04-网络空间安全学院-蒋鹏.pdf

1、安全低开销的国产系统审计框架安全低开销的国产系统审计框架汇报人：蒋鹏汇报人：蒋鹏School Of Cyber Science and EngineeringPage 2 东南大学网络空间安全学院副研究员，网络安全系党支部书记 2024年博士毕业于北京大学计算机学院软工所操作系统实验室 研究方向为操作系统安全，包括：内核架构 支持新一代泛在计算模式的操作系统 系统审计 软硬协同的系统审计框架优化 APT攻击检测 系统日志与网络日志的高效协同分析个人简介Page 3美国2021年发布的一项行政命令已经要求所有联邦机器都必须进行系统审计研究背景 系统审计（System Auditing）：收集关于

2、系统资源使用数据的过程 系统审计提供了一种记录和分析各种系统事件的机制进程创建、敏感文件访问、未知IP的网络连接、权限提升等 系统审计日志：记录了产生的系统事件，具有丰富的应用价值 可以用于安全调查和补救任务，包括：定期检查主机的健康状况、实时检测各种网络攻击、以及在系统遭到入侵后进行深度分析以找出入侵根源等研究背景Page 4 系统审计框架 主流操作系统都支持系统审计，提供专门的系统审计框架，用于采集审计日志，如 Linux 审计系统(Linux Auditd)和 Windows 事件跟踪（ETW）系统审计框架涉及内核和用户空间的交互 内核空间的日志生成器对内核函数插桩，获取事件基本信息，并

3、存到日志缓冲区 用户空间的日志收集器 执行对缓冲区事件的获取、日志格式化以及存储等操作图：一个典型的 Linux 操作系统下的系统审计框架wgetsyscall(write)审计日志：t1:wget write 1.txt研究背景Page 5研究问题：安全性与高开销之间的矛盾系统日志本身存在被攻击的风险，需要添加昂贵的安全保护Flood Attack：攻击者可以快速生成大量无效日志，占满日志缓冲区，造成后续日志丢失Race Condition Attack：攻击者可能会通过权限提升，插入内核模块，从而篡改内核缓冲区中的日志（缓存时间大于5ms），删除与上述攻击步骤有关的数据Flood Atta

4、ck大量系统资源日志缓冲区Race Condition Attack同步锁，加密Page 6NODROP：软件优化的系统审计框架“Auditing Frameworks Need Resource Isolation:A Systematic Study on the Super Producer Threat to System Auditing and Its Mitigation”Peng Jiang,Ruizhe Huang,Ding Li*,Yao Guo,Xiangqun Chen,Jianhai Luan,Yuxin Ren and Xinwei Hu(Usenix Securi

5、ty 23)借助系统审计框架的DoS攻击：如果不对采集器的资源进行限制，攻击者可以通过产生大量系统日志（超级生产者），使得采集器挤占系统内正常应用的资源，严重时导致系统崩溃问题根源：现有方法采用一种集中式处理架构，破坏了操作系统中的进程间数据隔离集中式处理Page 7解决思路：为审计日志提供进程级隔离挑战：如何高效地实现隔离？方法：将现有集中式的架构，转变为分布式的架构复用操作系统自身的进程间隔离机制在每个进程自己的地址空间内提供审计日志的处理逻辑数据0丢失，性能低损耗NODROP：软件优化的系统审计框架Page 8NODROP的设计 基于线程切片的高效隔离：将日志处理逻辑（消费者）注入到当前

6、正在运行线程（宿主线程）的内存中 在特定的时机upcall到消费者的入口点，开始对线程专用缓冲区中的日志进行处理 多重内存保护：通过地址随机化和内存保护秘钥（MPK）使得宿主线程以及处于同一个进程地址空间下的其他线程无法影响和攻击内存中的消费者Page 9NODROP运行工作流程S1:内核获取系统调用()并执行().系统调用日志被记录到当前进程的缓冲区中().S2:缓冲区日志停留时间超过5ms时:返回当前线程().缓冲区满或线程退出时:跳转到日志处理逻辑处理（Consumer）().S3:日志处理逻辑被动态插入到每个运行中的线程中().S4:日志处理逻辑处理系统日志（).S5:控制权返回到当前