로 표시될 수 있다. 즉, 프로세서(210)는 C1이 기 설정된 시스템 모니터링 정책(CPU사용량 70%이상, 파일 확장자 변경 개수 20개 이상)을 위반하지 않은 것으로 판단할 수 있다. 따라서, 이상 감지를 나타내는 알림 정보에 “OFF”로 표시될 수 있다. 다른 예를 들어, C2의 CPU사용량 및 파일 확장 변경 개수는 C2에 대한 모니터링 정보에 기초하여 각각 76%, 25 로 표시될 수 있다. 즉, 프로세서(210)는 C2가 기 설정된 시스템 모니터링 정책(CPU사용량 70%이상, 파일 확장자 변경 개수 20개 이상)을 위반한 것으로 판단하여 이상 감지를 나타내는 알림 정보에 “ON”으로 표시될 수 있다. 다른 예를 들어, C3의 경우, CPU의 사용량은 70%로 기 설정된 정책의 CPU사용량(70%) 이상이지만, 파일 확장자 변경 개수가 15개로 기 설정된 정책(파일 확장자 변경 개수 15)미만이므로, 프로세서(210)는 C3이 기 설정된 시스템 모니터링 정책을 위반하지 않은 것으로 판단할 수 있고, 그리고 알림 정보에 “OFF”를 표시할 수 있다. 전술한 시스템 모니터링 정책 위반 여부를 판단하는 과정을 통해, 프로세서(210)는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트(예를 들어, 10개)각각에 대한 시스템 모니터링 정책 위반 여부를 판단할 수 있다.Referring to FIG. 6, as shown in area 610, it may be confirmed that 10 clients are connected to the computing device 100. In addition, information on CPU usage for each of the ten clients (reference number 620), information on the number of file extension changes (reference number 630), and notification information according to an abnormality detection (reference number 640) may be displayed. For example, the CPU usage and the number of file extension changes of the client 1, that is, C1 may be displayed as 50% and 18, respectively, based on the monitoring information about C1. That is, the processor 210 may determine that C1 does not violate a preset system monitoring policy (70% or more of CPU usage, 20 or more file extension changes). Therefore, it may be displayed as "OFF" in the notification information indicating the abnormal detection. As another example, the CPU usage and file extension change number of C2 may be displayed as 76% and 25, respectively, based on the monitoring information about C2. That is, the processor 210 may determine that C2 violates a preset system monitoring policy (70% or more of CPU usage, 20 or more file extension changes), and may be displayed as “ON” in notification information indicating an abnormality detection. . In another example, in the case of C3, the CPU usage is 70% or more, but the CPU usage (70%) or more of the preset policy is 15, but the file extension change count is less than 15 preset policies (15 file extension change counts). 210 may determine that C3 does not violate the preset system monitoring policy, and may display “OFF” in the notification information. Through the process of determining whether the system monitoring policy is violated, the processor 210 may determine whether the system monitoring policy is violated for each of a plurality of clients (eg, ten) connected to the computing device 100. .

또한, 프로세서(210)는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들 중 시스템 모니터링 정책을 위반한 클라이언트가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다. 예를 들어, 시스템 모니터링 정책을 위반한 클라이언트의 수가 '5'로 사전 결정된 경우, 도 6에 도시된 컴퓨팅 장치(100)의 프로세서(210)는 시스템 이상이 발생한 것으로 판단할 수 있다. 다른 예를 들어, 시스템 모니터링 정책을 위반한 클라이언트 수가 '4'로 사전 결정된 경우, 도 6에 도시된 컴퓨팅 장치(100)의 프로세서(210)는 시스템 이상이 발생하지 않은 것으로 판단할 수 있다.In addition, the processor 210 may determine that a system abnormality has occurred when the number of clients violating the system monitoring policy among the plurality of clients connected to the computing device 100 is greater than or equal to a predetermined number. For example, when the number of clients violating the system monitoring policy is predetermined as '5', the processor 210 of the computing device 100 illustrated in FIG. 6 may determine that a system abnormality has occurred. For another example, when the number of clients violating the system monitoring policy is predetermined as '4', the processor 210 of the computing device 100 illustrated in FIG. 6 may determine that no system abnormality occurs.

즉, 프로세서(210)는 모니터링 정보와 시스템 모니터링 정책을 비교하여 각각의 클라이언트가 시스템 모니터링 정책을 위반하는지 여부를 판단할 수 있고, 그리고 상기 시스템 모니터링 정책을 위반하는 클라이언트가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다. 상기와 같은 프로세서(210)의 구성을 통해 컴퓨팅 장치(100)는 개별 클라이언트(110)에서 발생하는 시스템 이상만을 감지할 뿐 아니라, 개별 클라이언트(110)의 로컬 환경에서의 시스템 이상 또한 감지할 수 있다.That is, the processor 210 may compare the monitoring information and the system monitoring policy to determine whether each client violates the system monitoring policy, and when the number of clients violating the system monitoring policy is greater than or equal to a predetermined number, It can be judged that an abnormality has occurred. Through the configuration of the processor 210 as described above, the computing device 100 may not only detect system abnormalities occurring in the individual clients 110, but also detect system abnormalities in the local environment of the individual clients 110. .

또한, 시스템 모니터링 정책을 위반한 것으로 판단된 클라이언트(110)의 수에 대한 제한은 관리자에 의해 사전 결정될 수 있으므로, 감지하려는 시스템 이상의 종류에 따라 상기 제한을 상이하게 설정할 수 있다. 보다 구체적으로, 프로세서(210)를 통해 감지하려는 시스템 이상이 심각한 피해를 끼칠 것으로 예상되는 시스템 이상인 경우, 시스템 모니터링 정책을 위반한 클라이언트(110)의 수에 대한 제한을 최소화하고, 그리고 프로세서(210)를 통해 감지하여는 시스템 이상이 심각한 피해를 입히지 않는다고 예상되는 시스템 이상인 경우, 시스템 모니터링 정책을 위반한 클라이언트(110)의 수에 대한 제한을 보다 완화하여 사전 결정할 수 있다. 자세한 예를 들어, 랜섬웨어(Ransomware)와 같이 대응이 늦어지는 경우 네트워크 망 전체에 심각한 피해를 주는 시스템 이상인 경우, 하나의 클라이언트라도 시스템 모니터링 정책을 위반할 때, 프로세서(210)가 즉각적으로 시스템 이상이 발생했다고 판단하도록 시스템 이상을 판단하기 위한 모니터링 정책을 위반한 클라이언트의 수의 임계값을 작게 설정할 수 있다. 반면, 감지하려는 이상행위가 복수의 클라이언트들에게 심각한 피해를 입힐 것으로 예상되지 않는 경우, 판단 조건을 완화하여 20개의 클라이언트가 시스템 모니터링 정책을 위반할 때, 프로세서(210)가 시스템 이상이 발생했다고 판단하도록 설정할 수 있다. 따라서, 시스템 이상의 종류 별 개별적인 조건 설정이 가능할 수 있다.In addition, since the limit on the number of clients 110 determined to violate the system monitoring policy may be predetermined by the administrator, the limit may be set differently according to the type of system error to be detected. More specifically, if the system anomaly to be detected through the processor 210 is a system anomaly expected to cause serious damage, minimize the limit on the number of clients 110 that violate the system monitoring policy, and the processor 210 If the system abnormality is detected through the system abnormality is not expected to cause serious damage, it can be determined in advance by further relaxing the restriction on the number of clients 110 in violation of the system monitoring policy. For example, if the response is slow, such as ransomware, or the system is seriously damaging to the entire network, when even one client violates the system monitoring policy, the processor 210 immediately fails the system. The threshold of the number of clients violating the monitoring policy for determining a system abnormality can be set small so as to determine that it has occurred. On the other hand, if the anomaly to be detected is not expected to cause serious damage to a plurality of clients, the processor 210 may determine that a system abnormality has occurred when 20 clients violate the system monitoring policy by relaxing the judgment condition. Can be set. Therefore, individual condition setting for each type of system error may be possible.

본 개시의 일 실시예에 따르면, 프로세서(210)는 시스템 이상 발생 여부 판단에 기초하여 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정할 수 있다. 자세히 설명하면, 프로세서(210)는 발생된 시스템 이상의 종류에 기초하여 복수의 클라이언트들 중 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나의 그룹을 제어할 것을 결정할 수 있다. 예를 들어, 발생된 시스템 이상이 랜섬웨어인 경우, 프로세서(210)는 이상이 발생한 클라이언트 그룹을 제어할 것을 결정할 수 있다. 이 경우, 프로세서(210)는 랜섬웨어에 이미 감염된 클라이언트 그룹의 네트워크 연결을 차단할 수 있다. 프로세서(210)는 랜섬웨어에 감염된 클라이언트 그룹에서 랜섬웨어에 의한 파일 변경이 계속 발생되고 있는 경우, 해당 클라이언트 그룹의 인스턴스를 종료하고 재시작 함으로써, 랜섬웨어의 구동을 일차적으로 차단할 수 있다. 다른 예를 들어, 발생된 시스템 이상이 보안 결함에 의한 멀웨어 감염인 경우, 프로세서(210)는 이상이 발생하지 않은 클라이언트 그룹을 제어할 것을 결정할 수 있다. 전술한, 시스템 이상에 관한 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.According to an embodiment of the present disclosure, the processor 210 may determine to control some of the clients among the plurality of clients based on the determination of whether a system abnormality occurs. In detail, the processor 210 may determine to control at least one of a client group in which an abnormality occurs and a client group in which no abnormality occurs among the plurality of clients based on the type of the system abnormality that has occurred. For example, if the generated system abnormality is ransomware, the processor 210 may determine to control the client group in which the abnormality occurs. In this case, the processor 210 may block the network connection of the client group already infected with the ransomware. When the file change by the ransomware is continuously occurring in the client group infected with the ransomware, the processor 210 may first shut down the driving of the ransomware by terminating and restarting the instance of the corresponding client group. For another example, if the generated system anomaly is a malware infection due to a security flaw, the processor 210 may determine to control the client group in which the anomaly has not occurred. The foregoing description of the system anomaly is merely an example, and the present disclosure is not limited thereto.

본 개시의 일 실시예에 따르면, 프로세서(210)는 복수의 클라이언트들 중 일부의 클라이언트를 제어할 수 있다. 보다 구체적으로, 프로세서(210)는 복수의 클라이언트들 중 일부의 클라이언트에 대한 복수의 제어 동작을 수행할 수 있다. 상기 복수의 제어 동작은 장치 제어 동작, 파일 제어 동작, 프로세스 제어 동작 및 네트워크 제어 동작 중 적어도 하나의 동작을 포함할 수 있다. 이때, 장치 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트의 단말에 연결된 장치를 제어하는 동작으로, 예를 들어, USB연결 제어, 스마트폰 연결 제어, 블루투스 장치 제어, FDD 장치 제어, DVD 장치 제어, 적외선 제어, 프린터 제어 및 포트 제어 중 적어도 하나를 포함할 수 있다. 또한, 파일 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트 단말에서 실행되는 파일 및 디렉토리를 제어하는 동작으로, 예를 들어, 파일 및 디렉토리 임의 삭제 방지, 파일 및 디렉토리 강제 삭제 및 파일 접근 차단, 파일 수정 제한 및 파일의 중요도에 따른 격리 보관 중 적어도 하나를 포함할 수 있다. 또한, 프로세스 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트 단말에서 실행되는 서비스 및 프로세서를 제어하는 동작으로, 예를 들어, 프로세스 임의 종료 방지, 프로세스 강제 종료 및 프로세스 실행 제한 중 적어도 하나를 포함할 수 있다. 또한, 네트워크 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트의 단말에 대한 네트워크를 제어하는 동작으로, 예를 들어, 네트워크 연결 차단, 포트 오픈 제한, 블랙리스트 IP차단, 블랙리스트 도메인 차단, AP접속 차단 및 HTTP프로토콜 차단 등을 포함할 수 있다. 전술한 장치 제어 동작, 파일 제어 동작, 프로세스 제어 동작 및 네트워크 제어 동작은 예시일 뿐, 본 개시는 이에 제한되지 않는다.According to an embodiment of the present disclosure, the processor 210 may control a client of some of the plurality of clients. More specifically, the processor 210 may perform a plurality of control operations for some of the plurality of clients. The plurality of control operations may include at least one of a device control operation, a file control operation, a process control operation, and a network control operation. In this case, the device control operation is an operation of controlling the device connected to the terminal of the client connected to the computing device 100, for example, USB connection control, smartphone connection control, Bluetooth device control, FDD device control, DVD device control, It may include at least one of infrared control, printer control, and port control. In addition, the file control operation is an operation for controlling files and directories that are executed in the client terminal connected to the computing device 100, for example, to prevent random deletion of files and directories, forcibly deleting files and directories, and to block access to files, and to modify files. It may include at least one of quarantine according to the limitations and importance of the file. In addition, the process control operation is an operation of controlling a service and a processor that are executed in a client terminal connected to the computing device 100, and may include, for example, at least one of prevention of process random termination, process forced termination, and process execution restriction. have. In addition, the network control operation is an operation for controlling the network for the terminal of the client connected to the computing device 100, for example, network connection blocking, port open restriction, blacklist IP blocking, blacklist domain blocking, AP access blocking And HTTP protocol blocking. The above-described device control operation, file control operation, process control operation and network control operation are examples only, and the present disclosure is not limited thereto.

본 개시의 일 실시예에 따르면, 메모리(220)는 프로세서(210)에서 실행가능한 프로그램 코드, 모니터링 정보, 시스템 모니터링 정책, 클라이언트 제어에 대한 정보들을 저장할 수 있다. 예를 들어, 메모리(220)는 프로세서(210)가 복수의 클라이언트들로부터 수신한 모니터링 정보 및 프로세서(210)가 관리자의 입력에 기초하여 생성한 시스템 모니터링 정책에 대한 정보를 저장할 수 있다.According to an embodiment of the present disclosure, the memory 220 may store program code, monitoring information, system monitoring policy, and information about client control executable in the processor 210. For example, the memory 220 may store the monitoring information received by the processor 210 from the plurality of clients and the information about the system monitoring policy generated by the processor 210 based on an administrator's input.

본 개시의 일 실시예에 따르면, 메모리(220)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 메모리 등), 램(Random Access Memory, RAM), SRAM(Static Random Access Memory), 롬(Read-Only Memory, ROM), EEPROM(Electrically Erasable Programmable Read-Only Memory), PROM(Programmable Read-Only Memory), 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다. 컴퓨팅 장치(100)는 인터넷(internet) 상에서 상기 메모리(220)의 저장 기능을 수행하는 웹 스토리지(web storage)와 관련되어 동작할 수도 있다. 전술한 메모리에 대한 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.According to an embodiment of the present disclosure, the memory 220 may be a flash memory type, a hard disk type, a multimedia card micro type, a card type memory (eg For example, SD or XD memory), RAM (Random Access Memory, RAM), Static Random Access Memory (SRAM), Read-Only Memory (ROM), Electrically Erasable Programmable Read-Only Memory (EEPROM), Programmable Read -Only Memory), magnetic memory, magnetic disk, optical disk may include at least one type of storage medium. The computing device 100 may operate in connection with a web storage that performs a storage function of the memory 220 on the Internet. The description of the above-described memory is only an example, and the present disclosure is not limited thereto.

본 개시의 일 실시예에 따르면, 네트워크부(230)는 컴퓨팅 장치(100)로부터 정보를 전송할 수 있고, 그리고 수신할 수 있다. 보다 구체적으로, 네트워크부(230)는 네트워크 접속을 위한 유/무선 인터넷 모듈을 포함할 수 있다. 무선 인터넷 기술로는 WLAN(Wireless LAN)(Wi-Fi), Wibro(Wireless broadband), Wimax(World Interoperability for Microwave Access), HSDPA(High Speed Downlink Packet Access) 등이 이용될 수 있다. 유선 인터넷 기술로는 XDSL(Digital Subscriber Line), FTTH(Fibers to the home), PLC(Power Line Communication) 등이 이용될 수 있다.According to an embodiment of the present disclosure, the network unit 230 may transmit and receive information from the computing device 100. More specifically, the network unit 230 may include a wired / wireless internet module for network connection. Wireless Internet technologies may include Wireless LAN (Wi-Fi), Wireless Broadband (Wibro), World Interoperability for Microwave Access (Wimax), High Speed Downlink Packet Access (HSDPA), and the like. Wired Internet technologies may include Digital Subscriber Line (XDSL), Fibers to the home (FTTH), Power Line Communication (PLC), and the like.

