바이너리 패턴 분석을 이용한 멜트다운, 스펙터 악성코드 탐지 방법

김문선,이만희 한국정보보호학회 2019 정보보호학회논문지 Vol.29 No.6

Meltdown and Spectre are vulnerabilities that exploit out-of-order execution and speculative execution techniques to readmemory regions that are not accessible with user privileges. OS patches were released to prevent this attack, but oldersystems without appropriate patches are still vulnerable. Currently, there are some research to detect Meltdown and Spectreattacks, but most of them proposed dynamic analysis methods. Therefore, this paper proposes a binary signature that can beused to detect Meltdown and Spectre malware without executing them. For this, we collected 13 malicious codes fromGitHub and performed binary pattern analysis. Based on this, we proposed a static detection method for Meltdown andSpectre malware. Our results showed that the method identified all the 19 attack files with 0.94% false positive rate whenapplied to 2,317 normal files. Meltdown과 Spectre는 프로세서의 비순차 및 추측 실행의 취약점을 이용해 일반 사용자 권한으로 접근할 수 없는 메모리를 읽는 공격이다. 이 공격을 방지하기 위한 대응 패치가 공개되었으나, 적용 가능한 패치가 없는 오래된 시스템 등은 여전히 이 공격에 취약하다고 할 수 있다. 이 공격을 탐지하기 위한 연구가 이루어지고 있지만 대부분 동적 식별 방법을 제안하고 있다. 따라서 본 논문은 Meltdown과 Spectre 악성코드를 실행하지 않고 파일 상태에서탐지가 가능한 시그니처를 제안한다. 이를 위해 GitHub에 등록된 13종의 악성코드에 대한 바이너리 패턴 분석을 수행하였다. 이를 바탕으로 공격 파일 식별 방법을 제안하였으며, 실험결과 분석한 악성코드와 현재 악성코드 데이터베이스에 등록된 19개의 변종 악성코드를 100% 식별했고, 2,317개의 정상파일 중 0.94%(22건)의 오탐률을 보였다.

의사결정트리 기반 머신러닝 기법을 적용한멜트다운 취약점 동적 탐지 메커니즘

이재규,이형우 중소기업융합학회 2018 융합정보논문지 Vol.8 No.6

본 논문은 동적 샌드박스 도구를 이용하여 최근 급증하고 있는 멜트다운(Meltdown) 악성코드를 사전에 검출 및 차단하는 방법을 제시하였다. 멜트다운 공격 취약점에 대한 패치가 일부 제공되고 있으나 여전히 해당 시스템의 성능 저하 등의 이유로 의도적으로 패치를 적용하지 않는 경우가 많다. 이와 같이 적극적인 패치가 적용되지 않은 인프라를 위해 머신러닝 기법을 이용하여 기존의 시그니처 탐지 방식의 한계를 극복하는 방법을 제시하였다. 우선 멜트다운의 원리를 이해하기 위해 가상 메모리, 메모리 권한 체크, 파이프 라이닝과 추측 실행, CPU 캐시 등 4가지의 운영체제 구동 방식을 분석하고 이를 토대로 멜트다운 악성코드에 리눅스 strace 도구를 활용하여 데이터를 추출하는 메커니즘을 제공하였으며 이를 기반으로 의사 결정 트리 기법을 적용하여 멜트다운 악성코드를 판별하는 메커니즘을 구현하였다. In this paper, we propose a method to detect and block Meltdown malicious code which is increasing rapidly using dynamic sandbox tool. Although some patches are available for the vulnerability of Meltdown attack, patches are not applied intentionally due to the performance degradation of the system. Therefore, we propose a method to overcome the limitation of existing signature detection method by using machine learning method for infrastructures without active patches. First, to understand the principle of meltdown, we analyze operating system driving methods such as virtual memory, memory privilege check, pipelining and guessing execution, and CPU cache. And then, we extracted data by using Linux strace tool for detecting Meltdown malware. Finally, we implemented a decision tree based dynamic detection mechanism to identify the meltdown malicious code efficiently.

COMPASS - New modeling and simulation approach to PWR in-vessel accident progression

Michael Z. Podowski,Raf M. Podowski,김동하,배준호,손동건 한국원자력학회 2019 Nuclear Engineering and Technology Vol.51 No.8

The objective of this paper is to discuss the modeling principles of phenomena governing core degradation/melting and in-vessel melt relocation during severe accidents in light water reactors. The proposed modeling approach has been applied in the development of a new accident simulation package, COMPASS (COre Meltdown Progression Accident Simulation Software). COMPASS can be used either as a stand-alone tool to simulate in-vessel meltdown progression up to and including RPV failure, or as a component of an integrated simulation package being developed in Korea for the APR1400 reactor. Interestingly, since the emphasis in the development of COMPASS modeling framework has been on capturing generic mechanistic aspects of accident progression in light water reactors, several parts of the overall model should be useful for future accident studies of other reactor designs, both PWRs and BWRs. The issues discussed in the paper include the overall structure of the model, the rationale behind the formulation of the governing equations and the associated simplifying assumptions, as well as the methodology used to verify both the physical and numerical consistencies of the overall solver. Furthermore, the results of COMPASS validation against two experimental data sets (CORA and PHEBUS) are shown, as well as of the predicted accident progression at TMI-2 reactor.

