本發明專利技術提供了一種虛擬化用戶準入安全檢測和隔離方法及其系統,通過在計算中的系統調用中使用改進的完美貝葉斯均衡(PBE)算法對用戶行為的系統調用進行判定,利用算法構造策略引擎,使用引擎決策現有用戶的行為以達到用戶代碼和服務器系統內核雙方利益最大化,并且使用代理技術實現中斷判定和訪問同時實現計算和操作系統之間的隔離,改進沙箱技術從而達到在用戶服務效率和安全保證之間的相對優化。本發明專利技術對于系統資源等消耗和讀取判定速度一定程度上達到了大面積使用的要求,特別是能夠有效地阻止惡意代碼的特殊系統調用,極大程度上保護了系統的安全,并且在文件訪問等幾項經常性的系統調用操作中,檢測速度和性能也相對有所提高。
【技術實現步驟摘要】
本專利技術涉及網絡檢測和防護以及虛擬化安全計算,具體涉及一種虛擬化計算下的用戶準入安全檢測和隔離技術。
技術介紹
對于現有操作系統安全來說,錯誤的軟件架構和用戶誤操作或者惡意病毒對用戶操作系統的破壞在所難免,先前的大多數訪問控制技術只是阻止可疑程序對系統訪問,容易判斷失誤。而沙箱技術則是把可以程序的阻止系統訪問,轉變成將可疑程序對磁盤、注冊表等的訪問重定向到指定文件夾下,從而更大程度上的保護用戶操作系統。現有的沙箱技術在瀏覽器或其他程序中的使用主要出自Greenborder公司的沙箱技術,根據其使用環境和技術路線可分為兩種第一種是采用虛擬技術的傳統沙盤,如sandboxie ;第二種就是采用策略限制的沙盤,主要有·windows下的ACL文件訪問控制列表和SID安全標識符;Iinux的chroot權限隔離技術和SElinux技術;MAC OS X 的 Seatbelt 技術;Linux 的 seccomp 技術;其中Seccomp (Secure Computing Mode)既安全計算模式是在 Iinux 2· 6· 23 和以后的一種內核模式,當進程進入此模式中,只能進行exit O、sigreturnO > read O和write O四種系統調用,而其他的syscall則會使內核發送SIGKILL信號結束進程。現有的沙箱技術是運行在進程級的粒度。這就意味著沙盒需要獨占一個進程。最小化的沙箱應該有兩個模塊一個模塊可以被稱為代理人機制,即沙箱進程中會產生一個或多個被稱為特權控制器的線程來控制在沙箱內部運行的狀態。另一個則是包括一個靜態庫在內的模塊,這個模塊必須與前面的代理人和目標可執行文件一致。現有使用的沙箱技術是一個基于用戶模式下的沙箱。一方面,在云環境下運行其上的程序需要給網絡中不同用戶提供服務,甚至其執行的代碼也是由不同網絡用戶申請提交并進行運行的,這就需要用到強制訪問控制MAC來提供可靠的白名單訪問,但是原有的模型只是基于自身判斷,容易由于自身的原因產生誤操作,從而錯誤的撤銷并回滾無關用戶并行執行的服務。另一方面,雖然Seccomp使用的系統調用過濾技術,允許進程將其本身嚴格的限制到受限的系統調用集。但是Seccomp模式的進程不能動態分配內存、不能與其它進程使用共享內存、不能使用新的文件描述符,這無形就限制了沙箱系統的一些安全功能的實現。并且PR_SET_SECC0MP功能也在其運行中存在錯誤,允許本地用戶通過將32位進程切換到64位模式并在64位進程中使用syscall指令或interrupt 80h繞過安全執行某些受限制的系統調用,從而對現有操作系統產生威脅。
技術實現思路
