원문정보
Design of a Attack Provenance Trackable Container Snapshot Scheme for Efficient Anomaly Detection in Microservices Architecture
초록
영어
Microservices architecture is a distributed software architecture mainly used in software development. However, due to the elements added for communication between microservices, 1) an issue of increasing structural complexity and 2) an issue of increasing attack surface arises. A distributed tracing scheme has been proposed to solve the issue of increasing structural complexity, and recently, related research for the purpose of improving security has been conducted by applying this distributed tracing scheme. However, since the distributed tracing scheme is originally intended to manage service performance and perform debugging, the scope that can be used for the purpose of improving security is limited. To solve this problem, this paper proposes a container snapshot method for tracking the attack provenance. The attack provenance trackable container snapshot scheme utilizes the causal relationship information of the distributed tracing scheme to selectively perform container snapshots of only related microservices in which cyber threats have occurred. Through this, it is possible to efficiently perform the container snapshot process. To verify the practicality of the proposed scheme, an arbitrary microservices environment was configured to measure the overhead and delay time incurred during the snapshot process. As a result of the experiment, a memory overhead of 0.7% occurred during the container snapshot process, and an average of 172ms was required. The attack provenance trackable container snapshot scheme proposed in this paper can be used in various ways to detect abnormal signs occurring in microservices environments, and through this, the security of the microservices environment can be improved.
한국어
마이크로서비스 아키텍처는 소프트웨어 개발에서 주로 사용하는 분산 소프트웨어 아키텍처이다. 그러나, 마이크로 서비스 간 통신을 위해 추가하는 요소들로 인해 1) 구조적 복잡성이 증가하는 이슈와 2) 공격 표면이 증가하는 이 슈가 발생한다. 구조적 복잡성 증가 이슈를 해결하기 위해 분산 추적 기법이 제안되었으며, 최근엔 이러한 분산 추 적 기법을 응용하여 보안성 향상 목적의 관련 연구가 수행되고 있다. 그러나, 분산 추적 기술은 본래 서비스 성능 관리 및 디버깅 수행이 목적이므로, 보안성 향상 목적으로 활용할 수 있는 범위가 제한적이다. 본 논문은 이러한 문 제를 해결하기 위해 진원지 추적형 컨테이너 스냅샷 기법을 제안한다. 진원지 추적형 컨테이너 스냅샷 기법은 분산 추적 기법의 인과 관계 정보를 활용하여, 사이버 위협이 발생한 관련 마이크로서비스만을 선별적으로 컨테이너 스냅 샷을 수행한다. 이를 통해, 컨테이너 스냅샷 과정을 효율적으로 수행할 수 있다. 제안하는 방안의 실용성을 검증하 기 위해, 임의의 마이크로서비스 환경을 구성하여 스냅샷 과정에서 발생하는 오버헤드 및 지연 시간을 측정하였다. 실험 결과, 컨테이너 스냅샷 과정에서 0.7%의 메모리 오버헤드가 발생했으며, 평균 172ms를 필요로 하였다. 본 논문에서 제안하는 진원지 추적형 컨테이너 스냅샷 기법은 마이크로서비스 환경에서 발생한 이상 징후 탐지에 다양 하게 활용될 수 있으며, 이를 통해 마이크로서비스 환경의 보안성을 향상할 수 있다.
목차
Abstract
1. 서론
2. 배경지식
2.1 마이크로서비스 아키텍처
2.2 마이크로서비스 대상 사이버 위협
2.3 분산 추적 기법의 인과 관계 형성
3. 공격 진원지 추적형 컨테이너 스냅샷
3.1 분산 추적 플랫폼에 적용된 공격 진원지 추적형 컨테이너 스냅샷 기법의 구조
3.2 분산 추적 규격에 대한 요구 사항
3.3 분산 추적 플랫폼에 적용된 공격 진원지 추적형 컨테이너 스냅샷 작동 과정
4. 관련 연구
4.1 분산 추적 기법 관련 연구
4.2 분산 추적 기법의 보안 관련 연구
5. 실험
6. 결론
Acknowledgment
참고문헌
저자소개