內(nèi)核非控制數(shù)據(jù)攻擊及在線檢測方法的研究.pdf

1、操作系統(tǒng)安全是計算機(jī)系統(tǒng)安全的基礎(chǔ)保障和前提條件，而操作系統(tǒng)安全則主要依賴于系統(tǒng)內(nèi)核的安全。然而，隨著內(nèi)核攻擊的不斷增多，內(nèi)核安全形勢日益嚴(yán)峻。在諸多內(nèi)核攻擊中，作為Rootkit攻擊一類的內(nèi)核非控制數(shù)據(jù)攻擊的威脅越來越大。針對內(nèi)核的非控制數(shù)據(jù)攻擊是指通過篡改內(nèi)核中的某些關(guān)鍵數(shù)據(jù)結(jié)構(gòu)，誘發(fā)內(nèi)核出現(xiàn)漏洞和產(chǎn)生一系列穩(wěn)定性問題，從而嚴(yán)重影響操作系統(tǒng)乃至整個計算機(jī)系統(tǒng)的安全。
　　本文在分析研究現(xiàn)有各類內(nèi)核非控制數(shù)據(jù)攻擊的基礎(chǔ)上，設(shè)計與

2、實現(xiàn)了內(nèi)核非控制數(shù)據(jù)攻擊原型，可作為安全人員研究開發(fā)內(nèi)核非控制數(shù)據(jù)攻擊檢測方法測試工具集。為了增強(qiáng)Linux內(nèi)核的安全性，本文從各種攻擊方法的基本原理和構(gòu)建機(jī)制出發(fā)，總結(jié)它們的共同特征，研究與探索內(nèi)核關(guān)鍵數(shù)據(jù)結(jié)構(gòu)變化特性，試圖實現(xiàn)運行（在線）狀態(tài)下內(nèi)核數(shù)據(jù)結(jié)構(gòu)變化的持續(xù)監(jiān)控，以及對內(nèi)核相關(guān)數(shù)據(jù)結(jié)構(gòu)的一致性和不變性的檢查，從而及時反饋系統(tǒng)所遭受的內(nèi)核非控制數(shù)據(jù)攻擊的相關(guān)信息。
　　本文提出一種基于Kprobes內(nèi)核調(diào)試機(jī)制和監(jiān)視器內(nèi)

3、核線程的在線檢測方法。前者作為系統(tǒng)原生的一種用于調(diào)試內(nèi)核的機(jī)制，將實時監(jiān)控內(nèi)核關(guān)鍵函數(shù)的執(zhí)行，并檢查相關(guān)動態(tài)性數(shù)據(jù)結(jié)構(gòu)的一致性。后者則通過設(shè)立專門的以后臺方式運行在內(nèi)核態(tài)的內(nèi)核線程來實現(xiàn)靜態(tài)性內(nèi)核數(shù)據(jù)結(jié)構(gòu)的持續(xù)監(jiān)測和不變性驗證。論文在Linux2.6.32.27內(nèi)核版本上運用C語言設(shè)計與實現(xiàn)了相應(yīng)的內(nèi)核非控制數(shù)據(jù)攻擊在線檢測原型KNCDefender，進(jìn)行了對應(yīng)的一系列驗證實驗和性能測試實驗。實驗結(jié)果表明，本文提出的方法是完全輕量級的，