CN102222194A

CN102222194A - Linux主机计算环境安全保护的模块及方法

Info

Publication number: CN102222194A
Application number: CN2011101970463A
Authority: CN
Inventors: 牛夏牧; 李琼; 韩琦; 石振峰; 王申; 牛抒言; 饶明
Original assignee: Harbin Institute of Technology
Current assignee: Harbin Institute of Technology
Priority date: 2011-07-14
Filing date: 2011-07-14
Publication date: 2011-10-19

Abstract

LINUX主机计算环境安全保护的模块及方法，属于计算机系统安全领域。本发明解决当前LINUX主机面临的安全威胁。可执行文件保护模块，用于可执行程序的注册与注销、完整性保护功能，对任何程序在运行之前都进行完整性检测，从而确保加载到内存中的用户态的进程安全；异常检测模块，用于建立进程合法行为集合，本模块运行过程中提取系统中进程行为，通过与正常行为匹配判定系统中进程行为是否出现异常，防止进程被恶意程序注入；内核关键数据结构保护模块，用于提供操作系统内核重要数据结构的备份、完整性检测和恢复功能，该模块在运行过程中检测内核重要数据结构是否被篡改，一旦发现篡改则根据之前的备份予以恢复。全面有效地保护LINUX主机的运行环境安全。

Description

LINUX主机计算环境安全保护的模块及方法

技术领域

本发明涉及LINUX主机计算环境安全保护的模块及方法，属于计算机系统安全领域。

背景技术

在Internet中，越来越多的LINUX主机作为网络连接设备出现。LINUX主机作为网络连接的枢纽节点时，其操作系统环境的安全性和可靠性将直接影响整个网络的运行，因此LINUX主机计算环境的安全保障是保障网络安全可靠运行不得不考虑的关键因素。

LINUX主机计算环境安全主要是指保护操作系统内存中的敏感数据，其目的在于：一，保证内核的安全运行以及内存数据不被窃取或篡改；二，使其免受来自网络方面的恶意攻击，保证LINUX主机正常工作，避免关键数据受损。

LINUX在设计上主要考虑的是开放性，对安全性没有给予特别的重视，在内核安全方面虽然提供了一些机制，但是一方面，LINUX的系统管理员和内核权限过大，一旦恶意程序或用户进入内核态，就可以随意操作内核的代码与数据，甚至杀死其他进程；另一方面，LINUX操作系统对资源的保护比较粗糙，对系统文件和目录的访问控制是靠目录和文件的属性完成的，这些机制已经难以满足复杂网络环境下的需要。

在防范网络攻击方面，目前的技术主要是防火墙和入侵检测。防火墙易于部署，能够有效拦截来自网络外部的攻击，但有如下局限性：一，入侵者可以找到防火墙的漏洞，绕过防火墙进行攻击；二，防火墙对来自内部的攻击无能为力；三，防火墙具有滞后性，只能对目前已知的网络攻击做出反应，无法检测到新的攻击类型；四，由于防火墙处于LINUX的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能。入侵检测弥补了防火墙的不足，可以发现来自于网络和来自于主机内部的各种入侵活动，对LINUX主机的安全性非常重要。

可见，现有的安全机制尚不能很好地满足LINUX主机计算环境安全的需要。

发明内容

本发明从当前LINUX主机面临的安全威胁角度入手，提出了一种LINUX主机计算环境安全保护的模块及方法，以全面有效地保护LINUX主机的运行环境安全，减少恶意程序的侵害。

LINUX主机计算环境安全保护的模块包括可执行文件保护模块、异常检测模块和内核关键数据结构保护模块；

可执行文件保护模块，用于可执行程序的注册与注销、完整性保护功能，对任何程序在运行之前都进行完整性检测，从而确保加载到内存中的用户态的进程安全，实现对操作系统中静态可执行文件的保护；

异常检测模块，用于建立进程合法行为集合，本模块运行过程中提取系统中进程行为，通过与正常行为匹配判定系统中进程行为是否出现异常，防止进程被恶意程序注入，实现对LINUX主机计算环境的动态保护；

