【正文】 下面我們根據(jù)各種競態(tài)條件的解除方法，總結(jié)出在角色沙盒入侵檢測系統(tǒng)中解除競態(tài)條件的一般方法，并指出下一步的工作。 //打開符號鏈接/tmp/foo //刪除符號鏈接/tmp/foo signal(mutex)。所以也不會有違反安全策略的系統(tǒng)調(diào)用被執(zhí)行。6 .角色沙盒的執(zhí)行模塊根據(jù)審核結(jié)果，執(zhí)行進程 A 的打開文件的系統(tǒng)調(diào)用，打開/tmp/foo 文件。 critical section critical section signal(mutex)。因此，我們可以把與系統(tǒng)調(diào)用相關(guān)的參數(shù)、符號鏈接等數(shù)據(jù)作為臨界資源處理，即讓不同進程或線程對其進行互斥的訪問，這樣就可以規(guī)范系統(tǒng)中的進程執(zhí)行順序，解除系統(tǒng)中的多數(shù)競態(tài)條件。但是它們所表示的系統(tǒng)中問題和具體的解決方法不盡相同，因此我們不能把這兩種情況歸為一類。 符號鏈接競爭符號鏈接競爭 [17]是在 Linux 系統(tǒng)中的一個常見問題。 } else if (pid == 0) { process_B(void)。 //修改系統(tǒng)調(diào)用參數(shù)，即路徑名 pname 的值}int SdBox_exe_open(char *path, int oflag) //角色沙盒入侵檢測系統(tǒng)截獲 open 系統(tǒng)調(diào)用，通過訪問控制信息通用緩存或安全策略庫判斷是否允許執(zhí)行 open 系統(tǒng)調(diào)用，如果允許則執(zhí)行，否則不執(zhí)行。通常，入侵檢測系統(tǒng)會根據(jù)易變的共享系統(tǒng)狀態(tài)來決定系統(tǒng)調(diào)用操作的執(zhí)行，如果狀態(tài)發(fā)生變化將會從根本上改變對系統(tǒng)調(diào)用的影響。因此，系統(tǒng)調(diào)用處理模塊首先向訪問控制信息通用緩存發(fā)出決策請求，如果訪問控制信息通用緩存有相應(yīng)客體的訪問權(quán)限信息，則直接返回處理結(jié)果；否則，訪問控制信息通用緩存向用戶級的安全策略發(fā)出決策請求，接收處理結(jié)果，更新訪問控制信息通用緩存，并將處理結(jié)果返回系統(tǒng)調(diào)用處理模塊。 系統(tǒng)調(diào)用處理模塊系統(tǒng)調(diào)用處理模塊負(fù)責(zé)對在執(zhí)行模塊中截獲的系統(tǒng)調(diào)用做出相應(yīng)的處理。沙盒模型是一種模擬操作系統(tǒng)的虛擬環(huán)境，能為不可信進程或測試進程提供所需的運行環(huán)境。③響應(yīng)單元(Response units):響應(yīng)單元負(fù)責(zé)處理接收到的 GIDO,并根據(jù)分析結(jié)果做出反應(yīng),如切斷網(wǎng)絡(luò)連接、改變文件權(quán)限、簡單報警等應(yīng)急響應(yīng)。第 4 章介紹了競態(tài)條件的基本內(nèi)容，并重點分析了角色沙盒入侵檢測系統(tǒng)中可能出現(xiàn)的競態(tài)條件。目前沙盒技術(shù)已經(jīng)在很多軟件安全設(shè)計方面有所應(yīng)用。在沙盒中，對底層的系統(tǒng)調(diào)用設(shè)置了攔截點，通過截獲系統(tǒng)調(diào)用來判斷是否發(fā)生了入侵，因此其入侵檢測具有高的準(zhǔn)確率 [3]。如果粗心的實施者忽略了這些競態(tài)條件，就會使我們的角色沙盒入侵檢測系統(tǒng)產(chǎn)生許多漏洞。旨在描述一個系統(tǒng)或者進程的輸出展現(xiàn)無法預(yù)測的、對事件間相對時間的排列順序的致命相依性。其中“入侵”是指對信息系統(tǒng)的非授權(quán)訪問以及（或者）未經(jīng)許可在信息系統(tǒng)中進行操作 [1]。 濫用入侵檢測技術(shù)濫用入侵檢測的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段，并找出可能的“攻擊特征”集合。