任昭緒

【摘要】本文設(shè)計(jì)一種內(nèi)核完整性保護(hù)方法TWPos，同時(shí)具備探測(cè)和防護(hù)能力，即便內(nèi)核受到攻擊也能進(jìn)行恢復(fù)。實(shí)驗(yàn)表明TWPos系統(tǒng)既能全面有效的防護(hù)，而且又不犧牲系統(tǒng)性能為代價(jià)，并且兼容多種OS系統(tǒng)、同時(shí)防零日攻擊。

【關(guān)鍵字】rootkits，VMM，TWPos，SAPW，DRW，GOS，HOS

1 介紹

rootkits是攻擊者向計(jì)算機(jī)系統(tǒng)植入的，能夠隱藏自身蹤跡并保留超級(jí)用戶訪問(wèn)權(quán)限的惡意程序。僅僅采用探測(cè)方式是無(wú)法保護(hù)內(nèi)核完整性，即便阻止rootkits注入保證內(nèi)核完整性這種方式，也存在諸多弊端，因而無(wú)法有效的保護(hù)內(nèi)核完整性。鑒于此，本文采用了一種將安全防護(hù)及探測(cè)安全漏洞并進(jìn)行恢復(fù)結(jié)合起來(lái)確保內(nèi)核完整性的方案，稱為TWPos（Two-Way Protection OS），TWPos基于VMM管理，將TWPos保護(hù)的內(nèi)核劃分為兩種保護(hù)措施：一部分內(nèi)核采用安全認(rèn)證保護(hù)方式（Safe Authentication Protection Way縮寫SAPW）；另一部分內(nèi)核采用探測(cè)恢復(fù)方式（先探測(cè)內(nèi)核完整性如果被攻擊則進(jìn)行恢復(fù)，Detection Recovery Way縮寫DRW）。TWPos將保護(hù)的內(nèi)核邏輯上劃分為兩個(gè)部分，采用SAPW方式保護(hù)的內(nèi)核部分稱為SAPW-K，采用DRW方式探測(cè)保護(hù)的內(nèi)核部分稱為DRW-K。對(duì)于內(nèi)核完整性保護(hù)，用戶既可以同時(shí)選擇這兩種方式，也可以選擇兩者之一。

2 TWPos設(shè)計(jì)

2.1 設(shè)計(jì)原則

TWPos設(shè)計(jì)不僅需要內(nèi)核全面安全防護(hù)措施，而且在滿足安全防護(hù)的同時(shí)，考慮系統(tǒng)性能、多操作系統(tǒng)的兼容，開(kāi)發(fā)成本等。本篇論文從多個(gè)角度防護(hù)展開(kāi)，并且設(shè)計(jì)時(shí)兼顧性能因素。

保護(hù)角度：內(nèi)存及DMA完整性，擴(kuò)展模塊完整性，系統(tǒng)調(diào)用完整性等，也就是除CPU、內(nèi)存控制器、系統(tǒng)內(nèi)存芯片之外內(nèi)核所有其他部分。

性能：內(nèi)核作為一個(gè)載體，它運(yùn)行的效率直接決定了這個(gè)系統(tǒng)的性能，因此在確保OS不被攻擊的同時(shí)盡量降低對(duì)系統(tǒng)性能的影響。

兼容性：TWPos支持多系統(tǒng)，這些系統(tǒng)無(wú)論是開(kāi)源OS系統(tǒng)還是商用OS系統(tǒng)，都不需要對(duì)GOS系統(tǒng)進(jìn)行修改或者插入TWPos模塊，就能進(jìn)行防護(hù)。

我們引入VMM（Virtual Machine Monitoring）技術(shù)來(lái)實(shí)現(xiàn)完整性保護(hù)，將TWPos開(kāi)發(fā)成為一個(gè)輕量級(jí)模塊或者任務(wù)嵌入VMM系統(tǒng)中，也就是TWPos作為VMM中的一個(gè)安全部件，充分利用VMM一些功能特性，這樣大大降低了開(kāi)發(fā)成本。

2.2 設(shè)計(jì)原理

GOS訪存： GOS任務(wù)訪問(wèn)物理內(nèi)存的過(guò)程：GOS虛擬地址→GOS物理地址→VMM→物理內(nèi)存，這過(guò)程需要通過(guò)VMM進(jìn)行內(nèi)存隱射至真正的物理內(nèi)存?；谶@種機(jī)制將TWPos作為VMM針對(duì)GOS的一個(gè)安全部件，被保護(hù)的GOS運(yùn)行在VMM之上，那么GOS任務(wù)訪問(wèn)物理內(nèi)存的過(guò)程：GOS虛擬地址→GOS物理地址→TWPos→VMM→物理內(nèi)存。GOS任務(wù)訪問(wèn)物理內(nèi)存時(shí)，必須通過(guò)TWPos，才能訪問(wèn)真正物理內(nèi)存，TWPos作為安全保護(hù)的重要部件，通過(guò)保護(hù)GOS物理內(nèi)存達(dá)到保護(hù)GOS內(nèi)核的完整性。