為了克服現有技術的不足,本專利技術提供一種虛擬化用戶準入安全檢測和隔離方法,對在使用虛擬化技術的沙箱中用戶和其代碼的準入進行判定,通過前期歷史數據中一些異常行為檢出并且阻止其惡意代碼進行特殊的系統調用,以便于減少用戶代碼對系統的破壞;同時希望提高原有seccomp沙箱對資源消耗和讀取的判定速度,阻止惡意代碼對系統內核的特殊調用,并且能夠在判定文件訪問等經常性的系統調用操作中體現出較快的檢測速度和較高的檢測性能。本專利技術解決其技術問題所采用的技術方案包括以下步驟步驟I :在中間件中,建立目標主機的操作系統上執行的代碼和操作系統內核之間的可觀察行動和不完全信息的模型,并在沙箱保護下的目標主機上記錄syscall調用情況,針對記錄的數據傳遞給策略引擎進行處理;步驟2 :策略引擎接收到用戶代碼和用戶相關的特征信息后,則通過引擎中建立的信號博弈模型對這些信息進行識別,根據原有概率計算用戶代碼是否為惡意代碼的概率;同時在策略引擎中建立內核驗證模型,把通過算法分類的特征信息放入決策集中,在決 策集中使用被改進的代價策略認證機制的完美貝葉斯算法對用戶行為進行判斷,并且同時使用目標主機中的中斷器對用戶代碼的運行狀況進行記錄,然后在沙箱中運行的用戶進程進行系統調用運行,在運行的同時IPC終端中對用戶代碼產生的用戶進程進行重定向;步驟3 :在策略引擎進行判斷后,中間件的IPC服務器利用目標進程和主機的交互信息核查其同步處理狀況;同時中間件把目標進程和主機處理的作業在轉移到中斷管理器中,并且沙箱對在其內部運行的仿真代碼產生的內核信號進行記錄,當這些信號傳遞給運行時軟件的時候,如果編譯器正在執行解釋,則其會在運行時把解釋例程傳遞給用戶中斷例程,并且解釋例程也會同時把控制權傳遞給用戶中斷例程進行處理;如果編譯器未在執行,則軟件對信號自行處理。在結束處理的時候,目標主機中的中斷器更新中斷處理表;步驟4:針對放入虛擬化沙箱的用戶策略,策略平臺使用歷史數據比較來逐漸剔除劣勢策略,并且根據歷史數據計算回滾代價和用戶期望,形成相對優化策略;然后把這些寫入策略引擎數據庫形成歷史數據,之后運行的時候策略引擎通過認證的方式觸發或者進程保護方式觸發提取策略引擎數據庫中的歷史數據;同時策略引擎使用步驟2的改進的完美貝葉斯算法對用戶在主機內運行產生的代價進行記錄更新,從而形成相對準確的沙箱完美貝葉斯算法優化模型。本專利技術還提供一種實現上述虛擬化用戶準入安全檢測和隔離方法的系統,包括以下子模塊中間件模塊,包含中斷管理器子模塊,策略平臺子模塊,策略引擎子模塊和IPC服務子模塊;其中中間件模塊主要是進行算法的預處理,中斷管理子模塊負責接收各個目標主機沙箱內的中斷發出的信號,策略子平臺負責對信號進行提取分類和儲存策略數據,策略引擎子模塊則進行算法處理,IPC服務子模塊負責和目標機中的IPC模塊進行通信,包括交換中斷信號和命令處理;沙箱模塊,包括目標子模塊下的IPC終端子模塊,策略引擎終端子模塊和中斷器子模塊;其中沙箱模塊負責目標主機中各個用戶程序或代碼的單獨運行,在各個目標主機中的策略引擎終端負責根據中間件中的策略引擎的給出的算法進行相應的執行處理,中斷器則負責中斷處理,并且把中斷場景中的相應數據傳輸到中間件中進行相應的算法處理。本專利技術的有益效果是本專利技術使用完美均衡博弈策略對于沙箱判定用戶行為和相應準入代價形成算法,在策略引擎中進行判定,從而減小用戶代價,并且對歷史數據中一些異常行為能夠檢出并且阻止其惡意代碼進行特殊的系統調用從而減少其對系統的破壞。針對用戶準入判斷的方法,能夠對系統資源等消耗和讀取判定速度一定程度上較原來seccomp沙箱中惡意代碼的特殊系統調用能夠有效地阻止,并且在判定文件訪問等幾項經常性的系統調用操作體現出較好的檢測速度和性能。附圖說明圖I是資源代理機制圖;圖2是認證策略代價;圖3是中斷觸發處理。 具體實施例方式下面結合附圖和實施例對本專利技術進一步說明。I.系統模型改進原則本方法根據如下四點設計原則進行方法和系統的設計其一,假設云環境下幾乎所有云用戶的軟件代碼都在其平臺上執行I/O操作。那么現有的很多行為是在Seccomp中嚴格受限的。這就要求軟件打開文件描述符的時候作為通信信道確保非可信代碼在進行操作時候嚴格受到安全監控。這就意味著必須在應用程序代碼進行調整的時候分離其更新的部分,進行安全檢查來確保其更新部分的安全。其二,系統最大程度設計于執行非可信程序代碼。這就要求沙箱控制普通用戶不能提升到超級用戶的權限。其三,現有的模擬環境和虛擬化安全解決方案本本文檔來自技高網...
