인과적 메시지 로깅에서 확장성 지원 방법

김기범(Kibom Kim),황종선(Chung-Sun Hwang),유헌창(HeonChang Yu),손진곤(JinGon Shon),정순영(SoonYoung Jung) 한국정보과학회 2000 정보과학회논문지 : 시스템 및 이론 Vol.27 No.4

인과적 메시지 로깅기법은 프로세스의 파손 결함을 포용하는 분산 시스템을 작은 비용으로 구축할 수 있는 기법이다. 기존의 인과적 메시지 로깅기법은 결함 포용 시스템 내에 고정된 수의 프로세스가 존재한다는 기본가정을 갖고 있다. 이러한 가정은 새로운 프로세스의 추가 혹은 현존하는 프로세스의 소멸 시 모든 프로세스들이 자신의 자료구조를 변경해야 한다. 그러나, 우리는 각각의 프로세스가 모든 프로세스에 대한 목록을 유지하는 것이 아니라 통신을 수행하는 프로세스에 대한 목록을 유지하도록 한다. 이러한 방법은 결함 포용시스템을 여러 다른 스케일에서도 동작하도록 하여 준다. 이러한 기법을 이용하여, 우리는 현존하는 인과적 메시지 로깅 기법에 적용할 수 있는 새로운 회복 알고리즘을 개발하였다. 제안하는 알고리즘은 1) 회복리더를 필요로 하지 않는 분산화된 기법이고, 2) 회복이 진행되는 동안 정상프로세스의 실행을 막지 않는 비방해기법이고, 3) 여러 프로세스의 동시 결함도 포용할 수 있는 기법이다. 기존의 인과적 메시지 로깅기법에서는 위의 성질 중 하나 이상을 만족시키지 못했다. The causal message logging is a low-cost technique of building a distributed system that can tolerate process crash failures. Previous research in causal message logging protocol assumes that the number of processes in a fault-tolerant system is fixed. This assumption makes all processes modify their data structures when a new process is added or an existing process terminates. However, the proposed approach in this paper allows to each process retain identifiers of only the communicating processes instead of all processes. This mechanism enables the fault-tolerant system to operate at many different scales. Using this mechanism, we develop a new algorithm that can be adapted for recovery in existing causal message logging protocols. Our recovery algorithm is 1) a distributed technique which does not require recovery leader, 2) a nonblocking protocol which does not force live processes to block while recovery is in progress, and 3) a novel mechanism which can tolerate failures of an arbitrary number of processes. Earlier causal message logging protocols lack one or more of the above properties.

소프트웨어 참조 데이터세트 구축 동향

김기범(Kibom Kim),박상서(Sangseo Park) 한국정보보호학회 2008 情報保護學會誌 Vol.18 No.1

디지털 포렌식에서 증거 데이터 분석의 효율성을 높이기 위해서는 잘 알려진 파일을 분석 대상에서 제외하거나, 특정 파일의 존재여부에 대한 검사가 필요하다. 이를 위하여, 시스템 파일, 폰트 파일, 응용 프로그램 파일 등 분석 이 필요없는 파일 및 루트킷, 백도어, 익스플로잇 코드 등 악성 파일에 대한 해쉬 값을 미래 계산하여 저장해 둔 것을 소프트웨어 참조 데이터세트라고 한다. 이 논문에서는 소프트웨어 참조 데이터세트 구축에 대한 주요 동향에 대하여 살펴본다. 특히, 소프트웨어 참조 데이터세트 구축을 주도하고 있는 미국의 NSRL RDS에 대하여 활용가능성 측면에서 구체적으로 살펴본다. NSRL RDS에 대한 분석결과 실제 컴퓨터 포렌식 도구에서 활용하기 매우 어렵다는 사실을 알 수 있다.

결함 주입을 이용한 소프트웨어 보안 테스팅

김기범(Kibom Kim),최영한(Younghan Choi),양진석(Jinseok Yang),홍순좌(Soonjwa Hong) 한국정보보호학회 2006 情報保護學會誌 Vol.16 No.5

사이버 공격이 급증함에 따라 이를 사전에 효과적으로 예방할 수 있는 소프트웨어 보안 테스팅의 필요성이 점차 증대되고 있다. 결함 주입 기법은 사이버 공격과 마찬가지로 프로그램의 외부에 노출된 인터페이스에 고의적으로 결함을 주입하는 방법으로 보안 취약점을 찾는 우수한 방법이다. 이 논문에서는 결함 주입 기법의 기본적인 개념을 살펴본다. 또한, 결함 주입을 수행하는 절차인 결함 주입 대상 외부 인터페이스 선택, 결함 유발 가능 입력 데이터 생성, 결함 주입에 따른 이상현상 탐지 각각에 대한 개요 및 최근 동향을 기술한다.

