یک روش شفاف کنترل جامعیت داده ها در هسته سیستم عامل به کمک مانیتور ماشین مجازی
محل انتشار: نهمین کنفرانس بین المللی انجمن رمز ایران
سال انتشار: 1391
نوع سند: مقاله کنفرانسی
زبان: فارسی
مشاهده: 360
فایل این مقاله در 11 صفحه با فرمت PDF قابل دریافت می باشد
- صدور گواهی نمایه سازی
- من نویسنده این مقاله هستم
استخراج به نرم افزارهای پژوهشی:
شناسه ملی سند علمی:
ISCC09_044
تاریخ نمایه سازی: 5 آبان 1397
چکیده مقاله:
بدافزارهای پنهان هسته ی سیستم عامل (روتکیت ها) می توانند سیستم های کامپیوتری را تا مدت ها در معرض آسیب های امنیتی قرار دهند. اغلب روتکیت ها برای پنهان ماندن از دید ابزارهای نظارتی، داده های کنترلی سیستم را تغییر می دهند و برخی دیگر به جعل داده های غیرکنترلی می پردازند. تاکنون برای مقابله با روتکیت ها روش هی مختلفی ارایه شده که اغلب از دید روتکیت ها شفاف نبوده (نتایج قابل اطمینانی از وضعیت اجرایی سیستم ارایه نمی کنند) و یا به بررسی تغییرات در داده های کنترلی اکتفا می کنند. در این مقاله، یک روش شفاف کنترل جامعیت داده های هسته (شناسایی روتکیت ها) ارایه می شود که با استفاده از بازسازی اشیا پویا هسته و طی رویکردی چند مرحله ای، بر تغییرات داده های حیاتی هسته ی سیستم عامل نظارت دارد. بررسی صحت ثبات های پردازنده، جدول فراخوانی سیستمی، فیلدهای حساس ساختار داده ها، لیست های پیوندی و همچنین ارتباطات بین ساختاری، مراحل کنترل جامعیت را تشکیل می دهند. یک نمونه اولیه از روش پیشنهادی ما بنام TINC در سطح مانیتور ماشین مجازی نوع اول (ناظر) و بر بستر سیستم عامل لینوکس پیاده سازی شده است که اشیاء حساس و پویا هسته را در مدت 38 میلی ثانیه بازسازی می کند. ارزیابی TINC با یازده روتکیت حقیقی نشان داد که روش پیشنهادی ما در مدت 29 میلی ثانیه، عملیات کنترل جامعیت و شناسایی انواع روتکیت ها را انجام می دهد.
کلیدواژه ها:
روتکیت ، ساختار داده ی هسته ، روابط بین ساختاری ، کنترل جامعیت داده ها ، شناسایی روتکیت ها ، ماشین ناظر
نویسندگان
حماد افضلی ننیز
آزمایشگاه امنیت سیستم عامل، دانشگاه الزهرا، تهران
رضا عزمی
استادیار گروه مهندسی کامپیوتر، دانشکده فنی، دانشگاه الزهرا، تهران