內(nèi)存管理：將TWPos加載VMM中，TWPos從HOS（Host OS）分配大塊內(nèi)存，并將分配的內(nèi)存劃分為三大部分：第一部分內(nèi)存用作安全映射表（Safety Mapping Table縮寫SMT）；第二部分內(nèi)存用作映射內(nèi)存塊（Mapping Memory Block縮寫MMB）；第三部分用作備份內(nèi)存塊（Backing Memory Block縮寫B(tài)MB）。這三部分內(nèi)存分別作為三種不同功能的用途：SMT安全映射表建立原始內(nèi)存塊（Original Memory Block縮寫OMB）和MMB之間映射關(guān)系，當(dāng)GOS任務(wù)訪問(wèn)OMB內(nèi)存時(shí)，通過(guò)SMT映射至MMB內(nèi)存，進(jìn)行訪問(wèn)；MMB存放的內(nèi)存都是從OMB通過(guò)安全認(rèn)證之后的內(nèi)存，確保內(nèi)核完整性，任務(wù)可以安全的訪問(wèn)。BMB保存?zhèn)浞輧?nèi)存，當(dāng)內(nèi)核完整性受到破壞時(shí)，通過(guò)BMB對(duì)內(nèi)核進(jìn)行恢復(fù)，確保內(nèi)核代碼及數(shù)據(jù)的完整性。

加載、卸載模塊：根據(jù)內(nèi)核模塊選擇保護(hù)機(jī)制不同，加載和卸載內(nèi)核模塊操作方式也不同。如果加載模塊選擇SAPW方式：內(nèi)核運(yùn)行過(guò)程中需要插入或卸載認(rèn)證的內(nèi)核模塊， TWPos對(duì)內(nèi)核模塊進(jìn)行加載和卸載分別建立映射和解除映射關(guān)系。如果采用DRW方式：加載內(nèi)核模塊，TWPos將加載的內(nèi)核模塊備份至BMB內(nèi)存，并將加載模塊的內(nèi)存塊HASH，同時(shí)將HASH值存入BMB中；卸載內(nèi)核模塊，TWPos首先清除內(nèi)核模塊存入BMB內(nèi)存的HASH值，再次將內(nèi)核模塊備份至BMB部分的內(nèi)存清除。

保護(hù)機(jī)制：被保護(hù)內(nèi)核加載至內(nèi)存之后，但還未執(zhí)行任務(wù)之前，TWPos根據(jù)用戶不同需求，采用不同策略。

SAPW機(jī)制：根據(jù)用戶認(rèn)證將GOS的SAPW-K內(nèi)核塊映射至MMB內(nèi)存中，同時(shí)在SMT映射表中建立它們之間的映射關(guān)系，并且將MMB訪問(wèn)置為只讀模式（只允許讀操作，不允許寫操作）。當(dāng)GOS任務(wù)訪問(wèn)SAPW-K內(nèi)核物理內(nèi)存時(shí)，查找SMT映射表關(guān)系，如果找到映射關(guān)系，則訪問(wèn)MMB對(duì)應(yīng)的內(nèi)存，如果找不到對(duì)應(yīng)的映射關(guān)系則訪問(wèn)OMB內(nèi)存。

DRW機(jī)制：如果用戶采用DRW機(jī)制，將GOS的DRW-K內(nèi)核塊備份至BMB內(nèi)存中，并將DRW-K內(nèi)核塊的每塊進(jìn)行HASH，同時(shí)HASH值存入BMB內(nèi)存中。DRW啟動(dòng)ChkPrecess內(nèi)核線程周期檢查OMB是否被篡改或注入，如果被篡改或注入則通過(guò)BMB進(jìn)行恢復(fù)。

4 TWPos實(shí)現(xiàn)

TWPos實(shí)現(xiàn)我們從三個(gè)方面著手：一方面內(nèi)核啟動(dòng)過(guò)程中，根據(jù)用戶保護(hù)策略，如果選擇SAPW保護(hù)機(jī)制，將需要保護(hù)的SAPW-K內(nèi)核建立安全保護(hù)的映射關(guān)系，并且兼容SAPW保護(hù)機(jī)制的內(nèi)核模塊的加載和卸載，加載過(guò)程需要建立安全保護(hù)的映射關(guān)系，卸載過(guò)程需要解除安全保護(hù)的映射關(guān)系；如果選擇DRW機(jī)制，將DRW-K內(nèi)核進(jìn)行備份和HASH，加載和卸載內(nèi)核模塊如果采用DRW機(jī)制也需要進(jìn)行同樣處理。另一方面在建立SAPW保護(hù)之后，我們需要實(shí)現(xiàn)SAPW保護(hù)方法，對(duì)安全認(rèn)證內(nèi)核的訪問(wèn)首先訪問(wèn)SMT，獲取對(duì)應(yīng)的映射地址，然后再訪問(wèn)映射地址內(nèi)存。最后，DRW-K內(nèi)核，不安全因素的存在可能被利用（被篡改或注入或修改控制流程等）給系統(tǒng)帶來(lái)無(wú)法估量的后果，因此DRW機(jī)制對(duì)DRW-K進(jìn)行備份和HASH，一旦出現(xiàn)惡意攻擊，通過(guò)備份進(jìn)行恢復(fù)確保內(nèi)核完整性。

