20161108

시스템 보안 개론
* Kernel integrity monitoring을 구현하는 방법에는 SW 기법, HW 기법이 있음. SW 기법은 hypervisor 기반으로 구현하는 것이고, HW 기법은 외부의 integrity monitor를 기반으로 구현하는 것이다.
* Kernel이 공격당했는지 보려면 kernel data structure를 봐야 함. 하지만 kernel 내의 시스템에서 보면 의미가 없고, kernel 밖에서 봐야 한다. 따라서 hypervisor에서 보고자 하는 시도가 많이 있었음. 하지만 hypervisor 역시 취약점이 있으므로, 공격의 여지가 있다.
* HyperSentry는 Intel SMM을 사용하여 외부에서 kernel integrity를 확인한다. SMI를 발생시켜 SMI handler로 하여금 kernel integrity를 확인하도록 하는 것.
* Kernel integrity를 확인하는 가장 기본적인 방법으로는 snapshot이 있을 수 있음. 일정 주기로 메모리의 snapshot을 확인하는 것(copilot). 더 효율적으로 확인하는 방법은 event 기반으로 kernel integrity를 확인하는 것. Event 기반으로 확인하면 더 좋겠지만, event 기반으로 확인하기 어려운 경우가 더 많다. snapshot의 차이를 확인할 때 diff할 수도 있고, hash값을 확인할 수도 있다. diff에는 너무 많은 연산이 필요하다는 문제가 있고, hash는 어디가 바뀌었는지 모른다는 문제가 있다.
* Copilot과 같이 snapshot 기반으로 확인하는 경우에는 transient attack이 발생할 수 있다. Transient attack을 어떻게 방어할 수 있나? 자주 snapshot을 찍어도 될 것이다. 하지만 그렇게 되면 memory bus를 많이 쓰게 될 것이다. 오버헤드가 커짐. Interval을 random하게 한다면 괜찮을 것이다.
* 특정 메모리 영역에 변조가 발생하는지 확인하는 방법이 무엇인가? 해당 메모리를 건드리는 traffic을 보는 것이 가장 좋은 방법이다. 따라서 vigilare에서는 coherence traffic을 기반으로 메모리 변조를 확인한다. 하지만 현실적이냐 하는 문제가 있음. 모든 트래픽을 보는 것이 아니라, 하드웨어 모듈을 사용해 필터링한 트래픽을 본다.
* Vigilare가 기존의 copilot보다 어떤 점에서 나은지 보여주려면 어떤 것에 대한 평가가 필요한가? transient attack을 잘 방어하는지 확인해야 함. area overhead, power overhead, space overhead, memory bandwidth overhead에 대한 측정이 필요하다. Memory bandwidth overhead는 어떻게 측정할 것인가? 하드웨어 카운터를 붙일 수도 있다. Memory benchmark를 돌릴 수도 있다. 보안 메커니즘 적용한 것과 적용하지 않은 것의 성능 차이를 보여주면 된다.
* 메모리 변조 duration, 탐지 주기에 따른 탐지율 결과도 필요함.
* power, area overhead에 대한 평가는 왜 빠졌나? 이 논문에서 주장하는 것은 새로운 탐지 메커니즘에 대한 것이지, 구현의 완벽성을 이야기하고자 하는 것이 아님. 따라서 power, area overhead에 대한 평가는 무의미하다.

Advertisements
Posted in 1) Memo

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

누적 방문자 수
  • 88,534 hits
%d bloggers like this: