基于KylinOS平台进程监控审计关键技术的实现

Linux内核是Kylin OS内核的基础,目前支持KylinOS进程生命周期监控与审计的产品还比较少,尤其是针对KylinOS Kernel层轻量级的进程生命周期的监控与审计。在入侵检测的过程中,新进程的创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以实时获取新进程创建的信息能帮助安全管理员快速地定位攻击行为。恶意进程、影子进程等的启动造成服务器等内网信息泄露事件屡见不鲜,因此在传统Linux平台上一般都是利用sopreload的机制覆盖libc.so中的execve等函数来监控第三方进程的创建,该方法允许定义优先加载的动态链接库,方便使用者有选择地载入不同动态链接库中的相同函数,只需要替换、覆盖execve应用层面的函数即可。该方式带来实现便利的同时,也产生了很多安全漏洞,如:1)无法监控静态链接的程序;2)易被攻击者绕过,通过int 80h绕过libc直接进行系统调用等;3)易被攻击者通过修改/etc/ld.so.preload使so preload机制失效。文章从系统调用入手,提出了一种基于inline hook内核系统调用的进程监控方案。该方案通过修改操作系统内核的sys_call_table对应的函数地址,实现内核系统调用劫持,在自定义的调用函数中完成进程创建的监控。分析及实验结果表明,该方法能对新进程创建有较好的监控与审计。

Android Native层透明加密关键技术的研究

在Windows平台下保护数据安全一般采用透明加密数据的方式,但Android平台上鲜见数据透明加密软件。目前市场上出现的加密软件基本为应用层加密,使用密文前须解密,解密过程会导致明文落地而存在安全隐患。本文在研究Android操作系统体系结构的基础上,设计了一种Native层透明加解密方案。该方案结合Native Hook技术、RSA非对称密码算法、SM3与SM4密码算法,能对Office及WPS等办公类文件提供透明加解密服务,加解密过程对用户来说完全透明,无需改变用户操作习惯。因该透明加解密方案运行在Native层,在解决数据安全的同时改善了数据加解密的用户体验,增强了其实用性。

中标麒麟平台电子文档审计关键技术的研究

国产操作系统依托开源生态优势与政策利好正在逐步替代Windows,随之而来的是终端电子文档全生命周期的安全问题,提出了一种基于VFS kernel hook的监控方案,在内核层审计电子文档的打开、读、写、重命名、删除等访问行为,实现电子文档行为全生命周期的监控。当前国内计算机产业中,软硬件国产化进程不断加速,在倡导自主可控的同时,更要求安全可信,电子文档的访问控制是终端安全的一个重要功能。分析及实验结果表明,该方法能对电子文档信息的泄露有较好的监控与审计。