针对内核级rootkit入侵很难被发现、入侵后计算机系统很难被恢复的问题,提出一种基于操作系统数据结构不变量保护的内核级rootkit入侵检测和系统恢复的方法。该方法以Xen虚拟机为实现平台,利用操作系统内核数据结构不变量作为系统特征码对内核级rootkit入侵行为进行检测,结合虚拟机系统快照回卷技术对被入侵系统进行系统安全恢复。
【技术实现步骤摘要】
本专利技术属于计算机系统安全领域,具体针对内核级rootkit入侵行为进行入侵检 测和系统灾难恢复。
技术介绍
rootkit是入侵者用来隐藏自身痕迹和保留访问权限的工具集。内核级rootkit 通过修改操作系统内核代码和数据来达到其恶意的目的,使得操作系统本身变得不可信 任,造成了极大的安全隐患。相比于用户级rootkit,内核级rootkit破坏力更强,隐蔽性更 高,技术难度更大,更难防御。近年来,针对内核级rootkit的入侵检测和系统恢复研究引 起了国内外研究者的广泛关注,相应的应对策略也越来越多。入侵检测,顾名思义,就是对入侵行为的检测。它通过对计算机网络或者计算机系 统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的 行为和被攻击的迹象。随着内核级rootkit技术的迅速发展,针对内核级rootkit入侵的 检测变得非常困难,属于安全领域的前沿技术。最新的内核级rootkit通过修改操作系统 内核中动态的非控制类数据结构来达到其恶意的目的。针对此类最新的还未被检测到的内 核级rootkit入侵,简单的基于恶意程序特征码扫描和基于异常行为验证的工具无法很好 的检测到这种入侵,因此需要提出新的技术来弥补这种缺陷。基于此,也就有了本专利技术的第 一个技术点,虚拟化平台上基于操作系统内核数据结构不变量保护的入侵检测。计算机系统本身的复杂性使得各种系统漏洞层出不穷;再者,入侵技术的高速发 展使得构建足够安全可靠的计算机系统成为幻梦。面对已经被入侵了的计算机系统,需要 有一种技术能够从这种灾难当中恢复系统的可靠性和可用性。系统恢复就是这样一种提高 计算机系统可靠性和可用性的有效手段。具体到恶意程序入侵,系统恢复技术以冗余资源 为基础,通过合理的系统软硬件体系结构,在系统软件的有效管理下,采用入侵检测、隔离 和灾难恢复等方法屏蔽、减少和消除入侵对计算机系统的影响。基于这样一种想法,有了本 专利技术的第二个技术点,虚拟化平台上基于高性能系统快照回卷的入侵恢复。
技术实现思路
本专利技术针对现有入侵检测技术和恢复技术无法完全防御最新内核级rootkit入 侵的情况,提出了一种虚拟化平台上基于操作系统数据结构不变量保护的内核级rootkit 入侵检测和系统恢复方法。本专利技术提供的入侵检测和系统恢复系统,其特征在于该系统结合虚拟化技术、操 作系统内核数据结构不变量检测技术和系统快照恢复技术,以Xen虚拟机为平台对内核级 rootkit入侵进行检测和系统恢复。当前,计算系统的资源规模不断扩展,处理能力快速增强,资源种类日益丰富,应 用需求也灵活多样。虚拟化技术能够动态组织多种计算资源,实现透明化的可伸缩计算系统架构,从而可以灵活构建满足多种应用的计算环境,提高计算资源的使用效率。本专利技术以 Xen虚拟机为平台构建入侵检测和恢复系统,不仅可以充分借助虚拟化技术来实现系统细 节,而且有利于该系统在虚拟化技术大量部署的环境中应用,满足实际需求。系统级虚拟化在硬件与软件之间设置一层虚拟机管理器软件,对硬件资源进行划 分和抽象,为上层的软件系统提供若干个虚拟计算环境,同时支持若干个独立执行的虚拟 机,也称为客户操作系统。Xen是针对x86体系结构的开源虚拟机管理器,由英国剑桥大学 的研究人员设计开发。Xen采用“半虚拟化”技术对硬件系统进行虚拟,其精巧的半虚拟化 设计使得运行于其上的客户操作系统能够获得接近于运行在裸机上的性能。运行在Xen上 的操作系统称之为虚拟域,这些虚拟域分为特权域(DomO)和非特权域(DomU)。DomO作为 Xen的助手,随着Xen的启动而建立,是第一个运行在Xen上的虚拟域,负责协助Xen虚拟机 管理器对虚拟机进行管理,能够对其它域进行设备访问的授权。DomU是指除了 DomO之外的 虚拟域,相对于DomO来说,DomU受到了许多的限制,其中最重要的便是对硬件设备的访问 需要DomO授权。基于Xen构建入侵检测和恢复系统可以减少系统性能损耗,而且Xen提供 的自省机制使得整个系统对被检测客户机透明。内核级rootkit入侵检测系统以操作系统内核数据结构不变保护为基础,不同 于基于恶意程序特征码扫描或基于异常行为验证的检测系统。基于恶意程序特征码扫描 的入侵检测需要事先分析恶意程序本身,因此一些最新的未知恶意入侵无法检测;基于 异常行为验证的入侵检测通过查找一些代表rootkit主要行为的隐藏元素来找出相应的 rootkit,对这个行为的界定不好划分,容易引起入侵误判或者漏判。操作系统内核数据结 构不变量在整个系统的运行过程中始终不发生改变,用来作为构建入侵检测系统的操作系 统特征码。