Linux核心即時入侵檢測安全增強－介紹(轉)

Linux核心即時入侵檢測安全增強－介紹(轉)[@more@]一．介紹
冰塊

　　 現在大家已經公認了，世界上沒有絕對的方法或絕對安全的系統來阻止駭客的入侵：
沒有漏洞的軟體對我們來說還是一個夢想。即使是很流行的程式或是作業系統一樣會包含很都可以被入侵者利用的漏洞。
許多軟體包的行為都是和其他作業系統的元件（函式庫或是核心）相互作用的。
　　 由於這個原因，所以入侵檢測和如何處理入侵行為在計算機工業裡一直在廣泛的討論和研究。
　　很多現有的入侵檢測的技術都是基於一些對審計和日誌檔案的分析。主要思想是搜尋整個系統的檔案和參考列表來發現畸形的，不期望的系統配置的改變。(如，有一個新的使用者的使用者ID是0)。另外一種方法就是週期性的執行一個程式來做系統檔案的屬性和參考列表的比較。這些過程主要是來對付Trojan木馬的。這樣的程式是看起來對系統不是很危險，但是可以讓入侵者得到控制整個系統所需的許可權。
　　 這樣程式的好處是不用進入核心部分。如，他們不用進行對系統命令的修改。但是，他們也不能對入侵進行即時的防範，因為，大多數情況下，這些結果都是在入侵者攻擊以後才生成的。
　　 因為所有對系統的破壞性攻擊都是透過一些敏感的系統呼叫來實現的。所以，即時的入侵檢測透過監視每一個系統呼叫就可以保護你的系統不受攻擊者破壞。
　　這裡我們建立一個在核心級能夠實現截獲和監視特殊系統呼叫的函式。我們的方法需要最小的改變系統原來內部的結構。由於類Unix系統的這個程式碼都是公開的，我們就可以基於公開的核心程式碼來截獲系統呼叫，並根據我們設定的規則來檢驗系統呼叫是否是惡意的，起到入侵檢測和防範的功能。
　　 這軟體的主要設計目的如下：
在惡意的系統呼叫執完全行前檢測到它，以起到阻止惡意的入侵攻擊。
允許對系統呼叫引數的一個有效的檢測。
在不改變系統已經存在的資料結構和體系的情況下，透過擴充套件核心的功能來實現一個增強的安全的作業系統。
感謝即時的入侵檢測，因為原來的擴充套件作業系統可以讓入侵者的惡意程式和合法的程式一起執行。有了這個系統，我們就可以對系統的所有程式進行分析，發現惡意的程式以及他們之間的關係。
　　 作為一個實現我們技術的例子我們建立了一個在攻擊完成前對緩衝區溢位攻擊進行檢測的原形。一個基於作業系統的入侵檢測的實現能在檢測緩衝區溢的時候的提供一些必要的功能選項。