内核关键数据结构保护模块，用于提供操作系统内核重要数据结构的备份、完整性检测和恢复功能，该模块在运行过程中检测内核重要数据结构是否被篡改，一旦发现篡改则根据之前的备份予以恢复，保护LINUX主机计算环境中的关键数据结构。

LINUX主机计算环境安全保护方法是通过可执行文件保护模块实现对操作系统中静态可执行文件的保护方法：

步骤一，在每一个可执行文件执行之前，由可执行文件加载过滤子模块把它拦截下来，并向完整性检测子模块发出检测请求；

步骤二，完整性检测子模块在接收到完整性检测请求时，计算请求文件的摘要信息，并向可执行文件管理子模块提出查询请求；

步骤三，可执行文件管理子模块在接收到查询请求时，查询数据库中是否有该文件的注册记录：如果没有，则注册此文件，并标识为合法，进入步骤七；如果有，则将查到的记录传给完整性检测子模块，进入下一步；

步骤四，完整性检测子模块通过对比步骤二中计算出的摘要与记录中的摘要，检测可执行文件是否有改动，并将结果反馈给可执行文件加载过滤子模块；

步骤五，可执行文件加载过滤子模块接受返回信息，如果检测结果是安全的，则进入步骤七；如果结果可疑，则进入下一步做相应的错误处理；

步骤六，杀死该进程，将文件标识为非法，向用户发出警告，进入步骤八；

步骤七，可执行文件回到可执行文件的断点处，继续执行；

步骤八，可执行文件管理子模块将执行这次操作的进程、用户、文件名和时间的信息记录到系统日志文件中。

LINUX主机计算环境安全保护方法是通过异常检测模块实现对LINUX主机计算环境的动态保护方法：

步骤一，读入并分析系统配置信息，判断工作状态，如果为学习模式则进入下一步，如果为检测模式则转至步骤六；

步骤二，进程行为提取子模块获取所需检测输入训练对象的进程行为；

步骤三，行为特征抽取子模块对采集到的进程行为进行预处理和格式化处理；

步骤四，行为规则建立子模块使用提取出的进程行为短序列，经过规则训练后建立正常行为规则库；

步骤五，再次查看系统配置信息，如果配置为学习模式，则跳转至步骤一，如果配置为检测模式，则跳转至步骤六；

步骤六，进程行为提取子模块获取所需检测输入训练对象的进程行为；

步骤七，行为特征抽取子模块对采集到的进程行为进行预处理和格式化处理；

步骤八，将进程行为分析子模块抽取到的进程行为特征与该进程的正常行为规则进行比对，分析当前进程是否发生了异常，并将分析结果发送给异常处理子模块；

步骤九，异常处理子模块根据收到的异常情况进行处理。

LINUX主机计算环境安全保护方法是通过内核关键数据结构保护模块实现对LINUX主机计算环境的关键数据的保护方法：

步骤一，在系统编译完成时调用内核数据备份子模块，将需要保护的关键数据存入内核安全信息库中，并将权限设为只读；

步骤二，在系统运行时，周期性的检测数据的完整性；采用差异分析检测法来实现内核关键数据的保护，所需要的信息由内核数据摘要子模块和内核数据备份子模块的记录提供；

步骤三，发现被篡改行为时，使用内核数据恢复子模块进行数据恢复。

当前针对LINUX主机环境的网络威胁主要有四类：恶意攻击、安全缺陷、软件漏洞和结构隐患，其中除了管理问题之外，主要就是恶意程序，包括木马、病毒、rootkit等。恶意程序要在系统上运行，主要是通过两种途径：一是将自己写入静态的宿主程序(可执行文件)从而获得运行权限，因此通过定义可信任程序与不可信任程序，在程序加载运行时进行过滤就可以阻止恶意程序的加载运行，这种保护是静态的；二是通过缓冲区溢出等的动态注入，从而进入核心态，因此可以通过检测进程的异常行为，阻止恶意程序动态注入，这种保护是动态的。

附图说明

图1是本发明的结构示意图；图2是本发明中可执行文件保护模块1的结构示意图；图3是本发明中异常检测模块2的结构示意图；图4是本发明中内核关键数据结构保护模块3的结构示意图。

