컨테이너 이미지의 보안 취약성 조사 연구

탁병철 한국차세대컴퓨팅학회 2018 한국차세대컴퓨팅학회 논문지 Vol.14 No.3

Container technology is already firmly established as the most important key technology for today’s IT industry. Although container technology offers several benefits, it also brings in new issues that did not exist previously. Among them the biggest problem is how to detect security vulnerabilities of containers quickly and accurately. There are many efforts towards this and, in order to build effective solutions, we must base our solution on the actual state of container’s level of secureness. Unfortunately, there has not been enough study on this topic. In order to expand our understanding of container security we have conducted detained study by scanning about 10,000 docker-based container images. Our study showed that more than 90% of the container images contained some form for security vulnerabilities. We report on our analysis results and findings by looking at these in various aspects. 컨테이 기술은 이미 오늘날의 IT분야에서의 가장 요한 핵심기술로 자리를 잡고 있다. 컨테이 기술을 사용함 으로써 얻을 수 있는 장들은 여러 가지가 있지만 이와 함께 이에는 발생하지 않았던 새로운 문제들도 같이 등 장하고 있다. 가장 요한 문제는 어떻게 하면 컨테이의 보안 취약을 빠르고 정확하게 감지하는 기술을 확보하 는가이다. 컨테이를 한 다양한 보안 솔루션들이 연구 개발되고 있지만 효과인 기술을 개발하기 해서는 컨테 이들의 실제 보안성과 취약의 특성들에 한 이해가 바탕이 되어야 한다. 하지만 재까지는 컨테이뿐만 아니 라 바탕이 되는 컨테이 이미지들의 보안성에 한 연구가 부족한 실정이다. 이를 해서 본 연구에서는 재 가장 많이 쓰이는 도커 기반의 컨테이 이미지들 만여 개를 스캔하여 보안성을 분석하다. 분석 결과, 92% 이상의 컨 테이 이미지들에서 다양한 종류의 보안 취약들이 내재하는 것을 발견하다. 본 연구에서는 이러한 보안 취약 들에 한 다양한 각도에서의 분석 결과를 제시한다.

평화에 대한 국제관계이론 : 신자유제도주의적 접근

탁병철 釜山外國語大學校 國際關係硏究所 2005 國際問題論叢 Vol.16 No.-

모바일 기기에서의 자동 데이터 동기화 지원을 위한 파일 시스템 설계

탁병철(Byung-chul Tak),김우식(Woo-Sik Kim),김도형(Do-Hyung Kim),김선자(Sun-Ja Kim) 대한전자공학회 2004 대한전자공학회 학술대회 Vol.2004 No.12

대용량 공유 분산 화일 시스템에서 망 분할 시 순환 리스를 사용한 고장 감내성 향상

탁병철(Byung Chul Tak),정연돈(Yon Dohn Chung),김명호(Myoung Ho Kim) 한국정보과학회 2005 정보과학회논문지 : 데이타베이스 Vol.32 No.6

In the shared storage file system, systems can directly access the shared storage device through specialized data-only subnetwork unlike in the network attached file server system. In this shared-storage architecture, data consistency is maintained by some designated set of lock servers which use control network to send and receive the lock information. Furthermore, lease mechanism is introduced to cope with the control network failure. But when the control network is partitioned, participating systems can no longer make progress after the lease term expires until the network recovers. This paper addresses this limitation and proposes a method that allows partitioned systems to make progress under the partition of control network. The proposed method works in a manner that each participating system is rotationally given a predefined lease term periodically. It is also shown that the proposed mechanism always preserves data consistency. 서버를 통하여 저장 장치를 사용하는 네트워크 연결형 화일 시스템과 달리, 대용량 공유 저장장치 화일 시스템에서는 서버들이 데이타 전용망을 통하여 저장 장치를 직접 공유하여 사용한다. 이런 구조에서는 데이타의 일관성을 유지하기 위하여 잠금 관리자가 존재하여 제어망을 통하여 잠금 정보를 주고 받는다. 또한 예기치 않은 제어망의 고장에 대비하여 리스를 사용한다. 하지만 제어망에 분할 고장이 발생할 경우 격리된 서버들은 고장이 해결되기 전까지는 더 이상 작업을 진행할 수 없게 된다. 본 논문에서는 이러한 제어망 분할 고장이 발생한 상황에서도 서버들이 계속 화일 시스템을 사용하여 작업을 진행할 수 있도록 하는 기법을 제안한다. 제안하는 기법은 주기적으로 각 서버들에게 리스를 순환하여 할당하는 방식으로 동작한다. 또한 제안하는 기법은 항상 데이타의 일관성을 유지함을 보인다.

Accurate and Efficient Log Template Discovery Technique

Byungchul Tak(탁병철) 한국컴퓨터정보학회 2018 韓國컴퓨터情報學會論文誌 Vol.23 No.10

In this paper we propose a novel log template discovery algorithm which achieves high quality of discovered log templates through iterative log filtering technique. Log templates are the static string pattern of logs that are used to produce actual logs by inserting variable values during runtime. Identifying individual logs into their template category correctly enables us to conduct automated analysis using state-of-the-art machine learning techniques. Our technique looks at the group of logs column-wise and filters the logs that have the value of the highest proportion. We repeat this process per each column until we are left with highly homogeneous set of logs that most likely belong to the same log template category. Then, we determine which column is the static part and which is the variable part by vertically comparing all the logs in the group. This process repeats until we have discovered all the templates from given logs. Also, during this process we discover the custom patterns such as ID formats that are unique to the application. This information helps us quickly identify such strings in the logs as variable parts thereby further increasing the accuracy of the discovered log templates. Existing solutions suffer from log templates being too general or too specific because of the inability to detect custom patterns. Through extensive evaluations we have learned that our proposed method achieves 2 to 20 times better accuracy.

