基于Linux的沙箱关键技术研究

发布时间：2019-11-27 05:34

【摘要】：随着计算机网络的发展,恶意程序和病毒的数量不断攀升,当恶意程序穿透防火墙到达主机后,恶意程序会对用户主机的资源造成破坏。传统的防火墙和入侵检测技术在恶意程序到达主机之后已无法保护主机的安全,而沙箱技术可以为恶意程序提供一个封闭的运行环境,恶意程序的所有操作都在沙箱中执行,恶意操作不会涉及到真实的主机系统,而只是在沙箱系统中虚拟执行。沙箱系统主要通过使用规则对恶意程序的行为进行限制和使用文件保护机制两种技术保护系统安全。传统的沙箱系统使用的规则存储技术主要是单链表和规则树机制,单链表实现简单,但是规则的匹配效率较低,不适合大型系统;规则树匹配速度较高,但是内存占用很大。本论文在规则树的基础上提出了一种高性能的规则存储模型,首先对规则特征进行优化,尽量减少规则特征的数量;其次对规则特征在规则树中所处的层次进行了深入研究,正确对特征进行分层处理;最后对规则的路径使用压缩和哈希表的方式进行存储,提出了一种压缩方案算法;最后基于以上提出的方案建立了一种高性能的规则存储模型。通过实验证实本论文的规则存储模型和原始的规则树匹配时间大致相同,但是内存占用是原始规则的1/9,从而大大提高了沙箱系统的工作性能。传统的沙箱系统使用文件拷贝副本机制保护沙箱外的文件,当恶意程序对系统文件进行操作时,沙箱系统将会对文件进行一次拷贝,之后恶意程序的操作重定向到副本文件中,这种技术使得沙箱系统的工作效率较低,本论文提出了一种分页式文件保护技术,主要对文件进行虚拟分页,当恶意程序对文件进行操作时,将文件操作定位到虚拟的页中,将涉及到的页进行虚拟映射,程序对文件的操作将在虚拟页中执行,并没有操作真实的文件,从而保护了沙箱外的文件,且分页式文件保护模型具有较高的工作效率。本论文最后在基于以上两种技术的基础上开发了一款简单的Linux沙箱系统,本论文的沙箱技术不仅在传统的PC平台上具有良好的应用场景,并随着移动互联网的发展,在移动平台上将会有更好的发展前景。
【图文】：

系统结构图,数据收集器,沙箱,系统结构图

的保护是本课题研究的另一个重点问题。逡逑２．２．２沙箱的体系结构逡逑如图２．１所示为沙箱的系统结构图，沙箱系统主要由数据收集器、检测器和反馈系逡逑统三部分组成。数据收集器主要收集应用程序运行过程中的原始数据，之后将收集到的逡逑原始数据交给检测器进行处理；检测器收到原始数据后进行去冗余、查询规则集等处理逡逑操作，检测器将检测的结果交由反馈系统；反馈系统在收到检测器的决议信息后，根据逡逑决议信息进行处理操作，将结果反馈给数据收集器。逡逑数据收集器ｋ逡逑馈逡逑原逦＇逡逑￡逦＞反馈系统逡逑据逦逦逡逑检测器邋’逡逑图２．１沙箱系统结构图逡逑１、数据收集器逡逑数据收集器主要在应用程序运行的过程中收集应用程序的原始数据信息，主要收集逡逑应用程序执行行为的特征信息，，常用的数据收集的信息分为用户态收集器和内核态收集逡逑器两部分，用户态收集器主要收集函数执行的ＡＰＩ接口信息，内核态收集器主要收集应逡逑用程序执行过程中的系统调用，还可以收集应用程序的名称、应用程序所属用户信息、逡逑应用程序当前占用的内存大小信息、应用程

系统结构图,系统调用,函数,数据收集器

的保护是本课题研究的另一个重点问题。逡逑２．２．２沙箱的体系结构逡逑如图２．１所示为沙箱的系统结构图，沙箱系统主要由数据收集器、检测器和反馈系逡逑统三部分组成。数据收集器主要收集应用程序运行过程中的原始数据，之后将收集到的逡逑原始数据交给检测器进行处理；检测器收到原始数据后进行去冗余、查询规则集等处理逡逑操作，检测器将检测的结果交由反馈系统；反馈系统在收到检测器的决议信息后，根据逡逑决议信息进行处理操作，将结果反馈给数据收集器。逡逑数据收集器ｋ逡逑馈逡逑原逦＇逡逑￡逦＞反馈系统逡逑据逦逦逡逑检测器邋’逡逑图２．１沙箱系统结构图逡逑１、数据收集器逡逑数据收集器主要在应用程序运行的过程中收集应用程序的原始数据信息，主要收集逡逑应用程序执行行为的特征信息，常用的数据收集的信息分为用户态收集器和内核态收集逡逑器两部分，用户态收集器主要收集函数执行的ＡＰＩ接口信息，内核态收集器主要收集应逡逑用程序执行过程中的系统调用，还可以收集应用程序的名称、应用程序所属用户信息、逡逑应用程序当前占用的内存大小信息、应用程
【学位授予单位】：哈尔滨工程大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08;TP316.81

【参考文献】