【正文】 統(tǒng)中針對各種具體競態(tài)條件的一些有效的解決方案，但如何在解除競態(tài)條件的同時(shí)進(jìn)一步降低對系統(tǒng)效率的影響，仍需要進(jìn)一步研究。六 總結(jié)及進(jìn)一步的工作在上面兩部分我們論述了什么是競態(tài)條件，并分析了角色沙盒入侵檢測系統(tǒng)中常見的出現(xiàn)各種競態(tài)條件的原因及各種競態(tài)條件的相應(yīng)解除方法。不同的是參數(shù)競爭中不同進(jìn)程共享的只是很有限的一個(gè)存儲區(qū)域，而像 節(jié)中所列舉的導(dǎo)致出現(xiàn)競態(tài)條件的這種共享存儲空間的情形，是幾個(gè)進(jìn)程完全共享分配給進(jìn)程的共享存儲空間。 delete (/tmp/foo)。但這些方法都還存在或多或少的缺陷。但是由于參數(shù)修改發(fā)生在系統(tǒng)調(diào)用處理模塊處理系統(tǒng)調(diào)用之前，所以當(dāng) A 進(jìn)程通過執(zhí)行模塊執(zhí)行系統(tǒng)調(diào)用時(shí)，其系統(tǒng)調(diào)用請求并不會被系統(tǒng)調(diào)用處理模塊授權(quán)，這是因?yàn)榇藭r(shí)系統(tǒng)調(diào)用處理模塊可以檢測出其調(diào)用參數(shù)不符合安全策略。 SdBox_exe_open(path,O_RDONLY)。 5 .執(zhí)行模塊發(fā)現(xiàn)進(jìn)程 B 要訪問的數(shù)據(jù)正在被進(jìn)程 A 使用，執(zhí)行 wait 操作。 解除參數(shù)競爭我們在 節(jié)已經(jīng)分析了出現(xiàn)參數(shù)競爭的原因，即在一個(gè)系統(tǒng)調(diào)用的參數(shù)通過了系統(tǒng)調(diào)用處理模塊的審核后，但在執(zhí)行模塊用它來執(zhí)行系統(tǒng)調(diào)用之前，這個(gè)參數(shù)被另一個(gè)進(jìn)程所修改。 wait(mutex)。wait(s)和 signa(s)是 2 個(gè)原子操作，因此，它們在執(zhí)行時(shí)是不可中斷的。由于角色沙盒入侵檢測系統(tǒng)中對用戶的權(quán)限檢查和系統(tǒng)訪問授權(quán)都不是原子操作，這就使得利用競態(tài)條件對角色沙盒入侵檢測系統(tǒng)的攻擊都呈現(xiàn)出一個(gè)比較相似的特點(diǎn)，即對系統(tǒng)中某些數(shù)據(jù)的篡改都發(fā)生在系統(tǒng)調(diào)用處理模塊檢查并允許系統(tǒng)調(diào)用后，而在執(zhí)行模塊執(zhí)行該系統(tǒng)調(diào)用之前的這段時(shí)間內(nèi)。，并將其傳遞給系統(tǒng)調(diào)用處理模塊。所以符號鏈接競爭的程序表示與 節(jié)中的程序相類似，在此不再列舉。 A 對/tmp/foo 和/tmp/dar 的權(quán)限,發(fā)現(xiàn)這一系統(tǒng)調(diào)用是符合安全策略的，于是通知執(zhí)行模塊執(zhí)行該系統(tǒng)調(diào)用。像 ptrace 這類樣調(diào)試接口，會允許一個(gè)進(jìn)程修改其他進(jìn)程的內(nèi)存，也必須加以考慮。一般來說，參數(shù)競爭只會發(fā)生在系統(tǒng)調(diào)用參數(shù)非立即數(shù)的情況下。 exit(0)。 exit(0)。 //角色沙盒入侵檢測系統(tǒng)截獲 open 系統(tǒng)調(diào)用，通過訪問控制信息通用緩存或全策略庫判斷是否允許以只讀方式打開/tem/foo，如果允許則執(zhí)行，否則不執(zhí)行}void process_B(void) //進(jìn)程 B{pname=/etc/shadow。