通过扩展LSM框架构建审计支持机制

LSM是纳入到Linux内核的一个安全模型支持框架,它通过提供钩子机制来支持安全机制的实现。审计机制是安全操作系统的重要组成部分。然而,LSM的现有设计主要考虑的是对访问控制的支持,对审计机制的支持存在着明显的不足。把审计支持纳入到LSM框架中,为审计系统或者是入侵检测系统提供统一的支持接口,对安全操作系统的研究有重要意义。本文提出一个扩展LSM框架的方法,以增强LSM框架对审计机制的支持能力。本文论述了扩展LSM框架实现审计的方法,以及如何在LSM框架中加入审计钩子及在内核函数中插入钩子函数。依照这种方法,作为安全操作系统SECIMOS开发工作的一个重要组成部分,我们在Linux内核中实现了一个审计系统,并对其性能进行了分析。     

Linux安全操作系统的审计机制的研究与实现

安全审计作为安全操作系统的一个重要安全机制。对于监督系统的正常运行、保障安全策略的正确实施、构造计算机入侵检测系统等都有重要的意义。论文研究了安全审计的相关原理,分析了现有审计机制存在的相关问题,提出了一个内核级安全审计模型,在此基础上实现了一个基于Linux资源的审计系统。     

基于Linux系统调用的内核级Rootkit技术研究

系统调用是用户程序和操作系统进行交互的接口。劫持系统调用是内核级Rootldt入侵系统后保留后门常用的一项的技术。研究Linux系统调用机制及系统调用劫持在内核级Rootkit中的应用可以更好地检测和防范内核级Rootkit,使Linux系统更加安全。文中在分析Linux系统调用机制的基础上,研究了内核级Rootldt劫持系统Linux系统调用的5种不同方法的原理及实现,最后针对该类内核级Rootkit给出了3种有效的检测方法。在检测过程中综合利用文中提出的几种检测方法,能提高Linux系统的安全性。     

一种基于Linux安全模块的第三方日志系统

Linux安全模块(Linux SecurityModule,LSM)是为主流Linux内核设计的一种轻量级、通用的访问控制框架,它提供了内核级的编程接口。通过LSM可以非常方便地实现对内核数据的各种访问控制机制。虽然LSM没有显式地提供对安全审计的支持,但它所提供的各种接口十分有利于记录各种内核信息。主要研究在LSM框架基础上的日志记录和审计系统。通过对LSM的研究,设计了一个第三方日志系统,实现了信息记录和安全审计。     

支持服务质量的Linux内核设计与实现

Linux操作系统对实时QoS支持较弱,但具有很好的实时应用前景。本文选择对Linux在内核级进行QoS扩展。利用Linux进程管理策略与机制分离的设计风格,设计了一个内核级的支持QoS的实时调度器。不需要修改应用,就能满足应用的QoS需求。选择EDF实时调度算法作为扩展目标,引入了“预留”对象这一数据结构,实现了进程间的共享QoS。该新的Linux内核能更好地支持QoS,满足了实时系统的QoS需求。     

Linux内核的实时支持的研究与实现

目前嵌入式计算的发展对实时多任务操作系统（RTOS）的需求日益迫切，而Linux内核的实时支持研究为迎合这种需求提供了新的可能性，通过从中断控制，实时调度策略，内核抢占机制及细粒度时器几方面深入研究与实现了Linux内核的实时支持，以使之成为一个较为完善的RTOS，通过把实时部分设计为可配置单元，以保留Linux原有系统支持及API．另外，为扩展系统适用范围，提出了可支持多实时调度策略的二阶段调度方案，同时指出了当前方案的不足和今后的研究方向。     

基于Linux系统调用的内核级Rootkit技术研究

系统调用是用户程序和操作系统进行交互的接口.劫持系统调用是内核级Rootkit入侵系统后保留后门常用的一项的技术.研究Linux系统调用机制及系统调用劫持在内核级Rootkit中的应用可以更好地检测和防范内核级Rootkit,使Linux系统更加安全.文中在分析Linux系统调用机制的基础上,研究了内核级Rootkit劫持系统Linux系统调用的5种不同方法的原理及实现,最后针对该类内核级Rootkit给出了3种有效的检测方法.在检测过程中综合利用文中提出的几种检测方法,能提高Linux系统的安全性.     

