Linux核心即時入侵檢測安全增強－系統呼叫執行步驟(轉)

Linux核心即時入侵檢測安全增強－系統呼叫執行步驟(轉)[@more@]二．系統呼叫執行步驟
冰塊
　　 我們的系統安全增強是建立在一個核心後面的參考監視器上的。

　　使用者的程式要想訪問系統的呼叫就必須經過這個參考的監視器。如圖1。這個系統呼叫參考的監視器包括兩個重要的功能部分：參考功能函式和認證功能函式。參考功能函式是用來生成一個結果，這個結果是關於是否允許或是拒絕一個基於訪問控制資料庫系統呼叫請求的。這個訪問控制資料庫概念性的包括入口和訪問控制的規則（規則涉及程式，系統呼叫，訪問模式）。在ACD中的訪問控制規則能捕捉在系統呼叫和他們相關引數的情況。舉例，一個execve系統呼叫的控制規則可以在executable檔案列表中指定訪問的模式來控制呼叫這個程式的呼叫execve的系統呼叫。這個檔案就是呼叫程式對execve的合法通行憑證。這樣的功能可以允許阻止一個有特權的沒有正確註冊的程式（如，setuid）如互動的shell對系統的非授權攻擊或是濫用。

　　 ACD不是參考監視器的一部分，但是對這個資料庫的所有控制都是透過引數監視器來控制的。這就是我們說的第二個元件，認證功能元件。

　　這個元件是用來監視對個別訪問控制規則改變的。參考監視器的一個基本的規則就是全部的，也就是所有的訪問都必須在這裡調停。然而，一般方法在系統呼叫的高階級別來實現這個功能會有很到的資源的消耗。大約會對系統呼叫有30%的資源浪費。為了減少這樣的消耗，我們提出了一個更加有效率的方法，就是在基於攔截系統核心的系統呼叫來實現這個參考監視器的功能。我們這個方法能儘量少的改變本地作業系統，也不會改變作業系統內部的官方介面。如類Unix系統，還有其他的一些公開原始碼的作業系統（如，Linux、xxBSD、Solaris）。我們的目的是建立一個參考的監視妻來截獲系統呼叫，並把截獲到的系統呼叫和訪問控制資料庫進行比較，來確定是不是合法的系統呼叫和引數。

　　 因為這樣的方法是在系統呼叫生效前就截獲的，所以他可以阻止任何由入侵者對系統非法的惡意的系統呼叫。從而起到保護系統的功能。