基于Linux內(nèi)核不變量推測(cè)的Rootkit檢測(cè).pdf

1、碩士學(xué)位論文基于Linux內(nèi)核不變量推測(cè)的Rootkit檢測(cè)RootkitDetectionBasedonLinuxKernellnvariantsInference作者姓名：汪潼學(xué)科、專業(yè)：過(guò)篡扭廛旦這苤學(xué)號(hào)：21009263大連理工大學(xué)DalianUniversityofTechnology大連理工大學(xué)碩士學(xué)位論文摘要Linux操作系統(tǒng)由于其開(kāi)源和免費(fèi)的特點(diǎn)受到大家的青睞，同樣其遭受的攻擊也層不窮，木馬是其中威脅較大的一個(gè)，木碼侵入

2、電腦后首先并不進(jìn)行破壞性的操作，但是在內(nèi)部監(jiān)控計(jì)算機(jī)的運(yùn)行，通過(guò)事先留下的后門(mén)來(lái)傳輸信息以達(dá)到竊取用戶信息的目的。在木馬程序中最難以被用戶檢測(cè)到的就是更加深入操作系統(tǒng)內(nèi)核的木馬，內(nèi)核層級(jí)術(shù)馬是一種與內(nèi)核Rootkit技術(shù)相結(jié)合的特洛伊木馬。由于Rootkit處于系統(tǒng)的底層，具有系統(tǒng)最高的權(quán)限而且能夠很容易的修改內(nèi)核中的重要數(shù)據(jù)結(jié)構(gòu)，很多軟件即使查殺也只能針對(duì)一種或者幾種Rootkit，并不能對(duì)所有Rootkit進(jìn)行查殺，所以內(nèi)核Root

3、kit由于其特殊性質(zhì)目前已經(jīng)成為計(jì)算機(jī)安全領(lǐng)域重點(diǎn)研究的課題。內(nèi)核Rootkit主要是以內(nèi)核模塊(LKM)的形式加載到系統(tǒng)內(nèi)核中，通過(guò)對(duì)內(nèi)核的系統(tǒng)調(diào)用表等內(nèi)核關(guān)鍵數(shù)據(jù)進(jìn)行更改，從而實(shí)現(xiàn)隱藏自身及相關(guān)惡意目的。最近的研究發(fā)現(xiàn)Rootkit已經(jīng)不僅僅通過(guò)修改內(nèi)核關(guān)鍵數(shù)據(jù)，而且修改非控制型數(shù)據(jù)同樣可以達(dá)到惡意目的，例如污染熵池使系統(tǒng)無(wú)法獲取有效的隨機(jī)數(shù)、添加惡意_進(jìn)制代碼等攻擊，之前Rootkit檢測(cè)技術(shù)無(wú)法檢測(cè)這樣的Rootkit攻擊，。力

4、‘面因?yàn)樗麄冎话阎攸c(diǎn)放在控制數(shù)據(jù)修改的檢鋇4上，另一方面因?yàn)樾枰苌羁汤斫鈨?nèi)核數(shù)據(jù)結(jié)構(gòu)語(yǔ)義的專家，給出詳細(xì)的內(nèi)核完整性技術(shù)規(guī)范，才能檢測(cè)到非控制型數(shù)據(jù)結(jié)構(gòu)的修改。針對(duì)以上分析，本文提出了一種新型內(nèi)核Rootkit檢測(cè)技術(shù)RKdetect，通過(guò)在訓(xùn)練階段系統(tǒng)抓取整個(gè)系統(tǒng)內(nèi)核內(nèi)存的頁(yè)面，提取出數(shù)據(jù)結(jié)構(gòu)并推測(cè)出不變量存儲(chǔ)在文件系統(tǒng)中，在執(zhí)行階段將Rootkit植入系統(tǒng)之后周期性的去捕獲內(nèi)核內(nèi)存推斷不變量，并與訓(xùn)練階段得到的不變量作比較查看是否

5、發(fā)生改變，如果發(fā)生改變貝0存在Rootkit。本文采用觀察機(jī)和目標(biāo)機(jī)的模式，觀察機(jī)主要完成數(shù)據(jù)結(jié)構(gòu)提取、不變量推測(cè)、監(jiān)控目標(biāo)機(jī)、Hadoop集群搭建等功能并且在推測(cè)不變量時(shí)采用MapReduce編程，目標(biāo)機(jī)主要完成相麻觀察機(jī)請(qǐng)求抓取內(nèi)核內(nèi)存頁(yè)返回觀察機(jī)。該方法能廣‘泛應(yīng)用于病毒、木馬、Rootkit的檢測(cè)中，對(duì)計(jì)算機(jī)的安全研究有著很大的意義。最后，為了證明RKdetect能很好的檢測(cè)出普遍存在的Rootkit，本文實(shí)現(xiàn)了該技術(shù)，并將不同