뉴스 게시판목록 | 성균관대학교 소프트웨어학과

본문 바로가기
주메뉴 바로가기
서브메뉴 바로가기

High Tech, High Touch

소식
학과소식

소식

학과소식

[연구] [이호준 교수] 시스템보안연구실, USENIX Security Symposium 2024 논문 게재 승인

시스템보안 연구실 (지도교수 이호준, https://sslab.skku.edu)의 조규원(박사과정), 김종윤(박사과정), Dinh Duy Kha(박사과정), 임하정(박사과정) 의 "RustSan: Retrofitting AddressSanitizer for Efficient Sanitization of Rust" 논문이 보안분야 4대 학회 중 하나인 USENIX Security Symposium 2024에 게재 승인되어 2024년 8월에 발표될 예정입니다. 오늘날 Rust는 C/C++과 비슷한 성능을 가지면서도 안전한 시스템 프로그래밍 언어로 주목받고 있습니다. 그러나 unsafe Rust라는 기능의 존재와 이를 활용하는 많은 프로그램들로 인하여 아직 여전히 메모리 버그가 발생할 수 있기에, 따라서 퍼징과 같은 소프트웨어 테스팅 기법들이 여전히 필요합니다. 본 논문에서는 메모리 버그 탐지의 state-of-the-art 기술인 Address Sanitizer(ASan)가 C/C++에 초점을 맞추어 설계되어 있고, Rust의 특징을 전혀 반영하지 못하여 불필요한 높은 성능 오버헤드가 발생한다는 문제점을 설명합니다. 이 논문에서는 Rust의 특징들을 반영해 표준 탐지기술인 ASan을 최적화하고 불필요한 오버헤드를 제거하는 RustSan이라는 소프트웨어 메모리 오류 탐지기술 (Sanitizer)을 제시합니다. RustSan은 이를 위하여 Rust 코드의 더 정확한 분석을 위해 Rust MIR/HIR과 LLVM IR 병행을 분석하는 Cross-IR Analysis를 도입했으며, ASan의 shadow memory scheme의 binary한 탐지 기능을 확장하여, Rust에 적합한 tri-state 탐지 기능을 도입했습니다. RustSan은 총 57개의 Rust 프로그램들에 대하여 탐지 능력과 런타임 성능을 검증하였습니다. 테스트된 31개의 CVE부여 취약점을 모두 성능저하를 획기적으로 줄이면서 탐지하는데 성공하였고, 성능은 기존 표준기술 ASan대비 일반 프로그램 벤치마크 20종에서 평균 63.3%, Fuzzing 벤치마크에서 평균 23.52%/최고 57.08%의 성능향상을 보여주었습니다. RustSan은 최초의 Rust언어특화 메모리 오류 탐지기술로, 앞으로 Rust프로그램의 메모리 오류 검출을 훨씬 효율적으로 할수 있는 방향을 제시하였습니다. 영문 Abstract: Rust is gaining traction as a safe systems programming language with its strong type and memory safety guarantees. However, Rust’s guarantees are not infallible. The use of unsafe Rust, a subvariant of Rust, allows the programmer to temporarily escape the strict Rust language semantics to trade security for flexibility. Memory errors within unsafe blocks in Rust have far-reaching ramifications for the program’s safety. As a result, the conventional dynamic memory error detection (e.g., fuzzing) has been adapted as a common practice for Rust and proved its effectiveness through a trophy case ofdiscovered CVEs. RustSan is a retrofitted design of AddressSanitizer(ASan) for efficient dynamic memory error detection of Rust programs. Our observation is that a significant portion of instrumented memory access sites in a Rust program compiled with ASan is redundant, as the Rust security guarantees can still be valid at the site. RustSan identifies and instruments the sites that definitely or may undermine Rust security guarantees while lifting instrumentation on safe sites. To this end, RustSan employs a cross-IR program analysis for accurate tracking of unsafe sites and also extends ASan’s shadow memory scheme for checking non-uniform memory access validation necessary for Rust. We conduct a comprehensive evaluation of RustSan in terms of detection capability and performance using 57 Rust crates. RustSan successfully detected all 31 tested cases of CVE-issued memory errors. Also, RustSan shows an average of 62.3% performance increase against ASan in general benchmarks that involved 20 Rust crates. In the fuzzing experiment with 6 crates, RustSan marked an average of 23.52%, and up to 57.08% of performance improvement.
- 작성일 2023-12-08
- 조회수 4493
[연구] [이호준 교수] 시스템보안연구실, ACM Conference on Computer and Comunnications Security (CCS), Distinguished Paper Award 수상

