基于Windows內(nèi)核的服務(wù)器安全檢測(cè)系統(tǒng)

基于Windows內(nèi)核的服務(wù)器安全檢測(cè)系統(tǒng)

張秋水，吳鴻偉(1．廈門市美亞柏科信息股份有限公司，福建廈門36l008；2．廈門大學(xué)電子工程系，福建廈門361005)摘要：隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，尤其是云計(jì)算的興起，服務(wù)器中存儲(chǔ)的信息越來(lái)越多，而且也越來(lái)越重要，隨之而來(lái)的安全問題也日益突出；因此，如何檢測(cè)服務(wù)器存在的安全隱患是非常必要的。本系統(tǒng)在通過(guò)分析和研究服務(wù)器安全方面的技術(shù)與Windows內(nèi)核驅(qū)動(dòng)程序的基礎(chǔ)上，設(shè)計(jì)并實(shí)現(xiàn)了基于Windows系統(tǒng)的服務(wù)器安全檢測(cè)系統(tǒng)，該系統(tǒng)基于文件系統(tǒng)過(guò)濾驅(qū)動(dòng)、SSDTHook、TDI驅(qū)動(dòng)及NDIS中間層驅(qū)動(dòng)四種類型的驅(qū)動(dòng)，對(duì)服務(wù)器中的文件系統(tǒng)、網(wǎng)絡(luò)通信等進(jìn)行全面的監(jiān)控。這樣檢測(cè)更全面、準(zhǔn)確率更高，也更容易檢測(cè)出木馬后門等程序。關(guān)鍵詞：服務(wù)器安全；Windows內(nèi)核；驅(qū)動(dòng)程序；監(jiān)控采集；攻擊TP393.08：A0引言近年來(lái)，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，尤其是云計(jì)算的興起，服務(wù)器中存儲(chǔ)的信息越來(lái)越多，而且也越來(lái)越重要。各種類型的服務(wù)器，如WEB服務(wù)器、DATA服務(wù)器、MAIL服務(wù)器、DNS服務(wù)器，支撐著大量的業(yè)務(wù)應(yīng)用；然而伴隨而來(lái)的安全問題也日益突出，如分布式拒絕服務(wù)攻擊(DDOS)，木馬病毒等。為防止服務(wù)器發(fā)生意外或受到意外攻擊，而導(dǎo)致大量重要的數(shù)據(jù)丟失，服務(wù)器一般都會(huì)采用許多重要的安全保護(hù)技術(shù)來(lái)確保其安全。但在實(shí)施保護(hù)措施之前，首先需要對(duì)服務(wù)器安全進(jìn)行強(qiáng)有力的檢測(cè)，以發(fā)現(xiàn)系統(tǒng)存在的安全隱患據(jù)IDC最新出爐的研究指出，微軟Windows服務(wù)器在去年銷售金額達(dá)177億美元，超越Unix的175億，Windows市場(chǎng)份額超過(guò)Unix，登上服務(wù)器操作系統(tǒng)龍頭，在2009年第陰季度，WindowsServer占據(jù)的市場(chǎng)份額為73.9%，Linux為21.2%。因此，針對(duì)采用Windows操作系統(tǒng)的服務(wù)器安全檢測(cè)技術(shù)具有更大的意義。本系統(tǒng)在通過(guò)分析和研究服務(wù)器安全方面的技術(shù)與Windows內(nèi)核驅(qū)動(dòng)程序的基礎(chǔ)上，沒計(jì)并實(shí)現(xiàn)了基于Windows系統(tǒng)的服務(wù)器安全檢測(cè)系統(tǒng)。該系統(tǒng)基于文件系統(tǒng)過(guò)濾驅(qū)動(dòng)、系統(tǒng)服務(wù)描述符表(SystemSerVJc:ehDescriptorTable，SSDT)Hook、網(wǎng)絡(luò)傳輸層接口(TransportDriverInterface.TDI)驅(qū)動(dòng)及網(wǎng)卡驅(qū)動(dòng)接口標(biāo)準(zhǔn)(NetworkDriverIntPrfaceSpecifiCation．NDIS)中間層驅(qū)動(dòng)四種類型的驅(qū)動(dòng)，對(duì)服務(wù)器中的文件系統(tǒng)、網(wǎng)絡(luò)通信等關(guān)鍵模塊進(jìn)行全面的監(jiān)控、檢測(cè)。