【正文】 d2。 A 調(diào)用系統(tǒng)接口，創(chuàng)建一個 UDP 插口 fd3。 共享存儲空間競爭如果有兩個進程共享存儲空間，系統(tǒng)調(diào)用處理模塊在進行依賴于描述符類型的權(quán)限檢查時，可能會出現(xiàn)一些資源競爭。在基于截獲系統(tǒng)調(diào)用的角色沙盒入侵檢測系統(tǒng)中，符號鏈接競爭是最常見的問題之一。 A 中 open(/tmp/foo,O_RDWR) 操作，從而進程 A 對/tmp/baz 的只讀權(quán)限提升為了讀寫權(quán)限。下面給出一個會導致競態(tài)條件的進程推進順序：1 .進程 A 調(diào)用 open(/tmp/foo, O_RDWR)。如果某個進程中所用到符號鏈接所指向的文件已經(jīng)通過了角色沙盒入侵檢測系統(tǒng)的檢測授權(quán)，而在該進程對此符號鏈接指向的文件訪問發(fā)生之間，如果符號鏈接被修改而指向另一個不同文件，就會發(fā)生符號鏈接競爭。例如上面程序中的路徑名 pname，實質(zhì)上是進程 A 和 B 所共享的全局變量。用戶空間的進程只能通過 ptrace 和其他追蹤接口篡改在內(nèi)核中的立即數(shù)參數(shù)。而我們用 Sdbox_check_open( )模擬通過訪問控制信息通用緩存或安全策略庫判斷是否允許執(zhí)行 open 系統(tǒng)調(diào)用，用 sleep(2)替代了讀取安全策略的過程，這是因為本文的研究重點只是角色沙盒入侵檢測系統(tǒng)中的競態(tài)條件，而用這些函數(shù)就足以說明我們所要表示的問題。 exit(0)。 main () //主函數(shù)，使 A 進程和 B 進程并發(fā)執(zhí)行{ pid_t pid。 //進程休眠 2 秒if( strcmp( *ptr,*pname)==0) //比較文件名，由此確定是否執(zhí)行調(diào)用 { exit(1)。 exit(1)。{int i。 //聲明路徑名數(shù)組 pname 為全局變量void process_A(void) //進程 A{pname=/tem/foo。4 .進程 B 將路徑修改為指向/etc/shadow。假設(shè)角色沙盒安全策略庫中的安全策略是允許進程 A 以只讀方式訪問/tmp/foo，不允許對其他文件進行訪問。在以下幾節(jié)，我們以參數(shù)競爭、符號鏈接競爭和共享存儲空間競爭為例進行說明。 3 .A 操作被操作系統(tǒng)執(zhí)行，而在正常的情況下，根據(jù)當前的系統(tǒng)狀態(tài)，A 操作是違反安全策略的，因而入侵檢測系統(tǒng)是不允許執(zhí)行該操作的。這是因為我們所構(gòu)建的系統(tǒng)中權(quán)限檢查和系統(tǒng)訪問授權(quán)都不是原子操作，這就會使檢測系統(tǒng)中進程的運行展現(xiàn)出無法預測的、對事件間相對時間的排列順序的致命相依性 [12]。………. ……….} }這個例子說明了一般的最明顯的出現(xiàn)競態(tài)條件的情形。四 競態(tài)條件競態(tài)條件表現(xiàn)為在多進程或多線程共享數(shù)據(jù)的情況下，由于進程或者線程的執(zhí)行順序程序的不同，而導致程序最終運行結(jié)果的不同 [16]。根據(jù)最近訪問優(yōu)先原則，將已讀取的客體訪問權(quán)限信息保留在訪問控制信息通用緩存中。在主體訪問控制信息中，包括用戶和進程的角色集合，使用鏈表結(jié)構(gòu)來實現(xiàn)。在安全策略庫中，角色就是一些訪問權(quán)限的集合，主體（用戶或進程）擁有了一個或多個角色，也就擁有了這些角色相應的權(quán)限。當執(zhí)行模塊將截獲的系統(tǒng)調(diào)用及其參數(shù)傳入系統(tǒng)調(diào)用處理模塊后，系統(tǒng)調(diào)用處理模塊將系統(tǒng)調(diào)用信息和用戶的角色權(quán)限等相關(guān)信息與安全策略庫中的角色及其權(quán)限策略相對照，如果用戶進程有執(zhí)行此系統(tǒng)調(diào)用的權(quán)限，則告知執(zhí)行模塊喚醒系統(tǒng)調(diào)用進程并允許其執(zhí)行該調(diào)用，反之，則拒絕該系統(tǒng)調(diào)用的執(zhí)行，并做出相關(guān)處理。當用戶的應用程序在執(zhí)行模塊內(nèi)執(zhí)行時，執(zhí)行模塊截獲用戶應用程序發(fā)出的系統(tǒng)調(diào)用，將其送入系統(tǒng)調(diào)用處理模塊，等待系統(tǒng)調(diào)用處理模塊對其做出相應處理。