【正文】 d2。 A 調(diào)用系統(tǒng)接口，創(chuàng)建一個(gè) UDP 插口 fd3。 共享存儲(chǔ)空間競爭如果有兩個(gè)進(jìn)程共享存儲(chǔ)空間，系統(tǒng)調(diào)用處理模塊在進(jìn)行依賴于描述符類型的權(quán)限檢查時(shí)，可能會(huì)出現(xiàn)一些資源競爭。在基于截獲系統(tǒng)調(diào)用的角色沙盒入侵檢測系統(tǒng)中，符號(hào)鏈接競爭是最常見的問題之一。 A 中 open(/tmp/foo,O_RDWR) 操作，從而進(jìn)程 A 對(duì)/tmp/baz 的只讀權(quán)限提升為了讀寫權(quán)限。下面給出一個(gè)會(huì)導(dǎo)致競態(tài)條件的進(jìn)程推進(jìn)順序：1 .進(jìn)程 A 調(diào)用 open(/tmp/foo, O_RDWR)。如果某個(gè)進(jìn)程中所用到符號(hào)鏈接所指向的文件已經(jīng)通過了角色沙盒入侵檢測系統(tǒng)的檢測授權(quán)，而在該進(jìn)程對(duì)此符號(hào)鏈接指向的文件訪問發(fā)生之間，如果符號(hào)鏈接被修改而指向另一個(gè)不同文件，就會(huì)發(fā)生符號(hào)鏈接競爭。例如上面程序中的路徑名 pname，實(shí)質(zhì)上是進(jìn)程 A 和 B 所共享的全局變量。用戶空間的進(jìn)程只能通過 ptrace 和其他追蹤接口篡改在內(nèi)核中的立即數(shù)參數(shù)。而我們用 Sdbox_check_open( )模擬通過訪問控制信息通用緩存或安全策略庫判斷是否允許執(zhí)行 open 系統(tǒng)調(diào)用，用 sleep(2)替代了讀取安全策略的過程，這是因?yàn)楸疚牡难芯恐攸c(diǎn)只是角色沙盒入侵檢測系統(tǒng)中的競態(tài)條件，而用這些函數(shù)就足以說明我們所要表示的問題。 exit(0)。 main () //主函數(shù)，使 A 進(jìn)程和 B 進(jìn)程并發(fā)執(zhí)行{ pid_t pid。 //進(jìn)程休眠 2 秒if( strcmp( *ptr,*pname)==0) //比較文件名，由此確定是否執(zhí)行調(diào)用 { exit(1)。 exit(1)。{int i。 //聲明路徑名數(shù)組 pname 為全局變量void process_A(void) //進(jìn)程 A{pname=/tem/foo。4 .進(jìn)程 B 將路徑修改為指向/etc/shadow。假設(shè)角色沙盒安全策略庫中的安全策略是允許進(jìn)程 A 以只讀方式訪問/tmp/foo，不允許對(duì)其他文件進(jìn)行訪問。在以下幾節(jié)，我們以參數(shù)競爭、符號(hào)鏈接競爭和共享存儲(chǔ)空間競爭為例進(jìn)行說明。 3 .A 操作被操作系統(tǒng)執(zhí)行，而在正常的情況下，根據(jù)當(dāng)前的系統(tǒng)狀態(tài)，A 操作是違反安全策略的，因而入侵檢測系統(tǒng)是不允許執(zhí)行該操作的。這是因?yàn)槲覀兯鶚?gòu)建的系統(tǒng)中權(quán)限檢查和系統(tǒng)訪問授權(quán)都不是原子操作，這就會(huì)使檢測系統(tǒng)中進(jìn)程的運(yùn)行展現(xiàn)出無法預(yù)測的、對(duì)事件間相對(duì)時(shí)間的排列順序的致命相依性 [12]?！? ……….} }這個(gè)例子說明了一般的最明顯的出現(xiàn)競態(tài)條件的情形。四 競態(tài)條件競態(tài)條件表現(xiàn)為在多進(jìn)程或多線程共享數(shù)據(jù)的情況下，由于進(jìn)程或者線程的執(zhí)行順序程序的不同，而導(dǎo)致程序最終運(yùn)行結(jié)果的不同 [16]。根據(jù)最近訪問優(yōu)先原則，將已讀取的客體訪問權(quán)限信息保留在訪問控制信息通用緩存中。