【正文】 接口，會允許一個進程修改其他進程的內(nèi)存，也必須加以考慮。例如上面程序中的路徑名 pname，實質(zhì)上是進程 A 和 B 所共享的全局變量。這就在一個系統(tǒng)調(diào)用已經(jīng)提出并且其調(diào)用參數(shù)已經(jīng)通過系統(tǒng)調(diào)用處理模塊的審核后，但參數(shù)尚未復(fù)制到內(nèi)核前，為黑客實施攻擊造成了一個可乘之機。用戶空間的進程只能通過 ptrace 和其他追蹤接口篡改在內(nèi)核中的立即數(shù)參數(shù)。一般來說，參數(shù)競爭只會發(fā)生在系統(tǒng)調(diào)用參數(shù)非立即數(shù)的情況下。而我們用 Sdbox_check_open( )模擬通過訪問控制信息通用緩存或安全策略庫判斷是否允許執(zhí)行 open 系統(tǒng)調(diào)用，用 sleep(2)替代了讀取安全策略的過程，這是因為本文的研究重點只是角色沙盒入侵檢測系統(tǒng)中的競態(tài)條件，而用這些函數(shù)就足以說明我們所要表示的問題。 exit(0)。 exit(0)。 exit(0)。 main () //主函數(shù)，使 A 進程和 B 進程并發(fā)執(zhí)行{ pid_t pid。 //參數(shù)不符合安全策略，返回 0，不允許繼續(xù)執(zhí)行 }include 。 //進程休眠 2 秒if( strcmp( *ptr,*pname)==0) //比較文件名，由此確定是否執(zhí)行調(diào)用 { exit(1)。 exit(0)。 exit(1)。 //通過訪問控制信息通用緩存或安全策略庫判斷是否允許執(zhí)行 open 系統(tǒng)調(diào)用if(i==1) //如果返回值為 1，則表示允許執(zhí)行該系統(tǒng)調(diào)用 { open(path, oflag)。{int i。 //角色沙盒入侵檢測系統(tǒng)截獲 open 系統(tǒng)調(diào)用，通過訪問控制信息通用緩存或全策略庫判斷是否允許以只讀方式打開/tem/foo，如果允許則執(zhí)行，否則不執(zhí)行}void process_B(void) //進程 B{pname=/etc/shadow。 //聲明路徑名數(shù)組 pname 為全局變量void process_A(void) //進程 A{pname=/tem/foo。從而違反了系統(tǒng)的安全策略。4 .進程 B 將路徑修改為指向/etc/shadow。2 .角色沙盒的執(zhí)行模塊截獲進程 A 的系統(tǒng)調(diào)用，并將其傳遞給系統(tǒng)調(diào)用處理模塊，等待系統(tǒng)調(diào)用處理模塊對其進行審核。假設(shè)角色沙盒安全策略庫中的安全策略是允許進程 A 以只讀方式訪問/tmp/foo，不允許對其他文件進行訪問。如果將系統(tǒng)調(diào)用參數(shù)存放在內(nèi)存中多個進程都可以訪問到的區(qū)域內(nèi)，就可能發(fā)生參數(shù)競爭。在以下幾節(jié)，我們以參數(shù)競爭、符號鏈接競爭和共享存儲空間競爭為例進行說明。會嚴重影響入侵檢測系統(tǒng)的性能，提高漏檢率，并且常常會被黑客利用來欺騙入侵檢測系統(tǒng)，以此繞過入侵檢測系統(tǒng)來達到入侵的目的。 3 .A 操作被操作系統(tǒng)執(zhí)行，而在正常的情況下，根據(jù)當前的系統(tǒng)狀態(tài)，A 操作是違反安全策略的，因而入侵檢測系統(tǒng)是不允許執(zhí)行該操作的。