또한, 네트워크부(230)는 근거리 통신 모듈을 포함하여, 사용자 단말과 비교적 근거리에 위치하고 근거리 통신 모듈을 포함한 전자 장치와 데이터를 송수신할 수 있다. 근거리 통신(short range communication) 기술로 블루투스(Bluetooth), RFID(Radio Frequency Identification), 적외선 통신(IrDA, infrared Data Association), UWB(Ultra Wideband), ZigBee 등이 이용될 수 있다.In addition, the network unit 230 may include a short range communication module to transmit and receive data to and from an electronic device including a short range communication module, which is located at a relatively short distance with the user terminal. As a short range communication technology, Bluetooth, Radio Frequency Identification (RFID), Infrared Data Association (IrDA), Ultra Wideband (UWB), ZigBee, and the like may be used.

도 3는 본 개시의 일 실시예와 관련된 컨테이너 기반 클라우드 서버의 형태로 구현된 서비스 서버에 대한 세부 구성도를 도시한다.3 illustrates a detailed configuration diagram of a service server implemented in the form of a container-based cloud server according to an embodiment of the present disclosure.

본 개시의 일 실시예에 따르면, 서비스 서버(10)는 도 3에 도시된 바와 같이, 컨테이너 기반 클라우드 서버(300)의 형태로 구현될 수 있다. 이하에서는 컴퓨팅 장치(100)가 컨테이너 기반 클라우드 서버(300)의 형태로 구현된 서비스 서버(10)를 통해 복수의 클라이언트 각각으로부터 시스템 이상 행위를 탐지하기 위해 모니터링 정보를 획득하고, 그리고 획득한 모니터링 정보에 기초하여 컨테이너 기반 클라우드 서버(300)의 복수의 클라이언트를 제어하는 구체적인 방법에 대하여 서술하도록 한다.According to an embodiment of the present disclosure, the service server 10 may be implemented in the form of a container-based cloud server 300, as shown in FIG. Hereinafter, the computing device 100 obtains monitoring information to detect system abnormal behavior from each of the plurality of clients through the service server 10 implemented in the form of a container-based cloud server 300, and obtains the monitoring information. A detailed method of controlling a plurality of clients of the container-based cloud server 300 will be described.

도 3에 도시된 바와 같이, 컨테이너 기반 클라우드 서버(300)는 상기 컨테이너 기반 클라우드 서버(300)를 구축하기 위한 하드웨어(310)를 포함할 수 있다. 이때, 하드웨어(310)는 클라우드 서버를 구축하는 모든 물리적 부품(장치)을 포함할 수 있으며, 입력, 연산, 제어, 기억 및 출력 중 적어도 하나의 기능을 구현할 수 있다. 예를 들어, 중앙처리장치(CPU), RAM(Random Access Memory), 그래픽카드, 하드 디스크 드라이브(HDD) 등을 포함할 수 있다. 컨테이너 기반 클라우드 서버(300)는 상기 하드웨어(310)에 구비된 호스트 OS(320)에서 복수의 컨테이너가 실행될 수 있도록 각 컨테이너(330)는 자신만의 격리된 공간을 갖도록 OS 환경 자체를 가상화할 수 있다. 따라서, 컨테이너 기반 클라우드 서버(300)의 각각의 컨테이너(330)는 호스트 OS를 통해 CPU, RAM, 파일 시스템, 스토리지 또는 네트워크 등의 자원을 할당 받아 어플리케이션을 독립적으로 실행시킬 수 있다.As shown in FIG. 3, the container-based cloud server 300 may include hardware 310 for building the container-based cloud server 300. In this case, the hardware 310 may include all physical components (devices) for building a cloud server, and may implement at least one function of input, operation, control, storage, and output. For example, it may include a central processing unit (CPU), a random access memory (RAM), a graphics card, a hard disk drive (HDD), and the like. The container-based cloud server 300 may virtualize the OS environment itself so that each container 330 has its own isolated space so that a plurality of containers can be executed in the host OS 320 provided in the hardware 310. have. Accordingly, each container 330 of the container-based cloud server 300 may independently allocate resources such as CPU, RAM, file system, storage, or network through a host OS to independently execute an application.

본 개시의 일 실시예에 따르면, 컨테이너 기반 클라우드 서버(300)는 복수의 클라이언트로부터 모니터링 정보를 획득할 수 있고, 그리고 상기 획득한 모니터링 정보를 컴퓨팅 장치(100)로 전송할 수 있다. 구체적으로, 컨테이너 기반 클라우드 서버(300)는 호스트 OS(320)에 설치된 에이전트(340)를 통해 복수의 클라이언트 각각에 대한 모니터링 정보를 수신할 수 있다. 이때, 모니터링 정보는 클라이언트의 리소스에 관련한 정보를 포함하는 리소스 정보 및 클라이언트의 동작에 관련한 정보를 포함하는 동작 정보를 포함할 수 있다. 모니터링 정보가 포함하는 상기 리소스 정보는 호스트 OS(320)에 연결된 복수의 클라이언트 각각이 어플리케이션을 구동하기 위해 사용하는 리소스의 변화량에 대한 정보일 수 있다. 예를 들어, 리소스 정보는 클라이언트가 어플리케이션을 동작시키는 경우, 변화하는 CPU, 메모리, 하드디스크, 네트워크의 사용률 및 사용시간 등에 관한 정보를 포함할 수 있다. 모니터링 정보가 포함하는 상기 동작 정보는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각이 수행하는 동작에 관한 정보일 수 있다. 구체적으로, 동작 정보는 각각의 클라이언트에서 실행되는 어플리케이션이 클라이언트의 설치 행위, 삭제 행위 및 제어 행위 중 적어도 하나에 기초하여 변화하는 정보를 포함할 수 있다. 자세한 예를 들어, 상기 어플리케이션에서 동작되는 장치, 파일, 프로세스, 네트워크 및 공유 디렉토리에 대한 해당 클라이언트(110)의 설치 행위, 삭제 행위, 변경 행위, 연결 행위, 해제 행위 및 접근 행위 중 적어도 하나의 행위에 의해 변화하는 정보를 포함할 수 있다. 전술한 리소스 정보 및 동작 정보에 관한 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.According to an embodiment of the present disclosure, the container-based cloud server 300 may obtain monitoring information from a plurality of clients, and transmit the obtained monitoring information to the computing device 100. In detail, the container-based cloud server 300 may receive monitoring information for each of the plurality of clients through the agent 340 installed in the host OS 320. In this case, the monitoring information may include resource information including information related to the resource of the client and operation information including information related to the operation of the client. The resource information included in the monitoring information may be information about a change amount of a resource used by each of a plurality of clients connected to the host OS 320 to drive an application. For example, the resource information may include information regarding a changing CPU, a memory, a hard disk, a network usage rate, and a usage time when the client runs an application. The operation information included in the monitoring information may be information about an operation performed by each of the plurality of clients connected to the computing device 100. In more detail, the operation information may include information in which an application executed in each client changes based on at least one of an installation action, a deletion action, and a control action of the client. For example, at least one of installation, deletion, change, connection, release, and access actions of the client 110 with respect to a device, a file, a process, a network, and a shared directory operated by the application. It can include information that changes by. Specific description of the above-described resource information and operation information is only an example, the present disclosure is not limited thereto.

본 개시의 구현의 일 예시에서, 컨테이너 기반 클라우드 서버(300)의 호스트 OS(320)는 예를 들어, 리눅스 일 수 있다. 이에 따라, 컨테이너 기반 클라우드 서버(300)에서는 리눅스 커널의 cgroups(Control groups)를 이용할 수 있다. 상기 cgroups는 컨테이너 기반 클라우드 서버(300)의 복수의 클라이언트에서 수행되는 프로세스들을 각각 그룹으로 묶어, 해당 그룹에 있는 프로세스의 시스템 리소스(CPU, memory, disk I/O network 등)사용량을 측정할 수 있도록 고립, 구분시키는 리눅스 커널이다. 본 개시의 구현의 일 예시에서 컨테이너 기반 클라우드 서버(300)는 cgroups를 통해 리소스 사용량을 모니터링하기 위하여 별도의 시스템 라이브러리의 호출이 아닌 cgroups 파일 시스템에 접근하여 파일을 읽음으로써 리소스 사용량에 대한 정보를 모니터링을 수행할 수 있다. 이하에서는, 리눅스 커널의 cgroups를 이용하여 리소스 정보를 모니터링하는 구체적인 방법을 서술하도록 한다.In one example of an implementation of the present disclosure, host OS 320 of container-based cloud server 300 may be, for example, Linux. Accordingly, the container-based cloud server 300 may use cgroups (control groups) of the Linux kernel. The cgroups group the processes performed by the plurality of clients of the container-based cloud server 300 into groups, so that the system resource (CPU, memory, disk I / O network, etc.) of the processes in the group can be measured. It is the Linux kernel that isolates and separates. In an example of an implementation of the present disclosure, the container-based cloud server 300 monitors information on resource usage by reading a file by accessing a cgroups file system rather than calling a separate system library to monitor resource usage through cgroups. Can be performed. The following describes a specific method of monitoring resource information using cgroups of the Linux kernel.

본 개시의 일 실시예에 따르면, 컨테이너 기반 클라우드 서버(300)는 리눅스 커널의 cgroups를 이용하여 특정 컨테이너의 memory 사용량을 모니터링할 수 있다. 특정 컨테이너의 memory 사용량을 모니터링하기 위한 명령어는 예를 들어, 다음과 같다.According to an embodiment of the present disclosure, the container-based cloud server 300 may monitor the memory usage of a specific container using cgroups of the Linux kernel. For example, the command to monitor the memory usage of a specific container is:

“/sys/fs/cgroup/memory/lxc/10b0fb69677ef5e42cd8dc817b452e179104145a0216 b6cb010c8ac0a9351208/memory.stat” “/ Sys / fs / cgroup / memory / lxc / 10b0fb69677ef5e42cd8dc817b452e179104145a0216 b6cb010c8ac0a9351208 / memory.stat”

이때, 상기 명령어가 포함하는 “10b0fb69677ef5e42cd8dc817b452e179104145a0216 b6cb010c8ac0a9351208”는 컨테이너의 고유 ID일 수 있다.In this case, “10b0fb69677ef5e42cd8dc817b452e179104145a0216 b6cb010c8ac0a9351208” included in the command may be a unique ID of the container.

상기와 같은 명령어의 입력을 통해 다음과 같은 결과값을 얻을 수 있다.Through the input of the above command, the following result can be obtained.

“total_cache 110592, total_rss 211771392”“Total_cache 110592, total_rss 211771392”

이때, 결과로 출력된 값 중 total_rss는 메모리 사용량을 의미할 수 있다. 구체적으로, 특정 컨테이너는 211771392Byte의 메모리 즉, 약 202MB의 메모리를 사용하고 있음을 컨테이너 기반 클라우드 서버(300)가 알 수 있다. 따라서, 컨테이너 기반 클라우드 서버(300)는 리눅스 커널의 cgroups 이용하여 복수의 컨테이너 중 각각의 클라이언트(프로세스 그룹)에 대한 리소스 모니터링을 수행할 수 있다. 전술한 메모리에 관한 구체적인 명령어는 예시일 뿐, 본 개시는 이에 제한되지 않는다.At this time, the total_rss among the output values may mean memory usage. In detail, the container-based cloud server 300 may recognize that a specific container uses 211771392 bytes of memory, that is, about 202 MB of memory. Accordingly, the container-based cloud server 300 may perform resource monitoring for each client (process group) among a plurality of containers by using cgroups of the Linux kernel. Specific instructions regarding the above-described memory are only examples, and the present disclosure is not limited thereto.

또한, 리눅스를 호스트 OS로 하는 컨테이너 기반 클라우드 서버(300)에서는 일반 사용자들에게 파일 시스템에 대한 이해없이 각 컨테이너에 대한 리소스 정보를 간편하고 쉽게 보여주기 위해 lxc-info 명령어를 제공할 수 있다. 구체적으로, lxc-info 명령어는 /sys/fs/cgroup에 위치하는 리소스 정보 파일 내용들을 직접 분석(parsing)하여 일반 유저들이 시스템 용어를 깊이 이해하고 있지 않아도 알아 볼 수 있게 정리하여 출력하는 역할을 할 수 있다. 예를 들어 “lxc-info -n webserver” 를 입력하면, “webserver”의 이름을 가진 컨테이너의 리소스 정보에 대한 모니터링을 수행하여 해당 컨테이너 상태(state), 프로세스 ID, ip 주소, CPU 사용량, memory 사용량 등을 출력으로 보여준다. 상술한 lxc-info 외에도 컨테이너 생성/제거 및 관리를 쉽게 수행할 수 있는 명령어들이 제공될 수 있다. 전술한 명령어의 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다. 또한, 리눅스를 호스트 OS로 하는 컨테이너 기반 클라우드 서버(300)에서는 리눅스 커널의 inotify를 이용하여 특정 디렉토리 내부의 파일 변화를 감지할 수 있다. 구체적으로, inotify를 통해 커널로부터 파일 시스템의 변경 사항에 대한 정보를 획득할 수 있으며, 파일의 수정, 삭제, 생성 등의 변경 정보 또한 획득할 수 있다. 따라서, 리눅스를 호스트 OS로 하는 컨테이너 기반 클라우드 서버(300)는 복수의 클라이언트 각각으로부터 시스템 이상 행위를 판단하기 위한 리소스 정보 및 동작 정보를 획득할 수 있다.In addition, the container-based cloud server 300 using Linux as a host OS can provide the lxc-info command to the general users to easily and easily show the resource information for each container without understanding the file system. Specifically, the lxc-info command directly parses the contents of resource information files located in / sys / fs / cgroup so that general users can read them without having to understand system terms. Can be. For example, if you enter “lxc-info -n webserver”, the resource information of the container named “webserver” is monitored to monitor the container state, process ID, ip address, CPU usage, and memory usage. And so on. In addition to the lxc-info described above, instructions for easily creating / removing and managing containers may be provided. The description of the above-described command is merely an example and the present disclosure is not limited thereto. In addition, the container-based cloud server 300 using Linux as a host OS may detect a file change in a specific directory using inotify of the Linux kernel. In detail, through inotify, information about file system changes can be obtained from the kernel, and change information such as file modification, deletion, and creation can be obtained. Accordingly, the container-based cloud server 300 using Linux as a host OS may obtain resource information and operation information for determining system abnormal behavior from each of the plurality of clients.

본 개시의 구현의 다른 예시에서, 컨테이너 기반 클라우드 서버(300)의 호스트 OS(320)는 윈도우일 수 있다. 윈도우를 호스트 OS(320)로 하는 컨테이너 기반 클라우드 서버(300)에서는 WMI(Window Management Instrument)를 통해 호스트 OS(320)에 연결된 복수의 클라이언트 각각에 대한 모니터링 정보를 획득할 수 있다. 상기 WMI는 윈도우 운영체제에서 리소스에 관리 정보를 획득할 수 있는 인프라일 수 있다. 이때, 획득할 수 있는 리소스 정보로는 OS, Bios, CPU, Memory, Disk 및 Window service 등을 포함할 수 있다. 즉, WMI 자체적으로 CPU 사용량을 기록하고 있기 때문에 윈도우 환경에서는 해당 클래스에 있는 사용량 멤버의 값을 주기적으로 확인하는 것으로 리소스 정보를 획득할 수 있다.In another example of an implementation of the present disclosure, the host OS 320 of the container-based cloud server 300 may be a window. The container-based cloud server 300 using the window as the host OS 320 may acquire monitoring information for each of the plurality of clients connected to the host OS 320 through a window management instrument (WMI). The WMI may be an infrastructure capable of obtaining management information on a resource in a Windows operating system. In this case, the acquired resource information may include an OS, a bios, a CPU, a memory, a disk, and a window service. That is, since WMI records CPU usage by itself, resource information can be obtained by periodically checking the value of the usage member of the corresponding class in the Windows environment.

또한, 윈도우를 호스트 OS(320)로 하는 컨테이너 기반 클라우드 서버(300)에서는 ReadDirectoryChange라는 API를 통해 특정 디렉토리 내부의 파일 변화를 감지할 수 있다. 이때, 특정 디렉토리 내부는 특정 클라이언트의 내부를 의미할 수 있다. ReadDirectoryChange API는 단순히 디렉토리 내부의 파일 변경에 대한 알림을 주는 것뿐만 아니라 어떤 파일이 어떻게 변경되었는지에 대한 정보를 제공할 수 있다. 따라서, 윈도우를 호스트 OS(320)로 하는 컨테이너 기반 클라우드 서버(300)는 복수의 클라이언트들 각각으로부터 시스템 이상 행위를 판단하기 위한 리소스 정보 및 동작 정보를 획득할 수 있다.In addition, in the container-based cloud server 300 using the host OS 320 as a window, a file change in a specific directory may be detected through an API called ReadDirectoryChange. In this case, the inside of the specific directory may mean the inside of a specific client. The ReadDirectoryChange API can provide not only notification of file changes within a directory, but also information about what files have changed and how. Accordingly, the container-based cloud server 300 using the window as the host OS 320 may obtain resource information and operation information for determining a system abnormal behavior from each of the plurality of clients.

