基于系统调用的日志系统的设计与实现
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
为 的操作 , 有详细 、 没 有针 对性 的记 录系统 运行 的轨
或者异常的相应内核初始化过程, 其中 s _yt _ e ss m t e
t pg t将 向量 O8 对应 的内核处理 函数设置为 r _a a e x0
系统调用 处理 函数 sse _al ytm cl 。
1 1 2 系统 调 用执 行机 制 . .
快 速系统 调用 机制 。 11 基于软 中断的 系统调用 机制分 析 .
用户态进程和硬件设备之间的大部分接 口[ 。目前 1 ]
Ln x系统 中系统 调用有 30多个 。涉 及 系统各 方 iu 0
面资源 , 如文件 、 进程 、 信号 、 试、 调 用户/ I 、 组 D 时 间、 终端等的操作 。用户态获取到的服务 , 都需要使 用系统调用这个接 口。 日志是 Ln x安全体 系 中一个重要 的组成部 iu 分[ 引。随着 目 前对安全性需求 的增加 , 实时获取系 统 日志的需求也愈发突出。 日 中记 录了系统的各 志
/
● \ 、io { ● l rmc ● \ fy rs e a fsl
l t r e
Fra Baidu bibliotek
\I 、
/
\
户态 日志获取模块与内核态模块通信的接 口。并且
导 出重要 的接 口给核心模 块 。
1 1 1 基 于软 中断 系统调 用的 内核初 始化过 程 ..
应系统调用服务例程函数的地址 。 内核初始化时, 执行 t p iis r —n C来完成对中断 a t3
类事件和信息 , 这些信息将作为监控 、 审计系统安全
性的有效依据 。 现有的 Ln x日志系统部分 , i u 针对具体系统行
迹, 无法实时 、 有效的分析系统安全性 。因此 , 本文 在分析 Ln x i 系统调用机制的基础上 , u 把内核态获
应用程序 中调用系统调用有 3种方式[ : 6 使用 ] gi 库 的封装 函数; lc b 使用 gi 库 的通用接 口 s— lc b y
取的信息传递给用户态程序 , 实现 了基于系统调用
的 日志系统。通过在 内核层获取安全相关的系统调 用的详细 日志, 系统行 为进行 监控 , 对 可以达到实 时、 有效的分析系统安全性 。
sa ; cl使用 内联汇编。通常情况下均是使用封装 函 l
数 。系统调用号以及参数加载到相应寄存器后 , 系 统执行 it x0陷入内核 。相应 的安全性检查过 n 8 0 后, 会装 载 C 和 e S i p寄存器 , 值就是 I T 中第 其 D 0 8 项的门描述符 的段选择符 和偏移量。段描述 x0 符对应基址, 结合偏移量就找到相应的 ss m cl yt _ a e l
苏锦 秀, 陈莉君
( 西安邮 电学院 计算机 学院,陕西 西安 702) 1 1 1
摘要 : 为提 高 Ln x系统安全 性, iu 在逐步分析 Ln x系统调 用机制 的基 础上 , 计并 实现 了基 于 系统调 用的 日志 系 iu 设
统。通过在 内核 添加新 的 系统调 用 , 内核 实时截获 日志信息 , 从 并导出到用户态, 系统 能够实时获取与 系统安 全 使
1 Ln x系统 调 用 机 制剖 析 iu
系统调用机制是用户态与内核态的重要接 口。
收稿 日期 :0 1 0 —0 21 — 4 2
作者简介 : 苏锦秀 (96 )女 , 18一 , 硕士研究生 , 研究方 向: 安全操作系统 ,- a:uu3 9 i .Ol Em iss19@s aCI; l n I 陈莉君 (94 )女 , 16一 , 教授 ,
中图分类号 : 3 15 TP 1 .
