本发明专利技术提供了一种虚拟化用户准入安全检测和隔离方法及其系统,通过在计算中的系统调用中使用改进的完美贝叶斯均衡(PBE)算法对用户行为的系统调用进行判定,利用算法构造策略引擎,使用引擎决策现有用户的行为以达到用户代码和服务器系统内核双方利益最大化,并且使用代理技术实现中断判定和访问同时实现计算和操作系统之间的隔离,改进沙箱技术从而达到在用户服务效率和安全保证之间的相对优化。本发明专利技术对于系统资源等消耗和读取判定速度一定程度上达到了大面积使用的要求,特别是能够有效地阻止恶意代码的特殊系统调用,极大程度上保护了系统的安全,并且在文件访问等几项经常性的系统调用操作中,检测速度和性能也相对有所提高。
【技术实现步骤摘要】
本专利技术涉及网络检测和防护以及虚拟化安全计算,具体涉及一种虚拟化计算下的用户准入安全检测和隔离技术。
技术介绍
对于现有操作系统安全来说,错误的软件架构和用户误操作或者恶意病毒对用户操作系统的破坏在所难免,先前的大多数访问控制技术只是阻止可疑程序对系统访问,容易判断失误。而沙箱技术则是把可以程序的阻止系统访问,转变成将可疑程序对磁盘、注册表等的访问重定向到指定文件夹下,从而更大程度上的保护用户操作系统。现有的沙箱技术在浏览器或其他程序中的使用主要出自Greenborder公司的沙箱技术,根据其使用环境和技术路线可分为两种第一种是采用虚拟技术的传统沙盘,如sandboxie ;第二种就是采用策略限制的沙盘,主要有·windows下的ACL文件访问控制列表和SID安全标识符;Iinux的chroot权限隔离技术和SElinux技术;MAC OS X 的 Seatbelt 技术;Linux 的 seccomp 技术;其中Seccomp (Secure Computing Mode)既安全计算模式是在 Iinux 2· 6· 23 和以后的一种内核模式,当进程进入此模式中,只能进行exit O、sigreturnO > read O和write O四种系统调用,而其他的syscall则会使内核发送SIGKILL信号结束进程。现有的沙箱技术是运行在进程级的粒度。这就意味着沙盒需要独占一个进程。最小化的沙箱应该有两个模块一个模块可以被称为代理人机制,即沙箱进程中会产生一个或多个被称为特权控制器的线程来控制在沙箱内部运行的状态。另一个则是包括一个静态库在内的模块,这个模块必须与前面的代理人和目标可执行文件一致。现有使用的沙箱技术是一个基于用户模式下的沙箱。一方面,在云环境下运行其上的程序需要给网络中不同用户提供服务,甚至其执行的代码也是由不同网络用户申请提交并进行运行的,这就需要用到强制访问控制MAC来提供可靠的白名单访问,但是原有的模型只是基于自身判断,容易由于自身的原因产生误操作,从而错误的撤销并回滚无关用户并行执行的服务。另一方面,虽然Seccomp使用的系统调用过滤技术,允许进程将其本身严格的限制到受限的系统调用集。但是Seccomp模式的进程不能动态分配内存、不能与其它进程使用共享内存、不能使用新的文件描述符,这无形就限制了沙箱系统的一些安全功能的实现。并且PR_SET_SECC0MP功能也在其运行中存在错误,允许本地用户通过将32位进程切换到64位模式并在64位进程中使用syscall指令或interrupt 80h绕过安全执行某些受限制的系统调用,从而对现有操作系统产生威胁。
技术实现思路
