융합보안논문지 (Convergence Security Journal)

한국융합보안학회 (Korea convergence Security Association)
권호 표지

악성코드 검출을 위한 확장된 프로세서 트레이스 디코더 구조 연구

A study of extended processor trace decoder structure for malicious code detection

  • 강승애 (남서울대학교 스포츠건강관리학과) ;
  • 김영수 (한국전자통신연구원) ;
  • 김종현 (한국전자통신연구원) ;
  • 김현철 (남서울대학교 컴퓨터소프트웨어학과)
  • 투고 : 2018.11.30
  • 심사 : 2018.12.17
  • 발행 : 2018.12.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

지금까지 오랜 시간 동안 범용 프로세서는 개발자에게 버그 수정을 할 수 있는 도구들을 제공하기 위해 전용 하드웨어/소프트웨어 트레이싱 모듈을 제공했다. 전용 하드웨어 트레이서는 성능 분석 및 디버깅에 모두 사용되는 막대한 양의 데이터를 로그로 실시간으로 생성한다. 프로세서 트레이스 (PT)는 CPU에서 실행되는 분기를 추적하는 Intel CPU를 위한 새로운 하드웨어 기반 추적 기능으로 최소한의 노력으로 모든 실행 코드의 제어 흐름을 재구성할 수 있다. 이러한 하드웨어 트레이스 기능들은 운영체제에 통합되어 프로파일 링 및 디버깅 메커니즘과의 긴밀한 통합이 가능하게 되었다. 본 논문에서는 윈도우 환경에서 PT가 제공하는 기능을 이용하여 실시간 트레이스 및 악성코드 검출을 위한 기본 데이터를 제공하는 확장된 PT 디코더 구조를 제안하였다.

For a long time now, general-purpose processors have provided dedicated hardware / software tracing modules to provide developers with tools to fix bugs. A hardware tracer generates its enormous data into a log that is used for both performance analysis and debugging. Processor Trace (PT) is a new hardware-based tracing feature for Intel CPUs that traces branches executing on the CPU, which allows the reconstruction of the control flow of all executed code with minimal labor. Hardware tracer has been integrated into the operating system, which allows tight integration with its profiling and debugging mechanisms. However, in the Windows environment, existing studies related to PT focused on decoding only one flow in sequence. In this paper, we propose an extended PT decoder structure that provides basic data for real-time trace and malicious code detection using the functions provided by PT in Windows environment.

키워드

참고문헌

  1. Napoleon C. Paxton, "Cloud Security: A Review of Current Issues and Proposed Solutions," International Conference on Collaboration and Internet Computing (CIC), pp. 452-455, 2016.
  2. Tahira Mahboob; Maryam Zahid; Gulnoor Ahmad, "Adopting information security techniques for cloud computing-A survey," International Conference on Information Technology, Information Systems and Electrical Engineering (ICITISEE), pp. 7-11, 2016.
  3. Jorg Thalheim; Pramod Bhatotia; Christof Fetzer, "INSPECTOR: Data Provenance Using Intel Processor Trace (PT)," International Conference on Distributed Computing Systems (ICDCS), pp. 25-34, 2016.
  4. Khalid El Makkaoui; Abdellah Ezzati; Abderrahim Beni-Hssane; Cina Motamed, "Cloud security and privacy model for providing secure cloud services," 2016 2nd International Conference on Cloud Computing Technologies and Applications (CloudTech), pp. 81-86, 2016.
  5. Bob Duncan; Alfred Bratterud; Andreas Happe, "Enhancing cloud security and privacy: Time for a new approach?," International Conference on Innovative Computing Technology (INTECH), pp. 110-115, 2016.
  6. Sin-Fu Lai; Hui-Kai Su; Wen-Hsu Hsiao; Kim-Joan Chen, "Design and implementation of cloud security defense system with software defined networking technologies," International Conference on Information and Communication Technology Convergence (ICTC), pp. 292-207, 2016.
  7. Andi Kleen, "Simple Intel CPU processor tracing on Linux," https://github.com/andikleen/simple-pt