【正文】 ink，是一種簡(jiǎn)單的文檔，當(dāng)被訪問(wèn)時(shí)，它會(huì)將請(qǐng)求重定向到另一個(gè)文檔。常見(jiàn)解決符號(hào)鏈接競(jìng)爭(zhēng)的方法有：嘗試首先通過(guò)規(guī)范路徑名，然后參照規(guī)范的路徑名的安全策略審核系統(tǒng)調(diào)用的權(quán)限?；蛘咴谀承┣闆r下，通過(guò)改變可疑的系統(tǒng)調(diào)用的變量強(qiáng)制應(yīng)用程序使用規(guī)范的名稱來(lái)進(jìn)入文件系統(tǒng)。這也并不能解決符號(hào)鏈接競(jìng)爭(zhēng)問(wèn)題，因?yàn)樗](méi)有找到這個(gè)問(wèn)題的根源——并發(fā)。Tal Garfinkel 對(duì)于這一問(wèn)題做了細(xì)致的分析 [6]，并對(duì)如何解除符號(hào)鏈接競(jìng)爭(zhēng)做出了許多嘗試，如：1. 拒絕對(duì)我們不允許自由訪問(wèn)的文件創(chuàng)建鏈接；2. 拒絕創(chuàng)建和重新命名鏈接；3. 拒絕通過(guò)鏈接進(jìn)行訪問(wèn)等。但這些方法都還存在或多或少的缺陷。其實(shí)我們可以利用信號(hào)量機(jī)制來(lái)解除符號(hào)鏈接競(jìng)爭(zhēng)，因?yàn)檫M(jìn)程修改符號(hào)鏈接文檔的操作也是要通過(guò)我們的執(zhí)行模塊才能進(jìn)行，所以我們只需要在執(zhí)行模塊中將與系統(tǒng)調(diào)用相關(guān)的符號(hào)鏈接文檔作為一種臨界資源，阻止不同進(jìn)程對(duì)其同時(shí)進(jìn)行訪問(wèn)即可。當(dāng)一個(gè)進(jìn)程通過(guò)執(zhí)行模塊對(duì)符號(hào)鏈接文檔進(jìn)行打開(kāi)、修改等操作時(shí)，執(zhí)行模塊對(duì)該符號(hào)鏈接文檔建立了相應(yīng)的信號(hào)量，執(zhí)行 wait 操作。相應(yīng)地，執(zhí)行模塊在每次執(zhí)行完與此符號(hào)鏈接文檔相關(guān)的操作后，都必須執(zhí)行一次 signal 操作。下面給出利用這種方法解除 節(jié)中所舉的發(fā)生符號(hào)鏈接競(jìng)爭(zhēng)程序的描述：semaphore mutex=1。SdBox_exe_A( ) SdBox_exe_B( ) //沙盒執(zhí)行模塊中的 A 進(jìn)程 //沙盒執(zhí)行模塊中的 B 進(jìn)程{ { while(1) while(1) { { … … wait(mutex)。 wait(mutex)。 open(/tmp/foo, O_RDWR)。 delete (/tmp/foo)。 //打開(kāi)符號(hào)鏈接/tmp/foo //刪除符號(hào)鏈接/tmp/foo signal(mutex)。 creat(“/tmp/foo”=”/tmp/baz”)。 … //創(chuàng)建新符號(hào)鏈接/tmp/foo } signal(mutex)。} … } }main(){cobegin{ SdBox_exe_A( )。 SdBox_exe_B( )。 }}進(jìn)程執(zhí)行的順序可能有以下兩種，如圖 53，54 所示：SdBox_exe_A SdBox_exe_Bwait(mutex)open(/tmp/foo, O_RDWR) wait(mutex)signal(mutex)delete (/tmp/foo)creat(“/tmp/foo”=”/tmp/baz”)signal(mutex)圖 53 進(jìn)程執(zhí)行順序（一）SdBox_exe_A SdBox_exe_Bwait(mutex)wait(mutex) delete (/tmp/foo)creat(“/tmp/foo”=”/tmp/baz”)signal(mutex)open(/tmp/foo, O_RDWR)signal(mutex)圖 54 進(jìn)程執(zhí)行順序（二）由以上描述可以看出：與圖 51，52 相類似，這種解決符號(hào)鏈接競(jìng)爭(zhēng)的方法，利用信號(hào)量機(jī)制來(lái)將對(duì)符號(hào)鏈接的操作變成了邏輯上的原子操作，從根本上解決了產(chǎn)生符號(hào)鏈接問(wèn)題的根源——并發(fā)，可以有效的解除角色沙盒入侵檢測(cè)系統(tǒng)中的符號(hào)鏈接競(jìng)爭(zhēng)。 