没有合适的资源?快使用搜索试试~ 我知道了~
论文研究-基于不变量保护的内核rootkit入侵检测和系统恢复 .pdf
需积分: 10 0 下载量 79 浏览量
2019-08-21
03:10:53
上传
评论
收藏 288KB PDF 举报
温馨提示
试读
11页
基于不变量保护的内核rootkit入侵检测和系统恢复,邓凌志,陈浩,最新的内核rootkit通过改变运行时操作系统内核中的动态数据结构的方法来达到其恶意的目的。这种方法更隐蔽更难于发现和恢复,对操��
资源推荐
资源详情
资源评论
http://www.paper.edu.cn
- 1 -
中国科技论文在线
基于不变量保护的内核 rootkit 入侵检测和
系统恢复
#
邓凌志,陈浩,孙建华
1**
基金项目:国家重点基础研究发展计划(973 计划)项目(2007CB310900)
作者简介:邓凌志,(1985-),男,硕士研究生,计算机虚拟化技术、计算机系统安全
通信联系人:陈浩,(1977-),男,副教授,主要研究方向:并行分布式系统、网络安全和信息安全、操
作系统和虚拟机. E-mail: haochen@aimlab.com
(湖南大学信息科学与工程学院,长沙 410082) 5
摘要:最新的内核 rootkit 通过改变运行时操作系统内核中的动态数据结构的方法来达到其
恶意的目的。这种方法更隐蔽更难于发现和恢复,对操作系统安全构成了严重的考验。本文
提出了一种虚拟机架构下结合内核不变量保护和快照回卷技术的 rootkit 入侵检测和系统
恢复机制,实现了验证系统 IDRS(Intrusion Detection and Recovery System),它通过实
时对操作系统运行过程进行监测,能够高效地发现引起内核不变量发生改变的 rootkit 入10
侵,并触发基于可信快照的系统恢复;通过结合写时复制技术 、重定向技术和增量系统快
照卷技术实现了高性能系统快照卷,从而实现操作系统的高性能恢复。基于真实工作负载和
基准测试程序的实验表明,IDRS 系统能以较低的系统性能消耗高准确性的发现不管是破坏
控制类数据结构还是非控制类数据结构的 rootkit 入侵,并恢复受污染的系统。
关键词:系统不变量检测;系统恢复;增量快照15
中图分类号:TP31
An Architecture for Intrusion Detection and System
Recovery from kernel Data Structures’ Invariant Violations
Deng Lingzhi, Chen Hao, Sun Jianhua 20
(College of Information Science and Engineering,Hunan University, ChangSha 410082)
Abstract: The newest kernel-level rootkits affect system security by tampering with the running
kernel data structures to achieve a variety of malicious goals. The way is more secret and harder to
discover it and to recover the system’s reliability, being a serious challenge for system’s security.
A virtual machine based architecture for system reliability recovery by compositing detection of 25
kernel data structures’ invariant and snapshot recovery technique is proposed, IDRRs. By real time
monitoring the system operating status, a rootkit's invation by violating the system's invariants can
be effectively detected and then triggers a corresponding recovery behavious; By compositing
copy on write technique、redirect on write technique and incremental snapshot technique, the
IDRRs maintains a high performance reliability snapshot; After adopting Self-adaptive snapshot 30
generation policy, modification to data block will be traced, and the time interval of generating a
new trustful snapshot volume can be dynamically shifted to follow the waving of application loads,
and then effectively recover the dirty system’s reliability. In our experiments, we found that
IDRRs can detect rootkits that both polluting control and non-control data structures, and then
recover the system’s reliability from it. Both the false positive rate and recovering overheads are 35
negligible.