데이터 라벨 잡음 정화 기법: 문헌 조사, 분류체계, 및 당면한 문제들

전두용,서영균,탁병철 한국정보과학회 2024 데이타베이스 연구 Vol.40 No.1

일반적으로, 지도 학습은 데이터 라벨의 품질에 매우 민감하다. 그래서 데이터 자체의 오류보다 라벨링 오류로 인해 지도 학습 모델의 성능이 더 많이 저하될 수 있다. 본 논문에서는 라벨 오류를 해결하기 위한 다양한 라벨 잡음 정화 기법을 조사하고, 후속 연구를 위한 미해결 연구 과제를 제시한다. 구체적으로, 본 논문은 먼저 데이터 라벨링 오류를 정의하고 그 유형과 영향에 대해 논의한다. 다음으로, 우리는 잡음을 검출하고 검출된 잡음에 다시 라벨을 수정하는 다양한 연구를 방법론과 기법에 따라 분류한다. 마지막으로, 우리는 기존의 라벨 잡음 정화 기법을 실제 문제에 적용할 때 발생할 수 있는 문제점을 제시하고, 향후 연구 방향을 제시한다. In general, supervised learning is highly sensitive to quality of data labels. Thus, the quality of supervised learning can be degraded by the errors in the labels more than those in the data itself. In this paper, we conduct an in-depth survey of various data label noise-cleansing techniques to resolve label errors and bring open research issues for further study. More specifically, we define the data labeling error and discuss its type and impact. Next, we categorize various studies regarding how to detect label noise and perform re-labeling on the detected noises in terms of their methodology and techniques. Finally, we present several open issues that can arise when the existing label noise-cleansing approaches are applied to the real-world problems and suggest future research directions.

시스템콜 시퀀스 추출 프레임워크를 이용한 시퀀스 기반 컨테이너 보안 강화 기법의 정량적 분석 연구

송소민,김유양,탁병철 한국정보과학회 2023 정보과학회논문지 Vol.50 No.11

Container escape is one of the most critical threats in containerized applications that share a host kernel. Attackers exploit kernel vulnerabilities through a series of manipulated system calls to achieve privilege escalation, which can lead to container escape. Seccomp is a security mechanism widely used in containers. It strengthens the level of isolation by filtering out unnecessary system call invocations. However, the filtering mechanism of Seccomp that blocks individual system calls has a fundamental limitation in that it can be vulnerable to attacks that use system calls allowed by the policy. Therefore, this study presents a hybrid analysis framework that combines static and dynamic analyses to extract system call sequences from exploit codes. Using this framework, we compared the security strength of an existing individual system call-based filtering mechanism and proposed a system call sequence-based filtering mechanism in terms of the number of blockable exploit codes using system call profiles for the same exploit codes. As a result, the proposed system call sequence-based filtering mechanism was able to increase the defense coverage from 63% to 98% compared to the existing individual system call-based filtering mechanism.

Bi-gram을 이용한 비정상 로그 추출 기법

박서린(Seorin Park),탁병철(Byungchul Tak) 한국정보과학회 2020 한국정보과학회 학술발표논문집 Vol.2020 No.7

반복적인 선형회귀분석을 이용한 대용량 보안로그의 블랙리스트 IP 분류

전두용(Dooyong Jeon),탁병철(Byungchul Tak) 한국정보과학회 2018 한국정보과학회 학술발표논문집 Vol.2018 No.12

컨테이너 런타임의 보안성 측정 기법

양지혁(Jihyeok Yang),탁병철(Byungchul Tak) 한국컴퓨터정보학회 2020 韓國컴퓨터情報學會論文誌 Vol.25 No.9

본 연구에서는 보안 컨테이너 런타임 간의 직접적인 보안성 비교를 가능하게 하는 정량 평가기법을 제안한다. 보안 컨테이너 런타임(Security Container Runtime) 기술들은 컨테이너가 호스트 커널을 공유하여 발생하는 컨테이너 탈출(Container escape)과 같은 보안 이슈를 해결하기 위하여 등장하였다. 하지만 대부분의 문헌들에서 컨테이너 기술들의 보안성에 대하여 사용 가능한 시스템 콜 개수와 같은 대략적인 지표를 이용한 분석만을 제공하고 있어서 각 런타임에 대한 정량적인 비교 평가가 힘든 실정이다. 반면에 제안 모델은 호스트 시스템 콜의 노출 정도를 다양한 외부 취약점 지표들과 결합하는 새로운 방식을 사용한다. 제안하는 기법으로 runC(도커 기본 런타임) 및 대표적인 보안 컨테이너 런타임인 gVisor, Kata container의 보안성을 측정하고 비교한다. In this paper, we propose quantitative evaluation method that enable security comparison between Security Container Runtimes. security container runtime technologies have been developed to address security issues such as Container escape caused by containers sharing the host kernel. However, most literature provides only a analysis of the security of container technologies using rough metrics such as the number of available system calls, making it difficult to compare the secureness of container runtimes quantitatively. While the proposed model uses a new method of combining the degree of exposure of host system calls with various external vulnerability metrics. With the proposed technique, we measure and compare the security of runC (Docker default Runtime) and two representative Security Container Runtimes, gVisor, and Kata container.