Linux系统内核级安全审计方法研究

LKM(LoadableKernelModules-可加载内核模块)技术是Linux系统为了扩充系统功能而提供的一种机制。该技术已经被黑客用于系统入侵,同样也可以利用它提高系统的安全性。文章在分析了现行Linux安全审计系统所存在问题的基础上,提出了一个基于LKM技术的Linux系统内核级安全审计模型。

内核级木马隐藏技术研究与实践

文章通过对现有Linux下的内核级木马的隐藏和检测技术的分析研究,讨论了有关的隐藏和检测技术,并在此基础上实现了一个内核级木马。通过实验测试,该木马达到了较好的隐藏效果,可以避过目前大多数检测工具的检测。

一种基于VMM的内核级Rootkit检测技术

针对云平台中的虚拟机内核级Rootkit破坏租户虚拟机完整性的问题,文章提出一种基于VMM(虚拟机监视器,Virtual Machine Monitor)的内核级Rootkit检测技术。该技术以在关键路径设置陷入点的方式构建TML(True Module List),得到虚拟机中真实的内核模块视图,在VMM层利用自下而上的调用方式获取虚拟机用户态视图,并在VMM层获取重构的虚拟机内核态视图,通过交叉对比这三个视图检测隐藏在虚拟机中的Rootkit。最后,利用该技术在KVM(基于内核的虚拟机,Kernel-based Virtual Machine)中实现了原型系统,实验结果表明系统能迅速准确地检测出虚拟机中的Rootkit,并依据TML报告内核级Rootkit的详细信息,系统的综合性能损耗在可接受范围内。

内核级透明代理TPF的设计与实现

代理防火墙存在着性能不高、自身安全性无法保证、可扩展性差等诸多弱点。针对这些问题,本文提出了在定制安全操作系统基础上,将代理程序与OS内核协议栈一体化设计及代理程序分层实现的思想。介绍了报文分类标记、策略树机制、协议栈快速通道等实现内核级代理的关键技术,以及在安全OS内核中实现透明代理防火墙TPF的过程。TPF在性能、自身安全性和易扩展性方面较之传统代理防火墙有了显著的提高。

基于文件系统异常的内核级Rootkit检测

分析现有的两类Rootkit检测方法。根据内核级Rootkit在系统中的隐藏机制,提出了一种基于文件系统异常的有效检测方法。实验表明,该方法能够简便快捷地检测出内核级Rootkit的存在,帮助系统管理员进一步维护系统安全。

Linux内核级线程研究

Linux的内核级线程符合POSIX线程（P线程）标准。本文讨论Linux内核级线程的实现。

基于嵌入式Linux系统的内核级线程库的研究与实现

在当前嵌入式系统应用中,性能问题一直是人们关注的重点.大多数嵌入式Linux应用往往运行在用户态,系统运行时需要经常在内核态和用户态之间反复切换,降低了关键业务的执行效率.以往的研究较少从内核态下的线程库出发来考虑性能优化的实现方法,影响了嵌入式系统的整体性能.对此,本文提出一种适用于嵌入式Linux系统的内核级线程库(LKTL),并且分析了实现的关键技术.LKTL提供了线程管理、信号量同步、内存的动态分配和回收、日志管理以及基本的GNU C库的功能,不但大大提高了应用程序的运行效率,还方便了应用程序的开发和移植.实验表明LKTL能够显著优化嵌入式Linux系统的整体性能.

穿戴计算机的内核级检查点优化策略研究

为提高穿戴计算机的可靠性和可用性,提出了适用于穿戴计算机操作系统内核级检查点机制的优化检查点间隔的策略——适应穿戴计算机瞬时故障发生规律的步进式检查点(SP-CKPT)策略和基于内存数据量监测的内存监控门限法(MMTC)。前者针对可穿戴计算机故障频率的特点,动态地步进式调整检查点间隔,使检查点位置'逼近'系统失效的位置,有效减少计算损失;后者通过对系统内存数据量的监测,采用门限法控制检查点设置的时机,使系统尽可能在用内存资源最少的时间点来进行检查点的设置,减少检查点信息的存储量。这两种策略分别从时间和空间的角度优化检查点间隔。仿真结果表明,这两种策略结合,能够提高系统可靠性和可用性,减少无故障运行和卷回恢复阶段的开销。

操作系统内核级安全审计系统的设计与实现

随着人们对操作系统的安全要求越来越高,建立安全、完备的审计子系统成为操作系统安全领域的一个重要课题。本文提出一个通过在内核安插钩子函数来实现模块化审计系统的方法,用这种方法设计并实现一个基于 Linux操作系统的、遵循国家标准 GB17859-1999第四级要求的安全审计子系统。这个审计系统以模块形式连入内核,通过往内核中安插审计钩子来收集审计信息,对内核影响较小,并能适应内核的升级;通过用内核线程代替后台进程将审计记录存入磁盘,实现了审计的完全内核化,增强了系统安全;通过对所有系统调用进行审计,实现了对利用隐蔽存储信道时可能被使用的事件的审计。