保護(hù)共享存儲(chǔ)空間由于進(jìn)程共享存儲(chǔ)空間所導(dǎo)致的競(jìng)態(tài)條件，與參數(shù)競(jìng)爭(zhēng)的情況極為相似，以為產(chǎn)生參數(shù)競(jìng)爭(zhēng)的原因之一，就是多個(gè)進(jìn)程共享同一個(gè)系統(tǒng)調(diào)用參數(shù)，實(shí)質(zhì)上它們所共享的參數(shù)，也可以看作是一塊共享存儲(chǔ)空間。不同的是參數(shù)競(jìng)爭(zhēng)中不同進(jìn)程共享的只是很有限的一個(gè)存儲(chǔ)區(qū)域，而像 節(jié)中所列舉的導(dǎo)致出現(xiàn)競(jìng)態(tài)條件的這種共享存儲(chǔ)空間的情形，是幾個(gè)進(jìn)程完全共享分配給進(jìn)程的共享存儲(chǔ)空間。Tal Garfinkel 提出了可以使用專門(mén)的內(nèi)核代碼或強(qiáng)制進(jìn)程使用 mmap 和 mprotect 函數(shù)管理內(nèi)存的特定區(qū)域的思想來(lái)解決這一問(wèn)題。在系統(tǒng)調(diào)用相關(guān)數(shù)據(jù)被被入侵檢測(cè)系統(tǒng)檢查之前，入侵檢測(cè)系統(tǒng)可以先將這些數(shù)據(jù)復(fù)制到內(nèi)存的特定區(qū)域。較早版本的入侵檢測(cè)系統(tǒng)采用的就是這種方法，在不可信進(jìn)程被“捕獲”時(shí)，調(diào)用 mmap 函數(shù)創(chuàng)建一個(gè)只讀存儲(chǔ)區(qū)域，然后一直對(duì)不可信應(yīng)用程序地址空間中的這個(gè)臨時(shí)存儲(chǔ)區(qū)域保持監(jiān)控。這種方法的正確性依賴于入侵檢測(cè)系統(tǒng)能有效的保護(hù) mprotect、mmap 和 mremap 接口，以確保內(nèi)存中這段只讀存儲(chǔ)區(qū)域是不能被惡意篡改的 [6]。其實(shí)，我們也可以采用信號(hào)量機(jī)制來(lái)保護(hù)共享存儲(chǔ)空間，操作系統(tǒng)中著名的“讀者寫(xiě)者問(wèn)題”就是應(yīng)用信號(hào)量機(jī)制解決共享存儲(chǔ)空間的一個(gè)典型范例。將共享存儲(chǔ)空間視為臨界資源，設(shè)置信號(hào)量，在有一個(gè)進(jìn)程對(duì)共享存儲(chǔ)空間進(jìn)行讀操作后，直到這個(gè)進(jìn)程的操作通過(guò)系統(tǒng)調(diào)用處理模塊審核，在執(zhí)行模塊中執(zhí)行完成的這段時(shí)間內(nèi)，不允許其他進(jìn)程修改共享存儲(chǔ)空間中所有與正在運(yùn)行的進(jìn)程相關(guān)的數(shù)據(jù)，這樣就可以避免共享存儲(chǔ)空間所引起的競(jìng)態(tài)條件。由于這種解決方法與 節(jié)中所描述的解除參數(shù)競(jìng)爭(zhēng)的方法相似，我們?cè)诖瞬辉僭敿?xì)描述。六 總結(jié)及進(jìn)一步的工作在上面兩部分我們論述了什么是競(jìng)態(tài)條件，并分析了角色沙盒入侵檢測(cè)系統(tǒng)中常見(jiàn)的出現(xiàn)各種競(jìng)態(tài)條件的原因及各種競(jìng)態(tài)條件的相應(yīng)解除方法。下面我們根據(jù)各種競(jìng)態(tài)條件的解除方法，總結(jié)出在角色沙盒入侵檢測(cè)系統(tǒng)中解除競(jìng)態(tài)條件的一般方法，并指出下一步的工作。 解除競(jìng)態(tài)條件一般方法通過(guò)第五部分對(duì)角色沙盒入侵檢測(cè)系統(tǒng)中可能出現(xiàn)的各種競(jìng)態(tài)條件的分析，我們可以發(fā)現(xiàn)其實(shí)利用信號(hào)量機(jī)制就能夠解除角色沙盒入侵檢測(cè)系統(tǒng)系統(tǒng)中競(jìng)態(tài)條件。這是因?yàn)檫@些競(jìng)態(tài)條件的出現(xiàn)都有一個(gè)共同的根源——并發(fā)，而信號(hào)量機(jī)制是解決進(jìn)程并發(fā)執(zhí)行所帶來(lái)的各種問(wèn)題的有效手段。如我們第五部分所述，角色沙盒入侵檢測(cè)系統(tǒng)中所出現(xiàn)的競(jìng)態(tài)條件基本上都呈現(xiàn)出一個(gè)相同的特點(diǎn)，即當(dāng)系統(tǒng)調(diào)用處理模塊對(duì)參數(shù)、符號(hào)鏈接等系統(tǒng)調(diào)用相關(guān)數(shù)據(jù)進(jìn)行審核授權(quán)后，而執(zhí)行模塊尚未執(zhí)行該系統(tǒng)調(diào)用之前，另一個(gè)并發(fā)執(zhí)行的進(jìn)程對(duì)這些數(shù)據(jù)進(jìn)行了修改。