與傳統(tǒng)的特征檢測(cè)方式不同，本系統(tǒng)采用行為檢測(cè)的方式，這樣準(zhǔn)確率更高，也更容易檢測(cè)偽裝的木馬病毒等惡意程序，1Windows總體結(jié)構(gòu)1.1Windows體系架構(gòu)Windows系統(tǒng)中，應(yīng)用程序與系統(tǒng)程序本身是隔離的，系統(tǒng)程序代碼運(yùn)[來(lái)自wwW.lw5U.com]行在處理器的特權(quán)模式下（稱為內(nèi)核模式，KernelMode）．可以訪問系統(tǒng)數(shù)據(jù)和硬件；應(yīng)用程序代碼運(yùn)行在處理器的非特權(quán)模式下（稱為用戶模式，UserMode），只有有限的一組接口可以使用，對(duì)系統(tǒng)數(shù)據(jù)的訪問受到限制，只能通過(guò)系統(tǒng)程序通過(guò)服務(wù)的形式調(diào)用，并且無(wú)法直接訪問硬件．如圖1所示。1.2Windows內(nèi)核驅(qū)動(dòng)以某種觀點(diǎn)來(lái)看，Windows內(nèi)核是由一個(gè)系統(tǒng)核心和多個(gè)驅(qū)動(dòng)程序所組成的，這些驅(qū)動(dòng)程序與系統(tǒng)中的硬件對(duì)應(yīng)。驅(qū)動(dòng)程序是一個(gè)軟件，它提供連接到計(jì)算機(jī)的硬件的軟件接口，在載入后成為內(nèi)核的一部分，圖2是Windows內(nèi)核驅(qū)動(dòng)程序的分類。2系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)本系統(tǒng)采用多種技術(shù)方案，監(jiān)控采集計(jì)算機(jī)中運(yùn)行程序的各種信息，如文件操作信息、注冊(cè)表操作信息、網(wǎng)絡(luò)通信信息，通過(guò)對(duì)采集數(shù)據(jù)的分析，根據(jù)設(shè)定的行為規(guī)則庫(kù)發(fā)現(xiàn)可疑信息，檢測(cè)服務(wù)器的安全問題，給出安全系數(shù)以及提供相應(yīng)的對(duì)策。2.1設(shè)計(jì)準(zhǔn)則要設(shè)計(jì)一個(gè)實(shí)用的服務(wù)器安全檢測(cè)系統(tǒng)，在保證安全性的同時(shí)還必須保證系統(tǒng)的運(yùn)行效率和系統(tǒng)的易用性。安全性不高的系統(tǒng)容易被病毒程序破壞，并且也難以檢測(cè)出各種變種的病毒程序。效率也是關(guān)鍵因素，耗時(shí)過(guò)長(zhǎng)、占用CPU，內(nèi)存過(guò)多，這樣的檢測(cè)系統(tǒng)是難以接受的。同樣，非常難于使用的系統(tǒng)也不是成功的系統(tǒng)。所以，整個(gè)系統(tǒng)的設(shè)計(jì)中需要遵循以下準(zhǔn)側(cè)：1)安全性。主要考慮兩個(gè)層次，一是內(nèi)核模式的驅(qū)動(dòng)程序保證不被其它惡意程序破壞；二是用戶模式的規(guī)則庫(kù)、子系統(tǒng)不被干擾。2)高效率。系統(tǒng)的運(yùn)行不能大量占用系統(tǒng)資源，盡量使用各種緩存機(jī)制，以確保不能有太多的性能損失。3)靈活性。系統(tǒng)采用層次化的模塊設(shè)計(jì)，內(nèi)核驅(qū)動(dòng)模塊、與內(nèi)核驅(qū)動(dòng)模塊的通信、用戶模式的通用模塊，均封裝成獨(dú)立的驅(qū)動(dòng)程序以及動(dòng)態(tài)鏈接庫(kù)，這樣整個(gè)系統(tǒng)具有很好的擴(kuò)展性。4)易用性。要以用戶為中心，遵守三個(gè)原則，易見，易學(xué)和易用，使得用戶第一眼就能找到自己最關(guān)注的功能操作和數(shù)據(jù)信息，不要過(guò)多的讓用戶去猜測(cè)各種隱含的信息，系統(tǒng)總是在合理的時(shí)間反饋給用戶合理的信息，而不是讓用戶莫名等待，錯(cuò)誤異常情況需要合適的提示。5)穩(wěn)定性。微軟一直在為其操作系統(tǒng)的穩(wěn)定性而努力，而內(nèi)核驅(qū)動(dòng)是影響其穩(wěn)定性的最大因素。系統(tǒng)的不穩(wěn)定將對(duì)系統(tǒng)的可用性造成極大的影響，因此在系統(tǒng)的設(shè)計(jì)過(guò)程中，要一直兼顧系統(tǒng)的穩(wěn)定性。