시스템보안 연구실 (지도교수 이호준, https://sslab.skku.edu)의 Dinh Kha(박사과정), 조규원(박사과정), 노태현(석사과정) 학생의 "Capacity: Cryptographically-Enforced In-process Capabilities for Modern ARM Architectures" 논문이 보안 분야 4대 학회 중 하나인 ACM Conference on Computer and Comunnications Security (CCS) 2023 학회에서 Distinguished Paper Award를 수상하였다. Distinguished Paper Ward는 CCS 23에서 발표된 235편의 논문 중 17편에 수여되었다. 논문 요약: 본 논문에서 제시한 Capacity 프레임워크는 기존 운영체제 접근제어 기능을 ARM의 새로운 하드웨어 기능인 Pointer Authentication과 Memory Tagging Extension을 통해 확장하여 Capability기만의 접근제어를 구현한다. Capacity는 프로세스 리소스에 대한 Reference 타입들인 메모리 포인터와 file descriptor를 하드웨어적으로 각 도메인의 키를 통해 서명하고, 모든 사용에 대해 검증한다. Capability 철학에 기반하여 서명된 Reference의 보안을 유지하는 장치들이 강건하게 구현되어 보안성이 높으며, 실제 NGINX, OpenSSH등의 프로그램들에 적용하여 그 실용성 및 성능 검증을 마친 연구이다.‘
- 작성일 2023-12-07
- 조회수 4265
[일반] [SW중심대학사업단] 삼성학술정보관에 소프트웨어콤플렉스(솦ː콤) 개소

SW중심대학사업단, 삼성학술정보관에 소프트웨어콤플렉스(솦ː콤) 개소
- 작성일 2023-11-29
- 조회수 1112
[연구] 김형식 교수 연구실 (보안공학연구실, SecLab), Network and Distributed System Security (NDSS) Symposium 2024 논문 게재 승인

보안공학 연구실 (지도교수: 김형식, https://seclab.skku.edu)의 진범진(박사과정), 김은수(박사과정) 학생과 김형식 교수가 진행한 "Sharing cyber threat intelligence: Does it really help?" 논문이 정보 보안 분야 4대 컨퍼런스 중 하나인 Network and Distributed System Security (NDSS) Symposium 2024에 게재 승인되었습니다. 본 연구는 한국에너지공과대학교(KENTECH)의 이현우 교수님, 미국 테네시 대학교 (University of Tennessee)의 김두원 교수님, 퍼듀 대학교 (Purdue University)의 Elisa Bertino 교수님과 공동 연구로 진행되었습니다. 사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence)란 해커의 동기, 대상, 공격 방법 및 대응 방안 등 사이버 상에서 발생하는 위협을 이해하기 위한 모든 종류의 데이터를 의미하며, 효과적인 사이버 위협 탐지 및 방어를 위한 대안으로 떠오르고 있습니다. 본 논문은 대표적인 사이버 위협 인텔리전스 표준인 Structured Threat Information eXpression (STIX) 형식의 데이터를 분석하여 문제점을 제시하고 현실적인 해결 방안을 제안하였습니다. 이를 위해, TAXII 서버 및 Web repository 등 다양한 공개적인 소스들에서 실제로 공유되는 600만개의 STIX 데이터를 수집하였으며, 데이터의 양 (Volume), 적시성 (Timeliness), 적용 범위 (Coverage) 및 데이터의 품질 (Quality)의 관점에서 STIX 데이터를 분석할 수 있는 프레임 워크 (CTI-Lense)를 제안하였습니다. 주요 결과로, 시간이 지남에 따라 더 많은 양의 STIX가 공유가 되고 있지만, 상당한 양의 데이터가 잘못된 값을 가지거나 표준을 부적절하게 사용하는 것을 확인하였습니다. Abstract - The sharing of Cyber Threat Intelligence (CTI) across organizations is gaining traction, as it can automate threat analysis and improve security awareness. However, limited empirical studies exist on the prevalent types of cybersecurity threat data and their effectiveness in mitigating cyber attacks. We propose a framework named CTI-Lense to collect and analyze the volume, timeliness, coverage, and quality of Structured Threat Information eXpression (STIX) data, a de facto standard CTI format, from a list of publicly available CTI sources. We collected about 6 million STIX data objects from October 31, 2014 to April 10, 2023 from ten data sources and analyzed their characteristics. Our analysis reveals that STIX data sharing has steadily increased in recent years, but the volume of STIX data shared is still relatively low to cover all cyber threats. Additionally, only a few types of threat data objects have been shared, with malware signatures and URLs accounting for more than 90% of the collected data. While URLs are usually shared promptly, with about 72% of URLs shared earlier than or on the same day as VirusTotal, the sharing of malware signatures is significantly slower. Furthermore, we found that 19% of the Threat actor data contained incorrect information, and only 0.09% of the Indicator data provided security rules to detect cyber attacks. Based on our findings, we recommend practical considerations for effective and scalable STIX data sharing among organizations.
- 작성일 2023-11-27
- 조회수 4680
[학생실적] [우사이먼성일 교수] DASH Lab, 2023 창업경진대회 최우수상, 우수상 수상