2 .角色沙盒的執(zhí)行模塊截獲進(jìn)程 A 的系統(tǒng)調(diào)用，并將其傳遞給系統(tǒng)調(diào)用處理模塊，等待系統(tǒng)調(diào)用處理模塊對其進(jìn)行審核。會嚴(yán)重影響入侵檢測系統(tǒng)的性能，提高漏檢率，并且常常會被黑客利用來欺騙入侵檢測系統(tǒng)，以此繞過入侵檢測系統(tǒng)來達(dá)到入侵的目的。要正確構(gòu)建出一個(gè)系統(tǒng)，就不得不對其中所有可能出現(xiàn)的競態(tài)條件加以考慮。這樣做可以幫助我們在很大程度上提高入侵檢測系統(tǒng)的工作效率。將系統(tǒng)管理特權(quán)分為三部分：系統(tǒng)管理特權(quán)、安全管理特權(quán)和審計(jì)管理特權(quán)，將特權(quán)用戶的特權(quán)進(jìn)行了分化。例如執(zhí)行模塊修改安全相關(guān)調(diào)用函數(shù)，來處理服務(wù)請求。系統(tǒng)中能夠保存信息，只能被動地接受主體的訪問的實(shí)體稱為客體。我們可以在此接口之上用截獲系統(tǒng)調(diào)用的方法來監(jiān)測和控制對系統(tǒng)的敏感資源的訪問，這樣可以在很大程度上保障信息系統(tǒng)的安全。濫用入侵檢測常用的方法有：基于表達(dá)式匹配的誤用入侵檢測、基于狀態(tài)轉(zhuǎn)移分析的誤用入侵檢測、基于專家系統(tǒng)的誤用入侵檢測、基于擊鍵監(jiān)控的誤用入侵檢測、基于批模式分析的誤用入侵檢測等。②事件分析器(Event analyzers):事件分析器負(fù)責(zé)分析從其他組件收到的 GIDO,并將產(chǎn)生的分析結(jié)果傳送給其他組件。 入侵檢測系統(tǒng)所有能夠執(zhí)行入侵檢測任務(wù)和功能的系統(tǒng)，都可以稱為入侵檢測系統(tǒng)，其中包括軟件系統(tǒng)和軟硬件結(jié)合的系統(tǒng)。第 3 章在前面對入侵檢測技術(shù)介紹的基礎(chǔ)上，闡述了角色沙盒入侵檢測系統(tǒng)的總體設(shè)計(jì)思想及其體系結(jié)構(gòu)。如操作系統(tǒng)中的進(jìn)程管理，實(shí)質(zhì)上就是對操作系統(tǒng)中可能出現(xiàn)的競態(tài)條件的預(yù)防與解除。Systrace [9] 是在 Janus 的基礎(chǔ)上進(jìn)行擴(kuò)展，提出了有效限制多個(gè)應(yīng)用程序，支持多種策略的新技術(shù)。所以說，對角色沙盒入侵檢測系統(tǒng)中競態(tài)條件的解除具有重大的意義?！吧澈小蹦Ｐ褪且环N模擬操作系統(tǒng)的虛擬環(huán)境，能為不可信進(jìn)程或測試進(jìn)程提供所需的運(yùn)行環(huán)境 [2]。入侵檢測技術(shù)采用的是一種較為主動的技術(shù)，能有效地發(fā)現(xiàn)入侵行為和合法用戶濫用特權(quán)的行為，它是 P2DR（動態(tài)安全模型） [1]的核心部分，已成為網(wǎng)絡(luò)安全領(lǐng)域研究的熱點(diǎn)。惡意程序很容易就能繞過檢測侵入系統(tǒng)，從而使我們之前所有構(gòu)建安全的入侵檢測系統(tǒng)的努力付諸東流 [6]。Goldberg 等人首次用沙盒來描述應(yīng)用程序運(yùn)行的受限環(huán)境，創(chuàng)建了 Janus[6]。對競態(tài)條件的研究，一直是操作系統(tǒng)和程序開發(fā)研究的熱點(diǎn)之一。第 2 章主要介紹入侵檢測的概念和兩種常用的入侵檢測技術(shù)，以及其優(yōu)缺點(diǎn)的比較。