2.2系統(tǒng)架構(gòu)2.2.1系統(tǒng)結(jié)構(gòu)系統(tǒng)采用層次化、模塊化的結(jié)構(gòu)設(shè)計(jì)，具體分為內(nèi)核模式的文件系統(tǒng)驅(qū)動(dòng)、SSDTHook、TDI驅(qū)動(dòng)以及NDIS中間層驅(qū)動(dòng)，用戶模式的監(jiān)控采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)，整體結(jié)構(gòu)如圖3所示。2.2.2系統(tǒng)流程系統(tǒng)在開機(jī)時(shí)便開始啟動(dòng)監(jiān)控，以確保獲取更多的可疑信息。在登錄系統(tǒng)后，可以通過(guò)用戶模式的監(jiān)控采集子系統(tǒng)及數(shù)據(jù)分析子系統(tǒng)進(jìn)行更多的操作，整體工作流程如圖4所示。2.3系統(tǒng)功能基于Windows內(nèi)核驅(qū)動(dòng)程序的服務(wù)器安全檢測(cè)系統(tǒng)，可以在底層實(shí)施監(jiān)控，以便深度挖掘隱藏的木馬等攻擊方法。安裝在系統(tǒng)內(nèi)核的四個(gè)驅(qū)動(dòng)程序隨著系統(tǒng)的啟動(dòng)而啟動(dòng)，這樣可以在其它模塊加載之前，就對(duì)系統(tǒng)的文件系統(tǒng)操作，網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行全面的記錄，并記錄在指定的文件中；監(jiān)控采集子系統(tǒng)提供靈活的采集策略，通過(guò)與內(nèi)核驅(qū)動(dòng)的通信，將數(shù)據(jù)記錄到系統(tǒng)數(shù)據(jù)庫(kù)中；數(shù)據(jù)分析子系統(tǒng)對(duì)數(shù)據(jù)庫(kù)中保存的數(shù)據(jù)，按照規(guī)則庫(kù)的檢測(cè)項(xiàng)目，分析數(shù)據(jù)是否具有攻擊特征。2.3.1內(nèi)核驅(qū)動(dòng)模塊在本系統(tǒng)中，內(nèi)核驅(qū)動(dòng)模塊分為四個(gè)獨(dú)立的驅(qū)動(dòng)程序，分別是文件系統(tǒng)驅(qū)動(dòng)、SSDTHook驅(qū)動(dòng)、TDI驅(qū)動(dòng)以及NDIS中間層驅(qū)動(dòng)。它們?cè)诓僮飨到y(tǒng)啟動(dòng)的時(shí)候，大部分其它模塊未加載之前及系統(tǒng)未登錄之前就開始加載運(yùn)行，以確保在木馬等攻擊程序加載之前運(yùn)行，采集默認(rèn)的數(shù)據(jù)，并寫入本系統(tǒng)定義的可疑數(shù)據(jù)庫(kù)中。文件系統(tǒng)驅(qū)動(dòng)主要是用來(lái)監(jiān)控對(duì)系統(tǒng)關(guān)鍵目錄或用戶指定目錄的操作，如什么進(jìn)程在何時(shí)對(duì)系統(tǒng)文件進(jìn)行了查看、修改、刪除等操作。SSDTHook驅(qū)動(dòng)主要是通過(guò)Hook系統(tǒng)服務(wù)描述表中的某些服務(wù)函數(shù)地址，監(jiān)控進(jìn)程／線程模塊信息、句柄信息，進(jìn)程／線程動(dòng)態(tài)信息如創(chuàng)建、終止[來(lái)自WwW.lw5U.com]；注冊(cè)表操作信息，如創(chuàng)建、打開、刪除、修改注冊(cè)表鍵值項(xiàng)目：TDI驅(qū)動(dòng)是通過(guò)綁定內(nèi)核中的三個(gè)主要的TDI設(shè)備，即，\Device\Tcp，\Device\Udp，\Device\Rawlp，它們分別對(duì)應(yīng)TCP協(xié)議、UDP協(xié)議、原始IP包、監(jiān)控網(wǎng)絡(luò)中的通信數(shù)據(jù)包。在本系統(tǒng)中，主要是監(jiān)控采集HTTP包、DNS包、FTP包等常見的協(xié)議數(shù)據(jù)包，并可以發(fā)現(xiàn)哪個(gè)進(jìn)程的通信數(shù)據(jù)包。NDIS中間層驅(qū)動(dòng)是在Windows網(wǎng)絡(luò)體系結(jié)構(gòu)的更底層進(jìn)行監(jiān)控，防止某些木馬等攻擊程序通過(guò)底層的NDIS協(xié)議驅(qū)動(dòng)，繞過(guò)TDI層直接進(jìn)行通信。