下面是一個產(chǎn)生競態(tài)條件基本的輪廓：1. 根據(jù)當前的系統(tǒng)中各個進程運行的狀態(tài)，入侵檢測系統(tǒng)根據(jù)安全策略，授權(quán)允許A 操作執(zhí)行，而入侵檢測系統(tǒng)做出這一決策所根據(jù)的當前系統(tǒng)狀態(tài)是很容易發(fā)生變化的。這是因為我們所構(gòu)建的系統(tǒng)中權(quán)限檢查和系統(tǒng)訪問授權(quán)都不是原子操作，這就會使檢測系統(tǒng)中進程的運行展現(xiàn)出無法預(yù)測的、對事件間相對時間的排列順序的致命相依性 [12]。要正確構(gòu)建出一個系統(tǒng)，就不得不對其中所有可能出現(xiàn)的競態(tài)條件加以考慮?！? ……….} }這個例子說明了一般的最明顯的出現(xiàn)競態(tài)條件的情形。Thread_A(…) Thread_B(…){ {………. ……….count++。四 競態(tài)條件競態(tài)條件表現(xiàn)為在多進程或多線程共享數(shù)據(jù)的情況下，由于進程或者線程的執(zhí)行順序程序的不同，而導(dǎo)致程序最終運行結(jié)果的不同 [16]。這樣做可以幫助我們在很大程度上提高入侵檢測系統(tǒng)的工作效率。根據(jù)最近訪問優(yōu)先原則，將已讀取的客體訪問權(quán)限信息保留在訪問控制信息通用緩存中。這些類又有各自的子類。在主體訪問控制信息中，包括用戶和進程的角色集合，使用鏈表結(jié)構(gòu)來實現(xiàn)。將系統(tǒng)管理特權(quán)分為三部分：系統(tǒng)管理特權(quán)、安全管理特權(quán)和審計管理特權(quán)，將特權(quán)用戶的特權(quán)進行了分化。在安全策略庫中，角色就是一些訪問權(quán)限的集合，主體（用戶或進程）擁有了一個或多個角色，也就擁有了這些角色相應(yīng)的權(quán)限。安全策略庫實現(xiàn)了訪問控制信息的存儲。當執(zhí)行模塊將截獲的系統(tǒng)調(diào)用及其參數(shù)傳入系統(tǒng)調(diào)用處理模塊后，系統(tǒng)調(diào)用處理模塊將系統(tǒng)調(diào)用信息和用戶的角色權(quán)限等相關(guān)信息與安全策略庫中的角色及其權(quán)限策略相對照，如果用戶進程有執(zhí)行此系統(tǒng)調(diào)用的權(quán)限，則告知執(zhí)行模塊喚醒系統(tǒng)調(diào)用進程并允許其執(zhí)行該調(diào)用，反之，則拒絕該系統(tǒng)調(diào)用的執(zhí)行，并做出相關(guān)處理。例如執(zhí)行模塊修改安全相關(guān)調(diào)用函數(shù)，來處理服務(wù)請求。當用戶的應(yīng)用程序在執(zhí)行模塊內(nèi)執(zhí)行時，執(zhí)行模塊截獲用戶應(yīng)用程序發(fā)出的系統(tǒng)調(diào)用，將其送入系統(tǒng)調(diào)用處理模塊，等待系統(tǒng)調(diào)用處理模塊對其做出相應(yīng)處理。 執(zhí)行模塊執(zhí)行模塊負責執(zhí)行用戶應(yīng)用程序。角色授予模塊通過對主體授予角色，來授予角色所擁有的權(quán)限。系統(tǒng)中能夠保存信息，只能被動地接受主體的訪問的實體稱為客體。