KR102460848B1 - 캐시 부 채널 공격 탐지 방법 및 장치 - Google Patents

캐시 부 채널 공격 탐지 방법 및 장치 Download PDF

Info

Publication number
KR102460848B1
KR102460848B1 KR1020200174852A KR20200174852A KR102460848B1 KR 102460848 B1 KR102460848 B1 KR 102460848B1 KR 1020200174852 A KR1020200174852 A KR 1020200174852A KR 20200174852 A KR20200174852 A KR 20200174852A KR 102460848 B1 KR102460848 B1 KR 102460848B1
Authority
KR
South Korea
Prior art keywords
cache
attack process
candidate
cache hit
attack
Prior art date
Application number
KR1020200174852A
Other languages
English (en)
Other versions
KR20220058353A (ko
Inventor
김대훈
이환준
김민호
이승학
Original Assignee
재단법인대구경북과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 재단법인대구경북과학기술원 filed Critical 재단법인대구경북과학기술원
Priority to PCT/KR2021/009900 priority Critical patent/WO2022092498A1/ko
Publication of KR20220058353A publication Critical patent/KR20220058353A/ko
Application granted granted Critical
Publication of KR102460848B1 publication Critical patent/KR102460848B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • G06F12/0802Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
    • G06F12/0806Multiuser, multiprocessor or multiprocessing cache systems
    • G06F12/084Multiuser, multiprocessor or multiprocessing cache systems with a shared cache
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Memory System Of A Hierarchy Structure (AREA)

Abstract

실시예에 따르면 캐시 파티셔닝(Cache Partitioning) 및 하드웨어 성능 계수(Hardware Performance Counter)를 이용한 캐시 부 채널 공격 탐지 방법 및 장치가 제공된다. 이로써 현재 시스템 내에서 실행 중인 프로세스들 중에서 정확하게 공격 프로세스를 찾아낼 수 있기 때문에 공격으로부터 훨씬 안전한 환경을 제공할 수 있다.

