Proceedings of the Korea Information Processing Society Conference (한국정보처리학회:학술대회논문집)

  • 2024.05a
  • /
  • Pages.183-186
  • /
  • 2024
  • /
  • 2005-0011(pISSN)
  • /
  • 2671-7298(eISSN)
Korea Information Processing Society (한국정보처리학회)
권호 표지

Cooperative Firmware Fuzzing Technique for Lightweight Internet of Things

경량 IoT 를 위한 협력적 펌웨어 퍼징 기법

  • Jin-Min Lee (Dept. of Future Convergence Technology Engineering, Sungshin Women's University) ;
  • Seung-Eun Lee (Dept. of Convergence Security Engineering, Sungshin Women's University) ;
  • Na-Hyun Kim (Dept. of Convergence Security Engineering, Sungshin Women's University) ;
  • Il-Gu Lee (Dept. of Future Convergence Technology Engineering, Sungshin Women's University)
  • 이진민 (성신여자대학교 미래융합기술공학과) ;
  • 이승은 (성신여자대학교 융합보안공학과) ;
  • 김나현 (성신여자대학교 융합보안공학과) ;
  • 이일구 (성신여자대학교 융합보안공학과/미래융합기술공학과)
  • Published : 2024.05.23
Download PDF
⟨ Previous Next ⟩

Abstract

IoT(Internet of Things) 기기가 다양한 산업 분야에 활용되면서, 보안과 유지 보수를 위한 관리의 중요성이 커지고 있다. 편리한 IoT 기기 관리를 위해 무선 네트워크를 통한 펌웨어 업데이트 기술인 FOTA(Firmware Over The Air)가 적용되어 있지만, 컴퓨팅 파워가 제한된 경량 IoT 기기 특성상 취약점 탐지를 수행하기 어렵다. 본 연구에서는 IoT 기기들이 퍼징 테스트 케이스를 분할하여 협력적으로 퍼징하고, 노드 간의 퍼징 결과가 다르면 재검증을 수행하는 협력적 퍼징 기법을 제안한다. 실험 결과에 따르면, 중복되는 테스트 케이스를 2 개나 3 개 퍼징하는 협력적 퍼징 기법은 종래 방식 대비 연산량을 최소 약 16%, 최대 약 48% 줄였다. 또한, 종래 퍼징 기법 대비 취약점 탐지 성공률(Success rate of vulnerability detection)을 최소 약 3 배, 최대 약 3.4 배 개선시켰다.

Keywords

Acknowledgement

본 논문은 2024 년도 정부재원(과학기술정보통신부 여대학원생 공학연구팀제 지원사업)으로 과학기술정보통신부와 한국여성과학기술인육성재단의 지원 (WISET 계약 제 2024-138 호), 산업통상자원부 및 한국산업기술진흥원의 지원(No. RS-2024-00415520)과 과학기술정보통신부 및 정보통신기획평가원의 지원 (No. IITP-2022-RS-2022-00156310)을 받은 연구결과로 수행되었음

References

  1. Malik Abdul Sami, Tamim Ahmed Khan, "Forecasting failure rate of IoT devices: A deep learning way to predictive maintenance," Computers and Electrical Engineering, 110, 2023.
  2. Akashdeep Bhardwaj, Keshav Kaushik, Salil Bharany, SeongKi Kim, "Forensic analysis and security assessment of IoT camera firmware for smart homes," Egyptian Informatics Journal, 24, 4, 2023.
  3. Donglan Liu, Hao Zhang, Rui Wang, Fangzhe Zhang, Lili Sun, Xin Liu, Lei Ma, "A lightweight IoT firmware vulnerability detection scheme based on homology detection," Journal of High Speed Networks, 28, 1-11, 2022.
  4. Xiaogang Zhu, Sheng Wen, Seyit Camtepe, and Yang Xiang, "Fuzzing: A Survey for Roadmap," ACM Computing Surveys, 54, 11, 1-36, 2022.
  5. Emre Guler, Philipp Gorz, Elia Geretto, Andrea Jemmett, Sebastian Osterlund, Herbert Bos, Cristiano Giuffrida, Thorsten Holz, "Cupid: Automatic Fuzzer Selection for Collaborative Fuzzing," Annual Computer Security Applications Conference, 360-372, 2020.
  6. Jin Huang, Junjie Zhang, Jialun Liu, Chuang Li, Rui Dai, "UFuzzer: Lightweight Detection of PHP-Based Unrestricted File Upload Vulnerabilities Via Static-Fuzzing Co-Analysis," International Symposium on Research in Attacks, 78-90, 2021.
  7. Xu Zhou, Pengfei Wang, Chenyifan Liu, Tai Yue, Yingying Liu, Congxi Song, Kai Lu, Qidi Yin, "Unifuzz: Optimizing distributed fuzzing via dynamic centralized task scheduling," arXiv.Org, 2009.06124v1, 2020.
  8. Xiaotao Feng, Ruoxi Sung, Xiaogang Zhu, Minhuo Xue, Shen Wen, Dongxi Liu, Surya Nepal, Yang XiangFeng. "Snipuzz: Black-box fuzzing of Iot firmware via message snippet inference," Proceedings of the 2021 ACM SIGSAC conference on computer and communications security, 337-350, 2021.