在主體訪問控制信息中，包括用戶和進(jìn)程的角色集合，使用鏈表結(jié)構(gòu)來實(shí)現(xiàn)。在安全策略庫中，角色就是一些訪問權(quán)限的集合，主體（用戶或進(jìn)程）擁有了一個(gè)或多個(gè)角色，也就擁有了這些角色相應(yīng)的權(quán)限。當(dāng)執(zhí)行模塊將截獲的系統(tǒng)調(diào)用及其參數(shù)傳入系統(tǒng)調(diào)用處理模塊后，系統(tǒng)調(diào)用處理模塊將系統(tǒng)調(diào)用信息和用戶的角色權(quán)限等相關(guān)信息與安全策略庫中的角色及其權(quán)限策略相對(duì)照，如果用戶進(jìn)程有執(zhí)行此系統(tǒng)調(diào)用的權(quán)限，則告知執(zhí)行模塊喚醒系統(tǒng)調(diào)用進(jìn)程并允許其執(zhí)行該調(diào)用，反之，則拒絕該系統(tǒng)調(diào)用的執(zhí)行，并做出相關(guān)處理。當(dāng)用戶的應(yīng)用程序在執(zhí)行模塊內(nèi)執(zhí)行時(shí)，執(zhí)行模塊截獲用戶應(yīng)用程序發(fā)出的系統(tǒng)調(diào)用，將其送入系統(tǒng)調(diào)用處理模塊，等待系統(tǒng)調(diào)用處理模塊對(duì)其做出相應(yīng)處理。角色授予模塊通過對(duì)主體授予角色，來授予角色所擁有的權(quán)限。入侵檢測的過程如下：（1）用戶登錄后，通過角色認(rèn)證進(jìn)行角色的授予；（2）用戶執(zhí)行應(yīng)用程序進(jìn)入執(zhí)行模塊，截獲系統(tǒng)調(diào)用；（3）進(jìn)入內(nèi)核的系統(tǒng)調(diào)用處理模塊，通過向訪問控制信息通用緩存發(fā)送決策請(qǐng)求來判斷是否具有訪問客體的權(quán)限；（4）如果訪問控制信息通用緩存沒有該客體的權(quán)限信息，則向用戶級(jí)的安全策略庫發(fā)送決策請(qǐng)求；（5）安全策略庫或訪問控制信息通用緩存將處理結(jié)果發(fā)回系統(tǒng)調(diào)用處理模塊，如果是 allow，則執(zhí)行該系統(tǒng)調(diào)用，否則進(jìn)入虛擬技術(shù)沙盒，使其訪問該客體的一個(gè)除去敏感信息的副本；（6）最后將系統(tǒng)調(diào)用結(jié)果返回執(zhí)行模塊，繼續(xù)執(zhí)行程序。由于在沙盒中，對(duì)底層的每個(gè)與安全相關(guān)的系統(tǒng)調(diào)用都設(shè)置了攔截點(diǎn)，通過基于角色的系統(tǒng)調(diào)用截獲來判斷是否發(fā)生了入侵，因此其入侵檢測具有高的準(zhǔn)確率。三 角色沙盒入侵檢測系統(tǒng) 角色沙盒入侵檢測系統(tǒng)構(gòu)建思想近幾年來，大量對(duì)以操作系統(tǒng)為基礎(chǔ)的入侵檢測和用戶權(quán)限控制的研究，給我們提供了很多通過檢測系統(tǒng)調(diào)用實(shí)現(xiàn)入侵檢測和用戶權(quán)限控制的方法。建立一個(gè)正常行為模型后，使用異常入侵檢測技術(shù)能夠準(zhǔn)確地檢測出一些未知的攻擊，但當(dāng)出現(xiàn)具有入侵性而表現(xiàn)正常的行為和不具有入侵性而表現(xiàn)異常的行為時(shí)，就不可避免地會(huì)造成誤判或漏檢，也就是說，異常入侵檢測并不能完全反映出系統(tǒng)復(fù)雜的動(dòng)態(tài)，理論上的正常行為模型難以建立。 濫用入侵檢測技術(shù)濫用入侵檢測的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段，并找出可能的“攻擊特征”集合。④事件數(shù)據(jù)庫(Event databases):事件數(shù)據(jù)庫用來存儲(chǔ) GIDO,以備系統(tǒng)需要的時(shí)候查詢和使用。