• 인터넷정보학회논문지
• /
• 제19권3호
• /
• pp.15-23
• /
• 2018

코드 재사용 공격은 프로그램 메모리상에 존재하는 실행 가능한 코드 조각을 조합하고, 이를 연속적으로 실행함으로써 스택에 직접 코드를 주입하지 않고도 임의의 코드를 실행시킬 수 있는 공격 기법이다. 코드 재사용 공격의 대표적인 종류로는 ROP(Return-Oriented Programming) 공격이 있으며, ROP 공격에 대응하기 위한 여러 방어기법들이 제시되어왔다. 그러나 기존의 방법들은 특정 규칙을 기반으로 공격을 탐지하는 Rule-base 방식을 사용하기 때문에 사전에 정의한 규칙에 해당되지 않는 ROP 공격은 탐지할 수 없다는 한계점이 존재한다. 본 논문에서는 RNN(Recurrent Neural Network)을 사용하여 ROP 공격 코드에 사용되는 명령어 패턴을 학습하고, 이를 통해 ROP 공격을 탐지하는 방법을 소개한다. 또한 정상 코드와 ROP 공격 코드 판별에 대한 False Positive Ratio, False Negative Ratio, Accuracy를 측정함으로써 제안한 방법이 효과적으로 ROP 공격을 탐지함을 보인다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2004년도 추계학술발표논문집(상)
• /
• pp.429-432
• /
• 2004

자바 언어는 객체지향 언어이며 효율적인 애플리케이션을 개발하기 위해 설계되었다. 특히 다양한 개발 환경과 이식성에 맞는 언어로써 각광을 받고 있다. 하지만 자바 언어로 애플리케이션을 개발하면 다른 언어로 작성하는 것 보다 실행이 느리다는 단점을 가지고 있다. 이러한 자바 실행 속도를 극복하기 위해 많은 연구가 되고 있는데, 그 중에서도 JIT방식과 네이티브 코드로 변환 방식이 있다. 본 논문은 스택기반의 자바 바이트코드에서 3-주소 형태로 변환하여 최적화하는 CTOC중에서 바이트코드에서 3-주소 형태 즉 CTOC-T의 중간 표현인 CTOC-B를 설계하려 한다. CTOC-B는 스택기반의 중간표현으로써 자바 바이트코드보다 코드의 변환과 분석이 용이하게 만든 형태의 표현이다. 본 논문에서는 자바 바이트코드에서 스택기반 중간코드인 CTOC-B 코드로의 효율적인 변환기를 설계하며, CTOC-B의 특징을 분석해 본다.

• 한국인터넷방송통신학회논문지
• /
• 제12권2호
• /
• pp.189-197
• /
• 2012

고수준의 명세나 고수준의 프로그래밍 언어로 작성된 원시 코드를 이용하여 테스트 데이터를 생성하는 것이 일반적이다. 그러나 어떤 상황에서는 이러한 테스트 데이터 생성 정보가 항상 이용가능하지 않을 수 있다. 이 논문에서는 실행가능 목적코드를 바탕으로 테스트 데이터를 생성하는 방법을 제안한다. 제안된 방법은 정교한 목적 코드 분석을 필요로 하지 않은 매우 간단한 함수 최소화 기법을 사용하여 동적으로 테스트 데이터를 생성한다. 삼각형 분류 프로그램에 대한 실험을 통하여 분기 커버리지를 매우 효과적으로 달성함을 보인다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2001년도 춘계학술발표논문집 (상)
• /
• pp.193-196
• /
• 2001

