kcapiso一种基于hybridhp的宏内核操作系统载入模块权能隔离方案-钱振江.pdf

《kcapiso一种基于hybridhp的宏内核操作系统载入模块权能隔离方案-钱振江.pdf》由会员分享，可在线阅读，更多相关《kcapiso一种基于hybridhp的宏内核操作系统载入模块权能隔离方案-钱振江.pdf（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第39卷第3期 计 算 机 学 报 v0139 No32016年3月 CHINESE JOURNAL 0F COMPUTERS Mar2016KCapISO：一种基于HybridHP的宏内核操作系统载入模块权能隔离方案钱振江2h孙 刘永俊 汤 力2 姚宇峰21(南京大学计算机科学与技术系 南京210023)2(常熟理工学院计算机科学与工程学院 江苏苏州 21 5500)3(伦敦大学国王学院伦敦wc2R 2Ls英国)黄 皓摘要宏内核操作系统提供对第3方模块和驱动程序等载入模块的支持，允许载入模块运行在内核态特权级由于运行在最高特权级，载入模块对内核的核心服务的关键对象的访问难以得到系统的有效控制

2、考虑对被监控系统的性能影响控制在很小的范围，基于内嵌式的监控机制HybridHP，提出了一种宏内核架构下的载人模块权能隔离方案KCapIsO，为内核和载人模块维护各自的页表，从权能上将两者隔离，确保载人模块无法修改内核的数据，并且无法以任何方式直接调用或跳转到内核中执行，这些动作都需经过KCapIS0的监控和检查实验结果表明，KCapISO能有效地将内核与载入模块在权能上相互隔离，同时获得较好的系统性能关键词 宏内核操作系统；载入模块；硬件虚拟化；权能隔离；安全监控中图法分类号TP316 DOI号1011897SPJ1016201 600552KCapISO：A HybridHP-Based

3、CapabilityLoaded Modules on Monolithic KernelIsolation Method ofOperating SystemQIAN ZhenJian91m LIU Y。ngJun2 TANG Li2 YAO YuFen92 HUANG Ha011(D8户口r仇Pnf o，Com户“fPr sfi棚fP口nd丁0cnoZogy，口njing【肠i口rsi妙，Nn可i月占 210023)2(Sco。o厂(为mp“Pr Sc2e以cP n月矗凸gineering，(冼口ngs“Jn5ti“fe o，TecnoZogy，S“zo“，i口以gs“ 215500)3(

4、King5 CoZggP LoHdon，Lo以don WC2R 2LS，UK)Abstract The monolithic kernel operating systems provide support for the loaded modules，suchas thirdparty modules and driVers Due to that the loaded modules run on the privilege level，theaccess to the key objects of core services within the kernel is difficult

5、to be controlled effectivelyConsidering little influence on the performance of the monitored system，based on the embeddedstyle monitoring sy5tem HybridHP，we propose a capability is01ation method of 10aded moduleson the mon01ithic kerneI operating system，named KCapISO KCapISO maintains the respective

6、page tables for the kernel and loaded modules， which are isolated from the aspect of the capabilityKCapISO ensures that the loaded modules cannot modify the kernel data，and cannot directly callor j ump into the kernel in any way And these behaviors are required to pass through monitoringand inspecti

7、on by KCapISO The experiment result shows that KCapIS0 effectively isolatesthe kernel and 10aded modules from the aspect of the capabilty， and achieves good systemDerformanceKeywords monolithic kernel operating system；loaded module；hardware virtualization；capabilityisolation；security monitoring收稿日期：

8、2014一09。03；最终修改稿收到日期：z015一0618本课题得到国家自然科学基金(61402057)、江苏省科技计划自然科学基金(BK20140418)、中国博士后科学基金(2015M571737)、江苏省“六大人才高峰”高层次人才基金(201lDZXx035)和江苏省高校自然科学研究基金(12KJB520001)资助钱振江，男1982年生，博士，讲师，中国计算机学会(ccF)高级会员，主要研究方向为操作系统安全、形式化验证和嵌入式系统Email：tony-hslnacom刘永俊，男，1981年生，博士研究生，讲师，主要研究方向为操作系统安全汤力男，1980年生，硕士，副教授，主要研究方

