（计算机软件与理论专业论文）基于系统内核的hids研究.pdfVIP

摘要 论文题目：基于系统内核的h i d s 研究 学科专业：计算机软件与理论 研究生：张鹏 指导教师：姚全珠教授 摘要 签名：毯邀 签名：样 基于主机的入侵检测系统( h d s ) 因其数据源来自于操作系统的反馈，因而具备 良好的检测效率和数据源的可信度。但是在以往的h i d s 设计中，比较偏重于“事前” 防御( 入侵者正在尝试入侵主机) ，对于“事后”( 入侵者已经成功入侵主机) 则考虑的 较少，特别是对于h i d s 自己的安全性考虑不足。如果入侵者已经入侵成功并强行中止 h i d s 等安全防护软件的进程，h i d s 将不能发挥它应有的作用。为了解决这个问题，本 文作者在参考了大量文献后，提出了一个实体问访问重定向的模型，在此模型的基础上 给出了访问重定向发生的条件，并用该模型对r o o t k i t 恶意程序进行了分析。而后，将访 问重定向技术应用到h i d s 中，通过对h i d s 等安全防护软件的进程进行隐藏，对重要 的文件进行隐藏或限制访问，以及对系统调用函数进行监视，以阻止恶意软件对其进行 破坏，从而增强了h i d s 自身的安全性。最后，作者在传统隐蔽通道的基础上，提出了 一种基于数据包长度的网络隐蔽通道，使h i d s 与管理员之间的通信更为隐蔽，从而使 入侵者很难发现主机上运行的h i d s ，使h i d s 能够更好的发挥它应有的作用。 关键词：h i d s ；访问重定向技术；形式化方法；隐蔽通道；r o o t k i t a b s t r a c t t i t l e ：r e s e r a c ho nh i d sb a s e do ns y s t e m k e r n e l m a j o r ：c o m p u t e rs o f t w a r ea n dt h e o r y n a m e ：p e n gz h a n gs i g n a t u r e ： s u p e r v i s o r ：p r o f 。q u a n - z h uy a os i g n a t u r e ： a b s t r a c t b c c a u s et h ed a t as o u r c eo ft h eh o s t - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ( r o d s ) c o m e s f r o mt h ef e e d b a c ko ft h eo p e r a t i n gs y s t e m , i th a sg o o de 伍c i e n c yo fd e t e c t i o na n dg o o d c r e d i b i l i t yo ft l l ed a t as o u r c e b u tt h ep a s tm e t h o dt od e s i g nah 比 sw a st a k e nm o r ec a r e a b o u th o wt op r e v e n tt h ei n t r u d e rf r o mt h ei n t r u s i o n ( s o c a l l e d “b e f o r ei n t r u s i o n a c t i o n s ) i n s t e a do f h o wt ok e e pt h es e c u r i t yo f t h eh i d sw h e nt h ei n t r u d e rh a da l r e a d yg a i nt h ea c c e s s c o n t r o lo nt h i sh o s t ( s o - c a l l e d a r e ri n t r u s i o n ”a c t i o n s ) i f t h ei n t r u d e rh a da r e a d yb r o k e nt h e d e f e n s e so l lt h eh o s ta n dt e r m i n a t e dt h o s ep r o c e s s e so ft h ep r o t e c t i o ns o f t w a r e ，s u c ha sh i d s t h eh i d sc o u l dn o tp r o t e c tt h eh o s ta n y m o r e i no r d e rt os o l y et h i sp r o b l e m , t h ea u t h o r , a f t e r r e a d i n gal a r g en u m b e ro f d o c u m e n t s ，p r o p o s e das o c a l l e d h o t e lm o d e l a m o n gt h ee n t i t i e s t oa