由此，我們得到解除角色沙盒入侵檢測(cè)系統(tǒng)中競(jìng)態(tài)條件的一般方法，即當(dāng)一個(gè)進(jìn)程在執(zhí)行模塊中創(chuàng)建之時(shí)，為其建立一個(gè)動(dòng)態(tài)的臨界資源表，將該進(jìn)程需要使用的系統(tǒng)調(diào)用參數(shù)、符號(hào)鏈接等系統(tǒng)調(diào)用的敏感數(shù)據(jù)作為臨界資源保護(hù)起來(lái)，直到該進(jìn)程在執(zhí)行模塊中執(zhí)行完成或是被系統(tǒng)拒絕執(zhí)行而結(jié)束時(shí)，才允許其他進(jìn)程對(duì)其訪問(wèn)，從而解除系統(tǒng)中的競(jìng)態(tài)條件。 進(jìn)一步的工作使用信號(hào)量機(jī)制雖然可以簡(jiǎn)單有效的解除角色沙盒入侵檢測(cè)系統(tǒng)中可能出現(xiàn)的各種競(jìng)態(tài)條件，雖然它具有很大的通用性，但這并不代表信號(hào)量機(jī)制就是最好的解除競(jìng)態(tài)條件的方法。因?yàn)樾盘?hào)量機(jī)制在解決系統(tǒng)中由程序并發(fā)所導(dǎo)致的問(wèn)題的時(shí)候，會(huì)使其它所有要使用到臨界資源的進(jìn)程一直執(zhí)行 wait 操作，不論該進(jìn)程對(duì)臨界資源的訪問(wèn)是否帶有惡意，這樣就嚴(yán)重影響了系統(tǒng)中程序的并發(fā)性，降低了系統(tǒng)效率。Tal Garfinkel[6]等人研究了入侵檢測(cè)系統(tǒng)中針對(duì)各種具體競(jìng)態(tài)條件的一些有效的解決方案，但如何在解除競(jìng)態(tài)條件的同時(shí)進(jìn)一步降低對(duì)系統(tǒng)效率的影響，仍需要進(jìn)一步研究。參考文獻(xiàn) [1] 唐正軍，李建華. ：清華大學(xué)出版社， 2022,8．[2] Yoder Joseph, Jeffrey Barcalow. Architectural Patterns for Enabling Application Security，1998. [3] 吳作順， Linux ,2022.[4] 劉偉. 基于角色的訪問(wèn)控制模型在安全操作系統(tǒng)中的實(shí)現(xiàn). 中國(guó)科學(xué)院軟件研究所碩士學(xué)位論文， 2022,4.[5] 董靜翔， ,2022,23.[6] Tal Garfinkel，Traps and Pitfalls: Practical Problems in System Call Interposition Based Security Tools，2022.[7] 宋獻(xiàn)濤，葉惠敏. IDS 二十年風(fēng)雨歷程. [8] Rebert Wahbe, Steven Lucco, Thomas E. Anderson, et al. Efficient SoftwareBased Fault Isolation. In Proceedings of the Symposium on Operating System Principles, 1993. [9] Niels Provos. Improving Host Security with System Call Policies. In Proceedings of the 12th USENIX Security Symposium, August 2022.[10] Matt Hines. “虛擬沙盒”檢測(cè)過(guò)濾惡意程序防范攻擊. [11] 常卓，劉振鵬，王鳳先等. 計(jì)算機(jī)免疫系統(tǒng)中沙盒主機(jī)的構(gòu)建 .大連理工大學(xué)學(xué)報(bào)，2022,1.[12] Eugene Tsyrklevich and Ben Yee. Dynamic Detection and Prevention of Race Conditions in File Accesses. 12th USENIX Security Symposium, Spring 2022.[13] 張連杰，趙濤，吳灝等. Linux ,2022,1.[14] 黃人薇. 淺析入侵檢測(cè)技術(shù)有關(guān)問(wèn)題. 大眾科技，2022,1.[15] 鐘旺偉,黃小鷗．，2022,3．[16] Steve Carr, Jean Mayo and ChingKuang Shene. Race Conditions: A Case .[17] M. Bishop and M. Dilger. Checking for race conditions in file accesses. Computing Systems, 9(2):131–152, Spring 1996.[18] 劉振鵬，李亞平，王煜等. ：中國(guó)鐵道出版社， 2022,8．