KFUR:一个新型内核扩展安全模型

保障内核扩展的安全性对操作系统具有重要意义.当前存在大量针对内核函数使用规则的攻击,内核扩展中也存在大量违反内核函数使用规则的错误,因此针对内核函数使用规则的安全性检测十分必要.虽然存在多种提高内核扩展安全性的方法,但很少有方法对内核函数的使用规则进行安全性检测.文中设计了KFUR( Kernel Function Usage Rule)内核扩展安全模型系统,用于在运行时检测内核扩展调用内核函数是否遵守内核函数使用规则.如果内核扩展调用内核函数满足模型安全运行条件,则允许对该内核函数进行调用,否则将错误报告给操作系统内核并终止该内核扩展的运行.文中所述研究在Iinux操作系统上对KFUR安全模型系统进行实现,并将其运用于e1000网卡驱动、SATA硬盘驱动和HDA声卡驱动内核扩展.安全性评测表明安全模型系统能够对内核函数使用规则进行安全性检测,性能评测表明安全模型系统带来的开销很小.     

基于Android的有线电话CID功能

Android是一个基于Linux内核的操作系统,被广泛用于移动及其他设备,而在有线电话功能上的开发尚显不足.本文通过对来电显示电路、Android系统内核驱动、JNI层调用以及其消息驱动机制Looper与Handler的分析和运用,将Android平台与有线电话来电显示(Calling Identity Delivery)结合起来,实现了一个在Android应用中显示来电信息的系统,并在实际系统中进行测试.测试结果表明Android能够完成有线电话信息的接收和处理,实现来电显示功能,丰富了安卓系统的功能和应用.     

Diskaller:基于覆盖率制导的操作系统内核漏洞并行挖掘模型

内核是操作系统的核心,它构建了操作系统各类程序运行时需要的基础环境：如进程调度、存储管理、文件系统、设备驱动和网络通信等。操作系统内核漏洞的存在可能使得计算机系统遭受拒绝服务、信息泄露、超级用户权限提升等攻击,因此,针对内核的漏洞挖掘一直是网络安全领域的研究热点。本文在现有的研究基础上,提出一种基于覆盖率制导的内核漏洞并行模糊测试模型,该模型以代码覆盖率为导向,以计算节点和控制节点组成的星型结构作为并行模型,各计算节点通过代码覆盖率对系统内核持续测试,控制节点完成计算节点间代码覆盖率的收集与交互,突破了传统测试模型对计算资源要求限制和数据竞争的瓶颈,极大的提升了代码覆盖率及测试速度,加快了漏洞挖掘的效率。为了验证模型的实用性及有效性,利用Diskaller与Syzkaller和Triforce进行对比,一定条件下Diskaller覆盖率较Syzkaller提升12.8%,执行速率提升229%,较Triforce覆盖率提升335%,执行速率提升450%,并且发现了Linux内核中两个先前未被发现的漏洞。     

基于VMM层系统调用分析的软件完整性验证

在虚拟化云计算平台中,如何保证其上运行软件的可信性是云平台广泛应用的关键.完整性测量与验证技术是保证软件系统可信性的一种主要方法.然而,现有的软件完整性验证系统大多需要修改操作系统内核,很难为大规模虚拟机环境中的众多异构系统提供一致解决方案,且无法抵御内核级恶意攻击.针对当前方法在兼容性、安全性以及可管理性上存在的问题,设计并实现了一种在VMM层基于系统调用分析技术来验证软件完整性的方法VMGuard.它通过截获客户操作系统中的系统调用来识别软件加载,并基于系统调用关联性分析和虚拟机文件系统元数据重构技术来验证客户操作系统中软件的完整性.在Qemu和KVM两种主流虚拟化平台上实现了VMGuard,并通过实验评测VMGuard的有效性和性能.实验结果表明,VMGuard能够有效验证客户操作系统中软件的完整性,且性能开销在10%以内.     

针对内核非控制数据攻击的在线检测方法研究

操作系统安全是计算机系统安全的基础保障和前提条件,而操作系统安全则主要依赖于系统内核的安全。针对内核的非控制数据攻击是指通过篡改内核中的某些关键数据结构,诱发内核出现漏洞和产生一系列稳定性问题,从而严重影响操作系统乃至整个计算机系统的安全。提出一种基于Kprobes内核调试机制和监视器内核线程的在线检测方法,前者用于监控内核关键函数的执行和检查相关动态性数据结构的一致性,后者通过设立专门的内核线程实现静态性内核数据结构的持续监测和不变性验证。然后在Linux平台上运用C语言设计实现了相应的内核非控制数据攻击在线检测器KNCDefender,进行了一系列验证实验和性能测试实验。实验结果表明,该方法是完全轻量级的,并能够及时检测出针对内核的各种非控制数据攻击。     

Linux下系统调用原理解析及增加系统调用的方法

系统调用是应用程序和操作系统之间进行交互的接口.程序的运行离不开系统调用.本文讨论讨论了linux下系统调用的实现机理,并以一个简单的例子说明了在linux下增加系统调用的实现方法,本文的讨论基于linux 2.4内核版本.     

