검색 기능은 준비 중입니다.
검색 기능은 준비 중입니다.

The original paper is in English. Non-English content has been machine-translated and may contain typographical errors or mistranslations. ex. Some numerals are expressed as "XNUMX".
Copyrights notice

The original paper is in English. Non-English content has been machine-translated and may contain typographical errors or mistranslations. Copyrights notice

ROPminer: Learning-Based Static Detection of ROP Chain Considering Linkability of ROP Gadgets ROPminer: ROP 가젯의 연결성을 고려한 ROP 체인의 학습 기반 정적 탐지

Toshinori USUI, Tomonori IKUSE, Yuto OTSUKI, Yuhei KAWAKOYA, Makoto IWAMURA, Jun MIYOSHI, Kanta MATSUURA

  • 조회수

    0

  • 이것을 인용

요약 :

ROP(반환 지향 프로그래밍)는 공격자가 최신 운영 체제의 보안 메커니즘을 회피하는 데 매우 중요했습니다. 기존 ROP 탐지 접근 방식은 주로 호스트 기반 침입 탐지 시스템(HIDS)에 중점을 두고 있지만 네트워크 기반 침입 탐지 시스템(NIDS)은 네트워크의 IoT 장치를 포함한 다양한 호스트를 보호하는 데에도 필요합니다. 그러나 기존 접근 방식은 두 가지 문제로 인해 네트워크 수준 보호에 충분하지 않습니다. (1) 동적 접근 방식은 검사에 평균 2차 또는 분 단위의 시간이 걸립니다. NIDS에 적용하려면 거의 실시간 감지를 달성하기 위해 밀리초 단위가 필요합니다. (XNUMX) 정적 접근 방식은 휴리스틱 패턴을 사용하기 때문에 거짓 긍정을 생성합니다. NIDS에 적용하려면 오경보를 억제하기 위해 오탐을 최소화해야 합니다. 본 논문에서는 타겟 라이브러리(즉, ROP 가젯에 사용되는 라이브러리)를 학습하여 악성 데이터에서 ROP 체인을 정적으로 탐지하는 방법을 제안합니다. 우리의 방법은 대상 라이브러리에서 실행 가능한 ROP 가젯을 철저하게 수집하고 검사 단계와 별도로 학습하여 검사를 가속화합니다. 또한 의심스러운 바이트 시퀀스가 ​​ROP 체인으로 실행될 때 제대로 링크될 수 있는지를 정적으로 검증함으로써 기존 정적 검사에서 불가피한 오탐(false positive)을 줄입니다. 실험 결과는 우리의 방법이 높은 정밀도로 밀리초 단위의 ROP 체인 감지를 달성했음을 보여주었습니다.

발행
IEICE TRANSACTIONS on Information Vol.E103-D No.7 pp.1476-1492
발행일
2020/07/01
공개일
2020/04/07
온라인 ISSN
1745-1361
DOI
10.1587/transinf.2019ICP0016
원고의 종류
Special Section PAPER (Special Section on Information and Communication System Security)
범주
네트워크 및 시스템 보안

작성자

Toshinori USUI
  NTT Secure Platform Laboratories,The University of Tokyo
Tomonori IKUSE
  NTT Secure Platform Laboratories
Yuto OTSUKI
  NTT Secure Platform Laboratories
Yuhei KAWAKOYA
  NTT Secure Platform Laboratories
Makoto IWAMURA
  NTT Secure Platform Laboratories
Jun MIYOSHI
  NTT Secure Platform Laboratories
Kanta MATSUURA
  The University of Tokyo

키워드