以上通用入侵檢測框架中的 4 個(gè)組件代表的都是邏輯實(shí)體,組件之間采用統(tǒng)一入侵檢測對(duì)象(General Intrusion Detection Object,GIDO)格式進(jìn)行數(shù)據(jù)交換。入侵檢測系統(tǒng)是防火墻之后的第二道安全閘門，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。其中“入侵”是指對(duì)信息系統(tǒng)的非授權(quán)訪問以及（或者）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作 [1]。第 5 章總結(jié)角色沙盒入侵檢測系統(tǒng)中競態(tài)條件出現(xiàn)競態(tài)條件的原因，并設(shè)計(jì)相應(yīng)的解決方案。第 1 章主要是對(duì)本課題的背景、國內(nèi)外研究現(xiàn)狀等做了簡要介紹。美國加利福尼亞大學(xué)的 Eugene Tsyrklevich 和 Ben Yee 曾對(duì)文件系統(tǒng)中的競態(tài)條件做過詳細(xì)的研究，并提出了許多有效的解決方案 [12]。旨在描述一個(gè)系統(tǒng)或者進(jìn)程的輸出展現(xiàn)無法預(yù)測的、對(duì)事件間相對(duì)時(shí)間的排列順序的致命相依性。例如華盛頓大學(xué)的 Alexander Moshchuk 所領(lǐng)導(dǎo)的一個(gè)研究小組，已利用“虛擬沙盒”技術(shù)開發(fā)出了非常有效的檢測工具來過濾 Web 惡意程序 [10]。 沙盒技術(shù)沙盒的概念最早是由 Wahbe 等人在軟件故障隔離中提出的 [8]，用于實(shí)現(xiàn)在單一地址空間中的故障隔離，使得可信模塊和不可信模塊可以在相同的地址空間中安全運(yùn)行。從 20 世紀(jì) 90 年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個(gè)方向取得了長足的進(jìn)展。如果粗心的實(shí)施者忽略了這些競態(tài)條件，就會(huì)使我們的角色沙盒入侵檢測系統(tǒng)產(chǎn)生許多漏洞。我們把基于截獲系統(tǒng)調(diào)用的入侵檢測引入到“沙盒” 模型中，并將用戶分為若干角色，角色與權(quán)限相關(guān)聯(lián)，這樣就提出了角色沙盒入侵檢測系統(tǒng)。雖然防火墻是抵御入侵的重要手段，但它采取的是一種靜態(tài)防御的策略，要求事先設(shè)置規(guī)則，對(duì)于實(shí)時(shí)攻擊或異常行為不能實(shí)時(shí)反應(yīng)，無法自動(dòng)調(diào)整策略設(shè)置以阻斷正在進(jìn)行的攻擊。黑客入侵、網(wǎng)上經(jīng)濟(jì)犯罪、垃圾電子郵件等都預(yù)示著全球信息安全的形勢不容樂觀。在沙盒中，對(duì)底層的系統(tǒng)調(diào)用設(shè)置了攔截點(diǎn)，通過截獲系統(tǒng)調(diào)用來判斷是否發(fā)生了入侵，因此其入侵檢測具有高的準(zhǔn)確率 [3]。盡管角色沙盒具有上述的許多優(yōu)點(diǎn)，但角色沙盒入侵檢測系統(tǒng)的構(gòu)建卻是一個(gè)非常復(fù)雜的過程，其中可能出現(xiàn)各種各樣的競態(tài)條件。 國內(nèi)外研究現(xiàn)狀 入侵檢測對(duì)入侵檢測概念的第一次詳細(xì)闡述，來源于 James P. Anderson 在 1980 年 4 月為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術(shù)報(bào)告中。國內(nèi)一些計(jì)算機(jī)病毒防治與研究的企業(yè)，都成功的自主研發(fā)出了自己的商業(yè)化入侵檢測產(chǎn)品，如瑞星公司的瑞星入侵檢測系統(tǒng) RIDS100 等。目前沙盒技術(shù)已經(jīng)在很多軟件安全設(shè)計(jì)方面有所應(yīng)用。 