基于内核函数监控的Linux系统防护方法的研究与实现

伴随Linux操作系统在服务器市场所占份额的迅速增长及其内核漏洞曝光率的不断增加,Linux内核安全已成为计算机系统安全领域的研究焦点之一。文章以运行Linux系统的服务器为研究对象,提出了一种基于内核函数监控的系统防护模型,试图通过限制相关服务进程所能访问的内核函数范围,使恶意攻击的难度加大进而增强Linux内核安全,同时通过对内核函数各种异常调用情况的分级分类实时处理,从而提升整个服务器系统的安全水平。原型实验结果表明,文章所提方法能够及时检测到相关服务进程对内核函数的异常调用情况,并给以适当的报警或拦截处理,而且由此带来的额外开销完全可以承受,从而验证了本文方法的可行性和有效性。与内核安全防护的其他研究工作相比,文章所提方法所涉内核防护覆盖范围更大且无需重新编译构建内核映像,并切实做到了监测与防护的有机结合。

基于VMM层内核函数分析的文件访问保护

文件是操作系统的一部分,也是恶意代码的主要攻击对象,如何有效管控文件的访问行为是保护操作系统安全的关键.针对当前文件保护方法容易被攻击或绕过的问题,提出一种基于VMM层内核函数分析的文件访问保护方法.该方法基于指令替换和仿真的思想,在VMM层监控与文件访问相关的关键内核函数,并结合虚拟机自省技术实现对文件访问行为的有效管控,还利用扩展页表增强了保护机制的安全性,降低了内核恶意程序绕过保护机制的可能性,提高了监控方法的安全性.经对比测试与分析,该方法能够监控到文件的访问行为,管控文件的流向,实现对重要文件的有效保护,开启监控系统引入的性能开销仅在Bit Visor的基础上增加了4.5%.

用模块修改Linux内核函数的方法

使用加载模块修改内核函数的二种方法。将调试时重新编译内核变成了重新编译模块后加载,简化了调试手段和过程。

基于内核跟踪的动态函数调用图生成方法

针对目前大多数的函数调用关系分析工具无法分析函数指针、系统启动过程以及可加载模块的函数调用关系的现象,在CG-RTL的基础上提出了基于内核跟踪的动态函数调用图生成方法,并开发了动态函数调用图生成工具DCG-RTL(dynamic call graph based on RTL)。DCG-RTL在S2E模拟器中运行待跟踪内核,通过指令捕获插件和函数解析插件记录运行时的函数调用和返回信息,分析跟踪信息得到动态和静态函数调用关系,利用CG-RTL工具在浏览器中展示。实验结果表明,DCG-RTL能全面和准确地跟踪包括函数指针引用和可加载内核模块在内的函数调用关系。

针对内核扩展函数出错处理的日志自动注入方法

提出一种日志自动注入的方法,解决驱动程序中的内核扩展函数调用不规范的问题。首先静态扫描源程序,当发现程序中调用了内核扩展函数但没有检测返回值时,则在调用后自动插入对返回值的检测代码,并使得这些函数在执行发生错误时会被日志记录。一旦系统发生崩溃,这些日志信息将成为关键的调试依据。实验结果表明,该方法对系统性能影响很小,且可以帮助调试人员更高效地定位和调试内核模块错误。

KFUR:一个新型内核扩展安全模型

保障内核扩展的安全性对操作系统具有重要意义.当前存在大量针对内核函数使用规则的攻击,内核扩展中也存在大量违反内核函数使用规则的错误,因此针对内核函数使用规则的安全性检测十分必要.虽然存在多种提高内核扩展安全性的方法,但很少有方法对内核函数的使用规则进行安全性检测.文中设计了KFUR(KernelFunction Usage Rule)内核扩展安全模型系统,用于在运行时检测内核扩展调用内核函数是否遵守内核函数使用规则.如果内核扩展调用内核函数满足模型安全运行条件,则允许对该内核函数进行调用,否则将错误报告给操作系统内核并终止该内核扩展的运行.文中所述研究在Linux操作系统上对KFUR安全模型系统进行实现,并将其运用于e1000网卡驱动、SATA硬盘驱动和HDA声卡驱动内核扩展.安全性评测表明安全模型系统能够对内核函数使用规则进行安全性检测,性能评测表明安全模型系统带来的开销很小.