入侵檢測的過程如下：（1）用戶登錄后，通過角色認(rèn)證進行角色的授予；（2）用戶執(zhí)行應(yīng)用程序進入執(zhí)行模塊，截獲系統(tǒng)調(diào)用；（3）進入內(nèi)核的系統(tǒng)調(diào)用處理模塊，通過向訪問控制信息通用緩存發(fā)送決策請求來判斷是否具有訪問客體的權(quán)限；（4）如果訪問控制信息通用緩存沒有該客體的權(quán)限信息，則向用戶級的安全策略庫發(fā)送決策請求；（5）安全策略庫或訪問控制信息通用緩存將處理結(jié)果發(fā)回系統(tǒng)調(diào)用處理模塊，如果是 allow，則執(zhí)行該系統(tǒng)調(diào)用，否則進入虛擬技術(shù)沙盒，使其訪問該客體的一個除去敏感信息的副本；（6）最后將系統(tǒng)調(diào)用結(jié)果返回執(zhí)行模塊，繼續(xù)執(zhí)行程序。在安全策略庫中，角色就是一些訪問權(quán)限的集合，主體（用戶或進程）擁有了一個或多個角色，也就擁有了這些角色相應(yīng)的權(quán)限?！? ……….} }這個例子說明了一般的最明顯的出現(xiàn)競態(tài)條件的情形。假設(shè)角色沙盒安全策略庫中的安全策略是允許進程 A 以只讀方式訪問/tmp/foo，不允許對其他文件進行訪問。 exit(1)。而我們用 Sdbox_check_open( )模擬通過訪問控制信息通用緩存或安全策略庫判斷是否允許執(zhí)行 open 系統(tǒng)調(diào)用，用 sleep(2)替代了讀取安全策略的過程，這是因為本文的研究重點只是角色沙盒入侵檢測系統(tǒng)中的競態(tài)條件，而用這些函數(shù)就足以說明我們所要表示的問題。下面給出一個會導(dǎo)致競態(tài)條件的進程推進順序：1 .進程 A 調(diào)用 open(/tmp/foo, O_RDWR)。 A 調(diào)用系統(tǒng)接口，創(chuàng)建一個 UDP 插口 fd3。 s。由于在角色沙盒入侵檢測系統(tǒng)中所出現(xiàn)的競態(tài)條件基本上都呈現(xiàn)出一個相同的特點，即在系統(tǒng)調(diào)用處理模塊對參數(shù)、符號鏈接等系統(tǒng)調(diào)用相關(guān)數(shù)據(jù)進行審核授權(quán)后，而執(zhí)行模塊尚未執(zhí)行該系統(tǒng)調(diào)用之前，另一個進程對這些數(shù)據(jù)進行了修改。void process_A( ) void process_B( ){ { while(1) while(1) { { … … wait(mutex)。這也并不能解決符號鏈接競爭問題，因為它并沒有找到這個問題的根源——并發(fā)。 }}進程執(zhí)行的順序可能有以下兩種，如圖 53，54 所示：SdBox_exe_A SdBox_exe_Bwait(mutex)open(/tmp/foo, O_RDWR) wait(mutex)signal(mutex)delete (/tmp/foo)creat(“/tmp/foo”=”/tmp/baz”)signal(mutex)圖 53 進程執(zhí)行順序（一）SdBox_exe_A SdBox_exe_Bwait(mutex)wait(mutex) delete (/tmp/foo)creat(“/tmp/foo”=”/tmp/baz”)signal(mutex)open(/tmp/foo, O_RDWR)signal(mutex)圖 54 進程執(zhí)行順序（二）由以上描述可以看出：與圖 51，52 相類似，這種解決符號鏈接競爭的方法，利用信號量機制來將對符號鏈接的操作變成了邏輯上的原子操作，從根本上解決了產(chǎn)生符號鏈接問題的根源——并發(fā)，可以有效的解除角色沙盒入侵檢測系統(tǒng)中的符號鏈接競爭。 進一步的工作使用信號量機制雖然可以簡單有效的解除角色沙盒入侵檢測系統(tǒng)中可能出現(xiàn)的各種競態(tài)條件，雖然它具有很大的通用性，但這并不代表信號量機制就是最好的解除競態(tài)條件的方法。這種方法的正確性依賴于入侵檢測系統(tǒng)能有效的保護 mprotect、mmap 和 mremap 接口，以確保內(nèi)存中這段只讀存儲區(qū)域是不能被惡意篡改的 [6]。