競態(tài)條件競態(tài)條件 (race condition)又名競爭危害 (race hazard)。對(duì)于入侵檢測系統(tǒng)中存在的競態(tài)條件，斯坦福大學(xué)計(jì)算機(jī)系的 Tal Garfinkel 曾做過比較細(xì)致的研究，并提出了一些建設(shè)性的一般處理原則 [6]。詳細(xì)闡述了角色沙盒入侵檢測系統(tǒng)的構(gòu)建思想及其體系結(jié)構(gòu)，重點(diǎn)分析了角色沙盒入侵檢測系統(tǒng)中可能出現(xiàn)的競態(tài)條件及其出現(xiàn)原因，并針對(duì)不同的競態(tài)條件設(shè)計(jì)出了相應(yīng)的解除方法。第 4 章介紹了競態(tài)條件的基本內(nèi)容，并重點(diǎn)分析了角色沙盒入侵檢測系統(tǒng)中可能出現(xiàn)的競態(tài)條件。對(duì)于“入侵檢測” 的概念存在很多提法，美國國家安全通信委員會(huì)（NSTAC ）下屬的入侵檢測小組（IDSG）在 1997 年給出的關(guān)于 “入侵檢測”的定義為：入侵檢測是對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程。一般來說，入侵檢測系統(tǒng)的功能應(yīng)該包括：1．監(jiān)視分析用戶活動(dòng)；2．系統(tǒng)構(gòu)造變化和弱點(diǎn)的審計(jì)；3．識(shí)別反映已知進(jìn)攻的活動(dòng)模式并報(bào)警；4．異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；5．操作系統(tǒng)的審計(jì)跟蹤管理 [14]。 通用入侵檢測框架為了使分布于不同主機(jī)上的入侵檢測系統(tǒng)能夠相互通訊、交換檢測數(shù)據(jù)和分析結(jié)果，以檢測跨時(shí)間段的大范圍攻擊，Common Intrusion Detection Framework（CIDF）組織提出了一個(gè)入侵檢測系統(tǒng)的通用框架 [15]，如圖 22 所示：事件產(chǎn)生器事件分析器 事件數(shù)據(jù)庫響應(yīng)單元事件來源圖 22 通用入侵檢測框架通用入侵檢測框架將 IDS 需要分析的數(shù)據(jù)統(tǒng)稱為事件,它既可以是網(wǎng)絡(luò)中的數(shù)據(jù)包,也可以是從系統(tǒng)日志或其他途徑得到的信息。③響應(yīng)單元(Response units):響應(yīng)單元負(fù)責(zé)處理接收到的 GIDO,并根據(jù)分析結(jié)果做出反應(yīng),如切斷網(wǎng)絡(luò)連接、改變文件權(quán)限、簡單報(bào)警等應(yīng)急響應(yīng)。常用的方法有：基于統(tǒng)計(jì)模型的異常入侵檢測、基于神經(jīng)網(wǎng)絡(luò)的異常入侵檢測、基于免疫系統(tǒng)的異常入侵檢測、基于文件檢查異常入侵檢測、基于協(xié)議認(rèn)證的異常入侵檢測等。 兩種入侵檢測技術(shù)的優(yōu)缺點(diǎn)異常入侵檢測主要根據(jù)非正常行為和計(jì)算機(jī)資源的非正常使用檢測出入侵行為，這就要求入侵活動(dòng)是異?；顒?dòng)的子集。濫用入侵檢測對(duì)已知的攻擊有較高的檢測準(zhǔn)確度，但對(duì)新型的攻擊或已知攻擊的變體卻表現(xiàn)出無能為力，濫用入侵檢測技術(shù)的擴(kuò)展性和適應(yīng)性都比較差。沙盒模型是一種模擬操作系統(tǒng)的虛擬環(huán)境，能為不可信進(jìn)程或測試進(jìn)程提供所需的運(yùn)行環(huán)境。 角色沙盒入侵檢測系統(tǒng)體系結(jié)構(gòu) 總體結(jié)構(gòu)在 Linux 系統(tǒng)下，基于角色訪問控制的沙盒入侵檢測系統(tǒng)的總體結(jié)構(gòu)如圖 31 所示，由角色授予模塊、執(zhí)行模塊、系統(tǒng)調(diào)用處理模塊、安全策略