CN101819548A - 一种利用强制访问控制检测Linux系统故障的技术 - Google Patents
一种利用强制访问控制检测Linux系统故障的技术 Download PDFInfo
- Publication number
- CN101819548A CN101819548A CN 201010133129 CN201010133129A CN101819548A CN 101819548 A CN101819548 A CN 101819548A CN 201010133129 CN201010133129 CN 201010133129 CN 201010133129 A CN201010133129 A CN 201010133129A CN 101819548 A CN101819548 A CN 101819548A
- Authority
- CN
- China
- Prior art keywords
- access control
- technology
- traversal
- access
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005516 engineering process Methods 0.000 title claims abstract description 15
- 238000000034 method Methods 0.000 claims description 23
- 230000008569 process Effects 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 5
- 238000012217 deletion Methods 0.000 claims description 4
- 230000037430 deletion Effects 0.000 claims description 4
- 239000012792 core layer Substances 0.000 claims description 3
- 241000700605 Viruses Species 0.000 abstract description 3
- 230000002155 anti-virotic effect Effects 0.000 abstract description 2
- 230000008901 benefit Effects 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 5
- 239000010410 layer Substances 0.000 description 5
- 238000012550 audit Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000026676 system process Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种利用强制访问控制检测Linux系统故障的技术,该技术是通过强制访问控制快速处理Linux操作系统故障并快速定位故障点。利用强制访问控制检测系统故障的技术与传统的安全防护检测产品IDS,杀毒软件等相比,具有快速检测并定位针对Linux系统的攻击造成的故障,包括已知或未知的病毒程序,ROOTKIT级后门木马等。
Description
技术领域
本发明涉及Linux系统内核加固技术领域,具体地说是一种利用强制访问控制检测Linux系统故障的技术
背景技术
Linux的应用越来越广,其开放性源代码特点受到了广泛的欢迎。但是,它的安全问题一直得不到第三方的验证和评估。这个问题在个人用户使用时,并不明显,但是在政府部门、金融部门等准备大规模应用这种操作系统的时候,却成为最大的阻碍。
它的安全问题主要有:
(1)超级用户特权
超级管理员权限太大,他拥有其他用户所没有的特权,一旦获得超级管理员权限,就获得对计算机系统的完全控制。
(2)帐号管理简单
对入侵者而言,进入系统最直接的途径是获取用户帐号。目前用户帐号的口令获取方式和破译工具已使Linux的用户口令成为虚设。
(3)文件访问控制简单
用户进入系统便获得使用系统文件的权利,文件的访问仅依靠设置文件访问权限方式来控制,系统没有强制的安全访问控制机制,给攻击者开了方便之门。
(4)审计保护功能较弱
虽然LINUX提供审计功能,但对审计数据的访问几乎不做任何限制,可以自由查询并允许修改,尤其缺乏对审计数据的完整性保护。
(5)网络应用的不安全
网络应用软件中的废代码太多。这些没有价值的代码本身就是一个重大的安全问题。
综上所述,网络管理员担心“黑客”的攻击、用户害怕数据的丢失、政府机关关心国家机密是否安全等一系列问题致使构建安全的网络操作系统刻不容缓。正是由于以上常见安全问题,所以发展一种能够快速处理操作系统故障、恢复系统业务并迅速定位故障点的技术迫在眉睫。本技术与传统的安全技术相结合,能够快速检测并处理操作系统故障,必将成为未来系统安全技术发展的一个趋势。
发明内容
本发明的目的是提供一种利用强制访问控制检测Linux系统故障的技术。尤其是在用户层和系统层之间的通信,具体地说是一种基于ROST(ReinforcementOperating System Technique)的方法,核心就是在Linux系统的核心层重构操作系统的权限访问模型来实现真正的强制访问控制来处理服务器故障,快速定位故障点以及产生原因。
本发明的目的是按以下方式实现的,在操作系统的核心层重构操作系统的权限访问模型来实现强制访问控制,并利用强制访问控制技术进行系统故障的快速检测和处理;步骤如下:
文件系统过滤驱动程序在初始化时,逐条插入访问规则,并允许在运行期间动态添加或删除指定结点,以便截获来自所有用户或者进程对文件或目录的I/O请求,当截获到文件或目录的I/O请求时遍历规则链表,并根据访问规则进行过滤,符合规则者立即转交原服务函数,否则丢弃;
进程保护过滤驱动程序在初始化时,逐条插入访问规则,并允许在运行期间动态添加或删除指定结点,以便截获所有对进程的遍历请求,当截获到进程遍历请求时,根据规则链表修改进程列表,并将修改后的列表转交原服务函数;
网络资源的保护驱动程序在初始化时,逐条插入所有用户绑定端口以及远程连接网络资源的访问规则,并允许在运行期间动态允许或拒绝指定的网络连接,以便截获到所有遍历请求,当截获到连接网络资源遍历请求时,根据网络资源访问控制列表进行过滤,将符合规则者转交原服务函数。
本发明的优异效果是:通过强制访问控制快速处理Linux操作系统故障并快速定位故障点。利用强制访问控制检测系统故障的技术与传统的安全防护检测产品IDS,杀毒软件等相比,具有快速检测并定位针对Linux系统的攻击造成的故障,包括已知或未知的病毒程序,ROOTKIT级后门木马等。
