论文部分内容阅读
摘 要:随着计算机技术的不断发展,逐渐进入了信息化时代,信息技术在不同领域均发挥着重要作用,保障其安全性成为当前面临的主要任务。近年来,多种恶意代码的出现严重威胁了计算机系统的安全,要想提升计算机的安全性,就必须要重视对恶意代码的分析及监控工作。本文主要阐述了恶意代码的定义及相关监控技术,分析了监控系统关键技术,对监控系统的实现进行探究,以期提高恶意代码监控系统的可靠性和效率,增强计算机系统安全性。
关键词:文件系统;恶意代码;监控技术
中图分类号:TP309
网络成为人们生活中不可或缺的一部分,逐渐向着更加灵活、开放的方向发展,然而因为计算机在安全上存在较大的脆弱性,其本身也存在多种漏洞,这都为恶意代码的侵袭埋下隐患,严重危害着计算机系统的安全。监控技术实现了对恶意代码的分析,为消除恶意代码提供准确的数据信息,因此,研究基于文件系统的恶意代码监控技术具有非常重要的现实意义。
1 恶意代码的定义及相关监控技术概述
恶意代码指的是带有危险性质的代码,当程序在计算机网络、存储设备运行的过程中,会对其中的数据信息进行破坏,导致数据缺失,影响信息的真实性。根据传播特征、是否依靠宿主可以将恶意代码划分为:可感染的独立性恶意代码、不感染的独立性恶意代码、可感染的依附性恶意代码及不感染的依附性恶意代码四大类。网路技术的高速发展为人们提供了很大的方便,同时也产生了多种多样的恶意代码,不同种类的恶意代码工作原理也存在很大的差异,目前还缺乏统一分类标准,必须要加强对恶意代码监控技术的研究。
当前,用于记录Windows系统下程序行为的技术主要包括虚拟机技术和API挂钩技术,这两种技术还具有操控程序行为的功能。其中前者可以分为计算机杀毒软件、大众计算机两种类型应用的虚拟机技术,该技术虽然不具备相应的接口,用户也不能进行直接的查看,但是其能够对程序的执行操作进行详细的解释、记录,消除恶意软件的侵袭,保证用户操作系统的安全性。在虚拟环境中运行操作系统时,虚拟机技术对系统的真实性不会产生影响,能够对系统资源进行保护;而后者能够改变API执行结果,在跟踪程序流程方面有着广泛的应用。API挂钩技术以改写原函数及其入口的方式使其跳转到自己的函数,程序流程改变后,就可以在分析操作后,在操作系统调用时切换函数。
2 监控系统关键技术
Linux平台是基于文件系统的恶意代码监控技术实现的基础,监控设计在真实文件系统及虚拟文件系统二者之间,主要通过Linux操作系统中截获系统调用的方式,实现监控恶意代码的功能。该监控技术的监控文件系统过程是在操作系统内核中运行的,可以借助用户空间将恶意代码对文件的操作数据信息进行监控,并用于分析和判断。
虚拟机技术的恶意代码监控理论是基于文件系统的恶意代码监控技术的形成基础,不仅涉及到API 挂钩技术中的替换程序函数,实现了对文件系统内核中代码的修改,强化了操作系统的安全性,确保系统不会受到恶意代码的攻击。内核代码的修改是一项难度较大的工作,有可能无法达到消除恶意代码破坏的目的,还容易对系统本身造成伤害。作为Linux文件系统的一个重要的组成部分,恶意代码监控技术通过真正文件系统和虚拟文件系统(VFS)挂钩相关的函数,在操作系统的系统调用过程中,可以通过虚拟文件系统对函数(拥有监控作用)进行调用,而且对不同类型文件系统的访问方式并无明确的要求。
对真实文件系统进行抽象化后即为虚拟文件系统,其为操作系统提供统一的接口,忽略了真实文件系统层中的一些细小的问题,将拥有监控作用的函数添加到虚拟文件系统层和真实文件层后,可以在Linux操作系统底层掌握系统调用的状况,达到截获系统调用函数的目的。这样就简化了内核源码的修改问题,在此基础上采用LKM技术对恶意代码进行监控,在拥有新型监控技术的函数作用下,文件系统能够将数据信息转发到下层中,发挥着监控系统运行的重要作用。