본 개시의 일 실시예에 따르면, 컨테이너 기반 클라우드 서버(300)는 호스트 OS(320)로부터 복수의 클라이언트 각각에 대한 모니터링 정보를 획득할 수 있고, 그리고 상기 획득한 모니터링 정보를 컴퓨팅 장치(100)로 전송할 수 있다. 따라서, 상기 컴퓨팅 장치(100)는 컨테이너 기반 클라우드 서버(300)로부터 수신한 모니터링 정보에 기초하여 시스템 이상을 감지할 수 있다.According to an embodiment of the present disclosure, the container-based cloud server 300 may obtain monitoring information for each of the plurality of clients from the host OS 320, and transfer the obtained monitoring information to the computing device 100. Can transmit Therefore, the computing device 100 may detect a system abnormality based on the monitoring information received from the container-based cloud server 300.

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 컨테이너 기반 클라우드 서버(300)로부터 수신한 모니터링 정보와 기 설정된 시스템 모니터링 정책을 비교하여 클라이언트가 상기 시스템 모니터링 정책을 위반하는지 여부를 판단할 수 있다. 자세히 설명하면, 컴퓨팅 장치(100)는 관리자에 입력에 기초하여 시스템 모니터링 정책을 설정할 수 있으며, 상기 설정된 시스템 모니터링 정책과 컨테이너 기반 클라우드 서버(300)로부터 수신한 각각의 클라이언트에 대한 모니터링 정책을 비교하여 시스템 모니터링 정책을 위반하는 클라이언트를 판단할 수 있다.According to an embodiment of the present disclosure, the computing device 100 may compare the monitoring information received from the container-based cloud server 300 with a preset system monitoring policy to determine whether the client violates the system monitoring policy. have. In detail, the computing device 100 may set a system monitoring policy based on an input to an administrator, and compare the set system monitoring policy with a monitoring policy for each client received from the container-based cloud server 300. Clients that violate system monitoring policies can be determined.

또한, 컴퓨팅 장치(100)는 시스템 모니터링 정책을 위반하는 것으로 판단된 클라이언트가 사전 결정된 수 이상인 경우 시스템 이상이 발생했다고 판단할 수 있다. 예를 들어, 시스템 모니터링 정책을 위반한 클라이언트의 수가 '5'로 사전 결정되고, 그리고 실시간 시스템 모니터링 정책을 위반한 클라이언트의 수가 '6'인 경우, 컴퓨팅 장치(100)는 시스템 이상이 발생했다고 판단할 수 있다. 다른 예를 들어, 시스템 모니터링 정책을 위반한 클라이언트의 수가 '8'로 사전 결정되고, 그리고 실시간 시스템 모니터링 정책을 위반한 클라이언트의 수가 '6'인 경우, 컴퓨팅 장치(100)는 시스템 이상이 발생하지 않았다고 판단할 수 있다.In addition, the computing device 100 may determine that a system abnormality has occurred when there are more than a predetermined number of clients determined to violate the system monitoring policy. For example, when the number of clients violating the system monitoring policy is predetermined as '5', and the number of clients violating the real-time system monitoring policy is '6', the computing device 100 determines that a system abnormality has occurred. can do. In another example, when the number of clients violating the system monitoring policy is predetermined as '8', and the number of clients violating the real-time system monitoring policy is '6', the computing device 100 does not cause a system abnormality. You can judge that.

또한, 컴퓨팅 장치(100)는 컨테이너 기반 클라우드 서버(300)에 연결된 복수의 클라이언트들 중 일부의 클라이언트를 제어하는 정보를 상기 컨테이너 기반 클라우드 서버(300)로 전송할 수 있다. 즉, 컨테이너 기반 클라우드 서버(300)는 컴퓨팅 장치(100)의 제어 정보에 기초하여 상기 컨테이너 기반 클라우드 서버(300)에 연결된 복수의 클라이언트들 중 일부의 클라이언트를 제어할 수 있다.In addition, the computing device 100 may transmit information for controlling a client of some of the plurality of clients connected to the container-based cloud server 300 to the container-based cloud server 300. That is, the container-based cloud server 300 may control some of the clients connected to the container-based cloud server 300 based on the control information of the computing device 100.

본 개시의 일 실시예에 따르면, 리눅스를 호스트 OS로 하는 컨테이너 기반 클라우드 서버(300)는 상기 컨테이너 기반 클라우드 서버(300)에 연결된 복수의 클라이언트 중 일부의 클라이언트를 제어할 수 있다. 구체적으로, 리눅스 커널의 cgroups를 이용하여 CPU 및/또는 메모리 사용량의 제한은 호스트 OS(1020)에서 명령어를 통해 각각의 컨테이너에 전달될 수 있다. 예를 들어, 아래의 cgroups 명령어를 수행하면 “webserver”의 이름을 가진 컨테이너의 최대 메모리 사용량을 2MB로 제한 시킬 수 있다.According to an embodiment of the present disclosure, the container-based cloud server 300 using Linux as a host OS may control a client of a plurality of clients connected to the container-based cloud server 300. Specifically, the limitation of CPU and / or memory usage by using cgroups of the Linux kernel may be transferred to each container through a command in the host OS 1020. For example, the following cgroups command can limit the maximum memory usage of a container named “webserver” to 2MB.

“$echo 2000000 > /sys/fs/cgroups/memory/webserver/memory.kmem.limit_inbytes” 이때, 상기 명령어 중 '$echo 2000000' 명령어를 '$echo 3000000'으로 변경하는 경우, 최대 메모리 사용량을 3MB로 제한할 수 있다. 다른 예를 들어, 컨테이너 기반 클라우드 서버(300)는 iptables 애플리케이션을 이용하여 각각의 클라이언트의 네트워크를 제어할 수 있다. 상기 iptables는 리눅스 유저 프로그램 중 하나로, 리눅스 커널의 netfilter 프레임워크를 사용하여 네트워크에 대한 특정 규칙(rules)을 설치해 시스템의 네트워크를 제어하도록 할 수 있다. 즉 iptables는 프로토콜에 따른 패킷 내용(e.g., TCP port)과 같은 여러가지 기준에 따라서 패킷을 구분하여 원하는 다양한 행동을 취할 수 있고, 이에 따라 네트워크 패킷 필터 또는 방화벽의 역할을 수행할 수 있다. 실제 iptables 명령어(프로그램)는 예를 들어, 아래와 같은 형식을 가질 수 있다. “$ Echo 2000000> /sys/fs/cgroups/memory/webserver/memory.kmem.limit_inbytes” At this time, if the '$ echo 2000000' command is changed to '$ echo 3000000', the maximum memory usage is 3MB. You can limit it. For another example, the container-based cloud server 300 may control the network of each client using the iptables application. The iptables is one of the Linux user programs, which can use the Linux kernel's netfilter framework to install network specific rules to control the system's network. That is, iptables can classify packets according to various criteria such as packet contents (e.g., TCP port) according to a protocol and take various desired actions, thereby acting as a network packet filter or a firewall. The actual iptables command (program) can be of the form:

“$ iptables -I INPUT -s 198.51.100.0 -j DROP”“$ Iptables -I INPUT -s 198.51.100.0 -j DROP”

상기의 명령어의 예시는 198.51.100.0 의 ip 주소를 가진 호스트로부터 들어온 패킷을 모두 10으로 차단하는 규칙을 추가시키는 명령을 의미할 수 있다. 구체적으로, 각 옵션을 살펴보면, “-I INPUT” 에서는 이 명령어에 해당하는 규칙을 체인의 시작 부분에 추가함을 의미하고(제일 먼저 적용) “-s [ip 주소]”는 해당 ip 주소를 발신 주소(source address)를 가지는 패킷에게 대응시킨다는 의미이며 마지막으로 “-j DROP”은 해당 패킷을 수신할 시 필터링하여 삭제(drop)하라는 실질적 행동(action)을 나타낸다. 이 외에 명령어 옵션으로 특정 프로토콜에 해당하는 패킷만을 선택하는 “-p, --protocol”, 수신 주소(destination address)를 기준으로 하는 패킷을 선택하는 “-d, --destination”, 특정 네트워크 인터페이스만을 선택하여 대상으로 하게하는 “-i, --interface” 등이 존재한다. 본 개시에서는 포트 제어 구현을 위해서 기본적인 옵션 외에 특정 프로토콜에만 대응시킬 수 있는 특수 옵션을 사용하였다: “--destination-port”는 “-p” 옵션으로 TCP 또는 UDP 를 선택하였을 때 적용시킬 수 있는 옵션으로 특정 포트를 차단하는 역할을 수행하도록 도와준다. 이와 같이 iptables 명령어를 이용한 규칙 설정으로, 본 개시의 일 실시예의 클라우드 서버(1000)는 시스템의 자산 중 하나인 네트워크에 대한 제어를 수행할 수도 있다. 전술한 컨테이너 기반 클라우드 서버(300)의 네트워크 제어에 대한 기재는 예시일 뿐이며 본 개시는 이에 제한되지 않는다.An example of the above command may refer to a command for adding a rule that blocks all packets from a host with an ip address of 198.51.100.0 to 10. Specifically, looking at each option, “-I INPUT” means to add a rule for this command to the beginning of the chain (first apply) and “-s [ip address]” sends the corresponding ip address. "-J DROP" represents the actual action to filter and drop when receiving the packet. In addition, the command option “-p, --protocol” selects only packets for a specific protocol, “-d, --destination” selects packets based on a destination address, and only specific network interfaces. There are "-i, --interface" to choose and target. In this disclosure, in order to implement port control, a special option that can only correspond to a specific protocol is used in addition to the basic option: “--destination-port” is an option that can be applied when TCP or UDP is selected as the “-p” option. Help to block specific ports. As such, by setting rules using the iptables command, the cloud server 1000 according to an exemplary embodiment of the present disclosure may control a network, which is one of the assets of the system. The description of the network control of the container-based cloud server 300 described above is merely an example and the present disclosure is not limited thereto.

즉, 컨테이너 기반 클라우드 서버(300)는 리눅스 커널의 cgroups, iptables 애플리케이션 등을 이용하여 상기 컨테이너 기반 클라우드 서버(300)에 연결된 복수의 클라이언트들 중 일부의 클라이언트에 대하여 복수의 제어 동작을 수행할 수 있다. 이때, 상기 복수의 제어 동작은 장치 제어 동작, 파일 제어 동작, 프로세스 제어 동작 및 네트워크 제어 동작 중 적어도 하나의 동작을 포함할 수 있다. 장치 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트의 단말에 연결된 장치를 제어하는 동작으로, 예를 들어, USB연결 제어, 스마트폰 연결 제어, 블루투스 장치 제어, FDD 장치 제어, DVD 장치 제어, 적외선 제어, 프린터 제어 및 포트 제어 중 적어도 하나를 포함할 수 있다. 또한, 파일 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트 단말에서 실행되는 파일 및 디렉토리를 제어하는 동작으로, 예를 들어, 파일 및 디렉토리 임의 삭제 방지, 파일 및 디렉토리 강제 삭제 및 파일 접근 차단, 파일 수정 제한 및 파일의 중요도에 따른 격리 보관 중 적어도 하나를 포함할 수 있다. 또한, 프로세스 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트 단말에서 실행되는 서비스 및 프로세서를 제어하는 동작으로, 예를 들어, 프로세스 임의 종료 방지, 프로세스 강제 종료 및 프로세스 실행 제한 중 적어도 하나를 포함할 수 있다. 또한, 네트워크 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트의 단말에 대한 네트워크를 제어하는 동작으로, 예를 들어, 네트워크 연결 차단, 포트 오픈 제한, 블랙리스트 IP차단, 블랙리스트 도메인 차단, AP접속 차단 및 HTTP프로토콜 차단 등을 포함할 수 있다. 전술한 장치 제어 동작, 파일 제어 동작, 프로세스 제어 동작 및 네트워크 제어 동작은 예시일 뿐, 본 개시는 이에 제한되지 않는다. That is, the container-based cloud server 300 may perform a plurality of control operations on some of the clients of the plurality of clients connected to the container-based cloud server 300 using cgroups, iptables applications, etc. of the Linux kernel. . In this case, the plurality of control operations may include at least one of a device control operation, a file control operation, a process control operation, and a network control operation. The device control operation is an operation of controlling a device connected to a terminal of a client connected to the computing device 100, for example, USB connection control, smartphone connection control, Bluetooth device control, FDD device control, DVD device control, infrared control. , At least one of printer control and port control. In addition, the file control operation is an operation for controlling files and directories that are executed in the client terminal connected to the computing device 100, for example, to prevent random deletion of files and directories, forcibly deleting files and directories, and to block access to files, and to modify files. It may include at least one of quarantine according to the limitations and importance of the file. In addition, the process control operation is an operation of controlling a service and a processor that are executed in a client terminal connected to the computing device 100, and may include, for example, at least one of prevention of process random termination, process forced termination, and process execution restriction. have. In addition, the network control operation is an operation for controlling the network for the terminal of the client connected to the computing device 100, for example, network connection blocking, port open restriction, blacklist IP blocking, blacklist domain blocking, AP access blocking And HTTP protocol blocking. The above-described device control operation, file control operation, process control operation and network control operation are examples only, and the present disclosure is not limited thereto.

따라서, 컴퓨팅 장치(100)는 컨테이너 기반 클라우드 서버(300)를 통해 상기 컨테이너 기반 클라우드 서버(300)에 연결된 복수의 클라이언트로부터 모니터링 정보를 수신할 수 있으며, 상기 수신한 모니터링 정보와 기 설정된 시스템 모니터링 정책의 비교를 통해 상기 시스템 모니터링 정책을 위반하는 클라이언트를 판단하고, 그리고 상기 판단에 기초하여 복수의 클라이언트들 중 일부의 클라이언트를 제어할 수 있다.Accordingly, the computing device 100 may receive monitoring information from a plurality of clients connected to the container-based cloud server 300 through the container-based cloud server 300, and the received monitoring information and a preset system monitoring policy. The comparison of the control unit may determine a client violating the system monitoring policy, and control a client of some of the plurality of clients based on the determination.

도 4는 본 개시의 일 실시예와 관련된 가상머신 기반 클라우드 서버의 형태로 구현된 서비스 서버에 대한 세부 구성도를 도시한다. 도 4와 관련하여 도 2내지 도 3에서 상술한 바와 중복되는 내용은 다시 설명하지 않고, 이하 차이점을 중심으로 설명하도록 한다.4 is a detailed block diagram of a service server implemented in the form of a virtual machine-based cloud server related to an embodiment of the present disclosure. Descriptions overlapping with those described above with reference to FIGS. 2 to 3 will not be described again, but will be described based on differences.

본 개시의 다른 실시예에 따르면, 서비스 서버(10)는 도 4에 도시된 바와 같이, 가상머신 기반 클라우드 서버(400)의 형태로 구현될 수 있다. 이하에서는 컴퓨팅 장치(100)가 가상머신 기반 클라우드 서버(400)의 형태로 구현된 서비스 서버(10)를 통해 복수의 클라이언트 각각으로부터 시스템 이상 행위를 탐지하기 위해 모니터링 정보를 획득하고, 그리고 획득한 모니터링 정보에 기초하여 가상머신 기반 클라우드 서버(400)의 복수의 클라이언트를 제어하는 구체적인 방법에 대하여 서술하도록 한다.According to another embodiment of the present disclosure, the service server 10 may be implemented in the form of a virtual machine-based cloud server 400, as shown in FIG. Hereinafter, the computing device 100 obtains monitoring information to detect system abnormal behavior from each of the plurality of clients through the service server 10 implemented in the form of the virtual machine-based cloud server 400, and the obtained monitoring. A detailed method of controlling a plurality of clients of the virtual machine-based cloud server 400 will be described based on the information.