附图说明
附图1是阻止访问控制界面直接访问内核,增加访问监控器通过安全内核访问来处理检测故障的流程图。
具体实施方式
本发明的目的是提供一种Linux操作系统的故障检测技术。
所有病毒或者木马等破坏行为要发作,必定有以下步骤:
(1)写入内存、系统,替换系统关键文件。
(2)修改系统配置文件。
(3)创建进程,把自身添加到系统启动项或者服务中。
其他系统故障原因主要有以下几项:
(1)缺少某些关键文件或被误删除,比如开机引导文件。
(2)配置文件被恶意更改,比如服务器的网络参数等等。
(3)加载恶意驱动。
(4)操作系统关键文件被修改或者替换。
本发明的Linux服务器故障检测方法是通过控制文件、目录、进程、网络访问等系统基本资源,快速检测操作系统故障并解决病毒木马等等的困扰。通过强制访问控制保护操作系统资源,直接了解系统被破坏的程度及原因,以便快速修复故障。
实施方式
在驱动层(0层)加上安全内核模块,拦截所有的内核访问路径并记录,从而达到处理Linux服务器故障技术的要求。达到的安全效果和重构操作系统代码技术差不多,好处是不会影响客户的业务连续性,甚至不需要客户重启系统。不仅对上层的所有应用都支持,而且对下层所有系统和机器都支持,能在操作系统粒度上保证上层应用的安全。
主要由以下几个模块构成:
一、强制访问控制MAC
强制访问控制MAC分为两大块:一块是基于用户对文件的访问控制,另一块是基于进程对文件的访问控制。进程在运行的时候就绑定了用户主体,所以进程本身也是一个主体。当一个客体受到安全标记的保护的时候,即使root用户也无法访问该客体,除非拥有MAC的权限。
二、防重要系统进程的异常终止
为了防止黑客终止一些重要的系统进程,提供了一套机制可以使一些重要的进程不被任何人异常终止,从而保证了服务的正常运行。
三、用户网络强制访问控制
把网络资源分为两类,一类是自主的绑定socket端口,另一类是远程连接网络资源。默认情况下是禁止任何主体(用户)使用这两类网络资源的,也就是不允许所有用户绑定端口以及远程连接网络资源,这样可以防止非法取得控制权限的黑客制造系统的隐蔽信道以及窃取网络资源,并且可防止用户利用网络泄露重要的机密文件等等。
Claims (1)
1.一种利用强制访问控制检测Linux系统故障的技术,其特征在于,在操作系统的核心层重构操作系统的权限访问模型来实现强制访问控制,并利用强制访问控制技术进行系统故障的快速检测和处理;步骤如下:
文件系统过滤驱动程序在初始化时,逐条插入访问规则,并允许在运行期间动态添加或删除指定结点,以便截获来自所有用户或者进程对文件或目录的I/O请求,当截获到文件或目录的I/O请求时遍历规则链表,并根据访问规则进行过滤,符合规则者立即转交原服务函数,否则丢弃;
进程保护过滤驱动程序在初始化时,逐条插入访问规则,并允许在运行期间动态添加或删除指定结点,以便截获所有对进程的遍历请求,当截获到进程遍历请求时,根据规则链表修改进程列表,并将修改后的列表转交原服务函数;
网络资源的保护驱动程序在初始化时,逐条插入所有用户绑定端口以及远程连接网络资源的访问规则,并允许在运行期间动态允许或拒绝指定的网络连接,以便截获到所有遍历请求,当截获到连接网络资源遍历请求时,根据网络资源访问控制列表进行过滤,将符合规则者转交原服务函数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010133129 CN101819548A (zh) | 2010-03-26 | 2010-03-26 | 一种利用强制访问控制检测Linux系统故障的技术 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010133129 CN101819548A (zh) | 2010-03-26 | 2010-03-26 | 一种利用强制访问控制检测Linux系统故障的技术 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101819548A true CN101819548A (zh) | 2010-09-01 |
Family
ID=42654661
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010133129 Pending CN101819548A (zh) | 2010-03-26 | 2010-03-26 | 一种利用强制访问控制检测Linux系统故障的技术 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101819548A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457541A (zh) * | 2010-10-25 | 2012-05-16 | 鸿富锦精密工业(深圳)有限公司 | 无盘工作站启动过程中避免发生资源竞争的系统及方法 |
| CN105718790A (zh) * | 2016-01-26 | 2016-06-29 | 浪潮电子信息产业股份有限公司 | 一种unix系统下基于用户的程序执行控制方法 |
| CN105718789A (zh) * | 2016-01-25 | 2016-06-29 | 浪潮电子信息产业股份有限公司 | 一种aix系统下基于用户的程序执行控制的方法 |
| CN105740696A (zh) * | 2016-01-26 | 2016-07-06 | 浪潮电子信息产业股份有限公司 | 一种Solaris系统下基于用户的程序执行控制方法 |
| CN105740702A (zh) * | 2016-01-25 | 2016-07-06 | 浪潮电子信息产业股份有限公司 | 一种linux系统下基于用户的程序执行控制的方法 |
| CN106228078A (zh) * | 2016-07-29 | 2016-12-14 | 浪潮电子信息产业股份有限公司 | 一种Linux下基于增强型ROST的安全运行方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101788944A (zh) * | 2010-01-25 | 2010-07-28 | 浪潮电子信息产业股份有限公司 | 一种利用强制访问控制检测aix系统故障的方法 |
-
2010
