摘 要：隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，逐漸進(jìn)入了信息化時(shí)代，信息技術(shù)在不同領(lǐng)域均發(fā)揮著重要作用，保障其安全性成為當(dāng)前面臨的主要任務(wù)。近年來，多種惡意代碼的出現(xiàn)嚴(yán)重威脅了計(jì)算機(jī)系統(tǒng)的安全，要想提升計(jì)算機(jī)的安全性，就必須要重視對(duì)惡意代碼的分析及監(jiān)控工作。本文主要闡述了惡意代碼的定義及相關(guān)監(jiān)控技術(shù)，分析了監(jiān)控系統(tǒng)關(guān)鍵技術(shù)，對(duì)監(jiān)控系統(tǒng)的實(shí)現(xiàn)進(jìn)行探究，以期提高惡意代碼監(jiān)控系統(tǒng)的可靠性和效率，增強(qiáng)計(jì)算機(jī)系統(tǒng)安全性。

關(guān)鍵詞：文件系統(tǒng)；惡意代碼；監(jiān)控技術(shù)

中圖分類號(hào)：TP309

網(wǎng)絡(luò)成為人們生活中不可或缺的一部分，逐漸向著更加靈活、開放的方向發(fā)展，然而因?yàn)橛?jì)算機(jī)在安全上存在較大的脆弱性，其本身也存在多種漏洞，這都為惡意代碼的侵襲埋下隱患，嚴(yán)重危害著計(jì)算機(jī)系統(tǒng)的安全。監(jiān)控技術(shù)實(shí)現(xiàn)了對(duì)惡意代碼的分析，為消除惡意代碼提供準(zhǔn)確的數(shù)據(jù)信息，因此，研究基于文件系統(tǒng)的惡意代碼監(jiān)控技術(shù)具有非常重要的現(xiàn)實(shí)意義。

1 惡意代碼的定義及相關(guān)監(jiān)控技術(shù)概述

惡意代碼指的是帶有危險(xiǎn)性質(zhì)的代碼，當(dāng)程序在計(jì)算機(jī)網(wǎng)絡(luò)、存儲(chǔ)設(shè)備運(yùn)行的過程中，會(huì)對(duì)其中的數(shù)據(jù)信息進(jìn)行破壞，導(dǎo)致數(shù)據(jù)缺失，影響信息的真實(shí)性。根據(jù)傳播特征、是否依靠宿主可以將惡意代碼劃分為：可感染的獨(dú)立性惡意代碼、不感染的獨(dú)立性惡意代碼、可感染的依附性惡意代碼及不感染的依附性惡意代碼四大類。網(wǎng)路技術(shù)的高速發(fā)展為人們提供了很大的方便，同時(shí)也產(chǎn)生了多種多樣的惡意代碼，不同種類的惡意代碼工作原理也存在很大的差異，目前還缺乏統(tǒng)一分類標(biāo)準(zhǔn)，必須要加強(qiáng)對(duì)惡意代碼監(jiān)控技術(shù)的研究。

當(dāng)前，用于記錄Windows系統(tǒng)下程序行為的技術(shù)主要包括虛擬機(jī)技術(shù)和API掛鉤技術(shù)，這兩種技術(shù)還具有操控程序行為的功能。其中前者可以分為計(jì)算機(jī)殺毒軟件、大眾計(jì)算機(jī)兩種類型應(yīng)用的虛擬機(jī)技術(shù)，該技術(shù)雖然不具備相應(yīng)的接口，用戶也不能進(jìn)行直接的查看，但是其能夠?qū)Τ绦虻膱?zhí)行操作進(jìn)行詳細(xì)的解釋、記錄，消除惡意軟件的侵襲，保證用戶操作系統(tǒng)的安全性。在虛擬環(huán)境中運(yùn)行操作系統(tǒng)時(shí)，虛擬機(jī)技術(shù)對(duì)系統(tǒng)的真實(shí)性不會(huì)產(chǎn)生影響，能夠?qū)ο到y(tǒng)資源進(jìn)行保護(hù)；而后者能夠改變API執(zhí)行結(jié)果，在跟蹤程序流程方面有著廣泛的應(yīng)用。API掛鉤技術(shù)以改寫原函數(shù)及其入口的方式使其跳轉(zhuǎn)到自己的函數(shù)，程序流程改變后，就可以在分析操作后，在操作系統(tǒng)調(diào)用時(shí)切換函數(shù)。

2 監(jiān)控系統(tǒng)關(guān)鍵技術(shù)

