한국정보과학회논문지:컴퓨팅의 실제 및 레터 (Journal of KIISE:Computing Practices and Letters)

한국정보과학회 (Korean Institute of Information Scientists and Engineers)
권호 표지

임베디드 리눅스에서 서명 검증 방식을 이용한 악성 프로그램 차단 시스템

Preventing ELF(Executable and Linking Format)-File-Infecting Malware using Signature Verification for Embedded Linux

  • 이종석 (포항공과대학교 컴퓨터공학과) ;
  • 정기영 (포항공과대학교 컴퓨터공학과) ;
  • 정다니엘 (포항공과대학교 컴퓨터공학과) ;
  • 김태형 (포항공과대학교 컴퓨터공학과) ;
  • 김유나 (포항공과대학교 컴퓨터공학과) ;
  • 김종 (포항공과대학교 컴퓨터공학과)
  • 발행 : 2008.08.15
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

오늘날 모바일 기기들의 발전과 통신망의 고속화, 광역화와 함께 사용자의 중요한 정보를 유출하거나 특정 기기의 사용을 방해하는 보안 위협도 점점 증가하고 있다. 모바일 기기에서 널리 사용될 것이라 예상되는 임베디드 리눅스 또한 이러한 보안 위협으로부터 안전하지 못하다. 본 논문에서는 임베디드 리눅스를 위협하는 악성 프로그램의 특징에 대해 알아보고 그에 대한 대응책으로 임베디드 시스템의 특성을 고려한 서명 검증 방식을 이용한 악성 프로그램 차단 시스템을 제안한다. 제안하는 시스템은 악성 프로그램 검사 엔진 서버와 LSM 기반의 커널 모듈로 구현된 시스템으로 구성되며, 메모리에 상주하여 악성 프로그램을 감시하는 일반적인 실시간 감시 프로그램과는 달리, 커널 레벨에서 프로그램이 실행되는 순간 파일의 변조 여부를 검사하여 악성 프로그램의 실행을 사전 차단한다. 실험을 통해 제안한 시스템이 적은 오버헤드로 악성 프로그램의 실행을 효과적으로 사전 차단하는 것을 확인하였다.

These days, as a side effect of the growth of the mobile devices, malwares for the mobile devices also tend to increase and become more dangerous. Because embedded Linux is one of the advanced OSes on mobile devices, a solution to preventing malwares from infecting and destroying embedded Linux will be needed. We present a scheme using signature verification for embedded Linux that prevents executallle-Infecting malwares. The proposed scheme works under collaboration between mobile devices and a server. Malware detection is delegated to the server. In a mobile device, only integrity of all executables and dynamic libraries is checked at kernel level every time by kernel modules using LSM hooks just prior to loading of executables and dynamic libraries. All procedures in the mobile devices are performed only at kernel level. In experiments with a mobile embedded device, we confirmed that the scheme is able to prevent all executable-Infecting malwares while minimizing damage caused by execution of malwares or infected files, power consumption and performance overheads caused by malware check routines.

키워드

참고문헌

  1. Axelle Apvrille, David Gordon, Serge Hallyn, Makan Pourzandi, Vincent Roy, "DigSig: Run-time Authentication of Binaries at Kernel Level," Proceedings of the 18th USENIX conference on System administration (LISA 2004), 2004
  2. Symantec AntiVirus for Handhelds, Available at http://www.symantec.com/
  3. Kaspersky AntiVirus Mobile, Available at http:// www.kaspersky.com/trials?chapter=171229147
  4. Trend Micro Miblie Security, Available at trendmicro.com/mobilesecurity
  5. F-Secure Mobile Anti-Virus, Available at http:// mobile.f-secure.com/
  6. McAfee Mobile Security, Available at http://www. mcafee.com/us/enterprise/products/mobile_security/index.html
  7. V3 Mobile, Available at http://www.ahnlab.com/
  8. 금융결제원, 공인인증서비스, Available at http://www. yessign.or.kr/service/certi_about.php
  9. Peter Loscocco, Stephen Smalley, "Integrating Flexible Support for Security Policies into the Linux Operating System," In Proceedings of the FREENIX Track: 2001 USENIX Annual Technical Conference (FREENIX '01), June 2001
  10. Winfried Trumper, "Summary about POSIX.1e," http://wt.xpilot.org/publications/posix.1e, July 1999.
  11. Serge Hallyn, Phil Kearns, "Domain and Type Enforcement for Linux," In Proceedings of the 4th Annual Linux Showcase and Conference, October 2000
  12. Linux Security-Module (LSM) Framework, Available at http://lsm.immunix.org
  13. H. Krawczyk, M. Bellare, R. Canetti, "RFC 2104 - HMAC: Keyed-Hashing for Message Authentication," 1997
  14. D. Maughan, M. Schertler, M. Schneider, J. Turner, "RFC 2408 - Internet Security Association and Key Management Protocol (ISAKMP)," 1998
  15. ClamAV, Available at http://www.clamav.net/
  16. Milena Milenković, Aleksandar Milenkovic, Emil Jovanov, "Hardware Support for Code Integrity in Embedded Processors," Proceedings of the 2005 International Conference on Compilers, Architecture, and Synthesis for Embedded Systems (CASES 2005), 2005