9、向为操作系统安全姚字峰，男1981年生，博士研究生，讲师，主要研究方向为操作系统安全黄皓，男，1957年生，博士，教授，博士生导师，主要研究领域为系统软件、信息安全万方数据3期 钱振江等：KCapISo：一种基于HybridHP的宏内核操作系统载入模块权能隔离方案 5531 引 言宏内核(MonoIithic KemeI)操作系统(0peratingSystem，OS)，如Linux等，提供了对载入模块(包括第3方模块和驱动程序)的支持，且允许载人模块运行在内核态特权级由于运行在最高特权级，载人模块对内核的核心服务的关键对象的访问难以得到系统的有效控制，恶意的第3方模块或者受到感染的驱动程序可

10、以很容易地破坏系统调用表、页表、IDT表、系统寄存器和网络端口等系统关键对象，从而破坏整个系统的完整性与之相比，在微内核(Microkernel)架构的0S中，载入模块运行在用户态模式，受到处于内核态特权级的微内核的控制，达到了很好的模块隔离性和可控性为此，在微内核OS平台上，可运行的内核病毒程序屈指可数而Windows和Linux等宏内核平台上内核病毒初步统计就有数十类以及不计其数的变种，其中大部分的内核攻击都是通过加载载人模块来达到的值得一提的是，微内核0S由于使用消息机制进行进程间通信(InterProcess communication，IPC)而存在性能问题，主要是由于通信的两个服务

11、进程，或者服务进程与用户进程的进程空间不相交，无法直接访问而必须使用消息进行通信，而且接收进程必须等待微内核将消息复制到自己的进程空问才能对消息进行处理L413针对上述的缺陷，改进了IPC的实现，将单次通信所需的2次消息拷贝减少为1次，性能得到了提高在宏内核平台上，载入模块与内核处于同一进程空间，同时内核服务也存在于这一进程空间，无需进行上述的消息拷贝，这是一个很好的特点，但是也带来了之前所述的安全问题随着硬件虚拟化技术的发展，在宏内核平台上，采用虚拟机监控器(virtual Machine Monitor，VMM)对被监控系统进行运行时监控的研究工作2删获得了很好的支持但是这种方法存在着3个

12、方面的主要问题：(1)系统性能基于VMM的监控方案需要管理域(Domain o)以及虚拟机管理器(Hypervisor)的支持，同时被监控系统的Io等操作需要管理域的干预，这样造成被监控系统的性能损失较大；(2)监控粒度如何确定监控的粒度是一个两难的问题，监控粒度越大，对被监控系统的性能损失较小，但监控的正确度不高，监控粒度越小，监控的正确度越大，但对被监控系统的损失较大；(3)主体标示在监控的过程中，首先需要对被监控系统中的各个执行主体(对象)进行标示，但由于内核和载人模块都运行在内核态特权级，并且位于同一内存地址空间，因此对于监控内核的VMM而言，难以具体标识当前执行主体为内核还是载入模块

13、很多学者在利用VMM对不可信的载入模块的扩展给系统带来的安全性问题进行监控方面进行了研究卟1，在主体标示问题上提出了可行的方案，对执行主体和资源如内存页等进行部分的权限设置，但需要记录状态转换，并且存在着频繁切换页表问题同时存在代理攻击的问题，如果不可信的载人模块通过一系列的操作来请求内核服务进行一些非法的操作，VMM往往很难辨认执行主体本文提出一种宏内核架构下的载入模块权能隔离方案KCapIsO，将内核(包括可信的内核扩展模块)与载人模块在权能上相互隔离，虽然它们处在同一进程空间中，但载人模块只能修改自己定义的数据为达到这样的目的，有两个方面的前期工作首先，我们对Linux源码进行了分析，认

14、为Linux中内核与载人模块虽然同属于一个进程空间，但它们之间很少直接修改对方的数据，而主要以读取对方的可导出数据为主，这一点为我们的隔离方案提供了可能其次，我们在前期工作中设计并实现了一种轻型的内核完整性监控方案HybridHP。11。，其利用硬件虚拟化机制，以完全内嵌的模块化方式在被监控系统中运行并提供监控服务，无需借助管理域以及虚拟机管理器的支持，为此被监控系统的性能损失控制在很小的范围，这一点为我们的隔离方案提供了“监控机制”的保证KCapISO借助HybridHP的监控机制，使用页目录地址寄存器CR3来标示系统的执行主体，实现对内核和载人模块权能隔离。区别于其他的注重内核接口保护的驱