Linux用户行为记录器的一种内核级实现方法

用户登录后敲击键盘的行为记录是判断用户是否有恶意行为以及安全审计的重要信息来源。基于Linux,通过使用内核函数劫持技术劫持并修改键盘输入的相关内核函数,同时利用可装载内核模块技术将修改后的内核函数作为可装载模块插入内核,实现了一个内核级的行为记录器。这种实现方法可以记录本地用户以及远程用户所有敲击键盘的行为,包括ctrl,alt,shift等特殊键码,利用键盘映射码表转换成标准的ASCII码格式输出到日志文件中。

利用远程纠错跟踪Linux TCP/IP内核源代码

提供了一个了解Liunx众多的内核源代码的方法,分析了如何在计算机上使用远程调试来分析Linux内核源代码,并以LinuxTCP/IP协议驱动程序为例,描述内核程序的流程.使用KGDB与GDB来实现远程调试,并利用工具KernProf来分析内核函数间的相互关系.

一种面向内核接口的顺序依赖规则挖掘与违例检测方法

内核扩展函数以接口的形式提供给驱动,用于管理设备和申请相关的资源.这些接口中存在大量的顺序依赖规则,如自旋锁必须经过初始化才能加锁,然后才能解锁;驱动在加载时申请的内存,卸载时必须予以释放等.然而,驱动开发者常常不熟悉或疏忽内核接口的使用规则,导致驱动中存在大量的接口使用违例,影响驱动及系统的可靠运行.文中提出了一种面向内核接口的顺序依赖规则挖掘与违例检测方法(SD-Miner).该方法结合驱动源码的结构特征,对驱动代码使用的内核接口进行统计分析,挖掘并提取内核接口的顺序依赖规则,并利用提取的规则检测现有的驱动源码中的使用违例.SD-Miner对Linux 3.10.10和2.6.38的驱动源码分别进行了规则挖掘和违例检测.对比检测结果发现,在2.6.38中检测出的错误中,有64处在3.10.10中得到了修正.SD-Miner检测和分析Linux 3.10.10的3781款驱动的过程仅耗费5min,共计提取出了220个顺序依赖相关的接口使用规则,并检测到了756个使用违例,作者将其中50个提交给了开发者,累计有25个回复者对20个使用违例进行了确认.实验结果表明,SD-Miner能够有效地挖掘出内核接口的顺序依赖规则,并检测出使用违例,进而辅助开发人员对驱动进行修正来提高驱动可靠性.此外,规则的挖掘是基于驱动的结构信息和统计信息,不需要开发者在源码中提供额外的注释及标注.

如何在用户态及内核态访问注册表

主要论述了如何运用Visual C++在用户态编程实现对注册表的访问,并给出了具体的实例;以及内核态如何访问注册表,在编写驱动程序时调用内核函数Native API可实现对注册表的完全操作。

基于Linux的高级系统调用的研究与实现

系统调用是操作系统与用户程序的主要接口。L inux是一个源代码开放且免费的操作系统。分析了L inux系统调用的实现过程,给出了系统调用的结构。对涉及的4个系统文件的主要内容进行了详细地描述。由于L inux在系统调用过程中通过寄存器来传递参数,参数传递的数量不能多于6个,不能适应多数据的传递。在对L inux分析的基础上,提出了实现多参数传递的方法,分析了实现多参数传递涉及的内核函数。最后,通过增加一个新的系统调用函数,实现多参数传递,并给出了具体的实现过程。拓宽了L inux的使用范围。

基于挂钩系统服务调度表的ring0级内联挂钩对抗技术

针对目前安全防护软件在抵抗采用ring0级内联挂钩技术的恶意软件威胁时所遇到的修复困难、后遗症多、稳定性差等问题,从Windows系统内核函数调用机制出发,探究了系统服务调度表的功能.采用挂钩系统服务调度表的方法,实现了恶意软件内联挂钩的间接解除.此技术建立在不直接修改被恶意软件内联挂钩的代码基础上,因而具有突出的安全性、有效性和稳定性.

