基于Linux內(nèi)核不變量推測的Rootkit檢測.pdf

1、碩士學(xué)位論文基于Linux內(nèi)核不變量推測的Rootkit檢測RootkitDetectionBasedonLinuxKernellnvariantsInference作者姓名：汪潼學(xué)科、專業(yè)：過篡扭廛旦這苤學(xué)號：21009263大連理工大學(xué)DalianUniversityofTechnology大連理工大學(xué)碩士學(xué)位論文摘要Linux操作系統(tǒng)由于其開源和免費(fèi)的特點(diǎn)受到大家的青睞，同樣其遭受的攻擊也層不窮，木馬是其中威脅較大的一個(gè)，木碼侵入

2、電腦后首先并不進(jìn)行破壞性的操作，但是在內(nèi)部監(jiān)控計(jì)算機(jī)的運(yùn)行，通過事先留下的后門來傳輸信息以達(dá)到竊取用戶信息的目的。在木馬程序中最難以被用戶檢測到的就是更加深入操作系統(tǒng)內(nèi)核的木馬，內(nèi)核層級術(shù)馬是一種與內(nèi)核Rootkit技術(shù)相結(jié)合的特洛伊木馬。由于Rootkit處于系統(tǒng)的底層，具有系統(tǒng)最高的權(quán)限而且能夠很容易的修改內(nèi)核中的重要數(shù)據(jù)結(jié)構(gòu)，很多軟件即使查殺也只能針對一種或者幾種Rootkit，并不能對所有Rootkit進(jìn)行查殺，所以內(nèi)核Root

3、kit由于其特殊性質(zhì)目前已經(jīng)成為計(jì)算機(jī)安全領(lǐng)域重點(diǎn)研究的課題。內(nèi)核Rootkit主要是以內(nèi)核模塊(LKM)的形式加載到系統(tǒng)內(nèi)核中，通過對內(nèi)核的系統(tǒng)調(diào)用表等內(nèi)核關(guān)鍵數(shù)據(jù)進(jìn)行更改，從而實(shí)現(xiàn)隱藏自身及相關(guān)惡意目的。最近的研究發(fā)現(xiàn)Rootkit已經(jīng)不僅僅通過修改內(nèi)核關(guān)鍵數(shù)據(jù)，而且修改非控制型數(shù)據(jù)同樣可以達(dá)到惡意目的，例如污染熵池使系統(tǒng)無法獲取有效的隨機(jī)數(shù)、添加惡意_進(jìn)制代碼等攻擊，之前Rootkit檢測技術(shù)無法檢測這樣的Rootkit攻擊，。力

4、‘面因?yàn)樗麄冎话阎攸c(diǎn)放在控制數(shù)據(jù)修改的檢鋇4上，另一方面因?yàn)樾枰苌羁汤斫鈨?nèi)核數(shù)據(jù)結(jié)構(gòu)語義的專家，給出詳細(xì)的內(nèi)核完整性技術(shù)規(guī)范，才能檢測到非控制型數(shù)據(jù)結(jié)構(gòu)的修改。針對以上分析，本文提出了一種新型內(nèi)核Rootkit檢測技術(shù)RKdetect，通過在訓(xùn)練階段系統(tǒng)抓取整個(gè)系統(tǒng)內(nèi)核內(nèi)存的頁面，提取出數(shù)據(jù)結(jié)構(gòu)并推測出不變量存儲在文件系統(tǒng)中，在執(zhí)行階段將Rootkit植入系統(tǒng)之后周期性的去捕獲內(nèi)核內(nèi)存推斷不變量，并與訓(xùn)練階段得到的不變量作比較查看是否

5、發(fā)生改變，如果發(fā)生改變貝0存在Rootkit。本文采用觀察機(jī)和目標(biāo)機(jī)的模式，觀察機(jī)主要完成數(shù)據(jù)結(jié)構(gòu)提取、不變量推測、監(jiān)控目標(biāo)機(jī)、Hadoop集群搭建等功能并且在推測不變量時(shí)采用MapReduce編程，目標(biāo)機(jī)主要完成相麻觀察機(jī)請求抓取內(nèi)核內(nèi)存頁返回觀察機(jī)。該方法能廣‘泛應(yīng)用于病毒、木馬、Rootkit的檢測中，對計(jì)算機(jī)的安全研究有著很大的意義。最后，為了證明RKdetect能很好的檢測出普遍存在的Rootkit，本文實(shí)現(xiàn)了該技術(shù)，并將不同