为了克服现有技术的不足,本专利技术提供一种虚拟化用户准入安全检测和隔离方法,对在使用虚拟化技术的沙箱中用户和其代码的准入进行判定,通过前期历史数据中一些异常行为检出并且阻止其恶意代码进行特殊的系统调用,以便于减少用户代码对系统的破坏;同时希望提高原有seccomp沙箱对资源消耗和读取的判定速度,阻止恶意代码对系统内核的特殊调用,并且能够在判定文件访问等经常性的系统调用操作中体现出较快的检测速度和较高的检测性能。本专利技术解决其技术问题所采用的技术方案包括以下步骤步骤I :在中间件中,建立目标主机的操作系统上执行的代码和操作系统内核之间的可观察行动和不完全信息的模型,并在沙箱保护下的目标主机上记录syscall调用情况,针对记录的数据传递给策略引擎进行处理;步骤2 :策略引擎接收到用户代码和用户相关的特征信息后,则通过引擎中建立的信号博弈模型对这些信息进行识别,根据原有概率计算用户代码是否为恶意代码的概率;同时在策略引擎中建立内核验证模型,把通过算法分类的特征信息放入决策集中,在决 策集中使用被改进的代价策略认证机制的完美贝叶斯算法对用户行为进行判断,并且同时使用目标主机中的中断器对用户代码的运行状况进行记录,然后在沙箱中运行的用户进程进行系统调用运行,在运行的同时IPC终端中对用户代码产生的用户进程进行重定向;步骤3 :在策略引擎进行判断后,中间件的IPC服务器利用目标进程和主机的交互信息核查其同步处理状况;同时中间件把目标进程和主机处理的作业在转移到中断管理器中,并且沙箱对在其内部运行的仿真代码产生的内核信号进行记录,当这些信号传递给运行时软件的时候,如果编译器正在执行解释,则其会在运行时把解释例程传递给用户中断例程,并且解释例程也会同时把控制权传递给用户中断例程进行处理;如果编译器未在执行,则软件对信号自行处理。在结束处理的时候,目标主机中的中断器更新中断处理表;步骤4:针对放入虚拟化沙箱的用户策略,策略平台使用历史数据比较来逐渐剔除劣势策略,并且根据历史数据计算回滚代价和用户期望,形成相对优化策略;然后把这些写入策略引擎数据库形成历史数据,之后运行的时候策略引擎通过认证的方式触发或者进程保护方式触发提取策略引擎数据库中的历史数据;同时策略引擎使用步骤2的改进的完美贝叶斯算法对用户在主机内运行产生的代价进行记录更新,从而形成相对准确的沙箱完美贝叶斯算法优化模型。本专利技术还提供一种实现上述虚拟化用户准入安全检测和隔离方法的系统,包括以下子模块中间件模块,包含中断管理器子模块,策略平台子模块,策略引擎子模块和IPC服务子模块;其中中间件模块主要是进行算法的预处理,中断管理子模块负责接收各个目标主机沙箱内的中断发出的信号,策略子平台负责对信号进行提取分类和储存策略数据,策略引擎子模块则进行算法处理,IPC服务子模块负责和目标机中的IPC模块进行通信,包括交换中断信号和命令处理;沙箱模块,包括目标子模块下的IPC终端子模块,策略引擎终端子模块和中断器子模块;其中沙箱模块负责目标主机中各个用户程序或代码的单独运行,在各个目标主机中的策略引擎终端负责根据中间件中的策略引擎的给出的算法进行相应的执行处理,中断器则负责中断处理,并且把中断场景中的相应数据传输到中间件中进行相应的算法处理。本专利技术的有益效果是本专利技术使用完美均衡博弈策略对于沙箱判定用户行为和相应准入代价形成算法,在策略引擎中进行判定,从而减小用户代价,并且对历史数据中一些异常行为能够检出并且阻止其恶意代码进行特殊的系统调用从而减少其对系统的破坏。针对用户准入判断的方法,能够对系统资源等消耗和读取判定速度一定程度上较原来seccomp沙箱中恶意代码的特殊系统调用能够有效地阻止,并且在判定文件访问等几项经常性的系统调用操作体现出较好的检测速度和性能。附图说明图I是资源代理机制图;图2是认证策略代价;图3是中断触发处理。 具体实施例方式下面结合附图和实施例对本专利技术进一步说明。I.系统模型改进原则本方法根据如下四点设计原则进行方法和系统的设计其一,假设云环境下几乎所有云用户的软件代码都在其平台上执行I/O操作。那么现有的很多行为是在Seccomp中严格受限的。这就要求软件打开文件描述符的时候作为通信信道确保非可信代码在进行操作时候严格受到安全监控。这就意味着必须在应用程序代码进行调整的时候分离其更新的部分,进行安全检查来确保其更新部分的安全。其二,系统最大程度设计于执行非可信程序代码。这就要求沙箱控制普通用户不能提升到超级用户的权限。其三,现有的模拟环境和虚拟化安全解决方案本本文档来自技高网...
