基于沙盒機制的入侵檢測

馬媛麗

（山西省工貿學校，山西 太原 030024）

基于沙盒機制的入侵檢測

馬媛麗

（山西省工貿學校，山西 太原 030024）

文章提出了基于沙盒機制的入侵檢測，能夠限制不可信代碼在可信區域里執行，從而達到主動系統防護的目的，并且分析了三種沙盒機制，分別介紹了其優缺點，并重點介紹了基于細分類保護區域模型的沙盒機制如何確保應用進程的安全運行。

入侵檢測；沙盒；偵聽系統調用；安全策略；監控進程；細分類

隨著互聯網的蓬勃發展和Linux操作系統的普及，針對Linux操作系統的病毒和攻擊程序也不斷出現。他們利用多種形式進行攻擊，或者利用特權程序的軟件錯誤來獲得超級用戶特權，或者利用系統漏洞來訪問保密數據，或者利用合法用戶下載并運行特洛伊木馬程序來產生破壞。用戶面臨的問題就是如何確保他們的計算機系統不受遠程惡意攻擊的破壞。這就需要有效的方法來對各種非法程序做出主動的響應和防御。

對于檢測計算機系統是否遭受惡意攻擊以及限制不可信進程的研究已經有好幾年的歷史了。其中一種主動檢測攻擊的方法是入侵檢測 (Intrusion Detection)。入侵檢測是指通過對行為、安全日志或審計數據或其他網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。它通過對計算機網絡或計算機系統中的若干關鍵點收集與安全策略有關的行為和信息，并進行分析，從中發現網絡或系統中是否有被攻擊的跡象。

一、Linux系統調用機制

在Linux操作系統中，系統調用是用戶程序和操作系統的一個接口，也是進程使用內核管理功能的唯一接口。出于保護目的，把Linux操作系統區分成用戶空間和內核空間。操作系統內核運行在內核空間，而用戶進程運行在用戶空間。由于保護級別不同，用戶進程不能直接訪問內核的數據，也不能直接調用內核的函數。操作系統內核是為用戶服務的，用戶所有操作最終都通過內核函數來實現。

當攻擊者通過網絡遠程攻擊系統，最終在目標系統上執行系統調用對系統產生破壞，并產生了偵聽系統調用的方法。這是沙盒系統常采用的一種方法。進程在運行期間要調用不同的系統函數，而它們可以調用的系統函數及其參數是有限制的。如果能檢測到所有的系統調用，就可以判斷出攻擊并且執行相應的操作：中斷系統調用或改變它的操作數或直接終止該進程。

二、沙盒模型

1.沙盒模型概述

沙盒是指在可信環境里執行不可信代碼，限制該代碼訪問文件和目錄的權限。如果一個惡意進程試圖違反安全策略并進行非授權訪問，沙盒系統就會作出判斷并進行過濾。在網絡環境下，沙盒可以安全地過濾網絡應用程序。網絡應用程序就是指從網絡上獲取的進程數據（比如郵件、網頁和電子文檔）。這些應用程序都存在一些漏洞，可能遭受惡意攻擊。

沙盒機制比利用審計數據進行入侵檢測更有效。首先，系統審計日志并不能提供入侵檢測所需的所有信息。其次，審計日志上記錄了有用信息，但是所需的開銷和磁盤空間大。偵聽系統調用方法即使在離線狀態，也能通過訪問所需的信息來判斷入侵，降低了訪問無效信息的開銷。

許多研究都致力于使用發展偵聽系統調用方法的沙盒模型。該方法通過監控進程來監控應用進程調用的系統函數。監控進程是一段程序代碼，負責過濾掉對安全策略產生影響的系統調用。偵聽系統調用方法允許監控進程控制應用進程的資源訪問。

2.沙盒模型分類

按照監控進程位置不同而把沙盒分為三種類型：內核級、用戶級、指令級。

第一種類型是在內核模式下執行監控進程。該方法直接把監控進程編入內核。TRON是在Linux系統中保護進程文件的機制，與已存在的Linux文件保護機制合作執行，對所有進程進行訪問控制。它允許用戶指定訪問文件和目錄的權限，通過偵聽系統調用方法，監視并阻止木馬程序及其他非授權文件的訪問。該方法直接把特定類型的沙盒機制編入操作系統內核，用戶被迫使用這種沙盒機制，缺乏靈活性。