n a l y z et h et e c h n o l o g ya b o u tv i s i t i n gr e d i r e c t i o n a f t e rt h i s ，t h ea u t h o ra n a l y z e dt h e m a l w a r e ( s o c a l l e d r o o t k i t ”1b a s eo nt h e “h o t e l ”m o d e la n dr i s e st h et e c h n o l o g yo fv i s i t i n g r e d i r e c t i o nt oi m p r o v et h es e c u r i t yo fh ) s i nd e t a i l t h ea u t h o ru s et h et e c h n o l o g yo f v i s i t i n gr e d i r e c t i o nt oh i d et h ep r o c e s so fp r o t e c t i o ns o f t w a r e 。a d ds o m er e s t r i c t i o no nt h e i m p o r t a n tf i l eo ft h eh i d s ，a n dm o n i t o rt h es y s t e m c a l lf u n c t i o n st op r e v e n tt h em a l w a r e f r o md e s t r o y i n gi t f i n a l l y , t h ea u t h o rd e s i g nan e wc o v e r tc h a n n e lb a s e do nt h ep a c k e tl e n g t h t ot r a n s d e r tt h ei n f o r m a t i o nb e t w e e nt h eh o s ta n dt h ea d m i n i s t r a t o r i tm a d et h eh 1 i ) sm o r e s e c u r i t yd u et ot h o s ef u n c t i o n s k e yw o r d s ：h i d s ；v i s i t i n gr e d i r e c t i o n ；f o r m a lc h a r a c t e r i z a t i o n ；c o v e r tc h a n n e l ；r o o t k i t 独创性声明 秉承祖国优良道德传统和学校的严谨学风郑重申明：本人所呈交的学位论文是我个 人在导师指导下进行的研究工作及取得的成果。尽我所知，除特别加以标注和致谢的地 方外，论文中不包含其他人的研究成果。与我一同工作的同志对本文所论述的工作和成 果的任何贡献均已在论文中作了明确的说明并已致谢。 本论文及其相关资料若有不实之处，由本人承担一切相关责任 论文作者签名： 丞闺鹃汐律3 月7 日 学位论文使用授权声明 本人耄丛四鹃在导师的指导下匐作完成毕业论文。本人已通过论文的答辩，并 已经在西安理工大学申请博士硕士学位。本人作为学位论文著作权拥有者，同意授权 西安理工大学拥有学位论文的部分使用权，即：1 ) 已获学位的研究生按学校规定提交 印刷版和电子版学位论文，学校可以采用影印、缩印或其他复制手段保存研究生上交的 学位论文，可以将学位论文的全部或部分内容编人有关数据库进行检索；2 ) 为教学和 科研目的，学校可以将公开的学位论文或解密后的学位论文作为资料在图书馆、资料室 等场所或在校园网上供校内师生阅读、浏览。 本人学位论文全部或部分内容的公布( 包括刊登) 授权西安理工大学研究生部办 理。 ( 保密的学位论文在解密后，适用本授权说明) 论文作者签名：瑟胎 导师签名： 扣7 年；月( 7 日 1 前言 1 前言 1 1 研究背景 互联网的开放性为信息的共享和交互提供了极大的便利，但同时也对信息的安全性 提出了严峻的挑战。信息安全已逐渐发展成为信息系统的关键问题。自1 9 8 8 年m o r r i s 蠕虫事件以来，互联网安全威胁事件逐年上升，近几年增长态势尤为迅猛，2 0 0 4 年 c n c e r t 全年共收到国内外通过应急热线、网站、电子邮件等报告的网络安全事件6 4 6 8 6 件，上半年最多的月份是3 月，达7 千多件，下半年9 至1 1 三个月网络安全事件报告 均超过1 万件，这三个月的总数占全年总数的6 0 。与以往的报告数量相比，现今的网 络安全事件报告数量大大增加。 人们在享受互联网便利的同时，网络安全作为一个无法回避的问题呈现在人们面前。 传统上，防火墙是被采用的最多的安全防范措施。而随着攻击者知识的日趋成熟，攻击 工具与手法的日趋复杂多样，单纯的防火墙策略己经无法满足对安全高度敏感的部门的 需要，网络的防卫必须采用一种纵深的、多样的手段。与此同时，当今的网络环境也变 得越来越复杂，各式各样复杂的设备，需要不断升级、补漏的系统使得网络管理员的工 作不断加重，不经意的疏忽便有可能造成安全的重大隐患。