소프트웨어학과 DASHLab. 융합보안트랙 조범상(석사과정), 이강준(석박통합과정), 우사이먼성일 교수 팀이 성균관대학교 창업지원단에서 주최한 2023 SIS 실험실 창업경진대회에서 新유형 범죄 예방 Deepfake 탐지 기술창업을 진행하여 우수상(3등) 수상하였다. 2023 SIS 실험실 창업경진대회는 경기청년창업포럼축제에서 함께 주최되어 경기도, 수원특례시, 창업진흥원, 과학기술사업화진흥원 등에서 후원되어 청년창업의 활성화를 통하여 지역경제성장을 위해 실시되었다. 본 대회는 성균관대학교 및 국민대학교 대학원생을 대상으로 8주간의 기간과 1박2일동안의 창업캠프를 진행하였으며 엄격한 심사를 통과한 최종 8팀이 선발되었으며 최종 우수상(3등)을 수상하였다. 또한, 소프트웨어학과 Dash Lab. 조범상(석사과정), 이강준(석박통합과정), 우사이먼성일 교수 팀이 성균관대학교 창업지원단에서 주최한 2023 SKKU 대학원생 창업경진대회에서 최우수상(2등)을 수상하였다. 2023 SKKU 대학생,대학원생 창업경진대회는 성균관대학교 창업지원단에서 주최되어 대학생, 대학원생 창업을 활성화하여 창업에 대한 의욕과 관심을 고취하고 기술 및 아이디어 기반의 창업문화를 확산을 위해 실시되었다. 이번 대회는 치열한 경쟁을 통하여 최종 선발된 11팀 중 최우수상(2등)을 수상하는 쾌거를 이룩하였다.
- 작성일 2023-11-21
- 조회수 1932
[학생실적] [SPARK] 2023년 제11회 K-해커톤 대상(과학기술정보통신부 장관상) 수상

[SPARK] 2023년 K-해커톤 대상(과학기술정보통신부 장관상) 수상 박희선 산학교수가 지도하는 SPARK팀이 '2023년 K-해커톤'에서 대상을 수상했다. 과학기술정보통신부가 주최한 2023년 K-해커톤은 국민 생활 및 지역사회의 특수한 문제 해결을 위한 디지털 신기술 융합 솔루션(SW, AI, IoT, 메타버스 등) 기반의 챌린지이다. 이번 공모전은 지역 예선을 통과한 총 21개팀이 결선에 진출하였고, 결선 현장 발표를 통해 대상을 수상했다. 2023년 제 11회 K-해커톤 대상 출품작 : CareBot (Generative AI를 통한 상호작용형 녹음 감정일기) > 주제 : 현대인의 일상적인 스트레스와 우울감을 완화할 수 있도록 도와주는 CareBot 개발 > 기능 GPT 기반의 공감능력을 갖는 한국어 LLM 개발로 대화형식의 녹음 일기 생성 사용자의 경험을 기록하여 유사한 일을 겪은 시점과 해결한 과정을 remind하여 맞춤형 피드백 제시 대화 내용 중심으로 일기 요약과 감성 분석 결과 제공(인간관계별 감정, 사건별 감정분석) - 참가자 박성완, 송현빈 (소프트웨어학과 4학년), 강석훈(바이오메카트로닉스학과/컴공 복전), 김재영(시스템경영학과/컴공 복전) - 지 도 : 박희선 산학교수 - 수상 내역 : 대상 (과학기술정보통신부 장관상) - 상금 : 500만원
- 작성일 2023-11-17
- 조회수 2701
[학생실적] ‘스꾸버스 앱 개발자’ 조승용(소프트웨어 23) 학우

