馬媛麗

（山西省工貿(mào)學(xué)校，山西 太原 030024）

基于沙盒機(jī)制的入侵檢測

馬媛麗

（山西省工貿(mào)學(xué)校，山西 太原 030024）

文章提出了基于沙盒機(jī)制的入侵檢測，能夠限制不可信代碼在可信區(qū)域里執(zhí)行，從而達(dá)到主動(dòng)系統(tǒng)防護(hù)的目的，并且分析了三種沙盒機(jī)制，分別介紹了其優(yōu)缺點(diǎn)，并重點(diǎn)介紹了基于細(xì)分類保護(hù)區(qū)域模型的沙盒機(jī)制如何確保應(yīng)用進(jìn)程的安全運(yùn)行。

入侵檢測；沙盒；偵聽系統(tǒng)調(diào)用；安全策略；監(jiān)控進(jìn)程；細(xì)分類

隨著互聯(lián)網(wǎng)的蓬勃發(fā)展和Linux操作系統(tǒng)的普及，針對(duì)Linux操作系統(tǒng)的病毒和攻擊程序也不斷出現(xiàn)。他們利用多種形式進(jìn)行攻擊，或者利用特權(quán)程序的軟件錯(cuò)誤來獲得超級(jí)用戶特權(quán)，或者利用系統(tǒng)漏洞來訪問保密數(shù)據(jù)，或者利用合法用戶下載并運(yùn)行特洛伊木馬程序來產(chǎn)生破壞。用戶面臨的問題就是如何確保他們的計(jì)算機(jī)系統(tǒng)不受遠(yuǎn)程惡意攻擊的破壞。這就需要有效的方法來對(duì)各種非法程序做出主動(dòng)的響應(yīng)和防御。

對(duì)于檢測計(jì)算機(jī)系統(tǒng)是否遭受惡意攻擊以及限制不可信進(jìn)程的研究已經(jīng)有好幾年的歷史了。其中一種主動(dòng)檢測攻擊的方法是入侵檢測 (Intrusion Detection)。入侵檢測是指通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對(duì)系統(tǒng)的闖入或闖入的企圖。入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集與安全策略有關(guān)的行為和信息，并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有被攻擊的跡象。

一、Linux系統(tǒng)調(diào)用機(jī)制

在Linux操作系統(tǒng)中，系統(tǒng)調(diào)用是用戶程序和操作系統(tǒng)的一個(gè)接口，也是進(jìn)程使用內(nèi)核管理功能的唯一接口。出于保護(hù)目的，把Linux操作系統(tǒng)區(qū)分成用戶空間和內(nèi)核空間。操作系統(tǒng)內(nèi)核運(yùn)行在內(nèi)核空間，而用戶進(jìn)程運(yùn)行在用戶空間。由于保護(hù)級(jí)別不同，用戶進(jìn)程不能直接訪問內(nèi)核的數(shù)據(jù)，也不能直接調(diào)用內(nèi)核的函數(shù)。操作系統(tǒng)內(nèi)核是為用戶服務(wù)的，用戶所有操作最終都通過內(nèi)核函數(shù)來實(shí)現(xiàn)。

當(dāng)攻擊者通過網(wǎng)絡(luò)遠(yuǎn)程攻擊系統(tǒng)，最終在目標(biāo)系統(tǒng)上執(zhí)行系統(tǒng)調(diào)用對(duì)系統(tǒng)產(chǎn)生破壞，并產(chǎn)生了偵聽系統(tǒng)調(diào)用的方法。這是沙盒系統(tǒng)常采用的一種方法。進(jìn)程在運(yùn)行期間要調(diào)用不同的系統(tǒng)函數(shù)，而它們可以調(diào)用的系統(tǒng)函數(shù)及其參數(shù)是有限制的。如果能檢測到所有的系統(tǒng)調(diào)用，就可以判斷出攻擊并且執(zhí)行相應(yīng)的操作：中斷系統(tǒng)調(diào)用或改變它的操作數(shù)或直接終止該進(jìn)程。

二、沙盒模型

1.沙盒模型概述

沙盒是指在可信環(huán)境里執(zhí)行不可信代碼，限制該代碼訪問文件和目錄的權(quán)限。如果一個(gè)惡意進(jìn)程試圖違反安全策略并進(jìn)行非授權(quán)訪問，沙盒系統(tǒng)就會(huì)作出判斷并進(jìn)行過濾。在網(wǎng)絡(luò)環(huán)境下，沙盒可以安全地過濾網(wǎng)絡(luò)應(yīng)用程序。網(wǎng)絡(luò)應(yīng)用程序就是指從網(wǎng)絡(luò)上獲取的進(jìn)程數(shù)據(jù)（比如郵件、網(wǎng)頁和電子文檔）。這些應(yīng)用程序都存在一些漏洞，可能遭受惡意攻擊。