Description

캐시 부 채널 공격 탐지 방법 및 장치{METHOD AND APPARATUS FOR DETECTING CACHE SIDE CHANNEL ATTACK}
본 발명은 캐시 파티셔닝(Cache Partitioning) 및 하드웨어 성능 계수(Hardware Performance Counter)를 이용한 캐시 부 채널 공격 탐지 방법 및 장치에 관한 것이다.
프라임 프로브(PRIME AND PROBE; P+P) 캐시 부 채널 공격(Cache Side Channel Attack)은 캐시에 저장된 일반 프로세스의 캐시 블록을 밀어내고 공격 프로세스의 캐시 블록으로 전부 채우는 특징이 있다.
근래 들어, 캐시의 변화를 동적으로 모니터링하여 P+P 공격과 같은 비정상적 공격 행동을 감지하는 기술이 제안되었다.
하지만 이와 같은 기술은 대단히 많은 양의 시스템 지표를 모니터링하여야 하고, 현재 실행 중인 프로세스 중에서 공격 프로세스를 정확하게 특정하기 어려운 문제점이 있으며 별도의 관제 시스템과 같은 운영 자원을 필요로 하는 한계점이 있다.
추가적인 운영 자원 없이도 현재 실행 중인 프로세스에서 P+P 공격을 실행 중인 프로세스를 효과적으로 탐지하는 기술이 필요하다.
본 발명의 일 과제는 현재 시스템 내에서 실행 중인 프로세스들 중에서 정확하게 공격 프로세스를 찾아내는 캐시 부 채널 공격 탐지 방법을 제공하는 것이다.
본 발명이 해결하고자 하는 과제는 이상에서 언급한 과제에 한정되지 않으며, 언급되지 않은 본 발명의 다른 과제 및 장점들은 하기의 설명에 의해서 이해될 수 있고, 본 발명의 실시 예에 의해보다 분명하게 이해될 것이다. 또한, 본 발명이 해결하고자 하는 과제 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 알 수 있을 것이다.
실시예의 일 측면에 따른 캐시 부 채널 공격 탐지 방법은, 프로세스를 실행 중인 적어도 하나의 코어의 캐시 접근 횟수 및 제 1 캐시 히트율(cache hit rate)에 기반하여 상기 적어도 하나의 코어가 실행 중인 프로세스 중에서 적어도 하나의 후보 공격 프로세스를 결정하는 단계, 제한된 캐시 환경에서 각 후보 공격 프로세스를 실행 중인 코어의 제 2 캐시 히트율을 획득하는 단계 및 상기 제 1 캐시 히트율 및 상기 제 2 캐시 히트율에 기반하여 각 후보 공격 프로세스가 공격 프로세스인 지 여부를 결정하는 단계를 포함할 수 있다.
실시예의 일 측면에 따른 캐시 부 채널 공격 탐지 장치는, 적어도 하나의 코어를 포함하는 프로세서를 포함하고, 프로세서는, 프로세스를 실행 중인 상기 적어도 하나의 코어의 캐시 접근 횟수 및 제 1 캐시 히트율에 기반하여 상기 적어도 하나의 코어가 실행 중인 프로세스 중에서 적어도 하나의 후보 공격 프로세스를 결정하고, 제한된 캐시 환경에서 각 후보 공격 프로세스를 실행 중인 코어의 제 2 캐시 히트율을 획득하고, 상기 제 1 캐시 히트율 및 상기 제 2 캐시 히트율에 기반하여 각 후보 공격 프로세스가 공격 프로세스인 지 여부를 결정하도록 구성될 수 있다.
전술한 것 외의 다른 측면, 특징, 및 이점이 이하의 도면, 청구범위 및 발명의 상세한 설명으로부터 명확해질 것이다.
실시예에 의하면, 추가적인 자원 할당 및 큰 성능 손실 없이도 정확하게 P+P 공격 프로세스를 탐지할 수 있다.
실시예에 의하면, 현재 시스템 내에서 실행 중인 프로세스들 중에서 정확하게 공격 프로세스를 찾아낼 수 있기 때문에 공격으로부터 훨씬 안전한 환경을 제공할 수 있다.
본 발명의 효과는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
도 1은 실시예에 따른 캐시 부 채널 공격 탐지 장치의 예시적인 동작 환경을 개략적으로 도시한 도면이다.
도 2는 실시예에 따른 캐시 부 채널 공격 탐지 장치의 블록도이다.
도 3은 실시예에 따른 캐시 부 채널 공격 탐지 장치의 동작을 설명하기 위한 도면이다.
도 4는 실시예에 따른 캐시 부 채널 공격 탐지 방법의 흐름도이다.
도 5는 실시예에 따른 캐시 부 채널 공격 탐지 방법의 세부 흐름도이다.
도 6은 실시예에 따른 캐시 부 채널 공격 탐지 과정에서의 캐시 파티셔닝을 설명하기 위한 예시도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 설명되는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 아래에서 제시되는 실시 예들로 한정되는 것이 아니라, 서로 다른 다양한 형태로 구현될 수 있고, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 아래에 제시되는 실시 예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 출원에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
본 발명은 시스템의 민감한 데이터를 추출하는 비밀성 훼손 공격 중 하나인 P+P 캐시 부 채널 공격 프로세스를 탐지하는 기술을 제공한다. P+P 공격은 캐시에 저장된 일반 프로세스의 캐시 블록(block)을 밀어내고 공격 프로세스의 캐시 블록으로 전부 채운다. 이를 위해서 공격자는 마지막 레벨 캐시(Last Level Cache; LLC)의 총 웨이(way) 수에 딱 맞는 퇴출 세트(Eviction set)을 설정하여 최대한 자신의 캐시 블록을 많이 저장하고자 시도한다. 따라서 P+P 캐시 부 채널 공격 프로세스는 일반 프로세스보다 훨씬 높은 100%에 가까운 LLC 캐시 히트율을 나타내는 특징이 있다. 여기서 사용 가능한 캐시 웨이 수가 달라지면, P+P 캐시 부 채널 공격 프로세스는 급격하게 LLC 캐시 히트율이 감소하게 된다.