메시지 구간을 이용한 복귀가 없는 파손 회복 기법

김기범(Kibom Kim),황종선(Chong-Sun Hwang),정광식(GwangSik Chung),유헌창(HeonChang Yu) 한국정보과학회 1996 한국정보과학회 학술발표논문집 Vol.23 No.1A

분산 시스템의 성능 향상에 비례하여 결함 포용에 대한 연구의 중요성이 점점 증가하고 있다. 결합 포용에 대한 기존 연구들은 파손 발생시 복귀를 고려한 일관적 전역 상태에 기반한 방법과 메시지를 받은 프로세스가 메시지를 로깅하여 프로세스의 수행을 계속 진행시키는 방법들이 주류를 이루어 왔다. 그러나 이들 방법은 정상 실행시 결함 포용을 보장하기 위한 프로세스들 사이의 동기화와 결함발생시의 일관성 유지에 많은 오버헤드를 유발시킨다. 본 연구에서는 메시지 구간 MI와 송신 프로세스의 메시지를 로깅함으로써 이러한 오버헤드를 감소시키는 파손 회복 기법을 제안한다. 제안하는 회복 알고리즘은 파손 발생시 복귀를 통하여 일관된 전역 상태를 만드는 것이 아니라, 파손이 발생한 프로세스만을 재실행함으로써 일관된 전역 상태가 되도록 하였다. 결국, 제안하는 방법은 정상실행시 검사점을 취하기 위한 프로세스간의 동기화를 위한 오버헤드를 감소시키고 파손 발생시 정상인 프로세스의 복귀를 없앰으로써 프로세스들의 진행의 정도를 높인다.

통신 패턴에 기반한 메시지 로깅

김기범(Kibom Kim),유헌창(HeonChang Yu),안진호(JinHo Ahn),황종선(Chong Sun Hwang) 한국정보과학회 1998 한국정보과학회 학술발표논문집 Vol.25 No.2Ⅲ

메시지로깅을 이용한 기존의 메시지 로깅기법에서는 모든 메시지에 대한 처리를 동일하게 수행하였다. 반면, 이 논문에서는 통신 패턴에 대한 연구를 바탕으로 통신시에 발생하는 중요한 성질인 통신국부성을 발견하였다. 이를 기반으로 프로세스의 통신 집합을 유지하도록 함으로써 결함 발생 후 모든 프로세스에게 도움을 요청하는 메시지를 보는 것이 아니라 오직 자신과 통신을 수행했던 프로세스에게만 메시지를 보내는 기법을 제안한다.

인과적 메시지 로깅을 위한 효율적 회복 알고리즘

안진호,김기범,황종선 고려대학교 컴퓨터과학기술연구소 2001 JOURNAL OF COMPUTER SCIENCE & ENGINEERING TECHNOLO Vol.3 No.-

인과적 메시지 로깅은 정상수행시 낙관적 메시지 로깅의 장점을 가지고, 회복시 비관적 메시지 로깅의 장점을 가지고 있다. 본 논문에서는 회복 프로세스들간의 비등기성을 향상시키기 위한 인과적 메시지 로깅에 기반한 새로운 회복 알고리즘을 제안하고자 한다. 기존의 인과적 메시지 로깅 기반 회복 알고리즘들은 살아있는 프로세스들의 수행을 대기시키거나, 회복 프로세스들간의 높은 동기성을 요구한다. 본 논문에서 제안하는 회복 알고리즘은 각 회복 프로세스가 자신의 회복만을 책임지게 함으로써, 여러 개의 프로세스들이 동시적으로 고장이 발생하더라도 회복시 살아있는 프로세스들의 수행을 대기시키지 않고, 회복 프로세스들 중 하나의 회복 프로세스에게만 과부하가 발생하지 않도록 한다 또한, 제안하는 알고리즘은 각 회복 프로세스의 회복 과정이 다른 회복 프로세스의 연속적인 고장들에 의해 지연되지 않도록 한다. Causal message logging has advantages of optimistic message logging during failure-free execution and pessimistic message logging during recovery. In this paper, we present a new recovery algorithm based on causal message logging for improving asynchrony among recovering processes. Existing recovery algorithms based on causal message logging block the execution of live processes or require high synchronization among recovering processes. As each recovering process is responsible for only its recovery in our algorithm, the algorithm avoids blocking the execution of live processes during recovery even in concurrently multiple failures and overloading only one among recovering processes. Moreover, it allows the recovery of each recovering process not to be delayed by the continuous failures of other recovering processes.