具体实施方式

具体实施方式一：结合图1说明本实施方式，本实施方式包括可执行文件保护模块1、异常检测模块2和内核关键数据结构保护模块3；

可执行文件保护模块1，用于可执行程序的注册与注销、完整性保护功能，对任何程序在运行之前都进行完整性检测，其作用是负责对可执行文件进行安全处理，防止恶意程序对可执行文件进行篡改并注入恶意代码，从而确保加载到内存中的用户态的进程安全，实现对操作系统中静态可执行文件的保护；

异常检测模块2，用于建立进程合法行为集合，本模块运行过程中提取系统中进程行为，通过与正常行为匹配判定系统中进程行为是否出现异常，防止进程被恶意程序注入，实现对LINUX主机计算环境的动态保护；

内核关键数据结构保护模块3，用于提供操作系统内核重要数据结构的备份、完整性检测和恢复功能，该模块在运行过程中检测内核重要数据结构是否被篡改，一旦发现篡改则根据之前的备份予以恢复，保护LINUX主机计算环境中的关键数据结构。

具体实施方式二：结合图2说明本实施方式，本实施方式与具体实施方式一不同点在于可执行文件保护模块1包括可执行文件加载过滤子模块1-1、完整性检测子模块1-2和可执行文件管理子模块1-3；

可执行文件加载过滤子模块1-1，用于截获可执行文件加载请求，并向完整性检测子模块1-2发起完整性检测请求，根据从完整性检测子模块1-2获得的结果决策是否允许程序加载运行；所述截获可执行文件加载请求的方法是：通过添加钩子程序，截获内核中加载可执行文件的系统调用，并解析出参数中的文件路径等文件系统信息，以便于返回；

完整性检测子模块1-2，用于按照可执行文件加载过滤子模块1-1发来的请求对进程进行完整性检测，并将结果反馈给可执行文件加载过滤子模块1-1；所述的进行完整性检测的方法是：通过可执行文件管理子模块1-3查找该进程注册的信息，并与当前计算得到的进程文件摘要比对，如果吻合则说明该进程合法，否则说明该进程可疑；

可执行文件管理子模块1-3，用于负责对可执行文件进行注册管理，用户通过用户交互程序，实现对可执行文件的注册、注销、查看和校验的操作，所述对执行文件进行注册管理的方法是：对文件内容进行摘要，并将文件名、大小、所有者、摘要和当前时间的关键信息存入数据库中。

上述的可执行文件保护实施步骤如下：

步骤一，在每一个可执行文件执行之前，由可执行文件加载过滤子模块1-1把它拦截下来，并向完整性检测子模块1-2发出检测请求；

步骤二，完整性检测子模块1-2在接收到完整性检测请求时，计算请求文件的摘要信息，并向可执行文件管理子模块1-3提出查询请求；

步骤三，可执行文件管理子模块1-3在接收到查询请求时，查询数据库中是否有该文件的注册记录：如果没有，则注册此文件，并标识为合法，进入步骤七；如果有，则将查到的记录传给完整性检测子模块1-2，进入下一步；

步骤四，完整性检测子模块1-2通过对比步骤二中计算出的摘要与记录中的摘要，检测可执行文件是否有改动，并将结果反馈给可执行文件加载过滤子模块1-1；

步骤五，可执行文件加载过滤子模块1-1接受返回信息，如果检测结果是安全的，则进入步骤七；如果结果可疑，则进入下一步做相应的错误处理；

步骤七，可执行文件回到可执行文件的断点处，继续执行；

步骤八，可执行文件管理子模块1-3将执行这次操作的进程、用户、文件名和时间的信息记录到系统日志文件中。

其它组成和连接方式与具体实施方式一相同。

具体实施方式三：结合图说明本实施方式，本实施方式与具体实施方式一不同点在于异常检测模块2包括进程行为提取子模块2-1、行为特征抽取子模块2-2、行为规则建立子模块2-3、进程行为分析子模块2-4和异常处理子模块2-5；

进程行为提取子模块2-1，用于采集进程行为，所述的进程行为即进程的系统调用序列，该模块主要由处理系统调用中断劫持、获取系统调用和整理系统调用、传递进程行为信息4个部分。