‘스꾸버스 앱 개발자’ 조승용(소프트웨어 23) 학우 인문사회과학캠퍼스 셔틀버스 실시간 위치, 인자셔틀 (인문사회과학캠퍼스 – 자연과학캠퍼스 셔틀버스) 시간표를 확인할 수 있는 앱 ‘스꾸버스’. 스꾸버스는 지난 9월 4일 정식 출시 이후 현재까지 인사캠퍼스 전체 학우의 약 20% 정도가 다운로드 받았고, 매일 250~300명 정도의 학우가 이용 중이다. (9/17 기준)
- 작성일 2023-10-05
- 조회수 1229
[연구] 우홍욱 교수 연구실 (CSI연구실), NeurIPS 2023 논문 게재 승인

CSI연구실 (지도교수: 우홍욱)의 논문이 인공지능 분야 우수학회인 NeurIPS 2023 (Thirty-seventh Conference on Neural Information Processing Systems)에 게재 승인(Accept) 되었습니다. 논문은 23년 12월 미국 뉴올리언스에서 발표될 예정입니다. 논문 “Efficient Policy Adaptation with Contrastive Prompt Ensemble for Embodied Agents” 은 소프트웨어학과 최원제 (박사과정), 김우경 (박사과정), 김승현 (석사과정) 연구원이 저자로 참여했습니다. 본 연구는 학습 시 관찰되지 않았던 물리 환경의 시각적 변화에 로봇 에이전트가 빠르게 적응할 수 있게 하는 새로운 프레임워크, CONPE (Contrastive Prompt Ensemble)를 제안합니다. CONPE 프레임워크는 사전 훈련된 시각-언어 모델 (Vision-Language Model)과 시각적 프롬프트 (Visual Prompt)를 사용하여 다양한 환경과 물리적 변화에 효율적으로 로봇 제어/네비게이션 정책을 적응을 할 수 있게 합니다. CSI 연구실은 머신러닝, 강화학습, 자기지도학습을 활용하여 네트워크, 클라우드 시스템 최적화 연구와 로봇, 드론 자율주행 연구 등을 수행하고 있습니다. 이번 NeurIPS 2023 논문의 연구는 사람중심인공지능 핵심원천기술사업 (IITP), 한국연구재단 개인기초사업 (NRF), 인공지능대학원의 지원으로 진행 중 입니다. 우홍욱 | hwoo@skku.edu | CSI Lab | https://sites.google.com/view/csi-agent-group
- 작성일 2023-09-26
- 조회수 5644
[학생실적] 2023년 해커톤 및 융합보안협의회 우수상, 김진무 (소프트웨어학과 23)학우

2023년 해커톤 및 융합보안협의회 우수상, 김진무 (소프트웨어학과 23)학우
- 작성일 2023-09-23
- 조회수 1106
[연구] [우사이먼성일 교수] DASH 연구실, CIKM 2023 국제 학술대회 논문 3편 게재 승인 및 이상탐지 관련 워크숍 개최

