你之所以生活在光明之中,是因为有人阻挡了黑暗

内容来源:2017年10月21日,腾讯操作系统和底层虚拟化平台研发工作负责人杨亚军在“2017 中国Linux内核开发者大会”进行《一种新的操作系统入侵检测框架》演讲分享。IT 大咖说作为独家视频合作方,经主办方和讲者审阅授权发布。

阅读字数:1699 | 6分钟阅读

摘要

当前网络已经深入我们工作和生活的方方面面,随之而来的是安全防护形势不容乐观。据我们公司内部做安全的同学统计,目前国内黑客的数量就超过了10万,每年的攻击次数超过10亿次。

面对这样的形式,我们在网络攻防、入侵检测和漏洞检测与防护方面做了很多工作。其中入侵检测在及时发现入侵并及时处理方面具有很重要的意义。

入侵检测面临挑战

入侵检测主要分为海量数据的实时获取和实时分析两方面。

海量数据的实时获取主要的思路是通过在操作系统上放一个安全agent,频繁地进行扫描以获取进程执行信息或者是网络连接信息。但这种思路会面临几个问题。

第一个是存在死角。因为考虑到性能开销和对业务性能的影响,所以不可能一直扫描,还是存在间断。有一些执行时间比较短的进程或网络连接的信息扫描不到。这就存在监控死角留下安全隐患。

第二个问题是性能开销。现在的安全agent在扫描的时候还是会对一些业务造成影响,有时就会收到业务的投诉。只能把投诉的业务加入白名单,以后就不扫描这个业务了。但这样是存在安全隐患的。

第三个问题是如何适应越来越复杂的业务环境。最早的时候,所有业务都是位于物理机上,后来云计算兴起,引入了服务器虚拟化。每一个虚拟机上放一个agent。近几年虚拟化大火,docker在我们公司内部平台用得比较多,它的使用模式是比较复杂的。有些docker子集是有独立IP的,有些则没有。容器虚拟化可能是一个轻量级的虚拟化,一台物理机上有可能运行非常多的docker子集。每个docker子集里放一个安全agent,这些安全agent都在进行扫描,性能开销是非常大的。

当前入侵检测的海量实时获取面临的这些问题,我们的解决思路是从操作系统层面建立一个入侵监控信息获取框架。

新的入侵检测框架

基本思路很简单,从操作系统层面的入侵信息获取支持和相关信息,然后把这些信息传送给安全那边的数据模块。

它的子进程的好处首先是全面无死角,其次是得到了操作系统层面的支持,业务环境适应性好。

面临挑战有性能开销和海量现网业务的支持。对于现网业务来说,部分开放内核模块支持,部分不开放内核模块支持。

技术路线

技术路线分为两条,一条是内核热补丁,针对有内核模块支持系统。另一条是C库劫持和进程热补丁,针对无内核模块支持系统。

技术路线一:内核&内核热补丁(1)

整体架构

技术路线一:内核&内核热补丁(2)

考虑到内核热补丁这块,ftrace的好处在于它可以动态地在指定函数上添加需要的钩子函数。但是对我们来说,ftrace仅仅是在工作开头能添加钩子函数,对我们来说是不够的。

Kpatch是基于ftrace的框架来实现的。每做一次新旧函数的替换都会执行到ftrace一系列的框架代码,包含了几百条指令。对于一些调用非常频繁的场景下,性能开销是非常高的。

我们自己写了tpatch内核热补丁的框架,它相对于Kpatch来说更加简化。

技术路线一:内核&内核热补丁(3)

通过以上方法我们解决了数据获取的问题,之后要把数据传送给数据分析模块。直接的思路就是开辟一片数据缓冲区,读者和写者通过数据缓冲区进行数据的传送。

这里面临的问题是缓冲区不能加锁,一旦加锁,性能开销就非常大。在五个性能并行,对一个个缓冲区进行操作的情况下,因为锁竞争导致的CPU性能开销就在百分之十以上。这个开销太大业务不能忍受,所以数据的缓冲区必须是无锁的。

这个缓冲区可能的锁竞争主要来源于三个方面,第一是写者方面的竞争,第二读者之间的竞争,第三是写者与读者之间的竞争。我们用一个缓冲区只面向一个读者就可以解决读者间的竞争问题。写者的竞争在内核里面用per-cpu的数据结构以解决这个问题。读者与写者间的竞争可以利用一个经典的数据结构ringbuffer来消除。

技术路线一:内核&内核热补丁(4)

热补丁性能优化

技术路线一:内核&内核热补丁(5)

在性能开销方面的优化,引用计数优化,开销降低3%。代码优化,开销降低了2%。

技术路线二:C库劫持&进程热补丁(1)

C库劫持

技术路线二:C库劫持&进程热补丁(2)

进程热补丁

操作系统安全增强未来展望

身份认证:内核签名、模块签名和进程签名。

访问控制:取消root的完全权限,权限细分,关键数据访问受限。

密钥管理:密钥分发和管理框架与操作系统紧密结合,密钥由内核管理并据此进行相关认证,应用层接触不到私钥。

今天的分享就到这里,谢谢大家!

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180223A15O7100?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券