Earticle

초록

영어

In this paper, we propose a method to detect and block Meltdown malicious code which is increasing rapidly using dynamic sandbox tool. Although some patches are available for the vulnerability of Meltdown attack, patches are not applied intentionally due to the performance degradation of the system. Therefore, we propose a method to overcome the limitation of existing signature detection method by using machine learning method for infrastructures without active patches. First, to understand the principle of meltdown, we analyze operating system driving methods such as virtual memory, memory privilege check, pipelining and guessing execution, and CPU cache. And then, we extracted data by using Linux strace tool for detecting Meltdown malware. Finally, we implemented a decision tree based dynamic detection mechanism to identify the meltdown malicious code efficiently.

한국어

본 논문은 동적 샌드박스 도구를 이용하여 최근 급증하고 있는 멜트다운(Meltdown) 악성코드를 사전에 검출 및 차단하는 방법을 제시하였다. 멜트다운 공격 취약점에 대한 패치가 일부 제공되고 있으나 여전히 해당 시스템의 성능 저하 등의 이유로 의도적으로 패치를 적용하지 않는 경우가 많다. 이와 같이 적극적인 패치가 적용되지 않은 인프라를 위해 머신 러닝 기법을 이용하여 기존의 시그니처 탐지 방식의 한계를 극복하는 방법을 제시하였다. 우선 멜트다운의 원리를 이해하기 위해 가상 메모리, 메모리 권한 체크, 파이프 라이닝과 추측 실행, CPU 캐시 등 4가지의 운영체제 구동 방식을 분석하고 이를 토대로 멜트다운 악성코드에 리눅스 strace 도구를 활용하여 데이터를 추출하는 메커니즘을 제공하였으며 이를 기반으 로 의사 결정 트리 기법을 적용하여 멜트다운 악성코드를 판별하는 메커니즘을 구현하였다.

목차

요약
Abstract
1. 서론
2. 멜트다운 공격
2.1 정의 및 위험도
2.2 취약점 발생 원인
3. 멜트다운 공격 방식 상세 분석
3.1 멜트다운 공격 원리
3.2 멜트다운 공격 방식
4. 멜트다운 공격 탐지
4.1 SIGSEGV 시그널 발생 모니터링
4.2 멜트다운 공격 탐지 메커니즘 제시
4.3 임계치 측정을 위한 의사결정트리 적용
4.4 CPU/메모리 부하에 따른 임계치 측정
4.5 탐지 방식 비교
5. 결론
REFERENCES

키워드

저자

• 이재규 [ Jae-Kyu Lee | 한신대학교 컴퓨터공학부 연구원 ]
• 이형우 [ Hyung-Woo Lee | 한신대학교 컴퓨터공학부 교수 ] Corresponding Author

참고문헌

발행기관

간행물

표지보기 관심저널 등록

• 간행물명

  융합정보논문지(구 중소기업융합학회논문지) [Journal of Convergence for Information Technology]

• 간기

  월간

• pISSN

  2586-1816

• eISSN

  2586-4440

• 수록기간

  2011~2022

• 십진분류

  KDC 004 DDC 004