內(nèi)核非控制數(shù)據(jù)攻擊及在線檢測方法的研究.pdf

1、操作系統(tǒng)安全是計算機系統(tǒng)安全的基礎保障和前提條件，而操作系統(tǒng)安全則主要依賴于系統(tǒng)內(nèi)核的安全。然而，隨著內(nèi)核攻擊的不斷增多，內(nèi)核安全形勢日益嚴峻。在諸多內(nèi)核攻擊中，作為Rootkit攻擊一類的內(nèi)核非控制數(shù)據(jù)攻擊的威脅越來越大。針對內(nèi)核的非控制數(shù)據(jù)攻擊是指通過篡改內(nèi)核中的某些關鍵數(shù)據(jù)結構，誘發(fā)內(nèi)核出現(xiàn)漏洞和產(chǎn)生一系列穩(wěn)定性問題，從而嚴重影響操作系統(tǒng)乃至整個計算機系統(tǒng)的安全。
　　本文在分析研究現(xiàn)有各類內(nèi)核非控制數(shù)據(jù)攻擊的基礎上，設計與

2、實現(xiàn)了內(nèi)核非控制數(shù)據(jù)攻擊原型，可作為安全人員研究開發(fā)內(nèi)核非控制數(shù)據(jù)攻擊檢測方法測試工具集。為了增強Linux內(nèi)核的安全性，本文從各種攻擊方法的基本原理和構建機制出發(fā)，總結它們的共同特征，研究與探索內(nèi)核關鍵數(shù)據(jù)結構變化特性，試圖實現(xiàn)運行（在線）狀態(tài)下內(nèi)核數(shù)據(jù)結構變化的持續(xù)監(jiān)控，以及對內(nèi)核相關數(shù)據(jù)結構的一致性和不變性的檢查，從而及時反饋系統(tǒng)所遭受的內(nèi)核非控制數(shù)據(jù)攻擊的相關信息。
　　本文提出一種基于Kprobes內(nèi)核調(diào)試機制和監(jiān)視器內(nèi)

3、核線程的在線檢測方法。前者作為系統(tǒng)原生的一種用于調(diào)試內(nèi)核的機制，將實時監(jiān)控內(nèi)核關鍵函數(shù)的執(zhí)行，并檢查相關動態(tài)性數(shù)據(jù)結構的一致性。后者則通過設立專門的以后臺方式運行在內(nèi)核態(tài)的內(nèi)核線程來實現(xiàn)靜態(tài)性內(nèi)核數(shù)據(jù)結構的持續(xù)監(jiān)測和不變性驗證。論文在Linux2.6.32.27內(nèi)核版本上運用C語言設計與實現(xiàn)了相應的內(nèi)核非控制數(shù)據(jù)攻擊在線檢測原型KNCDefender，進行了對應的一系列驗證實驗和性能測試實驗。實驗結果表明，本文提出的方法是完全輕量級的，