Proceedings of the Korean Information Science Society Conference (한국정보과학회:학술대회논문집)
- 2010.11a
- /
- Pages.90-94
- /
- 2010
- /
- 1598-5164(pISSN)
A Method of Intercepting System Calls on Hardware-assisted Virtualization Environment
하드웨어 지원 가상화 환경에서의 시스템 콜 인터셉트 기법
- Lee, Dong-Woo (Sunkyunkwan Univ. School of Information and Communication Eng.) ;
- Kim, In-Hyuk (Sunkyunkwan Univ. School of Information and Communication Eng.) ;
- Eom, Young-Ik (Sunkyunkwan Univ. School of Information and Communication Eng.)
- Published : 2010.11.05
Abstract
최근 많은 보안 공격 도구들은 커널 레벨에서 동작하도록 설계 되고 있다. 악의적인 행동이 시스템 모니터링 프로그램과 같은 권한 레벨에서 이루어지기 때문에 공격 도구들은 공격 대상으로부터 자신의 존재를 숨기고 활동할 수 있다. 이러한 커널 레벨 악성코드들에 대한 대처 방법으로 가상화 기술을 이용하는 더 높은 권한 레벨을 가진 가상머신모니터(VMM)에서의 시스템 모니터링 방법이 소개 되었다. 그러나 많은 가상화 기반 모니터링 도구들이 주로 페이지 폴트 예외를 이용하여 시스템 콜 호출을 감시하기 때문에 신뢰성이 떨어지고 확장 페이지 테이블 (EPT) 과 같은 최신 하드웨어 가상화 기술 지원을 받지 못한다. 이에 본 논문에서는 일반 보호 예외를 이용하는 새로운 시스템 콜 인터셉트 기법을 제안함으로써 기존 기법의 기술적 한계를 극복하고 신뢰도 높은 모니터링 기법을 제공하고자 한다. 또 해당 기법의 구체적 구현 방법을 서술하고 구현 결과를 실험함으로서 제안 기법을 검증한다.
Keywords