Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Strategies for Intrusion Monitoring in Cloud Services

George R. S. Weir, Andreas Aßmuth|arXiv (Cornell University)|2024. 05. 03.
Network Security and Intrusion Detection참고 문헌 11인용 수 6
한 줄 요약

이 논문은 감사 가능하고 재구성 가능한 클라우드 로그를 만들기 위해 MAC의 체인과 Shamir의 임계 비밀 공유를 함께 사용하는 방식을 제안합니다. 이는 일부 로깅 노드가 손상되더라도 디지털 포렌식 준비성을 가능하게 합니다.

ABSTRACT

Effective activity and event monitoring is an essential aspect of digital forensic readiness. Techniques for capturing log and other event data are familiar from conventional networked hosts and transfer directly to the Cloud context. In both contexts, a major concern is the risk that monitoring systems may be targeted and impaired by intruders seeking to conceal their illicit presence and activities. We outline an approach to intrusion monitoring that aims (i)~to ensure the credibility of log data and (ii)~provide a means of data sharing that supports log reconstruction in the event that one or more logging systems is maliciously impaired.

연구 동기 및 목표

  • 클라우드 환경에서 디지털 포렌식 준비성을 지원하기 위한 감사 가능 데이터의 필요성을 동기화합니다.
  • 모니터링 과제를 식별하기 위해 Cloud 서비스 모델과 침해 맥락을 특성화합니다.
  • 로그의 진위성을 보존하고 해킹 이후 재구성을 가능하게 하는 모니터링 접근법을 제안합니다.
  • MAC와 비밀 공유를 이용한 분산 로깅이 부분 손상에 견딜 수 있음을 보여줍니다.

제안 방법

  • 각 노드에 대해 보안 부팅 프로세스를 구현하고 MAC 체인으로 이벤트를 기록합니다.
  • 비밀 키를 사용해 각 이벤트에 대한 MAC를 계산하고 이를 로그 항목에 첨부합니다.
  • D로부터 n개의 데이터 D_i를 생성하는 (k,n) 임계 체계를 사용하여 로그 데이터를 분배합니다.
  • D를 중앙에 저장하고 또한 D_i를 n개의 노드에 저장하여 임의의 k 조각으로 재구성 가능하도록 합니다.
  • 새로운 이벤트마다 현재 이벤트를 이전 MAC 및 수신 노드와 연결하는 새로운 MAC 체인을 사용합니다.
  • MAC 체인을 통해 무결성을 검증하기 위해 어떤 k 조각의 부분집합으로도 해킹 이후 D를 재구성 가능하게 합니다.

실험 결과

연구 질문

  • RQ1로깅 노드가 손상될 수 있는 클라우드 서비스에서 로그의 진정성 및 무결성을 어떻게 보존할 수 있는가?
  • RQ2분산 저장소와 임계 암호화를 사용하여 부분 변조 후에 로그 데이터를 재구성할 수 있는가?
  • RQ3과도한 오버헤드 없이 포렌식 재구성을 지원하는 실용적이고 확장 가능한 모니터링 접근법은 무엇인가?
  • RQ4MAC 체인과 Shamir의 비밀 공유를 도입하는 것이 가상화된 Cloud 환경에서 디지털 포렌식 준비성을 어떻게 강화하는가?

주요 결과

  • MAC 기반 체인은 개별 로그 이벤트의 진정성 및 무결성을 제공하여 비밀 키가 없으면 변조를 방지합니다.
  • (k,n) 임계 체계는 일부 노드가 손상되거나 실패하더라도 전체 로그 데이터를 재구성 가능하게 합니다.
  • 여러 클라우드 노드에 걸친 로그 조각의 분산 저장은 침입 후 사건의 포렌식 재구성을 지원합니다.
  • 이 접근법은 해킹 이후의 포렌식 분석을 지원하고 위반 통지 및 책임성에 대한 규제 요구에 부합합니다.
  • 이 솔루션은 순환하는 가상 머신 전반에 걸쳐 회수 가능하고 검증 가능한 로그를 유지함으로써 클라우드 서비스의 포렌식 준비성을 강화합니다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.