為了克服上述方法的局限性，一些系統采用可裝載內核模塊來執行。LSM(Linux Security Module)為Linux內核提供一個訪問控制框架，仲裁應用進程對內核的訪問。該沙盒系統允許不同的訪問控制模式作為可裝載內核模塊來執行，當使用不同的安全模式時僅需要裝載不同的內核模塊，這就滿足了用戶需求的多樣性，增強了訪問控制的靈活性。但是，監控進程必須充分可信，否則將其直接編入內核可能會破壞整個系統。

第二種類型是在用戶模式下執行監控進程。該方法把監控進程與應用進程存放在不同進程內，監控進程就不會被應用進程修改。監控進程利用操作系統支持那些具有系統調用跟蹤特性的調試器（如ptrace()和/proc文件系統），來偵聽應用進程的系統調用。監控進程在用戶級執行，依據應用進程選擇合適的沙盒系統，具有很大的靈活性。但是一旦偵聽系統調用，就有進程間通信，進而產生巨大的運行時間代價，降低了應用程序的性能。

第三種方法是把監控進程編入應用程序中。JAVA的基本安全結構是圍繞用戶如何能動態地調入和運行Applet展開的。Applet的各種操作是受Java沙盒機制限制的。這種沙盒模式實現了一種特定的安全策略，提供了一個受限環境，運行不可信代碼。這種基于語言的沙盒機制限制了程序員對編程語言的選擇。

綜上所述，偵聽系統調用方法直接通過沙盒機制檢測，不需要修改應用程序，對于用戶來說很方便，實現了透明性。內核級方法是在內核模式下偵聽系統調用，系統開銷小，但是缺乏靈活性，而且會影響內核。用戶級方法是在用戶模式下偵聽系統調用，用戶可以自由選擇沙盒機制，但是開銷大，不易執行。指令級方法是把沙盒插入到應用程序中，該方法不能應用到非二進制程序中。

3.細分類保護區域的沙盒框架

還有一種是細分類保護區域的沙盒框架，它結合了用戶級方法和內核級方法的優點。該框架只有一些基本機制在內核空間執行，而監控進程在用戶空間執行。它不但保留了靈活性，也降低了監控進程對系統的影響。該方法是把監控進程放在應用進程中，降低了偵聽系統調用的代價。同時細分類區域提供進程內部保護，這樣應用程序對監控進程就不會造成影響。在細分類保護區域中，進程包含多個細分類保護區域。每個進程選擇某一個細分類保護區域來存放監控進程，該區域可以訪問進程的所有內存頁面，稱作策略區域。其他的細分類區域存放移動代碼，都只能訪問進程的某些內存頁面。也就是說，不同的細分類保護區域有不同的訪問權限。策略區域可以訪問分配給應用進程的區域，但是應用進程的區域不能去訪問策略區域，這樣監控進程可以直接訪問應用程序的系統調用及其參數，而且不受應用程序的影響。創建與裝載細分類保護區域由程序裝載器來完成，監控進程在操作系統內核中注冊系統調用處理程序，偵聽應用程序調用的系統函數。當應用進程產生系統調用時，操作系統內核就喚醒系統調用處理程序，同時把系統調用序號及參數傳遞過去，由系統調用處理程序來檢測。如果這些系統調用及參數符合安全策略，就允許其執行，否則返回錯誤代碼。該框架允許執行多種安全策略，用戶可以根據需要選擇合適的沙盒系統，具有靈活性。它把監控進程放到應用進程中，就不屬于進程間通信，也就沒有偵聽系統調用的開銷，具有高效性。同時，它提供了細分類保護區域，設立進程內保護，是一種內核級保護機制，這樣應用進程就不會破壞監控進程。

［1］冀振燕，程虎.J AVA的安全結構［J］.微型機與應用，1999，（1）.

T

A

1673-0046（2010）12-0172-02