文献标识码 : A
文章编号 :0 7 2 4 2 1 )4 0 9 0 10 —3 6 (0 1 0 ~0 5 — 3
Ln x系 统通 过 向 内 核发 出 系 统 调 用 , 现 了 iu 实
目前 Ln x iu 内核支持基于软中断的系统调用机制和
研究方 向: 安全操作 系统 和嵌入式系统 。
・
6 ・ 0
西
安
邮
电 学
院
学 报
21 0 1年 7月
的第一条指令 的逻辑地址。此时系统调用相应的处 理进 人 内核 。调 用一 个 系 统 调用 的过 程 如 图 1
所示 。
/ 。s。 、 厂 。p 、 r。
k 。 l
传统 的 系 统 调 用 发 出 方 式 是 通 过 软 中 断
i x8 [] nt0 0 3
。
系统 调用 在 内核 中 以系统 调 用 号 为标
识[ 。实质上 , 4 ] 系统调用号就是系统调用表 sscl y_a l
—
t l数组的下标 , ae b 数组 sscl t l 的元素为对 y_ a—a e l b
21 0 1年 7月
西
安
邮
电
学
院
学
报
J1 0 1 u.2 1
第1 6卷 第 4 期
JU O RNAL OFXIAN UNI R I OS ’ VE STY OFP TSAND TE E OMMUNIATI NS LC C O
V 11 . o. 6No 4
基 于 系统 调 用 的 日志 系统 的设 计 与 实现
相 关的各种信 息, 而分析 系统 的行为 , 从 审计 系统的安全性。为尽 可能减 少内核 代码 的修改 , 心功 能模块 以内核 核
可加 栽模 块机 制 实现 , 少 了调 试 难 度 , 大 了 系统 的 可 扩 充 性 。 减 加 关 键 词 :iu Ln x内核 ; 统调 用 ; 系 日志 系统
s s m al yt e cl :
_
、 、
ss xz { y yO
_ ● ●
?y , z (/ ) {
… /
.
ssxz) y_ y(
. }
’ 1
图 2 系统 结构 图
xz yO
it x 0 nO 8
志 接 口模 块 以及恢 复到 内核系统 调用 流程 。 日志接 口模块 负责 添加 新 的系 统 调用 , 为用 作
或者异常的相应内核初始化过程, 其中 s _yt _ e ss m t e
t pg t将 向量 O8 对应 的内核处理 函数设置为 r _a a e x0
系统调用 处理 函数 sse _al ytm cl 。
1 1 2 系统 调 用执 行机 制 . .
快 速系统 调用 机制 。 11 基于软 中断的 系统调用 机制分 析 .
用户态进程和硬件设备之间的大部分接 口[ 。目前 1 ]
Ln x系统 中系统 调用有 30多个 。涉 及 系统各 方 iu 0
面资源 , 如文件 、 进程 、 信号 、 试、 调 用户/ I 、 组 D 时 间、 终端等的操作 。用户态获取到的服务 , 都需要使 用系统调用这个接 口。 日志是 Ln x安全体 系 中一个重要 的组成部 iu 分[ 引。随着 目 前对安全性需求 的增加 , 实时获取系 统 日志的需求也愈发突出。 日 中记 录了系统的各 志
/
● \ 、io { ● l rmc ● \ fy rs e a fsl
l t r e
Fra Baidu bibliotek
\I 、
/
\
户态 日志获取模块与内核态模块通信的接 口。并且
导 出重要 的接 口给核心模 块 。
1 1 1 基 于软 中断 系统调 用的 内核初 始化过 程 ..
