基于Kprobe的Rootkit检测机制

对现有Linux系统下Rootkit检测技术的原理进行分析,并提出了基于Kprobe的Rootkit检测技术。通过在关键路径下插入探测点,在内核底层收集Rootkit所要隐藏的对象信息,最后通过底层收集的信息与系统中审计工具所得的结果进行交叉视图的比对得到被隐藏对象。在实验阶段选择几种现有流行的Rootkit安装,采用了基于Kprobe的检测方法,通过实验结果表明该机制具有良好的可靠性。

基于KylinOS平台进程监控审计关键技术的实现

Linux内核是Kylin OS内核的基础,目前支持KylinOS进程生命周期监控与审计的产品还比较少,尤其是针对KylinOS Kernel层轻量级的进程生命周期的监控与审计。在入侵检测的过程中,新进程的创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以实时获取新进程创建的信息能帮助安全管理员快速地定位攻击行为。恶意进程、影子进程等的启动造成服务器等内网信息泄露事件屡见不鲜,因此在传统Linux平台上一般都是利用sopreload的机制覆盖libc.so中的execve等函数来监控第三方进程的创建,该方法允许定义优先加载的动态链接库,方便使用者有选择地载入不同动态链接库中的相同函数,只需要替换、覆盖execve应用层面的函数即可。该方式带来实现便利的同时,也产生了很多安全漏洞,如:1)无法监控静态链接的程序;2)易被攻击者绕过,通过int 80h绕过libc直接进行系统调用等;3)易被攻击者通过修改/etc/ld.so.preload使so preload机制失效。文章从系统调用入手,提出了一种基于inline hook内核系统调用的进程监控方案。该方案通过修改操作系统内核的sys_call_table对应的函数地址,实现内核系统调用劫持,在自定义的调用函数中完成进程创建的监控。分析及实验结果表明,该方法能对新进程创建有较好的监控与审计。

针对内核非控制数据攻击的在线检测方法研究

操作系统安全是计算机系统安全的基础保障和前提条件,而操作系统安全则主要依赖于系统内核的安全。针对内核的非控制数据攻击是指通过篡改内核中的某些关键数据结构,诱发内核出现漏洞和产生一系列稳定性问题,从而严重影响操作系统乃至整个计算机系统的安全。提出一种基于Kprobes内核调试机制和监视器内核线程的在线检测方法,前者用于监控内核关键函数的执行和检查相关动态性数据结构的一致性,后者通过设立专门的内核线程实现静态性内核数据结构的持续监测和不变性验证。然后在Linux平台上运用C语言设计实现了相应的内核非控制数据攻击在线检测器KNCDefender,进行了一系列验证实验和性能测试实验。实验结果表明,该方法是完全轻量级的,并能够及时检测出针对内核的各种非控制数据攻击。

中标麒麟平台电子文档审计关键技术的研究

国产操作系统依托开源生态优势与政策利好正在逐步替代Windows,随之而来的是终端电子文档全生命周期的安全问题,提出了一种基于VFS kernel hook的监控方案,在内核层审计电子文档的打开、读、写、重命名、删除等访问行为,实现电子文档行为全生命周期的监控。当前国内计算机产业中,软硬件国产化进程不断加速,在倡导自主可控的同时,更要求安全可信,电子文档的访问控制是终端安全的一个重要功能。分析及实验结果表明,该方法能对电子文档信息的泄露有较好的监控与审计。