基于Linux內核不變量推測的Rootkit檢測.pdf

1、碩士學位論文基于Linux內核不變量推測的Rootkit檢測RootkitDetectionBasedonLinuxKernellnvariantsInference作者姓名：汪潼學科、專業(yè)：過篡扭廛旦這苤學號：21009263大連理工大學DalianUniversityofTechnology大連理工大學碩士學位論文摘要Linux操作系統(tǒng)由于其開源和免費的特點受到大家的青睞，同樣其遭受的攻擊也層不窮，木馬是其中威脅較大的一個，木碼侵入

2、電腦后首先并不進行破壞性的操作，但是在內部監(jiān)控計算機的運行，通過事先留下的后門來傳輸信息以達到竊取用戶信息的目的。在木馬程序中最難以被用戶檢測到的就是更加深入操作系統(tǒng)內核的木馬，內核層級術馬是一種與內核Rootkit技術相結合的特洛伊木馬。由于Rootkit處于系統(tǒng)的底層，具有系統(tǒng)最高的權限而且能夠很容易的修改內核中的重要數(shù)據(jù)結構，很多軟件即使查殺也只能針對一種或者幾種Rootkit，并不能對所有Rootkit進行查殺，所以內核Root

3、kit由于其特殊性質目前已經(jīng)成為計算機安全領域重點研究的課題。內核Rootkit主要是以內核模塊(LKM)的形式加載到系統(tǒng)內核中，通過對內核的系統(tǒng)調用表等內核關鍵數(shù)據(jù)進行更改，從而實現(xiàn)隱藏自身及相關惡意目的。最近的研究發(fā)現(xiàn)Rootkit已經(jīng)不僅僅通過修改內核關鍵數(shù)據(jù)，而且修改非控制型數(shù)據(jù)同樣可以達到惡意目的，例如污染熵池使系統(tǒng)無法獲取有效的隨機數(shù)、添加惡意_進制代碼等攻擊，之前Rootkit檢測技術無法檢測這樣的Rootkit攻擊，。力

4、‘面因為他們只把重點放在控制數(shù)據(jù)修改的檢鋇4上，另一方面因為需要能深刻理解內核數(shù)據(jù)結構語義的專家，給出詳細的內核完整性技術規(guī)范，才能檢測到非控制型數(shù)據(jù)結構的修改。針對以上分析，本文提出了一種新型內核Rootkit檢測技術RKdetect，通過在訓練階段系統(tǒng)抓取整個系統(tǒng)內核內存的頁面，提取出數(shù)據(jù)結構并推測出不變量存儲在文件系統(tǒng)中，在執(zhí)行階段將Rootkit植入系統(tǒng)之后周期性的去捕獲內核內存推斷不變量，并與訓練階段得到的不變量作比較查看是否

5、發(fā)生改變，如果發(fā)生改變貝0存在Rootkit。本文采用觀察機和目標機的模式，觀察機主要完成數(shù)據(jù)結構提取、不變量推測、監(jiān)控目標機、Hadoop集群搭建等功能并且在推測不變量時采用MapReduce編程，目標機主要完成相麻觀察機請求抓取內核內存頁返回觀察機。該方法能廣‘泛應用于病毒、木馬、Rootkit的檢測中，對計算機的安全研究有著很大的意義。最后，為了證明RKdetect能很好的檢測出普遍存在的Rootkit，本文實現(xiàn)了該技術，并將不同