A great diversity of web service have been appeared with its high complexity followed by a rapid in-crement of cyber-attack. Existing security mechanisms such as firewall, Intrusion Detection System, and In-trusion Prevent System are insufficient to prevent all intrusions in the environment that is connected to exter-nal network like the internet. Intrusion Tolerant system aims to provide clients who is qualified to access the system with critical service, even though the system is coming to under attack by exploiting the system’s vul-nerabilities. However, there are things to improve existing prior research related to Intrusion Tolerant system. Analysis on memory and file integrity is obvious method to detect intrusions, but it is not effective when its operation is carried out in regular restore point only. In this paper, we propose an improved intrusion tolerant system to reflect the threat level in an adaptively manner by using stepwise interim audit based on log files. Additionally, a new way of restore process to reduce the lead time with enhanced security is presented to min-imize the performance degradation. Attack detection rate, controlled exposure time and Mean-Time-To-Security-Failure are measured to prove the security of proposed system through experiments.
서비스의 다양화와 시스템의 복잡성이 증가함에 따라 시스템의 취약점을 이용한 사이버 공격이 급증하게 되었고, 방화벽과 침입탐지시스템과 같은 기존 보안솔루션들은 모든 공격을 막아내기에 한계점을 가지고 있다. 침입 감내 시스템은 모든 공격에 대한 탐지를 수행하지 않고, 공격이 존재하더라도 중요 서비스를 사용자에게 지속적으로 제공하는 것을 목표로 하는 기존 보안솔루션들에 대한 개선안으로 연구가 활발히 진행되고 있다. 시스템의 상태를 반영하여 노출시간을 변경하는 최근 연구들이 가지고 있는 문제점을 보완하고자 본 연구를 수행하였다. 메모리와 파일 분석을 통한 노출정책변경은 공격상황을 반영하는데 명확한 방식이지만, 정기복원시점에서만 수행하는 경우, 시스템에 발생하는 공격과 시스템 상태를 적절히 반영하지 못한다. 따라서, 본 논문에서는 시스템에 기록되는 로그를 기반으로 단계적인 중간점검을 통해 시스템에 발생하는 위험수위와 시스템 상태를 적응적으로 반영하는 방식을 제안한다. 또한, 복원소요시간의 단축과 복원과정의 안정성을 향상시키기 위해 새로운 복원알고리즘을 제시하였다. 실험을 통해 위험수위에 따라 조절된 노출시간과 MTTSF, 검출률, 처리량저하를 측정하였으며, 제안된 시스템의 향상된 보안성을 입증하였다.