본 발명은 하드웨어 성능 계수(Hardware Performance Counter)를 활용하여 LLC의 캐시 히트율을 실시간으로 기록, 이를 분석하여 일정 임계값 이상의 LLC 캐시 히트율을 나타내는 프로세스를 먼저 선출하고, 선출된 프로세스는 캐시 할당 기술(Cache Allocation Technique)을 적용하여 일시적으로 제한된 LLC 캐시 웨이만을 사용할 수 있는 제한된 캐시 환경에서 재실행된다. 실시예에 따른 캐시 부 채널 공격 탐지 장치 및 방법은 LLC 캐시 웨이 수가 감소할수록 이에 비례하여 감소하는 캐시 히트율을 나타내는 프로세스를 P+P 공격 프로세스로 검출할 수 있다.
도 1은 실시예에 따른 캐시 부 채널 공격 탐지 장치의 예시적인 동작 환경을 개략적으로 도시한 도면이다.
캐시 부 채널 공격 탐지 장치(100)는 다양한 어플리케이션 환경에서 캐시 부 채널 공격을 실행하는 프로세스를 탐지할 수 있다.
일 예에서 캐시 부 채널 공격 탐지 장치(100)는 네트워크(300) 환경에서 클라이언트(200)의 서비스 요청을 처리하는 서버일 수 있다. 서버는 네트워크(300)를 통해 클라이언트(200)의 서비스 요청을 수신하고, 서비스 요청에 대응하는 동작을 수행하고, 이에 대한 응답을 네트워크(300)를 통해 클라이언트(200)에 전송하는 서버일 수 있다.
이 경우 예를 들어 캐시 부 채널 공격 탐지 장치(100)는 클라이언트의 서비스 요청에 대응하기 위한 다양한 어플리케이션을 실행할 수 있다.
캐시 부 채널 공격 탐지 장치(100)는 후술할 도 2를 참조하여 프로세서(110) 및 메모리(120)를 포함하는 컴퓨팅 장치일 수 있다.
네트워크(300)는 유선 및 무선 네트워크, 예를 들어 LAN(local area network), WAN(wide area network), 인터넷(internet), 인트라넷(intranet) 및 엑스트라넷(extranet), 그리고 모바일 네트워크, 예를 들어 셀룰러, 3G, LTE, 5G, WiFi 네트워크, 애드혹 네트워크 및 이들의 조합을 비롯한 임의의 적절한 통신 네트워크 일 수 있다.
네트워크(300)는 허브, 브리지, 라우터, 스위치 및 게이트웨이와 같은 네트워크 요소들의 연결을 포함할 수 있다. 네트워크(300)는 인터넷과 같은 공용 네트워크 및 안전한 기업 사설 네트워크와 같은 사설 네트워크를 비롯한 하나 이상의 연결된 네트워크들, 예컨대 다중 네트워크 환경을 포함할 수 있다. 네트워크(300)에의 액세스는 하나 이상의 유선 또는 무선 액세스 네트워크들을 통해 제공될 수 있다.
도 2는 실시예에 따른 캐시 부 채널 공격 탐지 장치의 블록도이다.
실시예에 따른 캐시 부 채널 공격 탐지 장치(100)는 프로세서(110) 및 메모리(120)를 포함할 수 있다.
프로세서(110)는 일종의 중앙처리장치로서, 메모리(120)에 저장된 하나 이상의 명령어를 실행하여 캐시 부 채널 공격 탐지 장치(100)의 동작을 제어할 수 있다. 프로세서(110)는 데이터를 처리할 수 있는 모든 종류의 장치를 포함할 수 있다.
프로세서(110)는 예를 들어 프로그램 내에 포함된 코드 또는 명령으로 표현된 기능을 수행하기 위해 물리적으로 구조화된 회로를 갖는, 하드웨어에 내장된 데이터 처리 장치를 의미할 수 있다. 이와 같이 하드웨어에 내장된 데이터 처리 장치의 일 예로서, 마이크로프로세서(microprocessor), 중앙처리장치(central processing unit: CPU), 프로세서 코어(processor core), 멀티프로세서(multiprocessor), ASIC(application-specific integrated circuit), FPGA(field programmable gate array) 등의 처리 장치를 망라할 수 있으나, 이에 한정되는 것은 아니다. 프로세서(110)는 하나 이상의 프로세서를 포함할 수 있다. 프로세서(110)는 적어도 하나의 코어를 포함할 수 있다.
캐시 부 채널 공격 탐지 장치(100)는 모니터링부(111) 및 탐지부(112)를 포함할 수 있다.
모니터링부(111)는 프로세서(110)의 적어도 하나의 코어의 캐시 접근 정보를 수집할 수 있다. 일 예에서 모니터링부(111)는 프로세스를 실행 중인 적어도 하나의 코어의 캐시 접근 횟수 및 제 1 캐시 히트율(cache hit rate)을 모니터링할 수 있다. 예를 들어 모니터링부(111)는 각 코어의 하드웨어 성능 계수(Hardware Performance Counter; HPC)를 통해 캐시 접근 횟수 및 캐시 히트율을 모니터링할 수 있다.
탐지부(112)는 모니터링부(111)에서 수집한 각 코어의 캐시 접근 정보에 기반하여 캐시 부 채널 공격에 대한 탐지를 수행한다. 여기서 캐시 부 채널 공격은 예를 들어 프라임 프로브 공격(PRIME and PROBE ATTACK)을 포함한다.
모니터링부(111) 및 탐지부(112)는 프로세서(110)에 의해 실행가능한 프로그램으로 구현될 수 있다. 프로세서(110)는 메모리(120)에 저장된 프로그램을 실행하여 모니터링부(111) 및/또는 탐지부(112)를 실행할 수 있다. 예를 들어 프로세서(110)는 적어도 하나의 코어 중 일 코어에서 모니터링부(111) 및 탐지부(112)를 실행할 수 있다.
캐시 부 채널 공격 탐지 장치(100)는 메모리(120)를 포함할 수 있다.
메모리(120)는 캐시 부 채널 공격 탐지 장치(100)가 공격 탐지 과정의 실행을 위한 명령 등을 저장할 수 있다. 메모리(120)는 모니터링부(111) 및 탐지부(112)의 동작을 구현한 실행가능한 프로그램을 저장할 수 있다.
프로세서(110)는 메모리(120)에 저장된 프로그램 및 명령어들에 기반하여 실시예에 따른 캐시 부 채널 공격 탐지 과정을 실행할 수 있다.
메모리(120)는 모니터링부(111)의 실행 결과로 생성된 정보(예를 들어 캐시 접근 정보)를 더 저장할 수 있다.
