主机安全技术研究.pdf

主机安全技术研究 张田力马军 浪潮象团信息安全事业部北京1 0 0 1 4 2 摘要l 主机网络安全是计算机安全领域新兴的技术 它综合考虑网络特性和操作系统特性 对网络环境下的主机进行更 为完善的保护 本文提出了主机网络安全体系结构 并对其中的关键技术作了探讨 最后对主机网络安全的访问控制给 出了实现方案 关键词l 主机安全 网络安全 访问控制 系统调用 A b s t r a c t H o s b n e t w o r ks e c u n t yi sar i s i n gm a r g i n a lt e c h n o l o g yi nt h ef i e l do fc o m p u t e rs e c u n t y I tp r o v i d e sm o r es e c u r ep r o t e c t i o nf o rh o s t s i nn e t w o r ke n v i r o n m e n to nt h eb a s i so fc o n s i d e r a t i o no ft h en e t w o r ka t t r i b u t e sa n dO Sa t t r i b u t e st o g e t h e nI nt h i sp a p e r a r c h i t e c t u r eo fh o s t n e t w o r ks e c u n t yi sp r e s e n t e d a n dt h e ns o m ek e yt e c h n o l o g i e so fh o s b n e t w o r ks e c u d 婶i sd i s c u s s e d F i n a l l y t h es o l u t i o no fa c c e s sc o n t r o li n h o s t n e t w o r ks e c u n t yi sg i v e n K a yw o r d s H o s tS e c u n t y N e t w o r kS e c u n t y A c c e s sC o n t r o l S y s t e mc a l l 1 前言 计算机网络的发展使计算机应用更加广泛和深入 但 随之也使安全问题日益突出和复杂 据C N C E R T C C 统 计 2 0 0 7 年我国大陆被植入木马的数量是2 0 0 6 年的2 2 倍 主机安全已经成为我国信息安全领域最为严峻的挑战 通常情况下 人们从两个方面考虑计算机安全问题 主机安全和网络安全 但是 由于两者考虑问题的立脚点 不同 它们各自采用的技术手段难以有机地结合起来 因 此对于一些更底层的安全处理才能解决的问题 就不能得 到有效的解决 l 例如 用户需要管理员权限来进行 正常的操作和维护 但黑客通过技术手段获得管理员权限 后 就可以任意进行所有恶意操作 就是一个典型的例子 我们提出的主机网络安全技术就是要解决类似的安全 问题 它是一种实现纵深防护的主机主动防御型网络安全 技术 它结合网络访问的网络特性和操作系统特性来设置 安全策略 可以根据主机系统访问的主客体 实现对于操作 人员的最小授权 从而保证合法用户的权限不被非法侵占 2 主机网络安全体系结构 2 主机网络安全是以被保护主机为中心构建的安全 体系 它考虑的元素有I P 地址 端口号 协议 甚至M A C 地址等网络特性和用户 资源权限以及访问时间等操作系 5 6 2 0 1 0 0 8 W W W i n f o s t i n g o r g 统特性 并通过对这些特性的综合考虑 来达到用户网络 访问的细粒度控制 另外 考虑到网络传输过程中的安全 性 主机网络安全系统还包括与用户和相邻服务器之间的 安全传输 以及为防止身份欺骗的认证服务 3 主机网络安全关键技术 主机网络安全体系涉及到诸多技术 这里对它们作一 简单介绍 3 1 入侵检测 入侵检测是主机网络安全的一个重要组成部分 它可以实现复杂的信息系统安全管理 从目标信息系统和 网络资源中采集信息 分析来自网络外都和内部的入侵信 号 实时地对攻击做出反应 入侵检测系统通常分为基于主机和基于网络两类 