沙盒機(jī)制比利用審計(jì)數(shù)據(jù)進(jìn)行入侵檢測更有效。首先，系統(tǒng)審計(jì)日志并不能提供入侵檢測所需的所有信息。其次，審計(jì)日志上記錄了有用信息，但是所需的開銷和磁盤空間大。偵聽系統(tǒng)調(diào)用方法即使在離線狀態(tài)，也能通過訪問所需的信息來判斷入侵，降低了訪問無效信息的開銷。

許多研究都致力于使用發(fā)展偵聽系統(tǒng)調(diào)用方法的沙盒模型。該方法通過監(jiān)控進(jìn)程來監(jiān)控應(yīng)用進(jìn)程調(diào)用的系統(tǒng)函數(shù)。監(jiān)控進(jìn)程是一段程序代碼，負(fù)責(zé)過濾掉對(duì)安全策略產(chǎn)生影響的系統(tǒng)調(diào)用。偵聽系統(tǒng)調(diào)用方法允許監(jiān)控進(jìn)程控制應(yīng)用進(jìn)程的資源訪問。

2.沙盒模型分類

按照監(jiān)控進(jìn)程位置不同而把沙盒分為三種類型：內(nèi)核級(jí)、用戶級(jí)、指令級(jí)。

第一種類型是在內(nèi)核模式下執(zhí)行監(jiān)控進(jìn)程。該方法直接把監(jiān)控進(jìn)程編入內(nèi)核。TRON是在Linux系統(tǒng)中保護(hù)進(jìn)程文件的機(jī)制，與已存在的Linux文件保護(hù)機(jī)制合作執(zhí)行，對(duì)所有進(jìn)程進(jìn)行訪問控制。它允許用戶指定訪問文件和目錄的權(quán)限，通過偵聽系統(tǒng)調(diào)用方法，監(jiān)視并阻止木馬程序及其他非授權(quán)文件的訪問。該方法直接把特定類型的沙盒機(jī)制編入操作系統(tǒng)內(nèi)核，用戶被迫使用這種沙盒機(jī)制，缺乏靈活性。

為了克服上述方法的局限性，一些系統(tǒng)采用可裝載內(nèi)核模塊來執(zhí)行。LSM(Linux Security Module)為Linux內(nèi)核提供一個(gè)訪問控制框架，仲裁應(yīng)用進(jìn)程對(duì)內(nèi)核的訪問。該沙盒系統(tǒng)允許不同的訪問控制模式作為可裝載內(nèi)核模塊來執(zhí)行，當(dāng)使用不同的安全模式時(shí)僅需要裝載不同的內(nèi)核模塊，這就滿足了用戶需求的多樣性，增強(qiáng)了訪問控制的靈活性。但是，監(jiān)控進(jìn)程必須充分可信，否則將其直接編入內(nèi)核可能會(huì)破壞整個(gè)系統(tǒng)。

第二種類型是在用戶模式下執(zhí)行監(jiān)控進(jìn)程。該方法把監(jiān)控進(jìn)程與應(yīng)用進(jìn)程存放在不同進(jìn)程內(nèi)，監(jiān)控進(jìn)程就不會(huì)被應(yīng)用進(jìn)程修改。監(jiān)控進(jìn)程利用操作系統(tǒng)支持那些具有系統(tǒng)調(diào)用跟蹤特性的調(diào)試器（如ptrace()和/proc文件系統(tǒng)），來偵聽?wèi)?yīng)用進(jìn)程的系統(tǒng)調(diào)用。監(jiān)控進(jìn)程在用戶級(jí)執(zhí)行，依據(jù)應(yīng)用進(jìn)程選擇合適的沙盒系統(tǒng)，具有很大的靈活性。但是一旦偵聽系統(tǒng)調(diào)用，就有進(jìn)程間通信，進(jìn)而產(chǎn)生巨大的運(yùn)行時(shí)間代價(jià)，降低了應(yīng)用程序的性能。

第三種方法是把監(jiān)控進(jìn)程編入應(yīng)用程序中。JAVA的基本安全結(jié)構(gòu)是圍繞用戶如何能動(dòng)態(tài)地調(diào)入和運(yùn)行Applet展開的。Applet的各種操作是受Java沙盒機(jī)制限制的。這種沙盒模式實(shí)現(xiàn)了一種特定的安全策略，提供了一個(gè)受限環(huán)境，運(yùn)行不可信代碼。這種基于語言的沙盒機(jī)制限制了程序員對(duì)編程語言的選擇。

