基于Linux系统调用的入侵检测传感器研究

分析了 Linux 操作系统调用信息在主机入侵检测系统中的应用;阐述了主机入侵检测系统 Host Keeper 中基于 Linux 系统调用传感器的原形框架、相关软件设计和实现方法,并着重探讨了用于二级系统调用的内核可加载模块传感器的实现。通过内核可加载模块传感器对系统运作关键数据信息的检测,以保证主机系统的安全。

劫持Linux系统调用封杀Core Dump漏洞攻击

Core Dump漏洞影响kernal2.6.13-2.6.17.3的多款Linux操作系统,它可以引发拒绝服务攻击和本地权限提升攻击,危害巨大。恶意进程使用prctl系统调用,通过故意制造Core Dump,可以旁路操作系统安全控制,攻击系统。通过劫持prctl系统调用,对发起系统调用的进程进行行为监视,进而检测攻击,可以有效地阻止和防御攻击的发生。把防御程序编译为可动态插入内核的模块,能在多款受影响的系统上稳定高效地运行。

Linux系统调用跟踪和进程错误退出分析

现有的Linux系统调用跟踪工具存在跟踪上下文信息不全、无法高效地对通过网络通信的多进程应用程序进行跟踪以及跟踪结果缺少图形化展现的问题。通过扩展Linux系统调用跟踪工具strace,实现了启发式跟踪工具heuristic-strace,其能够实时发现和自动跟踪应用程序中通过网络通信的进程,形成进程创建关系图、进程网络通信关系图,并结合系统调用的栈回溯信息,定位进程的错误退出原因。实验结果表明,此工具对能对典型的GUI和网络应用软件进行跟踪,引入的性能开销比较低,并能保证被跟踪软件的正常交互。

一个基于系统调用的主机入侵检测系统的传感器实现方案

linux系统调用信息对于描述主机系统的安全状态有重要的作用,论文分析了linux系统调用信息在入侵检测中的应用;阐述了入侵检测系统HostKeeper中系统调用传感器的原形框架、软件设计和实现方法;并给出了利用linux系统调用信息进行入侵检测的实验结果。

基于系统调用的入侵检测传感器研究与实现

Linux操作系统调用信息对于描述主机系统的安全状态有重要的作用,分析了Linux操作系统调用信息在入侵检测中的应用;阐述了入侵检测系统HostKeeper中系统调用传感器的原形框架、软件设计和实现方法;并给出了利用Linux操作系统调用信息进行入侵检测的研究。