入侵检测作为一种主动的信 息安全保障措施，有效地弥补了传统安全防护技术的缺陷。通过构建动态的安全循环， 入侵检测系统可以最大限度地提高系统的安全保障能力，减少安全威胁对系统造成的危 害。 入侵检测是监测计算机网络和系统以发现违反安全策略事件的过程。入侵检测系统 ( i n t r u s i o nd e t e c t i o ns y s t e m 或缩写为n 3 s ) t 作在计算机网络系统中的关键节点上，通过 实时地收集和分析计算机网络或系统中的信息，来检查是否出现违反安全策略的行为和 遭到袭击的迹象，进而达到防止攻击、预防攻击的目的。入侵检测系统的应用，可以在 系统发生危害前检测到入侵攻击，并利用报警与防护系统响应攻击，从而减少入侵攻击 所造成的损失。 在当今的高速网络环境下，入侵检测系统作为主动保护自己免受攻击的网络安全技 术，经常配置在防火墙之后，在不影响网络性能的情况下对网络和系统进行实时监测， 同时i d s 又“游离”于网络之外，避免攻击者的直接攻击，可以有效地减轻或防止上述 的网络威胁，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力( 包括安全审 计、监视、攻击识别和响应) ，提高了信息、安全基础结构的完整性。同时，人们越来 越多的认识到单一的安全技术是不能防范攻击的，只有将防火墙、入侵检测、防病毒、 认证和审计等各种技术结合起来，在统一的安全管理平台下协作，才能更好地保护网络。 其中，入侵检测正在发挥它不可替代的作用。随着，网络的高速发展，若干关键检测技 西安理工大学硕士学位论文 术已经成为入侵检测研究的新热点。 入侵检测的概念早在1 9 8 0 年，就由a n d e r s o n 提出。他将网络入侵定义为潜在的、 有预谋的、未经授权的访问信息、操作信息，致使系统不可靠或者无法使用的企图。同 时提出：审计追踪可以应用于监视入侵威胁。但是由于当时无法理解这一设想的重要性， 直到1 9 8 6 年才由d e n n i n g 和n e u m a n n 研究出一个实时入侵检测系统模型。1 9 8 8 年， i n t e r n e t 爆发了m o r n s 蠕虫病毒事件，这次事件导致了许多i d s 系统的开发研制。接下 来，入侵检测技术迎来了两个里程碑的发展：1 9 9 0 年h e b e r l e i n 等人提出了基于网络的 入侵检测，即通过局域网主动监视网络信息流量来追踪可疑行为。1 9 9 1 年n a d i r 和 d i d s 提出了审计和合并处理来自多个主机的审计信息，从而用以检测针对一系列主机 的协同攻击。 入侵检测技术发展到目前阶段产生了很多技术，但是这些技术也有许多共有的缺点 和局限。局限性包括：硬件网络局限、检测方法局限( 对攻击变体、缓慢扫描、规则库 以外的攻击很难检测出) 、i d s 本身可能被攻击，自适应性差、误报漏报、数据过载等缺 陷。 1 2 国内外的研究现状和进展 从d e n n i n g 和n e u m a n n 提出具有划时代意义的i d e s 系统至今，入侵检测系统 ( i n t r u s i o nd e t e c t i o i ls y s t e m ，i d s ) 已经经历了十多年的发展历程，它作为对防火墙的 非常有益的补充，能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安 全管理能力( 包括安全审计、监视、攻击识别和响应) ，提高了信息安全基础结构的完整 性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息以确定网络中是否 有违反安全策略的行为或遭到攻击的迹象。入侵检测系统被认为是防火墙之后的第二道 安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部 攻击和误操作的实时保护。入侵检测技术将在第二章进行详细的描述，在这里我们先简 要的介绍一下入侵检测技术的历史发展及研究现状。 对入侵检测的研究最早可追溯到2 0 世纪8 0 年代，但受到重视和快速发展还是在 i n t e m e t 兴起之后，按时间顺序，入侵检测技术的研究和发展历史概况如下： 1 9 8 0 年j a m e s a d e r s o n 首先提出了入侵检测的概念，他将入侵划分为外部闯入、内 部授权用户的越权使用和滥用三种类型，并提出用审计追踪来监视入侵威胁。 1 9 8 6 年，为检测用户对数据库的异常访问，在毋m 主机上用c o b o l 开发的d i s c o v e r y 系统称为最早的基于主机的d s 雏形之一。 1 9 8 7 年，d e n n i n g 提出了一个抽象且通用的经典入侵检测模型。首次将入侵检测的 概念作为一种计算机系统的安全防御措施提出。 1 9 8 8 年，t e r e s al u n t 等人改进了d e n n i n g 提出的入侵检测模型。