在本系統(tǒng)中，主要是利用其來(lái)監(jiān)控網(wǎng)絡(luò)通信中的TCP包、UDP包，具體協(xié)議的范圍有HTTP、DNS、NBNS等，2.3.2監(jiān)控采集子系統(tǒng)監(jiān)控采集子系統(tǒng)工作在用戶模式，與內(nèi)核驅(qū)動(dòng)模塊進(jìn)行通信。包括原始數(shù)據(jù)采集、系統(tǒng)狀態(tài)數(shù)據(jù)采集、實(shí)時(shí)行為數(shù)據(jù)采集、實(shí)體行為數(shù)據(jù)采集、實(shí)體生理數(shù)據(jù)采集五個(gè)模塊。既可以通過(guò)向內(nèi)核驅(qū)動(dòng)發(fā)送I/O控制命令，獲取需要的內(nèi)核數(shù)據(jù)；也可以在應(yīng)用層采集所需要的數(shù)據(jù)，另外，通過(guò)對(duì)比內(nèi)核層采集的數(shù)據(jù)和應(yīng)用層采集的數(shù)據(jù)，找出具有木馬行為的進(jìn)程。采集的數(shù)據(jù)保存在本系統(tǒng)定義的可疑數(shù)據(jù)庫(kù)中。2.3.3數(shù)據(jù)分析子系統(tǒng)數(shù)據(jù)分析子系統(tǒng)也工作在用戶模式，它將內(nèi)核驅(qū)動(dòng)模塊和監(jiān)控采集子系統(tǒng)采集的可疑數(shù)據(jù)進(jìn)行清洗、轉(zhuǎn)換、加載，形成適合本子系統(tǒng)分析以及便于查看的數(shù)據(jù)立方體，并保存到關(guān)系數(shù)據(jù)庫(kù)中。再結(jié)合規(guī)則庫(kù)，深入挖掘些數(shù)據(jù)操作是不安全的行為，并找出引發(fā)該操作的進(jìn)程等信息，形成分析報(bào)告，給出服務(wù)器安全系數(shù)。3系統(tǒng)運(yùn)行分析3.1系統(tǒng)測(cè)試環(huán)境系統(tǒng)的測(cè)試環(huán)境具體情況見表l所示：表1測(cè)試環(huán)境3.2系統(tǒng)性能分析本系統(tǒng)在運(yùn)行過(guò)程中，可以詳細(xì)的挖掘出各個(gè)進(jìn)程對(duì)文件系統(tǒng)、注冊(cè)表、網(wǎng)絡(luò)等的操作數(shù)據(jù)，供管理員查看：如下圖5所示，瀏覽器進(jìn)程時(shí)對(duì)注冊(cè)表的操作。通過(guò)結(jié)合本系統(tǒng)定義的規(guī)則庫(kù)，我們可以發(fā)現(xiàn)在操作系統(tǒng)中存在的木門等后門程序。對(duì)比其它檢測(cè)系統(tǒng)，本系統(tǒng)的一個(gè)特點(diǎn)是由于在Windows系統(tǒng)內(nèi)核運(yùn)行了覆蓋面廣的驅(qū)動(dòng)，所以能檢測(cè)出各種偽裝的后門程序，提高了檢測(cè)的全面性、準(zhǔn)確性。5總結(jié)由于Windows操作系統(tǒng)內(nèi)核技術(shù)資料比較少，很多技術(shù)內(nèi)幕不公開，因此，在Windows內(nèi)核實(shí)現(xiàn)服務(wù)器安全檢測(cè)的技術(shù)難度比較大。但另一方面，現(xiàn)在很多木馬等后門程序也慢慢轉(zhuǎn)向內(nèi)核驅(qū)動(dòng)層，普通的安全檢測(cè)難以發(fā)現(xiàn)，所以在內(nèi)核層檢測(cè)又具有必要性。本系統(tǒng)在實(shí)際的運(yùn)行過(guò)程巾，還存在著一些不穩(wěn)定的因素，并且對(duì)于目前正熱門的Windows7系統(tǒng)還暫時(shí)不支持。同時(shí)，服務(wù)器的安全不僅僅需要只檢測(cè)，更需要防護(hù)和及時(shí)清除不安全因素。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，帶寬越來(lái)越高，目前興起的云計(jì)算更需要提供強(qiáng)有力的服務(wù)器安全檢測(cè)防護(hù)技術(shù).這些還需要進(jìn)一步的大量研究工作。（責(zé)編程斌）參考文獻(xiàn)：【1】中文業(yè)界資訊站/articles/l05609.htm.2010.3【2】MarkE.Russinovich