基于Linux系统调用的内核级Rootkit技术研究

系统调用是用户程序和操作系统进行交互的接口.劫持系统调用是内核级Rootkit入侵系统后保留后门常用的一项的技术.研究Linux系统调用机制及系统调用劫持在内核级Rootkit中的应用可以更好地检测和防范内核级Rootkit,使Linux系统更加安全.文中在分析Linux系统调用机制的基础上,研究了内核级Rootkit劫持系统Linux系统调用的5种不同方法的原理及实现,最后针对该类内核级Rootkit给出了3种有效的检测方法.在检测过程中综合利用文中提出的几种检测方法,能提高Linux系统的安全性.     

一种在不可信操作系统内核中高效保护应用程序的方法

在现代操作系统中,内核运行在最高特权层,管理底层硬件并向上层应用程序提供系统服务,因而安全敏感的应用程序很容易受到来自底层不可信内核的攻击.提出了一种在不可信操作系统内核中保护应用程序的方法AppFort.针对现有方法的高开销问题,AppFort结合x86硬件机制(操作数地址长度)、内核代码完整性保护和内核控制流完整性保护,对不可信内核的硬件操作和软件行为进行截获和验证,从而高效地保证应用程序的内存、控制流和文件I/O安全.实验结果表明:AppFort的开销极小,与现有工作相比明显提高了性能.     

Linux内核系统调用扩展研究

系统调用是操作系统内核提供给用户使用内核服务的接口。Linux操作系统由于其自由开放性,用户可在原有基础上,添加新的系统调用,以便提供更多的服务。基于Linux2.4内核,文中研究了Linux操作系统系统调用的实现机制,并以基于数据库的文件系统功能扩展为例,说明系统调用扩展的实现过程。     

OpenBSD内核可加载模块实现机制分析与研究

L K M是内核为了扩展其功能所使用的可加载内核模块。当L K M被载入内核,就能修改内核变量,重载内核函数,轻易实现扩充或裁剪操作系统内核的某些功能。本文以系统调用模块为例,分析了OpenBSD下LKM的实现过程和机制,并总结了OpenBSD下系统调用模块开发和测试的具体步骤。     

面向物联网设备安全的多层次内核访问控制方法

物联网设备受能耗、计算能力等因素限制, 通常采用轻量化的操作系统以及精简化的安全保护机制, 导致物联网设备的操作系统安全保护能力不足, 更容易被用户态程序攻破。为了增强操作系统的隔离能力, 现有的安全保护方法通常限制应用程序可访问的系统调用种类, 使其仅能访问运行所必须的系统调用, 从而缩小操作系统的攻击面。然而, 现有的动态或者静态程序分析方法无法准确获取目标程序运行所依赖的系统调用。动态跟踪方法通过跟踪程序执行过程中触发的系统调用, 仅能获取程序依赖系统调用的子集, 以此作为依据的访问控制可能会影响程序的正常执行。而静态分析方法通常构造程序及其依赖库的控制流图并分析其可达的系统调用, 然而由于静态分析无法精准构建控制流图, 仅能获取目标程序依赖系统调用的超集, 会在访问控制中引入多余的系统调用, 造成操作系统攻击面依然较大。针对现有系统调用访问控制面临的可用性以及精准度问题, 研究多层次的内核访问控制方法, 在现有系统调用访问控制的基础上, 引入了动态链接库的访问控制, 并提出了多层联动的动态安全分析机制, 以动态分析的方法排除由于静态分析不准确引入的额外系统调用, 从而进一步缩小物联网系统的攻击面, 提升物联网设备的隔离能力与安全性。实验结果表明, 相比于现有内核访问控制方法, 本文提出的方法能够抵御更多漏洞而且引入的实时负载更低。     

基于主机系统调用频率的容器入侵检测方法

容器技术由于其轻量级虚拟化的特点,已成为云平台中广泛使用的虚拟化技术,但它与宿主机共享内核,安全性和隔离性较差,易遭受泛洪、拒绝服务、逃逸攻击。为了有效检测容器是否遭受攻击,提出了一种基于主机系统调用频率的入侵检测方法,该方法利用不同攻击行为之间系统调用频率不同的特点,收集容器运行时产生的系统调用,结合滑动窗口和 TF-IDF 算法提取系统调用特征,通过对比特征相似度进行分类。通过实验验证,该方法的检测率可达97%,误报率低于4%。     

