서지주요정보
AA monitor : an efficient scheme to defend against address translation redirection attack = AA 모니터 : 주소 변환 재배치 공격에 대한 효과적인 방어
서명 / 저자 AA monitor : an efficient scheme to defend against address translation redirection attack = AA 모니터 : 주소 변환 재배치 공격에 대한 효과적인 방어 / Daegyeong Kim.
발행사항 [대전 : 한국과학기술원, 2015].
Online Access 원문보기 원문인쇄

소장정보

등록번호

8029703

소장위치/청구기호

학술문화관(문화관) 보존서고

MIS 15012

휴대폰 전송

도서상태

이용가능(대출불가)

사유안내

반납예정일

리뷰정보

초록정보

kernel rootkits that modifies its operating system kernel become the real threat. To defend against them, several hypervisor-based and hardware-based monitors have been introduced. Hypervisor-based monitors use hypervisor as a root-of-trust; however, the hypervisor itself has software vulnerabilities and performance overhead. Hardware-based monitors overcome the limitation by isolation from their host system. Nonetheless, a recent study introduced ATRA attack that relocate kernel objects and the related page table data structures to non-monitoring memory region in order to bypass existing hardware-based monitors. In this paper, we present AA Monitor (Anti-ATRA Monitor) that is an extension of Vigilare system to defend against ATRA. We modified the host processor to extract a CPU register value, which plays role in root pointer of page table structures. We show its effectiveness by implementing the AA Monitor prototype. Address Mapping Verifier in AA Monitor verifies the correctness of the value by walking page tables with the register value. The verifier compares the physical address from the result of the page table walking with the calculated physical address from previously stored kernel objects` virtual addresses. Also, PTBR Value Cache maintains the register values to avoid unnecessary verification. We evaluated our solution with STREAM Bench and observed 0.14% of the performance overhead in the host system, which is negligible.

커널 루트킷으로부터 커널을 보호하기 위한 연구가 활발히 되고 있다. 하이퍼바이저 기반의 모니터는 신뢰의 근원으로 하이퍼바이저를 사용하여 커널의 무결성을 모니터링하는 방법이다. 하지만 하이퍼바이저가 점점 더 복잡해지고 커지고 있고 그에 비례하는 숫자의 하이퍼바이저 자체 취약점이 보고 되고 있으며, 이것 자체가 성능부하를 일으킬 수 있다. 때문에 이러한 한계점을 극복할 수 있는 하드웨어 기반의 접근이 최근 활발하게 연구되고 있다. 하드웨어 모니터는 호스트 시스템과는 독립적으로 위치하여 커널의 무결성을 지속적으로 확인하는 시스템이다. 하지만 최근 호스트 시스템과 독립적으로 존재하는 이러한 하드웨어 모니터가 완전히 우회될 수 있는 공격인 ATRA가 제시되었다. 이 공격은 하드웨어 모니터가 호스트 시스템과 독립적으로 위치하여 호스트 프로세서의 정보를 볼 수 없다는 한계점을 이용하여 하드웨어 모니터가 지속적으로 모니터링하고 있는 페이지 테이블 자료구조를 모니터링 되지 않는 영역으로 재배치함으로써 하드웨어 모니터를 우회했다. 본 논문에서 우리는 ATRA 공격을 효과적으로 방어하는 솔루션인 AA Monitor를 제안한다. 우리 시스템에서 페이지 테이블 워킹을 시작할 때 필요로 하는 근원이 되는 값을 가지고 있는 PTBR(페이지 테이블 베이스 레지스터)의 값이 바뀔 때마다 수정된 호스트 프로세서는 그것을 AA Monitor에게 전달한다. AA Monitor 내에 있는 PTBR Value Cache는 해당 PTBR 값이 필터 내에 저장되어 있는 값과 일치하는지 확인한다. 만약 필터 내에 있으면 이미 검증이 끝난 값이므로 ATRA 공격이 일어나지 않았다고 판단한다. 하지만 필터에 없다면 Address Mapping Verifier의 검증을 거친 후 필터에 넣는다. Address Mapping Verifier의 검증은 다음과 같이 이루어 진다. 해당 PTBR 값과 Verifier가 가지고 있는 보호할 커널 객체의 가상 주소로 페이지 테이블을 워킹한다. 그 결과로 얻은 물리 주소와 저장되어 있는 가상 주소와 오프셋으로 계산한 물리 주소를 비교하여 다르면 ATRA 공격이 일어났다고 판단한다. 같으면 ATRA 공격이 일어나지 않은 것으로, PTBR 값이 가리키는 페이지 디렉토리를 모니터링 영역에 추가하고, 앞으로의 불필요한 검증을 피하기 위해서 PTBR Value Cache에 PTBR 값을 넣는다. 우리는 STREAM Bench를 통하여 AA Monitor의 호스트 시스템의 성능을 측정했고, 0.14%의 성능부하가 생기는 것을 확인했다. 우리 연구의 공헌은 다음과 같다. ATRA 공격이 사용하는 기존 하드웨어 커널 무결성 모니터들의 한계점을 극복하고자 수정된 프로세서를 통하여 PTBR을 추출했고, 이것으로 중요한 커널 객체의 물리 주소를 검증하였다. 또한, 검증된 PTBR 값을 저장하고 관리하여 PTBR 값 모두를 저장할 수 없는 하드웨어적인 한계점을 극복하고 모니터의 성능을 높혔다.

서지기타정보

서지기타정보
청구기호 {MIS 15012
형태사항 iv, 28 p. : 삽화 ; 30 cm
언어 영어
일반주기 저자명의 한글표기 : 김대경
지도교수의 영문표기 : Brent ByungHoon Kang
지도교수의 한글표기 : 강병훈
학위논문 학위논문(석사) - 한국과학기술원 : 정보보호대학원,
서지주기 References : p. 23-25
QR CODE

책소개

전체보기

목차

전체보기

이 주제의 인기대출도서