Linux核心即時入侵檢測安全增強-系統呼叫執行步驟(轉)
Linux核心即時入侵檢測安全增強-系統呼叫執行步驟(轉)[@more@]二.系統呼叫執行步驟
冰塊
我們的系統安全增強是建立在一個核心後面的參考監視器上的。
使用者的程式要想訪問系統的呼叫就必須經過這個參考的監視器。如圖1。這個系統呼叫參考的監視器包括兩個重要的功能部分:參考功能函式和認證功能函式。參考功能函式是用來生成一個結果,這個結果是關於是否允許或是拒絕一個基於訪問控制資料庫系統呼叫請求的。這個訪問控制資料庫概念性的包括入口和訪問控制的規則(規則涉及程式,系統呼叫,訪問模式)。在ACD中的訪問控制規則能捕捉在系統呼叫和他們相關引數的情況。舉例,一個execve系統呼叫的控制規則可以在executable檔案列表中指定訪問的模式來控制呼叫這個程式的呼叫execve的系統呼叫。這個檔案就是呼叫程式對execve的合法通行憑證。這樣的功能可以允許阻止一個有特權的沒有正確註冊的程式(如,setuid)如互動的shell對系統的非授權攻擊或是濫用。
ACD不是參考監視器的一部分,但是對這個資料庫的所有控制都是透過引數監視器來控制的。這就是我們說的第二個元件,認證功能元件。
這個元件是用來監視對個別訪問控制規則改變的。參考監視器的一個基本的規則就是全部的,也就是所有的訪問都必須在這裡調停。然而,一般方法在系統呼叫的高階級別來實現這個功能會有很到的資源的消耗。大約會對系統呼叫有30%的資源浪費。為了減少這樣的消耗,我們提出了一個更加有效率的方法,就是在基於攔截系統核心的系統呼叫來實現這個參考監視器的功能。我們這個方法能儘量少的改變本地作業系統,也不會改變作業系統內部的官方介面。如類Unix系統,還有其他的一些公開原始碼的作業系統(如,Linux、xxBSD、Solaris)。我們的目的是建立一個參考的監視妻來截獲系統呼叫,並把截獲到的系統呼叫和訪問控制資料庫進行比較,來確定是不是合法的系統呼叫和引數。
因為這樣的方法是在系統呼叫生效前就截獲的,所以他可以阻止任何由入侵者對系統非法的惡意的系統呼叫。從而起到保護系統的功能。
冰塊
我們的系統安全增強是建立在一個核心後面的參考監視器上的。
使用者的程式要想訪問系統的呼叫就必須經過這個參考的監視器。如圖1。這個系統呼叫參考的監視器包括兩個重要的功能部分:參考功能函式和認證功能函式。參考功能函式是用來生成一個結果,這個結果是關於是否允許或是拒絕一個基於訪問控制資料庫系統呼叫請求的。這個訪問控制資料庫概念性的包括入口和訪問控制的規則(規則涉及程式,系統呼叫,訪問模式)。在ACD中的訪問控制規則能捕捉在系統呼叫和他們相關引數的情況。舉例,一個execve系統呼叫的控制規則可以在executable檔案列表中指定訪問的模式來控制呼叫這個程式的呼叫execve的系統呼叫。這個檔案就是呼叫程式對execve的合法通行憑證。這樣的功能可以允許阻止一個有特權的沒有正確註冊的程式(如,setuid)如互動的shell對系統的非授權攻擊或是濫用。
ACD不是參考監視器的一部分,但是對這個資料庫的所有控制都是透過引數監視器來控制的。這就是我們說的第二個元件,認證功能元件。
這個元件是用來監視對個別訪問控制規則改變的。參考監視器的一個基本的規則就是全部的,也就是所有的訪問都必須在這裡調停。然而,一般方法在系統呼叫的高階級別來實現這個功能會有很到的資源的消耗。大約會對系統呼叫有30%的資源浪費。為了減少這樣的消耗,我們提出了一個更加有效率的方法,就是在基於攔截系統核心的系統呼叫來實現這個參考監視器的功能。我們這個方法能儘量少的改變本地作業系統,也不會改變作業系統內部的官方介面。如類Unix系統,還有其他的一些公開原始碼的作業系統(如,Linux、xxBSD、Solaris)。我們的目的是建立一個參考的監視妻來截獲系統呼叫,並把截獲到的系統呼叫和訪問控制資料庫進行比較,來確定是不是合法的系統呼叫和引數。
因為這樣的方法是在系統呼叫生效前就截獲的,所以他可以阻止任何由入侵者對系統非法的惡意的系統呼叫。從而起到保護系統的功能。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617731/viewspace-958307/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Linux核心即時入侵檢測安全增強-介紹(轉)Linux
- Linux核心即時入侵檢測安全增強-後語(轉)Linux
- Linux核心即時入侵檢測安全增強-防止緩衝區溢位的核心補丁(轉)Linux
- Linux核心入侵檢測安全增強實現(下)(轉)Linux
- Linux核心入侵檢測安全增強實現(上)(轉)Linux
- 用LIDS增強Linux系統安全(轉)Linux
- Linux雲主機安全入侵排查步驟Linux
- Linux入侵檢測(轉)Linux
- 網路安全筆記-入侵檢測系統筆記
- linux檢測系統是否被入侵(上)Linux
- SNORT入侵檢測系統
- Snort 入侵檢測系統
- Linux中如何檢測系統是否被入侵Linux
- 入侵檢測系統分析及其在Linux下的實現(轉)Linux
- Linux 9系統下構建小型入侵檢測系統Linux
- 無線入侵檢測系統
- linux 核心安全增強 — stack canaryLinux
- Linux 上搭建 Snort+BASE 入侵檢測系統Linux
- make工作時的執行步驟
- 開源的IDS(入侵檢測系統)-- Snort (轉)
- Freebsd構建小型的入侵檢測系統(轉)
- Linux入侵監測系統LIDS原理(轉)Linux
- linux 核心安全增強(一)— stack canaryLinux
- Linux核心模組程式設計--系統呼叫(轉)Linux程式設計
- Linux檢視系統cpu個數、核心數、執行緒數Linux執行緒
- 實驗室環境下測試千兆入侵檢測系統(轉)
- 初學者執行jdonframework應用系統的步驟Framework
- *NIX入侵檢測方法(轉)
- 如何增強 Linux 核心中的訪問控制安全Linux
- Linux入侵檢測基礎Linux
- Linux下如何檢視系統啟動時間和執行時間Linux
- 檢視oracle系統的執行時間Oracle
- Linux核心分析--系統呼叫實現程式碼分析(轉)Linux
- 加強redhat linux系統安全的方法(轉)RedhatLinux
- 使用capability加強Linux系統的安全(轉)Linux
- 用capability 特徵加強Linux系統安全(轉)特徵Linux
- 入侵檢測系統(IDS)的測試與評估
- 啟明星辰天闐入侵檢測管理系統再獲殊榮(轉)