基于全系统模拟的OP-TEE内核模糊测试方法

OP-TEE (Open Portable Trusted Execution Environment)是运行于基于TrustZone的可信执行环境(Trusted Execution Environment,TEE)中的开源可信操作系统。OP-TEE虽然运行于TEE侧,但仍存在漏洞从而遭受来自于富执行环境(Rich ExecutionEnvironment,REE)的攻击。模糊测试是一种常用的漏洞发现方法,但由于TEE与REE的高度隔离,REE侧的模糊测试工具难以直接测试OP-TEE,且现有基于OP-TEE源码插桩的模糊测试方法存在依赖源码和专业领域知识且崩溃容忍度低的问题。本文基于全系统模拟,模拟OP-TEE依赖的环境,提出了对OP-TEE内核模糊测试的方法。该方法将OP-TEE托管在模拟环境中并追踪其执行过程,模糊测试工具在模拟环境外观测执行过程并以此生成测试用例。该方法通过设计实现模拟环境内外通信组件,将模拟环境内OP-TEE的系统调用暴露给模拟环境外的模糊测试工具,使得模糊测试工具能够对OP-TEE内核进行模糊测试。同时针对模糊测试过程中单个用例测试耗时较长的问题,设计实现了预翻译优化机制以减少测试过程中的耗时。实验验证了方案可行性,评测了预翻译优化的效果,并评估了方案的漏洞发现能力,同时对比现有方案OP-TEE Fuzzer进行了性能测试。实验结果表明,本文方案具有检出崩溃以及发现潜在漏洞的能力,预翻译优化机制能平均减少19.05%执行耗时,且实际性能优于OP-TEE Fuzzer,其中吞吐量与OP-TEE Fuzzer相比提高了104%。     

The design and implementation of the exported procedure call

This paper describes the exported procedure call, a mechanism that pushes computation out of the operating system kernel and into user space. It supports a simple, secure model for system extensions. An exported procedure call incurs overhead crossing of the user‐kernel boundary, but once in user space, it has greater security and usability and is significantly simpler than an equivalent kernel operation. This paper demonstrates the capabilities of the exported procedure call by discussing two implementations. One is the Modify‐on‐access (Mona) file system and the other is the Magi device interface. Mona and Magi use the exported procedure call in order to safely execute untrusted or complex system extensions. This paper shows that in situations where raw kernel performance is not paramount, the exported procedure call is desirable. Copyright © 2001 John Wiley & Sons, Ltd.     

基于粗糙集理论的安全考试系统*

为了进一步提高结合了传统静态安全技术和动态安全技术的计算机考试系统的安全性,提出了一种基于粗糙集理论的静态安全技术与动态安全技术相结合的高效低负荷的防御方法,用于监控进程的非正常行为。该方法从进程正常运行情况下产生的系统调用序列中提取出一个简单的预测规则模型,能有效地检测出进程的异常运行状态。同原有系统相比,用粗糙集理论建立正常模型要求的训练数据获取简单,而且得到的模型更适用于在线检测。实验结果表明,该系统的安全性优于原考试系统。     

基于双空间审计迹的Linux安全审计技术

在研究Linux安全审计技术的基础上,提出一种基于双空间审计迹的安全审计方法,融合操作系统内核空间的系统调用和用户空间的库函数调用,提高对操作系统内核层攻击和恶意用户行为的识别能力。对LSM框架进行审计扩展,用于设计审计模型的数据获取模块,增强了模型的审计粒度、安全性和灵活性。为了提高安全审计的实时性,引入典型集方法压缩正常行为特征库。     

基于粗糙集理论的入侵检测新方法

提出了一种高效低负荷的异常检测方法，用于监控进程的非正常行为，该方法借助于粗糙集理论从进程正常运行情况下产生的系统调用序列中提取出一个简单的预测规则模型，能有效地检测了进程的异常运行状态，同其它方法相比，用粗糙集建立正常模型要求的训练数据获取简单，而且得到的模型更适用于在线检测，实验结果表明，该方法的检测效果优于同类的其它方法。     

Linux操作系统安全策略模拟的研究与设计

操作系统是计算机系统平台的核心和基础,从操作系统安全策略和安全模型的角度,分析了中国墙模型和Bell-Lapadula(BLP)模型之间的区别与联系.为使操作系统有效地支持多种安全策略,设计了用中国墙模型非形式化地模拟实现BLP模型的过程,为操作系统对灵活安全策略的支持提供了例证.     

系统虚拟化环境下客户机系统调用信息捕获与分析

针对当前方法无法对系统调用参数和返回值等信息进行捕获和分析的问题,在Nitro的基础上建立了一个实时监视客户机内系统调用的系统.该系统通过修改硬件规范和指令重写,实现对快速系统调用进入和退出指令的捕捉和分析.之后,结合VCPU的上下文信息和系统调用的语义模板解析各参数;捕获到系统调用退出指令后,则根据VCPU寄存器信息解析返回值.实验证明,与同类捕获系统调用的方法相比,该系统可以实时捕获客户机内的系统调用序列,解析得到完整的系统调用信息,包括系统调用名、系统调用号、参数和返回值.该系统还能区分不同进程产生的系统调用,并在宿主机中引入了不超过15%的性能开销.     

基于D1-H应用处理器的RT-thread驻留方法

针对实时操作系统复杂性内核导致嵌入式应用程序编译速度慢、可复用性差的问题,提出基于通用嵌入式计算机架构（GEC）的RT-thread实时操作系统驻留方法。在合理划分存储空间的基础上,通过对中断服务例程进行共享,为用户提供底层驱动与软件应用层的函数调用服务。最后以D1-H应用处理器为例进行RT-thread驻留测试。实践结果表明,该驻留方法实现了系统内核与应用程序的物理隔离,编译时间更短,开发效率更高,为嵌入式程序开发的时效性、便捷性和简易性提供了应用基础。