入侵檢測的過程如下：（1）用戶登錄后，通過角色認證進行角色的授予；（2）用戶執(zhí)行應(yīng)用程序進入執(zhí)行模塊，截獲系統(tǒng)調(diào)用；（3）進入內(nèi)核的系統(tǒng)調(diào)用處理模塊，通過向訪問控制信息通用緩存發(fā)送決策請求來判斷是否具有訪問客體的權(quán)限；（4）如果訪問控制信息通用緩存沒有該客體的權(quán)限信息，則向用戶級的安全策略庫發(fā)送決策請求；（5）安全策略庫或訪問控制信息通用緩存將處理結(jié)果發(fā)回系統(tǒng)調(diào)用處理模塊，如果是 allow，則執(zhí)行該系統(tǒng)調(diào)用，否則進入虛擬技術(shù)沙盒，使其訪問該客體的一個除去敏感信息的副本；（6）最后將系統(tǒng)調(diào)用結(jié)果返回執(zhí)行模塊，繼續(xù)執(zhí)行程序。在角色沙盒入侵檢測系統(tǒng)中，管理員通過分配和撤銷授予用戶的角色來實現(xiàn)用戶權(quán)限的授予和撤銷，大大的減輕了管理訪問控制的開銷及管理員的負擔 [4~5]；同時提出了角色沙盒和虛擬技術(shù)沙盒，并且訪問控制信息不只局限于某個程序，而是針對所有客體，規(guī)定了不同角色所具有的訪問權(quán)限，確保了足夠有力的入侵檢測能力；而且，角色沙盒入侵檢測系統(tǒng)是通過截獲系統(tǒng)調(diào)用來實現(xiàn)入侵檢測的,這就可以大限度的降低誤報警和漏報警率，實現(xiàn)高效準確的入侵檢測。由于在沙盒中，對底層的每個與安全相關(guān)的系統(tǒng)調(diào)用都設(shè)置了攔截點，通過基于角色的系統(tǒng)調(diào)用截獲來判斷是否發(fā)生了入侵，因此其入侵檢測具有高的準確率。我們可以在此接口之上用截獲系統(tǒng)調(diào)用的方法來監(jiān)測和控制對系統(tǒng)的敏感資源的訪問，這樣可以在很大程度上保障信息系統(tǒng)的安全。三 角色沙盒入侵檢測系統(tǒng) 角色沙盒入侵檢測系統(tǒng)構(gòu)建思想近幾年來，大量對以操作系統(tǒng)為基礎(chǔ)的入侵檢測和用戶權(quán)限控制的研究，給我們提供了很多通過檢測系統(tǒng)調(diào)用實現(xiàn)入侵檢測和用戶權(quán)限控制的方法。比較而言，濫用入侵檢測比異常入侵檢測具備更好的確定解釋能力，即明確指示當前發(fā)生的攻擊手段類型，因而在諸多商業(yè)系統(tǒng)中得到廣泛應(yīng)用。建立一個正常行為模型后，使用異常入侵檢測技術(shù)能夠準確地檢測出一些未知的攻擊，但當出現(xiàn)具有入侵性而表現(xiàn)正常的行為和不具有入侵性而表現(xiàn)異常的行為時，就不可避免地會造成誤判或漏檢，也就是說，異常入侵檢測并不能完全反映出系統(tǒng)復(fù)雜的動態(tài)，理論上的正常行為模型難以建立。濫用入侵檢測常用的方法有：基于表達式匹配的誤用入侵檢測、基于狀態(tài)轉(zhuǎn)移分析的誤用入侵檢測、基于專家系統(tǒng)的誤用入侵檢測、基于擊鍵監(jiān)控的誤用入侵檢測、基于批模式分析的誤用入侵檢測等。 濫用入侵檢測技術(shù)濫用入侵檢測的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段，并找出可能的“攻擊特征”集合。 異常入侵檢測技術(shù)異常入侵檢測的假設(shè)條件是對攻擊行為的檢測可以通過觀察當前活動與系統(tǒng)歷史正常活動情況之間的差異來實現(xiàn)，異常入侵檢測通常都會建立一個關(guān)于系統(tǒng)正常活動的狀態(tài)模型并不斷進行更新，然后將用戶當前的活動情況與這個正常模型進行對比，如果發(fā)現(xiàn)了超過設(shè)定閾值的差異程度，則指示發(fā)現(xiàn)了非法攻擊行為。