Inotify是一种文件系统事件监控机制,具有细粒度、高性能、异步的特征,自Linux内核2.6.13后,开始支持Inotify。基于文件系统的恶意代码监控技术也充分运用了Inotify的优势,在提高计算机系统安全性能的同时,还能增添了移动、修改、删除和添加等多项功能,达到对不同类型文件的监控需求。
3 监控系统的实现
要想达到在Linux平台架构下分析、监控恶意代码的功能,就必须要具备截获代码的功能,并使其在真正文件系统与虚拟文件系统之间发挥作用,能够操纵Linux下的重要文件,此外还需要结合用户对操作重要文件设定的具体规则,完成对比和过滤过程。该恶意代码监控系统的内核态中包括监控模块和核心模块,在此结构形态下提升了操作系统的安全性,也起到保护内核的作用。
基于文件系统的恶意代码监控系统的数据流程包括以下内容:
将监控执行例程提交后,系统调用截获过滤例程:将被监控恶意代码通过用户模块提交后,对相应目录下的程序进行加载运行,代码能够执行系统调用,追踪Linux下的系统调用函数到内核函数,通过截获过滤例程实现监控操作。
Linux下重要文件设置、控制例程:借助import_file结构体,重要文件设置例程可以对控制例程传输文件属性、控制命令,这个过程中传送的数据应采用config_file信息的形式。
Linux下重要文件控制例程,重要文件列表:以import_file_list结构体的方式,Linux下重要文件控制例程可以将相关的控制命令、属性等内容传送给重要文件列表,并根据指令实施具体的操作。
Linux系统进程控制例程,系统进程信息列表:以process_info_list结构体的方式,Linux系统进程控制例程可以将相关的控制命令、属性等内容传送给系统进程信息列表,并根据指令实施具体的操作。
系统调用截获过滤例程,日志队列:系统调用截获过滤例程获取恶意代码程序,以log_queue结构体的方式把对特定恶意代码监控的文件操作的数据信息添加到日志队列中。
日志队列,日志分析例程:日志分析例程在接收到日志队列传输的监控数据信息后,对相关信息进行读取,便于用户进行分析、判断。
4 结束语
基于文件系统的恶意代码监控技术的研究实现了对恶意代码的监控和对Linux 下的重要文件的保护,该监控系统中的不同模块能够在内核中运行,在内核中监控进程对文件的操作行为,将监控信息从系统输出,便于用户对提交进程进行进一步的分析,判断其是否存在恶意入侵问题。基于Linux平台建立的监控系统提供的函数接口,一方面能够结合实际需求对监控模块进行卸载、加载,另一方面还具有良好的扩展性,为二次开发提供方法,使得系统的执行效率和实时性大大提升。但恶意代码监控技术仍需要进行完善和改进,进行深层次的探索,才能预防恶意代码的攻击,达到增强计算机系统安全性的目的。
参考文献:
[1]王松涛,吴灏.Linux下基于可执行路径分析的内核rootkit检测技术研究[J].计算机工程与应用,2005(11).
[2]郝向东,王开云.典型恶意代码及其检测技术研究[J].计算机工程与设计,2007(19).
[3]吴冰,云晓春,高琪.基于网络的恶意代码检测技术[J].通信学报,2007(11).
[4]袁源,罗红,戴冠中.基于LKM的Linux安全检测器的设计与实现[J].计算机应用研究,2005(07).
[5]刘艳萍.恶意代码分析与检测研究现状[J].微电脑世界,2009(07).