【技术保护点】
一种虚拟化用户准入安全检测和隔离方法,其特征在于包括下述步骤:步骤1:在中间件中,建立目标主机的操作系统上执行的代码和操作系统内核之间的可观察行动和不完全信息的模型,并在沙箱保护下的目标主机上记录syscall调用情况,针对记录的数据传递给策略引擎进行处理;步骤2:策略引擎接收到用户代码和用户相关的特征信息后,则通过引擎中建立的信号博弈模型对这些信息进行识别,根据原有概率计算用户代码是否为恶意代码的概率;同时在策略引擎中建立内核验证模型,把通过算法分类的特征信息放入决策集中,在决策集中使用被改进的代价策略认证机制的完美贝叶斯算法对用户行为进行判断,并且同时使用目标主机中的中断器对用户代码的运行状况进行记录,然后在沙箱中运行的用户进程进行系统调用运行,在运行的同时IPC终端中对用户代码产生的用户进程进行重定向;步骤3:在策略引擎进行判断后,中间件的IPC服务器利用目标进程和主机的交互信息核查其同步处理状况;同时中间件把目标进程和主机处理的作业在转移到中断管理器中,并且沙箱对在其内部运行的仿真代码产生的内核信号进行记录,当这些信号传递给运行时软件的时候,如果编译器正在执行解释,则其会在运行时把解释例程传递给用户中断例程,并且解释例程也会同时把控制权传递给用户中断例程进行处理;如果编译器未在执行,则软件对信号自行处理。在结束处理的时候,目标主机中的中断器更新中断处理表;步骤4:针对放入虚拟化沙箱的用户策略,策略平台使用历史数据比较来逐渐剔除劣势策略,并且根据历史数据计算回滚代价和用户期望,形成相对优化策略;然后把这些写入策略引擎数据库形成历史数据,之后运行的时候策略引擎通过认证的方式触发或者进程保护方式触发提取策略引擎数据库中的历史数据;同时策略引擎使用步骤2的改进的完美贝叶斯算法对用户在主机内运行产生的代价进行记录更新,从而形成相对准确的沙箱完美贝叶斯算法优化模型。...
【技术特征摘要】
1.一种虚拟化用户准入安全检测和隔离方法,其特征在于包括下述步骤 步骤I :在中间件中,建立目标主机的操作系统上执行的代码和操作系统内核之间的可观察行动和不完全信息的模型,并在沙箱保护下的目标主机上记录syscall调用情况,针对记录的数据传递给策略引擎进行处理; 步骤2:策略引擎接收到用户代码和用户相关的特征信息后,则通过引擎中建立的信号博弈模型对这些信息进行识别,根据原有概率计算用户代码是否为恶意代码的概率;同时在策略引擎中建立内核验证模型,把通过算法分类的特征信息放入决策集中,在决策集中使用被改进的代价策略认证机制的完美贝叶斯算法对用户行为进行判断,并且同时使用目标主机中的中断器对用户代码的运行状况进行记录,然后在沙箱中运行的用户进程进行系统调用运行,在运行的同时IPC终端中对用户代码产生的用户进程进行重定向; 步骤3 :在策略引擎进行判断后,中间件的IPC服务器利用目标进程和主机的交互信息核查其同步处理状况;同时中间件把目标进程和主机处理的作业在转移到中断管理器中,并且沙箱对在其内部运行的仿真代码产生的内核信号进行记录,当这些信号传递给运行时软件的时候,如果编译器正在执行解释,则其会在运行时把解释例程传递给用户中断例程,并且解释例程也会同时把控制权传递给用户中断例程进行处理;如果编译器未在执行,则软件对信号自行处理。在结束处理的时候,目标主机中...
【专利技术属性】
技术研发人员:马博,慕德俊,
申请(专利权)人:西北工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。