【技術保護點】
一種虛擬化用戶準入安全檢測和隔離方法,其特征在于包括下述步驟:步驟1:在中間件中,建立目標主機的操作系統上執行的代碼和操作系統內核之間的可觀察行動和不完全信息的模型,并在沙箱保護下的目標主機上記錄syscall調用情況,針對記錄的數據傳遞給策略引擎進行處理;步驟2:策略引擎接收到用戶代碼和用戶相關的特征信息后,則通過引擎中建立的信號博弈模型對這些信息進行識別,根據原有概率計算用戶代碼是否為惡意代碼的概率;同時在策略引擎中建立內核驗證模型,把通過算法分類的特征信息放入決策集中,在決策集中使用被改進的代價策略認證機制的完美貝葉斯算法對用戶行為進行判斷,并且同時使用目標主機中的中斷器對用戶代碼的運行狀況進行記錄,然后在沙箱中運行的用戶進程進行系統調用運行,在運行的同時IPC終端中對用戶代碼產生的用戶進程進行重定向;步驟3:在策略引擎進行判斷后,中間件的IPC服務器利用目標進程和主機的交互信息核查其同步處理狀況;同時中間件把目標進程和主機處理的作業在轉移到中斷管理器中,并且沙箱對在其內部運行的仿真代碼產生的內核信號進行記錄,當這些信號傳遞給運行時軟件的時候,如果編譯器正在執行解釋,則其會在運行時把解釋例程傳遞給用戶中斷例程,并且解釋例程也會同時把控制權傳遞給用戶中斷例程進行處理;如果編譯器未在執行,則軟件對信號自行處理。在結束處理的時候,目標主機中的中斷器更新中斷處理表;步驟4:針對放入虛擬化沙箱的用戶策略,策略平臺使用歷史數據比較來逐漸剔除劣勢策略,并且根據歷史數據計算回滾代價和用戶期望,形成相對優化策略;然后把這些寫入策略引擎數據庫形成歷史數據,之后運行的時候策略引擎通過認證的方式觸發或者進程保護方式觸發提取策略引擎數據庫中的歷史數據;同時策略引擎使用步驟2的改進的完美貝葉斯算法對用戶在主機內運行產生的代價進行記錄更新,從而形成相對準確的沙箱完美貝葉斯算法優化模型。...
【技術特征摘要】
1.一種虛擬化用戶準入安全檢測和隔離方法,其特征在于包括下述步驟 步驟I :在中間件中,建立目標主機的操作系統上執行的代碼和操作系統內核之間的可觀察行動和不完全信息的模型,并在沙箱保護下的目標主機上記錄syscall調用情況,針對記錄的數據傳遞給策略引擎進行處理; 步驟2:策略引擎接收到用戶代碼和用戶相關的特征信息后,則通過引擎中建立的信號博弈模型對這些信息進行識別,根據原有概率計算用戶代碼是否為惡意代碼的概率;同時在策略引擎中建立內核驗證模型,把通過算法分類的特征信息放入決策集中,在決策集中使用被改進的代價策略認證機制的完美貝葉斯算法對用戶行為進行判斷,并且同時使用目標主機中的中斷器對用戶代碼的運行狀況進行記錄,然后在沙箱中運行的用戶進程進行系統調用運行,在運行的同時IPC終端中對用戶代碼產生的用戶進程進行重定向; 步驟3 :在策略引擎進行判斷后,中間件的IPC服務器利用目標進程和主機的交互信息核查其同步處理狀況;同時中間件把目標進程和主機處理的作業在轉移到中斷管理器中,并且沙箱對在其內部運行的仿真代碼產生的內核信號進行記錄,當這些信號傳遞給運行時軟件的時候,如果編譯器正在執行解釋,則其會在運行時把解釋例程傳遞給用戶中斷例程,并且解釋例程也會同時把控制權傳遞給用戶中斷例程進行處理;如果編譯器未在執行,則軟件對信號自行處理。在結束處理的時候,目標主機中...
【專利技術屬性】
技術研發人員:馬博,慕德俊,
申請(專利權)人:西北工業大學,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。