메모리(120)는 내장 메모리 및/또는 외장 메모리를 포함할 수 있으며, DRAM, SRAM, 또는 SDRAM 등과 같은 휘발성 메모리, OTPROM(one time programmable ROM), PROM, EPROM, EEPROM, mask ROM, flash ROM, NAND 플래시 메모리, 또는 NOR 플래시 메모리 등과 같은 비휘발성 메모리, SSD, CF(compact flash) 카드, SD 카드, Micro-SD 카드, Mini-SD 카드, Xd 카드, 또는 메모리 스틱(memory stick) 등과 같은 플래시 드라이브, 또는 HDD와 같은 저장 장치를 포함할 수 있다. 메모리(120)는 자기 저장 매체(magnetic storage media) 또는 플래시 저장 매체(flash storage media)를 포함할 수 있으나, 이에 한정되는 것은 아니다.
버스(130)는 프로세서(110) 및 메모리(120)를 연결하는 논리적/물리적 경로이다. 프로세서(110)는 버스(130)를 통해 메모리(120)에 대한 읽기/쓰기(read/write)를 수행할 수 있다.
도 3은 실시예에 따른 캐시 부 채널 공격 탐지 장치의 동작을 설명하기 위한 도면이다.
도 2를 참조하여 전술한 모니터링부(Cache Monitor, 111) 및 탐지부(Decision Engine, 112)는 멀티 코어 환경에서 작동하여 캐시 부 채널 공격을 탐지할 수 있다.
모니터링부(111)는 각 코어의 캐시 접근 정보를 모니터링할 수 있다. 예를 들어 캐시 접근 정보는 캐시 접근 횟수(Cache Access Counter), 캐시 히트율(Cache Hit Rate) 및/또는 캐시 미스율(Cache Miss Rate) 등을를 포함할 수 있다. 일 예에서 모니터링부(111)는 하드웨어 성능 계수(Hardware Performance Counter; HPC)를 이용하여 전술한 캐시 접근 정보를 계산할 수 있다.
모니터링부(111)는 프로세서(110)의 적어도 하나의 코어가 공유하는 마지막 레벨 캐시(Last Level Cache; LLC)에 대한 캐시 접근 정보, 즉 각 코어의 LLC에 대한 캐시 접근 횟수 및 캐시 히트율을 모니터링할 수 있다. 여기서 마지막 레벨 캐시(LLC)는 n-way set associative cache 방식에 따른 캐시 배치 정책(cache placement policy)을 채택할 수 있다.
탐지부(112)는 모니터링부(111)에서 수집된 각 코어의 캐시 접근 정보에 기반하여 각 코어에서 실행 중인 프로세스 중에서 후보 공격 프로세스를 결정할 수 있다. 예를 들어, 탐지부(112)는 캐시 접근 횟수 및 캐시 히트율이 기설정된 각각의 임계값을 초과한 특정 코어의 프로세스에 대해 캐시 부 채널 공격 탐지 알고리즘을 수행할 수 있다.
탐지부(112)는 제한된 캐시 환경에서 후보 공격 프로세스를 실행하면서 모니터링부(111)를 통해 코어의 캐시 접근 정보를 모니터링하여 후보 공격 프로세스가 공격 프로세스인 지 여부를 결정할 수 있다.
도 4는 실시예에 따른 캐시 부 채널 공격 탐지 방법의 흐름도이다.
실시예에 따른 캐시 부 채널 공격 탐지 방법은, 프로세스를 실행 중인 적어도 하나의 코어의 캐시 접근 횟수 및 제 1 캐시 히트율에 기반하여 적어도 하나의 코어가 실행 중인 프로세스 중에서 적어도 하나의 후보 공격 프로세스를 결정하는 단계(S10), 제한된 캐시 환경에서 각 후보 공격 프로세스를 실행 중인 코어의 제 2 캐시 히트율을 획득하는 단계(S20) 및 제 1 캐시 히트율 및 제 2 캐시 히트율에 기반하여 각 후보 공격 프로세스가 공격 프로세스인 지 여부를 결정하는 단계(S30)를 포함한다.
단계(S10)에서 프로세서(110)는 모니터링부(111)를 실행하여 프로세스를 실행 중인 적어도 하나의 코어의 캐시 접근 횟수 및 제 1 캐시 히트율을 모니터링할 수 있다.
단계(S10)에서 프로세서(110)는 탐지부(112)를 실행하여 모니터링부(111)의 모니터링 결과로 획득한 적어도 하나의 코어의 캐시 접근 횟수 및 제 1 캐시 히트율에 기반하여 적어도 하나의 코어가 실행 중인 프로세스 중에서 적어도 하나의 후보 공격 프로세스를 결정할 수 있다.
일 예에서 탐지부(112)는 모니터링된 캐시 접근 횟수가 캐시 접근 횟수에 대한 제 1 임계값을 초과하고, 모니터링된 제 1 캐시 히트율이 제 1 캐시 히트율에 대한 제 2 임계값을 초과하는 프로세스를 후보 공격 프로세스로 결정할 수 있다.
여기서 캐시 접근 횟수에 대한 제 1 임계값 및 제 1 캐시 히트율에 대한 제 2 임계값은 기설정된 임계값으로서, 탐지부(112)의 실행 시에 설정될 수 있다.
단계(S20)에서 프로세서(110)는 제한된 캐시 환경에서 각 후보 공격 프로세스를 실행 중인 코어의 제 2 캐시 히트율을 획득할 수 있다. 여기서 제한된 캐시 환경은 각 후보 공격 프로세스에 할당된 캐시 웨이가 마지막 레벨 캐시의 전체 캐시 웨이보다 적은 개수로 제한된 실행 환경을 의미한다. 예를 들어 프로세서(110)는 제한된 캐시 환경을 설정하기 위한 캐시 할당 기술(Cache Allocation Technique; CAT)을 제공할 수 있다.
구체적으로, 단계(S20)은 프로세서(110)가 탐지부(112)를 실행하여 각 후보 공격 프로세스에 할당된 캐시 웨이(way)를 조정하는 단계를 포함할 수 있다.
여기서 탐지부(112)는 각 후보 공격 프로세스에 할당된 캐시 웨이(예를 들어 n-way set associative cache에서 n 개의 캐시 웨이)의 개수를 조정할 수 있다. 일 예에서, 프로세서(110)는 탐지부(112)를 실행하여 각 후보 공격 프로세스에 할당된 캐시 웨이를 기설정된 단위에 따라 감소시킬 수 있다. 예를 들어 기설정된 단위가 1인 경우, 단계(S20)에서 프로세서(110)는 각 후보 공격 프로세스에 할당된 캐시 웨이를 1만큼씩 감소시킬 수 있다.