- 2010-03-26 CN CN 201010133129 patent/CN101819548A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101788944A (zh) * | 2010-01-25 | 2010-07-28 | 浪潮电子信息产业股份有限公司 | 一种利用强制访问控制检测aix系统故障的方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457541A (zh) * | 2010-10-25 | 2012-05-16 | 鸿富锦精密工业(深圳)有限公司 | 无盘工作站启动过程中避免发生资源竞争的系统及方法 |
| CN105718789A (zh) * | 2016-01-25 | 2016-06-29 | 浪潮电子信息产业股份有限公司 | 一种aix系统下基于用户的程序执行控制的方法 |
| CN105740702A (zh) * | 2016-01-25 | 2016-07-06 | 浪潮电子信息产业股份有限公司 | 一种linux系统下基于用户的程序执行控制的方法 |
| CN105718790A (zh) * | 2016-01-26 | 2016-06-29 | 浪潮电子信息产业股份有限公司 | 一种unix系统下基于用户的程序执行控制方法 |
| CN105740696A (zh) * | 2016-01-26 | 2016-07-06 | 浪潮电子信息产业股份有限公司 | 一种Solaris系统下基于用户的程序执行控制方法 |
| CN106228078A (zh) * | 2016-07-29 | 2016-12-14 | 浪潮电子信息产业股份有限公司 | 一种Linux下基于增强型ROST的安全运行方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hossain et al. | Combating dependence explosion in forensic analysis using alternative tag propagation semantics | |
| Lanzi et al. | Accessminer: using system-centric models for malware protection | |
| US9774568B2 (en) | Computer security architecture and related computing method | |
| AU2007252841B2 (en) | Method and system for defending security application in a user's computer | |
| US20060031673A1 (en) | Method and system for detecting infection of an operating system | |
| CN103246849A (zh) | 一种Windows下基于增强型ROST的安全运行方法 | |
| US9396329B2 (en) | Methods and apparatus for a safe and secure software update solution against attacks from malicious or unauthorized programs to update protected secondary storage | |
| US8978092B2 (en) | Data leak prevention from a device with an operating system | |
| CN101788944A (zh) | 一种利用强制访问控制检测aix系统故障的方法 | |
| CN101819548A (zh) | 一种利用强制访问控制检测Linux系统故障的技术 | |
| Pham et al. | Universal serial bus based software attacks and protection solutions | |
| US8775802B1 (en) | Computer security system and method | |
| US9454652B2 (en) | Computer security system and method | |
| CN101827091A (zh) | 一种利用强制访问控制检测Solaris系统故障的方法 | |
| Pavlenko et al. | Hierarchical approach to analyzing security breaches in information systems | |
| Evancich et al. | Attacks on industrial control systems | |
| Hamed et al. | Protecting windows OS against local threats without using antivirus | |
| Sun et al. | Practical proactive integrity preservation: A basis for malware defense | |
| Ramadhanty et al. | Implementation and analysis of keyboard injection attack using usb devices in windows operating system | |
| Sun et al. | A praise for defensive programming: Leveraging uncertainty for effective malware mitigation | |
| RU84594U1 (ru) | Накопитель с защитой от несанкционированного доступа к памяти | |
| Shan et al. | Tracer: enforcing mandatory access control in commodity OS with the support of light-weight intrusion detection and tracing | |
| CN117453344A (zh) | 一种基于Linux系统调用的容器可信增强机制 | |
| Seong et al. | Security Improvement of File System Filter Driver in Windows Embedded OS. | |
| Fu et al. | Curtain: keep your hosts away from USB attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100901 |