并创建了 2 1 前言 i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) ，提出了与平台无关的实时检测思想。 同年，美国军方和政府为u n i s y s 大型主机开发了h a y s t a c k 系统，为m u l t i c s 主机开 发了m i d a s 1 9 8 9 年，l o sa l a m o s 美国国家实验室开发了w & s ( w i s d o ma n ds e n s e ) ，p l a n n i n g r e s e a r c h 公司开发了i d o a ( i n f o r m a t i o ns e c u r i t yo m c e r sa s s i s t a n t ) 。 1 9 9 0 年，h e b e r l e i n 等提出新概念：基于网络的入侵检测| n s m ( n e t w o r ks e c u r i t y m o n i t o r ) 。从此，入侵检测被分为两个基本类型：基于主机的和基于网络的 1 9 9 1 年n a d i r ( n e t w o r ka n o m a l yd e t e c t i o na n di n t r u s i o nr e p o r t ) 与d i d s ( d i s t r i b u t e i n t r u s i o nd e t e c t i o ns y s t e m ) 提出了收集和合并处理来自多个主机的审计信息的检测针对 一系列主机的协同攻击。 1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 建议使用自治代理( a u t o n o m o u s a g e n t s ) 来提 高i d s 的可伸缩性、效率和容错性。 1 9 9 5 年，i d e s 的完善版本n i d e s ( n e x t g e n e r a t i o ni n t r u s i o nd e t e c t i o ns y s t e m ) 实现 了检测主机上的入侵。 1 9 9 6 年，g r i d s ( g r a p h b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) 的设计和实现使得对大规模 协同攻击的检测更便利。同年，f o r r e s t 将免疫原理运用到分布式入侵检测的领域。此后， 在工i d s 中还出现了遗传算法、遗传编程的运用。 1 9 9 8 年，r o s s a n d e r s o n 和a b i d ak h a t t a k 将信息检索技术引进到了入侵检测领域。 同年，w l e e 提出和实现了在c i d f ( c o m m o ni n t r u s i o nd e t e c f i o n f r a m e w o r k ) 上实现多级 d s 。并在1 9 9 9 年探讨了运用数据挖掘技术对审计数据进行处理。 1 9 9 9 年，c h e t m g 、s t c v c n 等人再次提出t 入侵容忍( i n t r u s i o nt o l e r a n c e ) 的概念， 在i d s 中引入容错技术。 2 0 0 0 年g h o s h 利用神经网络来提取特征和分类。 从d e n n i n g 和n e u m a n n 提出具有划时代意义的i d e s 系统至今，入侵检测系统 ( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 已经经历了十多年的发展历程，目前国外著名的入 侵检测研究机构包括s t a n f o r dr e s e a r c hi n s t i t u t e 的c o m p u t e rs c i e n c el a b o r a t o r y ( s k i c s l ) ，p u r d u eu n i v e r s i t y 的c o a s t ( c o m p u t e ro p e r a t i o n sa u d i ta n ds e c u r i t y t e c h n o l o g y ) 研究小组，美国国家能源部的l a w r e n c e l i v e r m o r e n a t i o n a l l a b o r a t o r y ，u c d a v i s 的c o m p u t e rs e c u r i t yl a b 等。对于入侵检测的研究，从早期的审计跟踪数据分析， 到实时入侵检测系统，到目前应用于大型网络的分布式检测系统，基本上已发展成为具 有一定规模和相应理论的热点研究领域。 1 3 本文的主要研究内容及组织结构 基于主机的入侵检测( h d s ) 因其具备良好的检测效率和数据源的可信度，受到 西安理工大学硕士学位论文 广泛的青睐。但是由于h i d s 也是运行于主机上的应用软件之一，一旦主机被入侵者成 功入侵，那么入侵者势必要强行中止h i d s 等安全防护软件的进程，以方便他的入侵行 为，此时h i d s 就无法发挥它应有的作用。