5 評(píng)估

對(duì)TWPos評(píng)估分為兩種方式：1）防護(hù)能力；2）性能影響。

實(shí)驗(yàn)環(huán)境：Dell PowerEdge T310、2.4G主頻、Intel Xeon X3430、4GB內(nèi)存，Xen hypervisor基于3.4.2版本，dom0系統(tǒng)為Fedora 12，使用64位Ubuntu、內(nèi)核為2.6.24作為客戶機(jī)OS。

防護(hù)能力：我們建立了保護(hù)評(píng)估模型，采用現(xiàn)有針對(duì)內(nèi)核的rootkits攻擊工具，攻擊分為如下幾種，攻擊主要通過(guò)插入模塊修改控制流程、通過(guò)修改物理內(nèi)存及其調(diào)用表或者中斷表進(jìn)入注入或者修改。從而達(dá)到隱藏或者篡改操作系統(tǒng)目的。

性能評(píng)估：使用Lmbench作為測(cè)試性能工具，可以測(cè)試TWPos對(duì)應(yīng)用的影響，這些影響主要由于應(yīng)用訪問(wèn)內(nèi)核內(nèi)存導(dǎo)致性能有所下降，當(dāng)然這些變化只對(duì)系統(tǒng)性能產(chǎn)生輕微的影響，不會(huì)導(dǎo)致系統(tǒng)性能嚴(yán)重下降。那充分說(shuō)明TWPos這種方式不僅能夠內(nèi)核系統(tǒng)進(jìn)行有效防護(hù)、而且對(duì)系統(tǒng)性能也不構(gòu)成影響。因此這種對(duì)內(nèi)核rootkits的防護(hù)及其防護(hù)過(guò)程中出現(xiàn)的遺留進(jìn)行有效恢復(fù)都是非常有效的。

6 結(jié)論

通過(guò)上述評(píng)估TWPos能夠避免rootkits攻擊，并且對(duì)內(nèi)核性能也未構(gòu)成大的影響，是一種比較完善高效的保護(hù)機(jī)制，并且兼容多種OS系統(tǒng)。但是MPOS也存在不足，體現(xiàn)如下一些缺陷：

VM啟動(dòng)過(guò)程中，還未構(gòu)建或者還未構(gòu)建完TWPos時(shí)，系統(tǒng)已經(jīng)受到了rootkits攻擊，導(dǎo)致TWPos備份內(nèi)存也被篡改或者注入了rootkits就算后期探測(cè)到rootkits攻擊，利用備份內(nèi)存進(jìn)行恢復(fù)系統(tǒng)，系統(tǒng)還是存在rootkits無(wú)法被清除。

TWPos基于VMM系統(tǒng)的支撐，如果CPU不具有或者不支持VMM功能，那么TWPos不僅無(wú)法對(duì)系統(tǒng)形成保護(hù)，并且反而減低了系統(tǒng)性能。

盡管TWPos有上述一些缺陷，但是不影響TWPos對(duì)內(nèi)核安全防護(hù)。既能保護(hù)內(nèi)核代碼、數(shù)據(jù)等完整性，又對(duì)系統(tǒng)性能不帶來(lái)大的影響。

參考文獻(xiàn)

[1] A. Seshadri， M. Luk， N. Qu， and A. Perrig. Secvisor： A tiny hypervisor to provide lifetime kernel code integrity for commodity oses. In SOSP 07： Proceedings of twenty-first ACM SIGOPS Symposium on Operating Systems Principles，pages 335–350， New York， NY， USA， 2007. ACM.

[2] R. Riley， X. Jiang， and D. Xu. Guest-transparent prevention of kernel rootkits with vmm-based memory shadowing. In RAID 08： Proceedings of the 11th International Symposium on Recent Advances in Intrusion Detection， pages 1–20， Berlin， Heidelberg， 2008. Springer-Verlag.

[3] A. Baliga， V. Ganapathy， and L. Iftode. Automatic inference and enforcement of kernel data structure invariants. In ACSAC 08： Proceedings of the 2008 Annual Computer Security Applications Conference， pages 77–86， Washington，DC， USA， 2008. IEEE Computer Society.

[4] A. Srivastava， I. Erete， and J. Giffin. Kernel data integrity protection via memory access control. Technical Report GTCS-09-04， Georgia Institute of Technology， 2009.