15、动隔离方案，KCapISO以对象模型为基础，认为对象才是OS内核的核心，而包括内核本身、载人模块等在内的执行主体，其实质都是围绕内核对象进行操作在现代0S中，页表权限是对象权能的最直接体现，KCapISO通过页表标识执行主体，并且进行权限控制，从而达到权能隔离的目的本文第2节介绍系统监控和隔离方面的相关工作，并和我们的工作进行比较；第3节描述KCapIsO的具体设计方案；第4节阐述KCapISO的关键技术万方数据554 计 算 机 学 报和实现；第5节阐述我们对KCapISO的实验和性能分析；第6节对本文进行总结，并对我们未来的工作进行展望2 相关工作Garfinkel等人23提出利用虚拟机监

16、控器来实现一个受保护的系统完整性监视器，包括基于不变量的内核保护其实现的Livewire系统能够校验内核的代码区，通过不同层次的系统检索，查找能检测到的特定类型数据攻击，并校验静态函数指针表，如系统调用表KCapISO基于的监控框架HybridHP同样利用虚拟化技术来实现，但是HybridHP并不是构建在现成的虚拟机之中，避免了由于对虚拟机的攻击而导致的对监控器的破坏Seshadri等人33利用硬件虚拟化技术实现了一个轻量级的监控器Secvisor，用于保证OS代码的完整性Secvisor保证只有用户允许的代码才能在内核中执行，确保未经授权的内核代码不会被执行。SecVisor没用采用成熟的虚

17、拟机监控器，目的是减少开销和简化验证但因为需要在被监控系统和监控器之间进行频繁地页表转换，性能影响较大NICKLE监控系统43采用内存映射的技术，使得只有经过认证的执行代码才能被复制到影子内存中，同时也只有影子内存中的代码才可以执行但是对载人模块的认证是困难的，认证策略过分严格会影响系统的可用性，而策略过分松散又可能无法检测出恶意的代码另一方面，内存映射需要在虚拟机中执行，并且需要能够捕获和模拟执行所有的指令，这不仅限制了硬件和虚拟机的范围，也增加了执行开销Sharif等人53在被监控OS中构建了一个监控器SIM，以便于取得被监控系统的语义这和HybridHP的思想类似，不过SIM与被监控系统

18、的隔离保护仍需要另一个虚拟机管理器的支持，而HybridHP的自我保护不依赖于其他任何安全机制为了监控载人模块对内核API的调用，Srivastava等人明利用虚拟化技术设计了Gateway系统Gateway实现了一个不可绕过的监控接口，通过该接口对不可信的载人模块的运行空间进行隔离同时，为了克服隔离所带来的性能损失，Gateway还引入了内核代码和驱动代码的动态重写，使得监控性能损失控制在10以内HUKO7 3是一个基于Xen实现的内核完整性监控方案在HUKO监控框架中，载入模块能够稳定地提供原有的功能，但是其行为将受到强制性访问控制的约束，因此，对系统整体性能的影响较大Xiang等人8提出

19、的监控框架ComMon从网络、进程和文件等3个方面对系统进行实时透明的监控通过对系统调用的监控，ComMon可以检测系统中隐藏的进程，并捕获进程对文件的操作ComMon框架中加入了对网络入侵的检测，可以保护系统的网络安全0siris9是一种针对恶意软件进行分析的系统Osiris通过对应用程序编程接口(API)的监控技术来分析系统的行为测试结果表明0siris取得了良好的监控效果vDetect。r103是一款针对OS隐藏对象进行关联检测的系统与ComMon类似，vDetector对网络、进程和文件等隐藏文件通过0S的不同视图之间的差异性进行检测，同时通过对这些隐藏对象之问的关联进行分析来检测对系

20、统的攻击行为Castro等人u2提出的软件故障隔离方法BGI，采用字节细粒度内存保护机制(ByteGranularityIs01ation)来有效地将内核扩展模块隔离在独立的保护域中BGI能够确保内核对象的类型安全性，可以检测保护域中的普通错误类型，并用于驱动测试中以寻找驱动漏洞Mao等人1朝提出的1。XFI系统对内核和内核模块进行隔离，提出了API完整性(API integrity)和模型主体(module principals)的概念通过编译器插件，LXFI根据程序员声明的API完整性条件和模型主体来构造代码，对模块的权限进行管理，以阻止特权提升(privilege escalation)