Linux服务器安全审计系统的设计与实现

随着Linux技术的普及,大量的Linux服务器部署在分布式系统中,如何对这些服务器资源进行有效的安全审计成为了当前一大难点。根据Linux服务器的特点,设计与实现了可应用于复杂分布式环境中的安全审计系统。系统采用组件化、模块化的架构和多级部署方式,基于内核级审计和应用级审计实现了对Linux服务器的系统资源、终端访问、文件、数据库和网络等资源的全面审计。同时,系统采用数据挖掘技术对审计信息进行深入分析,实现了对Linux服务器的智能化审计。系统部署于实际的应用中,并且取得了良好的效果。     

Linux系统内核级安全审计方法研究

LKM(LoadableKernelModules-可加载内核模块)技术是Linux系统为了扩充系统功能而提供的一种机制。该技术已经被黑客用于系统入侵,同样也可以利用它提高系统的安全性。文章在分析了现行Linux安全审计系统所存在问题的基础上,提出了一个基于LKM技术的Linux系统内核级安全审计模型。     

Linux线程库的实现机制

Linux内核级线程符合POSIX线程标准。本文结合Linux内核和线程库Linuxthreads的源代码,细致分析了Linux内核级线程的实现机制。     

一种增强的Linux系统安全审计机制

提出了一个增强Linux系统安全审计功能的机制。该机制以可装载内核模块技术为基础,提供系统层和应用层两个层次的审计功能。系统审计为每个安全相关的系统调用生成审计记录。应用层审计改变了传统的完全依赖于应用程序在用户空间写日志文件的方式,由应用程序和内核共同产生审计记录。最后给出用该审计机制进行入侵检测的例子。     

利用LKM的Linux审计功能实现

安全和完整地获得信息对于审计和入侵检测系统是极其重要的，但是Linux的shell记录并没有提供充足的信息并且历史记录可以被用户轻易地修改。分析了当前审计系统的缺点，给出了一个利用可加载内核模块的方法实现审计功能的例子。     

基于双空间审计迹的Linux安全审计技术

在研究Linux安全审计技术的基础上,提出一种基于双空间审计迹的安全审计方法,融合操作系统内核空间的系统调用和用户空间的库函数调用,提高对操作系统内核层攻击和恶意用户行为的识别能力。对LSM框架进行审计扩展,用于设计审计模型的数据获取模块,增强了模型的审计粒度、安全性和灵活性。为了提高安全审计的实时性,引入典型集方法压缩正常行为特征库。     

基于Linux Shell的安全审计机制

用户登录后在Linux Shell中留下的历史记录是审计信息的重要来源,但未能包含判断入侵与否的足够信息,且很容易被篡改。文中基于shell机制,利用可装入内核模块/、proc虚拟文件系统和系统调用劫持技术,实现了一个较全面的入侵检测的审计机制,同时给出了一个用其进行安全监测的简单实例以及该方法的优点。     

基于Linux Shell的安全审计机制

用户登录后在Linux Shell中留下的历史记录是审计信息的重要来源,但未能包含判断入侵与否的足够信息,且很容易被篡改。文中基于shell机制,利用可装入内核模块/、proc虚拟文件系统和系统调用劫持技术,实现了一个较全面的入侵检测的审计机制,同时给出了一个用其进行安全监测的简单实例以及该方法的优点。     

基于遗传算法的系统调用序列审计研究

在分析已有通过系统序列调用分析入侵行为的基础上,提出了一种基于遗传算法的系统调用序列审计算法。该算法首先从系统运行的进程中截获并生成系统调用序列,并通过遗传算法对其进行演化,来达到对未知攻击调用序列审计的目的。算法的规则中使用通配符可以大大减少审计规则的数量,从而提高审计系统的运行效率,最后分析了通配符个数以及信任度对规则数量和准确率的影响。     

网桥审计系统的设计与实现

通过分析目前主要几种审计系统的不足，提出了一种基于Linux内核的网桥审计系统的实现方法。首先介绍了与该系统有关的Linux内核部分，最后给出审计系统的模块设计和功能实现。     

Linux Shell安全审计机制的扩展

Unix Shell生成的命令历史记录是系统审计信息的重要来源,但它未能包含检测入侵所需的足够信息,且容易被用户本人篡改.利用可装入内核模块和系统调用劫持技术实现了对Linux Shell安全审计机制的扩展,并给出了用其进行安全监测的例子.     

嵌入式Linux内核运行态性能可视化分析方法的设计与实现

介绍了嵌入式Linux操作系统下的一种内核运行态可视化性能分析方法.它采用Linux的字符设备驱动技术,Linux内核源代码内的探针嵌入以及内核补丁技术,基于Socket的Linux端与Windows端的TCP通信技术和Windows端的图形化显示技术,以模块化方式实现了在Windows宿主操作系统下对Linux操作系统运行时系统事件状态变化的图形化地观察手段,从而辅助软件开发人员方便地去诊断和解决嵌入式Linux系统中存在的调度问题、性能问题以及定时问题等.