基于内核不变量保护的rootkit入侵检测和系统恢复

摘要

互联网应用的蓬勃发展伴随了网络入侵的迅速增长。攻击的目标也逐渐由系统用户对象转入操作系统内核；这种攻击更难于发现和处理，给操作系统带来了巨大的破坏性。以内核rootkit为代表的入侵行为，在侵入计算机系统后会进行痕迹清理和后门创建等工作。通过获得系统管理者权限，内核rootkit能够窃取用户隐私信息或在未经用户允许的情况下执行非法操作。而目前的入侵检测和系统恢复技术远远落后于内核rootkit技术的发展，使得网络环境下的操作系统屡遭攻击。
　　 最新的内核rootkit通过改变运行时操作系统内核中的动态数据结构的方法来达到其恶意的目的。这种方法更隐蔽更难于发现和恢复，对操作系统安全构成了严重的考验。本文提出了一种虚拟机架构下结合操作系统内核数据结构不变量保护和快照回卷技术的内核rootkit入侵检测和系统恢复机制，实现了验证系统IDRS(Intrusion Detection and Recovery System)，它通过实时对操作系统运行过程进行监测，能够高效地发现引起内核不变量发生改变的rootkit入侵，并触发基于虚拟机快照的系统恢复；通过结合写时复制技术、重定向技术和增量系统快照卷技术实现了高性能系统快照卷，从而实现操作系统的高性能灾难恢复。基于真实工作负载和基准测试程序的实验表明，IDRS系统能以较低的系统性能消耗高准确性的发现不管是破坏控制类数据结构还是非控制类数据结构的内核rootkit入侵，并恢复受污染的系统。