รายละเอียดโครงงาน

หลักสูตร/ปี พ.ศ.
วิศวกรรมศาสตรมหาบัณฑิต สาขาวิชาวิศวกรรมคอมพิวเตอร์ ปี พ.ศ. 2562

ภาคและปีการศึกษาที่สำเร็จการศึกษา
ภาคฤดูร้อน ปีการศึกษา 2562

ประเภทโครงงาน
วิทยานิพนธ์

ชื่อโครงงานภาษาไทย
การใช้ประโยชน์จากหน่วยประมวลผลในซีพียูแบบมัลติคอร์เพื่อตรวจจับคำสั่งโนออพภายใต้ สภาวะแซนด์บอกซ์

ชื่อโครงงานภาษาอังกฤษ
Exploiting Extra CPU Cores to Detect NOP Sleds Using Sandboxed Execution

ผู้พัฒนา
5814550031 นพพร พริ้งมงคล

อาจารย์ที่ปรึกษาหลัก
ภารุจ รัตนวรพันธุ์

อาจารย์ที่ปรึกษาร่วม
จันทนา จันทราพรชัย

บทคัดย่อ

ในปัจจุบันโปรแกรมแอนตี้ไวรัสนิยมมีระบบฐานข้อมูลของไวรัสซิกเนเจอร์ไว้สนับสนุนการทำงาน ซึ่งรูปแบบการทำงานลักษณะนี้มีข้อด้อยที่ทราบกันดีว่า ต้องพึ่งพาการอัพเดท ฐานข้อมูลขนาดใหญ่ให้เป็นปัจจุบันอย่างสม่ำเสมอ ซึ่งเป็นช่องโหว่ของภัยคุกคามไซเบอร์ประเภทซีโร่เดย์ (Zero-day) ในขณะที่เครื่องคอมพิวเตอร์ส่วนบุคคลที่ใช้งานกันทั่วไปนั้นก็มีการใช้งานซีพียูแบบมัลติคอร์ จึงมีความน่าสนใจที่จะนำทรัพยากรดังกล่าวมาใช้ในการแก้ปัญหา และรับมือกับภัยคุกคามไซเบอร์ประเภท Zero-day

วิทยานิพนธ์นี้เสนอการออกแบบและพัฒนากระบวนการวิเคราะห์และตรวจจับภัยคุกคามแบบไดนามิค โดยตรวจจับจากสัญญาณของการประมวลผลมัลแวร์ ได้แก่การประมวลผลคำสั่งโนออพในบริเวณของหน่วยความจำหลัก มีหลักการทำงานคือ แบ่งกระกระบวนการตรวจจับออกเป็นเทรดย่อยๆและดำเนินการคู่ขนานกันไปในสภาวะแซนด์บอกซ์ ซึ่งการทำงานของแต่ละเทรดนั้นจะอาศัยการทำงานของซีพียูที่ต่างคอร์แยกกันไป เพื่อเป็นการเพิ่มความเร็วในการตรวจจับการประมวลผลคำสั่งโนออพ

งานวิจัยนี้มุ่งหวังเรื่องการป้องกันภัยคุกคามไซเบอร์ประเภท Zero-day โดยไม่พึ่งพาการใช้ระบบฐานข้อมูลของไวรัสซิกเนเจอร์ และคงไว้ซึ่งความถูกต้องของการตรวจจับประมวลผลคำสั่งโนออพอยู่ว่ามีอยู่จริงหรือไม่

Abstract

At present, antivirus software backed by database of virus signatures is the most popular solution to malware detection problem. Even though its shortfalls are well-known - it requires large database that needs to be updated constantly and it is vulnerable to zero-day exploit - the security community has not successfully come up with better alternatives to it. However, the advent of multicores allows us to revisit this problem and look for alternatives that were deemed inefficient with previous generations of hardware.

This thesis presents a lightweight dynamic analysis scheme that scans and executes objects allocated in the main memory. Our scheme looks for the presence of NOP sleds, which signals the existence of malware. Separate threads are spawn or woken up to perform object execution in sandboxed environment. This action takes place whenever applications allocate objects in memory. Extra CPU cores can execute these threads independently in parallel, providing close to ideal speedup.

The proposed solution obviates the need for the virus database and can protect against zero-day exploit. This approach incurs low overhead, offers attractive false positive rate, and maintains zero false negative rate by design.

คำสำคัญ (Keywords)

1.NOP sled detection
2.sandboxed execution
3.static and dynamic program analysis
4.zero-day exploit

เว็บไซต์โครงงาน
-

วีดีโอคลิปของโครงงาน

ที่เก็บเวอร์ชันซอร์สโค้ด

-


สถานะการนำเข้าข้อมูล

ผู้นำเข้าข้อมูลครั้งแรก
นพพร พริ้งมงคล (g5814550031)

แก้ไขครั้งสุดท้าย
เมื่อ Sept. 6, 2019, 9:21 p.m. โดย นพพร พริ้งมงคล (g5814550031)

สถานะการอนุมัติ
อนุมัติแล้ว โดย ภารุจ รัตนวรพันธุ์ (fengprrb) เมื่อ May 13, 2020, 10:55 a.m.