http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
명령어 특성 요약을 사용한 신경망 기반 ROP 공격 탐지의 성능 개선
이현규(Hyungyu Lee),표창우(Changwoo Pyo) 한국정보과학회 2021 정보과학회논문지 Vol.48 No.5
귀환 지향 프로그래밍(Return-Oriented Programming (ROP))은 메모리에 적재되어 있는 코드 조각들을 귀환 명령을 사용하여 원하는 순서대로 실행하는 프로그램 공격 기법이다. 이 논문은 신경망을 사용하여 ROP 공격을 효율적으로 탐지하는 방법을 제안하고 있다. 이 방법은 명령어 특징을 나타내는 요약을 사용하여 데이터의 크기를 축소시키고, 귀환 명령 이후에 실행되는 12개의 명령에 대해서만 신경망을 가동한다. 웹 서버와 브라우저, 그리고 이들 실행에 필요한 라이브러리를 사용한 실험에서 F1 점수 100을 유지하는 가운데 DeepCheck과 HeNet보다 각각 9.6배, 그리고 1,403.1배의 속도 향상을 보였다. Return-oriented programming (ROP) is a program attack technique that executes code snippets in memory following an attacker-intended order using return instructions. This paper proposes a method of detecting ROP attacks using neural networks. The method reduces the size of the data by using abstraction of instruction features relevant to ROP attacks rather than entire bits of instructions and activates the neural networks only for 12 instructions after a return instruction. Our experiments on a web server, browser, and the necessary libraries show speedups of 9.6 and 1,403.1 over DeepCheck and HeNet with an F1 score of 100.
이현규(Hyungyu Lee),이담호(Damho Lee),김태환(Taehwan Kim),조동황(Donghwang Cho),이상훈(Sanghoon Lee),김훈규(Hoonkyu Kim),표창우(Changwoo Pyo) 한국정보과학회 2015 정보과학회논문지 Vol.42 No.8
2011년에 발표된 RIPE는 프로그램 공격에 대한 완화 기법 평가 도구로서 850 가지 패턴의 버퍼 오버플로우 기반 공격에 대한 완화 기법만을 평가한다. RIPE는 공격과 방어 루틴이 하나의 프로세스로 실행되도록 구성되어, RIPE가 실행될 때에는 공격과 방어 루틴이 프로세스 상태와 주소 공간 배치를 공유할 수밖에 없게 된다. 그 결과 공격 루틴은 방어 루틴의 메모리 공간을 아무런 제약 없이 접근할 수 있게 된다. 이 논문에서는 RIPE의 공격과 방어 루틴이 독립적인 2개의 프로세스로 동작하도록 하여 주소 공간배치 난독화와 같은 기밀성에 근거한 방어 기법을 정확히 평가할 수 있도록 개선하였다. 또한 억지 공격에 대한 방어 능력을 실험할 수 있도록 실행 모드를 추가하였다. 마지막으로 vtable 포인터 공격과 형식문자열 공격을 수행하도록 38 가지 패턴의 공격을 추가하여 확장하였다. 개선 결과 공격 패턴이 다양하게 되었고, 보호 효과 평가의 정확성도 높아졌다. Runtime Intrusion Prevention Evaluator (RIPE), published in 2011, is a benchmark suite for evaluating mitigation techniques against 850 attack patterns using only buffer overflow. Since RIPE is built as a single process, defense and attack routines cannot help sharing process states and address space layouts when RIPE is tested. As a result, attack routines can access the memory space for defense routines without restriction. We separate RIPE into two independent processes of defense and attacks so that mitigations based on confidentiality such as address space layout randomization are properly evaluated. In addition, we add an execution mode to test robustness against brute force attacks. Finally, we extend RIPE by adding 38 attack forms to perform format string attacks and virtual table (vtable) hijacking attacks. The revised RIPE contributes to the diversification of attack patterns and precise evaluation of the effectiveness of mitigations.