下面給出利用這種方法解除 節(jié)中所舉的發(fā)生符號鏈接競爭程序的描述：semaphore mutex=1。 … … } }} }main(){cobegin{ process_A()。1 .設(shè)置信號量，限制對系統(tǒng)調(diào)用參數(shù)的訪問，進程 A 調(diào)用 open(path,O_RDONLY)，其中 path 是/tmp/foo 。這時若再有其它進程欲進入自己的臨界區(qū)，由于對 mutex 執(zhí)行 wait 操作必然失敗，因而阻塞，從而保證了該進程資源被互斥地訪問。 A 的綁定調(diào)用被執(zhí)行模塊繼續(xù)進行，綁定了一個 UDP 插口到 80 端口，違反了安全策略。而角色沙盒入侵檢測系統(tǒng)卻不能檢測出進程 A 的越權(quán)行為。這就在一個系統(tǒng)調(diào)用已經(jīng)提出并且其調(diào)用參數(shù)已經(jīng)通過系統(tǒng)調(diào)用處理模塊的審核后，但參數(shù)尚未復(fù)制到內(nèi)核前，為黑客實施攻擊造成了一個可乘之機。 //參數(shù)不符合安全策略，返回 0，不允許繼續(xù)執(zhí)行 }include 。從而違反了系統(tǒng)的安全策略。下面是一個產(chǎn)生競態(tài)條件基本的輪廓：1. 根據(jù)當(dāng)前的系統(tǒng)中各個進程運行的狀態(tài)，入侵檢測系統(tǒng)根據(jù)安全策略，授權(quán)允許A 操作執(zhí)行，而入侵檢測系統(tǒng)做出這一決策所根據(jù)的當(dāng)前系統(tǒng)狀態(tài)是很容易發(fā)生變化的。這些類又有各自的子類。 執(zhí)行模塊執(zhí)行模塊負(fù)責(zé)執(zhí)行用戶應(yīng)用程序。比較而言，濫用入侵檢測比異常入侵檢測具備更好的確定解釋能力，即明確指示當(dāng)前發(fā)生的攻擊手段類型，因而在諸多商業(yè)系統(tǒng)中得到廣泛應(yīng)用?？刂苿幼骶瘓笮畔徲嫈?shù)據(jù)等知識庫檢測器數(shù)據(jù)收集器控制器配置信息目標(biāo)系統(tǒng)圖 21 入侵檢測系統(tǒng)模型圖 21 所示的入侵檢測系統(tǒng)模型，主要由以下幾大部分組成：1．?dāng)?shù)據(jù)收集器：負(fù)責(zé)收集數(shù)據(jù)；2．檢測器：負(fù)責(zé)分析和檢測任務(wù)，并發(fā)出警報信號；3．知識庫：提供必要數(shù)據(jù)信息支持，如檢測規(guī)則集合等；4．控制器：根據(jù)警報信號人工或自動做出反應(yīng)動作。 論文的結(jié)構(gòu)本文在分析入侵檢測系統(tǒng)的基礎(chǔ)上，提出了將底層系統(tǒng)調(diào)用、基于角色的訪問控制同沙盒技術(shù)相結(jié)合，構(gòu)建角色沙盒入侵檢測系統(tǒng)的思想。近年來，國內(nèi)對于入侵檢測的研究也已取得了非凡的成就。目 錄一 緒論 .........................................................1 課題來源 ......................................................1 國內(nèi)外研究現(xiàn)狀 ................................................1 入侵檢測 ....................................................1 沙盒技術(shù) ....................................................2 競態(tài)條件 ....................................................2 論文的結(jié)構(gòu) ....................................................2二 入侵檢測 ................................................