21、的威胁和攻击本文提出的KCapISO区别于上述的监控和隔离方案，以对象模型为基础，借助HybridHP，使用页目录地址寄存器CR3来标示系统的执行主体，实现对内核和载入模块权能隔离，使得载人模块只能修改自己定义的数据3 KCapISO的设计31 KCapISo的目标我们首先描述内核完整性的威胁模型一般而万方数据3期 钱振江等：KCapISO：一种基于HybridHP的宏内核操作系统载入模块权能隔离方案 555言，内核受到攻击的场景包括：(1)攻击者获得了超级用户ROOt权限，然后将恶意程序加载进OS内核空间；(2)攻击者利用已有的系统漏洞加载Rootkit14之类的恶意软件；(3)粗心的用户加

22、载了未经认证的包含恶意代码的载人模块等我们将OS内核中的执行主体分成两大类：(1)OS内核自身以及可信的内核扩展模块；(2)不可信的载人模块所有的Rootkit和未经验证的驱动程序都属于第2类KCapISO通过强制性访问控制达到以下两个完整性目标：(1)内核代码与数据和完全相关数据的完整性所有内核代码与数据，以及安全相关数据都不允许被上述第2类执行主体通过直接的内存操作或者直接内存访问(Direct Memory Access，DMA)操作修改；(2)体系相关寄存器的完整性体系相关寄存器包括段寄存器、控制寄存器、以及部分标志寄存器，它们共同标志了OS内核的运行状态，它们不允许被上述第2类执行主

23、体修改KCapISO的目标是通过隔离和监控技术来实现对OS内核的权能隔离，但却不会带来大的性能损失为此，需要实现以下3个具体目标：(1)能够实现内核和载人模块权能隔离，这是我们工作的初衷；(2)内核和载入模块权能的隔离与监控并不会给被监控系统带来大的性能损失；(3)易于移植，不需要过多地修改OS内核本身32 KCapISo的框架KCapISo提供了一个保护0S内核免受不可信的载人模块破坏的安全环境在KCapISo中，我们将需要保护的内核对象称为安全相关客体，这些对象包括内核代码和内核关键数据组成的集合为了说明KCapISO的思想和实现，我们首先明确以下几个概念：(1)对象模型KCapISO以对

24、象模型为基础，认为对象才是OS内核的核心，而包括内核本身、载入模块等在内的执行主体，其实质都是围绕内核对象进行操作已有的很多基于驱动隔离的研究工作陋10J23都把保护0S内核代码和接口放在首要的位置我们认为，代码和接口不是保护内核完整性的关键，因为内核的代码或者接口功能是可以在不可信的载入模块中重现的，所以即使对oS内核的代码和接口保护地再好，也只能说明破坏内核完整性的难度增加了为此，我们的工作将重点放在对内核关键数据对象的保护上；(2)内核主体在KCapISo框架中，我们把oS内核本身和载入模块标识为不同的内核执行主体；(3)权能在KCapISO框架中，权能是指对于各种不同对象的访问权限，具

25、体表现为对应于不同的页表项的属性在KCapISO的监控框架中，我们需要解决的关键问题是：主体标示的方法和监控的性能下面对这两个问题进行阐述为了标识执行主体，KCapIS0首先把系统状态分成3类：用户态(User Mode)、核心态(KernelMode)以及载人模块运行状态(Thirdparty ServiceMode)用户态是指用户程序的运行状态；核心态是内核的运行状态，包括安全认证过的内核扩展模块的运行；载入模块运行状态是指未经过安全认证的服务模块和驱动程序等的运行状态需要说明的是，我们划分状态的依据并不是侧重于代码或者数据，而是注重权能，即当前运行主体所拥有的权限这些状态之间的转换过程包

26、括：(1)用户程序在运行过程中因为中断或者异常以及系统调用等原因，导致系统由用户态进入核心态，由内核进行处理；(2)内核从中断或者异常以及系统调用的处理过程中返回，导致系统由内核态进入用户态；(3)内核调用载入模块，或者载人模块抢占内核的运行时间，导致系统由内核态进入载人模块运行状态；(4)载人模块运行完成，或者内核抢占载入模块的运行时间，导致系统由载人模块运行状态进人内核态系统状态转化关系如图1所示图1 KCapISO框架中系统状态转化图为了实现对内核关键数据对象的保护，最简单的做法是干预对这些对象的每一次操作，这一方法的问题在于系统整体性能的损失非常大，即使被监万方数据计 算 机 学 报控

