论文部分内容阅读
伴随计算机技术的广泛使用,信息安全问题日益突出,信息系统安全越来越受到人们的重视。鉴于操作系统在计算机系统中所承担的关键作用,整个计算机系统的安全在很大程度上依赖于操作系统的安全。近些年,Linux操作系统凭借自身独特的优势,迅速地提升了其在服务器操作系统市场上的份额。但也正因如此,针对Linux系统的恶意攻击也在不断增加。与此同时,Linux内核的漏洞也随其代码量的快速增长而持续地被曝光出来。而内核作为操作系统中最为核心的部分,其安全则是操作系统乃至整个计算机系统安全的基础前提和根本保障。所以,Linux操作系统安全尤其是内核安全已成为计算机系统安全领域研究的焦点之一。 本文以运行Linux系统的服务器为研究对象,在分析研究现有各类Linux系统防护方法的基础上,提出了一种基于内核函数监控的系统防护方法,试图通过限制相关服务进程所能访问的内核函数范围,加大恶意攻击的难度进而增强Linux内核安全,同时通过对内核函数各种异常调用情况的分级分类实时处理,从而提升整个服务器系统的安全水平。其间,内核函数监控集的获取利用了ftrace动态跟踪技术,而内核函数的监控及异常情况分析处理则综合运用了Kprobes运行时调试技术和Zabbix报警响应机制,并且,内核函数监控系统原型是通过分析监控模块构成要素及特征模式而自动构建的。此外,本文还提出了一种内核函数安全风险分级标准,并给出了原型应用环境下的相应划分示例。进一步说,在分析和参考有关系统调用的安全分级的基础上,结合相关已知内核漏洞等因素将内核函数划分为高、中、低三个潜在安全风险等级,然后在异常情况处理机制中设立相对应的三种处理方式,从而支持各种异常情况的分级分类处理。 针对有关Linux系统防护原型的功能测试与性能测试的实验结果表明,本文方法能够及时检测到相关服务进程对内核函数的异常调用情况,并给以适当的报警或拦截处理,而且由此带来的额外开销完全可以承受,从而验证了有关方法的可行性和有效性。与内核安全防护的其它研究工作相比,本文方法所涉内核防护覆盖范围更大且无需重新编译构建内核映像,并切实做到了监测与防护的有机结合。