본 논문은 ATM(Abstract Timed Machine)으로 명세된 실시간 시스템에 대한 재/역공학 측면에서의 개발 및 검증을 위한 코드 변환기를 설계한다. ATM은 모드(mede), 전이(transition), 포트(per)로 구성되는데, 순공학 과정에서 실시간 시스템을 설계, 명세 하는 기존의 정형기법과는 달리 ATM은 소프트웨어의 순환공학 과정에서 사용하기 위해 설계되었다. ATM은 기존 정형기법이 순공학 과정에서의 특정 물리적 환경에서 실행되는 동적행위에 대한 부적절한 표현에 대해 순환공학에서 실시간 시스템의 속성은 물론 특정 환경과 동적 정보 등을 명세하기 위한 정형 기법으로서, 본 논문에서는 DoME을 이용하여 ATM 명세도구를 개발하고 이를 이용하여 실시간 시스템의 특정 요구사항을 위한 ATM을 명세한다. 또한 해당 ATM을 DOME/ATM 스크립트 파일로 저장하고 이에 대한 명세분석을 통해 노드와 관련된 정보를 추출하여 다른 분석도구가 이용할 수 있도록 DB에 저장하거나 매개 언어인 SRL/ATM으로 변환하며, 이러한 SRL/ATM으로부터 실행코드에 대한 관련 정보를 추출하여 실시간 시스템 개발 및 검증을 위한 Ada 코드를 생성할 수 있는 코드 변환기를 설계한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2017년도 추계학술발표대회
• /
• pp.279-280
• /
• 2017

최근 ARM, Intel 등의 주요 CPU 제조사에서는 운영체제 등 상위 레벨 소프트웨어에 대한 공격으로부터 어플리케이션의 보안상 민감한 부분을 보호하려는 목적으로 신뢰실행환경(Trusted Execution Environment, TEE)이라는 격리된 실행 환경을 자사의 칩에 제공하고 있다. TEE를 활용하기 위해서는 일반 실행 환경에서 수행될 코드와 TEE에서 수행될 코드를 각각 작성하여야 한다. 본 논문에서는 TEE 프로그램 개발의 편의를 위해, 기존에 작성된 C 프로그램을 분석하여 보안상 민감한 정보를 처리하는 부분을 분석하는 도구를 제시한다. 개발자가 기존 C 프로그램에서 보안상 민감한 정보가 유입되는 부분을 표시하면 본 도구는 민감한 정보가 처리되는 함수 목록을 분석하고, 개발자는 이를 바탕으로 일반 실행 환경과 TEE에서 수행될 코드를 작성할 수 있다.

• 정보처리학회논문지C
• /
• 제13C권4호
• /
• pp.397-404
• /
• 2006

소프트웨어 공격이 성공하기 위해서는 공격 코드가 프로그램의 주소 공간에 주입된 후 프로그램의 제어 흐름이 공격 코드 위치로 변경되어야 한다. 프로그램의 주소 공간 중 코드 영역은 실행 중에 변경이 불가능하므로 공격 코드가 주입될 수 있는 곳은 데이터 영역 밖에 없다. 따라서 데이터 영역으로 프로그램의 제어가 변경될 경우 주입된 공격 코드로 제어가 옮겨 가는 공격이 발생한 것으로 판단할 수 있다. 따라서 본 논문에서는 프로그램의 제어 흐름과 관련된 CALL, JMP, RET 명령어의 목적 주소를 검사하여 제어가 옮겨갈 목적 주소가 프로그램의 실행 코드가 저장된 텍스트 영역이 아닌 데이터 영역일 경우 소프트웨어 공격이 발생한 것으로 간주하는 소프트웨어 공격 탐지 기법을 제안하였다. 제안된 방법을 이용하면 함수의 복귀주소뿐만 아니라 함수포인터, longjmp() 버퍼 등 프로그램 제어 흐름과 관련된 모든 데이터가 변경되었는지 점검할 수 있었기 때문에 기존 기법들보다 더 많은 종류의 공격을 탐지할 수 있었다.

• 정보처리학회논문지C
• /
• 제8C권5호
• /
• pp.535-542
• /
• 2001

자바, 자바스크립트, 액티브X, 스크립트 코드와 같은 실행가능 컨텐츠 또는 이동코드는 사용자가 인식 없이 서버에서 클라이언트로 전송되어 실행된다. 클라이언트로 전달되는 이동코드에 악의적인 내용이 포함되어 있다면 클라이언트 시스템의 정보를 외부로 유출, 파괴, 변경될 수 있다. 이동코드의 인터프리터들은 시스템을 보호하면서 효율적인 작업 수행을 도울 수 있는 보안모델을 가지고 있거나 이를 위한 도구들이 있는데, 이들은 서로 다른 기술로 개발되었기 때문에 공통으로 사용 가능한 하나의 보안모델을 가지고 있지 않아 관리의 어려움이 있다. 본 논문에서는 여러 종류의 이동코드로부터 사용자의 로컬 시스템을 보호할 수 있는 시스템 설계를 제시하고, 이를 바탕으로 통합인증시스템을 구현하였다. 통합인증시스템은 각 이동코드 별로 시스템 접근에 관한 접근제어목록을 기초로 운영되며, 이동코드의 사용 인증, 이동코드의 시스템 접근 인증, 웹 인터페이스를 이용한 접근제어목록 관리로 구성되어 있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2006년도 한국컴퓨터종합학술대회 논문집 Vol.33 No.1 (A)
• /
• pp.325-327
• /
• 2006