行为特征抽取子模块2-2，用于对进程行为提取子模块2-1采集到的进程行为进行预处理和格式化处理；

行为规则建立子模块2-3，用于对行为特征抽取子模块2-2提取出来的进程行为短序列进行规则训练，从中建立正常行为规则库；

进程行为分析子模块2-4，用于把抽取到的进程行为特征与正常行为规则进行匹配，分析当前进程是否发生了异常，并将分析结果发送给异常处理子模块2-5；

异常处理子模块2-5，接收进程行为分析子模块2-4传来的分析结果，根据异常情况进行相应的处理。

为了实现对LINUX主机计算环境的动态保护的方法，该方法包括以下步骤：

步骤二，进程行为提取子模块2-1获取所需检测输入训练对象的进程行为；

步骤三，行为特征抽取子模块2-2对采集到的进程行为进行预处理和格式化处理；

步骤四，行为规则建立子模块2-3使用提取出的进程行为短序列，经过规则训练后建立正常行为规则库；

步骤六，进程行为提取子模块2-1获取所需检测输入训练对象的进程行为；

步骤七，行为特征抽取子模块2-2对采集到的进程行为进行预处理和格式化处理；

步骤八，将进程行为分析子模块2-4抽取到的进程行为特征与该进程的正常行为规则进行比对，分析当前进程是否发生了异常，并将分析结果发送给异常处理子模块2-5；

步骤九，异常处理子模块2-5根据收到的异常情况进行处理。

上述行为提取的步骤包括：

21)在/proc目录下建立虚拟文件，并注册read和write函数，用于和用户态模块交互；

22)使用修改中断服务程序实现系统调用号的方法截获int80中断；

23)获取进程ID为pid的进程的系统调用序列，把这个序列通过步骤21中所述的虚拟文件发送到用户态；

上述步骤二和步骤六中执行相同的操作，所需参数均为所要检测进程的pid、所要获取的系统调用序列长度、以及超时阈值；

上述步骤三和步骤七执行相同的操作，具体实现方式为获得进程行为提取子模块提供的进程系统调用序列，利用滑动窗口机制来分割系统调用序列对程序行为进行分析，提取程序所发出的系统调用短序列。将大小为k的窗口滑动穿过系统调用轨迹，记录下遇到的每个长度为k的不同系统调用序列。

针对上述步骤八中的异常行为分析，本发明提出了两个指标，即

1、最短海明距离检测指标

最短海明距离指标描述为：在检测时用海明距离(hamming distance)d(i，j)来计算两个系统调用序列串之间的相似性。对在检测阶段产生的短系统调用序列串i，用i与正常行为库中短系统调用序列串间的最小海明距离d_min(i)来作为异常信号强度。

d_min(i)＝min{d(i，j)，对任意正常行为库中的短系统调用序列j}

采用d_min来描述异常信号强度的原因是，它能使入侵产生较强的异常，d_min值越大则系统调用序列的变化越可能是入侵造成。然而在实际中常用在序列串比对时产生的最大d_min值，因为它代表了在检测入侵时产生的最强异常信号。异常信号值计算如下：

S_{A} = \max {d_{\min} (i) &ForAll; new sequences i}

由于S_A受到短序列串长度k的取值影响，因此常用另一信号量

来描述异常信号强度。

{\hat{S}}_{A} = \frac{S_{A}}{k}

当值超过预先制定的阈值时认为程序行为异常。

2、局部不匹配率异常指标

局部不匹配率指标描述为：假设局部序列数量为L，用m表示一个检测短串在局部序列中不匹配的系统调用的个数，用M_A表示局部最大不匹配个数，则：

M_A＝max{m}

当

超过预先设定的阈值时认为发生了异常。

其它组成和连接方式与具体实施方式一相同。

具体实施方式四：结合图4说明本实施方式，本实施方式与具体实施方式一不同点在于内核关键数据结构保护模块3包括内核数据备份子模块3-1、内核数据完整性检测子模块3-2、内核数据摘要子模块3-3和内核数据恢复子模块3-4；

内核数据备份子模块3-1，用于备份内核关键数据，需要进行完整性保护的数据结构有系统调用表和IDT表，备份的时机应在新安装系统或者编译内核结束之后进行，备份的信息放在只读的内核安全信息库中，以防被篡改，关键数据通过内核数据摘要子模块3-3进行摘要；