도 4에 도시된 바와 같이, 가상머신 기반 클라우드 서버(400)는 상기 가상머신 기반 클라우드 서버(400)를 구축하기 위한 하드웨어를 포함할 수 있다. 이때, 하드웨어(310)는 클라우드 서버를 구축하는 모든 물리적 부품(장치)을 포함할 수 있으며, 입력, 연산, 제어, 기억 및 출력 중 적어도 하나의 기능을 구현할 수 있다. 예를 들어, 중앙처리장치(CPU), RAM(Random Access Memory), 그래픽카드, 하드 디스크 드라이브(HDD) 등을 포함할 수 있다. 가상머신 기반 클라우드 서버(400)는 하이퍼바이저(hypervisor)(430)를 포함할 수 있으며, 상기 하이퍼바이저(430)는 물리적 자원(하드웨어)을 가상머신에 할당하고, 상기 할당된 가상머신에 별도의 게스트 OS를 설치하여 복수의 가상머신들이 각각의 운영체제가 구동될 수 있도록 독립된 가상환경을 제공할 수 있다.As shown in FIG. 4, the virtual machine-based cloud server 400 may include hardware for building the virtual machine-based cloud server 400. In this case, the hardware 310 may include all physical components (devices) for building a cloud server, and may implement at least one function of input, operation, control, storage, and output. For example, it may include a central processing unit (CPU), a random access memory (RAM), a graphics card, a hard disk drive (HDD), and the like. The virtual machine-based cloud server 400 may include a hypervisor 430, and the hypervisor 430 allocates a physical resource (hardware) to the virtual machine and separates the allocated virtual machine. By installing a guest OS, a plurality of virtual machines can provide an independent virtual environment for each operating system.

본 개시의 일 실시예에 따르면, 가상머신 기반 클라우드 서버(400)는 복수의 클라이언트로부터 모니터링 정보를 획득할 수 있고, 그리고 상기 획득한 모니터링 정보를 컴퓨팅 장치(100)로 전송할 수 있다. 구체적으로, 도 4에 도시된 바와 같이, 가상머신 기반 클라우드 서버(400)는 복수의 클라이언트 각각에 가상머신을 할당할 수 있다. 예를 들어, 클라이언트 1을 가상머신 1(440)로 할당할 수 있고, 그리고 클라이언트 2를 가상머신 2(450)에 할당할 수 있다. 가상머신 기반 클라우드 서버(400)의 경우 커널을 통해 호스트 운영체제를 공유하는 것이 아닌, 각각의 가상머신에 하드웨어(310)를 할당하므로, 각각의 클라이언트의 모니터링 정보를 획득하기 위해 각각이 가상머신에 에이전트가 설치될 수 있다. 예를 들어, 가상머신 1(440)의 운영체제인 게스트 OS 1에 에이전트 1(441)이 설치될 수 있으며, 가상머신 2(450)의 운영체제인 게스트 OS 2에 에이전트 2(452)가 설치될 수 있다. 즉, 가상머신 기반 클라우드 서버(400)는 가상머신 각각에 에이전트를 설치하여 개별 클라이언트로부터 모니터링 정보를 수신할 수 있다. 이하에서는, 가상머신 기반 클라우드 서버(400)가 각각의 클라이언트로부터 모니터링 정보를 수신하는 구체적인 방법을 서술한다.According to an embodiment of the present disclosure, the virtual machine-based cloud server 400 may obtain monitoring information from a plurality of clients, and transmit the obtained monitoring information to the computing device 100. Specifically, as shown in FIG. 4, the virtual machine-based cloud server 400 may allocate a virtual machine to each of the plurality of clients. For example, client 1 may be assigned to virtual machine 1 440 and client 2 may be assigned to virtual machine 2 450. Since the virtual machine-based cloud server 400 allocates hardware 310 to each virtual machine rather than sharing a host operating system through a kernel, each agent is assigned to a virtual machine to obtain monitoring information of each client. Can be installed. For example, agent 1 441 may be installed in guest OS 1, which is an operating system of virtual machine 1 440, and agent 2 452 may be installed in guest OS 2, which is an operating system of virtual machine 2 450. have. That is, the virtual machine-based cloud server 400 may install an agent in each virtual machine to receive monitoring information from an individual client. Hereinafter, a detailed method of the virtual machine-based cloud server 400 receives monitoring information from each client will be described.

본 개시의 구현의 일 예시에서, 가상머신 기반 클라우드 서버(400)의 게스트 OS는 예를 들어, 리눅스일 수 있다. 이에 따라, 리눅스를 게스트 OS로 하는 가상머신 기반 클라우드 서버(400)에서는 자체적으로 proc 파일 시스템을 이용하여 각각의 클라이언트로부터 모니터링 정보를 수신할 수 있다. 상기, proc 파일 시스템은, 유닉스 계열 운영체제에서 프로세스와 다른 시스템 정보를 계층적 파일 구조 형식으로 보여주는 파일 시스템으로, 커널이 가지고 있는 여러가지 데이터들을 시스템 관리자에게 용이하게 전달하기 위한 목적으로 만들어진 파일 시스템이다. 상기 proc 파일 시스템을 이용함으로써 본 개시에서는 리눅스 운영체제에서 보다 용이하게 각각의 클라이언트로부터 모니터링 정보를 수신할 수 있다. 즉, 모니터링 대상이 되는 각각의 클라이언트의 CPU, memory, disk I/O(storage), 네트워크 자원 사용량 등의 수집을 위해 별도의 라이브러리 호출이 아닌, proc 파일 시스템에 접근하여 내용을 읽는 방식으로 각각의 클라이언트에 대한 모니터링 정보를 수신할 수 있다. 보다 구체적으로 설명하면, 호스트 OS에서 하이퍼바이저(430)를 통해 게스트 OS에 모니터링 정보를 수신하는 요청을 보내고, 상기 요청을 받은 게스트 OS는 해당 운영체제의 proc 파일 시스템에 접근하여 각각의 클라이언트에 대한 모니터링 정보를 수신하여 상기 호스트 OS에 송신할 수 있다. 따라서, 가상머신 기반 클라우드 서버(400)는 proc 파일 시스템을 통해 복수의 클라이언트 각각에 대한 모니터링 정보를 획득할 수 있고, 그리고 상기 획득한 모니터링 정보를 컴퓨팅 장치(100)로 전송할 수 있다. 따라서, 상기 컴퓨팅 장치(100)는 가상머신 기반 클라우드 서버(400)로부터 수신한 모니터링 정보에 기초하여 시스템 이상을 감지할 수 있다. In one example of an implementation of the present disclosure, the guest OS of the virtual machine-based cloud server 400 may be, for example, Linux. Accordingly, the virtual machine-based cloud server 400 using Linux as a guest OS may receive monitoring information from each client by using a proc file system. The proc file system is a file system that shows a process and other system information in a hierarchical file structure in a Unix-based operating system. The proc file system is a file system that is designed to easily convey various data of the kernel to a system administrator. By using the proc file system, the present disclosure may more easily receive monitoring information from each client in the Linux operating system. In other words, to collect CPU, memory, disk I / O (storage), network resource usage, etc. of each client to be monitored, each program is accessed by reading the contents by accessing the proc file system, rather than calling a separate library. Monitoring information about the client can be received. More specifically, the host OS sends a request for receiving monitoring information to the guest OS through the hypervisor 430, and the guest OS receives the request to access the proc file system of the corresponding operating system to monitor each client. The information can be received and sent to the host OS. Accordingly, the virtual machine-based cloud server 400 may obtain monitoring information about each of the plurality of clients through the proc file system, and transmit the obtained monitoring information to the computing device 100. Therefore, the computing device 100 may detect a system abnormality based on the monitoring information received from the virtual machine-based cloud server 400.

도 5는 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 동작의 순서도이다. 5 is a flowchart of an operation for a processor of a computing device according to an embodiment of the present disclosure to detect a system abnormality from a plurality of clients and to control a causative service.

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 복수의 클라이언트에서의 시스템 이상을 감지하고, 그리고 상기 감지한 시스템 이상에 기초하여 복수의 클라이언트를 제어할 수 있다. 구체적으로, 컴퓨팅 장치(100)는 복수의 클라이언트에서 발생하는 시스템 이상 발생 여부를 판단할 수 있다. 이때, 시스템 이상 발생 여부 판단은 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들로부터 각각의 클라이언트(110)에 대한 모니터링 정보 및 시스템 모니터링 정책의 비교에 기초하여 판단될 수 있다. 자세히 설명하면, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들로부터 각각의 클라이언트(110)에 대한 모니터링 정보를 수신할 수 있다. 또한, 컴퓨팅 장치(100)는 관리자로부터 이상 행위에 대한 식별을 위해 시스템 모니터링 정책을 입력 받을 수 있다. 즉, 컴퓨팅 장치(100)는 복수의 클라이언트들로부터 수신한 모니터링 정보 및 관리자의 입력에 기초하여 설정된 시스템 모니터링 정책의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단할 수 있다. 또한, 컴퓨팅 장치(100)는 시스템 이상이 발생되었다고 판단한 경우, 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들 중 일부의 클라이언트에 복수의 제어 동작을 수행할 수 있다. According to an embodiment of the present disclosure, the computing device 100 may detect a system abnormality in a plurality of clients, and control the plurality of clients based on the detected system abnormality. In detail, the computing device 100 may determine whether a system abnormality occurring in the plurality of clients occurs. In this case, whether the system abnormality occurs may be determined based on a comparison of the monitoring information and the system monitoring policy for each client 110 from the plurality of clients connected to the computing device 100. In detail, the computing device 100 may receive monitoring information about each client 110 from a plurality of clients connected to the computing device 100. In addition, the computing device 100 may receive a system monitoring policy from the administrator to identify the abnormal behavior. That is, the computing device 100 may determine whether a system abnormality occurs based on a comparison result of a system monitoring policy set based on monitoring information received from a plurality of clients and an input of an administrator. In addition, when the computing device 100 determines that a system abnormality has occurred, the computing device 100 may perform a plurality of control operations on some of the clients connected to the computing device 100.

따라서, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들의 이상 행위를 감지할 수 있으며, 상기 이상 행위가 감지된 경우 복수의 클라이언트를 제어하는 동작을 수행하여 개별 클라이언트의 이상 행위가 컴퓨팅 장치(100)를 통해 네트워크 망으로 전이되는 것을 방지할 수 있고, 상기 이상 행위로 인해 발생할 수 있는 추가 위협을 방지할 수 있다. Therefore, the computing device 100 may detect abnormal behavior of a plurality of clients connected to the computing device 100, and when the abnormal behavior is detected, perform an operation of controlling the plurality of clients to perform abnormal behavior of individual clients. May be prevented from transitioning to the network through the computing device 100, and further threats that may occur due to the abnormal behavior may be prevented.

본 개시의 일 실시예에 따른 컴퓨팅 장치(100)는 각 클라이언트로부터의 모니터링 정보를 종합하여 개별 클라이언트 별로는 이상 동작이 아닌 동작이라도, 복수의 클라이언트에서 동시다발적으로 모니터링 정보에 변화가 발생하는 경우, 시스템이상으로 판단함으로써, 랜섬웨어 등 네트워크를 통해 전파될 수 있는 시스템 이상을 감지하고 제어 동작을 취할 수 있다.Computing device 100 according to an embodiment of the present disclosure aggregates the monitoring information from each client, even if the operation is not an abnormal operation for each individual client, when a plurality of clients at the same time a change occurs in the monitoring information, By determining that the system is abnormal, it is possible to detect a system abnormality that can be propagated through the network, such as ransomware, and take control action.

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신할 수 있다(510).According to one embodiment of the present disclosure, monitoring information for each client may be received from a plurality of clients of the computing device 100 (510).

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트들로부터 각각의 모니터링 정보를 수신할 수 있다. 이때, 모니터링 정보는 리소스 정보 및 동작 정보를 포함할 수 있다. 모니터링 정보가 포함하는 상기 리소스 정보는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각이 어플리케이션을 구동하기 위해 사용하는 리소스의 변화량에 대한 정보일 수 있다. 예를 들어, 리소스 정보는 클라이언트(110)가 어플리케이션을 동작시키는 경우, 변화하는 CPU, 메모리, 하드디스크, 네트워크의 사용률 및 사용시간 등에 관한 정보를 포함할 수 있다. 모니터링 정보가 포함하는 상기 동작 정보는 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각이 수행하는 동작에 관한 정보일 수 있다. 구체적으로, 동작 정보는 각각의 클라이언트에서 실행되는 어플리케이션이 클라이언트(110)의 설치 행위, 삭제 행위 및 제어 행위 중 적어도 하나에 기초하여 변화하는 정보를 포함할 수 있다. 자세한 예를 들어, 상기 어플리케이션에서 동작되는 장치, 파일, 프로세스, 네트워크 및 공유 디렉토리에 대한 해당 클라이언트(110)의 설치 행위, 삭제 행위, 변경 행위, 연결 행위, 해제 행위 및 접근 행위 중 적어도 하나의 행위에 의해 변화하는 정보를 포함할 수 있다. 전술한 리소스 정보 및 동작 정보에 관한 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.According to an embodiment of the present disclosure, the computing device 100 may receive respective monitoring information from a plurality of clients connected to the computing device 100. In this case, the monitoring information may include resource information and operation information. The resource information included in the monitoring information may be information about a change amount of resources used by each of a plurality of clients connected to the computing device 100 to drive an application. For example, the resource information may include information about a changing CPU, a memory, a hard disk, a network usage rate, and a usage time when the client 110 runs an application. The operation information included in the monitoring information may be information about an operation performed by each of the plurality of clients connected to the computing device 100. In more detail, the operation information may include information that an application executed in each client changes based on at least one of an installation action, a deletion action, and a control action of the client 110. For example, at least one of installation, deletion, change, connection, release, and access actions of the client 110 with respect to a device, a file, a process, a network, and a shared directory operated by the application. It can include information that changes by. Specific description of the above-described resource information and operation information is only an example, the present disclosure is not limited thereto.

본 개시의 다른 실시예에 따르면, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각의 모니터링 정보들을 데이터베이스를 통하여 수신할 수도 있다. 데이터베이스는 컴퓨팅 장치와 별도의 디바이스일 수도 있다. 또한, 데이터베이스는 컴퓨팅 장치의 모니터링 인스턴스와 상이한 인스턴스일 수도 있다. 예를 들어, 상기 데이터베이스는 티맥스 데이터의 Tibero일 수 있다. 자세히 설명하면, 컴퓨팅 장치(100)는 복수의 클라이언트들로부터 수신한 정보에 기초하여 각각의 클라이언트에 대한 시스템 이상을 판단할 수 있다. 이에 따라, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)에 연결된 모든 클라이언트로부터 모니터링 정보를 수신해야 하므로, 보다 큰 부하량을 야기할 수 있다. 따라서, 컴퓨팅 장치(100)는 데이터베이스와 연동하여 복수의 클라이언트 각각의 모니터링 정보들을 수신할 수 있다. 보다 구체적으로, 클라이언트에서 전송한 모니터링 정보는 데이터베이스에 저장되고, 그리고 컴퓨팅 장치(100)는 필요한 정보를 상기 모니터링 정보가 저장된 데이터베이스에 요청하여 수신할 수 있다. 컴퓨팅 장치(100)는 데이터베이스를 통해 적은 부하량으로 복수의 클라이언트의 모니터링 정보를 수신하여 개별 클라이언트의 이상 행위를 감지할 수 있다.According to another embodiment of the present disclosure, the computing device 100 may receive monitoring information of each of a plurality of clients connected to the computing device 100 through a database. The database may be a device separate from the computing device. In addition, the database may be an instance different from the monitoring instance of the computing device. For example, the database may be Tibero of Tmax data. In detail, the computing device 100 may determine a system abnormality for each client based on information received from the plurality of clients. Accordingly, since the computing device 100 must receive monitoring information from all clients connected to the computing device 100, the computing device 100 may cause a greater load. Accordingly, the computing device 100 may receive monitoring information of each of the plurality of clients in cooperation with a database. More specifically, the monitoring information transmitted from the client is stored in a database, and the computing device 100 may request and receive necessary information from the database in which the monitoring information is stored. The computing device 100 may detect abnormal behavior of individual clients by receiving monitoring information of a plurality of clients with a small load through a database.