현재 사용되고 있는 운영체제들은 그들의 기능을 확장하거나 교체하기 위해서 kernel extension을 사용해 왔다. 일반적으로 이러한 kernel extension들은 커널과 같은 주소공간에서 실행하기 때문에, 그것에서 발생하는 오류(fault)로 인해 전체 시스템이 망가지는 결과를 초래할 위험이 있다. 그래서 kernel extension의 안전한 실행에 관한 연구들은 kernel extension에서 발생한 오류를 전체 시스템으로부터 고립시키는 것이 주목적이었다. 하지만 이러한 방법들은 kernel extension의 어셈블리어로 된 코드를 분석하거나 사용하고 있는 커널의 소스 코드를 수정을 필요로 한다. 본 논문은 Sentry라는 kernel extension을 감시하기 위한 인터포지션 서비스를 제안한다. Sentry를 사용하기 위해서 별도의 커널 코드를 수정할 필요도 없으며, 이미 사용하고 있는 리눅스와 호환될 수 있는 특징을 지니고 있다. 그리고 kernel extension의 소스코드 및 어셈블리 코드에 대한 분석 없이 바이너리 파일을 직접 수정하여 kernel extension을 모니터링 할 수 있도록 한다. 게다가 Sentry는 재구성이 가능하기 때문에 얼마든지 kernel extension에 대한 보호정책을 동적으로 바꿀 수 있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2005년도 가을 학술발표논문집 Vol.32 No.2 (2)
• /
• pp.487-489
• /
• 2005

본 논문에서는 센서 네트워크를 위한 운영체제인 Nano-Qplus를 기반으로 수행되는 센서 네트워크를 위한 프로그램의 코드를 자동으로 생성하는 기법을 제시한다. 즉, 센서 네트워크를 구성하는 센서, 라우터, 싱크, 엑츄에이터와 같은 노드들이 수행해야 하는 기능에 대한 코드를 자동으로 생성하도록 하는 기법을 제시한다. 센서 네트워크에 대한 모델을 작성하고, 이를 바탕으로 센서 네트워크의 각 노드에 대한 속성을 스크립트를 통하여 설정하면 각 노드를 동작시킬 수 있는 프로그램이 자동으로 생성된다. 이를 위하여 각 노드의 속성을 설정할 수 있는 스크립트와 프로그램을 자동으로 생성하는 알고리즘을 제공한다. 본 논문에서 제시한 기법을 이용하면 센서 네트워크를 구성하는 각 노드에 대한 속성설정만으로 실행코드를 자동으로 생성함으로써 센서 네트워크를 이용하는 어플리케이션을 개발하는데 소요되는 노력을 줄일 수 있으며, 신속한 코드생성을 통해 조기에 테스트를 수행하여, 오류를 찾아내어 수정함으로써 검증된 코드를 생성할 수 있다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2014년도 제50차 하계학술대회논문집 22권2호
• /
• pp.79-80
• /
• 2014

악성코드 유포를 위해 가장 많이 사용되는 Drive-by-download 공격에는 주로 자바스크립트가 사용되며, 공격자는 탐지 시스템의 우회하고 행위 분석을 어렵게 하기 위해 공격에 사용되는 스크립트를 난독화 한다. 난독화 된 자바스크립트를 탐지하기 위한 여러 기존의 연구들이 있었지만 최소한의 코드가 난독화 되어 있거나 정상 코드와 혼재할 경우 난독화 여부를 판단하기 어려운 한계가 있다. 본 논문에서는 난독화 된 자바 스크립트를 효과적으로 탐지하기 위해 전체 스크립트를 실행 단위 코드로 나눠 분석에 필요한 특징을 효과적으로 추출하는 방법을 제안한다.