Linux平臺(tái)是基于文件系統(tǒng)的惡意代碼監(jiān)控技術(shù)實(shí)現(xiàn)的基礎(chǔ)，監(jiān)控設(shè)計(jì)在真實(shí)文件系統(tǒng)及虛擬文件系統(tǒng)二者之間，主要通過Linux操作系統(tǒng)中截獲系統(tǒng)調(diào)用的方式，實(shí)現(xiàn)監(jiān)控惡意代碼的功能。該監(jiān)控技術(shù)的監(jiān)控文件系統(tǒng)過程是在操作系統(tǒng)內(nèi)核中運(yùn)行的，可以借助用戶空間將惡意代碼對(duì)文件的操作數(shù)據(jù)信息進(jìn)行監(jiān)控，并用于分析和判斷。

虛擬機(jī)技術(shù)的惡意代碼監(jiān)控理論是基于文件系統(tǒng)的惡意代碼監(jiān)控技術(shù)的形成基礎(chǔ)，不僅涉及到API 掛鉤技術(shù)中的替換程序函數(shù)，實(shí)現(xiàn)了對(duì)文件系統(tǒng)內(nèi)核中代碼的修改，強(qiáng)化了操作系統(tǒng)的安全性，確保系統(tǒng)不會(huì)受到惡意代碼的攻擊。內(nèi)核代碼的修改是一項(xiàng)難度較大的工作，有可能無法達(dá)到消除惡意代碼破壞的目的，還容易對(duì)系統(tǒng)本身造成傷害。作為Linux文件系統(tǒng)的一個(gè)重要的組成部分，惡意代碼監(jiān)控技術(shù)通過真正文件系統(tǒng)和虛擬文件系統(tǒng)（VFS）掛鉤相關(guān)的函數(shù)，在操作系統(tǒng)的系統(tǒng)調(diào)用過程中，可以通過虛擬文件系統(tǒng)對(duì)函數(shù)（擁有監(jiān)控作用）進(jìn)行調(diào)用，而且對(duì)不同類型文件系統(tǒng)的訪問方式并無明確的要求。

對(duì)真實(shí)文件系統(tǒng)進(jìn)行抽象化后即為虛擬文件系統(tǒng)，其為操作系統(tǒng)提供統(tǒng)一的接口，忽略了真實(shí)文件系統(tǒng)層中的一些細(xì)小的問題，將擁有監(jiān)控作用的函數(shù)添加到虛擬文件系統(tǒng)層和真實(shí)文件層后，可以在Linux操作系統(tǒng)底層掌握系統(tǒng)調(diào)用的狀況，達(dá)到截獲系統(tǒng)調(diào)用函數(shù)的目的。這樣就簡化了內(nèi)核源碼的修改問題，在此基礎(chǔ)上采用LKM技術(shù)對(duì)惡意代碼進(jìn)行監(jiān)控，在擁有新型監(jiān)控技術(shù)的函數(shù)作用下，文件系統(tǒng)能夠?qū)?shù)據(jù)信息轉(zhuǎn)發(fā)到下層中，發(fā)揮著監(jiān)控系統(tǒng)運(yùn)行的重要作用。

Inotify是一種文件系統(tǒng)事件監(jiān)控機(jī)制，具有細(xì)粒度、高性能、異步的特征，自Linux內(nèi)核2.6.13后，開始支持Inotify?；谖募到y(tǒng)的惡意代碼監(jiān)控技術(shù)也充分運(yùn)用了Inotify的優(yōu)勢，在提高計(jì)算機(jī)系統(tǒng)安全性能的同時(shí)，還能增添了移動(dòng)、修改、刪除和添加等多項(xiàng)功能，達(dá)到對(duì)不同類型文件的監(jiān)控需求。

3 監(jiān)控系統(tǒng)的實(shí)現(xiàn)

要想達(dá)到在Linux平臺(tái)架構(gòu)下分析、監(jiān)控惡意代碼的功能，就必須要具備截獲代碼的功能，并使其在真正文件系統(tǒng)與虛擬文件系統(tǒng)之間發(fā)揮作用，能夠操縱Linux下的重要文件，此外還需要結(jié)合用戶對(duì)操作重要文件設(shè)定的具體規(guī)則，完成對(duì)比和過濾過程。該惡意代碼監(jiān)控系統(tǒng)的內(nèi)核態(tài)中包括監(jiān)控模塊和核心模塊，在此結(jié)構(gòu)形態(tài)下提升了操作系統(tǒng)的安全性，也起到保護(hù)內(nèi)核的作用。