NTFS 파일시스템 기반 파일 접근 흔적 식별 연구

김은진(Eunjin Kim),김기범(Kibom Kim),황현욱(Hyunuk Hwang) 한국디지털포렌식학회 2017 디지털 포렌식 연구 Vol.11 No.2

디지털 기기에서 사용된 파일을 식별 하는 것은 디지털 포렌식 수사의 핵심 요소이며 사용자의 의도를 파악하는데 활용되는 방법이다. 디지털 포렌식 조사관들은 Windows 운영체제 환경에서 파일 접근 흔적을 식별하기 위해 다양한 아티팩트를 연구하고 분석해 오고 있다. Windows 운영체제에서 파일 접근 흔적을 찾을 수 있는 방법 중 대표적인 것은 링크 파일과 점프리스트를 분석하는 것이다. 그러나 링크 파일과 점프리스트는 쉽게 삭제될 수 있다. 본 논문에서는 Windows 운영체제에서 링크 파일과 점프리스트가 고의로 삭제되었을 때 파일 접근 흔적을 식별하기 위해서 NTFS 파일시스템을 분석하는 방법을 제안한다. NTFS 파일시스템에 속한 모든 파일들은 MFT 엔트리를 가지고 있다. 그리고 Windows 운영체제 환경에서 파일에 접근 할 때, MFT 엔트리에 $OBJECT_ID 속성이 생성된다. 따라서 MFT 엔트리에서 $OBJECT_ID 속성의 존재 유무를 조사하는 것으로 파일 접근 여부를 식별할 수 있다. 이러한 연구를 바탕으로 본 논문에서 제안하고 있는 방법은 사용자가 고의로 링크 파일을 삭제 했을 때 MFT 엔트리의 $OBJECT_ID 속성 정보를 분석하는 기법으로, 이 방법을 이용 하면 파일의 접근 여부를 파악 할 수 있다. 실험 결과 링크 파일을 삭제하고 재부팅을 5회 하였음에도 파일의 $OBJECT_ID 속성은 계속 유지되어 접근 여부 파악에 활용할 수 있다. Identifying used files from digital devices is a key element of digital forensic investigation and is essential to understand the intension of suspect. Digital forensic investigators have studied and analyzed various artifacts to identify file access traces in the Windows operating system. All files in NTFS filesystem have MFT entries. Well-known methods for identifying accessed files in Windows operation system is the analysis of link files and jumplists. However, link files and jump lists can be easily deleted. In this paper, we propose a method to analyze the NTFS file system to identify the file access when the link file and the jump list are intentionally deleted in the Windows operating system. When a file is accessed in Windows operating system, the $OBJECT_ID attribute is created in the MFT entry. Therefore it can be identified whether a file is accessed by examining the existence of the $OBJECT_ID attribute in the MFT entry. Based on this study, the proposed method can know whether a file is accessed by analyzing the $OBJECT_ID attribute information of the MFT entry even though a user deliberately deletes a link file. From the experiments, even if link files were deleted and the system was rebooted five times, the $OBJECT_ID attribute of files was retained and can be used to identify file access.

인과적 메시지 전달 순서를 기반한 낙관적 메시지 로깅 기법을 위한 효율적 회복 알고리즘

백맹순(MaengSoon Baik),김기범(Kibom Kim),안진호(Jinho Ahn),황종선(ChongSun Hwang) 한국정보과학회 2000 한국정보과학회 학술발표논문집 Vol.27 No.2Ⅰ

급격한 통신의 발달은 분산시스템의 메시지 전달 환경을 FIFO 뿐만 아니라, 인과적 순서로도 가능케 한다. 낙관적 메시지 로깅 기법은 프로세서의 결함을 저비용으로 회복할 수 있다. 기존의 낙관적 메시지 로깅기법은 인과적 메시지 전달 순서를 보장해주는 환경에 적용되었을 때, 회복과정시 각 프로세스가 전체 프로세스에게 회복메시지를 브로드캐스팅함으로써 불필요한 오버헤드를 가진다. 그러나 제안하는 알고리즘은 회복과정을 시작하고 종료하는 시점에서 조정자 프로세스만 전체 프로세스에게 회복메시지를 브로드캐스팅함으로써 이러한 오버헤드를 줄일 수 있다. 즉, 조정자 프로세스가 아닌 프로세스는 정상수행시 유지하고 있는 상태정보에 기반하여 자신과 의존성이 존재하는 프로세스에게만 회복메시지를 선택적으로 멀티캐스팅함으로써 회복과정시 필요한 메시지를 수를 줄이고 전체적인 회복비용을 감소시킨다.

