论文研究-基于不变量保护的内核rootkit入侵检测和系统恢复.pdf资源-CSDN文库

系统不变量检测

需积分: 10 79 浏览量 2019-08-21 03:10:53 上传评论收藏 288KB PDF 举报

资源推荐

资源详情

资源评论

http://www.paper.edu.cn

- 1 -

中国科技论文在线

基于不变量保护的内核 rootkit 入侵检测和

系统恢复

邓凌志，陈浩，孙建华

1**

基金项目：国家重点基础研究发展计划（973 计划）项目（2007CB310900）

作者简介：邓凌志，（1985-），男，硕士研究生，计算机虚拟化技术、计算机系统安全

通信联系人：陈浩，（1977-），男，副教授，主要研究方向：并行分布式系统、网络安全和信息安全、操

作系统和虚拟机. E-mail: haochen@aimlab.com

（湖南大学信息科学与工程学院，长沙 410082） 5

摘要：最新的内核 rootkit 通过改变运行时操作系统内核中的动态数据结构的方法来达到其

恶意的目的。这种方法更隐蔽更难于发现和恢复，对操作系统安全构成了严重的考验。本文

提出了一种虚拟机架构下结合内核不变量保护和快照回卷技术的 rootkit 入侵检测和系统

恢复机制，实现了验证系统 IDRS(Intrusion Detection and Recovery System)，它通过实

时对操作系统运行过程进行监测，能够高效地发现引起内核不变量发生改变的 rootkit 入10

侵，并触发基于可信快照的系统恢复；通过结合写时复制技术、重定向技术和增量系统快

照卷技术实现了高性能系统快照卷，从而实现操作系统的高性能恢复。基于真实工作负载和

基准测试程序的实验表明，IDRS 系统能以较低的系统性能消耗高准确性的发现不管是破坏

控制类数据结构还是非控制类数据结构的 rootkit 入侵，并恢复受污染的系统。

关键词：系统不变量检测；系统恢复；增量快照15

中图分类号：TP31

An Architecture for Intrusion Detection and System

Recovery from kernel Data Structures’ Invariant Violations

Deng Lingzhi, Chen Hao, Sun Jianhua 20

(College of Information Science and Engineering,Hunan University, ChangSha 410082)

Abstract: The newest kernel-level rootkits affect system security by tampering with the running

kernel data structures to achieve a variety of malicious goals. The way is more secret and harder to

discover it and to recover the system’s reliability, being a serious challenge for system’s security.

A virtual machine based architecture for system reliability recovery by compositing detection of 25

kernel data structures’ invariant and snapshot recovery technique is proposed, IDRRs. By real time

monitoring the system operating status, a rootkit's invation by violating the system's invariants can

be effectively detected and then triggers a corresponding recovery behavious; By compositing

copy on write technique、redirect on write technique and incremental snapshot technique, the

IDRRs maintains a high performance reliability snapshot; After adopting Self-adaptive snapshot 30

generation policy, modification to data block will be traced, and the time interval of generating a

new trustful snapshot volume can be dynamically shifted to follow the waving of application loads,

and then effectively recover the dirty system’s reliability. In our experiments, we found that

IDRRs can detect rootkits that both polluting control and non-control data structures, and then

recover the system’s reliability from it. Both the false positive rate and recovering overheads are 35

negligible.

Keywords:

Detection of kernel data structures’ invariant; System recovery; Incremental snapshot