27、的对象不多，相应的监控开销也是非常巨大的，因为很多的内核关键数据对象本身会被内核频繁地访问，比如Linux内核中的进程控制块对象地跟一sr“，一方面，恶意程序为了实现隐藏进程的目的，需要修改纽鞭一sfr“c链，但另一方面，纽讯一sr“cf也是调度程序需要经常修改的数据对象如果简单的干预对fn豫一sr“c的每一次访问，那么由于OS和监控器之间频繁的上下文切换而带来的性能开销将会是非常巨大的为此，KCapISO通过对载人模块设置不同的页表来达到标示主体和保证监控性能的目的一方面是为了标志主体，对于特定内核关键数据对象的访问，我们很难在底层进行判断是由载人模块发起的，还是由内核自己发起的；另一方面是

28、性能方面的考虑，对相同的内核关键数据对象，由于内核和载人模块具有不同的访问权限，如果使用相同的页表，那么我们必须按照最低权限进行页表的配置，导致的结果是监控器需要干预对该对象的每一次访问，不管是内核还是载人模块的访问，这导致的结果就是监控性能的极大下降通过对载人模块设置不同的页表，我们在其各自的页表中设置对内核关键数据对象的访问权限来起到标示主体的作用，同时在对内核关键数据对象的访问的监控过程中，可以很好地避免频繁地干预，提高系统的整体性能KCapISO的隔离结构如图2所示图2 KCapISo隔离结构图页表的设置如图3所示，载入模块的页表中用户数据页和载入模块数据页属性设置为可读可写，用户代码

29、页、内核数据页和载入模块代码页属性设置为只读，内核代码页属性设置为不映射；内核的页表中用户代码页、用户数据页和内核数据页属性设置为可读可写，内核代码页和载人模块数据页属性设置为只读，载人模块代码页属性设置为不映射图3页表配置为此，载人模块直接修改内核的数据时，由于内核的数据页对载入模块而言是只读的，因此会产生页保护错误，系统陷入HybridHP监控器中，HybridHP根据预定策略进行处理，处理结束后系统从HybridHP监控器返回当载入模块直接调用、跳转到内核的代码页时，由于内核代码页在当前载入模块的页表中未映射，所以会触发缺页异常，系统陷入HybridHP监控器中，HybridHP通过转换

30、页目录地址寄存器CR3为其切换页表，在通过监控检查后，HybridHP为载入万方数据3期 钱振江等：KCapIS0：种基于HybridHP的宏内核操作系统载人模块权能隔离方案 557模块调用内核的接口程序由于内核允许读取载入模块的数据，因此，无需将参数拷贝到内核中同样，函数的返回与函数调用类似，也需通过HybridHP转换页表但是载入模块内的函数调用不经过HybridHP上述过程保证了载人模块无法以任何方式直接调用或跳转到内核中执行，都需经过HybridHP的检查另外，内核态与用户态之间的转换不需要切换CR3，因为系统调用的人口和返回处理的代码在内核中，所以在内核态与用户态的切换前后都一定使用

31、的是内核页表，所以无需切换，这样很好地避免频繁地切换页表，提高系统的整体性能4 KCapISO的关键技术和实现41地址空间内存隔离在宏内核系统如Linux中，载人模块在运行过程中，与内核处于同一地址空间，可以看到彼此的全部内存视图KCapIS0的驱动隔离包括两方面的概念：线性地址空问内存隔离和物理地址空间内存隔离，其具体表现为载人模块有专属的页表，并且来自载人模块的内存访问等操作不能破坏内核所在的物理内存为了实现地址空间内存的隔离，需要解决的问题是如何在不过多修改Linux系统内核的情况下，实现内存视图的隔离为此，在系统初始化阶段，为处在虚拟内存3GiB(4GiB一1)的内核空间生成载入模块用