[6]李洋,刘真.Linux下文件实时监控技术的研究和实现[J].计算机应用研究,2004(07).
作者简介:胡渝苹(1982.03-),讲师,研究生,研究方向:计算机软件应用。
作者单位:重庆水利电力职业技术学院,重庆 402160
关键词:文件系统;恶意代码;监控技术
中图分类号:TP309
网络成为人们生活中不可或缺的一部分,逐渐向着更加灵活、开放的方向发展,然而因为计算机在安全上存在较大的脆弱性,其本身也存在多种漏洞,这都为恶意代码的侵袭埋下隐患,严重危害着计算机系统的安全。监控技术实现了对恶意代码的分析,为消除恶意代码提供准确的数据信息,因此,研究基于文件系统的恶意代码监控技术具有非常重要的现实意义。
1 恶意代码的定义及相关监控技术概述
恶意代码指的是带有危险性质的代码,当程序在计算机网络、存储设备运行的过程中,会对其中的数据信息进行破坏,导致数据缺失,影响信息的真实性。根据传播特征、是否依靠宿主可以将恶意代码划分为:可感染的独立性恶意代码、不感染的独立性恶意代码、可感染的依附性恶意代码及不感染的依附性恶意代码四大类。网路技术的高速发展为人们提供了很大的方便,同时也产生了多种多样的恶意代码,不同种类的恶意代码工作原理也存在很大的差异,目前还缺乏统一分类标准,必须要加强对恶意代码监控技术的研究。
当前,用于记录Windows系统下程序行为的技术主要包括虚拟机技术和API挂钩技术,这两种技术还具有操控程序行为的功能。其中前者可以分为计算机杀毒软件、大众计算机两种类型应用的虚拟机技术,该技术虽然不具备相应的接口,用户也不能进行直接的查看,但是其能够对程序的执行操作进行详细的解释、记录,消除恶意软件的侵袭,保证用户操作系统的安全性。在虚拟环境中运行操作系统时,虚拟机技术对系统的真实性不会产生影响,能够对系统资源进行保护;而后者能够改变API执行结果,在跟踪程序流程方面有着广泛的应用。API挂钩技术以改写原函数及其入口的方式使其跳转到自己的函数,程序流程改变后,就可以在分析操作后,在操作系统调用时切换函数。
2 监控系统关键技术
Linux平台是基于文件系统的恶意代码监控技术实现的基础,监控设计在真实文件系统及虚拟文件系统二者之间,主要通过Linux操作系统中截获系统调用的方式,实现监控恶意代码的功能。该监控技术的监控文件系统过程是在操作系统内核中运行的,可以借助用户空间将恶意代码对文件的操作数据信息进行监控,并用于分析和判断。
虚拟机技术的恶意代码监控理论是基于文件系统的恶意代码监控技术的形成基础,不仅涉及到API 挂钩技术中的替换程序函数,实现了对文件系统内核中代码的修改,强化了操作系统的安全性,确保系统不会受到恶意代码的攻击。内核代码的修改是一项难度较大的工作,有可能无法达到消除恶意代码破坏的目的,还容易对系统本身造成伤害。作为Linux文件系统的一个重要的组成部分,恶意代码监控技术通过真正文件系统和虚拟文件系统(VFS)挂钩相关的函数,在操作系统的系统调用过程中,可以通过虚拟文件系统对函数(拥有监控作用)进行调用,而且对不同类型文件系统的访问方式并无明确的要求。
对真实文件系统进行抽象化后即为虚拟文件系统,其为操作系统提供统一的接口,忽略了真实文件系统层中的一些细小的问题,将拥有监控作用的函数添加到虚拟文件系统层和真实文件层后,可以在Linux操作系统底层掌握系统调用的状况,达到截获系统调用函数的目的。这样就简化了内核源码的修改问题,在此基础上采用LKM技术对恶意代码进行监控,在拥有新型监控技术的函数作用下,文件系统能够将数据信息转发到下层中,发挥着监控系统运行的重要作用。