针对h i d s 自身也可能成为攻击的目标这一 问题，本文利用形式化的方法，建立了一个实体问较为常见的访问模型，分析了计算机 系统中恶意程序所使用的访问重定向技术，并将访问重定向技术应用到h i d s 中，从而 增强了h d s 的自身的隐蔽性和安全性。具体的功能有： ( 1 ) 进程监控：利用访问重定向技术，实现h i d s 等安全防护软件自身进程的隐藏， 从而确保它们的安全。 ( 2 ) 文件监控：使用文件过滤驱动，限制对重要的文件的访问，同时利用访问重定向 技术隐藏h i d s 自身的文件，达到保护这些文件的目的。 ( 3 ) 系统调用监控：对系统调用进行监视，阻止恶意软件使用同样的访问重定向技术 对系统进行的破坏。 论文的后续章节分别为： 第二章，入侵检测理论概述，本章主要介绍入侵检测的相关理念，h i d s 的优缺点 以及l i n u x 系统中基于主机的入侵检测系统l d s 第三章，访问重定向技术形式化分析，本章主要介绍访问重定向技术，以及利用形 式化方法提出的访问重定向模型。 第四章，访问重定向在h i d s 中的应用，本章主要介绍如何将访问重定向技术应用 到h d s 中，从而提高 玎d s 自身的安全性。 第五章，利用隐蔽通道进行通信，本章主要介绍如何利用隐蔽通道将主机的状态报 告给管理员，从而保持h m s 的隐蔽。 第六章，总结与展望，本章对论文进行了总结，并对未来的发展做了展望。 后续的内容分别是致谢、参考文献和在校学习期间发表的论文。 注：本论文中如无特殊说明，所有的w i n d o w s 指的都是w i n d o w s2 0 0 0p r o f e s s i o n a l 版。 4 2 八侵检测理论概述 2 入侵检测理论概述 2 1 入侵检测原理及结构 入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一 种网络安全技术( 见图2 - 1 ) 。其核心问题在于如何对安全审计数据进行分析，以检测其 中是否包含入侵或异常行为的迹象。入侵检测系统就是执行入侵检测工作的硬件或软件 产品。i n s 通过实时的分析，检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的 程序版本以及系统或用户的行为模式，监控与安全有关的活动“1 。 入侵检测基于的重要前提是：入侵行为和合法行为是可区分的，即可以通过提取行 为的模式特征来判断该行为的性质。一个基本的入侵检测系统需要解决两个阿题：一是 如何充分并可靠地提取描述行为特征的数据；二是如何根据特征数据，高效并准确地判 定行为的性质“。 图2 1 入侵检测原理 ( f i 9 2 - 1s t r u c t u r eo f i n t r u s i o nd e t e c t i o n ) 从功能结构上看，入侵检测系统大致分为三个模块：数据提取、入侵分析和响应处 理。数据提取模块在入侵检测系统中居于基础地位，提供用于系统监视的审计记录流， 是入侵检测系统的数据采集器。入侵分析模块是( 传感器) 入侵检测系统的核心模块，负 责监测数据并生成报警信息，包括对原始数据的同步、整理、组织、分类、特征提取以 及各种类型的细致分析，提取其中所包含的系统活动特征或模式，用于正常和异常行为 的判断。响应处理模块根据分析引擎的输出结果，产生适当的反应，包括主动响应和被 动响应。如图2 - 2 所示，数据提取、分析引擎和响应处理模块是相辅相成的。 西安理工大学硕士学位论文 2 2i d s 的分类 围2 - 2 入侵检测系统功能模块结构 ( f i 9 2 2r e l a t i o n s h i p sa m o n gi d sm o d u l e s ) 入侵检测系统首先需要解决的问题是数据源，按照数据源的不同通常可以把i d s 分 为四种类型：主机、网络、应用程序、目标。 基于主机的入侵检测( h o s t - b a s e di d s ，h i d s ) i 2 , 3 , 4 1 ：系统通常部署在权限被授予和跟 踪的主机上，监视器从操作系统的反馈里收集数据，作为入侵检测的依据。这神方案还包 括数据分析及相应的响应机制，作为整体的检测系统进行运作，具备良好的检测效率和 数据源的可信度。目前比较著名的有运行在l i n u x 平台上的l i d s 。 基于网络的入侵检测( n e t w o r k - b a s e di d s ，n i d s ) ：检测系统工作在混杂模式时， 网络适配器可以接收所有在网络中传输的数据包，并提交给操作系统或应用程序进行分 析。这种机制为进行网络数据流的监视和入侵检测提供了必要的数据来源。该系统目前 应用比较广泛，如i s s 公司的r e a l s e c u r e 等。 基于应用的入侵检测( a p p l i c a t i o n - b a s e d i d s ，a i d s ) ：监视器从运行的应用程序( 如 w e b 服务程序等) 中收集数据。