基于LSM架构对Linux文件系统进行安全性增强

Linux内核只提供了经典的UNIX自主访问控制。Linux安全模块(LSM)是Linux内核的一个轻量级通用访问控制框架,它使得各种不同的安全访问控制模型能够以Linux可加载内核模块的形式实现出来。首先时Linux安全模块(LSM)的实现机制和接口进行了介绍,然后提出了一种时Linux文件系统的基于LSM架构的强访问控制增强,同时改进了LSM机制引入了多级安全策略的机制。     

基于LSM的仪器系统网络安全访问控制的研究

Linux内核只提供经典的自主访问控制.Linux安全模块(LSM)足一个轻量级通用访问控制框架,它使得各种不同的安全访问控制模型能够以可加载的模块形式实现出来.本文指出LSM架构完全适合对仪器系统的网络安全访问控制,并讨论了一种细粒度的强制访问控制策略在其上的实现.     

基于物联网和SOM算法的信息监控系统设计

在物联网环境下进行信息监控系统设计,实现对网络信息的监控和自适应采集,保障网络安全。针对采用传统的神经网络控制方法进行信息监控的数据挖掘准确性不好的问题,提出一种基于物联网和自组织映射SOM算法的信息监控系统设计方法,首先进行信息监控系统的总体设计和功能模块化分析,然后设计改进的SOM算法,应用在信息监控的数据挖掘和分类识别中,在程序加载模块中进行算法加载,最后在物联网环境下构建嵌入式Linux内核进行信息监控系统的软件设计和开发。系统仿真实验结果表明,采用该信息监控系统进行大型物联网的数据信息监控,对数据的准确挖掘和识别性能较好。     

一种基于Linux安全模块的第三方日志系统

Linux安全模块(Linux SecurityModule,LSM)是为主流Linux内核设计的一种轻量级、通用的访问控制框架,它提供了内核级的编程接口。通过LSM可以非常方便地实现对内核数据的各种访问控制机制。虽然LSM没有显式地提供对安全审计的支持,但它所提供的各种接口十分有利于记录各种内核信息。主要研究在LSM框架基础上的日志记录和审计系统。通过对LSM的研究,设计了一个第三方日志系统,实现了信息记录和安全审计。     

Linux内核动态模块开发分析

Linux内核动态模块（LKM）是Linux用于扩充其功能的重要手段,它允许一些模块动态地加载和卸载,而不需要重新编译内核。结合最新的Linux内核发展情况,不仅分析了模块加载的原理,而且分析了具体的方法和注意事项,同时给出了相应的例子,还提供了相关的Linux常用命令,对相关的开发有指导意义。     

Linux可加载内核模块LKM机制安全性研究

基于访问控制策略,对Linux系统可加载内核模块LKM机制的安全缺陷进行了研究,对各种利用LKM的攻击方法进行了深入的综合分析,最后从监控所有的模块操作、基于capabilities能力机制的权限分解、基于加密模块的安全的LKM这3个方面,对LKM安全增强技术进行了探讨,并重点从机密模块加载过程、ELF格式文件操作等关键技术,对基于加密模块的安全LKM设计进行阐述.     

基于LSM框架构建Linux安全模块

操作系统安全是信息安全的一个重要方向.Linux安全模块(LSM)为Linux操作系统内核支持多个安全模块提供了有力的支持.首先介绍了LSM的实现机制,详细分析了它的关键技术.然后,以一个具体的安全模块为例,描述了如何使用LSM机制在Linux操作系统中完成一个简单的安全模块的开发.介绍了安全模型构建的过程,并对它的安全性进行了讨论.使用LSM框架可以使得操作系统灵活的支持和采用各种不同的安全策略,提高系统的安全性.     

Linux可信引导技术研究

可信计算对于信息系统的安全需求,提出了新的计算机系统安全解决方案,成为目前安全领域的研究热点.提出基于可信平台模块TPM(Trusted Platform Module)的Linux引导技术,阐述Linux引导模块之间信任链的建立及完整性度量的方法.任何模块加载执行之前必须通过完整性度量才能获得控制权,远程系统通过完整性度量值验证引导过程是否真实可信.     

内核入侵隐藏技术的研究与实现

对不支持可加载模块的系统内核入侵代码隐藏技术进行了研究.比较了内核支持可加载模块和内核不支持可加载模块的内核入侵的方法区别,阐述了内核入侵在求解系统调用表的地址、kmalloc函数的地址、编写函数分配内核空间内存、编写入侵代码、汇编代码处理、提取代码段及重定位信息、分配内核空间的内存、代码写入分配的内存等八个主要流程.在总结入侵代码隐藏技术原理的基础上,给出了入侵代码隐藏文件信息、进程信息和网络连接技术的详细设计实现.     

基于LSM的安全审计机制研究与实现

提出了基于Linux安全模块(LSM)的安全审计机制.分析了进程任务结构并将安全域指向特定的数据结构,对LSM进行了审计功能的扩展.添加了审计钩子和审计钩子函数,以收集更加全面的审计信息;提供了加载函数和卸载函数,以实现安全审计模块的动态增删;增加了安全预警模块和日志管理模块,提高了审计机制的实时性和审计日志信息的安全性.测试结果表明,所实现的审计机制具有良好的安全性和运行性能,同时对内核影响较小,能自适应内核的升级.     