0 引言

近年来 rootkit 技术获得了长足的进步，其所带来的危害受到了人们的广泛关注，各种40

针对它的检测技术也日臻完美，但有关从这种危害中恢复安全操作系统的研究却发展缓慢。

最新的内核 rootkit 通过改变运行中系统内核的数据结构来达到其恶意的目的，这种方法更

隐蔽更难于发现和恢复，对系统安全构成了严重的危害。这些被其利用的内核数据结构包括

http://www.paper.edu.cn

- 2 -

中国科技论文在线

诸如系统调用表这种控制类数据，也包括进程链表结构这种非控制类数据。现有的检测技术

已经能够检测到这种改变，然而目前的系统恢复技术却无法从这种前沿的危害中重新构建系45

统的安全，不仅是因为这类技术大多着眼于控制类数据的恶意改变，还因为动态的内核非控

制类数据更难于处理。

本文提出了一种结合内核数据结构不变量检测方法和高性能系统快照方法的新技术来

实时监测系统并对被污染的系统进行恢复。为了从受污染的环境中恢复系统，首先必须有一

种机制能够发现系统受到了入侵，我们这里通过引入系统不变量检测技术来对我们的系统进50

行污染监测。在系统的运行过程中，内核维护着成千上万的各种各样的内核数据结构，各种

数据结构之间又存在着各种错综复杂的相互关系，系统不变量即在系统的运行过程中其值始

终不改变的数据结构或数据结构间某种不变的逻辑关系。不变量作为系统的特征码，当这样

一种不变关系发生改变的时候，我们有理由认为系统受到了污染，从而触发接下来的入侵恢

复。而在入侵检测和恢复过程中，相当重要的一点是确保入侵检测系统和入侵恢复系统本身55

没有被污染，因此，我们引入虚拟化技术。在虚拟机系统中，客户机系统运行在 VMM(虚

拟机管理器)之上，虚拟机系统通过其内部的各种机制对不同 VM 之间实现了安全的隔离和

保护，因此非常适合检测系统和可靠性恢复系统对本身安全隔离性的要求。虚拟化技术的引

入，可以很容易地获取整个系统的运行信息，便于我们实现对客户机的入侵检测和可靠性恢

复。在这里，我们对系统的恢复通过引入快照技术来实现。在客户机的运行过程中，不断地60

保存健康状态下的系统快照，当入侵检测系统检测到入侵时，通过恢复到当前最新的健康快

照，系统能够恢复到安全状态。

根据上面所提到的原理，本文设计并实现了 IDRS 系统来验证我们的理论。实验表明

IDRS 系统能以较低的性能消耗低错误率的发现包括控制类数据和非控制类数据在内的不变

量污染，高效地恢复系统的可靠性。 65

1 相关工作

通常对 rootkit 入侵的检测都是通过分析已知的 rootkit，得到其具体的特征码，然后针

对具体的 rootkit 特征码制定相应的检测规则，这种检测能够很好的发现已知的一些 rootkit

的入侵，但无法检测到最新的还未知的 rootkit 的入侵。一旦系统受到了入侵被破坏，很难

再重建安全的系统。最常见的恢复系统的方法是清除并重装整个系统。Arati Baliga

[1]

、70

Brendan D. Gavitt

[2]

提出了一套自动生成系统不变量并用来检测内核 rootkit 入侵的方法，通

过引入程序运行监控工具 Daikon 对整个系统的运行进行监控，生成的系统不变量具有极强

的健壮性，并用来作为检测 rootkit 入侵的系统特征码，文中只提出了对系统进行入侵检测

的一套机制，并没有涉及恢复系统安全的具体容错方法。Candea

[3]

等提出了一种面向恢复的

计算(Recovery Oriented Computing, ROC)概念，试图来恢复受污染的计算机系统而不是建造75

一个足够可靠的系统本身。微内核重启技术

[4]

和系统动作回卷技术

[5]

被引入来恢复系统的安

全。微内核重启技术通过重启系统启动时所需要的最小单元来重启整个系统，从而达到恢复

计算机系统安全的目的。这种技术能够以较小的系统开销和停机时间恢复整个系统，但现有

技术无法确保任何的系统污染都能够得到恢复，而且这种系统的停机启动需要中断系统用户

程序，对应用层程序是可见的，具有一定的应用局限；系统动作回卷技术通过实时记录系统80

的所有动作能够很好的恢复系统的可靠性，但相应引入的系统开销比较大。Julian B.

Grizzard

[6]