内核数据完整性检测子模块3-2，用于周期性的检测数据的完整性，发现异常则进行数据恢复，向用户发出警告，并将异常记录到日志中；

内核数据摘要子模块3-3，用于对内核中的各种数据进行摘要，并将摘要值传递给内核数据完整性检测子模块3-2使用；

内核数据恢复子模块3-4，用于在内核数据完整性检测子模块3-2检测到数据异常时，启动执行内核数据恢复过程。

内核关键数据结构保护模块3的运行过程如下：

步骤一，在系统编译刚完成时调用内核数据备份子模块3-1，将需要保护的关键数据存入内核安全信息库中，并将权限设为只读；

步骤二，在系统运行时，周期性的检测数据的完整性；采用差异分析检测法来实现内核关键数据的保护，所需要的信息由内核数据摘要子模块3-3和内核数据备份子模块3-1的记录提供。

步骤三，发现被篡改行为时，使用内核数据恢复子模块3-4进行数据恢复。

其它组成和连接方式与具体实施方式一相同。

本发明内容不仅限于上述各实施方式的内容，其中一个或几个具体实施方式的组合同样也可以实现发明的目的。

Claims

1.LINUX主机计算环境安全保护的模块，其特征在于它包括可执行文件保护模块(1)、异常检测模块(2)和内核关键数据结构保护模块(3)；

可执行文件保护模块(1)，用于可执行程序的注册与注销、完整性保护功能，对任何程序在运行之前都进行完整性检测，从而确保加载到内存中的用户态的进程安全，实现对操作系统中静态可执行文件的保护；

异常检测模块(2)，用于建立进程合法行为集合，本模块运行过程中提取系统中进程行为，通过与正常行为匹配判定系统中进程行为是否出现异常，防止进程被恶意程序注入，实现对LINUX主机计算环境的动态保护；

内核关键数据结构保护模块(3)，用于提供操作系统内核重要数据结构的备份、完整性检测和恢复功能，该模块在运行过程中检测内核重要数据结构是否被篡改，一旦发现篡改则根据之前的备份予以恢复，保护LINUX主机计算环境中的关键数据结构。

2.根据权利要求1所述的LINUX主机计算环境安全保护的模块，其特征在于可执行文件保护模块(1)包括可执行文件加载过滤子模块(1-1)、完整性检测子模块(1-2)和可执行文件管理子模块(1-3)；

可执行文件加载过滤子模块(1-1)，用于截获可执行文件加载请求，并向完整性检测子模块(1-2)发起完整性检测请求，根据从完整性检测子模块(1-2)获得的结果决策是否允许程序加载运行；所述截获可执行文件加载请求的方法是：通过添加钩子程序，截获内核中加载可执行文件的系统调用，并解析出参数中的文件路径等文件系统信息，以便于返回；

完整性检测子模块(1-2)，用于按照可执行文件加载过滤子模块(1-1)发来的请求对进程进行完整性检测，并将结果反馈给可执行文件加载过滤子模块(1-1)；所述进行完整性检测的方法是：通过可执行文件管理子模块(1-3)查找该进程注册的信息，并与当前计算得到的进程文件摘要比对，如果吻合则说明该进程合法，否则说明该进程可疑；

可执行文件管理子模块(1-3)，用于负责对可执行文件进行注册管理，用户通过用户交互程序，实现对可执行文件的注册、注销、查看和校验的操作，所述对执行文件进行注册管理的方法是：对文件内容进行摘要，并将文件名、大小、所有者、摘要和当前时间的关键信息存入数据库中。

3.根据权利要求1所述的LINUX主机计算环境安全保护的模块，其特征在于异常检测模块(2)包括进程行为提取子模块(2-1)、行为特征抽取子模块(2-2)、行为规则建立子模块(2-3)、进程行为分析子模块(2-4)和异常处理子模块(2-5)；