또한, 컴퓨팅 장치(100)는 관리자의 입력에 기초하여 시스템 모니터링 정책을 설정할 수 있다. 이때, 시스템 모니터링 정책은 클라이언트의 리소스와 관련된 리소스 정책 및 클라이언트에 동작과 관련된 동작 정책을 포함할 수 있다. 상기 리소스 정책은, 클라이언트의 리소스 사용량 또는 잔여량이 기 설정된 기간동안 사전 결정된 임계값 이상 변동되는지 여부와 관련된 정책을 포함할 수 있다. 보다 구체적으로, 리소스 정책은 컴퓨팅 장치(100)에 연결된 복수의 클라이언트 각각의 사전 결정된 시간에 동안 리소스 변화량에 대한 정책일 수 있다. 예를 들어, 리소스 정책은 10초간 클라이언트의 리소스 사용량이 50% 이상 변화하는 경우 이상으로 판단하는 정책일 수 있다. 또한, 예를 들어, 리소스 정책은 클라이언트의 리소스 사용량이 임계치를 넘는 경우 이상으로 판단하는 정책일 수 있다. 상기 동작 정책은, 클라이언트(110)의 저장 공간에 대한 동작에 관한 정책을 포함하며, 기 설정된 기간동안 사전 결정된 동작이 사전 결정된 횟수 이상 발생하는지 여부와 관련된 정책을 포함할 수 있다. 보다 구체적으로, 동작 정책은 컴퓨팅 장치(100)의 복수의 클라이언트 각각에 대하여 사전 결정된 시간 내에 관리자가 규정한 동작이 발생하는 횟수를 초과하는지에 대한 정책일 수 있다. 예를 들어, 동작 정책은 5초동안 복수의 클라이언트 각각에서 10번의 파일 변경 동작이 발생하는 경우, 정책 위반으로 판단하기 위한 정책일 수 있다. 다른 예를 들어, 동작 정책은 3초동안 복수의 클라이언트 각각에서 15번의 파일 변경 동작을 기준으로 하여 설정될 수도 있다. 상술한 리소스 정책 및 동작 정책에 대한 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.In addition, the computing device 100 may set a system monitoring policy based on an input of an administrator. In this case, the system monitoring policy may include a resource policy related to a resource of the client and an operation policy related to an operation on the client. The resource policy may include a policy related to whether the resource usage or the remaining amount of the client is changed by more than a predetermined threshold for a predetermined period. More specifically, the resource policy may be a policy for the amount of resource change during a predetermined time of each of the plurality of clients connected to the computing device 100. For example, the resource policy may be a policy determined as abnormal when the resource usage of the client changes by 50% or more for 10 seconds. Also, for example, the resource policy may be a policy that determines that the resource usage of the client exceeds the threshold. The operation policy may include a policy regarding an operation of a storage space of the client 110 and may include a policy related to whether a predetermined operation occurs more than a predetermined number of times during a predetermined period. More specifically, the operation policy may be a policy regarding whether the number of times an administrator-defined operation occurs within a predetermined time for each of a plurality of clients of the computing device 100. For example, the operation policy may be a policy for determining a policy violation when 10 file change operations occur in each of the plurality of clients for 5 seconds. As another example, an operation policy may be set based on fifteen file change operations on each of a plurality of clients for three seconds. The description of the above-described resource policy and operation policy is only an example, the present disclosure is not limited thereto.

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 각각의 클라이언트에 대한 모니터링 정보 각각을 시스템 모니터링 정책과 비교할 수 있다(520).According to one embodiment of the present disclosure, computing device 100 may compare each of the monitoring information for each client with a system monitoring policy (520).

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 각각의 클라이언트에 대한 모니터링 정보를 시스템 모니터링 정책과 비교할 수 있다. 보다 구체적으로, 컴퓨팅 장치(100)는 각각의 클라이언트에 대한 모니터링 정보의 상기 리소스 정보의 변화량과 상기 시스템 모니터링 정책의 리소스 정책의 사전 결정된 임계 변화량을 비교할 수 있다. 예를 들어, 컴퓨팅 장치(100)에 각각의 클라이언트에서 10분동안 CPU의 사용량이 70% 초과하는지 여부에 대한 리소스 정책이 설정된 경우, 각각의 클라이언트들로부터 기 설정된 10분 동안 CPU 사용량에 대한 정보를 수신하여, CPU의 사용량이 70%를 초과하는지 비교할 수 있다. 전술한 리소스 정책에 관한 구체적인 수치는 예시일 뿐, 본 개시는 이에 제한되지 않는다.According to one embodiment of the present disclosure, computing device 100 may compare monitoring information for each client with a system monitoring policy. More specifically, the computing device 100 may compare the change amount of the resource information of the monitoring information for each client with the predetermined threshold change amount of the resource policy of the system monitoring policy. For example, if the resource policy is set on the computing device 100 whether CPU usage exceeds 70% for 10 minutes at each client, information about CPU usage for 10 minutes is set from each client. Can be compared to see if the usage of the CPU exceeds 70%. Specific figures relating to the above-described resource policy is only an example, the present disclosure is not limited thereto.

또한, 컴퓨팅 장치(100)는 각각의 클라이언트에 대한 모니터링 정보의 동작 정보와 시스템 모니터링 정책의 동작 정책과 비교할 수 있다. 자세히 설명하면, 컴퓨팅 장치(100)에 설정된 동작 정책에 기초하여 각각의 클라이언트에서 수신한 모니터링 정보를 비교할 수 있다. 예를 들어, 컴퓨팅 장치(100)에 각각의 클라이언트에서 5초동안 특정 파일 변경이 30회를 초과하는지 여부에 대한 동작 정책이 설정된 경우, 각각의 클라이언트들로부터 기 설정된 5초동안 파일 변경에 대한 정보를 수신하여, 파일 변경이 30회를 초과하는 지 비교할 수 있다. 전술한 동작 정책에 관한 구체적인 수치는 예시일 뿐, 본 개시는 이에 제한되지 않는다. 즉, 컴퓨팅 장치(100)는 리소스 정보와 리소스 정책 및 동작 정보와 동작 정책을 각각 비교할 수 있다.In addition, the computing device 100 may compare the operation information of the monitoring information for each client with the operation policy of the system monitoring policy. In detail, the monitoring information received from each client may be compared based on an operation policy set in the computing device 100. For example, if an operation policy is set on the computing device 100 for whether a particular file change exceeds 30 times in 5 seconds at each client, the information about the file change for 5 seconds preset from each client is set. Can be compared to see if more than 30 file changes are made. Specific numerical values related to the above-described operation policy are only examples, and the present disclosure is not limited thereto. That is, the computing device 100 may compare the resource information and the resource policy and the operation information and the operation policy, respectively.

본 개시의 일 실시예에 따르면, 컴퓨팅 장치는 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단할 수 있다(530).According to an embodiment of the present disclosure, the computing device may determine whether a system abnormality occurs based on a result of the comparison with the system monitoring policy (530).

컴퓨팅 장치(100)는 복수의 클라이언트들 중 시스템 모니터링 정책을 위반한 클라이언트가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다. 자세히 설명하면, 컴퓨팅 장치(100)는 각각의 클라이언트에 대한 모니터링 정보 및 시스템 모니터링 정책의 비교 결과에 기초하여 시스템 모니터링 정책을 위반한 클라이언트를 판단할 수 있다. 이때, 모니터링 정보는 리소스 정보 및 동작 정보를 포함하며, 시스템 모니터링 정책은 리소스 정책 및 동작 정책을 포함할 수 있다. 다시 말해, 컴퓨팅 장치(100)는 리소스 정보와 리소스 정책 및 동작 정보와 동작 정책 각각을 비교하여 리소스 정보 및 동작 정보가 상기 리소스 정책 및 상기 동작 정책을 위반하는지 여부를 판단할 수 있다. 예를 들어, 클라이언트의 CPU 사용량이 70% 이상인 경우, 해당 클라이언트만 이러한 모니터링 정보(CPU 사용량 70% 이상)을 가지는 경우에는 해당 클라이언트가 많은 리소스가 필요한 작업을 수행하는 경우일 수 있다(즉, 정상 동작). 그러나, 여러 클라이언트의 CPU 사용량이 동시다발적으로 증가하는 경우, 컴퓨팅 장치(100)는 여러 클라이언트의 CPU 사용량이 동시다발적으로 증가하는 모니터링 정보에 기초하여 시스템 이상이 발생한 것으로 판단할 수 있다.The computing device 100 may determine that a system abnormality has occurred when there are more than a predetermined number of clients in violation of the system monitoring policy among the plurality of clients. In detail, the computing device 100 may determine a client that violates the system monitoring policy based on a result of comparing the monitoring information and the system monitoring policy for each client. In this case, the monitoring information may include resource information and operation information, and the system monitoring policy may include resource policy and operation policy. In other words, the computing device 100 may determine whether the resource information and the operation information violate the resource policy and the operation policy by comparing the resource information with the resource policy and the operation information and the operation policy, respectively. For example, if the client has more than 70% CPU, if only that client has this monitoring information (more than 70% CPU usage), the client may be performing a task that requires a lot of resources (that is, normal). action). However, when CPU usage of several clients increases simultaneously, the computing device 100 may determine that a system abnormality occurs based on monitoring information in which CPU usage of several clients increases simultaneously.

또한, 컴퓨팅 장치(100)는 각각의 클라이언트의 리소스 정보를 리소스 정책과 비교하여 상기 리소스 정책에 위반하는 클라이언트를 판단할 수 있다. 구체적으로, 컴퓨팅 장치(100)는 리소스 변화량이 리소스 정책의 사전 결정된 임계 변화량 이상인 경우, 클라이언트가 리소스 정책을 위반한 것으로 판단할 수 있다. 예를 들어, 컴퓨팅 장치(100)가 관리자의 입력에 기초하여 CPU사용량을 60%으로 제한하는 리소스 정책을 사전 설정했을 때, 실시간으로 모니터링한 각각의 클라이언트 CPU사용량이 60%이상인 경우, 프로세서(210)는 CPU의 사용량이 60%이상인 클라이언트가 리소스 정책을 위반한 것으로 판단할 수 있다. 전술한 리소스 정보 및 리소스 정책의 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.In addition, the computing device 100 may determine the client that violates the resource policy by comparing the resource information of each client with the resource policy. In detail, the computing device 100 may determine that the client violates the resource policy when the amount of resource change is equal to or greater than a predetermined threshold change amount of the resource policy. For example, when the computing device 100 presets a resource policy that limits the CPU usage to 60% based on the input of the administrator, when the client CPU usage monitored in real time is 60% or more, the processor 210 ) May determine that a client with 60% or more CPU usage violates the resource policy. The detailed description of the aforementioned resource information and resource policy is only an example, and the present disclosure is not limited thereto.

또한, 컴퓨팅 장치(100)는 각각의 클라이언트의 동작 정보를 동작 정책과 비교하여 상기 동작 정책을 위반하는 클라이언트를 판단할 수 있다. 구체적으로, 컴퓨팅 장치(100)는 각각의 클라이언트의 동작 정보가 기 설정된 동작 정책에 위반하는 정보를 포함하는 경우, 클라이언트가 동작 정책을 위반한 것으로 판단할 수 있다. 예를 들어, 컴퓨팅 장치(100)를 통해 사전 설정된 동작 정책이 3초동안 파일 삭제가 20회 수행되는 동작에 기초하여 설정된 경우, 특정 클라이언트의 동작 정보에서 해당 3초동안 파일 삭제가 26회 수행되는 경우, 컴퓨팅 장치(100)는 상기 특정 클라이언트가 동작 정책을 위반한 것으로 판단할 수 있다. 전술한 동작 정보 및 동작 정책의 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.In addition, the computing device 100 may determine the client that violates the operation policy by comparing the operation information of each client with the operation policy. In detail, the computing device 100 may determine that the client violates the operation policy when the operation information of each client includes information that violates the preset operation policy. For example, when the preset operation policy is set based on an operation in which file deletion is performed 20 times for 3 seconds through the computing device 100, file deletion is performed 26 times for the corresponding 3 seconds in the operation information of a specific client. In this case, the computing device 100 may determine that the specific client violates the operation policy. The detailed description of the above-described operation information and operation policy is only an example, and the present disclosure is not limited thereto.

또한, 컴퓨팅 장치(100)는 시스템 모니터링 정책을 위반하는 클라이언트가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다.In addition, when the number of clients violating the system monitoring policy is greater than or equal to a predetermined number, the computing device 100 may determine that a system abnormality has occurred.

도 6을 참조하면, 참조번호 610영역에 도시된 바와 같이, 컴퓨팅 장치(100)에는 10개의 클라이언트가 연결되었음을 확인할 수 있다. 또한, 10개의 클라이언트 각각에 대한 CPU사용량에 대한 정보(참조번호 620), 파일 확장자 변경 개수에 대한 정보(참조번호 630) 및 이상 감지에 따른 알림 정보(참조번호 640)가 표시될 수 있다. 예를 들어, 클라이언트 1 즉, C1의 CPU사용량 및 파일 확장자 변경 개수는 C1에 대한 모니터링 정보에 기초하여 각각 50%, 18개로 표시될 수 있다. 즉, 프로세서(210)는 C1이 기 설정된 시스템 모니터링 정책(CPU사용량 70%이상, 파일 확장자 변경 개수 20개 이상)을 위반하지 않은 것으로 판단할 수 있다. 따라서, 이상 감지를 나타내는 알림 정보에 “OFF”로 표시될 수 있다. 다른 예를 들어, C2의 CPU사용량 및 파일 확장 변경 개수는 C2에 대한 모니터링 정보에 기초하여 각각 76%, 25 로 표시될 수 있다. 즉, 프로세서(210)는 C2가 기 설정된 시스템 모니터링 정책(CPU사용량 70%이상, 파일 확장자 변경 개수 20개 이상)을 위반한 것으로 판단하여 이상 감지를 나타내는 알림 정보에 “ON”으로 표시될 수 있다. 다른 예를 들어, C3의 경우, CPU의 사용량은 70%로 기 설정된 정책의 CPU사용량(70%) 이상이지만, 파일 확장자 변경 개수가 15개로 기 설정된 정책(파일 확장자 변경 개수 15)미만이므로, 컴퓨팅 장치(100)는 C3이 기 설정된 시스템 모니터링 정책을 위반하지 않은 것으로 판단할 수 있고, 그리고 알림 정보에 “OFF”를 표시할 수 있다. 전술한 시스템 모니터링 정책 위반 여부를 판단하는 과정을 통해, 컴퓨팅 장치(100)는 복수의 클라이언트(예를 들어, 10개)각각에 대한 시스템 모니터링 정책 위반 여부를 판단할 수 있다.Referring to FIG. 6, as shown in area 610, it may be confirmed that 10 clients are connected to the computing device 100. In addition, information on CPU usage for each of the ten clients (reference number 620), information on the number of file extension changes (reference number 630), and notification information according to an abnormality detection (reference number 640) may be displayed. For example, the CPU usage and the number of file extension changes of the client 1, that is, C1 may be displayed as 50% and 18, respectively, based on the monitoring information about C1. That is, the processor 210 may determine that C1 does not violate a preset system monitoring policy (70% or more of CPU usage, 20 or more file extension changes). Therefore, it may be displayed as "OFF" in the notification information indicating the abnormal detection. As another example, the CPU usage and file extension change number of C2 may be displayed as 76% and 25, respectively, based on the monitoring information about C2. That is, the processor 210 may determine that C2 violates a preset system monitoring policy (70% or more of CPU usage, 20 or more file extension changes), and may be displayed as “ON” in notification information indicating an abnormality detection. . As another example, in the case of C3, the CPU usage is 70% or more, but the CPU usage of the preset policy is 70% or more, but the number of file extension changes is less than 15 preset policies (number of file extension changes). The device 100 may determine that C3 does not violate a preset system monitoring policy, and may display “OFF” in the notification information. Through the process of determining whether the system monitoring policy is violated, the computing device 100 may determine whether the system monitoring policy is violated for each of a plurality of clients (eg, 10).

또한, 컴퓨팅 장치(100)는 복수의 클라이언트들 중 시스템 모니터링 정책을 위반한 클라이언트가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다. 예를 들어, 시스템 이상이 발생한 것으로 판단하기 위한 모니터링 정책을 위반한 클라이언트에 관한 수가 '5'로 사전 결정된 경우, 도 6의 예시에서 컴퓨팅 장치(100)는 시스템 이상이 발생한 것으로 판단할 수 있다. 다른 예를 들어, 시스템 이상이 발생한 것으로 판단하기 위한 모니터링 정책을 위반한 클라이언트에 관한 수가 '6'로 사전 결정된 경우, 도 6의 예시에서 컴퓨팅 장치(100)는 시스템 이상이 발생하지 않은 것으로 판단할 수 있다.In addition, the computing device 100 may determine that a system abnormality has occurred when the number of clients in violation of the system monitoring policy among the plurality of clients is greater than or equal to a predetermined number. For example, when the number of clients violating the monitoring policy for determining that a system abnormality has occurred is determined as '5', the computing device 100 may determine that a system abnormality has occurred in the example of FIG. 6. For another example, if the number of clients violating the monitoring policy for determining that a system abnormality has occurred is predetermined as '6', in the example of FIG. 6, the computing device 100 may determine that no system abnormality occurs. Can be.

즉, 컴퓨팅 장치(100)는 모니터링 정보와 시스템 모니터링 정책을 비교하여 각각의 클라이언트가 시스템 모니터링 정책을 위반하는지 여부를 판단할 수 있고, 그리고 상기 시스템 모니터링 정책을 위반하는 클라이언트가 사전 결정된 수 이상인 경우, 시스템 이상이 발생한 것으로 판단할 수 있다. That is, the computing device 100 may compare the monitoring information and the system monitoring policy to determine whether each client violates the system monitoring policy, and when the number of clients violating the system monitoring policy is greater than or equal to a predetermined number, It may be determined that a system error has occurred.