DASH 연구실 박은주 소프트웨어학과 박사과정, Binh M. Le 소프트웨어학과 박사과정, 소프트웨어학과 융합보안대학원 조범상 석사과정, 이상용 인공지능대학원 석사과정, 백승연 인공지능대학원 석사과정, 김지원 인공지능대학원 석사과정의 논문 3편이 인공지능 및 정보검색 분야의 top-tier 국제학술대회인 CIKM (Conference on Information and Knowledge Management) 2023에 최종 논문 게재가 승인되어 10월에 발표될 예정입니다. 1.호주 CSIRO Data61과 Deepfake 관련 연구 2.신분증 진위 분류를 위한 데이터셋 관련 연구 3.Machine Unlearning 연구 또한, DASH 연구실 우사이먼성일 교수님이 주축이 되어 제 1회 위성 및 무인비행체의 이상탐지에 관한 워크샵이 CIKM 2023에서 개최됩니다. 1. Beomsang Cho, Binh M. Le, Jiwon Kim, Simon S. Woo , Shahroz Tariq, Alsharif Abuadbba, and Kristen Moore , “Toward Understanding of Deepfake Videos in the Wild”, Proceedings of the 32nd ACM International Conference on Information & Knowledge Management. 2023. 본 연구는 최근 증가하는 Deepfake 문제를 다루며, 기존 Dataset이 최신 기술을 충분히 반영하지 못하는 한계를 극복하기 위한 목적으로 시작되었습니다. 우리는 RWDF-23이라는 최신 Deepfake Dataset을 제안합니다. RWDF-23은 Reddit, Youtube, TikTok, Bilibili등에서 수집한 2,000개의 Deepfake 비디오로 구성되며, 4가지의 다른 언어를 대상으로 수집하였습니다. 이를 통하여 이전 Dataset의 범위를 확장하고, 현재 온라인 플랫폼에서 얼마나 많은 최신 Deepfake 기술들이 사용되고 있는지 분석하며 Deepfake를 제작하는 사람들의 분석뿐만 아니라 시청자들의 의견과 상호 작용 데이터를 수집하여 Deepfake를 시청하는 사람들의 상호작용 방식을 조사합니다. 이러한 풍부한 정보를 고려하여 계속해서 진화하는 Deepfake와 현실 온라인 플랫폼에 미치는 영향에 대한 포괄적인 이해를 제공합니다. Deepfakes have become a growing concern in recent years, prompting researchers to develop benchmark datasets and detection algorithms to tackle the issue. However, existing datasets suffer from significant drawbacks that hamper their effectiveness. Notably, these datasets fail to encompass the latest deepfake videos produced by state-of-the-art methods that are being shared across various platforms. This limitation impedes the ability to keep pace with the rapid evolution of generative AI techniques employed in real-world deepfake production. Our contributions in this IRB-approved study are to bridge this knowledge gap from current real-world deepfakes by providing in-depth analysis. We first present the largest and most diverse and recent deepfake dataset (RWDF-23) collected from the wild to date, consisting of 2,000 deepfake videos collected from 4 platforms targeting 4 different languages span created from 21 countries: Reddit, YouTube, TikTok, and Bilibili. By expanding the dataset’s scope beyond the previous research, we capture a broader range of real-world deepfake content, reflecting the ever-evolving landscape of online platforms. Also, we conduct a comprehensive analysis encompassing various aspects of deepfakes, including creators, manipulation strategies, purposes, and real-world content production methods. This allows us to gain valuable insights into the nuances and characteristics of deepfakes in different contexts. Lastly, in addition to the video content, we also collect viewer comments and interactions, enabling us to explore the engagements of internet users with deepfake content. By considering this rich contextual information, we aim to provide a holistic understanding of the evolving deepfake phenomenon and its impact on online platforms. 2. Eun-Ju Park, Seung-Yeon Back, Jeongho Kim, and Simon S. Woo, ”KID34K: A Dataset for Online Identity Card Fraud Detection”, Proceedings of the 32nd ACM International Conference on Information & Knowledge Management. 2023. 본 연구에서는 모바일 신분증 검증 시스템의 보안 강화를 위한 데이터셋을 제공합니다. 최근 모바일 플랫폼에서의 본인인증절차는 신분증을 기반으로 진행되고 있는데, 비대면 금융거래가 증가함에 따라 금융거래의 당사자가 신분증 명의자임을 증명하는 절차도 중요해지고 있습니다. 그러나, 현재의 시스템은 금융거래 이용자가 제출하는 사진이 본인의 신분증을 직접 찍는 것인지, 아니면 모니터나 종이에 출력한 다른 사람의 신분증 사진을 찍은 것인지 구별하지 않습니다. 