应系统调用服务例程函数的地址 。 内核初始化时, 执行 t p iis r —n C来完成对中断 a t3
类事件和信息 , 这些信息将作为监控 、 审计系统安全
性的有效依据 。 现有的 Ln x日志系统部分 , i u 针对具体系统行
迹, 无法实时 、 有效的分析系统安全性 。因此 , 本文 在分析 Ln x i 系统调用机制的基础上 , u 把内核态获
应用程序 中调用系统调用有 3种方式[ : 6 使用 ] gi 库 的封装 函数; lc b 使用 gi 库 的通用接 口 s— lc b y
取的信息传递给用户态程序 , 实现 了基于系统调用
的 日志系统。通过在 内核层获取安全相关的系统调 用的详细 日志, 系统行 为进行 监控 , 对 可以达到实 时、 有效的分析系统安全性 。
sa ; cl使用 内联汇编。通常情况下均是使用封装 函 l
数 。系统调用号以及参数加载到相应寄存器后 , 系 统执行 it x0陷入内核 。相应 的安全性检查过 n 8 0 后, 会装 载 C 和 e S i p寄存器 , 值就是 I T 中第 其 D 0 8 项的门描述符 的段选择符 和偏移量。段描述 x0 符对应基址, 结合偏移量就找到相应的 ss m cl yt _ a e l
苏锦 秀, 陈莉君
( 西安邮 电学院 计算机 学院,陕西 西安 702) 1 1 1
摘要 : 为提 高 Ln x系统安全 性, iu 在逐步分析 Ln x系统调 用机制 的基 础上 , 计并 实现 了基 于 系统调 用的 日志 系 iu 设
统。通过在 内核 添加新 的 系统调 用 , 内核 实时截获 日志信息 , 从 并导出到用户态, 系统 能够实时获取与 系统安 全 使
1 Ln x系统 调 用 机 制剖 析 iu
系统调用机制是用户态与内核态的重要接 口。
收稿 日期 :0 1 0 —0 21 — 4 2
作者简介 : 苏锦秀 (96 )女 , 18一 , 硕士研究生 , 研究方 向: 安全操作系统 ,- a:uu3 9 i .Ol Em iss19@s aCI; l n I 陈莉君 (94 )女 , 16一 , 教授 ,
中图分类号 : 3 15 TP 1 .
文献标识码 : A
文章编号 :0 7 2 4 2 1 )4 0 9 0 10 —3 6 (0 1 0 ~0 5 — 3
Ln x系 统通 过 向 内 核发 出 系 统 调 用 , 现 了 iu 实
目前 Ln x iu 内核支持基于软中断的系统调用机制和
研究方 向: 安全操作 系统 和嵌入式系统 。
・
6 ・ 0
西
安
邮
电 学
院
学 报
21 0 1年 7月
的第一条指令 的逻辑地址。此时系统调用相应的处 理进 人 内核 。调 用一 个 系 统 调用 的过 程 如 图 1
所示 。
/ 。s。 、 厂 。p 、 r。
k 。 l
传统 的 系 统 调 用 发 出 方 式 是 通 过 软 中 断
i x8 [] nt0 0 3
。
系统 调用 在 内核 中 以系统 调 用 号 为标
识[ 。实质上 , 4 ] 系统调用号就是系统调用表 sscl y_a l
—
t l数组的下标 , ae b 数组 sscl t l 的元素为对 y_ a—a e l b
21 0 1年 7月
西
安
邮
电
学
院
学
报
J1 0 1 u.2 1
第1 6卷 第 4 期
JU O RNAL OFXIAN UNI R I OS ’ VE STY OFP TSAND TE E OMMUNIATI NS LC C O
V 11 . o. 6No 4
基 于 系统 调 用 的 日志 系统 的设 计 与 实现
相 关的各种信 息, 而分析 系统 的行为 , 从 审计 系统的安全性。为尽 可能减 少内核 代码 的修改 , 心功 能模块 以内核 核
可加 栽模 块机 制 实现 , 少 了调 试 难 度 , 大 了 系统 的 可 扩 充 性 。 减 加 关 键 词 :iu Ln x内核 ; 统调 用 ; 系 日志 系统
s s m al yt e cl :
_
、 、
ss xz { y yO
_ ● ●
?y , z (/ ) {
… /
.
ssxz) y_ y(
. }
’ 1
图 2 系统 结构 图
xz yO
it x 0 nO 8
志 接 口模 块 以及恢 复到 内核系统 调用 流程 。 日志接 口模块 负责 添加 新 的系 统 调用 , 为用 作