角色授予模塊通過對主體授予角色，來授予角色所擁有的權(quán)限。入侵檢測的過程如下：（1）用戶登錄后，通過角色認證進行角色的授予；（2）用戶執(zhí)行應用程序進入執(zhí)行模塊，截獲系統(tǒng)調(diào)用；（3）進入內(nèi)核的系統(tǒng)調(diào)用處理模塊，通過向訪問控制信息通用緩存發(fā)送決策請求來判斷是否具有訪問客體的權(quán)限；（4）如果訪問控制信息通用緩存沒有該客體的權(quán)限信息，則向用戶級的安全策略庫發(fā)送決策請求；（5）安全策略庫或訪問控制信息通用緩存將處理結(jié)果發(fā)回系統(tǒng)調(diào)用處理模塊，如果是 allow，則執(zhí)行該系統(tǒng)調(diào)用，否則進入虛擬技術(shù)沙盒，使其訪問該客體的一個除去敏感信息的副本；（6）最后將系統(tǒng)調(diào)用結(jié)果返回執(zhí)行模塊，繼續(xù)執(zhí)行程序。由于在沙盒中，對底層的每個與安全相關(guān)的系統(tǒng)調(diào)用都設(shè)置了攔截點，通過基于角色的系統(tǒng)調(diào)用截獲來判斷是否發(fā)生了入侵，因此其入侵檢測具有高的準確率。三 角色沙盒入侵檢測系統(tǒng) 角色沙盒入侵檢測系統(tǒng)構(gòu)建思想近幾年來，大量對以操作系統(tǒng)為基礎(chǔ)的入侵檢測和用戶權(quán)限控制的研究，給我們提供了很多通過檢測系統(tǒng)調(diào)用實現(xiàn)入侵檢測和用戶權(quán)限控制的方法。建立一個正常行為模型后，使用異常入侵檢測技術(shù)能夠準確地檢測出一些未知的攻擊，但當出現(xiàn)具有入侵性而表現(xiàn)正常的行為和不具有入侵性而表現(xiàn)異常的行為時，就不可避免地會造成誤判或漏檢，也就是說，異常入侵檢測并不能完全反映出系統(tǒng)復雜的動態(tài)，理論上的正常行為模型難以建立。 濫用入侵檢測技術(shù)濫用入侵檢測的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段，并找出可能的“攻擊特征”集合。④事件數(shù)據(jù)庫(Event databases):事件數(shù)據(jù)庫用來存儲 GIDO,以備系統(tǒng)需要的時候查詢和使用。以上通用入侵檢測框架中的 4 個組件代表的都是邏輯實體,組件之間采用統(tǒng)一入侵檢測對象(General Intrusion Detection Object,GIDO)格式進行數(shù)據(jù)交換。入侵檢測系統(tǒng)是防火墻之后的第二道安全閘門，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。其中“入侵”是指對信息系統(tǒng)的非授權(quán)訪問以及（或者）未經(jīng)許可在信息系統(tǒng)中進行操作 [1]。第 5 章總結(jié)角色沙盒入侵檢測系統(tǒng)中競態(tài)條件出現(xiàn)競態(tài)條件的原因，并設(shè)計相應的解決方案。第 1 章主要是對本課題的背景、國內(nèi)外研究現(xiàn)狀等做了簡要介紹。美國加利福尼亞大學的 Eugene Tsyrklevich 和 Ben Yee 曾對文件系統(tǒng)中的競態(tài)條件做過詳細的研究，并提出了許多有效的解決方案 [12]。旨在描述一個系統(tǒng)或者進程的輸出展現(xiàn)無法預測的、對事件間相對時間的排列順序的致命相依性。例如華盛頓大學的 Alexander Moshchuk 所領(lǐng)導的一個研究小組，已利用“虛擬沙盒”技術(shù)開發(fā)出了非常有效的檢測工具來過濾 Web 惡意程序 [10]。 沙盒技術(shù)沙盒的概念最早是由 Wahbe 等人在軟件故障隔離中提出的 [8]，用于實現(xiàn)在單一地址空間中的故障隔離，使得可信模塊和不可信模塊可以在相同的地址空間中安全運行。從 20 世紀 90 年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。如果粗心的實施者忽略了這些競態(tài)條件，就會使我們的角色沙盒入侵檢測系統(tǒng)產(chǎn)生許多漏洞。我們把基于截獲系統(tǒng)調(diào)用的入侵檢測引入到“沙盒” 模型中，并將用戶分為若干角色，角色與權(quán)限相關(guān)聯(lián)，這樣就提出了角色沙盒入侵檢測系統(tǒng)。雖然防火墻是抵御入侵的重要手段，但它采取的是一種靜態(tài)防御的策略，要求事先設(shè)置規(guī)則，對于實時攻擊或異常行為不能實時反應，無法自動調(diào)整策略設(shè)置以阻斷正在進行的攻擊。