實(shí)質(zhì)上，入侵檢測就是識別和響應(yīng)針對信息系統(tǒng)的非法攻擊，包括檢測外部非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法行為。①事件產(chǎn)生器(Event generators):事件產(chǎn)生器的任務(wù)是從整個(gè)計(jì)算環(huán)境中收集事件,并將這些事件轉(zhuǎn)換成 GIDO 格式傳送給其他組件。濫用入侵檢測利用這些特征集合或者對應(yīng)的規(guī)則集合，對當(dāng)前的數(shù)據(jù)來源進(jìn)行各種處理后，再進(jìn)行特征匹配或者規(guī)則匹配工作，如果發(fā)現(xiàn)滿足條件的匹配，則指示發(fā)生了一次攻擊行為。系統(tǒng)調(diào)用接口是一個(gè)可用于監(jiān)控系統(tǒng)調(diào)用的強(qiáng)制性的接口,幾乎所有的應(yīng)用程序都要通過它才能訪問網(wǎng)絡(luò)資源和文件系統(tǒng)。用戶角色授予模塊執(zhí)行模塊系統(tǒng)調(diào)用入口執(zhí)行系統(tǒng)調(diào)用虛擬技術(shù)沙盒登錄，角色認(rèn)證執(zhí)行應(yīng)用程序調(diào)用系統(tǒng)調(diào)用[ allow ][ deny ]系統(tǒng)調(diào)用結(jié)果決策請求處理結(jié)果allow/deny決策請求處理結(jié)果allow/deny用戶級內(nèi)核級訪問控制信息通用緩存安全策略庫系統(tǒng)調(diào)用處理模塊圖 31 基于角色訪問控制的沙盒入侵檢測系統(tǒng)的結(jié)構(gòu) 角色授予模塊我們把角色沙盒入侵檢測系統(tǒng)中具有主動行為能力的對象稱為主體，包括用戶和進(jìn)程。在這個(gè)過程中，用戶的該系統(tǒng)調(diào)用進(jìn)程將一直被休眠，直到系統(tǒng)調(diào)用處理模塊允許其執(zhí)行或?qū)ζ渥龀銎渌幚?。所有的系統(tǒng)角色定義保存在角色數(shù)組中。這樣下次再訪問到該客體時(shí)就可以直接從內(nèi)存中讀取，不用再到安全策略庫中去查找了。但在實(shí)際中，我所遇到的很多競態(tài)條件要比這種情況隱蔽和復(fù)雜許多。這樣的競態(tài)條件是角色沙盒入侵檢測系統(tǒng)中的一個(gè)重要的問題。1 .進(jìn)程 A 調(diào)用 open(path,O_RDONLY)，其中 path 是/tmp/foo 。SdBox_exe_open(pname,O_RDONLY)。 }else //返回值不為 1，則不允許該系統(tǒng)調(diào)用執(zhí)行 { printf(Cannot open file\n)。 if((pid=fork())0) { process_A(void) 。運(yùn)行該程序的輸出結(jié)果依賴于進(jìn)程 A 與進(jìn)程 B 的運(yùn)行順序，并不是一成不變的，由此我們可以清晰的觀察到系統(tǒng)中出現(xiàn)的參數(shù)競爭和其所導(dǎo)致的安全問題。例如在 Linux 中支持共享存儲器的機(jī)制包括：SYSV 共享存儲設(shè)備 mmap 和通過克隆系統(tǒng)調(diào)用創(chuàng)建多線程之間的共享內(nèi)存 [6]。2 .角色沙盒入侵檢測系統(tǒng)中的執(zhí)行模塊截獲系統(tǒng)調(diào)用，并將其傳遞給系統(tǒng)調(diào)用處理模塊?？梢钥闯?，符號鏈接競爭與參數(shù)競爭出現(xiàn)時(shí)的情況比較相似，都是在系統(tǒng)調(diào)用處理模塊給予授權(quán)而執(zhí)行模塊執(zhí)行之前做出某些修改而達(dá)到入侵的目的。 