提出了一整套包括入侵检测和入侵恢复在内的系统设计与实现，通过引入虚拟化

技术，达到了一定的系统容错效果。但在该实现中，受设计框架的局限，没能很好的检测到

http://www.paper.edu.cn

- 3 -

中国科技论文在线

最新的 rootkit 入侵，并只能对静态的内核数据和用户数据进行容错，没能对动态的内核受

污染数据进行很好的容错。目前，对系统入侵检测大多数是通过分析恶意程序的特征码来实85

现的，由此很难对最新的 rootkit 入侵进行检测，而最新的 rootkit 技术通过对动态内核数据

结构进行恶意更改来达到其恶意的目的，已知的系统恢复技术都没能对此提出很好的解决办

法，基于此，本文以内核不变量作为系统的特征码，提出了一种虚拟机架构下基于内核不变

量检测的系统恢复机制。

2 入侵检测和恢复系统的设计 90

2.1 要求和性能指标

入侵检测和恢复，其有效性包括两个方面要求：正确性和系统性能。入侵检测系统的正

确性，包括检测系统对 rootkit 入侵的发现能力和入侵误报的可能；入侵恢复系统的正确性

指恢复后的系统不再隐藏有危险的 rootkit 于其中，并且恢复后的虚拟机及其所有上层应用

和数据，不受任何破坏和影响，整个过程对应用透明。正确性是恢复系统必须保证的，本文95

不详细讨论。入侵检测和恢复的关键指标描述如下：

（1）完备性：IDS 通常是训练后进行模式识别，由于训练时间的限制和检测环境的变

化，容易造成训练集非完备性的问题，系统的有效性随之降低，产生较高的误检率和漏检率。

微观上，训练集越完备，IDS 对入侵检测的误检率和漏检率就越低，对系统造成的危害就越

小。 100

（2）性能损耗：入侵检测需要对系统进行自省和监控，入侵恢复需要对内存和磁盘进

行一定的更改操作，这些都会对系统的性能造成一定的影响。总体性能损耗越小，与上层应

用竞争的资源就越少，对应用越透明，系统的性能越高。

（3）快照大小：系统快照技术的引入使得快照大小成为影响系统性能的一个总要因素，

快照越小，说明生成快照的数据量越小，同时对系统的存储空间占有越小，因此性能越优越。 105

本文提出的虚拟机架构下结合内核不变量检测和快照恢复技术的入侵恢复机制致力于

提高上述性能指标。以系统内核数据结构不变量作为系统特征码，而非选用恶意程序本身作

为检测对象，提高了检测系统的完备性；虚拟化技术的引入，利用虚拟化技术中的前后端驱

动，结合写时复制技术和重定向技术，可以控制很小的性能损耗，减少快照生成时的数据量

和恢复时所需要的停机时间，提高了整个系统性能。 110

2.2 基于不变量检测的入侵检测系统

直接内核对象处理(Direct Kernel Object Manipulation, DKOM)技术

[2]

通常被内核 rootkit

用来隐藏其自身的痕迹。目前针对此类 rootkit 的检测大多是利用人工分析出来的恶意程序

的特征码来对内核内存进行扫描。然而，这些手工提供的恶意程序特征码具有不健壮和不完

备的缺点，使得现有的内核 rootkit 很容易绕过它。 115

内核数据结构不变量

[1][2]

的利用有效的解决了恶意程序特征码不健壮和不完备的缺点。

对内核数据结构不变量的自动生成要求对内核内存的扫描来自该内核的外部，如协处理器或

者利用虚拟化技术。Gibraltar

[1]

通过 PCI 卡在系统外部周期性的去捕获内核内存快照，利用

事先提供的一系列内核数据结构定义以及根目录符号表成功地消除了原始内核内存数据与

具体内核数据结构之间的语义鸿沟，从原始快照中生成了具体内核数据结构被标记的新内存120

快照。通过扩展程序不变量动态检测工具 Daikon

[7]

，把相应的内核快照作为程序运行状态提

供给 Daikon，从而生成内核数据结构不变量。

剩余10页未读，继续阅读

评论收藏

内容反馈

weixin_39840914

粉丝: 435
资源: 1万+

论文研究-基于不变量保护的内核rootkit入侵检测和系统恢复 .pdf

最新资源

论文研究-基于不变量保护的内核rootkit入侵检测和系统恢复 .pdf

ec参考文档

游戏中可用的键盘消息的驱动级模拟程序

【专业级】的WIFI破解工具-电脑

右键修改器----------右击菜单添加快捷键

中国知音IP数据库查询 [2011年1月9日] 比纯真的好用！

论文研究-入侵检测系统设计方案的改进.pdf

论文研究-基于系统调用的入侵检测新方法.pdf

论文研究-基于意图识别的入侵检测系统 .pdf

论文研究-计算机网络入侵检测系统研究 .pdf

基于Snort的分布式入侵检测系统研究.pdf

论文研究-基于虚拟机架构的内核Rootkit防范方案.pdf

论文研究-硬件虚拟化rootkit检测方法研究综述.pdf

论文研究-一种新的内核级Rootkit的检测方法.pdf

论文研究-基于文件系统异常的内核级Rootkit检测.pdf

论文研究-入侵检测系统的评估指标体系.pdf

基于数据挖掘的入侵检测系统研究 (1).pdf

Linux下基于可执行路径分析的内核rootkit检测技术研究.pdf

基于数据挖掘的入侵检测系统研究.pdf

论文研究-基于Kprobe的Rootkit检测机制.pdf

一种基于内核定时器和工作队列的Linux rootkit.pdf

基于Linux系统调用的内核级Rootkit技术研究.pdf

KVM环境下内核级Rootkit检测及防护技术研究.pdf

论文研究-基于Xen虚拟化的隐藏进程检测方法.pdf

内核级RootKit检测系统

虚拟化环境中基于神经网络专家系统的Rootkit检测方法研究.pdf

Linux系统下Rootkit检测方法探讨.pdf

一种新型Linux内核级Rootkit设计与实现.pdf

Linux平台下Rootkit木马分析与检测.pdf

最新资源