基于主机入侵检测的主要特征是使用主机传感器监控本 系统的信息 这种技术可以用于分布式 加密 交换的环境 中监控 把特定的问题同特定的用户联系起来 但加大了 系统的负担 基于网络的入侵检测主要特征是网络监控传 感器监控包监听器收集的信息 它不能审查加密数据流的 内容 对高速网络不是特别有效 在主机网络安全体系结构中 采用基于主机的入侵 检测技术实现对主机的保护 它能够实时监视可疑的连 万方数据 接 检查系统日志 监视非法访问和典型应用 它还可针对 不同操作系统的特点判断应用层的入侵事件 对系统属 性 文件属性 敏感数据 攻击进程结果进行监控 它能够 精确地判断入侵事件 并对入侵事件迅速做出反应 结合 主机上的包过滤功能模块切断来自可疑地址的网络连接 3 2 访问控制 3 系统调用是应用程序和操作系统内核之间的功能 接口 其主要目的是使得用户可以使用操作系统提供的有 关设备管理 输入 输出系统 文件系统和进程控制 通信 以及存储管理等方面的功能 而不必了解系统程序的内部 结构和有关硬件细节 从而起到减轻用户负担和保护系统 以及提高资源利用率的作用 通过截获和控制系统调用实现系统访问控制的原理 为 无论对主机的攻击采用何种手段 最终造成的伤害都 是通过某些系统调用来完成的 因此 如果能截获每个进 程的系统调用 并进行控制 不执行该系统调用 改变调用 参数等 就可以预先避免攻击的发生 为了保证有效的截获和控制系统调用 减少实现的复杂 性 有必要在用户空间利用合适的接口来实现 f 4 操作系 统能提供了相应的接口来实时跟踪运行的进程 与S V R 4 相容的U N I X 操作系统通过 p r o c 接口给我们提供 了方便和功能强大的系统调用截取和控制方法 p r o c 目录下存放的是系统中所有活动进程的有关信息映像 通 过它 可以访问进程的所有内存空间信息 进行对系统调用 的细粒度的访问控制 并可以随时终止不符合安全规则的 进程 使用这种方法 被检测的进程在使用指定的系统调用 之前或之后都可以被中断 从而实现系统访问控制和安全 检测的功能 捕获和控制系统调用的过程如图所示 被益槐进稷P l莱线内核盆视进程P 2 幕缓嘲用 矿 i 6 E 八点 奴 系绩闷用 翦她壤 蒸绫溺翔 敏行系缓 i 怼用 一 蒸姣调用 弋 系镜闷用 厨皇 理 邀嗣点 捕亩嘶控制系统调用过程 用户进程P l 要使用某系统调用 该系统调用指向C 语言函数库l i b c a 中的一个入口点 内核空间的进程进 入部分唤醒监视进程P 2 这时它可以监视 分析和修改 P 1 地址空间的内容 在P 2 进行安全处理后 内核又开始 控制正常的系统调用功能 在系统调用完成后 监视进程 P 2 可以检测并修改系统调用的返回值 为了防止监视进 程对系统造成破坏 这里P 2 的r u i d 应与P l 的一致 而不 是使用r o o t 并不是在执行所有的系统调用时都要严格按照上述过 程进行 系统调用可以根据安全要求分为三类 总被允许的系统调用 包括c l o s e e x i t f o r k 等 操作系统对这类系统调用提供的保护已能够满足通常的 需求 因此不需要监视进程对它们进行特殊处理 避免了 P l 和P 2 间上下文切换的开销 总被拒绝的系统调用 包括s e t u i d m o u n t 等 无特权的进程在执行这类系统调用时总是失败 P 2 只需 设置P l 的P R S A B o R T 标识位并将其唤醒 这使得立 即放弃执行系统调用 其返回值指示系统调用失败 并设 e r r r l o 为E I N T R 需要根据调用参数才能决定是否允许执行的系统调 用 包括唧 r e F l a l T l e s t a t k i l l 等 如果系统调用前 处理的结果为允许执行该调用 则执行依照上面所述的过程 其中系统调用后处理部分根据具体情况也可省略 W i n d o w s 安全访问控制技术是在W i n d o w s 内核执行 体中放置一组安全 钩子 H o o k s 函数来控制对内核对 象的访问 这些对象包括任务 i n o d e 结点和文件等 并为 操作系统的关键客体 包括文件及目录 注册表 进程和服务 等指定敏感标记 这样用户进程执行系统调用时 首先采用 线程钩子和系统钩子等函数拦截和监控用户线程对系统核 心资源的访问 