단계(S20)은 프로세서(110)가 탐지부(112)를 실행하여 앞서 조정된 캐시 웨이로 각 후보 공격 프로세스를 실행하는 단계를 포함할 수 있다.
예를 들어 탐지부(112)는 각 후보 공격 프로세스에 기설정된 단위에 따라 감소된 캐시 웨이를 할당하고, 감소된 캐시 웨이를 참조하여 각 후보 공격 프로세스의 실행이 진행되도록 한다.
여기서 탐지부(112)는 프로세서(110)의 적어도 하나의 코어 중 일 코어에서 각 후보 공격 프로세스를 실행할 수 있다. 예를 들어, 단계(S20)에서 각 후보 공격 프로세스는 단계(S10)에서와 동일한 코어에서 각각 실행될 수 있다.
단계(S20)은 각 후보 공격 프로세스를 실행 중인 코어의 캐시 히트율을 제 2 캐시 히트율로 결정하는 단계를 포함할 수 있다.
단계(S20)에서 프로세서(110)는 모니터링부(111)를 실행하여 감소된 캐시 웨이에서 각 후보 공격 프로세스를 실행 중인 코어의 캐시 히트율을 모니터링하고, 모니터링된 캐시 히트율을 각 코어의 제 2 캐시 히트율로 결정할 수 있다.
단계(S30)에서 프로세서(110)는 탐지부(112)를 실행하여 제 1 캐시 히트율 및 제 2 캐시 히트율에 기반하여 각 후보 공격 프로세스가 공격 프로세스인 지 여부를 결정할 수 있다.
단계(S30)에서 탐지부(112)는 각 후보 공격 프로세스를 실행 중인 코어의 캐시 히트율이 제한된 캐시 환경의 캐시 웨이 수의 감소에 비례하여 감소하는 후보 공격 프로세스를 공격 프로세스로 결정할 수 있다. 단계(S30)에 대하여는 도 5를 참조하여 구체적으로 살펴본다.
한편, 프로세서(110)는 단계(S20)의 제 2 캐시 히트율을 획득하는 단계와 단계(S30)의 후보 공격 프로세스가 공격 프로세스인 지 여부를 결정하는 단계를 각 후보 공격 프로세스별로 동시에 수행할 수 있다.
예를 들어, 프로세서(110)는 제 1 후보 공격 프로세스에 대한 단계(S20) 및 단계(S30)을 수행하는 동시에 제 2 후보 공격 프로세스에 대한 단계(S20) 및 단계(S30)을 수행할 수 있다.
추가적으로 실시예에 따른 캐시 부 채널 공격 탐지 방법은, 단계(S30에서 결정된 공격 프로세스의 실행을 종료하는 단계를 더 포함할 수 있다.
예를 들어, 프로세서(110)는 단계(S30)에서 결정된 공격 프로세스를 종료하기 위한 신호(SIG_KILL)를 해당 공격 프로세스에게 전달하여 공격 프로세스의 실행을 차단할 수 있다.
도 5는 실시예에 따른 캐시 부 채널 공격 탐지 방법의 세부 흐름도이다.
도 5는 도 4를 참조하여 단계(S30)에 대한 보다 상세한 흐름도를 보여준다.
단계(S30)의 각 후보 공격 프로세스가 공격 프로세스인 지 여부를 결정하는 단계는, 제 1 캐시 히트율 및 제 2 캐시 히트율의 차이값과 이와 같은 차이값에 대한 제 3 임계값을 비교하는 제 1 단계(S31), 단계(S31)의 비교 결과, 차이값이 제 3 임계값 이상인 경우, 재설정된 제한된 캐시 환경에서 각 후보 공격 프로세스를 실행 중인 코어의 제 3 캐시 히트율을 획득하는 제 2 단계(S32), 제 2 캐시 히트율과 제 3 캐시 히트율의 차이값과 제 3 임계값을 비교하는 제 3 단계(S33), 및 단계(S33)의 비교 결과, 차이값이 제 3 임계값 이상인 후보 공격 프로세스를 공격 프로세스로 결정하는 제 4 단계(S35)를 포함할 수 있다.
제 1 단계(S31)에서 프로세서(110)는 탐지부(112)를 실행하여 제 1 캐시 히트율 및 제 2 캐시 히트율의 차이값과 이와 같은 차이값에 대한 제 3 임계값을 비교할 수 있다. 여기서 제 3 임계값은 차이값의 감소량에 대한 기준값으로서, 탐지부(112)의 실행 시에 설정가능한 파라미터이다.
제 2 단계(S32)에서 프로세서(110)는 제 1 단계(S31)의 비교 결과, 차이값이 제 3 임계값 이상인 경우, 재설정된 제한된 캐시 환경에서 각 후보 공격 프로세스를 실행 중인 코어의 제 3 캐시 히트율을 획득할 수 있다.
즉, 제 2 단계(S32)에서 프로세서(110)는 제 1 단계(S31)의 비교 결과, 차이값이 제 3 임계값 이상인 경우, 탐지부(112)를 실행하여 제한된 캐시 환경을 재설정하고, 재설정된 제한된 캐시 환경에서 해당 코어가 각 후보 공격 프로세스를 실행하는 동안 모니터링부(111)를 실행하여 해당 코어의 제 3 캐시 히트율을 획득할 수 있다.
여기서 재설정된 캐시 환경은, 각 후보 공격 프로세스에 할당된 캐시 웨이를 기설정된 단위에 따라 감소시킨 캐시 환경을 의미한다. 예를 들어 재설정된 제한된 캐시 환경은 도 4를 참조하여 전술한 단계(S20)에서 제한된 캐시 환경에서 한 단위의 캐시 웨이를 더 감소시킨 캐시 환경일 수 있다. 예를 들어, 재설정된 제한된 캐시 환경은, 단계(S34)를 참조하여 후술할 제 2 단계(S32) 및 제 3 단계(S33)의 재수행과 관련하여, i번째 재수행 시의 제한된 캐시 환경보다 한 단위의 캐시 웨이가 더 감소된 i+1번째 재수행 시의 제한 환경일 수 있다.
단계(S33)에서 프로세서(110)는 탐지부(112)를 실행하여 제 2 캐시 히트율과 제 3 캐시 히트율의 차이값과 제 3 임계값을 비교할 수 있다. 일 예에서, 단계(S33)에서 비교되는 제 3 임계값은 단계(S31)에서 사용되는 제 3 임계값과 동일한 값일 수 있다.
한편, 단계(S30)은 제 2 단계(S32) 및 제 3 단계(S33)을 기설정된 반복 횟수만큼 수행되도록 분기하는 단계(S34)를 더 포함할 수 있다.
단계(S34)에서 프로세서(110)는, 제 3 단계(S33)에서 제 2 캐시 히트율과 제 3 캐시 히트율의 차이값이 제 3 임계값 이상인 경우에, 탐지부(112)를 실행하여 제 2 단계(S32) 및 제 3 단계(S33)를 기설정된 횟수만큼 수행하였는 지 여부를 판단할 수 있다. 일 예에서 기설정된 횟수는 탐지부(112)의 실행 시에 설정가능하다. 예를 들어 기설정된 횟수는 1 이상의 자연수로서 전체 캐시 웨이의 수를 n이라고 할 때 n-1 이하의 자연수로 설정될 수 있다.
