基于文件系統(tǒng)的惡意代碼監(jiān)控技術的研究

摘 要：隨著計算機技術的不斷發(fā)展，逐漸進入了信息化時代，信息技術在不同領域均發(fā)揮著重要作用，保障其安全性成為當前面臨的主要任務。近年來，多種惡意代碼的出現(xiàn)嚴重威脅了計算機系統(tǒng)的安全，要想提升計算機的安全性，就必須要重視對惡意代碼的分析及監(jiān)控工作。本文主要闡述了惡意代碼的定義及相關監(jiān)控技術，分析了監(jiān)控系統(tǒng)關鍵技術，對監(jiān)控系統(tǒng)的實現(xiàn)進行探究，以期提高惡意代碼監(jiān)控系統(tǒng)的可靠性和效率，增強計算機系統(tǒng)安全性。

關鍵詞：文件系統(tǒng)；惡意代碼；監(jiān)控技術

中圖分類號：TP309

網絡成為人們生活中不可或缺的一部分，逐漸向著更加靈活、開放的方向發(fā)展，然而因為計算機在安全上存在較大的脆弱性，其本身也存在多種漏洞，這都為惡意代碼的侵襲埋下隱患，嚴重危害著計算機系統(tǒng)的安全。監(jiān)控技術實現(xiàn)了對惡意代碼的分析，為消除惡意代碼提供準確的數(shù)據(jù)信息，因此，研究基于文件系統(tǒng)的惡意代碼監(jiān)控技術具有非常重要的現(xiàn)實意義。

1 惡意代碼的定義及相關監(jiān)控技術概述

惡意代碼指的是帶有危險性質的代碼，當程序在計算機網絡、存儲設備運行的過程中，會對其中的數(shù)據(jù)信息進行破壞，導致數(shù)據(jù)缺失，影響信息的真實性。根據(jù)傳播特征、是否依靠宿主可以將惡意代碼劃分為：可感染的獨立性惡意代碼、不感染的獨立性惡意代碼、可感染的依附性惡意代碼及不感染的依附性惡意代碼四大類。網路技術的高速發(fā)展為人們提供了很大的方便，同時也產生了多種多樣的惡意代碼，不同種類的惡意代碼工作原理也存在很大的差異，目前還缺乏統(tǒng)一分類標準，必須要加強對惡意代碼監(jiān)控技術的研究。

當前，用于記錄Windows系統(tǒng)下程序行為的技術主要包括虛擬機技術和API掛鉤技術，這兩種技術還具有操控程序行為的功能。其中前者可以分為計算機殺毒軟件、大眾計算機兩種類型應用的虛擬機技術，該技術雖然不具備相應的接口，用戶也不能進行直接的查看，但是其能夠對程序的執(zhí)行操作進行詳細的解釋、記錄，消除惡意軟件的侵襲，保證用戶操作系統(tǒng)的安全性。在虛擬環(huán)境中運行操作系統(tǒng)時，虛擬機技術對系統(tǒng)的真實性不會產生影響，能夠對系統(tǒng)資源進行保護；而后者能夠改變API執(zhí)行結果，在跟蹤程序流程方面有著廣泛的應用。API掛鉤技術以改寫原函數(shù)及其入口的方式使其跳轉到自己的函數(shù)，程序流程改變后，就可以在分析操作后，在操作系統(tǒng)調用時切換函數(shù)。

2 監(jiān)控系統(tǒng)關鍵技術

Linux平臺是基于文件系統(tǒng)的惡意代碼監(jiān)控技術實現(xiàn)的基礎，監(jiān)控設計在真實文件系統(tǒng)及虛擬文件系統(tǒng)二者之間，主要通過Linux操作系統(tǒng)中截獲系統(tǒng)調用的方式，實現(xiàn)監(jiān)控惡意代碼的功能。該監(jiān)控技術的監(jiān)控文件系統(tǒng)過程是在操作系統(tǒng)內核中運行的，可以借助用戶空間將惡意代碼對文件的操作數(shù)據(jù)信息進行監(jiān)控，并用于分析和判斷。

虛擬機技術的惡意代碼監(jiān)控理論是基于文件系統(tǒng)的惡意代碼監(jiān)控技術的形成基礎，不僅涉及到API 掛鉤技術中的替換程序函數(shù)，實現(xiàn)了對文件系統(tǒng)內核中代碼的修改，強化了操作系統(tǒng)的安全性，確保系統(tǒng)不會受到惡意代碼的攻擊。內核代碼的修改是一項難度較大的工作，有可能無法達到消除惡意代碼破壞的目的，還容易對系統(tǒng)本身造成傷害。作為Linux文件系統(tǒng)的一個重要的組成部分，惡意代碼監(jiān)控技術通過真正文件系統(tǒng)和虛擬文件系統(tǒng)（VFS）掛鉤相關的函數(shù)，在操作系統(tǒng)的系統(tǒng)調用過程中，可以通過虛擬文件系統(tǒng)對函數(shù)（擁有監(jiān)控作用）進行調用，而且對不同類型文件系統(tǒng)的訪問方式并無明確的要求。

