대학원세미나에서는 10/18(금) 오후 4시부터 뉴턴홀 310호에서 KAIST 강병훈 교수님을

연사로 모시고 아래의 내용으로 세미나를 진행합니다.

컴퓨터 보안에 관심이 있으신 학부생 여러분의 참여를 환영합니다. 세미나 이후 5:30부터는

KAIST 정보보호대학원에 대한 설명회도 이어질 예정입니다.

-홍신

Towards Snooper-based System Integrity Monitors and Memory Defenses

Brent ByungHoon Kang, Ph.D.,

Graduate School of Information Security,

School of Computing at KAIST

The advanced malware binaries have shown great sophistication in compromising system kernel, persisting their attacks against the host system without being detected. To counter this serious threat, our team have been working on creating a series of kernel defense methods based on snooping the kernel activities with no performance hits on the host system.

In this talk, I will introduce our first prototype, called Vigilare, a kernel integrity monitor that is architected to snoop the bus traffic of the host system from separate independent hardware. This snoop-based monitoring of Vigilare overcomes the limitations of the snapshot-based approaches employed in previous kernel integrity monitoring solutions. Being based on inspecting snapshots taken periodically, the previous snapshot-based monitoring solutions cannot detect transient attacks that can occur in between snapshots. We implemented a prototype of the Vigilare system by adding Snooper connections module for snooping the bus traffic on the host system. Our evaluation showed that the Vigilare system detected all the transient attacks with no performance degradation whereas the snapshot-based monitor could not detect all the attacks and induced considerable performance degradation in the benchmark test.

In the second half of the talk, I will further describe KI-Mon as our next effort on protecting dynamic kernel regions. I will present the challenges in tracking mutable data objects and how we tried to address this challenge by creating an advanced snooper module for filtering white-listed values and providing on-demand verification of related data structures for ensuring the semantic invariants of dynamic data structures.  KI-Mon also provides API software platform, with which one can implement their own monitoring rules for checking the integrity of the dynamic data objects.

Finally, I will present our recent in-progress efforts on harnessing the snooper’s hardware support to create system hardening methods against sophisticated memory exploits. I will conclude by introducing possible collaboration research topics in the related area of burgeoning trusted software isolation approaches such as Intel SGX and ARM TrustZone.

Bio:

강병훈 교수는 버클리 대학(University of California at Berkeley)에서 컴퓨터과학(CS) 전공으로 박사학위를 받고, 현재 카이스트 전산학부 부교수로 재직중이며, 카이스트 정보보호대학원 책임교수를 역임하였고 사이버 시스템 보안 연구실 CysecLab (Cyber Systems Security Lab, https://cysec.kaist.ac.kr) 지도교수이다.

CysecLab은 보안에 취약할 수 밖에 없는 기존의 컴퓨팅 시스템들이 현재와 미래의 사이버 위협에도 보안성과 안정성을 확보 할 수 있게 하는 시스템 설계 및 방어기술 연구를 목표로 하고 있다. 최근 CysecLab은 갈수록 증대되는 컴퓨팅 시스템에 대한 보안 위협을 독립된 신뢰 실행 환경의 혁신으로써 방어하는 연구를 주로 수행하고 있다.

주 연구 분야는 Trusted Execution Environment 설계 및 이를 이용한 안전한 호스트 시스템 디자인이다. (예, OS 커널 무결성 모니터, 하드웨어 기반 신뢰 실행 환경, 메모리 주소 변환 무결성, 코드 재사용 공격 방어, 고스트 은닉 서버, Dialect Computing).  연구결과는 카이스트 혁신연구에 소개되기도 하였다. (http://breakthroughs.kaist.ac.kr/?post_no=163).

국제 활동으로 정보보호 분야 최상위 학회들인 IEEE Security and Privacry, ACM CCS,  USENIX SECURITY, NDSS 에서 Program Committee 직책을 맡고 있다.

현재도 차세대 정보보호 고급인재양성을 위해서 연구와 교육에 매진하고 있으며 아래 기관들로 부터 연구과제 후원을 받았다. ONR, NRF, IARPA, ARO, NSF, ADD, ETRI, IITP (Brain Scouting Program), TIAA-CREF Faculty Fellowship, Bank of America, LG, SK Telecom and Samsung.

[대학원세미나] Towards Snooper-based System Integrity Monitors and Memory Defenses