网桥审计系统的设计与实现

通过分析目前主要几种审计系统的不足，提出了一种基于Linux内核的网桥审计系统的实现方法。首先介绍了与该系统有关的Linux内核部分，最后给出审计系统的模块设计和功能实现。     

操作系统内核级安全审计系统的设计与实现

随着人们对操作系统的安全要求越来越高，建立安全、完备的审计子系统成为操作系统安全领域的一个重要课题。本文提出一个通过在内核安插钩子函数来实现模块化审计系统的方法，用这种方法设计并实现一个基于Linux操作系统的、遵循国家标准Gg17859—1999第四级要求的安全审计子系统。这个审计系统以模块形式连入内核，通过往内核中安插审计钩子来收集审计信息，对内核影响较小，并能适应内核的升级；通过用内核线程代替后台进程将审计记录存入磁盘，实现了审计的完全内核化，增强了系统安全；通过对所有系统调用进行审计，实现了对利用隐蔽存储信道时可能被使用的事件的审计。     

通过扩展LSM框架构建审计支持机制

LSM是纳入到Linux内核的一个安全模型支持框架,它通过提供钩子机制来支持安全机制的实现。审计机制是安全操作系统的重要组成部分。然而,LSM的现有设计主要考虑的是对访问控制的支持,对审计机制的支持存在着明显的不足。把审计支持纳入到LSM框架中,为审计系统或者是入侵检测系统提供统一的支持接口,对安全操作系统的研究有重要意义。本文提出一个扩展LSM框架的方法,以增强LSM框架对审计机制的支持能力。本文论述了扩展LSM框架实现审计的方法,以及如何在LSM框架中加入审计钩子及在内核函数中插入钩子函数。依照这种方法,作为安全操作系统SECIMOS开发工作的一个重要组成部分,我们在Linux内核中实现了一个审计系统,并对其性能进行了分析。     

基于Linux的仪器系统审计机制的研究

Linux系统现行的审计机制是应用级审计,不能满足操作系统的安全要求,为此许多文献提出了Linux内核级的审计,增强了Linux的审计能力。但是在审计能力增加的同时,审计容量和运行时间也增加。根据仪器系统的特点,本文提出了可控内核审计的机制。内核级审计能够被应用程序控制,这样在实现安全性提高的同时,可控制内核审计范围,保证实时测试程序的实时性。内核审计功能的控制通过Linux的proc文件系统实现,本文详细地描述了实现过程。     

Linux安全操作系统的审计机制的研究与实现

安全审计作为安全操作系统的一个重要安全机制。对于监督系统的正常运行、保障安全策略的正确实施、构造计算机入侵检测系统等都有重要的意义。论文研究了安全审计的相关原理,分析了现有审计机制存在的相关问题,提出了一个内核级安全审计模型,在此基础上实现了一个基于Linux资源的审计系统。     

Linux服务器安全审计系统的设计与实现

随着Linux技术的普及,大量的Linux服务器部署在分布式系统中,如何对这些服务器资源进行有效的安全审计成为了当前一大难点。根据Linux服务器的特点,设计与实现了可应用于复杂分布式环境中的安全审计系统。系统采用组件化、模块化的架构和多级部署方式,基于内核级审计和应用级审计实现了对Linux服务器的系统资源、终端访问、文件、数据库和网络等资源的全面审计。同时,系统采用数据挖掘技术对审计信息进行深入分析,实现了对Linux服务器的智能化审计。系统部署于实际的应用中,并且取得了良好的效果。     

Linux系统内核级安全审计方法研究

LKM(LoadableKernelModules-可加载内核模块)技术是Linux系统为了扩充系统功能而提供的一种机制。该技术已经被黑客用于系统入侵,同样也可以利用它提高系统的安全性。文章在分析了现行Linux安全审计系统所存在问题的基础上,提出了一个基于LKM技术的Linux系统内核级安全审计模型。     

一种基于Linux安全模块的第三方日志系统

Linux安全模块(Linux SecurityModule,LSM)是为主流Linux内核设计的一种轻量级、通用的访问控制框架,它提供了内核级的编程接口。通过LSM可以非常方便地实现对内核数据的各种访问控制机制。虽然LSM没有显式地提供对安全审计的支持,但它所提供的各种接口十分有利于记录各种内核信息。主要研究在LSM框架基础上的日志记录和审计系统。通过对LSM的研究,设计了一个第三方日志系统,实现了信息记录和安全审计。     

基于双空间审计迹的Linux安全审计技术

在研究Linux安全审计技术的基础上,提出一种基于双空间审计迹的安全审计方法,融合操作系统内核空间的系统调用和用户空间的库函数调用,提高对操作系统内核层攻击和恶意用户行为的识别能力。对LSM框架进行审计扩展,用于设计审计模型的数据获取模块,增强了模型的审计粒度、安全性和灵活性。为了提高安全审计的实时性,引入典型集方法压缩正常行为特征库。     