따라서, 컴퓨팅 장치(100)는 개별 클라이언트(110)에서 발생하는 시스템 이상만을 감지할 뿐 아니라, 개별 클라이언트(110)의 로컬 환경에서의 시스템 이상 또한 감지할 수 있다.Accordingly, the computing device 100 may not only detect system abnormalities occurring in the individual clients 110, but also detect system abnormalities in the local environment of the individual clients 110.

또한, 시스템 모니터링 정책을 위반한 것으로 판단된 클라이언트(110)의 수에 대한 제한은 관리자에 의해 사전 결정될 수 있으므로, 감지하려는 시스템 이상의 종류에 따라 상기 제한을 상이하게 설정할 수 있다. 보다 구체적으로, 컴퓨팅 장치(100)를 통해 감지하려는 시스템 이상이 심각한 피해를 끼칠 것으로 예상되는 시스템 이상인 경우, 시스템 모니터링 정책을 위반한 클라이언트(110)의 수에 대한 제한을 최소화하고, 그리고 컴퓨팅 장치(100)를 통해 감지하여는 시스템 이상이 심각한 피해를 입히지 않는다고 예상되는 시스템 이상인 경우, 시스템 모니터링 정책을 위반한 클라이언트(110)의 수에 대한 제한을 보다 완화하여 사전 결정할 수 있다. 자세한 예를 들어, 랜섬웨어(Ransomware)와 같이 대응이 늦어지는 경우 네트워크 망 전체에 심각한 피해를 주는 시스템 이상인 경우, 하나의 클라이언트라도 시스템 모니터링 정책을 위반할 때, 컴퓨팅 장치(100)가 즉각적으로 시스템 이상이 발생했다고 판단하도록 시스템 이상을 판단하기 위한 모니터링 정책을 위반한 클라이언트의 수의 임계값을 작게 설정할 수 있다. 반면, 감지하려는 이상행위가 복수의 클라이언트들에게 심각한 피해를 입힐 것으로 예상되지 않는 경우, 판단 조건을 완화하여 20개의 클라이언트가 시스템 모니터링 정책을 위반할 때, 컴퓨팅 장치(100)가 시스템 이상이 발생했다고 판단하도록 설정할 수 있다. 따라서, 시스템 이상의 종류 별 개별적인 조건 설정이 가능할 수 있다.In addition, since the limit on the number of clients 110 determined to violate the system monitoring policy may be predetermined by the administrator, the limit may be set differently according to the type of system error to be detected. More specifically, if the system anomaly to be detected through the computing device 100 is a system anomaly expected to cause serious damage, minimize the limit on the number of clients 110 in violation of the system monitoring policy, and If the system abnormality is detected through the system 100, and the system abnormality is not expected to cause serious damage, the predetermined limit may be further relaxed by mitigating the restriction on the number of the clients 110 in violation of the system monitoring policy. For example, if the response is slow, such as ransomware, or the system is seriously damaging the entire network, when one client violates the system monitoring policy, the computing device 100 immediately fails the system. The threshold value of the number of clients which violated the monitoring policy for judging a system abnormality can be set so that it judges that this has occurred. On the other hand, if the anomaly to be detected is not expected to cause serious damage to a plurality of clients, the computing device 100 determines that a system abnormality has occurred when the judgment condition is relaxed and 20 clients violate the system monitoring policy. Can be set to Therefore, individual condition setting for each type of system error may be possible.

본 개시의 일 실시예에 따르면, 컴퓨팅 장치는 시스템 이상 발생 여부 판단에 기초하여 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정할 수 있다(540).According to one embodiment of the present disclosure, the computing device may determine to control a client of some of the plurality of clients based on the determination of whether a system abnormality has occurred (540).

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 발생된 시스템 이상의 종류에 기초하여 복수의 클라이언트들 중 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나의 그룹을 제어할 것을 결정할 수 있다. 예를 들어, 발생된 시스템 이상이 랜섬웨어인 경우, 컴퓨팅 장치(100)는 이상이 발생한 클라이언트 그룹을 제어할 것을 결정할 수 있다. 이 경우, 컴퓨팅 장치(100)는 랜섬웨어에 이미 감염된 클라이언트 그룹의 네트워크 연결을 차단할 수 있다. 컴퓨팅 장치(100)는 랜섬웨어에 감염된 클라이언트 그룹에서 랜섬웨어에 의한 파일 변경이 계속 발생되고 있는 경우, 해당 클라이언트 그룹의 인스턴스를 종료하고 재시작 함으로써, 랜섬웨어의 구동을 일차적으로 차단할 수 있다. 다른 예를 들어, 발생된 시스템 이상이 보안 결함에 의한 멀웨어 감염인 경우, 컴퓨팅 장치(100)는 이상이 발생하지 않은 클라이언트 그룹을 제어할 것을 결정할 수 있다. 전술한 시스템 이상에 관한 구체적인 기재는 예시일 뿐, 본 개시는 이에 제한되지 않는다.According to an embodiment of the present disclosure, the computing device 100 may control at least one of a client group in which an abnormality occurs and a client group in which no abnormality occurs among the plurality of clients based on the type of system abnormality that has occurred. You can decide. For example, when the generated system abnormality is ransomware, the computing device 100 may determine to control the client group in which the abnormality occurs. In this case, the computing device 100 may block the network connection of the client group already infected with ransomware. If the file change by the ransomware is continuously occurring in the client group infected with the ransomware, the computing device 100 may block the driving of the ransomware by terminating and restarting the instance of the corresponding client group. For another example, if the system anomaly occurred is a malware infection due to a security flaw, the computing device 100 may determine to control a group of clients for which the anomaly has not occurred. Specific description of the above system anomaly is merely an example, the present disclosure is not limited thereto.

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 복수의 클라이언트들 중 일부의 클라이언트를 제어할 수 있다. 보다 구체적으로, 컴퓨팅 장치(100)는 복수의 클라이언트들 중 일부의 클라이언트에 대한 복수의 제어 동작을 수행할 수 있다. 상기 복수의 제어 동작은 장치 제어 동작, 파일 제어 동작, 프로세스 제어 동작 및 네트워크 제어 동작 중 적어도 하나의 동작을 포함할 수 있다. 이때, 장치 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트의 단말에 연결된 장치를 제어하는 동작으로, 예를 들어, USB연결 제어, 스마트폰 연결 제어, 블루투스 장치 제어, FDD 장치 제어, DVD 장치 제어, 적외선 제어, 프린터 제어 및 포트 제어 중 적어도 하나를 포함할 수 있다. 또한, 파일 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트 단말에서 실행되는 파일 및 디렉토리를 제어하는 동작으로, 예를 들어, 파일 및 디렉토리 임의 삭제 방지, 파일 및 디렉토리 강제 삭제 및 파일 접근 차단, 파일 수정 제한 및 파일의 중요도에 따른 격리 보관 중 적어도 하나를 포함할 수 있다. 또한, 프로세스 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트 단말에서 실행되는 서비스 및 프로세서를 제어하는 동작으로, 예를 들어, 프로세스 임의 종료 방지, 프로세스 강제 종료 및 프로세스 실행 제한 중 적어도 하나를 포함할 수 있다. 또한, 네트워크 제어 동작은 컴퓨팅 장치(100)에 연결된 클라이언트의 단말에 대한 네트워크를 제어하는 동작으로, 예를 들어, 네트워크 연결 차단, 포트 오픈 제한, 블랙리스트 IP차단, 블랙리스트 도메인 차단, AP접속 차단 및 HTTP프로토콜 차단 등을 포함할 수 있다. 전술한 장치 제어 동작, 파일 제어 동작, 프로세스 제어 동작 및 네트워크 제어 동작은 예시일 뿐, 본 개시는 이에 제한되지 않는다.According to an embodiment of the present disclosure, the computing device 100 may control a client of some of the plurality of clients. More specifically, the computing device 100 may perform a plurality of control operations for some of the plurality of clients. The plurality of control operations may include at least one of a device control operation, a file control operation, a process control operation, and a network control operation. In this case, the device control operation is an operation of controlling the device connected to the terminal of the client connected to the computing device 100, for example, USB connection control, smartphone connection control, Bluetooth device control, FDD device control, DVD device control, It may include at least one of infrared control, printer control, and port control. In addition, the file control operation is an operation for controlling files and directories that are executed in the client terminal connected to the computing device 100, for example, to prevent random deletion of files and directories, forcibly deleting files and directories, and to block access to files, and to modify files. It may include at least one of quarantine according to the limitations and importance of the file. In addition, the process control operation is an operation of controlling a service and a processor that are executed in a client terminal connected to the computing device 100, and may include, for example, at least one of prevention of process random termination, process forced termination, and process execution restriction. have. In addition, the network control operation is an operation for controlling the network for the terminal of the client connected to the computing device 100, for example, network connection blocking, port open restriction, blacklist IP blocking, blacklist domain blocking, AP access blocking And HTTP protocol blocking. The above-described device control operation, file control operation, process control operation and network control operation are examples only, and the present disclosure is not limited thereto.

도 7은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 수단을 도시한 도면이다.FIG. 7 illustrates a means for a processor of a computing device in accordance with one embodiment of the present disclosure to detect a system anomaly from a plurality of clients and to control a causative service.

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 시스템 이상을 감지하기 위해서 상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하기 위한 수단(710), 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하기 위한 수단(720), 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하기 위한 수단(730) 및 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하기 위한 수단(740)을 포함할 수 있다.According to one embodiment of the present disclosure, computing device 100 includes means 710 for receiving monitoring information for each client from a plurality of clients of the computing device to detect a system anomaly; Means 720 for comparing each of the monitoring information with a system monitoring policy, means for determining whether a system abnormality occurs based on a result of the comparison with the system monitoring policy, and based on the system abnormality determination Means 740 for determining to control a client of some of the plurality of clients.

대안적으로, 상기 모니터링 정보는, 상기 클라이언트의 리소스에 관련한 정보를 포함하는 리소스 정보 및 상기 클라이언트의 동작에 관련한 정보를 포함하는 동작 정보 중 적어도 하나를 포함할 수 있다.Alternatively, the monitoring information may include at least one of resource information including information related to the resource of the client and operation information including information related to the operation of the client.

대안적으로, 상기 시스템 모니터링 정책은, 상기 클라이언트의 리소스와 관련된 리소스 정책 및 상기 클라이언트에 동작과 관련된 동작 정책 중 적어도 하나를 포함할 수 있다.Alternatively, the system monitoring policy may include at least one of a resource policy associated with a resource of the client and an operation policy associated with an operation on the client.

대안적으로, 상기 리소스 정책은, 상기 클라이언트의 리소스 사용량 또는 잔여량이 사전결정된 제 1 시간 기간 동안 사전결정된 임계 값 이상 변동되는지 여부와 관련된 정책을 포함하고, 상기 동작 정책은, 상기 클라이언트의 저장 공간에 대한 동작에 관한 정책을 포함하며, 사전결정된 제 2 시간 기간 동안 사전결정된 동작이 사전결정된 횟수 이상 발생하는지 여부와 관련된 정책을 포함할 수 있다.Alternatively, the resource policy includes a policy relating to whether the resource usage or remaining amount of the client varies over a predetermined threshold for a first predetermined time period, wherein the action policy is stored in the storage space of the client. And a policy relating to whether or not the predetermined operation occurs more than a predetermined number of times during the predetermined second time period.

대안적으로, 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하는 수단은, 상기 시스템 모니터링 정책을 위반한 클라이언트가 사전결정된 수 이상인 경우, 상기 시스템 이상이 발생한 것으로 판단하는 수단을 포함할 수 있다.Alternatively, the means for determining whether a system abnormality occurs based on a result of comparison with the system monitoring policy includes means for determining that the system abnormality has occurred when the number of clients violating the system monitoring policy is greater than or equal to a predetermined number. It may include.

대안적으로, 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 수단은, 상기 각각의 클라이언트에 대한 모니터링 정보의 상기 리소스 정보의 변화량과 상기 시스템 모니터링 정책의 리소스 정책의 사전결정된 임계 변화량을 비교하는 수단 및 상기 리소스 정보의 변화량이 상기 리소스 정책의 사전결정된 임계 변화량 이상인 경우, 상기 클라이언트가 상기 시스템 모니터링 정책을 위반한 것으로 판단하는 수단을 포함할 수 있다.Alternatively, means for comparing each of the monitoring information for each client with a system monitoring policy further comprises: a change in the resource information of the monitoring information for each client and a predetermined threshold change in the resource policy of the system monitoring policy. Means for comparing and means for determining that the client violates the system monitoring policy when the amount of change in the resource information is equal to or greater than a predetermined threshold amount of change in the resource policy.

대안적으로, 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하는 수단은, 상기 각각의 클라이언트에 대한 모니터링 정보의 상기 동작 정보와 상기 시스템 모니터링 정책의 동작 정책과 비교하는 동작 및 상기 동작 정보가 상기 동작 정책에 위반되는 정보를 포함하는 경우, 상기 클라이언트가 상기 동작 정책을 위반한 것으로 판단하는 수단을 포함할 수 있다.Alternatively, the means for comparing each of the monitoring information for each client with a system monitoring policy further comprises: comparing the operation information of the monitoring information for each client with an operation policy of the system monitoring policy and the operation. If the information includes information that violates the operating policy, it may include means for determining that the client violates the operating policy.

대안적으로, 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하는 수단은, 발생된 시스템 이상의 종류에 기초하여 상기 복수의 클라이언트들 중 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나 그룹을 제어할 것을 결정하는 수단을 포함할 수 있다. Alternatively, the means for determining to control a client of some of the plurality of clients based on the determination of whether or not the system abnormality has occurred is a client group in which the abnormality among the plurality of clients has occurred based on the type of system abnormality that has occurred. And means for determining to control at least one group of client groups in which no abnormality has occurred.

대안적으로, 상기 발생된 시스템 이상의 종류에 기초하여 상기 복수의 클라이언트들 중 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나 그룹을 제어할 것을 결정하는 수단은, 발생된 시스템 이상의 종류가 이상이 발생한 클라이언트 자체에만 영향을 미치는 이상인 경우, 상기 이상이 발생한 클라이언트 그룹을 제어할 것을 결정하는 수단 및 상기 발생된 시스템 이상의 종류가 다른 클라이언트에 영향을 미치는 이상인 경우, 상기 이상이 발생한 클라이언트 그룹 및 이상이 발생하지 않은 클라이언트 그룹 중 적어도 하나의 그룹을 제어할 것을 결정하는 수단을 포함할 수 있다. Alternatively, the means for determining to control at least one of a client group in which an abnormality occurs and a client group in which an abnormality does not occur based on the type of the system abnormality that has occurred may include a type of the system abnormality that has occurred. Means for determining to control the client group in which the abnormality occurs, and when the type of the system abnormality occurred is an abnormality affecting other clients, the client group in which the abnormality occurs and And means for determining to control at least one group of client groups in which no abnormality has occurred.

대안적으로, 상기 클라이언트에 대한 제어는, 상기 복수의 클라이언트들 중 일부의 클라이언트에 대한 장치 제어, 파일 제어, 프로세스 제어 및 네트워크 제어 중 적어도 하나를 포함할 수 있다. Alternatively, the control for the client may include at least one of device control, file control, process control, and network control for some of the plurality of clients.

도 8은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 모듈을 도시한 도면이다.8 is a diagram illustrating a module for a processor of a computing device according to an embodiment of the present disclosure to detect a system abnormality from a plurality of clients and to control a cause service.

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 시스템 이상을 감지하기 위해서 상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하기 위한 모듈(810), 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하기 위한 모듈(820), 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하기 위한 모듈(830) 및 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하기 위한 모듈(840)을 포함할 수 있다.According to an embodiment of the present disclosure, the computing device 100 may include a module 810 for receiving monitoring information for each client from a plurality of clients of the computing device, in order to detect a system abnormality. A module 820 for comparing each monitoring information with a system monitoring policy, a module 830 for determining whether a system abnormality occurs based on a result of the comparison with the system monitoring policy, and based on the system abnormality determination Module 840 for determining to control a client of some of the plurality of clients.

도 9은 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 로직을 도시한 도면이다.FIG. 9 illustrates logic for a processor of a computing device according to an embodiment of the present disclosure to detect a system anomaly from a plurality of clients and to control a causative service.

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 시스템 이상을 감지하기 위해서 상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하기 위한 로직(910), 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하기 위한 로직(920), 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하기 위한 로직(930) 및 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하기 위한 로직(940)을 포함할 수 있다.According to an embodiment of the present disclosure, the computing device 100 may include logic 910 for receiving monitoring information for each client from each of the plurality of clients of the computing device, in order to detect a system abnormality. Logic 920 for comparing each monitoring information with a system monitoring policy, logic 930 for determining whether a system abnormality occurs based on a result of the comparison with the system monitoring policy, and determining whether the system abnormality has occurred Logic 940 for determining to control a client of some of the plurality of clients.