32、页表和内核用页表，两份页表中线性地址到物理地址的映射相同，此时载入模块用页表和内核用页表均为空页表通过配置HybridHP监控器中的虚拟化控制结构VMCS，使得HybridHP监控陷入指令CPUID的执行当加载载入模块时，通过在载入模块初始化系统调用的头部加入陷入指令CPUm，使得在执行模块初始化之前，系统陷入HybridHP中HybridHP根据当前载入模块的标示(i九打一mo矗“如)取得载入模块代码的首地址、载入模块代码的长度、载入模块数据的首地址、载入模块数据的长度，并取得内核代码的首地址和长度、内核数据的首地址和长度，计算出载人模块和内核所在的内存页，从而根据图3对载入模块用页表和内核

33、用页表进行页属性的设置设置完成后，系统从HybridHP返回同样，当卸载载入模块时，恢复相应的页表设置当OS创建新进程时，为进程创建两份页表，其中o(3GiB1)的用户空间的页表相同，而3GiB(4GiB一1)内核空间的页表则分别复制上述设置好的载人模块用页表和内核用页表，如图4所示图4进程页表初始化和同步42内核栈的隔离设计为了隔离内核和载人模块的代码、数据和堆栈，除代码、静态数据使用独立的页外，还需为每一个进程临时分配载人模块的内核栈在KcapISO框架中，每一个进程占用1个4KB大小的页来作为载入模块的内核栈为了管理这些页，在内核中增加一个万方数据S58 计 算 机 学 报管理链表，链表

34、节点包括载人模块内核栈的页首地址、栈顶、栈中保存的返回值地址和栈中位置等信息，并根据进程号索引该临时栈的链表节点43 动态申请的数据空间保护一个程序的资源除了静态的代码、数据、堆栈、页表等，还包括动态申请的数据空间，如何对这些数据空间进行隔离保护也是KCapISO需要考虑的问题通过配置HybridHP中的虚拟化控制结构VMCS，使得HybridHP监控动态内存空间分配(kmalloc、vmalloc等)函数的调用，并且编写和设置单独的动态内存空间申请函数(cmalloc)，当载入模块调用动态内存空间分配函数申请动态内存时，系统陷人HybridHP中，HybridHP调用cmalloccmall

35、oc函数的执行流程是向内核申请一个整页，并在此后再次收到载人模块的请求时，直接在该页中分配空间，直到不够分配为止，再重新向内核请求整页的空间每当分配到一个新页，则根据图3所示的页表策略设置载人模块用页表和内核用页表的页属性，与动态内存对应的载人模块用页表中载入模块数据页属性设置为可读可写，与动态内存对应的内核用页表中载人模块数据页属性设置为只读完成动态内存的分配之后，系统从HybridHP返回44 基于HybridHP的页表切换设计KCapIS0的页表切换是指内核页表和载人模块页表之间的切换。通过配置HybridHP中的虚拟化控制结构VMCS，使得HybridHP监控缺页异常当载人模块直接调用

36、、跳转到内核的代码页时，按照图3的页表设置情况，由于内核代码页在当前载人模块用页表中未映射，所以会触发缺页异常，系统陷人HybridHP中，HybridHP通过转换CR3为其切换页表，从载人模块用页表切换到内核用页表在通过HybridHP检查后，HybridHP取得引起陷入监控器的跳转地址，检查跳转地址的合法性；保存当前的栈顶指针寄存器ESP，切换ESP到内核的栈中，将载人模块的内核栈中之前压人的输人参数压人到内核的栈中，恢复当前的ESP；修改HybridHP中的虚拟化控制结构VMCS，将其中的指令寄存器EIP指向目标跳转地址，ESP指向内核的栈的栈顶然后HybridHP为载入模块调用内核的接

37、口程序，系统从HybridHP返回，内核的接口程序继续执行通过配置HybridHP中的虚拟化控制结构VMcs，使得HybridHP监控内核的接口程序的返回动作当内核的接口程序执行完成并返回时，系统再次陷入HybridHP中，HybridHP通过转换CR3，从内核用页表切换到载入模块用页表，HybrmHP取得引起陷入监控器的跳转地址，检查跳转地址的合法性；保存当前的栈顶指针寄存器ESP，切换ESP到载人模块的内核栈中，弹出载入模块的内核栈中压人的输人参数，恢复当前的ESP；修改HybridHP中的虚拟化控制结构VMCS，将其中的指令寄存器EIP指向目标返回地址，ESP指向载人模块的内核栈的栈顶，