一种基于DOM盘的安全Linux系统的设计与实现

提出并实现了一种基于Linux的安全操作系统模型——NisecLinux。该系统以DOM（Disk on Module）盘为存储介质,实现了基于网络访问的强制访问控制机制。通过防火墙和入侵检测系统的联动大大增强了系统的安全防护能力;通过VPN技术使数据传输的安全性得到了保障;精简了内核和文件系统,使系统本身的性能得到改善;使用DOM盘加强其物理安全性。该系统在安全性方面达到了系统审计级的标准。     

基于Linux操作系统的审计增强

论述了基于Linux基础平台开发高可靠性安全操作系统中审计系统的设计思想与实现。在此审计系统中,通过审计系统调用实现了细粒度的系统级审计数据的收集,并且基于B／S架构,实现了具有自动分析功能的图形化安全远程审计管理平台。     

基于LKM的Linux安全检测器的设计与实现

分析两个Linux 后门工具的实现机制,指出它们的原理及其危害;针对Linux操作系统的特点提出两种保护Linux内核的方法,即单模块内核方式和带安全检测的LKM方式。给出了基于LKM的Linux 安全检测器的实现方法,实验表明,该安全检测器能有效地记录LKM后门工具以及病毒对系统的攻击和非法访问,能够帮助系统管理员维护Linux操作系统的安全。     

基于内核入侵的木马设计与实现

通过内核入侵是木马入侵Linux系统的一种重要形式,其原理是利用Linux内核提供的机制来实现木马的各种功能,主要是通过内核编程来实现。本文重点研究了内核入侵的两种方法:直接对内核源代码进行修改,利用Linux的模块机制。最后在此基础上完成了一个基于内核入侵的木马设计与实现。     

基于LSM的沙箱模块设计与实现

沙箱（Sandbox）技术是一种安全保护机制,其目的是通过对程序运行环境的限制来保护系统的安全性.LSM是Linux内核提供的一种轻量级访问控制框架.文中分析了Linux系统中实现沙箱模块的常用技术的不足（实现复杂且资源消耗大）,提出一种基于LSM在Linux内核中实现沙箱模块的方法.基于LSM实现沙箱模块,可以减少工作量.且测试结果表明,基于LSM的内核沙箱模块加载后,对系统影响较小,系统性能最大损失约10％.     

Linux下基于Netfilter防火墙应用研究

Linux提供的基于内核Netfilter框架的防火墙,是一个功能强大、扩展性强的网络安全框架,可以实现一种性价比较高的安全方案。基于Linux作系统的网络安全框架Netfilter原理的分析,结合一个内核防火墙模块实例介绍了基于Netfilter框架下的内核防火墙设计方法。     

基于Linux内核的流量分析方法

通过分析Linux操作系统数据包处理流程,提出了一种基于Linux内核的流量分析方法,采用该方法实现了基于Linux内核的流量分析模块KTAM。分析显示KTAM降低了系统调用和内存拷贝等开销,提高了流量分析性能,比基于Libpcap的工具能力提高近50％。     

基于Linux系统调用的内核级Rootkit技术研究

系统调用是用户程序和操作系统进行交互的接口。劫持系统调用是内核级Rootldt入侵系统后保留后门常用的一项的技术。研究Linux系统调用机制及系统调用劫持在内核级Rootkit中的应用可以更好地检测和防范内核级Rootkit,使Linux系统更加安全。文中在分析Linux系统调用机制的基础上,研究了内核级Rootldt劫持系统Linux系统调用的5种不同方法的原理及实现,最后针对该类内核级Rootkit给出了3种有效的检测方法。在检测过程中综合利用文中提出的几种检测方法,能提高Linux系统的安全性。     

Linux用户行为记录器的一种内核级实现方法

用户登录后敲击键盘的行为记录是判断用户是否有恶意行为以及安全审计的重要信息来源。基于Linux,通过使用内核函数劫持技术劫持并修改键盘输入的相关内核函数．同时利用可装载内核模块技术将修改后的内核函数作为可装载模块插入内核,实现了一个内核级的行为记录器。这种实现方法可以记录本地用户以及远程用户所有敲击键盘的行为,包括ctrl,alt,shift等特殊键码．利用键盘映射码表转换成标准的ASCII码格式输出到日志文件中。     

一种基于Linux的网络备份系统的设计与实现

提出并实现了一种基于Linux的网络备份系统,该系统在物理层实现了对数据的远程同步或异步备份。系统在Linux操作系统中以内核模块的方式运行,对应用程序透明,不影响原操作系统的稳定性;针对Linux的内核存储机制,在内核设备驱动层的入口处进行备份数据的网络传输,此设计支持Linux内核支持的所有存储介质和文件系统。     

Linux用户行为记录器的一种内核级实现方法

用户登录后敲击键盘的行为记录是判断用户是否有恶意行为以及安全审计的重要信息来源.基于Linux,通过使用内核函数劫持技术劫持并修改键盘输入的相关内核函数,同时利用可装载内核模块技术将修改后的内核函数作为可装载模块插入内核,实现了一个内核级的行为记录器.这种实现方法可以记录本地用户以及远程用户所有敲击键盘的行为,包括ctrl,air,shift等特殊键码,利用键盘映射码表转换成标准的ASCII码格式输出到日志文件中.