进行强制访问控制检查 确定是否允许或禁 止其访问 只有高级别敏感标记的主体才能对相应级别的 文件及目录 注册表 进程和服务等客体进行访问 用户程序或服务进程通过子系统D L L 发起调用 子系统D L L 将已文档化的函数转化为恰当的内部 w i n d o w s 系统服务调用 维护一个类似的结构 内核创 建相应的系统线程 系统线程通过正常的系统调用或通 过陷阱分发机制中断或异常把相关参数传到系统服务分 信息安全与技术 2 0 1 0 0 8 5 7 万方数据 发器 系统服务分发器利用传递进来的参数 找到系统服 务分发表中的系统服务信息 系统服务分发表中的每个表 项都包含了一个指向某个系统服务的指针 系统服务函数 地址被保存在内核中的系统服务分发表中 钩子驱动程序 首先将数据组中某个函数的地址保存起来 并且用它自己 的钩子函数来替换该表项 就可以钩住对应的系统服务 当被钩住的系统服务被调用的时候 就会转向钩子驱动程 序的钩子函数 钩子函数将此系统服务调用相关信息传给 策略模块 策略模块根据安全机制将该系统服务调用相关 信息遍历策略数据库与相应安全策略相比对 符合安全要 求的调用内核模式对应接口执行该系统服务调用 不符合 安全要求转入G U I 显示给管理员 因为所有的w i n d o w s 线程都会调用系统服务分发器进行系统服务分发 所以用 户对内核层的所有操作都会被钩子系统监控 3 3 加密传输 加密就是为了安全目的对信息进行编码和解码 数据 加密的基本过程就是将可读信息 明文 译成密文 或密码 的代码形式 加密的逆过程即为解密 加密传输技术是 一种十分有效的网络安全技术 它能够防止重要信息在 网络上被拦截和窃取 I P s e c I P 安全体系结构 技术在I P 层实现加密和认 证 实现了数据传输的完整性和机密性 可为I P 及其上层 5 8 2 0 1 0 0 8 W W W i n f o s t i n g o r g 协议 T C P 和U D P 等 提供安全保护 3 4 身份认证 认证 A u t h e n t i c a t i o n 是确定某 人或某事是否名副其实或有效的过程 认证的基本思想是通过验证称谓者的一 个或多个参数的真实性与有效性 以达 到认证的目的 认证的主要目的为信源 识别与信息完整性验证 安全可行的认 证系统建立在密码学的基础上 用户身 份认证可以识别合法用户和非法用户 从而阻止非法用户访问系统 用户身份 认证是保护主机系统的一道重要防线 它的失败可能导致整个系统的失败 4 结束语 随着网络攻击手段不断多样化 简单 的采用在主机外围的安全防护手段已不能满足我们的需 求 主机网络安全作为信息安全中的核心课题 结合了主 机的网络特性和操作系统特性 对主机进行更为完善的保 护 随着网络技术的发展 主机网络安全技术在计算机安 全领域将占有越来越重要的地位 参考文献 1 蒋东兴 徐时新 李志 主机网络安全初探 小型微型计 算机系统 2 0 0 0 年 第2 1 卷 第7 期 2 0 0 0 7 p 7 6 4 7 6 6 2 I a nG o l d b e r g D a v i dW a g n e r As e c u r e e n v i r o n m e n tf o ru n t r u s t e dh e l p e ra p p l i c a t i o n s c o n f i n i n gt h ew i l yh a c k e r 1 9 9 6U S E N I XS e c u r i t y S y m p o s i u m 3 张亮 蒋东兴 徐时新 主机网络安全及其关键技术研 究 计算机工程与应用 清华大学出版社 2 0 0 1 年第3 7 期 4 S U NS o a r t s7 流程序设计指南 北京希望电子出版 社 2 0 0 0 作者简介 张国力 1 9 7 5 男 硕士研究生 浪潮集团信息安全事业部 副总经理 研究方向信息网络安全 信息系统安全合规管理 等级 保护 马军 1 一 男 浪潮集团信息安全事业部售前部副经理 万方数据 主机安全技术研究主机安全技术研究 作者 张国力 马军 作者单位 浪潮集团信息安全事业部 北京 100142 刊名 信息安全与技术 英文刊名 INFORMATION SECURI