黑客入侵、網(wǎng)上經(jīng)濟犯罪、垃圾電子郵件等都預示著全球信息安全的形勢不容樂觀。在沙盒中，對底層的系統(tǒng)調(diào)用設(shè)置了攔截點，通過截獲系統(tǒng)調(diào)用來判斷是否發(fā)生了入侵，因此其入侵檢測具有高的準確率 [3]。盡管角色沙盒具有上述的許多優(yōu)點，但角色沙盒入侵檢測系統(tǒng)的構(gòu)建卻是一個非常復雜的過程，其中可能出現(xiàn)各種各樣的競態(tài)條件。 國內(nèi)外研究現(xiàn)狀 入侵檢測對入侵檢測概念的第一次詳細闡述，來源于 James P. Anderson 在 1980 年 4 月為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術(shù)報告中。國內(nèi)一些計算機病毒防治與研究的企業(yè)，都成功的自主研發(fā)出了自己的商業(yè)化入侵檢測產(chǎn)品，如瑞星公司的瑞星入侵檢測系統(tǒng) RIDS100 等。目前沙盒技術(shù)已經(jīng)在很多軟件安全設(shè)計方面有所應用。 競態(tài)條件競態(tài)條件 (race condition)又名競爭危害 (race hazard)。對于入侵檢測系統(tǒng)中存在的競態(tài)條件，斯坦福大學計算機系的 Tal Garfinkel 曾做過比較細致的研究，并提出了一些建設(shè)性的一般處理原則 [6]。詳細闡述了角色沙盒入侵檢測系統(tǒng)的構(gòu)建思想及其體系結(jié)構(gòu)，重點分析了角色沙盒入侵檢測系統(tǒng)中可能出現(xiàn)的競態(tài)條件及其出現(xiàn)原因，并針對不同的競態(tài)條件設(shè)計出了相應的解除方法。第 4 章介紹了競態(tài)條件的基本內(nèi)容，并重點分析了角色沙盒入侵檢測系統(tǒng)中可能出現(xiàn)的競態(tài)條件。對于“入侵檢測” 的概念存在很多提法，美國國家安全通信委員會（NSTAC ）下屬的入侵檢測小組（IDSG）在 1997 年給出的關(guān)于 “入侵檢測”的定義為：入侵檢測是對企圖入侵、正在進行的入侵或者已經(jīng)發(fā)生的入侵進行識別的過程。一般來說，入侵檢測系統(tǒng)的功能應該包括：1．監(jiān)視分析用戶活動；2．系統(tǒng)構(gòu)造變化和弱點的審計；3．識別反映已知進攻的活動模式并報警；4．異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；5．操作系統(tǒng)的審計跟蹤管理 [14]。 通用入侵檢測框架為了使分布于不同主機上的入侵檢測系統(tǒng)能夠相互通訊、交換檢測數(shù)據(jù)和分析結(jié)果，以檢測跨時間段的大范圍攻擊，Common Intrusion Detection Framework（CIDF）組織提出了一個入侵檢測系統(tǒng)的通用框架 [15]，如圖 22 所示：事件產(chǎn)生器事件分析器 事件數(shù)據(jù)庫響應單元事件來源圖 22 通用入侵檢測框架通用入侵檢測框架將 IDS 需要分析的數(shù)據(jù)統(tǒng)稱為事件,它既可以是網(wǎng)絡中的數(shù)據(jù)包,也可以是從系統(tǒng)日志或其他途徑得到的信息。③響應單元(Response units):響應單元負責處理接收到的 GIDO,并根據(jù)分析結(jié)果做出反應,如切斷網(wǎng)絡連接、改變文件權(quán)限、簡單報警等應急響應。常用的方法有：基于統(tǒng)計模型的異常入侵檢測、基于神經(jīng)網(wǎng)絡的異常入侵檢測、基于免疫系統(tǒng)的異常入侵檢測、基于文件檢查異常入侵檢測、基于協(xié)議認證的異常入侵檢測等。 兩種入侵檢測技術(shù)的優(yōu)缺點異常入侵檢測主要根據(jù)非正常行為和計算機資源的非正常使用檢測出入侵行為，這就要求入侵活動是異?；顒拥淖蛹E用入侵檢測對已知的攻擊有較高的檢測準確度，但對新型的攻擊或已知攻擊的變體卻表現(xiàn)出無能為力，濫用入侵檢測技術(shù)的擴展性和適應性都比較差。沙盒模型是一種模擬操作系統(tǒng)的虛擬環(huán)境，能為不可信進程或測試進程提供所需的運行環(huán)境。 角色沙盒入侵檢測系統(tǒng)體系結(jié)構(gòu) 總體結(jié)構(gòu)在 Linux 系統(tǒng)下，基于角色訪問控制的沙盒入侵檢測系統(tǒng)的總體結(jié)構(gòu)如圖 31 所示，由角色授予模塊、執(zhí)行模塊、系統(tǒng)調(diào)用處理模塊、安全策略