数据源包括了应用事件日志和其它存储于应用程序内部 的数据信息。 基于目标的入侵检测( o b j e c t - b a s e di d s ，o i d s ) ：监视器通常使用消息摘要算法 ( h a s h ) 来检测系统对象( 如审计记录、日志文件) 的更改，并将这种更改与系统的安全 策略进行对照，以判断是否出现入侵或异常情况。t r i p w i r e 是基于目标的检测系统的典 型代表 2 1 。 2 3h i d s 简介 h i d s 通常可以看作是被测主机上运行的一个代理程序，该代理程序扮演着检测引 擎的角色。它根据主机上的行为特征库对被测主机上的可疑行为进行采集、分析和判断， 并把警报信息发送给控制端程序，由管理员集中管理。此外，代理程序需要定期给控制 端发出信号，以使管理员能确信代理程序工作正常。如果是个人主机入侵检测，代理程 序和控制端管理程序可以合并在一起，管理程序也简单得多【6 7 ，羽。 6 2 入侵检测理论概述 针对不同的应用范围，可将主机入侵检测系统分为如下几个级别： ( 1 ) 个人级：由于个人电脑的配置较低，专供个人使用的入侵检测产品在功能和性能 上做了极大的简化同时在易用性方面针对个人用户又有了加强，如图形界面的 使用，配置向导等功能。 ( 2 ) 企业级：企业级的入侵检测产品要求在性能、功能、易用性、成本等几方面找到 个平衡点。 ( 3 ) 政府级：政府网络虽然流量并不比企业网络流量大，但是政府网络的安全性显然 比其他特性更加受到重视。因此攻击识别能力和实时响应能力更为重要。 ( 4 ) 电信级：在电信企业的网络中，进出的数据流量是普通企业网络的几倍甚至几百 倍。实时检测如此大的数据流量，对产品的攻击识别能力、丢包率等性能指标提 出了极高的要求。 主机入侵检测系统主要依靠主机行为特征进行检测。检测系统可通过监测系统日志 和s n m p 陷阱来寻找某些模式，这些模式可能意味着一大堆安全上很重要的事件。检测 系统的特征库包括很多类操作系统上的事件。这些事件检查可疑的文件传输，遭到拒绝 的登录企图，物理信息( 如一块以太网卡被设为混杂模式) ，以及系统重启。特征库也可 包括来自许多应用程序和服务的安全信息，如s e c u r es h e l l 、s e n d m a i l 、q m a i l 、b i n d 和 a p a c h ew e b 服务器【b m j 。 基于主机的入侵检测系统的一个优势就是它可以根据结果来进行判断。判据之一就 是关键系统文件有没有在未经允许的情况下被修改，包括访问时间、文件大小和文件的 m d 5 校验值。主机入侵检测系统需要和现有的系统紧密集成，当然支持的平台越多越 好。目前的主流商业入侵检测系统通常支持或将支持大部分主流的企业级w i n d o w s 和 u n i x 系统。 在w i n d o w s n i i 2 0 0 0 中，系统有自带的安全工具，类似于早期版本( 如w i n d o w s 9 8 ) 中的策略编辑器。利用这个工具可以使安全策略的规划和实施变得更为容易。安全策略 问题包括账号策略、本地策略、公钥策略和邛安全策略。系统中违反安全策略的行为 都作为事件发送给系统安全日志。主机入侵检测可以根据安全日志分析判断入侵行为 1 9 , 1 0 1 。 在主机入侵检测系统中，不管在什么操作系统，普遍用到各种钩子技术对系统的各 种事件，活动进行截获分析。在w i n d o w s n t 2 0 0 0 中，由于系统中的各种a p i 子系统， 如w i n 3 2 子系统、p o s i x 子系统及其他系统最终都要调用相应的系统服务例程( s y s t e m s e r v i c e sr o u t i n e s ) ，所以可以对系统服务例程钩子化。入侵检测系统通过捕获操作文件 系统和注册表的函数来检测对文件系统和注册表的非法操作。在有些系统中，可以通过 拷贝钩子处理函数，不仅可以检测对敏感文件或目录的非法操作，还可以阻止对某些重 要文件或目录的操作 1 0 , 1 1 】。 拨号检测在主机入侵检测系统中也有其特殊的用途。在很多重要部门中都装有内部 7 西安理工大学硕士学位论文 网，出于对信息的高度安全要求，公司( 或部门) 不希望有员工私自安装m o d e m 拨号 入网。安装于内部网中的带有拨号检测的主机入侵检测系统可以检测到员工的这种违规 行为，及时阻止。在内部网中，阻止员工侵入其他员工的系统窃取机密信息也是需要的， 这通常需要主机入侵检测系统对不同主机中的敏感文件或目录进行检测。 2 4h i d s 的发展现状及优缺点 目前，基于网络的入侵检测系统的数量仍然多于基于主机的入侵检测系统。基于主 机的入侵检测系统通常带有基于网络的入侵检测系统组件，但反过来就少了。原因很简 单：基于网络的入侵检测系统不需要对现有的系统和应用程序做更改，因而没有兼容性 问题，而且一套系统能监测整个网段，部署容易。基于主机的入侵检测系统可以弥补基 于网络入侵检测系统的不足，同时，自身的局限性又以网络入侵检测系统的优势弥补。 两者结合，能够互相取长补短，更好地进行检测。 2 4 1h i d s 的优点 ( 1 ) 性价比高：在主机数量较少的情况下，这种方法的性价比会更高。 ( 2 ) 更加细致：这种方法可以很容易地监测一些活动，如对敏感文件、目录、程序或 端口的存取，而这些活动很难在基于协议的线索中被发现。 ( 3 ) 视野集中：一旦入侵者得到了一个主机的用户名和口令，基于主机的代理是最有可 能区分正常的活动和非法活动的。 ( 4 ) 易于用户剪裁：每一个主机有其自己的代理，用户剪裁更方便。 ( 5 ) 较少的主机：基于主机的方法不需要增加专门的硬件平台。 ( 6 ) 对网络流量不敏感：用代理的方式一般不会因为网络流量的增加而丢失对网络行 为的监视。 2 4 2h i d s 的局限性 ( 1 ) 操作系统局限：不像n i d s ，厂家可以自己定制一个足够安全的操作系统来保证 n i d s 自身的安全，h i d s 的安全性受其所在主机操作系统的安全性限制。 ( 2 ) 系统日志限制：h i d s 会通过监测系统日志来发现可疑的行为，但有些程序的系统 日志并不详细，或者没有日志。有些入侵行为本身不会被具有系统日志的程序纪 录下来 8 】。 ( 3 ) 被修改过的系统核心能够骗过文件检查：如果入侵者修改系统核心，则可以骗过 基于文件一致性检查的工具 2 a 2 。 2 入侵检测理论概述 2 5l i n u x 下的基于主机的入侵检测系统l i d s 2 5 1l i n u x 系统中的弱点 ( 1 ) r o o t 用户可能滥用职权。由于r o o t 用户的权限最大，而且不受任何限制，所以r o o t 用户可以给系统带来很大的影响，这也是黑客最想得到r o o t 用户密码的原因。 ( 2 ) 许多系统文件很容易被更改。这些文件可能是很重要的文件，如b i r d l o g i n ，如果 一个黑客进入，他可以上传一个l o g i n 程序来覆盖b i n l o g i n ，这样他就可以不用登 陆名和密码来登陆系统。但是这些文件不需要经常改动，除非你要升级系统。 ( 3 ) 模块m o d u l e s 很容易用来中断内核。模块是为了让l i n u x 内核更模块化和更高效而 设计的。但是当模块加入到内核，它就会成为内核的一部分并且能做原始内核能 做的工作。因此，一些不友好的代码可以写成模块来加入到内核里 1 4 , 1 5 , 1 6 】，这些代 码就会重定向系统调用并且作为一个病毒来运行。 ( 4 ) 进程是不受保护的，一些进程，如后台的w e b 服务器，一直都认为是没有严格保 护的程序。因此，他们就会很容易被黑客攻击。 2 5 2l i d s 提供的功能 ( 1 ) 保护重要的进程。如果我们从黑客的角度来看，当他尝试用各种方法入侵系统并 取锝成功后，他会查看当前系统上运行的进程，看看有没有一些安全防护软件的 进程在监视它。如果有，他必然要强行终结它们，以便自己的入侵“工作”能够 更顺利。如果我们把系统上的安全防护软件的进程隐藏起来，那么黑客的行为就 会在他自己毫无查觉的情况下被这些软件记录下来。而这些记录将是未来追查并 起诉这位不速之客的有力证据。所以l i d s 采用隐藏进程的方式来保护进程。除了 隐藏进程，l d s 还对一些关键进程进行了严格保护。这些进程是无法强行终结的， 包括r o o t 用户。l i d s 能够保护父进程是i n i t ( p i d = 1 ) 的所有进程 1 7 , 1 8 】。 ( 2 ) 保护重要文件。因为文件很容易被r o o t 更改，所以l i d s 对文件操作采取了严格 的限制。它是通过改变文件系统在内核里的安全系统调用来实现这一效果的。如 果某个用户在某一时问想要访问一个文件，那么他势必要通过系统调用来完成这 一日的。l i d s 通过监视并截获系统调用请求，就可以在这个用户访问某个文件前， 先对该文件进行检查，以确定这个用户是否有权访问这个文件。如果这个文件已 经被保护，l i d s 就拒绝这个用户的访问要求。 ( 3 ) 封装内核。l i n u x 的内核模块化为系统提供了极大的扩展能力，而这也给它带来了 不小的安全问题。如果病毒通过向系统内核插入模块而成为系统内核的一部分， 那么这个病毒将具备巨大的破坏力。为了加固内核，就需要将内核封装起来。l i d s 9 西安理工大学硕士学位论文 只允许在系统启动的时候插入模块，然后它对内核进行封装。在封装后，内核不 允许任何人插入模块到内核里。通过这种方法，l i d s 既为系统提供了一定的内核 扩展能力，又保证了系统的安全。有了安全的内核，l i d s 就能用它来保护重要的 文件、进程，比如说可以在系统启动的时候只允许运行必要的进程，或只改变必 要的文件等。 ( 4 ) 保护设备：l i n u x 的设备会在d e v h 录下以文件的形式列出【1 9 3 ，l i d s 通过保护文 件的方式对设备进行保护。 2 5 3l i d s 的入侵响应 当l i d s 检测到一些程序违反了管理员所设定的规则时，它会对此做出响应。主要 有以下几种方式： ( 1 ) 控制台挂起。这个功能是用安全日志来挂起那些违反l i d s 定义的安全规则的入的 控制台。他们要继续必须重新登陆系统。