멜트다운 취약점을 이용한 인공신경망 추출 공격

정호용(Hoyong Jeong),류도현(Dohyun Ryu),허준범(Junbeom Hur) 한국정보보호학회 2020 정보보호학회논문지 Vol.30 No.6

클라우드 컴퓨팅 환경에서 기계학습 서비스를 제공하는 Machine-Learning-as-a-Service(MLaaS) 등이 활발히 개발됨에 따라 보다 다양한 분야에서 인공지능 기술을 손쉽고 효과적인 방법으로 활용할 수 있게 되었다. 클라우드 환경에서는 가상화 기술을 통해 각 사용자에게 논리적으로 독립된 컴퓨팅 공간을 제공하는데, 최근 시스템의 취약점을 이용해 클라우드 테넌트(tenant) 사이에 다양한 부채널이 존재할 수 있다는 연구 결과가 발표되고 있다. 본 논문에서는 이러한 멀티-테넌시(multi-tenancy) 환경에서 멜트다운 취약점을 이용하여 딥러닝 모델의 내부 정보를 추출할 수 있는 현실적인 공격 시나리오를 제시한다. 이후 TensorFlow 딥러닝 서비스에 대한 실험을 통해 92.875%의 정확도와 1.325kB/s의 속도로 인공신경망의 모든 정보를 추출할 수 있음을 보인다. Cloud computing technology plays an important role in the deep learning industry as deep learning services are deployed frequently on top of cloud infrastructures. In such cloud environment, virtualization technology provides logically independent and isolated computing space for each tenant. However, recent studies demonstrate that by leveraging vulnerabilities of virtualization techniques and shared processor architectures in the cloud system, various side-channels can be established between cloud tenants. In this paper, we propose a novel attack scenario that can steal internal information of deep learning models by exploiting the Meltdown vulnerability in a multi-tenant system environment. On the basis of our experiment, the proposed attack method could extract internal information of a TensorFlow deep-learning service with 92.875% accuracy and 1.325kB/s extraction speed.

Performance Evaluation of Countermeasures to Speculative Execution Attacks

Ju-Hye Jeong(정주혜),Hee-min Lee(이희민),Tae-Weon Suh(서태원) 한국컴퓨터교육학회 2020 한국컴퓨터교육학회 학술발표대회논문집 Vol.24 No.2(A)

Until nowadays, performance has been the most important side optimizing the hardware specification [1]. However, the cache side channel attacks, e.g. Meltdown and Spectre have caused processor manufacturers to introduce performance impacting mitigations in both software and hardware [2]. To investigate the performance impact of the mitigations on Intel CPU, a test suite of 6 different benchmarks was done. This suite was tested on Linux. These tests probed the performance differences across mitigations vs. default. The test proved that the performance impact of microarchitectural mitigations is normally trivial, but non-trivial in some cases.

고령화와 자산수요 변화

강석훈(Seoghoon Kang) 한국재정학회(구 한국재정·공공경제학회) 2009 재정학연구 Vol.2 No.3

본고는 노동패널자료를 이용하여 가구주의 연령변화가 가구소비 및 자산보유액 그리고 총자산중 부동산자산 보유비중에 미치는 영향을 실증분석 하였다. 경제변수와 인구학적 변수들을 고려하는 경우 횡단면분석에서는 연령변수가 총자산에 영향을 미치는 유의한 변수가 아닌 것으로 나타나고, 패널분석에서는 연령변수가 유의한 변수로 나타나지만, 가구주연령이 85세가 되어서야 비로소 총자산이 감소하기 시작한다. 또한 연령만을 고려하는 경우 연령이 증가함에 따라 부동산자산 보유비중이 증가하다가 노인층이 되면 감소하는 것으로 나타나지만, 이 역시 경제변수와 인구학적 요인들을 감안하면 횡단면분석이나 패널분석에서 모두 통계적으로 유의한 결과는 아닌 것으로 나타났다. 이와 같은 결과는 고령화가 진전됨에 따라 자산수요가 감소하여 자산가격(부동산가격)이 폭락할 것이라는 가설은 지지되기 어려운 가설임을 시사하고 있다. 또한, 본고는 고령화에 따른 자산 및 부동산자산 비중의 변화요인으로 소득 및 지출의 차이라는 경로가 작동하고 있음을 보였다. This paper studies the age effect on household consumption, total wealth and proportion of real estate wealth over total wealth. In cross sectional analysis, the age has no statistically significant effect on total wealth and real estate proportion, but significant effect on total wealth in panel regression. The difference between household income and expenditure has also significant positive effect on the household wealth, which shows the possibility of negative effect of ageing on the household wealth holdings. But the overall negative age effect on household wealth is estimated to start from the age of 85.0. Based on these facts, we can infer that the asset meltdown hypothesis does not hold.

Comparison on Safety Features among HTGR’s Reactor Cavity Cooling Systems (RCCSs)

Takamatsu Kuniyoshi,Funatani Shumpei 한국원자력학회 2024 Nuclear Engineering and Technology Vol.56 No.3

Reactor cavity cooling systems (RCCSs) comprising passive safety features use the atmosphere as a coolant, which cannot be lost. However, their drawback is that they are easily affected by atmospheric disturbances. To realize the commercial application of the two types of passive RCCSs, namely RCCSs based on atmospheric radiation and atmospheric natural circulation, their safety must be evaluated, that is, they must be able to remove heat from the reactor pressure vessel (RPV) surface at all times and under any condition other than under normal operating conditions. These include both expected and unexpected natural phenomena and accidents. Moreover, they must be able to eliminate the heat leakage emitted from the RPV surface during normal operation. However, utilizing all of the heat emitted from the RPV surface increases the degree of waste heat utilization. This study aims to understand the characteristics and degree of passive safety features for heat removal by comparing RCCSs based on atmospheric radiation and atmospheric natural circulation under the same conditions. It was concluded that the proposed RCCS based on atmospheric radiation has an advantage in that the temperature of the RPV could be stably maintained against disturbances in the ambient air.