제 4 단계(S35)에서 프로세서(110)는 탐지부(112)를 실행하여 제 3 단계(S33)의 비교 결과, 제 2 캐시 히트율과 제 3 캐시 히트율의 차이값이 제 3 임계값 이상인 후보 공격 프로세스를 공격 프로세스로 결정할 수 있다.
단계(S36)에서, 프로세서(110)는 탐지부(112)를 실행하여 제 1 단계(S31) 및 제 3 단계(S33)에서의 캐시 히트율의 차이값이 제 3 임계값보다 작은 경우 해당 후보 공격 프로세스에 대한 제한된 캐시 환경을 해제하고 원래의 캐시 웨이를 회복시킨다.
도 6은 실시예에 따른 캐시 부 채널 공격 탐지 과정에서의 캐시 파티셔닝을 설명하기 위한 예시도이다.
예를 들어 5개의 웨이를 가지고 있는 마지막 레벨 캐시(LLC)를 가정하면, 탐지부(112)는 도 4를 참조하여 전술한 단계(S20)에서 후보 공격 프로세스에 할당된 캐시 웨이를 한 단위 감소(즉, 1만큼 감소하여 5에서 4가 됨)시킨 제한된 캐시 환경에서 후보 공격 프로세스를 실행 중인 코어의 제 2 캐시 히트율을 획득한다.
여기서 제한된 캐시 환경은 연속된 캐시 웨이로 구성될 수 있다. 예를 들어 캐시 웨이가 5에서 4로 한 단위 감소된 제한된 캐시 환경에서 4개의 캐시 웨이는 연속된 캐시 웨이이다. 예를 들어 도 6에서는 좌측부터 연속하여 4개의 캐시 웨이로 구성된 제한된 캐시 환경이 도시되어 있으나, 우측부터 4개의 캐시 웨이로 구성된 제한된 캐시 환경도 가능하다. 즉, 제한된 캐시 웨이의 개수 만큼의 연속된 캐시 웨이를 다양한 조합으로 구성가능하다.
후속하여 도 5를 참조하여 전술한 제 1 단계(S31)에서 제 1 캐시 히트율 및 제 2 캐시 히트율의 차이값(Hit Rate Diff.)이 제 3 임계값 이상인 경우(True), 제 2 단계(S32)에서 후보 공격 프로세스에 할당된 캐시 웨이를 한 단위 더 감소(즉, 4에서 3이 됨)시킨 재설정된 제한된 캐시 환경에서 후보 공격 프로세스를 실행 중인 코어의 제 3 캐시 히트율을 획득한다.
제 3 단계(S33)에서 제 2 캐시 히트율과 제 3 캐시 히트율의 차이값(Hit Rate Diff.)과 제 3 임계값을 비교하고, 차이값이 제 3 임계값 이상인 경우(True), 단계(S34)에서 제 2 단계(S32) 및 제 3 단계(S33)을 기설정된 횟수만큼 반복하거나, 또는 기설정된 횟수만큼 반복한 경우 해당 후보 공격 프로세스를 공격 프로세스로 결정하고, 실행 종료시킨다.
실시예에 따른 캐시 부 채널 공격 탐지 방법 및 장치는 예를 들어 인텔 서버 환경에서 제공되는 캐시 할당 기술(CAT)을 활용하여 추가적인 자원 할당 및 큰 성능 손실 없이도 정확하게 P+P 공격 프로세스를 탐지할 수 있어 시스템 관리 및 운영 측면에서 유리하다.
P+P 공격의 주 목적은 시스템 내 실행 중인 일반 프로세스의 민감한 데이터(예. 암호화 키)를 추출하는 것이며, 실시예에 따르면 P+P 공격 프로세스를 정확히 탐지할 수 있다면 민감한 데이터에 대한 추출로부터 시스템을 안전하게 보호할 수 있다. 특히 현재 시스템 내에서 실행 중인 프로세스들 중에서 정확하게 공격 프로세스를 찾아낼 수 있기 때문에 공격으로부터 훨씬 안전한 환경을 제공할 수 있다. 또한 별도의 자원이 추가적으로 할당되지 않고 가용한 시스템 내 자원을 최대한 활용하기 때문에 효율적인 시스템 관리가 가능하다.
이상 설명된 본 발명에 따른 실시 예는 컴퓨터 상에서 다양한 구성요소를 통하여 실행될 수 있는 컴퓨터 프로그램의 형태로 구현될 수 있으며, 이와 같은 컴퓨터 프로그램은 컴퓨터로 판독 가능한 매체에 기록될 수 있다. 이때, 매체는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등과 같은, 프로그램 명령어를 저장하고 실행하도록 특별히 구성된 하드웨어 장치를 포함할 수 있다.
한편, 상기 컴퓨터 프로그램은 본 발명을 위하여 특별히 설계되고 구성된 것이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수 있다. 컴퓨터 프로그램의 예에는, 컴파일러에 의하여 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용하여 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함될 수 있다.
본 발명의 명세서(특히 청구범위에서)에서 "상기"의 용어 및 이와 유사한 지시 용어의 사용은 단수 및 복수 모두에 해당하는 것일 수 있다. 또한, 본 발명에서 범위(range)를 기재한 경우 상기 범위에 속하는 개별적인 값을 적용한 발명을 포함하는 것으로서(이에 반하는 기재가 없다면), 발명의 상세한 설명에 상기 범위를 구성하는 각 개별적인 값을 기재한 것과 같다.
본 발명에 따른 방법을 구성하는 단계들에 대하여 명백하게 순서를 기재하거나 반하는 기재가 없다면, 상기 단계들은 적당한 순서로 행해질 수 있다. 반드시 상기 단계들의 기재 순서에 따라 본 발명이 한정되는 것은 아니다. 본 발명에서 모든 예들 또는 예시적인 용어(예들 들어, 등등)의 사용은 단순히 본 발명을 상세히 설명하기 위한 것으로서 청구범위에 의해 한정되지 않는 이상 상기 예들 또는 예시적인 용어로 인해 본 발명의 범위가 한정되는 것은 아니다. 또한, 당업자는 다양한 수정, 조합 및 변경이 부가된 청구범위 또는 그 균등물의 범주 내에서 설계 조건 및 팩터에 따라 구성될 수 있음을 알 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시 예에 국한되어 정해져서는 아니 되며, 후술하는 청구범위뿐만 아니라 이 청구범위와 균등한 또는 이로부터 등가적으로 변경된 모든 범위는 본 발명의 사상의 범주에 속한다고 할 것이다.
100: 캐시 부 채널 공격 탐지 장치
110: 프로세서
120: 메모리

