面向入侵攻击的内核层取证系统设计与实现
文献类型:学位论文
| 作者 | 周博文 |
| 学位类别 | 博士 |
| 答辩日期 | 2007-06-05 |
| 授予单位 | 中国科学院软件研究所 |
| 授予地点 | 软件研究所 |
| 关键词 | 入侵 计算机取证 操作系统 |
| 中文摘要 | 自从1988年的莫里斯蠕虫事件以来,入侵一直被视为计算机信息系统安全面临的最大威胁。近年来,一种新的计算机安全技术被广泛的关注和研究——计算机取证。计算机取证技术萌芽于九十年代初,蓬勃发展于21世纪,它是计算机安全与法律的交叉学科。目前已有的取证工具采用事后取证的方法,只能通过分析磁盘镜像的方式搜集证据,无法满足对入侵取证的需要。事后取证具有其优越性,如保证硬盘数据的真实和完整等等;但是同时具有天生的缺陷。事后取证丢弃了大量有价值的系统运行时产生的数据,利用这些信息可以确定入侵者的很多犯罪细节:攻击目标、入侵手段、入侵时间、发起入侵的机器地址等等。 我们研究的主要目的是提供一种有效的面向入侵攻击的计算机取证系统。本文在分析多种缓冲区溢出攻击的基础上抽象出入侵过程的一般模式,提出针对入侵攻击的取证系统应满足的要求。 1) 实时地记录用户和进程的操作,而不局限于操作产生的结果; 2) 具有一定程度的通用性,可以针对不同种类的入侵进行必要的定制。 3) 实施严格的证据保护机制,防止证据被篡改或删除; 基于这种面向入侵的设计思路,我们在FreeBSD系统中实现了在操作系统内核中运行的取证系统KIFS(Kernel Intrusion Forensics System)。在实际的入侵攻击场景中,KIFS实现了上述的对取证系统的三个要求。最后,在入侵取证实验中,根据KIFS得到的证据,我们成功记录并重构了一个针对FreeBSD 4.3系统漏洞的本地提升权限攻击的完整过程;同时,我们测试了KIFS对系统增加了额外负载,对比了KIFS系统与普通操作系统的性能差别,为后继的研究奠定了基础。 |
| 语种 | 中文 |
| 公开日期 | 2011-03-17 |
| 页码 | 51 |
| 源URL | [http://ir.iscas.ac.cn/handle/311060/6254]  |
| 专题 | 软件研究所_中科院软件所_中科院软件所 |
| 推荐引用方式 GB/T 7714 | 周博文. 面向入侵攻击的内核层取证系统设计与实现[D]. 软件研究所. 中国科学院软件研究所. 2007. |
入库方式: OAI收割
来源:软件研究所
浏览0
下载0
收藏0
其他版本
除非特别说明,本系统中所有内容都受版权保护,并保留所有权利。