基于系统调用的Linux系统入侵检测技术研究

提出了一种基于系统调用、面向进程的Linux系统入侵检测方法:利用LKM(Loadable Kernel Modules)技术在Linux内核空间获取检测源数据——所考察进程的系统调用,使用基于极大似然系统调用短序列的Markov模型提取进程的正常行为特征,据此识别进程的异常行为。通过实验表明了此方法的可行性和有效性;并分析了方法在实现中的关键问题。

Linux系统内核级安全审计方法研究

LKM(LoadableKernelModules-可加载内核模块)技术是Linux系统为了扩充系统功能而提供的一种机制。该技术已经被黑客用于系统入侵,同样也可以利用它提高系统的安全性。文章在分析了现行Linux安全审计系统所存在问题的基础上,提出了一个基于LKM技术的Linux系统内核级安全审计模型。

基于LKM和Netfilter/iptables的信息监控实现

分析了LKM技术的内容和特点,基于Linux操作系统提供的防火墙管理工具Netfilter/iptables进行二次开发,实现信息监控,解决了信息监控中数据处理的效率问题,提高了系统的整体性能。

Linux系统调用劫持:技术原理、应用及检测

系统调用劫持是黑客入侵系统后保留后门常用的一项技术。文章提出了利用可装入内核模块修改系统调用表和中断描述符表两种实现Linux系统调用劫持的方法,探讨了系统调用劫持技术在rootkit、入侵检测等方面的应用,并给出了利用kmem进行系统调用劫持检测的一般方法。该文的分析基于Intelx86平台上的2.4内核。

一种自动检测内核级Rootkit并恢复系统的方法

Rootkit是黑客入侵系统后保留后门常用的一项技术。目前不存在一种能自动检测内核级rookit并恢复系统的方法。该文在详细剖析内核级rootkit原理的基础上,提出了一种自动检测内核级rootkit并恢复系统的方法。该方法不仅对目前出现的所有内核级rootkit有效,而且考虑了将来可能出现的更高级的rootkit。

Linux可装载模块的开发与应用

详细介绍了Linux可装载模块的原理、功能和实现技术等方面的内容 ,对内核编程中需要注意的问题进行了解释和讨论 ,重点讨论了LKMs技术在文件管理、网络应用和Linux病毒等方面的应用。对文中所研究的部分应用给出了示例代码。

Linux Shell安全审计机制的扩展

Unix Shell生成的命令历史记录是系统审计信息的重要来源,但它未能包含检测入侵所需的足够信息,且容易被用户本人篡改.利用可装入内核模块和系统调用劫持技术实现了对Linux Shell安全审计机制的扩展,并给出了用其进行安全监测的例子.

嵌入内核式动态防火墙的设计与实现

提出一种新型的可嵌入内核的动态防火墙模型,描述了一个基于该模型的安拓防火墙系统的组成结构和实现机制。讨论了该系统实""现中的关键技术及其解决方法,包括:状态检测技术、动态规则技术、可动态加载内核模块技术及自身安全保护设计等。归纳了该系统的特点及应用前景,并总结了今后的研究方向。

基于LKM的Linux安全检测器的设计与实现

分析两个Linux后门工具的实现机制,指出它们的原理及其危害;针对Linux操作系统的特点提出两种保护Linux内核的方法,即单模块内核方式和带安全检测的LKM方式。给出了基于LKM的Linux安全检测器的实现方法,实验表明,该安全检测器能有效地记录LKM后门工具以及病毒对系统的攻击和非法访问,能够帮助系统管理员维护Linux操作系统的安全。

LKM后门综述

LKM后门作为Linux下危害最大的恶意代码,运行在内核层,比传统技术下的后门更隐蔽,功能更强大。本文分析LKM后门的技术原理与威胁,并在此基础上研究各种后门检测方法。这些方法都有局限性,因此多方法融合、有机组合互补将成为LKM后门检测的发展趋势。

扩充Linux系统功能的LKM技术

在分析了扩充Linux操作系统内核功能的重要机制———LKM(LoadableKernelModule,可加载内核模块)技术的主要用途之后,介绍了LKM程序的编写方法、注意事项和存在的问题。

基于块的分级存储系统多样性机制设计与研究

HazelNut是一种基于块的分级存储系统,为满足HazelNut多种存储设备和追踪迁移方式的管理需求,设计并实现多样性设备管理机制HNDisk和多样性追踪迁移机制HNType。HNDisk将物理存储设备分层管理,不限制设备种类和设备数量。HNType可按照公共接口添加类型模块,便于配置并选择不同追踪度量和迁移算法。在HNDisk和HNType的基础上,测试不同追踪度量对btier平均值迁移算法性能的影响,结果表明,追踪度量访问次数和访问字节数非线性相关,两者对迁移效果的影响不同,并且使用读写请求完成时间作为追踪度量至少可使顺序读写性能提升10%。

基于LKM的RootKit技术

后门技术是网络安全领域一个十分重要的研究对象。本文简要地介绍了传统后门技术和基于LKM的后门技术的区别,并详细分析了当前LKM rootkit广泛采用的一些技术手段。

Android系统Rootkit技术综述

Rootkit秘密修改操作系统的代码和数据,给计算机系统带来严重威胁。随着操作系统在手机中的不断普及,智能手机也开始面临这一威胁。以Android智能手机系统为例,针对一种基于SMS(Short Messaging Service)的内核级Rootkit技术的实现原理与攻击行为进行了分析研究,并提出EPA(Executive Path Analysis)等三种相应检测技术。

基于LKM的嵌入式Linux内核调试模型及实现

为了克服嵌入式Linux调试领域中的插桩模型的缺点,该文在LKM技术的基础之上,引入了“寄生技术”,提出了一种嵌入式Linux内核调试模型,实现了调试代理的功能。实验表明,该模型降低了寄生代码与嵌入式Linux内核的耦合度,减少了对嵌入式Linux内核的修改量,提供了更为灵活的扩展机制和更容易移植的条件。

基于LSM的进程行为监控技术研究

LSM是一款支持多种安全策略的、为Linux内核开发的轻量级通用访问控制框架,这种访问控制框架能使各类访问控制模型作为动态内核模块执行。本文简要介绍了LSM的相关背景和设计思想,讨论了LSM的具体实例,并介绍了我们的设计方案。

基于Linux Shell的安全审计机制

用户登录后在Linux Shell中留下的历史记录是审计信息的重要来源,但未能包含判断入侵与否的足够信息,且很容易被篡改。文中基于shell机制,利用可装入内核模块/、proc虚拟文件系统和系统调用劫持技术,实现了一个较全面的入侵检测的审计机制,同时给出了一个用其进行安全监测的简单实例以及该方法的优点。

Linux中的几种安全防护技术

安全操作系统是网络安全的重要研究内容,通过分析Linux内核入侵检测系统(LIDS),验证了Linux操作系统良好的安全性。文章主要分析了LIDS如何保护系统重要文件和进程;怎样利用封装内核的策略限制进程的权限和可装载内核模块(LKM)的启动,最后阐述了怎样利用LIDS阻止恶意代码的攻击。

Linux可加载模块应用

基于如何灵活地进行Ｌｉｎｕｘ 内核程序设计是扩展操作系统功能的一个重要方面－ 首先通过详细剖析了Ｕｎｉｘ 、Ｌｉｎｕｘ 的驱动程序结构，说明了如何利用Ｌｉｎｕｘ 的可加载模块技术设计针对特定设备的驱动程序；此外，进一步探讨了如何利用可加载模块技术截获并替换系统默认的系统调用，从而满足Ｌｉｎｕｘ 在不同特定环境的需要－