시스템 콜 호출 패턴을 이용한 애플리케이션 모니터링 시스템 설계 및 구현

Abstract

사용자 애플리케이션은 함수들의 집합으로 이루어져 있다. 이러한 함수의 집합에 순서를 부여하여 사용자가 필요로 하는 일을 수행하는 것이 애플리케이션이다. 웹서버와 같이 서비스를 제공하는 애플리케이션은 규모가 굉장히 크고 복잡하여 공격자들의 공격 대상이 되기도 한다. 악의적인 해커들의 공격 결과 애플리케이션의 변수와 프로그램 흐름이 뒤틀리게 되고 이를 통하여 시스템의 관리자 권한을 탈취하거나 비정상 동작을 하도록 유도한다. 본 논문에서는 애플리케이션의 시스템 콜 호출 패턴을 수집하고, 수집된 패턴을 통하여 애플리케이션의 이상 징후를 탐지할 수 있는 시스템을 설계 및 구현한다. 실제 구현된 시스템을 통하여 오버헤드를 측정한 결과 약 100만 개의 시스템 콜을 모니터링 하였을 때, 약 0.8초의 오버헤드를 가짐을 알 수 있었다. 이는 기존에 존재하는 strace 등의 툴에 비하여 약 1/28배 오버헤드 수치이다.