基于双空间审计迹的Linux安全审计技术

在研究Linux安全审计技术的基础上,提出一种基于双空间审计迹的安全审计方法,融合操作系统内核空间的系统调用和用户空间的库函数调用,提高对操作系统内核层攻击和恶意用户行为的识别能力。对LSM框架进行审计扩展,用于设计审计模型的数据获取模块,增强了模型的审计粒度、安全性和灵活性。为了提高安全审计的实时性,引入典型集方法压缩正常行为特征库。     

Windows内核恶意代码分析与检测技术研究

Windows内核恶意代码是指能够通过改变Windows执行流程或者改变内核审计和簿记系统所依赖的数据结构等手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害。对近年来基于NT内核的微软Windows操作系统下恶意代码主要的隐藏实现技术（包括对进程函数、注册表函数、SSDT等的HOOK行为）进行了深入分析研究,提出了一些具有实用价值的恶意代码检测技术方案。实践表明文中提出的恶意代码分析检测技术在实际中具有积极的指导意义。     

Windows内核恶意代码分析与检测技术研究

Windows内核恶意代码是指能够通过改变Windows执行流程或者改变内核审计和簿记系统所依赖的数据结构等手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害.对近年来基于NT内核的微软Windows操作系统下恶意代码主要的隐藏实现技术(包括对进程函数、注册表函数、SSDT等的HOOK行为)进行了深入分析研究,提出了一些具有实用价值的恶意代码检测技术方案.实践表明文中提出的恶意代码分析检测技术在实际中具有积极的指导意义.     

不同的应用，相同的选择 浪潮SSR在行业中的精彩应用

浪潮集团作为中国服务器产业的领军厂商,近年来,投入相当力量致力于服务器安全领域的研究,旗下的服务器安全加固系统（SSR）作为国内首款操作系统内核级安全产品．独有的内核安全技术,重构操作系统的核心层权限访问控制模型,实现了系统操作人员最小授权管理、行为安全审计功能、重要数据库、业务系统等核心数据资产强制访问控制保护．从信息系统核心层解决了网络病毒、黑客人侵、内部人员违规操作等安全隐患,为中国信息化建设的健康发展保驾护航。     

Kylin安全审计系统的设计与实现

通过用户与角色关联、角色与强制访问控制策略关联,Kylin操作系统实现了角色定权.在借鉴并继承Linux审计框架的基础上,Kylin安全审计系统设计实现了基于角色的审计,定义了针对角色定权以及强制访问控制策略的统一审计接口和日志记录与分析功能.与Linux安全审计系统由root负责审计管理不同,利用角色定权和强制访问控制策略,实现了只能由审计管理员进行安全审计管理工作.针对审计日志内容复杂、用户难以理解的缺点,实现了便捷的日志查询和友好的图形化审计管理工具.     

操作系统内核级安全审计系统的设计与实现

随着人们对操作系统的安全要求越来越高，建立安全、完备的审计子系统成为操作系统安全领域的一个重要课题。本文提出一个通过在内核安插钩子函数来实现模块化审计系统的方法，用这种方法设计并实现一个基于Linux操作系统的、遵循国家标准Gg17859—1999第四级要求的安全审计子系统。这个审计系统以模块形式连入内核，通过往内核中安插审计钩子来收集审计信息，对内核影响较小，并能适应内核的升级；通过用内核线程代替后台进程将审计记录存入磁盘，实现了审计的完全内核化，增强了系统安全；通过对所有系统调用进行审计，实现了对利用隐蔽存储信道时可能被使用的事件的审计。     

通过扩展LSM框架构建审计支持机制

LSM是纳入到Linux内核的一个安全模型支持框架,它通过提供钩子机制来支持安全机制的实现。审计机制是安全操作系统的重要组成部分。然而,LSM的现有设计主要考虑的是对访问控制的支持,对审计机制的支持存在着明显的不足。把审计支持纳入到LSM框架中,为审计系统或者是入侵检测系统提供统一的支持接口,对安全操作系统的研究有重要意义。本文提出一个扩展LSM框架的方法,以增强LSM框架对审计机制的支持能力。本文论述了扩展LSM框架实现审计的方法,以及如何在LSM框架中加入审计钩子及在内核函数中插入钩子函数。依照这种方法,作为安全操作系统SECIMOS开发工作的一个重要组成部分,我们在Linux内核中实现了一个审计系统,并对其性能进行了分析。     

