1 |
1
호스트 시스템의 프로그램 트레이스 인터페이스(PTI)로부터 런타임 정보를 포함하는 패킷을 수신하고, 상기 패킷을 파싱하여 간접 분기 목적지 주소를 파악하는 트레이스 관리부;호스트 시스템의 부트시 커널의 코드 블록들 중 주소변환 베이스 레지스터(ATBR) 변경, 모드 변환 또는 PTI 제어 레지스터 변경을 포함하는 이벤트와 관련 있는 코드 블록을 트램폴린에 대한 점프 명령으로 대체하고, 상기 이벤트 발생시 상기 트램폴린의 수행을 통해 이벤트를 보고받는 보고 관리부; 및버스의 트래픽을 스누핑하여 메모리의 물리적 코드 영역에 대한 쓰기 시도를 검출하는 트래픽 관리부;를 포함하는 것을 특징으로 하는 하드웨어 기반의 커널 코드 삽입 공격 탐지 장치
|
2 |
2
제 1항에 있어서, 상기 트레이스 관리부는,상기 보고 관리부에서 보고받은 이벤트를 기초로 상기 간접 분기 목적지 주소와 관련된 모드가 올바른지 파악하여 공격 여부를 탐지하는 것을 특징으로 하는 하드웨어 기반의 커널 코드 삽입 공격 탐지 장치
|
3 |
3
제 1항에 있어서, 상기 트레이스 관리부는 상기 PTI로부터 트램폴린의 시작을 통보받고,상기 보고 관리부는 상기 트레이스 관리부에 의해 트램폴린의 시작을 통보받으면 키를 생성하여 상기 호스트 시스템으로 제공하고, 상기 호스트 시스템으로부터 키와 모드 변환 정보 또는 주소변환 베이스 레지스터(ATBR) 변경 정보를 수신하는 것을 특징으로 하는 하드웨어 기반의 커널 코드 삽입 공격 탐지 장치
|
4 |
4
제 3항에 있어서, 상기 보고 관리부는, 키잉 레지스터, 보고 레지스터 및 Ack 레지스터를 포함하고, 상기 보고 관리부는 상기 트레이스 관리부에 의해 트램폴린의 시작을 통보받으면 키를 생성하여 상기 키잉 레지스터에 저장하고, 상기 호스트 시스템이 상기 키잉 레지스터를 한 번 읽으면 상기 키잉 레지스터를 리셋하고, 상기 호스트 시스템이 상기 보고 레지스터에 모드 변환 정보 또는 주소변환 베이스 레지스터(ATBR) 변경 정보를 기록하면 상기 보고 레지스터를 읽어 모드 변환 정보를 파악하는 것을 특징으로 하는 하드웨어 기반의 커널 코드 삽입 공격 탐지 장치
|
5 |
5
제 1항에 있어서, 상기 트래픽 관리부는, 버스의 트래픽을 스누핑하여 불변코드영역, ATBR의 제1 레벨 페이지 테이블 또는 PTI에 대한 접근을 감시하는 것을 특징으로 하는 하드웨어 기반의 커널 코드 삽입 공격 탐지 장치
|
6 |
6
호스트 시스템의 프로그램 트레이스 인터페이스(PTI)로부터 런타임 정보를 포함하는 패킷을 수신하고, 상기 패킷을 파싱하여 간접 분기 목적지 주소를 파악하는 단계;호스트 시스템의 부트시 커널의 코드 블록들 중 주소변환 베이스 레지스터(ATBR) 변경, 모드 변환 또는 PTI 제어 레지스터 변경을 포함하는 이벤트와 관련 있는 코드 블록을 트램폴린에 대한 점프 명령으로 대체하고, 상기 이벤트 발생시 상기 트램폴린의 수행을 통해 이벤트를 보고받는 단계; 및버스의 트래픽을 스누핑하여 메모리의 물리적 코드 영역에 대한 쓰기 시도를 검출하는 단계;를 포함하는 것을 특징으로 하는 하드웨어 기반의 커널 코드 삽입 공격 탐지 방법
|
7 |
7
제 6항에 있어서, 상기 보고받은 이벤트를 기초로 상기 간접 분기 목적지 주소와 관련된 모드가 올바른지 파악하여 공격 여부를 탐지하는 단계;를 더 포함하는 것을 특징으로 하는 하드웨어 기반의 커널 코드 삽입 공격 탐지 방법
|
8 |
8
제 6항에 있어서, 상기 PTI로부터 트램폴린의 시작을 통보받는 단계;키를 생성하여 상기 호스트 시스템으로 제공하는 단계;상기 호스트 시스템으로부터 키와 이벤트 정보를 순차적으로 수신하는 단계;를 더 포함하는 것을 특징으로 하는 하드웨어 기반의 커널 코드 삽입 공격 탐지 방법
|
9 |
9
제 6항 내지 제 8항 중 어느 한 항에 기재된 방법을 수행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체
|