對真實文件系統(tǒng)進行抽象化后即為虛擬文件系統(tǒng)，其為操作系統(tǒng)提供統(tǒng)一的接口，忽略了真實文件系統(tǒng)層中的一些細小的問題，將擁有監(jiān)控作用的函數(shù)添加到虛擬文件系統(tǒng)層和真實文件層后，可以在Linux操作系統(tǒng)底層掌握系統(tǒng)調用的狀況，達到截獲系統(tǒng)調用函數(shù)的目的。這樣就簡化了內核源碼的修改問題，在此基礎上采用LKM技術對惡意代碼進行監(jiān)控，在擁有新型監(jiān)控技術的函數(shù)作用下，文件系統(tǒng)能夠將數(shù)據(jù)信息轉發(fā)到下層中，發(fā)揮著監(jiān)控系統(tǒng)運行的重要作用。

Inotify是一種文件系統(tǒng)事件監(jiān)控機制，具有細粒度、高性能、異步的特征，自Linux內核2.6.13后，開始支持Inotify?；谖募到y(tǒng)的惡意代碼監(jiān)控技術也充分運用了Inotify的優(yōu)勢，在提高計算機系統(tǒng)安全性能的同時，還能增添了移動、修改、刪除和添加等多項功能，達到對不同類型文件的監(jiān)控需求。

3 監(jiān)控系統(tǒng)的實現(xiàn)

要想達到在Linux平臺架構下分析、監(jiān)控惡意代碼的功能，就必須要具備截獲代碼的功能，并使其在真正文件系統(tǒng)與虛擬文件系統(tǒng)之間發(fā)揮作用，能夠操縱Linux下的重要文件，此外還需要結合用戶對操作重要文件設定的具體規(guī)則，完成對比和過濾過程。該惡意代碼監(jiān)控系統(tǒng)的內核態(tài)中包括監(jiān)控模塊和核心模塊，在此結構形態(tài)下提升了操作系統(tǒng)的安全性，也起到保護內核的作用。

基于文件系統(tǒng)的惡意代碼監(jiān)控系統(tǒng)的數(shù)據(jù)流程包括以下內容：

將監(jiān)控執(zhí)行例程提交后，系統(tǒng)調用截獲過濾例程：將被監(jiān)控惡意代碼通過用戶模塊提交后，對相應目錄下的程序進行加載運行，代碼能夠執(zhí)行系統(tǒng)調用，追蹤Linux下的系統(tǒng)調用函數(shù)到內核函數(shù)，通過截獲過濾例程實現(xiàn)監(jiān)控操作。

Linux下重要文件設置、控制例程：借助import_file結構體，重要文件設置例程可以對控制例程傳輸文件屬性、控制命令，這個過程中傳送的數(shù)據(jù)應采用config_file信息的形式。

Linux下重要文件控制例程，重要文件列表：以import_file_list結構體的方式，Linux下重要文件控制例程可以將相關的控制命令、屬性等內容傳送給重要文件列表，并根據(jù)指令實施具體的操作。

Linux系統(tǒng)進程控制例程，系統(tǒng)進程信息列表：以process_info_list結構體的方式，Linux系統(tǒng)進程控制例程可以將相關的控制命令、屬性等內容傳送給系統(tǒng)進程信息列表，并根據(jù)指令實施具體的操作。

系統(tǒng)調用截獲過濾例程，日志隊列：系統(tǒng)調用截獲過濾例程獲取惡意代碼程序，以log_queue結構體的方式把對特定惡意代碼監(jiān)控的文件操作的數(shù)據(jù)信息添加到日志隊列中。

日志隊列，日志分析例程：日志分析例程在接收到日志隊列傳輸?shù)谋O(jiān)控數(shù)據(jù)信息后，對相關信息進行讀取，便于用戶進行分析、判斷。

4 結束語

基于文件系統(tǒng)的惡意代碼監(jiān)控技術的研究實現(xiàn)了對惡意代碼的監(jiān)控和對Linux 下的重要文件的保護，該監(jiān)控系統(tǒng)中的不同模塊能夠在內核中運行，在內核中監(jiān)控進程對文件的操作行為，將監(jiān)控信息從系統(tǒng)輸出，便于用戶對提交進程進行進一步的分析，判斷其是否存在惡意入侵問題?；贚inux平臺建立的監(jiān)控系統(tǒng)提供的函數(shù)接口，一方面能夠結合實際需求對監(jiān)控模塊進行卸載、加載，另一方面還具有良好的擴展性，為二次開發(fā)提供方法，使得系統(tǒng)的執(zhí)行效率和實時性大大提升。但惡意代碼監(jiān)控技術仍需要進行完善和改進，進行深層次的探索，才能預防惡意代碼的攻擊，達到增強計算機系統(tǒng)安全性的目的。

參考文獻：

[1]王松濤，吳灝.Linux下基于可執(zhí)行路徑分析的內核rootkit檢測技術研究[J].計算機工程與應用，2005（11）.

[2]郝向東，王開云.典型惡意代碼及其檢測技術研究[J].計算機工程與設計，2007（19）.

[3]吳冰，云曉春，高琪.基于網絡的惡意代碼檢測技術[J].通信學報，2007（11）.

[4]袁源，羅紅，戴冠中.基于LKM的Linux安全檢測器的設計與實現(xiàn)[J].計算機應用研究，2005（07）.

[5]劉艷萍.惡意代碼分析與檢測研究現(xiàn)狀[J].微電腦世界，2009（07）.

[6]李洋，劉真.Linux下文件實時監(jiān)控技術的研究和實現(xiàn)[J].計算機應用研究，2004（07）.

作者簡介：胡渝蘋（1982.03-），講師，研究生，研究方向：計算機軟件應用。

作者單位：重慶水利電力職業(yè)技術學院，重慶 402160