基于分层对象化RBAC的设计与实现

安全内核的功能是维护系统内部信息的安全.通常是根据不同的安全需求,在安全内核中实施不同的安全策略.RBAC是一种能够满足系统多方面安全需求的访问控制机制.传统RBAC在改变角色的操作集合时,易与外部应用程序发生冲突.通过把访问系统内部信息的操作对象化,并作为角色分派给应用程序,在对象化的操作和应用程序之间派生出一个角色权限检查对象,灵活地实施分层对象技术,能够克服传统RBAC的不足,使RBAC的安全策略能够任意改变.     

基于Unix流机制的IPSec内核实现与改进

在分析Unix的流机制(Streams)的基础上,详细论述了unix系统下IPSec内核模块的实现方法：以流模块的方式实现IPSec内核,并且利用流机制的PUSH操作将其配置在TCP／IP协议栈中。最后,给出了提高IPSec内核模块处理性能的几种方法,包括修改MTU值以避免IP包分片、调节流核心资源和采用硬件芯片加密等。     

补充反馈模块的深度标注框架研究

由数据库生成的动态Web页是静态页面的数百倍,直接针对Web页产生过程的深度标注可以提高动态Web页的标注效率。针对动态Web页以查询生成居多的特点,提出标注与反馈相结合的深度标注框架,即第一步通过标注模块进行初步标注,并记录Web页面的查询要求;第二步分析查询信息,找出不同Web页的关系,通过反馈模块进一步补充标注内容,从而提高标注的质量。     

A policy‐centric approach to protecting OS kernel from vulnerable LKMs

Loadable kernel modules (LKMs) that contain vulnerabilities are a big threat to modern operating systems (OSs). The primary reason is that there is no protection mechanism inside the kernel space when the LKM is executed. As a result, kernel module exploitation can seriously affect the OS kernel security. Although many protection systems have been developed to address this problem in the past few years, there still remain some challenges: (1) How to automatically generate a security policy before the kernel module is enforced? (2) How to properly mediate the interactions between the kernel module and the OS kernel without modifications on the existing OS, hardware, and kernel module structure? To address these challenges, we present LKM guard (LKMG), a policy‐centric system that can protect commodity OS kernel from vulnerable LKMs. Compared with previous systems, LKMG is able to generate a security policy from a kernel module and then enforce the policy during the run time. Generally, the working process of LKMG can be divided into 2 stages. First, we utilize static analysis to extract the kernel code and data access patterns from a kernel module's source code and then combine these patterns with the related memory address information to generate a security policy. Second, by leveraging the hardware‐assisted virtualization technology, LKMG isolates the kernel module from the rest of the kernel and then enforces the kernel module's execution to obey the derived policy. The experiments show that our system can defend against various attacks launched by the compromised kernel module effectively with moderate performance cost.     

基于虚拟化技术的客户虚拟机内核模块检测方法

虚拟化技术是云计算的关键技术之一.同时,监视虚拟机又是虚拟化平台的一个重要功能.为了更好的获取客户虚拟机的内部信息,在Xen虚拟化环境中设计并实现了一种轻量级的虚拟机内核模块检测方法KMDM. KMDM驻留在宿主机里面,利用虚拟机自省机制来获取被监控虚拟机的内核模块信息.实验结果表明, KMDM能够全面检测客户虚拟机的内核模块信息,检测结果准确、可靠.     

一种基于Linux的网络备份系统的设计与实现

提出并实现了一种基于Linux的网络备份系统,该系统在物理层实现了对数据的远程同步或异步备份。系统在Linux操作系统中以内核模块的方式运行,对应用程序透明,不影响原操作系统的稳定性;针对Linux的内核存储机制,在内核设备驱动层的入口处进行备份数据的网络传输,此设计支持Linux内核支持的所有存储介质和文件系统。     

A controlled genetic programming approach for the deceptive domain

Traditional genetic programming (GP) randomly combines subtrees by applying crossover. There is a growing interest in methods that can control such recombination operations in order to achieve faster convergence. In this paper, a new approach is presented for guiding the recombination process for genetic programming. The method is based on extracting the global information of the promising solutions that appear during the genetic search. The aim is to use this information to control the crossover operation afterwards. A separate control module is used to process the collected information. This module guides the search process by sending feedback to the genetic engine about the consequences of possible recombination alternatives.     

基于组反馈融合机制的视频超分辨率模型

视频超分辨率（video super-resolution,VSR）的目的是利用多个相邻帧的信息来生成参考帧的高分辨率版本。现有的许多VSR工作都集中在如何有效地对齐相邻帧以更好地融合相邻帧信息,而很少在相邻帧信息融合这一重要步骤上进行研究。针对该问题,提出了基于组反馈融合机制的视频超分辩模型（GFFMVSR）。具体来说,在相邻帧对齐后,将对齐视频序列输入第一重时间注意力模块;然后,将序列分成几个小组,各小组依次通过组内融合模块实现初步融合。不同小组的融合结果经过第二重时间注意力模块;然后,各小组逐组输入反馈融合模块,利用反馈机制反馈融合不同组别的信息,最后将融合结果输出重建。经验证,该模型具有较强的信息融合能力,在客观评价指标和主观视觉效果上都优于现有的模型。     

一种基于对象线索化RBAC的设计与实现

安全内核中通常是使用一个模块实现所有的安全策略,对应用程序的独立性不强,不利于安全策略的改变。信息安全工具包的安全内核采用了线索化的正交软件体系结构,对每个子系统使用对象技术实现,也对象化了访问安全工具包内部信息的应用程序,使安全内核独立于外部应用程序。安全内核内部对象也相互独立,便于功能扩展和维护。安全内核实施了RBAC作为对象的安全访问控制机制,保证了对象化应用程序的安全性,也保证了工具包内部信息的安全性。