도 10는 본 개시의 일 실시예와 관련된 컴퓨팅 장치의 프로세서가 복수의 클라이언트들로부터 시스템 이상을 감지하고 원인이 되는 서비스를 제어하기 위한 회로를 도시한 도면이다.FIG. 10 illustrates circuitry for a processor of a computing device in accordance with one embodiment of the present disclosure to detect a system anomaly from a plurality of clients and to control a causative service.

본 개시의 일 실시예에 따르면, 컴퓨팅 장치(100)는 시스템 이상을 감지하기 위해서 상기 컴퓨팅 장치의 복수의 클라이언트들로부터 각각의 클라이언트에 대한 모니터링 정보를 수신하기 위한 회로(1010), 각각의 클라이언트에 대한 상기 모니터링 정보 각각을 시스템 모니터링 정책과 비교하기 위한 회로(1020), 상기 시스템 모니터링 정책과의 비교 결과에 기초하여 시스템 이상 발생 여부를 판단하기 위한 회로(1030) 및 상기 시스템 이상 발생 여부 판단에 기초하여 상기 복수의 클라이언트들 중 일부의 클라이언트를 제어할 것을 결정하기 위한 회로(1040)를 포함할 수 있다.According to an embodiment of the present disclosure, the computing device 100 may include a circuit 1010 for receiving monitoring information for each client from each of the plurality of clients of the computing device, in order to detect a system abnormality. A circuit 1020 for comparing each of the monitoring information with a system monitoring policy, a circuit 1030 for determining whether a system abnormality occurs based on a comparison result with the system monitoring policy, and based on the system abnormality determination Circuitry for determining to control a client of some of the plurality of clients.

당업자들은 추가적으로 여기서 개시된 실시예들과 관련되어 설명된 다양한 예시적 논리적 블록들, 구성들, 모듈들, 회로들, 수단들, 로직들 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 양쪽 모두의 조합들로 구현될 수 있음을 인식해야 한다. 하드웨어 및 소프트웨어의 상호교환성을 명백하게 예시하기 위해, 다양한 예시적 컴포넌트들, 블록들, 구성들, 수단들, 로직들, 모듈들, 회로들, 및 단계들은 그들의 기능성 측면에서 일반적으로 위에서 설명되었다. 그러한 기능성이 하드웨어로 또는 소프트웨어로서 구현되는지 여부는 전반적인 시스템에 부과된 특정 어플리케이션(application) 및 설계 제한들에 달려 있다. 숙련된 기술자들은 각각의 특정 어플리케이션들을 위해 다양한 방법들로 설명된 기능성을 구현할 수 있으나, 그러한 구현의 결정들이 본 개시내용의 영역을 벗어나게 하는 것으로 해석되어서는 안된다.Those skilled in the art will further appreciate that the various illustrative logical blocks, configurations, modules, circuits, means, logics and algorithm steps described in connection with the embodiments disclosed herein may be electronic hardware, computer software, or combinations of both. It should be recognized that this may be implemented. To clearly illustrate the interchangeability of hardware and software, various illustrative components, blocks, configurations, means, logics, modules, circuits, and steps have been described above generally in terms of their functionality. Whether such functionality is implemented in hardware or as software depends on the particular application and design constraints imposed on the overall system. Skilled artisans may implement the described functionality in varying ways for each particular application, but such implementation decisions should not be interpreted as causing a departure from the scope of the present disclosure.

도 11은 본 개시의 일 실시예들이 구현될 수 있는 예시적인 컴퓨팅 환경에 대한 간략하고 일반적인 개략도를 도시한다.11 shows a brief general schematic of an exemplary computing environment in which embodiments of the present disclosure may be implemented.

본 발명이 일반적으로 하나 이상의 컴퓨터 상에서 실행될 수 있는 컴퓨터 실행가능 명령어와 관련하여 전술되었지만, 당업자라면 본 발명이 기타 프로그램 모듈들과 결합되어 및/또는 하드웨어와 소프트웨어의 조합으로서 구현될 수 있다는 것을 잘 알 것이다.Although the invention has been described above generally with respect to computer executable instructions that may be executed on one or more computers, those skilled in the art will appreciate that the invention may be implemented in combination with other program modules and / or as a combination of hardware and software. will be.

일반적으로, 본 명세서에서의 모듈은 특정의 태스크를 수행하거나 특정의 추상 데이터 유형을 구현하는 루틴, 프로시져, 프로그램, 컴포넌트, 데이터 구조, 기타 등등을 포함한다. 또한, 당업자라면 본 발명의 방법이 단일-프로세서 또는 멀티프로세서 컴퓨터 시스템, 미니컴퓨터, 메인프레임 컴퓨터는 물론 퍼스널 컴퓨터, 핸드헬드 컴퓨팅 장치, 마이크로프로세서-기반 또는 프로그램가능 가전 제품, 기타 등등(이들 각각은 하나 이상의 연관된 장치와 연결되어 동작할 수 있음)을 비롯한 다른 컴퓨터 시스템 구성으로 실시될 수 있다는 것을 잘 알 것이다.In general, modules herein include routines, procedures, programs, components, data structures, etc. that perform particular tasks or implement particular abstract data types. In addition, those skilled in the art will appreciate that the methods of the present invention may be used in uniprocessor or multiprocessor computer systems, minicomputers, mainframe computers, as well as personal computers, handheld computing devices, microprocessor-based or programmable consumer electronics, And other computer system configurations, including one or more associated devices, which may operate in conjunction with one or more associated devices.

본 발명의 설명된 실시예들은 또한 어떤 태스크들이 통신 네트워크를 통해 연결되어 있는 원격 처리 장치들에 의해 수행되는 분산 컴퓨팅 환경에서 실시될 수 있다. 분산 컴퓨팅 환경에서, 프로그램 모듈은 로컬 및 원격 메모리 저장 장치 둘다에 위치할 수 있다.The described embodiments of the invention can also be practiced in distributed computing environments where certain tasks are performed by remote processing devices that are linked through a communications network. In a distributed computing environment, program modules may be located in both local and remote memory storage devices.

컴퓨터는 통상적으로 다양한 컴퓨터 판독가능 매체를 포함한다. 컴퓨터에 의해 액세스 가능한 매체는 그 어떤 것이든지 컴퓨터 판독가능 매체가 될 수 있고, 이러한 컴퓨터 판독가능 매체는 휘발성 및 비휘발성 매체, 일시적(transitory) 및 비일시적(non-transitory) 매체, 이동식 및 비-이동식 매체를 포함한다. 제한이 아닌 예로서, 컴퓨터 판독가능 매체는 컴퓨터 판독가능 저장 매체 및 컴퓨터 판독가능 전송 매체를 포함할 수 있다. Computers typically include a variety of computer readable media. Any medium that can be accessed by a computer can be a computer readable medium, which can be volatile and nonvolatile media, transitory and non-transitory media, removable and non-transitory media. Removable media. By way of example, and not limitation, computer readable media may comprise computer readable storage media and computer readable transmission media.

컴퓨터 판독가능 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보를 저장하는 임의의 방법 또는 기술로 구현되는 휘발성 및 비휘발성 매체, 일시적 및 비-일시적 매체, 이동식 및 비이동식 매체를 포함한다. 컴퓨터 판독가능 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 기타 메모리 기술, CD-ROM, DVD(digital video disk) 또는 기타 광 디스크 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장 장치 또는 기타 자기 저장 장치, 또는 컴퓨터에 의해 액세스될 수 있고 원하는 정보를 저장하는 데 사용될 수 있는 임의의 기타 매체를 포함하지만, 이에 한정되지 않는다.Computer-readable storage media are volatile and nonvolatile media, temporary and non-transitory media, removable and non-removable implemented in any method or technology for storing information such as computer readable instructions, data structures, program modules or other data. Media. Computer-readable storage media include RAM, ROM, EEPROM, flash memory or other memory technology, CD-ROM, digital video disk or other optical disk storage device, magnetic cassette, magnetic tape, magnetic disk storage device or other magnetic storage. It includes, but is not limited to, a device or any other medium that can be accessed by a computer and used to store desired information.

컴퓨터 판독가능 전송 매체는 통상적으로 반송파(carrier wave) 또는 기타 전송 메커니즘(transport mechanism)과 같은 피변조 데이터 신호(modulated data signal)에 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터등을 구현하고 모든 정보 전달 매체를 포함한다. 피변조 데이터 신호라는 용어는 신호 내에 정보를 인코딩하도록 그 신호의 특성들 중 하나 이상을 설정 또는 변경시킨 신호를 의미한다. 제한이 아닌 예로서, 컴퓨터 판독가능 전송 매체는 유선 네트워크 또는 직접 배선 접속(direct-wired connection)과 같은 유선 매체, 그리고 음향, RF, 적외선, 기타 무선 매체와 같은 무선 매체를 포함한다. 상술된 매체들 중 임의의 것의 조합도 역시 컴퓨터 판독가능 전송 매체의 범위 안에 포함되는 것으로 한다.Computer-readable transmission media typically embody computer readable instructions, data structures, program modules or other data in a modulated data signal, such as a carrier wave or other transport mechanism, and the like. Includes all information delivery media. The term modulated data signal means a signal that has one or more of its characteristics set or changed to encode information in the signal. By way of example, and not limitation, computer readable transmission media includes wired media such as a wired network or direct-wired connection, and wireless media such as acoustic, RF, infrared, or other wireless media. Combinations of any of the above should also be included within the scope of computer readable transmission media.

컴퓨터(1102)를 포함하는 본 발명의 여러가지 측면들을 구현하는 예시적인 환경(1100)이 나타내어져 있으며, 컴퓨터(1102)는 처리 장치(1104), 시스템 메모리(1106) 및 시스템 버스(1108)를 포함한다. 시스템 버스(1108)는 시스템 메모리(1106)(이에 한정되지 않음)를 비롯한 시스템 컴포넌트들을 처리 장치(1104)에 연결시킨다. 처리 장치(1104)는 다양한 상용 프로세서들 중 임의의 프로세서일 수 있다. 듀얼 프로세서 및 기타 멀티프로세서 아키텍처도 역시 처리 장치(1104)로서 이용될 수 있다.An exemplary environment 1100 is illustrated that implements various aspects of the present invention, including a computer 1102, which includes a processing unit 1104, a system memory 1106, and a system bus 1108. do. System bus 1108 connects system components, including but not limited to system memory 1106, to processing unit 1104. Processing unit 1104 may be any of a variety of commercial processors. Dual processor and other multiprocessor architectures may also be used as the processing unit 1104.

시스템 버스(1108)는 메모리 버스, 주변장치 버스, 및 다양한 상용 버스 아키텍처 중 임의의 것을 사용하는 로컬 버스에 추가적으로 상호 연결될 수 있는 몇가지 유형의 버스 구조 중 임의의 것일 수 있다. 시스템 메모리(1106)는 판독 전용 메모리(ROM)(1110) 및 랜덤 액세스 메모리(RAM)(1112)를 포함한다. 기본 입/출력 시스템(BIOS)은 ROM, EPROM, EEPROM 등의 비휘발성 메모리(1110)에 저장되며, 이 BIOS는 시동 중과 같은 때에 컴퓨터(1102) 내의 구성요소들 간에 정보를 전송하는 일을 돕는 기본적인 루틴을 포함한다. RAM(1112)은 또한 데이터를 캐싱하기 위한 정적 RAM 등의 고속 RAM을 포함할 수 있다.System bus 1108 may be any of several types of bus structures that may be further interconnected to a memory bus, a peripheral bus, and a local bus using any of a variety of commercial bus architectures. System memory 1106 includes read only memory (ROM) 1110 and random access memory (RAM) 1112. Basic Input / Output System (BIOS) is stored in nonvolatile memory 1110, such as ROM, EPROM, EEPROM, etc., and the BIOS provides a basic aid for transferring information between components in computer 1102, such as during startup. Contains routines. RAM 1112 may also include fast RAM, such as static RAM, for caching data.

컴퓨터(1102)는 또한 내장형 하드 디스크 드라이브(HDD)(1114)(예를 들어, EIDE, SATA)―이 내장형 하드 디스크 드라이브(1114)는 또한 적당한 섀시(도시 생략) 내에서 외장형 용도로 구성될 수 있음―, 자기 플로피 디스크 드라이브(FDD)(1116)(예를 들어, 이동식 디스켓(1118)으로부터 판독을 하거나 그에 기록을 하기 위한 것임), 및 광 디스크 드라이브(1120)(예를 들어, CD-ROM 디스크(1122)를 판독하거나 DVD 등의 기타 고용량 광 매체로부터 판독을 하거나 그에 기록을 하기 위한 것임)를 포함한다. 하드 디스크 드라이브(1114), 자기 디스크 드라이브(1116) 및 광 디스크 드라이브(1120)는 각각 하드 디스크 드라이브 인터페이스(1124), 자기 디스크 드라이브 인터페이스(1126) 및 광 드라이브 인터페이스(1128)에 의해 시스템 버스(1108)에 연결될 수 있다. 외장형 드라이브 구현을 위한 인터페이스(1124)는 예를 들어, USB(Universal Serial Bus) 및 IEEE 1394 인터페이스 기술 중 적어도 하나 또는 그 둘다를 포함한다.Computer 1102 also includes an internal hard disk drive (HDD) 1114 (eg, EIDE, SATA) —this internal hard disk drive 1114 may also be configured for external use within a suitable chassis (not shown). Yes, magnetic floppy disk drive (FDD) 1116 (eg, for reading from or writing to removable diskette 1118), and optical disk drive 1120 (eg, CD-ROM Disk 1122 for reading from or writing to or reading from other high capacity optical media such as DVD). The hard disk drive 1114, the magnetic disk drive 1116, and the optical disk drive 1120 are connected to the system bus 1108 by the hard disk drive interface 1124, the magnetic disk drive interface 1126, and the optical drive interface 1128, respectively. ) Can be connected. The interface 1124 for external drive implementation includes, for example, at least one or both of Universal Serial Bus (USB) and IEEE 1394 interface technologies.

이들 드라이브 및 그와 연관된 컴퓨터 판독가능 매체는 데이터, 데이터 구조, 컴퓨터 실행가능 명령어, 기타 등등의 비휘발성 저장을 제공한다. 컴퓨터(1102)의 경우, 드라이브 및 매체는 임의의 데이터를 적당한 디지털 형식으로 저장하는 것에 대응한다. 상기에서의 컴퓨터 판독가능 저장 매체에 대한 설명이 HDD, 이동식 자기 디스크, 및 CD 또는 DVD 등의 이동식 광 매체를 언급하고 있지만, 당업자라면 집 드라이브(zip drive), 자기 카세트, 플래쉬 메모리 카드, 카트리지, 기타 등등의 컴퓨터에 의해 판독가능한 다른 유형의 저장 매체도 역시 예시적인 운영 환경에서 사용될 수 있으며 또 임의의 이러한 매체가 본 발명의 방법들을 수행하기 위한 컴퓨터 실행가능 명령어를 포함할 수 있다는 것을 잘 알 것이다.These drives and their associated computer readable media provide nonvolatile storage of data, data structures, computer executable instructions, and the like. In the case of computer 1102, drives and media correspond to storing any data in a suitable digital format. Although the above description of computer readable storage media refers to HDDs, removable magnetic disks, and removable optical media such as CDs or DVDs, those skilled in the art will appreciate zip drives, magnetic cassettes, flash memory cards, cartridges, It will be appreciated that other types of computer readable media may also be used in the exemplary operating environment and that any such media may include computer executable instructions for performing the methods of the present invention. .

운영 체제(1130), 하나 이상의 애플리케이션 프로그램(1132), 기타 프로그램 모듈(1134) 및 프로그램 데이터(1136)를 비롯한 다수의 프로그램 모듈이 드라이브 및 RAM(1112)에 저장될 수 있다. 운영 체제, 애플리케이션, 모듈 및/또는 데이터의 전부 또는 그 일부분이 또한 RAM(1112)에 캐싱될 수 있다. 본 발명이 여러가지 상업적으로 이용가능한 운영 체제 또는 운영 체제들의 조합에서 구현될 수 있다는 것을 잘 알 것이다.Multiple program modules may be stored in the drive and RAM 1112, including operating system 1130, one or more application programs 1132, other program modules 1134, and program data 1136. All or a portion of the operating system, applications, modules and / or data may also be cached in RAM 1112. It will be appreciated that the present invention may be implemented in various commercially available operating systems or combinations of operating systems.

