-
题名基于Kprobe的Rootkit检测机制
被引量:1
- 1
-
-
作者
杨章象
代祖华
王博
-
机构
西北师范大学计算机科学与工程学院
西安交通大学电子与信息工程学院
-
出处
《计算机工程与应用》
CSCD
北大核心
2016年第7期127-131,共5页
-
基金
国家自然科学青年基金(No.61202060)
-
文摘
对现有Linux系统下Rootkit检测技术的原理进行分析,并提出了基于Kprobe的Rootkit检测技术。通过在关键路径下插入探测点,在内核底层收集Rootkit所要隐藏的对象信息,最后通过底层收集的信息与系统中审计工具所得的结果进行交叉视图的比对得到被隐藏对象。在实验阶段选择几种现有流行的Rootkit安装,采用了基于Kprobe的检测方法,通过实验结果表明该机制具有良好的可靠性。
-
关键词
ROOTKIT检测
kprobe
内核
审计工具
交叉视图比对
-
Keywords
Rootkit detection
kprobe
kernel
audit tool
cross-view vaildation
-
分类号
TP309.5
[自动化与计算机技术—计算机系统结构]
-
-
题名针对内核非控制数据攻击的在线检测方法研究
被引量:2
- 2
-
-
作者
黄杰
翟高寿
-
机构
北京交通大学计算机与信息技术学院
-
出处
《计算机应用与软件》
2017年第2期325-333,共9页
-
基金
中央高校基本科研业务费专项基金项目(2009JBM019)
国家留学基金项目(201307095025)
-
文摘
操作系统安全是计算机系统安全的基础保障和前提条件,而操作系统安全则主要依赖于系统内核的安全。针对内核的非控制数据攻击是指通过篡改内核中的某些关键数据结构,诱发内核出现漏洞和产生一系列稳定性问题,从而严重影响操作系统乃至整个计算机系统的安全。提出一种基于Kprobes内核调试机制和监视器内核线程的在线检测方法,前者用于监控内核关键函数的执行和检查相关动态性数据结构的一致性,后者通过设立专门的内核线程实现静态性内核数据结构的持续监测和不变性验证。然后在Linux平台上运用C语言设计实现了相应的内核非控制数据攻击在线检测器KNCDefender,进行了一系列验证实验和性能测试实验。实验结果表明,该方法是完全轻量级的,并能够及时检测出针对内核的各种非控制数据攻击。
-
关键词
操作系统安全
内核安全
内核非控制数据攻击
kprobes调试机制
-
Keywords
Operating system security
Security of kernel
Kernel non-control-data attacks
kprobes debugging mechanism
-
分类号
TP316
[自动化与计算机技术—计算机软件与理论]
-
