ارزیابی امنیت هسته سیستم عامل ها در برابر افزونه های ناامن به روش هوکو

بطور گسترده مهاجمان جهت حمله به سیستم عامل از افزونه های هسته استفاده می کنند. با وجود افزونه های نا امن مختلف، حفاظت جامع و یکپارچه از هسته سیستم عامل و روش های عملی و عمومی از آن همچنان به عنوان یک مشکل چالش آفرین باقی مانده است. در این مقاله روش HUKO که یک سیستم حفاظت یکپارچه مبتنی بر Hypervisor را ارائه خواهیم داد که به منظور حفاظت از افزونه های نا امن در محصول سیستم عامل طراحی شده است. در سیستم HUKO افزونه های کرنل نا امن می توانند به شکلی امن و برای فراهم کردن کارکرد مطلوب اجرا شوند. در عین حال رفتار افزونه های امن، توسط قوانین کنترل دسترسی الزامی محدود می گردد که به طور چشم گیری توانایی مهاجمان را در حمله یکپارچه به کرنل محدود می کند. HUKO برای تضمین حفاظت و اجرای چند وجهی از صفحه بندی مدیریت شده به کمک سخت افزار برای جداسازی آشکار افزونه های نا امن از هسته سیستم عامل می کند، به وسیله صفحات سخت افزاری به صورت شفاف، افزونه های غیرمطمئن سیستم عامل را ایزوله می کند. بعلاوه HUKO جهت غلبه بر چالش سربار واسطه ها، با ارائه یک طراحی جدید به نام انتقال حالت محافظت شده Subject-Aware را معرفی می کند که برای حذف انتقال های غیر ضروری خاص که توسط دسترسی های مجاز غیر مستقیم به وجود آمده است. مورد استفاده قرار می گیرد. این روش یک روش عملیست، زیرا نیاز به تغییرات اندکی در هسته سیستم عامل و یا افزونه ها دارد. و به صورت ذاتی از انواع مختلفی از سیستم عامل ها و افزونههای مرتبط پشتیبانی می کند. در این مقاله یک نمونه اولیه از HUKO بر اساس سیستم عامل های متن باز از منبع XenHypervisor پیاده سازی می کنیم، و نتایج ارزیابی از آن نشان می دهد که HUKO به طور جامع می تواند در مقابل انواع مختلفی از افزونه های مخرب، با هزینه عملکرد قابل قبول محافظت کند.