Inotify是一种文件系统事件监控机制,具有细粒度、高性能、异步的特征,自Linux内核2.6.13后,开始支持Inotify。基于文件系统的恶意代码监控技术也充分运用了Inotify的优势,在提高计算机系统安全性能的同时,还能增添了移动、修改、删除和添加等多项功能,达到对不同类型文件的监控需求。
3 监控系统的实现
要想达到在Linux平台架构下分析、监控恶意代码的功能,就必须要具备截获代码的功能,并使其在真正文件系统与虚拟文件系统之间发挥作用,能够操纵Linux下的重要文件,此外还需要结合用户对操作重要文件设定的具体规则,完成对比和过滤过程。该恶意代码监控系统的内核态中包括监控模块和核心模块,在此结构形态下提升了操作系统的安全性,也起到保护内核的作用。
基于文件系统的恶意代码监控系统的数据流程包括以下内容:
将监控执行例程提交后,系统调用截获过滤例程:将被监控恶意代码通过用户模块提交后,对相应目录下的程序进行加载运行,代码能够执行系统调用,追踪Linux下的系统调用函数到内核函数,通过截获过滤例程实现监控操作。
Linux下重要文件设置、控制例程:借助import_file结构体,重要文件设置例程可以对控制例程传输文件属性、控制命令,这个过程中传送的数据应采用config_file信息的形式。
Linux下重要文件控制例程,重要文件列表:以import_file_list结构体的方式,Linux下重要文件控制例程可以将相关的控制命令、属性等内容传送给重要文件列表,并根据指令实施具体的操作。
Linux系统进程控制例程,系统进程信息列表:以process_info_list结构体的方式,Linux系统进程控制例程可以将相关的控制命令、属性等内容传送给系统进程信息列表,并根据指令实施具体的操作。
系统调用截获过滤例程,日志队列:系统调用截获过滤例程获取恶意代码程序,以log_queue结构体的方式把对特定恶意代码监控的文件操作的数据信息添加到日志队列中。
日志队列,日志分析例程:日志分析例程在接收到日志队列传输的监控数据信息后,对相关信息进行读取,便于用户进行分析、判断。
4 结束语
基于文件系统的恶意代码监控技术的研究实现了对恶意代码的监控和对Linux 下的重要文件的保护,该监控系统中的不同模块能够在内核中运行,在内核中监控进程对文件的操作行为,将监控信息从系统输出,便于用户对提交进程进行进一步的分析,判断其是否存在恶意入侵问题。基于Linux平台建立的监控系统提供的函数接口,一方面能够结合实际需求对监控模块进行卸载、加载,另一方面还具有良好的扩展性,为二次开发提供方法,使得系统的执行效率和实时性大大提升。但恶意代码监控技术仍需要进行完善和改进,进行深层次的探索,才能预防恶意代码的攻击,达到增强计算机系统安全性的目的。
参考文献:
[1]王松涛,吴灏.Linux下基于可执行路径分析的内核rootkit检测技术研究[J].计算机工程与应用,2005(11).
[2]郝向东,王开云.典型恶意代码及其检测技术研究[J].计算机工程与设计,2007(19).
[3]吴冰,云晓春,高琪.基于网络的恶意代码检测技术[J].通信学报,2007(11).
[4]袁源,罗红,戴冠中.基于LKM的Linux安全检测器的设计与实现[J].计算机应用研究,2005(07).
[5]刘艳萍.恶意代码分析与检测研究现状[J].微电脑世界,2009(07).
[6]李洋,刘真.Linux下文件实时监控技术的研究和实现[J].计算机应用研究,2004(07).
作者简介:胡渝苹(1982.03-),讲师,研究生,研究方向:计算机软件应用。
作者单位:重庆水利电力职业技术学院,重庆 402160