进程行为提取子模块(2-1)，用于采集进程行为；

行为特征抽取子模块(2-2)，用于对进程行为提取子模块(2-1)采集到的进程行为进行预处理和格式化处理；

行为规则建立子模块(2-3)，用于对行为特征抽取子模块(2-2)提取出来的进程行为短序列进行规则训练，从中建立正常行为规则库；

进程行为分析子模块(2-4)，用于把抽取到的进程行为特征与正常行为规则进行匹配，分析当前进程是否发生了异常，并将分析结果发送给异常处理子模块(2-5)；

异常处理子模块(2-5)，接收进程行为分析子模块(2-4)传来的分析结果，根据异常情况进行相应的处理。

4.根据权利要求1所述的LINUX主机计算环境安全保护的模块，其特征在于内核关键数据结构保护模块(3)包括内核数据备份子模块(3-1)、内核数据完整性检测子模块(3-2)、内核数据摘要子模块(3-3)和内核数据恢复子模块(3-4)；

内核数据备份子模块(3-1)，用于备份内核关键数据，

内核数据完整性检测子模块(3-2)，用于周期性的检测数据的完整性，发现异常则进行数据恢复，向用户发出警告，并将异常记录到日志中；

内核数据摘要子模块(3-3)，用于对内核中的各种数据进行摘要；

内核数据恢复子模块(3-4)，用于在内核数据完整性检测子模块(3-2)检测到数据异常时，启动执行内核数据恢复过程。

5.LINUX主机计算环境安全保护方法，其特征在于它通过可执行文件保护模块(1)实现对操作系统中静态可执行文件的保护方法：

步骤一，在每一个可执行文件执行之前，由可执行文件加载过滤子模块(1-1)把它拦截下来，并向完整性检测子模块(1-2)发出检测请求；

步骤二，完整性检测子模块(1-2)在接收到完整性检测请求时，计算请求文件的摘要信息，并向可执行文件管理子模块(1-3)提出查询请求；

步骤三，可执行文件管理子模块(1-3)在接收到查询请求时，查询数据库中是否有该文件的注册记录：如果没有，则注册此文件，并标识为合法，进入步骤七；如果有，则将查到的记录传给完整性检测子模块(1-2)，进入下一步；

步骤四，完整性检测子模块(1-2)通过对比步骤二中计算出的摘要与记录中的摘要，检测可执行文件是否有改动，并将结果反馈给可执行文件加载过滤子模块(1-1)；

步骤五，可执行文件加载过滤子模块(1-1)接受返回信息，如果检测结果是安全的，则进入步骤七；如果结果可疑，则进入下一步做相应的错误处理；

步骤七，可执行文件回到可执行文件的断点处，继续执行；

步骤八，可执行文件管理子模块(1-3)将执行这次操作的进程、用户、文件名和时间的信息记录到系统日志文件中。

6.LINUX主机计算环境安全保护方法，其特征在于它通过异常检测模块(2)实现对LINUX主机计算环境的动态保护方法：

步骤二，进程行为提取子模块(2-1)获取所需检测输入训练对象的进程行为；

步骤三，行为特征抽取子模块(2-2)对采集到的进程行为进行预处理和格式化处理；

步骤四，行为规则建立子模块(2-3)使用提取出的进程行为短序列，经过规则训练后建立正常行为规则库；

步骤六，进程行为提取子模块(2-1)获取所需检测输入训练对象的进程行为；

步骤七，行为特征抽取子模块(2-2)对采集到的进程行为进行预处理和格式化处理；

步骤八，将进程行为分析子模块(2-4)抽取到的进程行为特征与该进程的正常行为规则进行比对，分析当前进程是否发生了异常，并将分析结果发送给异常处理子模块(2-5)；

步骤九，异常处理子模块(2-5)根据收到的异常情况进行处理。

7.LINUX主机计算环境安全保护方法，其特征在于它通过内核关键数据结构保护模块(3)实现对LINUX主机计算环境的关键数据的保护方法：

步骤一，在系统编译完成时调用内核数据备份子模块(3-1)，将需要保护的关键数据存入内核安全信息库中，并将权限设为只读；

步骤二，在系统运行时，周期性的检测数据的完整性；采用差异分析检测法来实现内核关键数据的保护，所需要的信息由内核数据摘要子模块(3-3)和内核数据备份子模块(3-1)的记录提供；

步骤三，发现被篡改行为时，使用内核数据恢复子模块(3-4)进行数据恢复。