基于LKM 的Linux 安全检测器的设计与实现.docxVIP

第 7期袁源等 :基于 LKM的 Linux安全检测器的设计与实现? 131?基于 LKM的 Linux安全检测器的设计与实现 *袁源,罗红,戴冠中 ,吕鹏(西北工业大学自动化学院 ,陕西西安 710072)摘要 :分析两个 Linux后门工具的实现机制 ,指出它们的原理及其危害 ;针对 Linux操作系统的特点提出两种保护 Linux内核的方法 ,即单模块内核方式和带安全检测的 LKM方式。给出了基于 LKM的 Linux安全检测器的实现方法 ,实验表明 ,该安全检测器能有效地记录 LKM后门工具以及病毒对系统的攻击和非法访问 ,能够帮助系统管理员维护 Linux操作系统的安全。关键词 : Linux;可装载内核模块 ;后门工具 ;系统调用中图法分类号 : TP393. 08文献标识码 : A文章编号 : 1001 - 3695( 2005) 07- 0131- 03Design and Implementation of Linux’s Security Monitor Based on LKMYUAN Yuan, LUO Hong, DAI Guan-zhong, LV Peng( College of Automation, Northwestern Polytechnical University, Xi’an Shanxi 710072, China)Abstract: This paper analyses the mechanism of two Linux’s backdoor tools and points out their principles and harms. Ac-cording to the characteristics of Linux, two kinds of protecting Linux’s kernel methods are proposed in this paper, that is , sin-gle kernel module mode and LKM with security check mode. The realization method of Linux monitor based on LKM is alsopresented in this paper. The experimentations show that this monitor can efficiently record the attacks and illegal access fromLKM backdoors and viruses, can help the system administrator to safeguard the security of Linux.Key words: Linux; Loadable Kernel Module; Backdoor Tools; System Call自从 Internet出现以来 ,安全问题就伴随着 Internet的成长1. 1当前比较流行的 LKM后门工具而发展。对于 Windows操作系统来说 ,它就是在与自身的Bug、恶意病毒的斗争中不断地发展和完善自己。如今 , Linux操作系统由于其稳定、开放、高效等特点而得到广泛的应用 ,特别是它提供的可装载内核模块 LKM ( Loadable Kernel Mo-dules)机制 ,使得程序员可以编写在内核级运行的代码而不必重新编译整个内核。当 LKM被载入内核 ,就能修改内核变量 ,重载内核函数 ,轻易地实现扩充或裁减操作系统内核的某些功能。然而 ,这也为 Hacker提供了可趁之机 ,导致众多基于 LKM机制的 Linux后门工具和病毒程序的出现 ,给 Linux系统安全造成极大的威胁。本文分析了 Linux后门工具的实现机制 ,设计实现一个基于 LKM的 Linux后门工具检测器。实验表明,它能有效地记录 Hacker对系统的攻击和非法访问。当前较为流行的 LKM后门工具有 Knark Rootkit和 AdoreRootkit。 Knark是 Sekure. net组织的成员 Creed开发的一个基于 Linux 2. 2内核的后门工具 ,它并不是一个稳定的版本 ,在后面的开发中 ,已经有针对 2. 4内核的版本出现。其主要功能是隐藏文件 ,隐藏进程 ,重定向可执行文件 ,隐藏网络连接 ,以Root身份运行命令等 ,同时它为了入侵者查询方便 ,把一些隐藏起来的文件、进程等信息放在 / proc / knark里。而 Adore是 Teso小组成员开发的一个 LKM后门工具 ,其主要功能和 Knark差不多 ,不过它提供了卸载功能 (需要提供密码验证 ) ,支持