你之所以生活在光明之中，是因为有人阻挡了黑暗

内容来源：2017年10月21日，腾讯操作系统和底层虚拟化平台研发工作负责人杨亚军在“2017 中国Linux内核开发者大会”进行《一种新的操作系统入侵检测框架》演讲分享。IT 大咖说作为独家视频合作方，经主办方和讲者审阅授权发布。

阅读字数：1699 | 6分钟阅读

摘要

当前网络已经深入我们工作和生活的方方面面，随之而来的是安全防护形势不容乐观。据我们公司内部做安全的同学统计，目前国内黑客的数量就超过了10万，每年的攻击次数超过10亿次。

面对这样的形式，我们在网络攻防、入侵检测和漏洞检测与防护方面做了很多工作。其中入侵检测在及时发现入侵并及时处理方面具有很重要的意义。

入侵检测面临挑战

入侵检测主要分为海量数据的实时获取和实时分析两方面。

海量数据的实时获取主要的思路是通过在操作系统上放一个安全agent，频繁地进行扫描以获取进程执行信息或者是网络连接信息。但这种思路会面临几个问题。

第一个是存在死角。因为考虑到性能开销和对业务性能的影响，所以不可能一直扫描，还是存在间断。有一些执行时间比较短的进程或网络连接的信息扫描不到。这就存在监控死角留下安全隐患。

第二个问题是性能开销。现在的安全agent在扫描的时候还是会对一些业务造成影响，有时就会收到业务的投诉。只能把投诉的业务加入白名单，以后就不扫描这个业务了。但这样是存在安全隐患的。

第三个问题是如何适应越来越复杂的业务环境。最早的时候，所有业务都是位于物理机上，后来云计算兴起，引入了服务器虚拟化。每一个虚拟机上放一个agent。近几年虚拟化大火，docker在我们公司内部平台用得比较多，它的使用模式是比较复杂的。有些docker子集是有独立IP的，有些则没有。容器虚拟化可能是一个轻量级的虚拟化，一台物理机上有可能运行非常多的docker子集。每个docker子集里放一个安全agent，这些安全agent都在进行扫描，性能开销是非常大的。

当前入侵检测的海量实时获取面临的这些问题，我们的解决思路是从操作系统层面建立一个入侵监控信息获取框架。

新的入侵检测框架

基本思路很简单，从操作系统层面的入侵信息获取支持和相关信息，然后把这些信息传送给安全那边的数据模块。

它的子进程的好处首先是全面无死角，其次是得到了操作系统层面的支持，业务环境适应性好。

面临挑战有性能开销和海量现网业务的支持。对于现网业务来说，部分开放内核模块支持，部分不开放内核模块支持。

技术路线

技术路线分为两条，一条是内核热补丁，针对有内核模块支持系统。另一条是C库劫持和进程热补丁，针对无内核模块支持系统。

技术路线一：内核&内核热补丁（1）

整体架构

技术路线一：内核&内核热补丁（2）

考虑到内核热补丁这块，ftrace的好处在于它可以动态地在指定函数上添加需要的钩子函数。但是对我们来说，ftrace仅仅是在工作开头能添加钩子函数，对我们来说是不够的。

Kpatch是基于ftrace的框架来实现的。每做一次新旧函数的替换都会执行到ftrace一系列的框架代码，包含了几百条指令。对于一些调用非常频繁的场景下，性能开销是非常高的。

我们自己写了tpatch内核热补丁的框架，它相对于Kpatch来说更加简化。

技术路线一：内核&内核热补丁（3）

通过以上方法我们解决了数据获取的问题，之后要把数据传送给数据分析模块。直接的思路就是开辟一片数据缓冲区，读者和写者通过数据缓冲区进行数据的传送。

这里面临的问题是缓冲区不能加锁，一旦加锁，性能开销就非常大。在五个性能并行，对一个个缓冲区进行操作的情况下，因为锁竞争导致的CPU性能开销就在百分之十以上。这个开销太大业务不能忍受，所以数据的缓冲区必须是无锁的。

这个缓冲区可能的锁竞争主要来源于三个方面，第一是写者方面的竞争，第二读者之间的竞争，第三是写者与读者之间的竞争。我们用一个缓冲区只面向一个读者就可以解决读者间的竞争问题。写者的竞争在内核里面用per-cpu的数据结构以解决这个问题。读者与写者间的竞争可以利用一个经典的数据结构ringbuffer来消除。

技术路线一：内核&内核热补丁（4）

热补丁性能优化

技术路线一：内核&内核热补丁（5）

在性能开销方面的优化，引用计数优化，开销降低3%。代码优化，开销降低了2%。

技术路线二：C库劫持&进程热补丁（1）

C库劫持

技术路线二：C库劫持&进程热补丁（2）

进程热补丁

操作系统安全增强未来展望

身份认证：内核签名、模块签名和进程签名。

访问控制：取消root的完全权限，权限细分，关键数据访问受限。

密钥管理：密钥分发和管理框架与操作系统紧密结合，密钥由内核管理并据此进行相关认证，应用层接触不到私钥。

今天的分享就到这里，谢谢大家！