基于内存取证的内核完整性度量方法
内核级攻击对操作系统的完整性和安全性造成严重威胁.当前内核完整性度量方法在度量对象选取上存在片面性,且大部分方法采用周期性度量无法避免TOC-TOU攻击;此外,基于硬件的内核完整性度量方法因添加额外的硬件使得系统成本较高;基于Hypervisor的内核完整性度量方法应用复杂的VMM带来的系统性能损失大.针对现有方法存在的不足,提出了基于内存取证的内核完整性度量方法KIMBMF,该方法采用内存取证分析技术提取静态和动态度量对象,提出时间随机化算法弱化TOC-TOU攻击,并采用Hash运算和加密运算相结合的算法提高度量过程的安全性.在此基础上设计实现了基于内存取证的内核完整性度量原型系统,并通过实验评测了KIMBMF的有效性和性能.实验结果表明,KIMBMF能够有效度量内核的完整性,及时发现对内核完整性的攻击和破坏,且度量的性能开销小.
网络操作系统 内核级攻击 完整性度量 内存取证
陈志锋 李清宝 张平 王炜
数学工程与先进计算国家重点实验室,河南郑州 450001;国家数字交换系统工程技术研究中心,河南郑州 450002
国内会议
武汉
中文
45-59
2015-05-26(万方平台首次上网日期,不代表论文的发表时间)