یک روش شفاف کنترل جامعیت داده ها در هسته سیستم عامل به کمک مانیتور ماشین مجازی
Publish place: 9th Internation lIranian Security Community Conference
Publish Year: 1391
نوع سند: مقاله کنفرانسی
زبان: Persian
View: 352
This Paper With 11 Page And PDF Format Ready To Download
- Certificate
- من نویسنده این مقاله هستم
استخراج به نرم افزارهای پژوهشی:
شناسه ملی سند علمی:
ISCC09_044
تاریخ نمایه سازی: 5 آبان 1397
Abstract:
بدافزارهای پنهان هسته ی سیستم عامل (روتکیت ها) می توانند سیستم های کامپیوتری را تا مدت ها در معرض آسیب های امنیتی قرار دهند. اغلب روتکیت ها برای پنهان ماندن از دید ابزارهای نظارتی، داده های کنترلی سیستم را تغییر می دهند و برخی دیگر به جعل داده های غیرکنترلی می پردازند. تاکنون برای مقابله با روتکیت ها روش هی مختلفی ارایه شده که اغلب از دید روتکیت ها شفاف نبوده (نتایج قابل اطمینانی از وضعیت اجرایی سیستم ارایه نمی کنند) و یا به بررسی تغییرات در داده های کنترلی اکتفا می کنند. در این مقاله، یک روش شفاف کنترل جامعیت داده های هسته (شناسایی روتکیت ها) ارایه می شود که با استفاده از بازسازی اشیا پویا هسته و طی رویکردی چند مرحله ای، بر تغییرات داده های حیاتی هسته ی سیستم عامل نظارت دارد. بررسی صحت ثبات های پردازنده، جدول فراخوانی سیستمی، فیلدهای حساس ساختار داده ها، لیست های پیوندی و همچنین ارتباطات بین ساختاری، مراحل کنترل جامعیت را تشکیل می دهند. یک نمونه اولیه از روش پیشنهادی ما بنام TINC در سطح مانیتور ماشین مجازی نوع اول (ناظر) و بر بستر سیستم عامل لینوکس پیاده سازی شده است که اشیاء حساس و پویا هسته را در مدت 38 میلی ثانیه بازسازی می کند. ارزیابی TINC با یازده روتکیت حقیقی نشان داد که روش پیشنهادی ما در مدت 29 میلی ثانیه، عملیات کنترل جامعیت و شناسایی انواع روتکیت ها را انجام می دهد.
Keywords:
روتکیت , ساختار داده ی هسته , روابط بین ساختاری , کنترل جامعیت داده ها , شناسایی روتکیت ها , ماشین ناظر
Authors
حماد افضلی ننیز
آزمایشگاه امنیت سیستم عامل، دانشگاه الزهرا، تهران
رضا عزمی
استادیار گروه مهندسی کامپیوتر، دانشکده فنی، دانشگاه الزهرا، تهران