嵌入式操作系统内核级安全审计机制的研讨.pdfVIP

2 CESC 2006年第一届奎国嵌入式系统学术交流套论文集 嵌入式操作系统内核级安全 审计机制的研究 张国印 王晓霞 刘书勇 哈尔滨工程大学计算机科学与技术学院，哈尔滨．150001 摘要本文设计实现了嵌入式操作系统内柱级的安全审计机制。其实现是将Linux操作系统原应用程 序级的审计机制琏进为内括级的审计方法．从而避免了某些可绕过应用程序级审计的恶意代码对系统进行攻 击而无法进行事后追踪的情况。 关键词嵌入式操作系统，安全审计 引 言 安全审计是计算机系统安全管理的一个重要组成部分，通常记录涉及系统安全的操作．以各当有违反系统 安全规则的事件发生后能够有效地进行追查。它是用来监督系统的正常运行、保障安全策略正确实施的一种 手段-审计记录数据通常存放在日志文件中，Linux系统本身已经向系统管理员提供了必要的日志信息，包括 内核与系统程序信息、用户登录、退出信息以及进程统计日志信息。当用户登录系统时，Linux缺省地将用户 信息()如进程1D、运行时间、I／O传输信号等()存放在／var／log／pacct中，另外一些错误日志被记录在文件／ var／log／message中。 2现有Linux审计机制的不足 Linux系统现行的安全审计机制是在应用程序级实现的，即审计过程是通过一个应用程序实现的。Linux 系统安全审计是利用独立于操作系统的审计程序syslogd记录用户登录和相关操作信息的。对用户正常或异 常的操作所产生的警告或提示等信息以统一的格式记录下来。其基本结构功能如图1所示。 圈1现行Linttx审计逻辑结构 从图中可以看出，现有Linux审计系统存在下述安全隐患：由于所有的审计数据都是由用户态下服务程序 收集的，因此，一旦某个收集审计数据的外部服务程序被恶意用户删除后，由该服务程序所收集的某类审计记 录就不会产生，这样审计系统也就达不到记录所有安全相关系统活动的目的；由于收集审计信息是在用户态下 进行的，所以审计信息获取量不足，审计记录不够详细．比如只能记录系统调用的名称，而投有相关的客体的记 录}现有的Linux审计日志，缺少安全保护，任何用户均可访问，并可对其进行删改等操作}现有的日志存储方 式不利于审计信息的查看与分析·审计信息不能充分发挥作用。因此，有必要改进Linux原有的审计机制，加 强审计日志的安全管理。 基于以上分析，为了对抗日前已经广泛被采用的内核级的系统入侵技术．Linux系统安全审计机制在一定 安全级别的要求下，应具备以下特征： ①以独立于应用程序的方式进行审计，获取充足的审计数据，使得审计过程不会受到非法用户的干扰或 被获取一定权限的用户绕过{ ②有效地审计数据的存储和访问控制，使得审计数据能够得到很好的保护，从而防止用户非法访问审计 数据； ③此外·自动、智能化的审计数据分析方法和技术，也是安全审计系统中非常重要的部分。对审计数据进 第一部分教学研讨篇 3 行有效地分析，．技时准确地发现与安全相关的问题，反映用户的行为，可眦帮助系统及时作出响应 3审计机制的设计与实现 3．1审计点的处理 审计点是用来记录审计事件的。审计事件是指所有与系统安全相关的操作。审计事件是系统审计用户动 作的最基本的单位。POSIX．1e标准定义了两类审计事件：系统审计事件和应用程序审计事件。系统审计事 件是在系统接口层由程序执行的操作，也即系统词用，如open、exee、chdir、chmod等F应用程序审计事件是指与 系统安全关系密切的系统命令和特权命令，如login等。系统审计事件和应用程序审计事件构成r审计事件 全集。 因此要在内核中审计安全信息，首先要选择合适的审计点。审计点选取得合理与否也是审计功能实现戒 败的关键。本文中规定、垃计以下审计点： ①MAC审计点：强制访问控制中队系统中的所有用户、进程、资源即客体都打上了安全标签，对资源访问 权限只能由系统的安全管理员设定。进程访问资源时，需要