一个分层隔离的操作系统内核

传统单块结构操作系统的所有内核代码在一个公共的、共享的地址空间运行,因此内核中任何一个漏洞或在内核中加载任何不可靠模块都会威胁到整个系统的安全。研究并实现了一个分层隔离的操作系统安全内核,将内核特权分割隔离,阻止内核安全漏洞的扩散,防止恶意内核模块代码对内核代码数据的随意篡改。原型操作系统完全自主开发,支持i386体系结构。     

Linux用户行为记录器的一种内核级实现方法

用户登录后敲击键盘的行为记录是判断用户是否有恶意行为以及安全审计的重要信息来源。基于Linux,通过使用内核函数劫持技术劫持并修改键盘输入的相关内核函数．同时利用可装载内核模块技术将修改后的内核函数作为可装载模块插入内核,实现了一个内核级的行为记录器。这种实现方法可以记录本地用户以及远程用户所有敲击键盘的行为,包括ctrl,alt,shift等特殊键码．利用键盘映射码表转换成标准的ASCII码格式输出到日志文件中。     

信息战环境下基于数据依赖的文件可靠恢复

虽然现有的安全操作系统能够防止非授权用户的访问,但是它们不能阻止授权用户的恶意攻击行为。在信息战环境下,恶意授权用户(malicious authorized user)发起的数据篡改攻击是一种新的严重安全威胁。它通过被恶意修改的数据误导被攻击的组织做出错误的决策。针对恶意系统授权用户造成的文件数据篡改破坏问题,本文提出了一种基于数据依赖的文件数据可靠恢复算法。在发现系统授权用户的恶意攻击行为后,它能够通过对恶意用户所攻击的文件数据和非恶意用户所访问文件数据间存在的数据依赖关系的分析,自动发现被破坏的数据并对其进行自动修复。它的优点在于对受破坏的文件数据恢复时,能够保留未受恶意攻击影响的工作,从而提高系统的可用性,增强抗恶意攻击的能力。     

基于遗传的审计跟踪算法的研究

安全审计是保护计算机遭受恶意攻击的重要技术之一。安全审计系统利用跟踪策略来实现对用户行为的跟踪。但是由于先验知识的局限,对于管理员来说很难为每个用户制定准确地跟踪策略。介绍了一种基于遗传的审计跟踪算法解决此类问题。实验证明,该算法具有实用性,并能以算法精度上损失可接受的代价（接近最优解80%以上）极大的提高算法的运行时间。使得该方法可以用在大规模多用户的环境。     

基于Linux操作系统的审计增强

论述了基于Linux基础平台开发高可靠性安全操作系统中审计系统的设计思想与实现。在此审计系统中,通过审计系统调用实现了细粒度的系统级审计数据的收集,并且基于B／S架构,实现了具有自动分析功能的图形化安全远程审计管理平台。     

Linux安全操作系统的审计机制的研究与实现

安全审计作为安全操作系统的一个重要安全机制。对于监督系统的正常运行、保障安全策略的正确实施、构造计算机入侵检测系统等都有重要的意义。论文研究了安全审计的相关原理,分析了现有审计机制存在的相关问题,提出了一个内核级安全审计模型,在此基础上实现了一个基于Linux资源的审计系统。     

计算机网络信息安全及其防护策略的研究简

网络信息安全问题关乎一个国家的安全、社会的稳定,并且随着全球信息化步伐的加快越来越重要。网络信息安全面临的主要威胁有：固有的安全漏洞、黑客（Hack）的恶意攻击、网络自身的管理缺陷、恶意网站设置的陷阱、用户操作失误以及网络内部人员的不良行为造成的安全问题。确保网络信息安全需要采取的对策有：信息加密、为计算机安装防病毒软件和防火墙、升级操作系统补丁、安装入侵检测系统、隐藏IP地址、更换管理员账户和不要随意回复陌生邮件。     

一个基于引用监控机的内核完整性保护方法

运用引用监控机的概念和虚拟机监控器的功能,提出了一种新的保护内核完整性的方法。该方法在虚拟机监控器中增加了引用监控模块,使之成为引用监控机;让客户操作系统内核以非特权模式运行在引用监控机上,使其对某些资源的修改操作必须经过运行于特权模式的引用监控机的验证,从而阻止恶意代码修改内核。与传统的防御恶意代码的方法相比,传统方法只能检测出内核完整性已被破坏,不能阻止恶意代码对内核的修改。