본 연구는 이러한 신분증 검증 시스템의 안정성 강화라는 측면과, 또한 신분증의 개인정보 유출을 막기위한 측면 두 가지를 고려한 신분증 이미지 데이터셋을 제공합니다. Though digital financial systems have provided users with convenient and accessible services, such as supporting banking or payment services anywhere, it is necessary to have robust security to protect against identity misuse. Thus, online digital identity (ID) verification plays a crucial role in securing financial services on mobile platforms. One of the most widely employed techniques for digital ID verification is that mobile applications request users to take and upload a picture of their own ID cards. However, this approach has vulnerabilities where someone takes pictures of the ID cards belonging to another person displayed on a screen, or printed on paper to be verified as the ID card owner. To mitigate the risks associated with fraudulent ID card verification, we present a novel dataset for classifying cases where the ID card images that users upload to the verification system are genuine or digitally represented. Our dataset is replicas designed to resemble real ID cards, making it available while avoiding privacy issues. Through extensive experiments, we demonstrate that our dataset is effective for detecting digitally represented ID card images, not only in our replica dataset but also in the dataset consisting of real ID cards. 3. Sanyong Lee and Simon Woo, “UNDO: Effective and Accurate Unlearning Method for Deep Neural Networks”, Proceedings of the 32nd ACM International Conference on Information & Knowledge Management. 2023. 본 연구에서는 간단하면서 효과적인 machine unlearning 기법 UNDO를 제안합니다. 이 기법은 학습된 모델에서 한 클래스의 정보를 지우기 위해 두 스텝으로 이뤄져있습니다. 먼저 coarse-grained level로서, 잊으려고 하는 데이터에 다른 레이블을 부여하여 한 에폭(epoch)만 짧게 학습하므로서 결정 경계를 허뭅니다. 그런 다음 fine-grained level로서, 앞선 단계에서 차마 잊지 못한 데이터를 잊으면서, 남길 데이터에 대한 부작용을 개선하기 위한 학습을 합니다. 이때 남길 데이터는 학습에 사용하지 않은 소량만 사용하여 학습 속도를 빠르게 합니다. 다양한 실험을 통하여 본 논문에서 제안하는 UNDO는 기존 machine unlearning 기법들 보다 빠르고 효과적임을 보여줍니다. Machine learning has evolved through extensive data usage, including personal and private information. Regulations like GDPR highlight the "Right to be forgotten" for user and data privacy. Research in machine unlearning aims to remove specific data from pre-trained models. We introduce a novel two-step unlearning method, UNDO. First, we selectively disrupt the decision boundary of forgetting data at the coarse-grained level. However, this can also inadvertently affect the decision boundary of other remaining data, lowering the overall performance of the classification task. Hence, we subsequently repair and refine the decision boundary for each class at the fine-grained level by introducing a loss to maintain the overall performance while completely removing the class. Our approach is validated through experiments on two datasets, outperforming other methods in effectiveness and efficiency. 4. The 1st International Workshop on Anomaly and Novelty detection in Satellite and Drones systems (ANSD '23) 제 1회 위성 및 무인비행체의 이상탐지에 관한 워크샵이 CIKM 2023에서 개최됩니다. 본 워크샵은 우사이먼성일 성균관대 교수, Shahroz Tariq CSIRO’s Data61 소속, 신유진 가톨릭대 교수, 정대원 한국항공우주연구원 소속이 주축이 되어 무인비행체의 시계열 및 이미지 데이터에 대한 이상을 탐지하는 것과 관련된 내용을 주제로 합니다. The workshop on Anomaly and Novelty Detection in Drones and Satellite data at CIKM 2023 aims to bring together researchers, practitioners, and industry experts to discuss the latest advancements and challenges in detecting anomalies and novelties in drone and satellite data. With the increasing availability of such data, the workshop seeks to explore the potential of machine learning and data mining techniques to enable the timely and accurate detection of unexpected events or changes. The workshop will include presentations of research papers, keynote talks, panel discussions, and poster sessions, with a focus on promoting interdisciplinary collaboration and fostering new ideas for tackling real-world problems. 문의사항이나 질문은 DASH Lab(https://dash.skku.edu)의 우사이먼교수(swoo@g.skku.edu)에게 연락부탁드립니다.
- 작성일 2023-09-18
- 조회수 4594