Linux终端检测响应系统的文件防护绕过技术研究

目前,国内外很多厂商推出了Linux系统中的终端检测响应(Endpoint Detection and Response,EDR)系统,为云平台、物联网、大数据计算等基础设施提供全面的安全检测和防护服务。但是,针对EDR文件防护功能的绕过攻击能够帮助恶意行为规避监控,造成严重的系统和数据安全风险。针对开源和商业闭源的Linux EDR系统,首先,阐述了文件防护功能的底层实现机制,对其核心技术原理进行了分析;其次,重点梳理了4种现有公开的文件防护绕过技术,提出了3种尚未公开的绕过技术,并且总结提炼为3种攻击类型;再次,基于上述绕过技术编写了验证工具,通过测试证明了这些技术方法对于部分Linux EDR系统的文件防护绕过能力;最后,给出了相应的安全防护建议。

基于用户级融合I/O的Key-Value存储系统优化技术研究

传统分布式键值存储系统大都基于操作系统提供的套接字与可移植操作系统接口构建,受限于接口语义及内核开销,难以发挥底层新型网络和存储硬件高吞吐与低延迟的性能优势.聚焦键值存储系统的数据通路,面向高速以太网与NVMe(non-volatile memory express)固态存储,于用户态整合网络栈与I O栈,协同设计以优化吞吐性能与延迟稳定性.用户级融合I O栈的控制平面由同一处理器核心于同一上下文中统一管理网卡与固态存储设备的硬件队列,消除了传统分离式设计所导致的多次进出内核态、多次上下文切换以及潜在的核间通信与数据迁移等的弊端,最大限度降低系统软件层面的管控开销.数据平面采用统一的内存池,借助用户级设备驱动,数据于上层键值系统与底层设备之间直接通过DMA传输,没有额外数据拷贝与操作系统干涉.针对大消息访问请求,通过将数据分片并交叠执行网络与存储DMA操作,进一步掩藏了访问延迟.实现了全用户态键值存储系统UKV,支持内存外存2层存储以及广泛应用的Memcache接口.将UKV与由Twitter开源的Fatcache系统进行了测试对比.实验结果表明,涉及外存的SET请求的每秒查询吞吐量提高了14.97%~97.78%,GET操作的每秒查询吞吐量提高了14.60%~51.81%;涉及外存的SET操作的p95延迟降低了26.12%~40.90%,GET操作的p95延迟降低了15.10%~24.36%.

基于全局地址空间的高效I/O虚拟化方法研究

针对多操作系统核心下网络I/O资源的高效共享问题,提出的基于全局地址空间的I/O虚拟化方法.方法采用了半虚拟化的设计思想,基于全局地址空间支持,主、从核心在通信的关键路径上均可对网络设备直接发起I/O操作,从而获得最佳的I/O虚拟化性能.本文以HPP结构为实例,研究了将提出的I/O虚拟化方法应用到HPP结构下对InfiniBand网络进行虚拟化的关键技术,实现了从核心I/O通信时的OS旁路和主核心旁路.对曙光6000原型系统的测试表明,在主、从核心配置相同的情况下,从核心使用虚拟化InfiniBand的通信性能与主核心相当,I/O虚拟化对应用性能的影响小于2%.

基于智能网卡的快速数据传输技术研究

针对网络密集型应用程序实现低延迟的需求,本文分析了使用普通网卡的传统内核网络协议栈的不足。基于智能网卡的内核旁路技术,探索了其对于提高数据传输速率的优势和有效性。