Keywords:
Detection of kernel data structures’ invariant; System recovery; Incremental snapshot
0 引言
近年来 rootkit 技术获得了长足的进步,其所带来的危害受到了人们的广泛关注,各种40
针对它的检测技术也日臻完美,但有关从这种危害中恢复安全操作系统的研究却发展缓慢。
最新的内核 rootkit 通过改变运行中系统内核的数据结构来达到其恶意的目的,这种方法更
隐蔽更难于发现和恢复,对系统安全构成了严重的危害。这些被其利用的内核数据结构包括
http://www.paper.edu.cn
- 2 -
中国科技论文在线
诸如系统调用表这种控制类数据,也包括进程链表结构这种非控制类数据。现有的检测技术
已经能够检测到这种改变,然而目前的系统恢复技术却无法从这种前沿的危害中重新构建系45
统的安全,不仅是因为这类技术大多着眼于控制类数据的恶意改变,还因为动态的内核非控
制类数据更难于处理。
本文提出了一种结合内核数据结构不变量检测方法和高性能系统快照方法的新技术来
实时监测系统并对被污染的系统进行恢复。为了从受污染的环境中恢复系统,首先必须有一
种机制能够发现系统受到了入侵,我们这里通过引入系统不变量检测技术来对我们的系统进50
行污染监测。在系统的运行过程中,内核维护着成千上万的各种各样的内核数据结构,各种
数据结构之间又存在着各种错综复杂的相互关系,系统不变量即在系统的运行过程中其值始
终不改变的数据结构或数据结构间某种不变的逻辑关系。不变量作为系统的特征码,当这样
一种不变关系发生改变的时候,我们有理由认为系统受到了污染,从而触发接下来的入侵恢
复。而在入侵检测和恢复过程中,相当重要的一点是确保入侵检测系统和入侵恢复系统本身55
没有被污染,因此,我们引入虚拟化技术。在虚拟机系统中,客户机系统运行在 VMM(虚
拟机管理器)之上,虚拟机系统通过其内部的各种机制对不同 VM 之间实现了安全的隔离和
保护,因此非常适合检测系统和可靠性恢复系统对本身安全隔离性的要求。虚拟化技术的引
入,可以很容易地获取整个系统的运行信息,便于我们实现对客户机的入侵检测和可靠性恢
复。在这里,我们对系统的恢复通过引入快照技术来实现。在客户机的运行过程中,不断地60
保存健康状态下的系统快照,当入侵检测系统检测到入侵时,通过恢复到当前最新的健康快
照,系统能够恢复到安全状态。
根据上面所提到的原理,本文设计并实现了 IDRS 系统来验证我们的理论。实验表明
IDRS 系统能以较低的性能消耗低错误率的发现包括控制类数据和非控制类数据在内的不变
量污染,高效地恢复系统的可靠性。 65
1 相关工作
通常对 rootkit 入侵的检测都是通过分析已知的 rootkit,得到其具体的特征码,然后针
对具体的 rootkit 特征码制定相应的检测规则,这种检测能够很好的发现已知的一些 rootkit
的入侵,但无法检测到最新的还未知的 rootkit 的入侵。一旦系统受到了入侵被破坏,很难
再重建安全的系统。最常见的恢复系统的方法是清除并重装整个系统。Arati Baliga
[1]
、70
Brendan D. Gavitt
[2]
提出了一套自动生成系统不变量并用来检测内核 rootkit 入侵的方法,通
过引入程序运行监控工具 Daikon 对整个系统的运行进行监控,生成的系统不变量具有极强
的健壮性,并用来作为检测 rootkit 入侵的系统特征码,文中只提出了对系统进行入侵检测
的一套机制,并没有涉及恢复系统安全的具体容错方法。Candea
[3]
等提出了一种面向恢复的
计算(Recovery Oriented Computing, ROC)概念,试图来恢复受污染的计算机系统而不是建造75
一个足够可靠的系统本身。微内核重启技术
[4]
和系统动作回卷技术
[5]
被引入来恢复系统的安
全。微内核重启技术通过重启系统启动时所需要的最小单元来重启整个系统,从而达到恢复
计算机系统安全的目的。这种技术能够以较小的系统开销和停机时间恢复整个系统,但现有
技术无法确保任何的系统污染都能够得到恢复,而且这种系统的停机启动需要中断系统用户
程序,对应用层程序是可见的,具有一定的应用局限;系统动作回卷技术通过实时记录系统80
的所有动作能够很好的恢复系统的可靠性,但相应引入的系统开销比较大。Julian B.
