Linux内核扩展模块的P2P流量控制方法与研究

分析了Linux Netfilter/Iptables架构的实现机制和扩展技术,以及P2P协议的特征,通过扩展Linux内核库,利用共享库实现用户数据空间与内核空间的数据交互,扩展防火墙的规则集,从而实现P2P流量控制的方法,而且可以根据不断出现的P2P业务更新规则集,具有很好的扩充性能.     

基于双空间审计迹的Linux安全审计技术

在研究Linux安全审计技术的基础上,提出一种基于双空间审计迹的安全审计方法,融合操作系统内核空间的系统调用和用户空间的库函数调用,提高对操作系统内核层攻击和恶意用户行为的识别能力。对LSM框架进行审计扩展,用于设计审计模型的数据获取模块,增强了模型的审计粒度、安全性和灵活性。为了提高安全审计的实时性,引入典型集方法压缩正常行为特征库。     

P2P环境下防火墙的研究与开发

通过对目前比较流行的5种P2P协议的研究,从协议中分析出一个或多个特征值,通过这些特征值来识别5种协议类型.并基于Linux2.4.20内核中netfilter/iptables框架,通过扩展iptables功能在IP层实现对P2P网络中5种比较流行的协议的控制,最终可以通过iptables命令来配置防火墙.     

Linux线程库的实现机制

Linux内核级线程符合POSIX线程标准。本文结合Linux内核和线程库Linuxthreads的源代码，细致分析了Linux内核级线程的实现机制。     

基于Linux2.6内核的IPSec实现研究

研究了Linux2.6内核中的IPSec整体实现,分析了内核与用户空间的交互机制PF_KEY套接口,详细解析了Linux2.6内核对IPSec的支持机制,最终通过具体应用实例实现了IPSec的功能,并给出了IPSec未来的扩展方向。     

Linux中Netfilter网络安全框架分析

文章在Linux相关源码的基础上对Linux内核防火墙框架Netfilter进行了研究,分析和讨论了Linux操作系统的网络安全框架Netfilter的原理和实现,并给出了在内核中和用户空间进行扩展的方法。在研究防火墙的原理、实现上具有重要的借鉴意义。     

Linux内核系统调用扩展研究

系统调用是操作系统内核提供给用户使用内核服务的接口。Linux操作系统由于其自由开放性，用户可在原有基础上，添加新的系统调用，以便提供更多的服务。基于Linux 2．4内核，文中研究了Linux操作系统系统调用的实现机制，并以基于数据库的文件系统功能扩展为例，说明系统调用扩展的实现过程。     

基于嵌入式Linux的裁减方法设计与实现

本文首先分析Linux2．6．6内核新特性的基础，探讨对Linux进行实时化和嵌入式化，即通过配置内核，裁减shell和嵌入式C库对系统定制．使整个系统能够存放到容量较小的FLASH中。然后简单介绍了防火墙的概念，深入地分析了Linux 2．6、6版新型内核防火墙netfilter框架的工作机制及其实现的方式。     

基于netfilter的Linux防火墙可扩展性研究

netfilter是Linux2.4以后的内核中采用的一个结构清晰,便于扩展的优秀的防火墙框架.本文介绍了基于netfiler的Linux防火墙的实现机制和扩展机制,并给出了在内核中和用户空间进行扩展的方法.     

Linux中用户空间与内核空间的通信实现

在Linux环境下开发程序时，有时需要交换用户空间与内核空间的数据，以及对用户空间和内核空间的数据进行通信等处理。一般情况下．比较常用的两种方法为创建／proc文件与注册字符设备驱动文件。文中在实验的基础上对这两种方法的实现框架进行了研究，对它们各自的优缺点做了深入的分析。实验结果显示，两者的效率与性能上／proc要略高于字符设备文件。最后得出如下结论：设备驱动文件模块化程度高，容易掌握，也是比较常见的方法，而／proc文件则比较灵活，同时也比较复杂，一般用来读取内核的信息。     