带DKOM技术的软件加壳方案

介绍一个在一般软件加壳方案上补充了随机及防跟踪的方法,并且针对现加壳技术的不足(忽略了解壳后的保护)而提出采用DKOM技术,它可以对正在执行的软件进程的信息进行隐藏,以防破解者趁软件在内存中运行时,把对应的内存进行转存成软件文件。

基于经验小波变换的变压器内部故障电流与励磁涌流的识别研究

变压器是电力系统中的关键设备,它的继电保护措施需要更加可靠的方案来确保其平稳运转。变压器内部故障电流和励磁涌流的识别是变压器继电保护设计中的一个富有挑战性的问题。当励磁涌流产生时,变压器保护经常会误动作而跳闸,导致在正常运行中出现一系列的问题,并且这些问题除非人为解除,否则会一直存在。传统的识别方法在解决该问题的准确性方面有一定局限性。本文研究了一种基于EWT和SVM的变压器内部故障电流和励磁涌流识别的方法。使用MATLAB中的SIMULINK功能建立仿真,来验证该方法。利用EWT算法对仿真数据进行特征提取。这些特征被用来修正SVM。之后,利用测试向量对识别精度进行检验。为了提高识别精度,还对SVM的不同内核函数进行了测试。

Function Theory of a Class of Bounded Reinhardt Domains

在这份报纸，我们考虑围住的 Reinhardt 领域 D 的一个班(m， n1，， nm ) 。Bergman 核功能 K (z，(z)) ， Bergman 公制的矩阵 T (z，(z)) ， Cauchy-Szeg (o) 核功能 S (z，()) 被获得。然后，我们证明正式泊松内核函数不是一个泊松内核函数。最后，我们证明 D 是一个 quasiconvex 领域，如果并且仅当 D 是一个超球面， D 是一个更强壮的 quasiconvex 领域。

NETWORK INTRUSION DETECTION METHOD BASED ON RS-MSVM

A new method called RS-MSVM (Rough Set and Multi-class Support Vector Machine) is pro-posed for network intrusion detection. This method is based on rough set followed by MSVM for attribute re-duction and classification respectively. The number of attributes of the network data used in this paper is re-duced from 41 to 30 using rough set theory. The kernel function of HVDM-RBF (Heterogeneous Value Dif-ference Metric Radial Basis Function), based on the heterogeneous value difference metric of heterogeneous datasets, is constructed for the heterogeneous network data. HVDM-RBF and one-against-one method are ap-plied to build MSVM. DARPA (Defense Advanced Research Projects Agency) intrusion detection evaluating data were used in the experiment. The testing results show that our method outperforms other methods men-tioned in this paper on six aspects: detection accuracy, number of support vectors, false positive rate, false negative rate, training time and testing time.

安全播报

据瑞星“云安全”系统统计，这段时间共截获了309228个钓鱼网站，共有813万网民遭遇钓鱼网站攻击。据瑞星安全专家介绍，近期发现Windows系统的内核函数存在Oday漏洞，病毒可利用恶意构造的数据写入注册表，当用户设置系统时间时则会触发漏洞，

A pedestrian introduction to fast multipole methods

This paper provides a conceptual and non-rigorous description of the fast multipole methods for evaluating convolution kernel functions with source distributions.Both the non-oscillatory and the oscillatory kernels are considered.For non-oscillatory kernel,we outline the main ideas of the classical fast multipole method proposed by Greengard and Rokhlin.In the oscillatory case,the directional fast multipole method developed recently by Engquist and Ying is presented.

Local linear estimator for stochastic diferential equations driven by α-stable Lvy motions

We study the local linear estimator for the drift coefcient of stochastic diferential equations driven byα-stable L′evy motions observed at discrete instants.Under regular conditions,we derive the weak consistency and central limit theorem of the estimator.Compared with Nadaraya-Watson estimator,the local linear estimator has a bias reduction whether the kernel function is symmetric or not under diferent schemes.A simulation study demonstrates that the local linear estimator performs better than Nadaraya-Watson estimator,especially on the boundary.

A FULL-NEWTON STEP INFEASIBLE INTERIOR-POINT ALGORITHM FOR P_*(κ) LINEAR COMPLEMENTARITY PROBLEM

This paper proposes a new infeasible interior-point algorithm with full-Newton steps for P_*(κ) linear complementarity problem(LCP),which is an extension of the work by Roos(SIAM J.Optim.,2006,16(4):1110-1136).The main iteration consists of a feasibility step and several centrality steps.The authors introduce a specific kernel function instead of the classic logarithmical barrier function to induce the feasibility step,so the analysis of the feasibility step is different from that of Roos' s.This kernel function has a finite value on the boundary.The result of iteration complexity coincides with the currently known best one for infeasible interior-point methods for P_*(κ) LCP.Some numerical results are reported as well.