38、然后系统从HybridHP返回到载人模块通过配置HybridHP中的虚拟化控制结构VMCS，使得HybridHP监控页保护错误当载入模块直接修改内核的数据页时，按照图3的页表设置情况，由于内核的数据页对载人模块而言是只读的，则会触发页保护错误，系统陷入HybridHP中，HybridHP根据预定策略进行处理，处理结束后系统从HybridHP返回45混合页的处理内存管理是以页为单位，而OS内核管理则是以对象为单位，这带来的问题是具有不同权限的内核对象可能处于相同的页表中对混合页的处理所带来的监控性能损失是肯定的在传统的虚拟化监控方案中，混合页是影响监控性能的一个重要方面在KCapISO方案中，为

39、内核和载人模块配置不同的页表，在核心态下，系统处于可信任状态，无须受控，因此混合页的问题不再存在在载入模块运行状态下，混合页的问题依然存在，这是难以避免的总的来说，由于地址空间内存的隔离以及HybridHP的内嵌方式，我们可以很大程度地降低这种开销5实验与性能分析KCapISO方案对内核和载人模块的权能隔离以及监控性能是实验的重点我们的测试平台是HP Pavilion 500一171cn台式电脑，i74770处理器，8 GB DDR3内存测试的软件环境为Ubuntu 1404LTS x86 32bit系统，3144版本Ltnux内核51监控效果分析为了说明KCapIS0方案的有效性，我们使用如

40、表1所示的rootkit进行测试我们对表1中的rootkit进行了修改，使其能在测试系统上运行这些攻击代表了公认系统漏洞数据库(NVD)典型的 National VuJnerab“ity Databasehttp：nvdnistgoV万方数据3期 钱振江等：KCapIS0：一种基于HybridHP的宏内核操作系统载入模块权能隔离方案 559内核攻击方式，都是通过类似载入模块的形式被加载到内核空间，从而修改系统核心数据来破坏内核的运行表l 内核rtkit攻击类型rootkit名称 加载方式 附注adore042 第3方模块方式加载 纂嫠潞can一协ble替换adors o56第s方模块方式加载篥

41、瓣释翟釜薪文件all删kit 第3方模块方式加载 篓襄黼call一协b1 e替换enyelkm 第3方模块方式加载 毓。竺0”dler伪造sys_kdb V2 第3方模块方式由载 篥襄黼cau一协b1 e替换kis o9 第3方模块方式加载 篥襄黼ca“一乜b1 e替换knark243 第3方模块方式由口载 篥嫠黼call一妇b1 e替换linSpyv2beta2第3方模块方式由载 篥囊黼call一协b1 e替换maxt y01 第3方模块方式加载 篥鏊漪call一协ble替换modhide 第3方模块方式力载 纂篓黼call一协b1 e替换mood_nt 23 驱动方式加载 篥篓黼“一tab

42、l e替换override 第3方模块方式由载 篥襄黼call一协b1 e替换蛳asma90ria第3方模块方式力载 譬码段和哑SYscTLphide 第3方模块方式加载 篥襄黼call一协b1“替换rial 第3方模块方式由载 篥襄黼call一妇b1 e替换rkitl。1 第3方模块方式加载 篥甏黼call一协b1“替换tastist 第s方模块方式加载嚣菩曩墨钵写荨；：!j；器罾shtroj2 第3方模块方式加载 篥篓潞cau一姐b1 e替换SucKIT 13b 驱动方式加载 修改系统调用代码SucKIT2 prev驱动方式加载 修改系统调用代码Superkit 驱动方式加载 修改系统调用

43、代码synapSyso4 第3方模块方式力载 纂襄黼call一协ble替换THc Backdoor第3方模块方式加载 篥襄黼call一tabl e替换实验结果表明，KCapIS0方案通过对载入模块设置不同的页表，并借助HybridHP的监控机制，将内核与载人模块在权能上相互隔离，虽然它们处在同一进程空间中，但载人模块只能修改自己定义的数据，无法破坏内核的运行状态，为此能有效地监控和阻止表1所示的rootkit攻击52系统性能分析为了分析KCapIS0方案对系统整体性能的影响，我们使用常用程序(解压文件和编译)以及基准测试程序UnixBench来进行测试我们采取与传统的基于XEN的和SIM方案的