入侵恢复以虚拟机系统快照恢复为基础,不同于早期所采用的清除并重装整个系 统的恢复方式,也不同于检查点恢复技术。虚拟机系统快照恢复对虚拟机技术加以利用,能 够定制其实现方式,部署于虚拟化环境中。本专利技术采取一种增量式的系统快照卷技术,结合 重定向技术和写时复制技术来实现入侵恢复。附图说明图1 入侵检测和恢复系统框架图。图2:监控模块框架图。图3 虚拟机上内存快照设计图。图4 虚拟机上磁盘快照设计图。具体实施过程下面结合附图对本专利技术作进一步详细的说明如图1所示,从总体框架上来说,整个系统分为入侵检测模块和入侵恢复模块 两个部分。入侵检测模块1处于整个虚拟机部署中DomO的用户层,对针对DomU的内核 rootkit进行入侵检测;入侵恢复引入虚拟机系统快照恢复技术,入侵恢复模块又由CPU状 态快照模块21、内存快照模块22、磁盘快照模块23和快照文件模块M共同组成。整个系 统的实现贯穿特权域的用户层、系统层和虚拟机管理器,负责在DomU被攻破后恢复系统的 可用性和可靠性。直接内核对象处理(DirectKernel Object Manipulation, DKOM)技术通常被内 核级rootkit用来隐藏其自身的痕迹。目前针对此类rootkit的检测大多是利用人工分析 出来的恶意程序的特征码来对内核内存进行扫描。然而,这些手工提供的恶意程序特征码 具有不健壮和弱针对性的缺点,使得现有的内核级rootkit很容易绕过它。内核数据结构 不变量正是在这样一种背景下提出来的。在操作系统的运行过程中,内核维护着成千上万 的各种各样的内核数据结构,各种数据结构之间又存在着各种错综复杂的相互关系。所谓 操作系统内核数据结构不变量即在系统的运行过程中其值始终不改变的数据结构或数据 结构间某种不变的逻辑关系,正如始终不改变的系统调用表中的元素是一种系统不变量; 在进程控制中,rimqueue链表里的元素始终包含在all-tasks链表里这样一种逻辑关系也 表示是一个系统不变量。针对具体的内核rootkit攻击行为,可以生成具体的对应内核数 据结构不变量,如表1所示。这种不变量关系一旦确定,它在整个操作系统的运行过程中都 将不发生改变。本专利技术以虚拟机自省机制来对操作系统内核数据结构不变量进行保护,从 而实现内核rootkit的入侵检测。表1内核rootkit入侵行为及其对应的内核数据结构不变量关系统计权利要求1.一种基于操作系统数据结构不变量保护的内核rootkit入侵检测和系统恢复方法, 其特征在于该方法包括入侵检测技术本文档来自技高网...
【技术保护点】
1.一种基于操作系统数据结构不变量保护的内核rootkit入侵检测和系统恢复方法,其特征在于:该方法包括入侵检测技术和系统恢复技术。入侵检测模块(1)以操作系统内核数据结构不变量保护为基础,基于Xen虚拟化平台构建入侵检测。入侵检测系统由监控策略库(11)和监控模块(12)组成。策略库(11)负责分析典型的内核rootkit入侵所采取的行为,针对其提取对应的内核不变量,并针对具体的不变量制定详细的检测策略;监控模块(12)提取策略库(11)中的策略进行具体的入侵检测。监控(12)包括对虚拟机内存的自省(121)和对磁盘的监控(122),借助于XenAccess库的自省机制实现,分别负责对客户机内存的监控和对客户机磁盘的监控。一个客户机的系统快照包括三个方面的内容:CPU的状态、内存快照和磁盘快照。系统恢复由CPU状态模块(21)、内存快照模块(22)、磁盘快照模块(23)和快照文件模块(24)组成。这几个模块共同负责生成一个客户机系统快照。CPU状态模块(21)负责在每次快照生成时记录客户机VCPU的所有状态,存放在快照文件(24)中,在快照恢复阶段负责取出快照文件中对应VCPU的内容,覆盖内核地中中原有的内容;内存快照模块(22)又由内存监控位图模块(221)、记录守护程序(222)和内存快照文件(241)组成。内存监控位图模块(221)负责两次快照间对客户机内核内存的写操作;记录守护程序(222)负责记录更改的内存页内容;在快照生成时刻,内存快照模块(22)负责将记录守护程序(222)记录的修改内存页内容覆盖到初始保存的内存快照中以更新快照内容,快照恢复时恢复内核内存内容;磁盘快照模块(23)由磁盘监控位图模块(231)和写操作重定向模块(232)组成。磁盘监控位图模块(231)负责监控对客户机磁盘块的写操作;写操作重定向模块(232)负责分配一个新的磁盘块来填充新的内容,并将对应的新旧磁盘块号成对的存储起来。磁盘快照模块(23)在快照生成时更新映射表以生成新的磁盘快照,在快照恢复阶段同样是调整映射表,使客户机系统恢复磁盘块的状态。...
【技术特征摘要】
【专利技术属性】
技术研发人员:邓凌志,陈浩,孙建华,
申请(专利权)人:湖南大学,
类型:发明
国别省市:43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。