Kernel rootkit is a class of malware which manipulates the operating system kernel. Adversaries deploy kernel-level rootkits to perpetuate the intrusion by subverting the core functionalities in her favor. A kernel infected by a rootkit report false system status; traces of attacker such as files, processes, or network connections are hidden to the system status reporting tools. Furthermore, rootkits operate in kernel layer hold the highest privilege level, and are capable of evading or even incapacitating any in-system security measures. In turn, VMMs and hardwares have been proposed as roots of trust which provide a safe execution environment for monitoring softwares. VMMs are popularly used as a platform for kernel integrity monitoring because they innately monitor or intervene the operations of a guest system for virtualization. However, VMMs also have been exposed to the common software vulnerability attacks, implying that they can be compromised by rootkits as well. While external hardwares provide better isolation and security, the existing works either employed snapshot-based methods thus incurring a significant performance overhead, or limited to monitoring of kernel static region protection. Therefore, there is a need for a hardware-based integrity monitoring platforms that can monitor the dynamic regions of kernel with a negligible performance overhead. This thesis presents a hardware-based platform for event-triggered kernel integrity monitoring, called KI-Mon. The proposed platform provides a kernel integrity monitoring platform which is capable of monitoring mutable kernel objects. A refined form of bus traffic monitoring makes value verification of the objects efficient, and callback verification routines can be programmed and executed for a designated event space. The prototype of the proposed platform was implemented, and the experiments demonstrated the effectiveness of the prototype`s event-triggered mechanism and efficacy in terms of performance overhead to the monitored host system and processor usage of the monitoring platform.

커널감염형 루트킷은 악성코드의 한 종류로써 운영체제 커널 자체를 변조시킨다. 공격자들은 커널레벨에서 동작하는 루트킷을 사용하여 커널의 핵심 기능을 변조함으로써 침입당한 시스템을 지속적으로 악용한다. 루트킷에 감염된 커널은 조작된 시스템 정보를 유저에게 보고하게 되며, 이로 인해 공격자의 악성 파일, 프로세스, 네트워크 커넥션등과 같은 공격자의 흔적이 은폐되게 된다. 이러한 루트킷들은 커널 레벨에서 동작함으로 인해 시스템의 가장 높은 권한을 차지하여 시스템 보안 감시 툴들을 우회하거나 심지어 동작을 중지시킬 수 있는 능력까지 갖추고 있다. 이러한 위협을 탐지하기 위하여, 가상화 또는 하드웨어등을 모니터 소프트웨어의 안전한 실행 환경을 보장하는 신뢰기반으로 사용하는 방안들이 제시되었다. 특히 Virtual Machine Monitor (VMM)을 사용하여 커널 무결성 모니터를 구현하는 방안들이 많이 제시되고 있다. 이는 VMM들이 가상화를 구현하기 위해 태생적으로 게스트 머신들을 감시하고 경우에 따라 그들의 동작에 개입하도록 만들어져 있기 때문이다. 하지만 VMM들 자체도 소프트웨어이기 때문에 소프트웨어적 취약점을 이용한 공격들에는 마찬가지로 노출어 있으며, 더 나아가 VMM도 루트킷에 감염될 수 있다는 연구도 발표된 상황이다. 하드웨어 기반 커널 무결성 모니터는 격리성과 보안성에서 VMM 기반보다 뛰어나지만, 스냅샷 기반의 탐지 방식으로 감시 대상에게 많은 성능 부하를 주거나 커널 정적 영역 감시에 그치고 있다. 따라서 커널의 동적 영역들까지 감시 할 수 있으면서 성능 저하를 최소화하는 하드웨어 기반 커널 무결성 모니터의 필요성이 대두되고 있다. 이 논문에서는 하드웨어기반의 이벤트기반 커널 무결성 감시 기능을 갖춘 KI-Mon이라는 커널 무결성 감시 플랫폼을을 통해 커널의 가변 객체 감시를 가능케하고자 한다. 제안된 플랫폼은 기존의 연구보다 정교해진 버스 트래픽 감시 기능은 객체들의 변조값 검수를 효과적으로 만들고, 임의의 변조 값 이벤트 스페이스 (event space) 에 대하여 콜백 (callback) 방식의 검수 함수를 프로그램가능하도록 함으로써 가변 객체 감시 기능을 구현한다. 제안된 플랫폼의 프로토타입이 구현되었으며, 실험들을 통해서 플랫폼의 이벤트 기반 감시기능의 효용성을 증명하였으며, 감시 대상 시스템에 대한 성능 영향 그리고 플랫폼의 프로세서 사용량이 적정함 또한 증명하였다.