사용자는 하나 이상의 유선/무선 입력 장치, 예를 들어, 키보드(1138) 및 마우스(1140) 등의 포인팅 장치를 통해 컴퓨터(1102)에 명령 및 정보를 입력할 수 있다. 기타 입력 장치(도시 생략)로는 마이크, IR 리모콘, 조이스틱, 게임 패드, 스타일러스 펜, 터치 스크린, 기타 등등이 있을 수 있다. 이들 및 기타 입력 장치가 종종 시스템 버스(1108)에 연결되어 있는 입력 장치 인터페이스(1142)를 통해 처리 장치(1104)에 연결되지만, 병렬 포트, IEEE 1394 직렬 포트, 게임 포트, USB 포트, IR 인터페이스, 기타 등등의 기타 인터페이스에 의해 연결될 수 있다.A user may enter commands and information into the computer 1102 through one or more wired / wireless input devices, such as a keyboard 1138 and a pointing device such as a mouse 1140. Other input devices (not shown) may include a microphone, IR remote control, joystick, game pad, stylus pen, touch screen, and the like. These and other input devices are often connected to the processing unit 1104 via an input device interface 1142, which is connected to the system bus 1108, but the parallel port, IEEE 1394 serial port, game port, USB port, IR interface, Etc. can be connected by other interfaces.

모니터(1144) 또는 다른 유형의 디스플레이 장치도 역시 비디오 어댑터(1146) 등의 인터페이스를 통해 시스템 버스(1108)에 연결된다. 모니터(1144)에 부가하여, 컴퓨터는 일반적으로 스피커, 프린터, 기타 등등의 기타 주변 출력 장치(도시 생략)를 포함한다.A monitor 1144 or other type of display device is also connected to the system bus 1108 via an interface such as a video adapter 1146. In addition to the monitor 1144, the computer generally includes other peripheral output devices (not shown) such as speakers, printers, and the like.

컴퓨터(1102)는 유선 및/또는 무선 통신을 통한 원격 컴퓨터(들)(1148) 등의 하나 이상의 원격 컴퓨터로의 논리적 연결을 사용하여 네트워크화된 환경에서 동작할 수 있다. 원격 컴퓨터(들)(1148)는 워크스테이션, 서버 컴퓨터, 라우터, 퍼스널 컴퓨터, 휴대용 컴퓨터, 마이크로프로세서-기반 오락 기기, 피어 장치 또는 기타 통상의 네트워크 노드일 수 있으며, 일반적으로 컴퓨터(1102)에 대해 기술된 구성요소들 중 다수 또는 그 전부를 포함하지만, 간략함을 위해, 메모리 저장 장치(1150)만이 도시되어 있다. 도시되어 있는 논리적 연결은 근거리 통신망(LAN)(1152) 및/또는 더 큰 네트워크, 예를 들어, 원거리 통신망(WAN)(1154)에의 유선/무선 연결을 포함한다. 이러한 LAN 및 WAN 네트워킹 환경은 사무실 및 회사에서 일반적인 것이며, 인트라넷 등의 전사적 컴퓨터 네트워크(enterprise-wide computer network)를 용이하게 해주며, 이들 모두는 전세계 컴퓨터 네트워크, 예를 들어, 인터넷에 연결될 수 있다.Computer 1102 may operate in a networked environment using logical connections to one or more remote computers, such as remote computer (s) 1148, via wired and / or wireless communications. Remote computer (s) 1148 may be a workstation, server computer, router, personal computer, portable computer, microprocessor-based entertainment device, peer device, or other conventional network node, and generally for computer 1102. Although many or all of the described components are included, for simplicity, only memory storage 1150 is shown. The logical connections shown include wired / wireless connections to a local area network (LAN) 1152 and / or a larger network, such as a telecommunications network (WAN) 1154. Such LAN and WAN networking environments are commonplace in offices and businesses, facilitating enterprise-wide computer networks such as intranets, all of which may be connected to worldwide computer networks, such as the Internet.

LAN 네트워킹 환경에서 사용될 때, 컴퓨터(1102)는 유선 및/또는 무선 통신 네트워크 인터페이스 또는 어댑터(1156)를 통해 로컬 네트워크(1152)에 연결된다. 어댑터(1156)는 LAN(1152)에의 유선 또는 무선 통신을 용이하게 해줄 수 있으며, 이 LAN(1152)은 또한 무선 어댑터(1156)와 통신하기 위해 그에 설치되어 있는 무선 액세스 포인트를 포함하고 있다. WAN 네트워킹 환경에서 사용될 때, 컴퓨터(1102)는 모뎀(1158)을 포함할 수 있거나, WAN(1154) 상의 통신 서버에 연결되거나, 또는 인터넷을 통하는 등, WAN(1154)을 통해 통신을 설정하는 기타 수단을 갖는다. 내장형 또는 외장형 및 유선 또는 무선 장치일 수 있는 모뎀(1158)은 직렬 포트 인터페이스(1142)를 통해 시스템 버스(1108)에 연결된다. 네트워크화된 환경에서, 컴퓨터(1102)에 대해 설명된 프로그램 모듈들 또는 그의 일부분이 원격 메모리/저장 장치(1150)에 저장될 수 있다. 도시된 네트워크 연결이 예시적인 것이며 컴퓨터들 사이에 통신 링크를 설정하는 기타 수단이 사용될 수 있다는 것을 잘 알 것이다.When used in a LAN networking environment, the computer 1102 is connected to the local network 1152 via a wired and / or wireless communication network interface or adapter 1156. Adapter 1156 may facilitate wired or wireless communication to LAN 1152, which also includes a wireless access point installed therein for communicating with wireless adapter 1156. When used in a WAN networking environment, the computer 1102 may include a modem 1158, connect to a communication server on the WAN 1154, or otherwise establish communications over the WAN 1154. Have the means. The modem 1158, which may be an internal or external and wired or wireless device, is connected to the system bus 1108 via the serial port interface 1142. In a networked environment, program modules or portions thereof described with respect to computer 1102 may be stored in remote memory / storage device 1150. It will be appreciated that the network connections shown are exemplary and other means of establishing a communications link between the computers can be used.

컴퓨터(1102)는 무선 통신으로 배치되어 동작하는 임의의 무선 장치 또는 개체, 예를 들어, 프린터, 스캐너, 데스크톱 및/또는 휴대용 컴퓨터, PDA(portable data assistant), 통신 위성, 무선 검출가능 태그와 연관된 임의의 장비 또는 장소, 및 전화와 통신을 하는 동작을 한다. 이것은 적어도 Wi-Fi 및 블루투스 무선 기술을 포함한다. 따라서, 통신은 종래의 네트워크에서와 같이 미리 정의된 구조이거나 단순하게 적어도 2개의 장치 사이의 애드혹 통신(ad hoc communication)일 수 있다.Computer 1102 is associated with any wireless device or entity disposed and operating in wireless communication, such as a printer, scanner, desktop and / or portable computer, portable data assistant, communications satellite, wireless detectable tag. Communicate with any equipment or location and telephone. This includes at least Wi-Fi and Bluetooth wireless technology. Thus, the communication can be a predefined structure as in a conventional network or simply an ad hoc communication between at least two devices.

Wi-Fi(Wireless Fidelity)는 유선 없이도 인터넷 등으로의 연결을 가능하게 해준다. Wi-Fi는 이러한 장치, 예를 들어, 컴퓨터가 실내에서 및 실외에서, 즉 기지국의 통화권 내의 아무 곳에서나 데이터를 전송 및 수신할 수 있게 해주는 셀 전화와 같은 무선 기술이다. Wi-Fi 네트워크는 안전하고 신뢰성 있으며 고속인 무선 연결을 제공하기 위해 IEEE 802.11(a,b,g, 기타)이라고 하는 무선 기술을 사용한다. 컴퓨터를 서로에, 인터넷에 및 유선 네트워크(IEEE 802.3 또는 이더넷을 사용함)에 연결시키기 위해 Wi-Fi가 사용될 수 있다. Wi-Fi 네트워크는 비인가 2.4 및 5 GHz 무선 대역에서, 예를 들어, 11Mbps(802.11a) 또는 54 Mbps(802.11b) 데이터 레이트로 동작하거나, 양 대역(듀얼 대역)을 포함하는 제품에서 동작할 수 있다.Wireless Fidelity (Wi-Fi) allows you to connect to the Internet without wires. Wi-Fi is a wireless technology such as a cell phone that allows a device, for example, a computer, to transmit and receive data indoors and outdoors, ie anywhere within the coverage area of a base station. Wi-Fi networks use a wireless technology called IEEE 802.11 (a, b, g, etc.) to provide secure, reliable, high-speed wireless connections. Wi-Fi may be used to connect computers to each other, to the Internet, and to a wired network (using IEEE 802.3 or Ethernet). Wi-Fi networks can operate in unlicensed 2.4 and 5 GHz wireless bands, for example, at 11 Mbps (802.11a) or 54 Mbps (802.11b) data rates, or in products that include both bands (dual band). have.

본 발명의 기술 분야에서 통상의 지식을 가진 자는 여기에 개시된 실시예들과 관련하여 설명된 다양한 예시적인 논리 블록들, 모듈들, 프로세서들, 수단들, 회로들 및 알고리즘 단계들이 전자 하드웨어, (편의를 위해, 여기에서 "소프트웨어"로 지칭되는) 다양한 형태들의 프로그램 또는 설계 코드 또는 이들 모두의 결합에 의해 구현될 수 있다는 것을 이해할 것이다. 하드웨어 및 소프트웨어의 이러한 상호 호환성을 명확하게 설명하기 위해, 다양한 예시적인 컴포넌트들, 블록들, 모듈들, 회로들 및 단계들이 이들의 기능과 관련하여 위에서 일반적으로 설명되었다. 이러한 기능이 하드웨어 또는 소프트웨어로서 구현되는지 여부는 특정한 애플리케이션 및 전체 시스템에 대하여 부과되는 설계 제약들에 따라 좌우된다. 본 발명의 기술 분야에서 통상의 지식을 가진 자는 각각의 특정한 애플리케이션에 대하여 다양한 방식들로 설명된 기능을 구현할 수 있으나, 이러한 구현 결정들은 본 발명의 범위를 벗어나는 것으로 해석되어서는 안 될 것이다.One of ordinary skill in the art would appreciate that the various exemplary logical blocks, modules, processors, means, circuits and algorithm steps described in connection with the embodiments disclosed herein may be implemented in electronic hardware, It will be appreciated that for purposes of the present invention, various forms of program or design code, or combinations thereof, may be implemented. To clearly illustrate this interchangeability of hardware and software, various illustrative components, blocks, modules, circuits, and steps have been described above generally in terms of their functionality. Whether such functionality is implemented as hardware or software depends on the particular application and design constraints imposed on the overall system. Those skilled in the art may implement the described functionality in various ways for each particular application, but such implementation decisions should not be interpreted as causing a departure from the scope of the present invention.

여기서 제시된 다양한 실시예들은 방법, 장치, 또는 표준 프로그래밍 및/또는 엔지니어링 기술을 사용한 제조 물품(article)으로 구현될 수 있다. 용어 "제조 물품"은 임의의 컴퓨터-판독가능 장치로부터 액세스 가능한 컴퓨터 프로그램, 캐리어, 또는 매체(media)를 포함한다. 예를 들어, 컴퓨터-판독가능 저장 매체는 자기 저장 장치(예를 들면, 하드 디스크, 플로피 디스크, 자기 스트립, 등), 광학 디스크(예를 들면, CD, DVD, 등), 스마트 카드, 및 플래쉬 메모리 장치(예를 들면, EEPROM, 카드, 스틱, 키 드라이브, 등)를 포함하지만, 이들로 제한되는 것은 아니다. 용어 "기계-판독가능 매체"는 명령(들) 및/또는 데이터를 저장, 보유, 및/또는 전달할 수 있는 무선 채널 및 다양한 다른 매체를 포함하지만, 이들로 제한되는 것은 아니다. The various embodiments presented herein may be embodied in a method, apparatus, or article of manufacture using standard programming and / or engineering techniques. The term "article of manufacture" includes a computer program, carrier, or media accessible from any computer-readable device. For example, computer-readable storage media may include magnetic storage devices (eg, hard disks, floppy disks, magnetic strips, etc.), optical disks (eg, CDs, DVDs, etc.), smart cards, and flashes. Memory devices (eg, EEPROM, cards, sticks, key drives, etc.), but are not limited to these. The term “machine-readable medium” includes, but is not limited to, a wireless channel and various other media capable of storing, holding, and / or delivering instruction (s) and / or data.

제시된 프로세스들에 있는 단계들의 특정한 순서 또는 계층 구조는 예시적인 접근들의 일례임을 이해하도록 한다. 설계 우선순위들에 기반하여, 본 발명의 범위 내에서 프로세스들에 있는 단계들의 특정한 순서 또는 계층 구조가 재배열될 수 있다는 것을 이해하도록 한다. 첨부된 방법 청구항들은 샘플 순서로 다양한 단계들의 엘리먼트들을 제공하지만 제시된 특정한 순서 또는 계층 구조에 한정되는 것을 의미하지는 않는다.It is to be understood that the specific order or hierarchy of steps in the processes presented is an example of exemplary approaches. Based upon design priorities, it is understood that the specific order or hierarchy of steps in the processes may be rearranged within the scope of the present invention. The accompanying method claims present elements of the various steps in a sample order, but are not meant to be limited to the specific order or hierarchy presented.

제시된 실시예들에 대한 설명은 임의의 본 발명의 기술 분야에서 통상의 지식을 가진 자가 본 발명을 이용하거나 또는 실시할 수 있도록 제공된다. 이러한 실시예들에 대한 다양한 변형들은 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 명백할 것이며, 여기에 정의된 일반적인 원리들은 본 발명의 범위를 벗어남이 없이 다른 실시예들에 적용될 수 있다. 그리하여, 본 발명은 여기에 제시된 실시예들로 한정되는 것이 아니라, 여기에 제시된 원리들 및 신규한 특징들과 일관되는 최광의의 범위에서 해석되어야 할 것이다.The description of the presented embodiments is provided to enable any person skilled in the art to make or use the present invention. Various modifications to these embodiments will be apparent to those skilled in the art, and the generic principles defined herein may be applied to other embodiments without departing from the scope of the invention. Thus, the present invention should not be limited to the embodiments set forth herein but should be construed in the broadest scope consistent with the principles and novel features set forth herein.

Claims (1)

컴퓨팅 장치에서의 시스템 이상을 감지하기 위한 컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.A computer program stored in a computer readable storage medium for detecting system abnormality in a computing device.
KR1020190166328A 2019-12-13 2019-12-13 Container-based integrated management system KR20190140893A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190166328A KR20190140893A (en) 2019-12-13 2019-12-13 Container-based integrated management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190166328A KR20190140893A (en) 2019-12-13 2019-12-13 Container-based integrated management system

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020180066643A Division KR102059808B1 (en) 2018-06-11 2018-06-11 Container-based integrated management system

Publications (1)

Publication Number Publication Date
KR20190140893A true KR20190140893A (en) 2019-12-20

Family

ID=69063105

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190166328A KR20190140893A (en) 2019-12-13 2019-12-13 Container-based integrated management system

Country Status (1)

Country Link
KR (1) KR20190140893A (en)

Similar Documents

Publication Publication Date Title
KR102059808B1 (en) Container-based integrated management system
KR102093130B1 (en) Integrated managrment system for container-based cloud servers
US11720393B2 (en) Enforcing compliance rules using guest management components
US10356127B2 (en) Methods and systems for applying security policies in a virtualization environment
EP3014447B1 (en) Techniques for detecting a security vulnerability
US10025612B2 (en) Enforcing compliance rules against hypervisor and host device using guest management components
US8732791B2 (en) Multi-part internal-external process system for providing virtualization security protection
US8346923B2 (en) Methods for identifying an application and controlling its network utilization
US10102019B2 (en) Analyzing network traffic for layer-specific corrective actions in a cloud computing environment
US10715554B2 (en) Translating existing security policies enforced in upper layers into new security policies enforced in lower layers
EP2615793A1 (en) Methods and systems for protecting network devices from intrusion
US10044740B2 (en) Method and apparatus for detecting security anomalies in a public cloud environment using network activity monitoring, application profiling and self-building host mapping
KR20200013028A (en) Integrated managrment system for container-based cloud servers
US10068089B1 (en) Systems and methods for network security
US10169594B1 (en) Network security for data storage systems
EP3513353B1 (en) Systems and methods for detecting malicious processes on computing devices
US9832209B1 (en) Systems and methods for managing network security
US11005867B1 (en) Systems and methods for tuning application network behavior
KR20190140893A (en) Container-based integrated management system
US20230319075A1 (en) Network access control from anywhere
US20240106855A1 (en) Security telemetry from non-enterprise providers to shutdown compromised software defined wide area network sites

Legal Events

Date Code Title Description
A107 Divisional application of patent