一种基于Linux的网络备份系统的设计与实现*

提出并实现了一种基于Linux的网络备份系统,该系统在物理层实现了对数据的远程同步或异步备份。系统在Linux操作系统中以内核模块的方式运行,对应用程序透明,不影响原操作系统的稳定性;针对Linux的内核存储机制,在内核设备驱动层的入口处进行备份数据的网络传输,此设计支持Linux内核支持的所有存储介质和文件系统。     

基于Linux主机身份验证系统的研究与实现

分析了Linux启动部分的工作原理和机制，以及计算机硬件加密卡的特点，在此基础上通过修改内核源代码，结合计算机硬件加密卡，实施基于策略的强制访问控制，实现了一个基于Linux2．6．x内核的主机身份验证系统。     

Linux新型防火墙技术NETFILTER及应用

讨论了新的 Linux2 .4版内核的防火墙机制 netfilter,提供了一个抽象、通用化的框架 ,弥补了 Lin-ux2 .0和 Linux2 .2内核中模块化程度低、规则复杂和无法提供传递数据报到用户空间等不足 ,比以前任何一版Linux内核的防火墙子系统都要完善强大。     

MOSIX进程迁移机制研究

MOSIX是一个优秀的集群系统软件，它对Linux内核进行了扩充，采用自适应资源管理方法，通过抢占式进程迁移实现动态负载平衡。该文简要介绍了进程迁移及MOSIX系统，主要分析了MOSIX进程迁移的实现机制。     

应用协同的进程组内存管理支撑技术

云计算进行资源聚合的一种重要方式是将不同用户、不同特征的应用聚合起来进行混合部署、同时运行。相比之下,用户态应用的垃圾回收器对服务个体的内存管理针对性更好,而操作系统对整体内存资源分配能力更强。现有内核的机制仅能保证服务在全局内存或进程组内存使用达到上限时被动地进行垃圾回收。结合Linux内核中的进程控制组机制以及eventfd事件通知机制,设计实现了一个简单高效的应用协同分组内存管理的内核支撑机制。通过在内核中增加应用协同的内存管理机制,进一步增加了系统对应用自主管理内存的支撑能力。实验表明,新的机制没有给原有的操作系统带来明显的性能影响。     

基于Linux内核Netfilter框架的P2P管理

在介绍P2P技术和Linux内核Netfilter框架的基础上，提出了识别P2P网络数据包的方法――端口识别法和特征码识别法。介绍了特征码识别法，讨论了如何获取P2P特征码并列出部分已知特征码，阐述了如何利用Netfilter框架进行P2P识别与管理，并进行了简单分析与总结。     

Linux网络安全架构Netfilter的分析和探讨

介绍Linux平台上的网络安全问题,详细分析Linux防火墙结构（Nemlter）的功能和Netfilter在Linux中的地位与作用。分析和探讨了Netfilter中各链的位置与作用及各链处理的数据包的过程等。最后介绍了Netfilter框架结构的内核过滤管理工具Iptables,并用Iptables来实现对防火墙各功能的管理。     

一种基于Linux的复合安全网关

通过对Linux内核和Netfilter框架的分析和研究，提出了一种集多种安全功能于一身的复合网关。该网关将防火墙、入侵检测和内容过滤3种安全功能用内核模块的形式实现，利用Netfilter框架的扩展功能，将各个安全模块加载进内核，从而在内核中实现对网络不同层次的安全功能的整合。     

Linux 2.6 kernel exploits

Exploits are increasingly targeting operating system kernel vulnerabilities. For one, applications in user space are better protected by the developers and the kernel than in the past. Second, the promise of a successful kernel exploit is tantalizing full control over the targeted environment. Under Linux, kernel space exploits differ noticeably from user space exploits. Constraints such as execution context problems, module relocation, system calls usage prerequisites and kernel shellcode development have to be dealt with. These kernel exploits are the focus of this paper. We first give an overview of major kernel data structures which are used to handle processes under Linux 2.6 on an Intel IA-32 architecture. We then illustrate the aforementioned constraints by means of two practical Wifi Linux Drivers Stack Overflow exploits. This paper is an expanded version of two conference talks given at SSTIC 2007 in Rennes and at SYSCAN 2007 in Singapore.