④事件數(shù)據(jù)庫(Event databases):事件數(shù)據(jù)庫用來存儲 GIDO,以備系統(tǒng)需要的時候查詢和使用。②事件分析器(Event analyzers):事件分析器負責分析從其他組件收到的 GIDO,并將產(chǎn)生的分析結(jié)果傳送給其他組件。以上通用入侵檢測框架中的 4 個組件代表的都是邏輯實體,組件之間采用統(tǒng)一入侵檢測對象(General Intrusion Detection Object,GIDO)格式進行數(shù)據(jù)交換?？刂苿幼骶瘓笮畔徲嫈?shù)據(jù)等知識庫檢測器數(shù)據(jù)收集器控制器配置信息目標系統(tǒng)圖 21 入侵檢測系統(tǒng)模型圖 21 所示的入侵檢測系統(tǒng)模型，主要由以下幾大部分組成：1．數(shù)據(jù)收集器：負責收集數(shù)據(jù)；2．檢測器：負責分析和檢測任務(wù)，并發(fā)出警報信號；3．知識庫：提供必要數(shù)據(jù)信息支持，如檢測規(guī)則集合等；4．控制器：根據(jù)警報信號人工或自動做出反應(yīng)動作。入侵檢測系統(tǒng)是防火墻之后的第二道安全閘門，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。 入侵檢測系統(tǒng)所有能夠執(zhí)行入侵檢測任務(wù)和功能的系統(tǒng)，都可以稱為入侵檢測系統(tǒng)，其中包括軟件系統(tǒng)和軟硬件結(jié)合的系統(tǒng)。其中“入侵”是指對信息系統(tǒng)的非授權(quán)訪問以及（或者）未經(jīng)許可在信息系統(tǒng)中進行操作 [1]。二 入侵檢測 入侵檢測的基本概念入侵檢測是保證網(wǎng)絡(luò)信息安全的一種重要方法，近年來已經(jīng)成為信息安全領(lǐng)域的研究熱點。第 5 章總結(jié)角色沙盒入侵檢測系統(tǒng)中競態(tài)條件出現(xiàn)競態(tài)條件的原因，并設(shè)計相應(yīng)的解決方案。第 3 章在前面對入侵檢測技術(shù)介紹的基礎(chǔ)上，闡述了角色沙盒入侵檢測系統(tǒng)的總體設(shè)計思想及其體系結(jié)構(gòu)。第 1 章主要是對本課題的背景、國內(nèi)外研究現(xiàn)狀等做了簡要介紹。 論文的結(jié)構(gòu)本文在分析入侵檢測系統(tǒng)的基礎(chǔ)上，提出了將底層系統(tǒng)調(diào)用、基于角色的訪問控制同沙盒技術(shù)相結(jié)合，構(gòu)建角色沙盒入侵檢測系統(tǒng)的思想。美國加利福尼亞大學(xué)的 Eugene Tsyrklevich 和 Ben Yee 曾對文件系統(tǒng)中的競態(tài)條件做過詳細的研究，并提出了許多有效的解決方案 [12]。如操作系統(tǒng)中的進程管理，實質(zhì)上就是對操作系統(tǒng)中可能出現(xiàn)的競態(tài)條件的預(yù)防與解除。旨在描述一個系統(tǒng)或者進程的輸出展現(xiàn)無法預(yù)測的、對事件間相對時間的排列順序的致命相依性。河北大學(xué)的劉振鵬、王鳳先等教授所研究的一種仿生物免疫系統(tǒng)設(shè)計的計算機系統(tǒng)安全模型 GECISM (general puter immune system model)，該模型由不同的代理構(gòu)成,各代理