Linux內(nèi)核級Rootkit檢測研究.pdf

1、由于Linux日益的普及，在Linux系統(tǒng)下的惡意軟件逐漸增長，特別是作為一個桌面操作系統(tǒng)時。其中Rootkit是計算機中最隱秘的惡意攻擊技術(shù)，它對計算機構(gòu)成了重大的安全威脅。它通過直接破壞操作系統(tǒng)內(nèi)核來隱藏自己的存在，而且還能篡改操作系統(tǒng)功能以發(fā)動各種攻擊。比如可通過開放系統(tǒng)后門來竊取私有個人數(shù)據(jù)，也可賦予惡意程序更大的權(quán)限使防護機制無效等。
　　內(nèi)核級Rootkit是一種對運行時Linux系統(tǒng)的完整性極具危險的惡意軟件，計算機

2、被Rootkit攻擊后，它們將有權(quán)限去添加、刪除、修改內(nèi)核或者用戶態(tài)下應用程序所請求的系統(tǒng)狀態(tài)信息，包括運行時進程鏈表、已加載的模塊、活動中的網(wǎng)絡連接、目錄下的文件甚至是文件中的內(nèi)容；內(nèi)核級Rootkit還能監(jiān)控用戶活動包括鍵盤輸入、網(wǎng)絡包、與硬件的交互等等；內(nèi)核級Rootkit能劫持內(nèi)核中關(guān)鍵路徑下的函數(shù)而破壞整個系統(tǒng)。為了檢測到內(nèi)核級Rootkit，需要深入到運行中的內(nèi)核底層，包括對其代碼和數(shù)據(jù)結(jié)構(gòu)的檢測，以及對系統(tǒng)完整性的驗證，檢

3、測系統(tǒng)是否被惡意代碼入侵。
　　本文主要工作分為以下三個部分：
　?。?）對現(xiàn)有Linux系統(tǒng)下Rootkit入侵原理和Rootkit檢測技術(shù)的原理進行分析，并提出了基于Kprobe的Rootkit檢測技術(shù)。通過在關(guān)鍵路徑下插入探測點，在內(nèi)核底層收集進程控制塊信息和函數(shù)執(zhí)行流，最后通過底層收集的信息與系統(tǒng)中審計工具所得的結(jié)果進行交叉視圖的比對，得到被隱藏進程以及被篡改的函數(shù)執(zhí)行流。
　?。?）針對實時監(jiān)控所帶來的性能開

4、銷做出優(yōu)化處理，對Rootkit隱蔽性進行檢測同時添加對惡意進程檢測的模塊。通過該模塊提供報警機制，一旦懷疑有惡意進程入侵，才開啟監(jiān)控機制從而減少Kprobe所帶來的開銷問題。該模塊采用機器學習中主流的分類器通過大量的惡意進程和合法進程在運行時的task_struct關(guān)鍵字段作為特征訓練出模型，最后根據(jù)訓練出來的模型判斷系統(tǒng)是否被惡意代碼入侵。
　?。?）在實驗階段選擇幾種現(xiàn)有流行的Rootkit與惡意代碼相結(jié)合的方式，采用了本文