但是他们所做的一切都已经被系统日志 记录下来或是用e m a i l 的方法发送给了管理员。 ( 2 ) 用e - m a i l 或是传呼来报告管理员。通过这个功能，我们可以很容易的知道系统什 么地方出错，并可以及时的响应入侵。 t 0 3 访问重定向技术形式化分析 3 访问重定向技术形式化分析 从前面的章节对l i d s 的简介中可以看出，l i d s 为l i n u x 系统提供了非常强大的保 护功能，而这些功能主要是通过监视并截获系统调用实现的。而监视、截获系统调用的 实质实际上是对访问的一种重定向，在现实生活中，有很多的实体( 如人、计算机程序 等) 之间都存在着访问重定向，利用访问重定向可以实现实体问信息的转移、过滤等操 作。本文作者利用形式化的方法，建立了一个实体问较为常见的访问模型，简称为旅馆 模型，并根据此模型分析了实体问访问重定向的条件。最后，利用旅馆模型分析了计算 机系统中的r o o t l d t 恶意程序【1 1 , 2 0 l 所使用的访问重定向方法。 3 1 建立实体问正常访问的模型( 旅馆模型) 3 1 1 模型的符号定义( 其中n e n ) a ) b ) c ) d 、 曲 ：o 曲 m i ) j ) 旅馆h o t e l ：旅馆里包括一个总台& 若干客人g 和房间， 旅馆中的客人集合g ：g = g 。，g ：，g 。) 旅馆中的房间集合r ：r = 嘏，r 2 ，其中就是第i 号房间的房间号 房间门上的便签集合胁m = 研，m ：，删。) ，其中m ，是房间门上的便签。在初 始的情况下，房间门上是没有便签的。便签的内容是另一个房间的房间号，即 m ，= 五( 便签的内容还可以是其它内容，但本文只讨论此种情况) 房间号与客人的对应表g 2 r ：g 2 r = 堙，斗咋) ，l i n 查询g 2 r 表的操作：a ( g i ) ，执行的结果是得到与g j 对应的房问号 修改g 2 r 表的操作：p ( g 。_ ，g ，专r ，) ，执行的结果是把g 2 r 表中的某一个对 应关系g 专修改成了岛斗珞 为房间添加便签的操作；，( ，) ，执行的结果是给房间添加了便签m ， 读取房间上便签的操作：口( ) ，若m ；= r j ，则8 ( ) = r j 客人的合法操作集合：o p ( g ，) ，如果客人g ，可以在合法的条件下，进行某个操作 五，则称五是客j k g i 的合法操作，记作o p ( g ，) i - 名，否则记作o p ( g 川五 3 1 2 模型的约束条件( 数据不变式) a ) 在正常的情况下，由旅馆来确定哪些客人可以入住。也就是说，由旅馆来确定集 合g 中的元素。 b ) 每个客人只有一个房间，每个房间里只有一个客人 西安理工大学硕士学位论文 c ) d 1 c ) d 曲 m i ) 每个房间只有一个房间号，房问号不能更换 只有总台s 拥有客人与房间号的对应表g 2 r 每个客人都可以通过总台s 来查询g 2 r 表 旅馆中的每个客人都是互不相同的，而且互不相识，旅馆的房间号没有重复 在正常的情况下，只有总台s 才有权利修改g 2 r 表，客人不能修改 总台s 负责客人房间的分配，未经总台s 允许客人不得换房 每个房间的门上都可以添加一个便签，但只能添加一个 j )在正常的情况下，只有总台s 才有权利在旅馆任意的房门上添加便签，客人只能 在自己的房门上添加便签，不可以在别人的房门上添加便签 k ) 旅馆中的访客规则为：首先向总台查询客人的房问号，按照房间号找到指定的房 间，如果房间门上没有便签，便可以与此房间中的客人进行会晤。如果有便签， 则移动到便签上指示的房间。 3 1 3 模型的事件 a ) 基于g 2 r 表的客人移动事件：t = 。该事件表示：客人g ，在t 时刻 通过总台查询客人g ，的房间号，并根据查询的结果移动到相应的房间， r j = o t ( g ，) b ) 基于便签的客人移动事件：t = 。该事件表示：客人g ；在t 时刻根据 当前所在房间0 上的便签埘，沏，= ) 移动到房间，如果r ，上没有便签，则留在r ， c ) 基于g 2 r 表的修改事件：t = 。该事件表示：客人g i 在 t 时刻对g 2 r 表中的某个对应关系进行了修改。 d ) 为指定房间贴便签事件：t = 。该事件表示：客人g ，在t 时刻在房 间上添加了便签m ， e ) 客人的会晤事件：t = 。该事件表示：客人g ，在t 时刻将信息i 传递 给当前所在房间r j 中的客人g ，操作的结果简记为g ；与g ，。 3 2 分析模型 在建立了模型之后，就可以分析访问重定向的问题了。首先分析一下程序间正常的 访问过程。假设旅馆中有任意三位客人g “分别住在房间r i , 0 ，唯中，其中客人岛想 要访问客人g 并将信息i 传递给他，那么正常的访问过程如下： 1 2 3 访问重定向技术形式化分析 3 2 1 正常的访问过程 a ) 五= a o p ( g f ) 降a ( g ) b ) 瓦= o p ( g f ) f ：口( 0 ) c ) 五- - j g l j g ，其中f l f 2 岛 3 2 2 重定向的访问过程 如果客人既使用了某种方法。使得蜀l g 的结果变成了g l l