探索Linux内核级安全增强系统的精彩之旅

本文首先考察Linux系统本身具有的安全功能及其不足,然后逐一介绍现有的Linux内核级安 全增强系统,包括SELinux、RSBAC、LIDS等等,带领读者踏上探索这些Linux内核级安全增强系统的精彩 之旅,并且给读者提供一份简明扼要的旅行地图。

KVM环境下内核级Rootkit检测及防护技术研究

虚拟化技术在云计算环境中已得到广泛应用,其安全性也越来越重要.当前,恶意代码攻击正向复杂性、隐蔽性和持久性等方向发展,已成为我国云基础设施面临的重要威胁之一.特别是在云数据中心大量采用Linux和基于内核的虚拟机(kernel-based virtual machine, KVM)虚拟化背景下,研究KVM虚拟化环境下Linux内核级Rootkit的检测及防护技术具有十分重要的意义.而当前基于虚拟化环境实现Rootkit检测和防护技术研究偏重于检测,在响应和保护阶段还比较缺乏.针对这一问题,提出一种KVM虚拟化环境下集内核级Rootkit安全检测、响应及主动防护的安全架构,并在KVM虚拟化平台中进行了验证.实验结果表明,该安全架构可以有效检测并防止客户虚拟机中内核级Rootkit的攻击.

基于读写优化的内核级加密文件系统

为增强数据的机密性,在对存储读写流程优化的基础上提出一种内核级加密文件系统(KCFS),该内核级加密文件系统能克服加密应用程序的使用不便利性和用户级加密文件系统的低效性,在内核级文件系统层提供加/解密功能,从而保护存储系统中的数据。对比测试结果表明,KCFS比用户级加密文件系统CFS具有更好的读写性能。

一种新型Linux内核级Rootkit设计与实现

传统的内核级Rootkit无法绕过当前主流的Rootkit检测方法。对传统的内核级Rootkit的实现机制和当前主流的Rootkit检测方法进行了分析,设计并实现了一种新型Linux内核级Rootkit。通过实验证明,该Rootkit能够实现后门提权、进程隐藏及文件隐藏等功能,并能绕过当前主流的Rootkit检测工具的检测,其抗检测能力明显好于传统的内核级Rootkit。

探索Linux内核级安全增强系统

在此，我们通过考察Linux系统本身具有的安全功能及其不足，然后逐一介绍现有的Linux内核级安全增强系统，包括SELinux、RSBAC、LIDS等，带领大家踏上探索这些Linux内核级安全增强系统的精彩之旅。

透视Linux内核级漏洞——Linux kernel do_brk（）参数边界检查不充分漏洞分析

脚本小子：前段时间，我在Full—Disclosure邮件列表里收到了一封Debian Linux安全小组发来的题目为“Some Debiarl Project machines have been compromised”的安全公告。该安全公告中提到Debian多台服务器被入侵，令人奇怪的是，其中并没有提到任何被入侵的细节，只是说过几天后会公布对被入侵主机的取证结果。这个公告引起了我们极大的兴趣，因为Debian Linux的安全性是非常好的，攻击者肯定使用了一些未知漏洞获取了管理员权限。几天后终于获悉，攻击者使用的就是我们下面将要分析的漏洞do_brk()边界检查不充分导致本地权限提升漏洞。因为这种漏洞对系统产生的影响非常罕见，所以我们甚至可以定义此漏洞为一种新的漏洞类型。在下面的文章中，我们将就此漏洞的背景、成因和利用方法展开讨论。适合对象：程序员，骨灰级老鸟 前置知识：Linux内存管理。

一种防范rootkit入侵的内核模块加载机制

内核级rootkit是破坏内核完整性的最大威胁,它通常通过冒充或篡改合法模块加载到内核,本文在对内核级rootkit防范技术对比分析的基础上,提出一种认证和检测相结合的内核模块加载机制,该机制把内核模块区分为信任模块和非信任模块,加载前者时首先验证其完整性,加载后者时,验证其身份和完整性,并实时检测其对内核数据的修改。实验表明,该机制能防范内核级rootkit的通过内核模块方式入侵。本文最后对该机制的优缺点及下一步研究方向进行了分析。

一种防范Rootkit入侵的内核模块加载机制

内核级Rootkit是破坏内核完整性的最大威胁,它通常通过冒充或篡改合法模块加载到内核。在对内核级Rootkit防范技术进行对比分析的基础上,提出一种认证和检测相结合的内核模块加载机制,该机制将内核模块区分为信任模块和非信任模块,加载前者时首先验证其完整性,加载后者时,验证其身份和完整性,并实时检测其对内核数据的修改。实验表明,该机制能防范内核级Rootkit通过内核模块方式入侵。

基于安全域的Android系统内核安全增强机制研究

近年来,随着Android系统的迅猛发展,其安全面临着极大的挑战。Android的安全包括系统安全和软件安全,系统安全是整个安全的基石,对整体安全至关重要。以TOMOYO Linux为基础,针对Android的特点,改进了域生成算法,实现了内核层面的安全增强机制。实验证明,所提安全增强方案能够有效增强Android系统的安全性。