44、性能对比来说明KCapIS0的性能在对XEN和SIM方案的测试环境中，管理域Domaino以半虚拟化方式运行图5说明了被监控系统在3种监控方式下的性能对比，结果与HybridHP方案单独运行时的对比实验1妇基本相同由于HybridHP没有管理域Domaino，在这些对比实验中，作为整个监控框架的KCapISO对被监控系统的性能影响控制在很小的范围，均接近实际物理系统的性能口XEN黼糍口SIM口K匕pISO嚣=厂解H、文件 躺洋 L-nlxIh图j 被监控系统性能刈比冬I为了说明KCapISO对系统创建进程行为的性能影响，本文在上述3种监控方式下对创建进程进行单独实验表2说明了3种监控方式下监控

45、机制带来的性能影响与SIM相比，KCapISo的时间增长比率为1076，在创建进程的过程中，KCapIS0为进程创建和复制两份页表所耗费的时间占了一定的比例为此，我们可以认为KCapIS0对被监控系统的性能影响控制在很小的范围表2创建进程操作的性能对比本文对KCapISO方案中系统运行模式切换的时间进行了测试在KCapIS0方案中，我们通过修改内核，在系统运行模式切换的响应和处理过程中以获取系统时间的方式来计算模式切换的时间在上述裸机环境下，一次模式切换耗时约1“s在KCapIS0方案中，除了系统运行模式的切换外，还有切换CR3所引起的TLB(Translation LookasideBuff

46、er)表刷新通过测算，每次切换最多需要15扯s但是，对于进程管理等大部分系统调用无需载人模块的参与，并且内核正常情况下不会修改保护数 U11ixBench http：w、n|n tu丘orgpubbenchmarksSystemuIlixbench万方数据560 计 算 机 学 报据，如不修改页表等，为此系统性能几乎与不安装KCapISO时的相差无几同时，我们对KCapISO方案中页表切换所带来的性能损失进行了测试，如表3所示从表3的测试结果来看，在实际的系统运行过程中，即使频繁地进行页表切换，KeapISO对被监控系统的性能影响控制在很小的范围所以本文认为，通过隔离载人模块，同时对内核采用较

47、宽松的策略，能够使系统在其性能下降较小的情况下实现对载入模块的权能隔离表3 KcaplSo方案中页表切换对系统性能的影响套篡磐差氅挚芒譬紊缝 监控策略视，fat文件系戮臻辫撕。藿瓣熏条件下，执行文件操作的 260 竺茗=，：Z雾篇，S关系萼望思，如萎嚣0打te、 篙晶”“7read和close等操作 ”套篓接差嬖磬墨篓紊瑟曩 监控策略视。fat文件系蓥墨当鐾鬈黑!墓蓥蓥塑霎。 荔蓑买另票哥岩i献：盖篡乏，彗砭竺竺笆望系 吼铊 菱藿鹜书7主支荐雹蕊苗统挈璺，如翟嚣翟te、 需扩磊。4“1“”7read和close等操作 ”同时，在不考虑为载入模块所申请的临时内核栈的情况下，KCapISO仅使用1

48、6个内存页作为监控器内存使用，对系统执行的影响控制在很小的范围。6 结 论本文提出一种宏内核架构下的载入模块权能隔离方案KCapISO，将内核与载人模块在权能上相互隔离，虽然它们处在同一进程空间中，但载入模块只能修改自己定义的数据，并且载入模块无法以任何方式直接调用或跳转到内核中执行，都需经过KCapISO的监控和检查KCapIsO借助HybridHP的监控机制，使用页目录地址寄存器CR3来标示系统的执行主体，进行权限控制，从而达到权能隔离的目的KCapISO的实现还处于原型阶段，对于多核的支持以及对slab算法分配的小数据结构所占用的内存页实现动态、高效的语义分析将是下一步的主要工作值得一提的是，在多核环境中，由于内核和系统模块可以分布在多个物理核上，甚至内核本身可以有多个镜像同时分布在多个物理核上，多个核之间以及与系统模块之间对页表等数据的访问存在竞争和同步的问题，如何保证KCapISo方案在多核环境中监控能力的不可绕过性以及页表的多份拷贝等是需要重点解决的问题致谢本文作者感谢所有本文的匿名审稿者，感谢你们对本文提出宝贵的意见!参考文献1 Liedtke J0n扯kernel constru