Claims (20)

  1. 프로세서를 포함한 캐시 부 채널 공격 탐지 장치에 의하여 수행되는 캐시 부 채널 공격 탐지 방법으로서,
    상기 프로세서에 의해, 프로세스를 실행 중인 적어도 하나의 코어의 캐시 접근 횟수 및 제 1 캐시 히트율(cache hit rate)에 기반하여 상기 적어도 하나의 코어가 실행 중인 프로세스 중에서 적어도 하나의 후보 공격 프로세스를 결정하는 단계;
    상기 프로세서에 의해, 제한된 캐시 환경에서 각 후보 공격 프로세스를 실행 중인 코어의 제 2 캐시 히트율을 획득하는 단계; 및
    상기 프로세서에 의해, 상기 제 1 캐시 히트율 및 상기 제 2 캐시 히트율에 기반하여 각 후보 공격 프로세스가 공격 프로세스인 지 여부를 결정하는 단계
    를 포함하고,
    상기 공격 프로세스인 지 여부를 결정하는 단계는,
    상기 제 1 캐시 히트율 및 상기 제 2 캐시 히트율의 차이값과 상기 차이값에 대한 제 3 임계값을 비교하는 제 1 단계;
    상기 비교 결과, 상기 차이값이 상기 제 3 임계값 이상인 경우, 재설정된 상기 제한된 캐시 환경에서 각 후보 공격 프로세스를 실행 중인 코어의 제 3 캐시 히트율을 획득하는 제 2 단계;
    상기 제 2 캐시 히트율과 상기 제 3 캐시 히트율의 차이값과 상기 제 3 임계값을 비교하는 제 3 단계; 및
    상기 비교 결과, 상기 차이값이 상기 제 3 임계값 이상인 후보 공격 프로세스를 공격 프로세스로 결정하는 제 4 단계
    를 포함하는,
    캐시 부 채널 공격 탐지 방법.
  2. 제 1 항에 있어서,
    상기 적어도 하나의 후보 공격 프로세스를 결정하는 단계는,
    상기 캐시 접근 횟수가 상기 캐시 접근 횟수에 대한 제 1 임계값을 초과하고, 상기 제 1 캐시 히트율이 상기 제 1 캐시 히트율에 대한 제 2 임계값을 초과하는 프로세스를 후보 공격 프로세스로 결정하는 단계
    를 포함하는,
    캐시 부 채널 공격 탐지 방법.
  3. 제 1 항에 있어서,
    상기 제 2 캐시 히트율을 획득하는 단계는,
    각 후보 공격 프로세스에 할당된 캐시 웨이(way)를 조정하는 단계;
    조정된 상기 캐시 웨이로 각 후보 공격 프로세스를 실행하는 단계; 및
    각 후보 공격 프로세스를 실행 중인 코어의 캐시 히트율을 상기 제 2 캐시 히트율로 결정하는 단계;
    를 포함하는,
    캐시 부 채널 공격 탐지 방법.
  4. 제 3 항에 있어서,
    상기 캐시 웨이를 조정하는 단계는,
    각 후보 공격 프로세스에 할당된 캐시 웨이를 기설정된 단위에 따라 감소시키는 단계
    를 포함하는,
    캐시 부 채널 공격 탐지 방법.
  5. 제 1 항에 있어서,
    상기 공격 프로세스인 지 여부를 결정하는 단계는,
    각 후보 공격 프로세스를 실행 중인 코어의 캐시 히트율이 상기 제한된 캐시 환경의 캐시 웨이 수의 감소에 비례하여 감소하는 후보 공격 프로세스를 공격 프로세스로 결정하는,
    캐시 부 채널 공격 탐지 방법.
  6. 삭제
  7. 제 1 항에 있어서,
    상기 제 2 단계 및 상기 제 3 단계는 기설정된 반복 횟수만큼 수행되는,
    캐시 부 채널 공격 탐지 방법.
  8. 제 1 항에 있어서,
    상기 재설정된 캐시 환경은,
    각 후보 공격 프로세스에 할당된 캐시 웨이를 기설정된 단위에 따라 감소시킨 캐시 환경인,
    캐시 부 채널 공격 탐지 방법.
  9. 제 1 항에 있어서,
    상기 제 3 임계값은, 캐시 히트율의 차이값의 감소량에 대한 기준값인,
    캐시 부 채널 공격 탐지 방법.
  10. 제 1 항에 있어서,
    상기 제 2 캐시 히트율을 획득하는 단계 및 상기 공격 프로세스인 지 여부를 결정하는 단계는,
    각 후보 공격 프로세스별로 동시에 수행가능한,
    캐시 부 채널 공격 탐지 방법.
  11. 적어도 하나의 코어를 포함하는 프로세서
    를 포함하고,
    상기 프로세서는,
    프로세스를 실행 중인 상기 적어도 하나의 코어의 캐시 접근 횟수 및 제 1 캐시 히트율에 기반하여 상기 적어도 하나의 코어가 실행 중인 프로세스 중에서 적어도 하나의 후보 공격 프로세스를 결정하고,
    제한된 캐시 환경에서 각 후보 공격 프로세스를 실행 중인 코어의 제 2 캐시 히트율을 획득하고,
    상기 제 1 캐시 히트율 및 상기 제 2 캐시 히트율에 기반하여 각 후보 공격 프로세스가 공격 프로세스인 지 여부를 결정하도록 구성되고,
    상기 프로세서는,
    상기 공격 프로세스인 지 여부를 결정하기 위하여,
    상기 제 1 캐시 히트율 및 상기 제 2 캐시 히트율의 차이값과 상기 차이값에 대한 제 3 임계값을 비교하는 제 1 동작;
    상기 비교 결과, 상기 차이값이 상기 제 3 임계값 이상인 경우, 재설정된 상기 제한된 캐시 환경에서 각 후보 공격 프로세스를 실행 중인 코어의 제 3 캐시 히트율을 획득하는 제 2 동작;
    상기 제 2 캐시 히트율과 상기 제 3 캐시 히트율의 차이값과 상기 제 3 임계값을 비교하는 제 3 동작; 및
    상기 비교 결과, 상기 차이값이 상기 제 3 임계값 이상인 후보 공격 프로세스를 공격 프로세스로 결정하는 제 4 동작을 수행하도록 구성되는,
    캐시 부 채널 공격 탐지 장치.
  12. 제 11 항에 있어서,
    상기 프로세서는,
    상기 적어도 하나의 후보 공격 프로세스를 결정하기 위하여,
    상기 캐시 접근 횟수가 상기 캐시 접근 횟수에 대한 제 1 임계값을 초과하고, 상기 제 1 캐시 히트율이 상기 제 1 캐시 히트율에 대한 제 2 임계값을 초과하는 프로세스를 후보 공격 프로세스로 결정하도록 구성되는,
    캐시 부 채널 공격 탐지 장치.
  13. 제 11 항에 있어서,
    상기 프로세서는,
    상기 제 2 캐시 히트율을 획득하기 위하여,
    각 후보 공격 프로세스에 할당된 캐시 웨이를 조정하고,
    조정된 상기 캐시 웨이로 각 후보 공격 프로세스를 실행하고,
    각 후보 공격 프로세스를 실행 중인 코어의 캐시 히트율을 상기 제 2 캐시 히트율로 결정하도록 구성되는,
    캐시 부 채널 공격 탐지 장치.
  14. 제 13 항에 있어서,
    상기 프로세서는,
    상기 캐시 웨이를 조정하기 위하여,
    각 후보 공격 프로세스에 할당된 캐시 웨이를 기설정된 단위에 따라 감소시키도록 구성되는,
    캐시 부 채널 공격 탐지 장치.
  15. 제 11 항에 있어서,
    상기 프로세서는,
    상기 공격 프로세스인 지 여부를 결정하기 위하여,
    각 후보 공격 프로세스를 실행 중인 코어의 캐시 히트율이 상기 제한된 캐시 환경의 캐시 웨이 수의 감소에 비례하여 감소하는 후보 공격 프로세스를 공격 프로세스로 결정하도록 구성되는,
    캐시 부 채널 공격 탐지 장치.
  16. 삭제
  17. 제 11 항에 있어서,
    상기 프로세서는,
    상기 제 2 동작 및 상기 제 3 동작을 기설정된 반복 횟수만큼 수행하도록 구성되는,
    캐시 부 채널 공격 탐지 장치.
  18. 제 11 항에 있어서,
    상기 재설정된 캐시 환경은,
    각 후보 공격 프로세스에 할당된 캐시 웨이를 기설정된 단위에 따라 감소시킨 캐시 환경인,
    캐시 부 채널 공격 탐지 장치.
  19. 제 11 항에 있어서,
    상기 제 3 임계값은, 캐시 히트율의 차이값의 감소량에 대한 기준값인,
    캐시 부 채널 공격 탐지 장치.
  20. 제 11 항에 있어서,
    상기 프로세서는,
    상기 제 2 캐시 히트율을 획득하고 상기 공격 프로세스인 지 여부를 결정하는 것을 각 후보 공격 프로세스별로 동시에 수행하도록 구성되는,
    캐시 부 채널 공격 탐지 장치.
KR1020200174852A 2020-10-30 2020-12-14 캐시 부 채널 공격 탐지 방법 및 장치 KR102460848B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2021/009900 WO2022092498A1 (ko) 2020-10-30 2021-07-29 캐시 부 채널 공격 탐지 방법 및 장치