악성코드 탐지를 위한 물리 메모리 분석 기술

강영복(YoungBok Kang),황현욱(Hyunuk Hwang),김기범(Kibom Kim),손기욱(Kiwook Sohn),노봉남(Bongnam Noh) 한국정보보호학회 2014 情報保護學會誌 Vol.24 No.1

악성코드는 다양해진 감염 경로를 통해 쉽게 노출될 수 있으며, 개인정보의 유출뿐만 아니라 봇넷을 이용한 DDoS 공격과 지능화된 APT 공격 등을 통해 심각한 보안 위협을 발생시키고 있다. 최근 악성코드들은 실행 후에는 메모리에서만 동작하는 방식으로 파일로 존재하지 않기 때문에 기존의 악성코드 탐지 기법으로 이를 찾기가 쉽지 않다. 이를 극복하고자 최근에는 물리 메모리 덤프를 포함하여 악성코드 분석 및 탐지 연구가 활발하게 진행되고 있다. 본 논문에서는 윈도우 시스템의 물리 메인 메모리에서 악성코드 탐지 기술에 대해 설명하고, 기존 개발된 물리 메모리 악성코드 탐지 도구에 대한 분석을 수행하여 도구별 악성코드 탐지 기능에 대한 특징을 설명한다. 물리 메모리악성코드 탐지 도구의 분석 결과를 통해 기존 물리 메모리 악성코드 탐지 기술의 한계점을 제시하고, 향후 정확하고 효율적인 물리 메모리 악성코드 탐지의 기반 연구로 활용하고자 한다.

디스크 암호화 키의 효율적인 탐색을 위한 커널 메모리 수집 방법

강영복(Youngbok Kang),황현욱(Hyunuk Hwang),김기범(Kibom Kim),이경호(Kyoungho Lee),김민수(Minsu Kim),노봉남(Bongnam Noh) 한국정보보호학회 2013 정보보호학회논문지 Vol.23 No.5

디스크 암호화 소프트웨어로 데이터를 암호화 하는 경우 패스워드를 획득하기 전까지 암호화 데이터의 원본 데이터를 추출하기 위해서는 많은 어려움이 있다. 이러한 디스크 암호화 소프트웨어의 암호화 키는 물리 메모리 분석을 이용하여 암호화 키를 추출할 수 있다. 물리 메모리에서 암호화 키 탐색을 수행하는 경우 일반적으로 메모리 전체를 대상으로 탐색을 수행하기 때문에 메모리 크기에 비례하여 많은 시간이 요구된다. 하지만 물리 메모리 데이터에는 시스템 커널 오브젝트, 파일 데이터와 같이 암호화 키와 관련이 없는 많은 데이터가 포함되어 있음으로, 이를 분석하여 키 탐색에 필요한 유효한 데이터를 추출하는 방법이 요구된다. 본 논문에서는 윈도우즈 커널 가상 주소 공간 분석을 통해 물리 메모리에서 디스크 암호화 키가 저장되는 메모리 영역만 수집하는 효율적인 방법을 제시하고자 한다. 실험을 통해 제안된 방법이 기존 방법보다 암호화 키 탐색 공간을 효율적으로 줄임으로써 우수함을 증명한다. It is hard to extract original data from encrypted data before getting the password in encrypted data with disk encryption software. This encryption key of disk encryption software can be extract by using physical memory analysis. Searching encryption key time in the physical memory increases with the size of memory because it is intended for whole memory. But physical memory data includes a lot of data that is unrelated to encryption keys like system kernel objects and file data. Therefore, it needs the method that extracts valid data for searching keys by analysis. We provide a method that collect only saved memory parts of disk encrypting keys in physical memory by analyzing Windows kernel virtual address space. We demonstrate superiority because the suggested method experimentally reduces more of the encryption key searching space than the existing method.