프로그래밍 가능한 SmartNIC을 활용하는 고성능 위협 탐지 및 대응 시스템 및 그 방법
HIGH PERFORMANCE THREAT DETECTION AND RESPONSE SYSTEMS WITH PROGRAMMABLE SmartNICs AND THE METHOD THEREOF
특허 요약
본 발명은 프로그래밍 가능한 SmartNIC을 활용하여 시스템 성능을 저하시키지 않으면서 효과적인 실시간 보안 분석 및 대응을 제공하는 고성능의 통합 위협 탐지 및 대응 시스템, 및 그 방법에 관한 것으로서, 호스트 시스템의 커널 공간에 접근하며, 모니터링 영역의 최적화를 통해 이벤트 데이터를 수집 및 전송하는 데이터 처리부, 상기 호스트 시스템에 대한 정책 시행을 분산화하고, 정책 변경 사항을 동기화하는 이벤트 관리부 및 상기 이벤트 데이터에 대한 심층 패킷 검사를 통해 패킷을 분석하며, 보안 정책에 따른 네트워크 트래픽을 동적으로 관리하는 정책 시행부를 포함한다.
청구항
번호청구항
1

프로그래밍 가능한 SmartNIC을 활용하는 고성능 위협 탐지 및 대응 시스템에 있어서, 호스트 시스템의 커널 공간에 접근하며, 모니터링 영역의 최적화를 통해 이벤트 데이터를 수집 및 전송하는 데이터 처리부; 상기 호스트 시스템에 대한 정책 시행을 분산화하고, 정책 변경 사항을 동기화하는 이벤트 관리부; 및상기 이벤트 데이터에 대한 심층 패킷 검사를 통해 패킷을 분석하며, 보안 정책에 따른 네트워크 트래픽을 동적으로 관리하는 정책 시행부를 포함하는 고성능 위협 탐지 및 대응 시스템.

2

제1항에 있어서,상기 데이터 처리부는리눅스 시스템에 내재된 eBPF 기술을 사용하여 상기 호스트 시스템의 커널 공간에 접근하고, 신뢰 영역(trustable area)를 설정하여 상기 호스트 시스템에 대한 상기 모니터링 영역을 최적화하여 고성능의 상기 이벤트 데이터를 캡처하는, 고성능 위협 탐지 및 대응 시스템.

3

제2항에 있어서,상기 데이터 처리부는상기 이벤트 데이터의 캡처 후, DMA(Direct Memory Access) 채널을 활용하여 상기 이벤트 데이터를 상기 호스트 시스템에서 SmartNIC로 전송하는 것을 특징으로 하는, 고성능 위협 탐지 및 대응 시스템.

4

제1항에 있어서,상기 이벤트 관리부는분산 정책을 관리하며, SmartNIC 기반의 정책 모델을 사용하여 정책 변경 사항을 업데이트하고 배포하여 실시간 동기화하는, 고성능 위협 탐지 및 대응 시스템.

5

제1항에 있어서,상기 정책 시행부는SmartNIC의 처리 능력을 활용한 상기 심층 패킷 검사(Deep Packet Inspection, DPI)를 수행하여 패킷을 분석하는, 고성능 위협 탐지 및 대응 시스템.

6

제5항에 있어서,상기 정책 시행부는SFT(State Flow Table)를 포함한 상기 SmartNIC을 이용하여 보안 정책에 따라 네트워크 트래픽을 동적으로 관리하는, 고성능 위협 탐지 및 대응 시스템.

7

제6항에 있어서,상기 정책 시행부는악성 행위가 의심되는 패킷을 검사하여 실시간 위협 평가에 따라 네트워크 트래픽 흐름을 관리하는, 고성능 위협 탐지 및 대응 시스템.

8

적어도 하나의 프로세서를 포함하는 컴퓨터 장치의 프로그래밍 가능한 SmartNIC을 활용하는 고성능 위협 탐지 및 대응 방법에 있어서, 호스트 시스템의 커널 공간에 접근하며, 모니터링 영역의 최적화를 통해 이벤트 데이터를 수집 및 전송하는 단계;상기 호스트 시스템에 대한 정책 시행을 분산화하고, 정책 변경 사항을 동기화하는 단계; 및상기 이벤트 데이터에 대한 심층 패킷 검사를 통해 패킷을 분석하며, 보안 정책에 따른 네트워크 트래픽을 동적으로 관리하여 악의적인 행동을 실시간 식별하는 단계를 포함하는, 고성능 위협 탐지 및 대응 방법.

도면대표도면