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020200143397 2020-10-30
KR20200143397 2020-10-30

Publications (2)

Publication Number Publication Date
KR20220058353A KR20220058353A (ko) 2022-05-09
KR102460848B1 true KR102460848B1 (ko) 2022-10-31

Family

ID=81582312

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200174852A KR102460848B1 (ko) 2020-10-30 2020-12-14 캐시 부 채널 공격 탐지 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102460848B1 (ko)

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Fan Yao et al, "COTSknight: Practical Defense against Cache Timing Channel Attacks using Cache Monitoring and Partitioning Technologies"(2019.06.)*
조종현 외, "Performance Counter Monitor를 이용한 FLUSH+RELOAD 공격 실시간 탐지 기법", 정보처리학회논문지, 컴퓨터 및 통신 시스템, 제8권, 제6호, pp. 151-158(2019.06.)*

Also Published As

Publication number Publication date
KR20220058353A (ko) 2022-05-09

Similar Documents

Publication Publication Date Title
US11777705B2 (en) Techniques for preventing memory timing attacks
KR101535502B1 (ko) 보안 내재형 가상 네트워크 제어 시스템 및 방법
US9507539B2 (en) Performing authorization control in a cloud storage system
US9612964B2 (en) Multi-tier file storage management using file access and cache profile information
US20170155676A1 (en) Systems and methods for security management of multi-client based distributed storage
US20150052614A1 (en) Virtual machine trust isolation in a cloud environment
US11113192B2 (en) Method and apparatus for dynamically adapting cache size based on estimated cache performance
KR102324361B1 (ko) 집단 지능 기반 악의적 기기 탐지 장치 및 방법
US20230306119A1 (en) Intrusion detection
US9460001B2 (en) Systems and methods for identifying access rate boundaries of workloads
US11005890B2 (en) Secure software defined storage
WO2019107609A1 (ko) 랜섬웨어에 대한 데이터 손실이 없는 ssd 내부 방어 방법 및 랜섬웨어 탐지 시스템
KR102105885B1 (ko) 랜섬웨어 탐지 방법 및 랜섬웨어 탐지 시스템
Sangeetha et al. An optimistic technique to detect Cache based Side Channel attacks in Cloud
KR102460848B1 (ko) 캐시 부 채널 공격 탐지 방법 및 장치
CN109729050B (zh) 一种网络访问监控方法及装置
CN113923002A (zh) 计算机网络入侵防御方法、装置、存储介质及处理器
CN104426836A (zh) 一种入侵检测方法及装置
KR102259158B1 (ko) 블룸 필터를 이용한 효율적인 랜섬웨어 탐지 방법 및 시스템
US20180300065A1 (en) Storage resource management employing end-to-end latency analytics
KR102348357B1 (ko) 동적인 분석 플랜을 이용하는 edr 장치 및 방법
JP2018147444A (ja) 分析プログラムを実行する計算機システム、及び、分析プログラムの実行を監視する方法
KR102479310B1 (ko) 신뢰가능한 실행 환경을 이용한 캐시 부 채널 공격 탐지 방법 및 장치
WO2022092498A1 (ko) 캐시 부 채널 공격 탐지 방법 및 장치
KR102348359B1 (ko) 관심 동작 영역 기반의 edr 장치 및 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant