【文章內(nèi)容簡(jiǎn)介】 近訪問(wèn)優(yōu)先原則，將已讀取的客體訪問(wèn)權(quán)限信息保留在訪問(wèn)控制信息通用緩存中。這樣下次再訪問(wèn)到該客體時(shí)就可以直接從內(nèi)存中讀取，不用再到安全策略庫(kù)中去查找了。這樣做可以幫助我們?cè)诤艽蟪潭壬咸岣呷肭謾z測(cè)系統(tǒng)的工作效率。因此，系統(tǒng)調(diào)用處理模塊首先向訪問(wèn)控制信息通用緩存發(fā)出決策請(qǐng)求，如果訪問(wèn)控制信息通用緩存有相應(yīng)客體的訪問(wèn)權(quán)限信息，則直接返回處理結(jié)果；否則，訪問(wèn)控制信息通用緩存向用戶級(jí)的安全策略發(fā)出決策請(qǐng)求，接收處理結(jié)果，更新訪問(wèn)控制信息通用緩存，并將處理結(jié)果返回系統(tǒng)調(diào)用處理模塊。四 競(jìng)態(tài)條件競(jìng)態(tài)條件表現(xiàn)為在多進(jìn)程或多線程共享數(shù)據(jù)的情況下，由于進(jìn)程或者線程的執(zhí)行順序程序的不同，而導(dǎo)致程序最終運(yùn)行結(jié)果的不同 [16]。下面是一個(gè)簡(jiǎn)單的導(dǎo)致競(jìng)態(tài)條件的例子：int count = 0。Thread_A(…) Thread_B(…){ {………. ……….count++。 count?！? ……….} }這個(gè)例子說(shuō)明了一般的最明顯的出現(xiàn)競(jìng)態(tài)條件的情形。但在實(shí)際中，我所遇到的很多競(jìng)態(tài)條件要比這種情況隱蔽和復(fù)雜許多。要正確構(gòu)建出一個(gè)系統(tǒng)，就不得不對(duì)其中所有可能出現(xiàn)的競(jìng)態(tài)條件加以考慮。在構(gòu)建以截獲系統(tǒng)調(diào)用為基礎(chǔ)的角色沙盒入侵檢測(cè)系統(tǒng)時(shí)，往往會(huì)遇到許多競(jìng)態(tài)條件。這是因?yàn)槲覀兯鶚?gòu)建的系統(tǒng)中權(quán)限檢查和系統(tǒng)訪問(wèn)授權(quán)都不是原子操作，這就會(huì)使檢測(cè)系統(tǒng)中進(jìn)程的運(yùn)行展現(xiàn)出無(wú)法預(yù)測(cè)的、對(duì)事件間相對(duì)時(shí)間的排列順序的致命相依性 [12]。這些有時(shí)也被稱為 timeofcheck/timeofuse 漏洞 [17]。下面是一個(gè)產(chǎn)生競(jìng)態(tài)條件基本的輪廓：1. 根據(jù)當(dāng)前的系統(tǒng)中各個(gè)進(jìn)程運(yùn)行的狀態(tài)，入侵檢測(cè)系統(tǒng)根據(jù)安全策略，授權(quán)允許A 操作執(zhí)行，而入侵檢測(cè)系統(tǒng)做出這一決策所根據(jù)的當(dāng)前系統(tǒng)狀態(tài)是很容易發(fā)生變化的。 2 .在 A 操作獲得授權(quán)而并未執(zhí)行之前，該系統(tǒng)狀態(tài)發(fā)生變化，導(dǎo)致 A 變成非法操作（即 A 的意義在此背景下發(fā)生了變化） 。 3 .A 操作被操作系統(tǒng)執(zhí)行，而在正常的情況下，根據(jù)當(dāng)前的系統(tǒng)狀態(tài)，A 操作是違反安全策略的，因而入侵檢測(cè)系統(tǒng)是不允許執(zhí)行該操作的。這樣的競(jìng)態(tài)條件是角色沙盒入侵檢測(cè)系統(tǒng)中的一個(gè)重要的問(wèn)題。會(huì)嚴(yán)重影響入侵檢測(cè)系統(tǒng)的性能，提高漏檢率，并且常常會(huì)被黑客利用來(lái)欺騙入侵檢測(cè)系統(tǒng)，以此繞過(guò)入侵檢測(cè)系統(tǒng)來(lái)達(dá)到入侵的目的。通常，入侵檢測(cè)系統(tǒng)會(huì)根據(jù)易變的共享系統(tǒng)狀態(tài)來(lái)決定系統(tǒng)調(diào)用操作的執(zhí)行，如果狀態(tài)發(fā)生變化將會(huì)從根本上改變對(duì)系統(tǒng)調(diào)用的影響。在以下幾節(jié)，我們以參數(shù)競(jìng)爭(zhēng)、符號(hào)鏈接競(jìng)爭(zhēng)和共享存儲(chǔ)空間競(jìng)爭(zhēng)為例進(jìn)行說(shuō)明。 參數(shù)競(jìng)爭(zhēng)如果一個(gè)系統(tǒng)調(diào)用的參數(shù)已經(jīng)通過(guò)了系統(tǒng)調(diào)用處理模塊的審核，但在執(zhí)行系統(tǒng)調(diào)用之前，這個(gè)參數(shù)被另一個(gè)進(jìn)程所修改，就會(huì)發(fā)生參數(shù)競(jìng)爭(zhēng)。如果將系統(tǒng)調(diào)用參數(shù)存放在內(nèi)存中多個(gè)進(jìn)程都可以訪問(wèn)到的區(qū)域內(nèi)，就可能發(fā)生參數(shù)競(jìng)爭(zhēng)。如下所示的進(jìn)程運(yùn)行狀態(tài)，是一個(gè)角色沙盒入侵檢測(cè)系統(tǒng)中可能發(fā)生參數(shù)競(jìng)爭(zhēng)的例子。假設(shè)角色沙盒安全策略庫(kù)中的安全策略是允許進(jìn)程 A 以只讀方式訪問(wèn)/tmp/foo，不允許對(duì)其他文件進(jìn)行訪問(wèn)。1 .進(jìn)程 A 調(diào)用 open(path,O_RDONLY)，其中 path 是/tmp/foo 。2 .角色沙盒的執(zhí)行模塊截獲進(jìn)程 A 的系統(tǒng)調(diào)用，并將其傳遞給系統(tǒng)調(diào)用處理模塊，等待系統(tǒng)調(diào)用處理模塊對(duì)其進(jìn)行審核。 3 .系統(tǒng)調(diào)用處理模塊從 A 的存儲(chǔ)區(qū)域讀取路徑，對(duì)照安全策略及進(jìn)程 A 的角色權(quán)限，確定/tmp/foo 可以被打開，于是允許執(zhí)行模塊繼續(xù)執(zhí)行該系統(tǒng)調(diào)用。4 .進(jìn)程 B 將路徑修改為指向/etc/shadow。 ，執(zhí)行打開文件的系統(tǒng)調(diào)用，打開 /etc/shadow文件。從而違反了系統(tǒng)的安全策略。上述參數(shù)競(jìng)爭(zhēng)的過(guò)程可以用以下程序表示出：define MAX_PATH 20 //宏定義最長(zhǎng)路徑名的字符個(gè)數(shù)define O_RDONLY 1 //宏定義 O_RDONLY 的值為 1char pname[MAX_PATH]。 //聲明路徑名數(shù)組 pname 為全局變量void process_A(void) //進(jìn)程 A{pname=/tem/foo。SdBox_exe_open(pname,O_RDONLY)。 //角色沙盒入侵檢測(cè)系統(tǒng)截獲 open 系統(tǒng)調(diào)用，通過(guò)訪問(wèn)控制信息通用緩存或全策略庫(kù)判斷是否允許以只讀方式打開/tem/foo，如果允許則執(zhí)行，否則不執(zhí)行}void process_B(void) //進(jìn)程 B{pname=/etc/shadow。 //修改系統(tǒng)調(diào)用參數(shù)，即路徑名 pname 的值}int SdBox_exe_open(char *path, int oflag) //角色沙盒入侵檢測(cè)系統(tǒng)截獲 open 系統(tǒng)調(diào)用，通過(guò)訪問(wèn)控制信息通用緩存或安全策略庫(kù)判斷是否允許執(zhí)行 open 系統(tǒng)調(diào)用，如果允許則執(zhí)行，否則不執(zhí)行。{int i。i=SdBox_check_open(path, oflag)。 //通過(guò)訪問(wèn)控制信息通用緩存或安全策略庫(kù)判斷是否允許執(zhí)行 open 系統(tǒng)調(diào)用if(i==1) //如果返回值為 1，則表示允許執(zhí)行該系統(tǒng)調(diào)用 { open(path, oflag)。 printf(File %s is opened,*path)。 exit(1)。 }else //返回值不為 1，則不允許該系統(tǒng)調(diào)用執(zhí)行 { printf(Cannot open file\n)。 exit(0)。 }}int Sdbox_check_open(char *ptr int ofl) //模擬通過(guò)訪問(wèn)控制信息通用緩存或安全策略庫(kù)判斷是否允許執(zhí)行 open 系統(tǒng)調(diào)用{sleep(2)。 //進(jìn)程休眠 2 秒if( strcmp( *ptr,*pname)==0) //比較文件名，由此確定是否執(zhí)行調(diào)用 { exit(1)。 //參數(shù)符合安全策略，返回 1，允許繼續(xù)執(zhí)行} else exit(0)。 //參數(shù)不符合安全策略，返回 0，不允許繼續(xù)執(zhí)行 }include 。 include sys/。 main () //主函數(shù)，使 A 進(jìn)程和 B 進(jìn)程并發(fā)執(zhí)行{ pid_t pid。 if((pid=fork())0) { process_A(void) 。 exit(0)。 } else if (pid == 0) { process_B(void)。 exit(0)。 } else { printf(fork error\n)。 exit(0)。 }} 在上面的程序中，SdBox_exe_open() 函數(shù)表示角色沙盒入侵檢測(cè)系統(tǒng)截獲 open 系統(tǒng)調(diào)用，通過(guò)訪問(wèn)控制信息通用緩存或安全策略庫(kù)判斷是否允許執(zhí)行 open 系統(tǒng)調(diào)用。而我們用 Sdbox_check_open( )模擬通過(guò)訪問(wèn)控制信息通用緩存或安全策略庫(kù)判斷是否允許執(zhí)行 open 系統(tǒng)調(diào)用，用 sleep(2)替代了讀取安全策略的過(guò)程，這是因?yàn)楸疚牡难芯恐攸c(diǎn)只是角色沙盒入侵檢測(cè)系統(tǒng)中的競(jìng)態(tài)條件，而用這些函數(shù)就足以說(shuō)明我們所要表示的問(wèn)題。運(yùn)行該程序的輸出結(jié)果依賴于進(jìn)程 A 與進(jìn)程 B 的運(yùn)行順序，并不是一成不變的，由此我們可以清晰的觀察到系統(tǒng)中出現(xiàn)的參數(shù)競(jìng)爭(zhēng)和其所導(dǎo)致的安全問(wèn)題。一般來(lái)說(shuō)，參數(shù)競(jìng)爭(zhēng)只會(huì)發(fā)生在系統(tǒng)調(diào)用參數(shù)非立即數(shù)的情況下。立即數(shù)系統(tǒng)調(diào)用參數(shù)一旦被送入操作系統(tǒng)的寄存器，立即會(huì)被系統(tǒng)調(diào)用截獲程序復(fù)制進(jìn)入內(nèi)核。用戶空間的進(jìn)程只能通過(guò) ptrace 和其他追蹤接口篡改在內(nèi)核中的立即數(shù)參數(shù)。非立即數(shù)參數(shù)，例如路徑名和 Socket 地址等，均不能立即從用戶存儲(chǔ)區(qū)復(fù)制到內(nèi)核。這就在一個(gè)系統(tǒng)調(diào)用已經(jīng)提出并且其調(diào)用參數(shù)已經(jīng)通過(guò)系統(tǒng)調(diào)用處理模塊的審核后，但參數(shù)尚未復(fù)制到內(nèi)核前，為黑客實(shí)施攻擊造成了一個(gè)可乘之機(jī)。像這樣的參數(shù)競(jìng)爭(zhēng)，一般會(huì)在共享全局變量的情況下發(fā)生。例如上面程序中的路徑名 pname，實(shí)質(zhì)上是進(jìn)程 A 和 B 所共享的全局變量。例如在 Linux 中支持共享存儲(chǔ)器的機(jī)制包括：SYSV 共享存儲(chǔ)設(shè)備 mmap 和通過(guò)克隆系統(tǒng)調(diào)用創(chuàng)建多線程之間的共享內(nèi)存 [6]。像 ptrace 這類樣調(diào)試接口，會(huì)允許一個(gè)進(jìn)程修改其他進(jìn)程的內(nèi)存，也必須加以考慮。 符號(hào)鏈接競(jìng)爭(zhēng)符號(hào)鏈接競(jìng)爭(zhēng) [17]是在 Linux 系統(tǒng)中的一個(gè)常見問(wèn)題。如果某個(gè)進(jìn)程中所用到符號(hào)鏈接所指向的文件已經(jīng)通過(guò)了角色沙盒入侵檢測(cè)系統(tǒng)的檢測(cè)授權(quán)，而在該進(jìn)程對(duì)此符號(hào)鏈接指向的文件訪問(wèn)發(fā)生之間，如果符號(hào)鏈接被修改而指向另一個(gè)不同文件，就會(huì)發(fā)生符號(hào)鏈接競(jìng)爭(zhēng)。下面給出一個(gè)角色沙盒入侵檢測(cè)系統(tǒng)中發(fā)生符號(hào)鏈接競(jìng)爭(zhēng)的例子。假設(shè)角色沙盒入侵檢測(cè)系統(tǒng)中的安全策略庫(kù)中的安全策略是：進(jìn)程 A 有對(duì)/tmp/foo 和 /tmp/dar 進(jìn)行讀寫操作的權(quán)限，而且有對(duì)/tmp/baz 進(jìn)行讀操作的權(quán)限。假設(shè)最初的/tmp/foo和/tmp/dar 符號(hào)鏈接指向同一個(gè)文件。下面給出一個(gè)會(huì)導(dǎo)致競(jìng)態(tài)條件的進(jìn)程推進(jìn)順序：1 .進(jìn)程 A 調(diào)用 open(/tmp/foo, O_RDWR)。2 .角色沙盒入侵檢測(cè)系統(tǒng)中的執(zhí)行模塊截獲系統(tǒng)調(diào)用，并將其傳遞給系統(tǒng)調(diào)用處理模塊。 A 對(duì)/tmp/foo 和/tmp/dar 的權(quán)限,發(fā)現(xiàn)這一系統(tǒng)調(diào)用是符合安全策略的，于是通知執(zhí)行模塊執(zhí)行該系統(tǒng)調(diào)用。 B 刪除/tmp/foo，并創(chuàng)建一個(gè)新的符號(hào)鏈接/tmp/foo，使其指向/tmp/baz（假設(shè)進(jìn)程 B 擁有此權(quán)限） 。 A 中 open(/tmp/foo,O_RDWR) 操作，從而進(jìn)程 A 對(duì)/tmp/baz 的只讀權(quán)限提升為了讀寫權(quán)限。在上述的例子中，進(jìn)程 A 明顯違反了沙盒模型策略庫(kù)中的安全策略，它現(xiàn)在同時(shí)擁有了對(duì)/tmp/baz 的讀寫訪問(wèn)權(quán)限。而角色沙盒入侵檢測(cè)系統(tǒng)卻不能檢測(cè)出進(jìn)程 A 的越權(quán)行為。其實(shí)在這個(gè)例子中，進(jìn)程 B 不一定必須在系統(tǒng)調(diào)用處理模塊完成對(duì)進(jìn)程 A 的檢查授權(quán)后立即修改/tmp/f