Grizzard
[6]
提出了一整套包括入侵检测和入侵恢复在内的系统设计与实现,通过引入虚拟化
技术,达到了一定的系统容错效果。但在该实现中,受设计框架的局限,没能很好的检测到
http://www.paper.edu.cn
- 3 -
中国科技论文在线
最新的 rootkit 入侵,并只能对静态的内核数据和用户数据进行容错,没能对动态的内核受
污染数据进行很好的容错。目前,对系统入侵检测大多数是通过分析恶意程序的特征码来实85
现的,由此很难对最新的 rootkit 入侵进行检测,而最新的 rootkit 技术通过对动态内核数据
结构进行恶意更改来达到其恶意的目的,已知的系统恢复技术都没能对此提出很好的解决办
法,基于此,本文以内核不变量作为系统的特征码,提出了一种虚拟机架构下基于内核不变
量检测的系统恢复机制。
2 入侵检测和恢复系统的设计 90
2.1 要求和性能指标
入侵检测和恢复,其有效性包括两个方面要求:正确性和系统性能。入侵检测系统的正
确性,包括检测系统对 rootkit 入侵的发现能力和入侵误报的可能;入侵恢复系统的正确性
指恢复后的系统不再隐藏有危险的 rootkit 于其中,并且恢复后的虚拟机及其所有上层应用
和数据,不受任何破坏和影响,整个过程对应用透明。正确性是恢复系统必须保证的,本文95
不详细讨论。入侵检测和恢复的关键指标描述如下:
(1)完备性:IDS 通常是训练后进行模式识别,由于训练时间的限制和检测环境的变
化,容易造成训练集非完备性的问题,系统的有效性随之降低,产生较高的误检率和漏检率。
微观上,训练集越完备,IDS 对入侵检测的误检率和漏检率就越低,对系统造成的危害就越
小。 100
(2)性能损耗:入侵检测需要对系统进行自省和监控,入侵恢复需要对内存和磁盘进
行一定的更改操作,这些都会对系统的性能造成一定的影响。总体性能损耗越小,与上层应
用竞争的资源就越少,对应用越透明,系统的性能越高。
(3)快照大小:系统快照技术的引入使得快照大小成为影响系统性能的一个总要因素,
快照越小,说明生成快照的数据量越小,同时对系统的存储空间占有越小,因此性能越优越。 105
本文提出的虚拟机架构下结合内核不变量检测和快照恢复技术的入侵恢复机制致力于
提高上述性能指标。以系统内核数据结构不变量作为系统特征码,而非选用恶意程序本身作
为检测对象,提高了检测系统的完备性;虚拟化技术的引入,利用虚拟化技术中的前后端驱
动,结合写时复制技术和重定向技术,可以控制很小的性能损耗,减少快照生成时的数据量
和恢复时所需要的停机时间,提高了整个系统性能。 110
2.2 基于不变量检测的入侵检测系统
直接内核对象处理(Direct Kernel Object Manipulation, DKOM)技术
[2]
通常被内核 rootkit
用来隐藏其自身的痕迹。目前针对此类 rootkit 的检测大多是利用人工分析出来的恶意程序
的特征码来对内核内存进行扫描。然而,这些手工提供的恶意程序特征码具有不健壮和不完
备的缺点,使得现有的内核 rootkit 很容易绕过它。 115
内核数据结构不变量
[1][2]
的利用有效的解决了恶意程序特征码不健壮和不完备的缺点。
对内核数据结构不变量的自动生成要求对内核内存的扫描来自该内核的外部,如协处理器或
者利用虚拟化技术。Gibraltar
[1]
通过 PCI 卡在系统外部周期性的去捕获内核内存快照,利用
事先提供的一系列内核数据结构定义以及根目录符号表成功地消除了原始内核内存数据与
具体内核数据结构之间的语义鸿沟,从原始快照中生成了具体内核数据结构被标记的新内存120
快照。通过扩展程序不变量动态检测工具 Daikon
[7]
,把相应的内核快照作为程序运行状态提
供给 Daikon,从而生成内核数据结构不变量。
剩余10页未读,继续阅读
资源评论
weixin_39840914
- 粉丝: 435
- 资源: 1万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功