綜上所述，偵聽系統(tǒng)調(diào)用方法直接通過沙盒機(jī)制檢測，不需要修改應(yīng)用程序，對(duì)于用戶來說很方便，實(shí)現(xiàn)了透明性。內(nèi)核級(jí)方法是在內(nèi)核模式下偵聽系統(tǒng)調(diào)用，系統(tǒng)開銷小，但是缺乏靈活性，而且會(huì)影響內(nèi)核。用戶級(jí)方法是在用戶模式下偵聽系統(tǒng)調(diào)用，用戶可以自由選擇沙盒機(jī)制，但是開銷大，不易執(zhí)行。指令級(jí)方法是把沙盒插入到應(yīng)用程序中，該方法不能應(yīng)用到非二進(jìn)制程序中。

3.細(xì)分類保護(hù)區(qū)域的沙盒框架

還有一種是細(xì)分類保護(hù)區(qū)域的沙盒框架，它結(jié)合了用戶級(jí)方法和內(nèi)核級(jí)方法的優(yōu)點(diǎn)。該框架只有一些基本機(jī)制在內(nèi)核空間執(zhí)行，而監(jiān)控進(jìn)程在用戶空間執(zhí)行。它不但保留了靈活性，也降低了監(jiān)控進(jìn)程對(duì)系統(tǒng)的影響。該方法是把監(jiān)控進(jìn)程放在應(yīng)用進(jìn)程中，降低了偵聽系統(tǒng)調(diào)用的代價(jià)。同時(shí)細(xì)分類區(qū)域提供進(jìn)程內(nèi)部保護(hù)，這樣應(yīng)用程序?qū)ΡO(jiān)控進(jìn)程就不會(huì)造成影響。在細(xì)分類保護(hù)區(qū)域中，進(jìn)程包含多個(gè)細(xì)分類保護(hù)區(qū)域。每個(gè)進(jìn)程選擇某一個(gè)細(xì)分類保護(hù)區(qū)域來存放監(jiān)控進(jìn)程，該區(qū)域可以訪問進(jìn)程的所有內(nèi)存頁面，稱作策略區(qū)域。其他的細(xì)分類區(qū)域存放移動(dòng)代碼，都只能訪問進(jìn)程的某些內(nèi)存頁面。也就是說，不同的細(xì)分類保護(hù)區(qū)域有不同的訪問權(quán)限。策略區(qū)域可以訪問分配給應(yīng)用進(jìn)程的區(qū)域，但是應(yīng)用進(jìn)程的區(qū)域不能去訪問策略區(qū)域，這樣監(jiān)控進(jìn)程可以直接訪問應(yīng)用程序的系統(tǒng)調(diào)用及其參數(shù)，而且不受應(yīng)用程序的影響。創(chuàng)建與裝載細(xì)分類保護(hù)區(qū)域由程序裝載器來完成，監(jiān)控進(jìn)程在操作系統(tǒng)內(nèi)核中注冊系統(tǒng)調(diào)用處理程序，偵聽?wèi)?yīng)用程序調(diào)用的系統(tǒng)函數(shù)。當(dāng)應(yīng)用進(jìn)程產(chǎn)生系統(tǒng)調(diào)用時(shí)，操作系統(tǒng)內(nèi)核就喚醒系統(tǒng)調(diào)用處理程序，同時(shí)把系統(tǒng)調(diào)用序號(hào)及參數(shù)傳遞過去，由系統(tǒng)調(diào)用處理程序來檢測。如果這些系統(tǒng)調(diào)用及參數(shù)符合安全策略，就允許其執(zhí)行，否則返回錯(cuò)誤代碼。該框架允許執(zhí)行多種安全策略，用戶可以根據(jù)需要選擇合適的沙盒系統(tǒng)，具有靈活性。它把監(jiān)控進(jìn)程放到應(yīng)用進(jìn)程中，就不屬于進(jìn)程間通信，也就沒有偵聽系統(tǒng)調(diào)用的開銷，具有高效性。同時(shí)，它提供了細(xì)分類保護(hù)區(qū)域，設(shè)立進(jìn)程內(nèi)保護(hù)，是一種內(nèi)核級(jí)保護(hù)機(jī)制，這樣應(yīng)用進(jìn)程就不會(huì)破壞監(jiān)控進(jìn)程。

［1］冀振燕，程虎.J AVA的安全結(jié)構(gòu)［J］.微型機(jī)與應(yīng)用，1999，（1）.

T

A

1673-0046（2010）12-0172-02