基于文件系統(tǒng)的惡意代碼監(jiān)控系統(tǒng)的數(shù)據(jù)流程包括以下內(nèi)容：

將監(jiān)控執(zhí)行例程提交后，系統(tǒng)調(diào)用截獲過濾例程：將被監(jiān)控惡意代碼通過用戶模塊提交后，對(duì)相應(yīng)目錄下的程序進(jìn)行加載運(yùn)行，代碼能夠執(zhí)行系統(tǒng)調(diào)用，追蹤Linux下的系統(tǒng)調(diào)用函數(shù)到內(nèi)核函數(shù)，通過截獲過濾例程實(shí)現(xiàn)監(jiān)控操作。

Linux下重要文件設(shè)置、控制例程：借助import_file結(jié)構(gòu)體，重要文件設(shè)置例程可以對(duì)控制例程傳輸文件屬性、控制命令，這個(gè)過程中傳送的數(shù)據(jù)應(yīng)采用config_file信息的形式。

Linux下重要文件控制例程，重要文件列表：以import_file_list結(jié)構(gòu)體的方式，Linux下重要文件控制例程可以將相關(guān)的控制命令、屬性等內(nèi)容傳送給重要文件列表，并根據(jù)指令實(shí)施具體的操作。

Linux系統(tǒng)進(jìn)程控制例程，系統(tǒng)進(jìn)程信息列表：以process_info_list結(jié)構(gòu)體的方式，Linux系統(tǒng)進(jìn)程控制例程可以將相關(guān)的控制命令、屬性等內(nèi)容傳送給系統(tǒng)進(jìn)程信息列表，并根據(jù)指令實(shí)施具體的操作。

系統(tǒng)調(diào)用截獲過濾例程，日志隊(duì)列：系統(tǒng)調(diào)用截獲過濾例程獲取惡意代碼程序，以log_queue結(jié)構(gòu)體的方式把對(duì)特定惡意代碼監(jiān)控的文件操作的數(shù)據(jù)信息添加到日志隊(duì)列中。

日志隊(duì)列，日志分析例程：日志分析例程在接收到日志隊(duì)列傳輸?shù)谋O(jiān)控?cái)?shù)據(jù)信息后，對(duì)相關(guān)信息進(jìn)行讀取，便于用戶進(jìn)行分析、判斷。

4 結(jié)束語

基于文件系統(tǒng)的惡意代碼監(jiān)控技術(shù)的研究實(shí)現(xiàn)了對(duì)惡意代碼的監(jiān)控和對(duì)Linux 下的重要文件的保護(hù)，該監(jiān)控系統(tǒng)中的不同模塊能夠在內(nèi)核中運(yùn)行，在內(nèi)核中監(jiān)控進(jìn)程對(duì)文件的操作行為，將監(jiān)控信息從系統(tǒng)輸出，便于用戶對(duì)提交進(jìn)程進(jìn)行進(jìn)一步的分析，判斷其是否存在惡意入侵問題?；贚inux平臺(tái)建立的監(jiān)控系統(tǒng)提供的函數(shù)接口，一方面能夠結(jié)合實(shí)際需求對(duì)監(jiān)控模塊進(jìn)行卸載、加載，另一方面還具有良好的擴(kuò)展性，為二次開發(fā)提供方法，使得系統(tǒng)的執(zhí)行效率和實(shí)時(shí)性大大提升。但惡意代碼監(jiān)控技術(shù)仍需要進(jìn)行完善和改進(jìn)，進(jìn)行深層次的探索，才能預(yù)防惡意代碼的攻擊，達(dá)到增強(qiáng)計(jì)算機(jī)系統(tǒng)安全性的目的。

參考文獻(xiàn)：

[1]王松濤，吳灝.Linux下基于可執(zhí)行路徑分析的內(nèi)核rootkit檢測技術(shù)研究[J].計(jì)算機(jī)工程與應(yīng)用，2005（11）.

[2]郝向東，王開云.典型惡意代碼及其檢測技術(shù)研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007（19）.

[3]吳冰，云曉春，高琪.基于網(wǎng)絡(luò)的惡意代碼檢測技術(shù)[J].通信學(xué)報(bào)，2007（11）.

[4]袁源，羅紅，戴冠中.基于LKM的Linux安全檢測器的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究，2005（07）.

[5]劉艷萍.惡意代碼分析與檢測研究現(xiàn)狀[J].微電腦世界，2009（07）.

[6]李洋，劉真.Linux下文件實(shí)時(shí)監(jiān)控技術(shù)的研究和實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究，2004（07）.

作者簡介：胡渝蘋（1982.03-），講師，研究生，研究方向：計(jì)算機(jī)軟件應(yīng)用。

作者單位：重慶水利電力職業(yè)技術(shù)學(xué)院，重慶 402160