论文部分内容阅读
随着信息技术的发展,社会对信息安全的需求日益迫切,信息安全已经成为一个不容忽视的问题。而操作系统作为信息系统的基础要素之一,其安全问题会威胁到整个信息系统,其内核的安全是操作系统安全防护的主要内容,一旦遭到威胁则可能影响到整个操作系统甚至信息系统的安全。内核级Rootkits攻击是威胁操作系统内核安全性的主要问题,它可以篡改操作系统内核代码或数据,进而控制整个操作系统,隐藏其恶意行为。论文以对抗内核级Rootkits攻击的防护方法为研究目标,以保护操作系统内核数据完整性为技术路线,首先针对多平台构建数据访问关系图和函数调用关系图;而后以此为判断依据,分别对内核中非栈数据和栈数据进行防护;再建立操作系统内核级Rootkits防护模型和实验原型。论文的主要成果和创新点包括:1.提出了一种利用虚拟化异常机制、兼容多种平台架构的操作系统内核级数据访问和函数调用关系图自动构建方法,该方法不依赖于其软件结构或编译规定,准确率和查全率高。为了给内核中非栈数据防护方法和内核中栈数据防护方法提供判断依据,提出了一种数据访问和函数调用关系图自动构建方法。该方法利用虚拟机监控器的页异常机制监控特定内存数据的写访问,记录访问内存数据的指令,从而建立数据访问关系图;利用虚拟机监控器的软件断点异常机制劫持内存函数的头地址指令、调用指令和返回指令等,从而监控内存函数间的父子调用关系,再建立从子函数到父函数的函数调用关系图。实验分别针对x86架构的32位Windows XP、32位Linux和x64架构的64位Windows 7进行关系图构建,结果表明,数据访问关系图的构建准确率为100%;函数调用关系图的构建准确率为100%,查全率在87%以上。该方法可兼容x86和x64处理器架构的多种操作系统,且不依赖于其软件结构或编译规定。构建的这两类关系图可直接作为内核中非栈数据和栈数据防护方法的判断依据。2.提出了一种以合法内核模块代码段、数据访问关系图和函数调用关系图为可信区间的内核中非栈数据防护方法,对内核中的代码、堆数据、数据段、BSS段等进行保护,该方法可有效对抗多种类型的Rootkits攻击,可靠性高。为了对抗MEP、KOH和DKOM类型的Rootkits对内核中非栈数据的攻击,提出了一种建立可信区间的内核中非栈数据防护方法。该方法以合法内核模块代码段建立可信区间,检测内核中非栈数据里的离散函数指针是否指向合法内核模块代码段;然后以数据访问关系图和函数调用关系图建立可信区间,确保内核中非栈数据里其它类型的目标数据只能由数据访问关系图中的指令进行修改,且调用这些指令的父函数也需要满足函数调用关系图。实验针对32位Windows XP选取6种典型的恶意Rootkits并构建14种攻击样本进行测试,结果表明,该方法可防护各种典型的恶意Rootkits和攻击样本,成功地抵御了MEP、KOH和DKOM类型的Rootkits攻击,并且能够同时阻止页映射攻击,对内核中非栈数据进行了有效的保护。与同类方法相比,该方法的显著优势在于对DKOM类型攻击的防护上,它能够阻止这类恶意代码的运行,且防护方法更加完备、可靠。3.提出了一种通过监控内核栈的切换、替换、创建和删除等过程,将可执行单元与其内核栈进行绑定的内核中栈数据防护方法,该方法防护能力强,作用范围广,能够对内核栈中所有类型的数据进行同步保护。为了阻止“return-to-schedule”及其扩展类型的Rootkits对内核中栈数据的攻击,提出了一种绑定可执行单元的内核中栈数据防护方法。该方法通过监控内核栈的切换、替换、创建和删除等过程,同步地改变内核栈所在内存区域的读写属性,使得可执行单元只能修改自身的内核栈数据,无法篡改其他内核栈数据,从而达到将可执行单元与其内核栈进行绑定的效果;然后依据数据访问和函数调用关系图对内核中的相关代码、数据进行保护,从而保证可执行单元不会通过执行恶意代码来篡改自身的内核栈数据。实验针对32位Windows XP构建了6种攻击内核栈数据的测试样本进行检验,结果表明,该方法可以防护全部攻击样本,成功阻止了return-to-schedule”及其扩展类型的Rootkits攻击,可以有效防护内核栈上的返回地址、参数、局部变量等所有类型的数据。4.构建了一个基于虚拟化技术支持多种平台架构的内核级Rootkits防护模型,设计实现了其实验原型系统,该实验系统防护能力强,占用资源少。为了抵御Rootkits对操作系统内核数据的攻击,构建了一种内核级Rootkits防护模型,并设计实现其实验原型系统。该系统主要利用了内核中非栈数据和栈数据防护方法来对操作系统内核中的内存数据进行保护;同时监控对操作系统关键寄存器的写操作,从而保证这些寄存器数据的完整性;为了能够兼容多种平台,该系统通过识别客户虚拟机中操作系统类型,然后重构其语义信息并加以保护。实验针对32位Windows XP选取6种典型的恶意Rootkits并构建25种攻击样本进行测试,结果表明,该实验系统可有效抵御各种典型的Rootkits和测试样本,性能开销不足3.1%。同时,也可以防护64位Windows 7和32位Linux环境下的典型恶意Rootkits的攻击。该实验系统以较少的占用资源有效地保护多种操作系统的内核数据。