A 發(fā)出一個(gè)綁定到 fd2 的 80 端口的系統(tǒng)調(diào)用。五 解除競態(tài)條件 引起競態(tài)條件的原因通過第四部分對角色沙盒入侵檢測系統(tǒng)中可能出現(xiàn)的各種競態(tài)條件的分析，我們可以發(fā)現(xiàn)引起角色沙盒中出現(xiàn)競態(tài)條件的原因主要有兩點(diǎn)：不可控制性，從而導(dǎo)致程序運(yùn)行結(jié)果的不可預(yù)知性；，并且可以不受限制的對像系統(tǒng)調(diào)用參數(shù)、符號鏈接等資源進(jìn)行修改。signal(s): s++。void process_A() void process_B(){ { while(1) while(1) { { … … wait(mutex)。由此，我們可以將這些重要系統(tǒng)調(diào)用相關(guān)數(shù)據(jù)列為臨界資源，在從審核之前到執(zhí)行系統(tǒng)調(diào)用這段時(shí)間內(nèi)禁止其他進(jìn)程對其進(jìn)行修改，從而達(dá)到解除競態(tài)條件的目的。4 .進(jìn)程 B 通過執(zhí)行模塊做出將 path 修改為指向/etc/shadow 的系統(tǒng)調(diào)用。 wait(mutex)。在圖 52 所示的進(jìn)程執(zhí)行順序（二）中，雖然進(jìn)程 B 先執(zhí)行了修改系統(tǒng)調(diào)用參數(shù) path 的操作，接下來 A 進(jìn)程利用執(zhí)行模塊執(zhí)行 open 的系統(tǒng)調(diào)用。Tal Garfinkel 對于這一問題做了細(xì)致的分析 [6]，并對如何解除符號鏈接競爭做出了許多嘗試，如：1. 拒絕對我們不允許自由訪問的文件創(chuàng)建鏈接；2. 拒絕創(chuàng)建和重新命名鏈接；3. 拒絕通過鏈接進(jìn)行訪問等。 open(/tmp/foo, O_RDWR)。 保護(hù)共享存儲空間由于進(jìn)程共享存儲空間所導(dǎo)致的競態(tài)條件，與參數(shù)競爭的情況極為相似，以為產(chǎn)生參數(shù)競爭的原因之一，就是多個(gè)進(jìn)程共享同一個(gè)系統(tǒng)調(diào)用參數(shù)，實(shí)質(zhì)上它們所共享的參數(shù)，也可以看作是一塊共享存儲空間。由于這種解決方法與 節(jié)中所描述的解除參數(shù)競爭的方法相似，我們在此不再詳細(xì)描述。因?yàn)樾盘柫繖C(jī)制在解決系統(tǒng)中由程序并發(fā)所導(dǎo)致的問題的時(shí)候，會使其它所有要使用到臨界資源的進(jìn)程一直執(zhí)行 wait 操作，不論該進(jìn)程對臨界資源的訪問是否帶有惡意，這樣就嚴(yán)重影響了系統(tǒng)中程序的并發(fā)性，降低了系統(tǒng)效率。這是因?yàn)檫@些競態(tài)條件的出現(xiàn)都有一個(gè)共同的根源——并發(fā)，而信號量機(jī)制是解決進(jìn)程并發(fā)執(zhí)行所帶來的各種問題的有效手段。較早版本的入侵檢測系統(tǒng)采用的就是這種方法，在不可信進(jìn)程被“捕獲”時(shí)，調(diào)用 mmap 函數(shù)創(chuàng)建一個(gè)只讀存儲區(qū)域，然后一直對不可信應(yīng)用程序地址空間中的這個(gè)臨時(shí)存儲區(qū)域保持監(jiān)控。 … //創(chuàng)建新符號鏈接/tmp/foo } signal(mutex)。相應(yīng)地，執(zhí)行模塊在每次執(zhí)行完