스택 공격 탐지와 방어를 위한 반환 주소 이중 인코딩

김경태; 표창우; 김선일; 이경호; Kyungtae Kim; Changwoo Pyo; Sunil Kim; Gyungho Lee

연구문헌

국내 논문지

홈 > 연구문헌 > 국내 논문지 > 한국정보과학회 논문지 > 정보과학회 논문지 C : 컴퓨팅의 실제

정보과학회 논문지 C : 컴퓨팅의 실제

Current Result Document : 8 / 11 이전건 다음건

한글제목(Korean Title)	스택 공격 탐지와 방어를 위한 반환 주소 이중 인코딩
영문제목(English Title)	Dual-Encoding of Return Addresses for Detection and Defense against Stack Attacks
저자(Author)	김경태 표창우 김선일 이경호 Kyungtae Kim Changwoo Pyo Sunil Kim Gyungho Lee
원문수록처(Citation)	VOL 17 NO. 03 PP. 0159 ~ 0164 (2011. 03)
한글내용 (Korean Abstract)	프로그램 카운터 인코딩은 제어 데이터의 대부분을 차지하는 코드 포인터를 암호화 하는 프로그램 자기보호의 방법이다. 이 논문은 함수 반환 주소에 대한 프로그램 카운터 인코딩의 방어력과 공격 탐지 능력을 개선하기 위한 방법으로서 반환 주소 이중 인코딩을 제시한다. 반환 주소 이중 인코딩은 반환 주소를 암호화 할 때 독립적인 2개의 암호화 키를 사용하여 2벌의 암호화 된 반환 주소를 만들어 보관한다. 64 비트의 암호화 키를 사용하여 인코딩 한 것과 같은 효과를 가져와 반환 주소에 대한 공격 성공 확률을 1/264로 낮추며, 2벌의 암호화된 주소를 디코딩하여 비교함으로써 공격 여부를 정확히 판정할 수 있다. x86 마이크로프로세서를 타겟으로 하는 GNU C 컴파일러를 수정하여 반환 주소 이중 인코딩을 구현하였고, 이를 사용한 모의 공격과 성능 실험을 실시하였다. GCC에 내장된 ProPolice와 비교할 때 ProPolice가 탐지하지 못하는 2가지 공격 유형을 추가로 탐지하였고, 8.62% 수준의 실행 시간 과부하 수준을 보였다. 이중 인코딩은 반환 주소뿐만 아니라 모든 코드 포인터에 대해 적용이 가능하며, 일부 데이터 포인터도 적당한 성능 과부하로 적용할 수 있을 것으로 예상된다.
영문내용 (English Abstract)	Program counter encoding is a programs’ self-protection method by encrypting code pointers that comprise most control data. This paper presents return address dual-encoding improving defense and detection capabilities of program counter encoding for return addresses. Return address dual-encoding stores two versions of a return address encrypted by using two independent keys. It has the same effect using 64-bit keys suppressing the probability of successful attacks to 1/264. Two version of return address can be used for accurate detection of attacks by decrypting the encrypted addresses and comparing one with the other. We have implemented the idea in the GCC compiler for x86 and experimented defense capabilities and performance using the compiler. Compared with ProPolice embedded in GCC, ours could detect defend against two additional attack patterns. Performance overhead was less than 9%. Dual-encoding can be applied to all code pointers and some data pointers with reasonable performance overhead.
키워드(Keyword)	프로그램 카운터 인코딩 이중 인코딩 프로그램 자기 보호 프로그램 공격 탐지 스택 공격 program counter encoding dual-encoding program self-protection program attack detection stack attack
파일첨부	PDF 다운로드