内容来源:2017年10月21日,腾讯操作系统和底层虚拟化平台研发工作负责人杨亚军在“2017 中国Linux内核开发者大会”进行《一种新的操作系统入侵检测框架》演讲分享。IT 大咖说(WeChat_ID:itdakashuo)作为独家视频合作方,经主办方和讲者审阅授权发布。
阅读字数:1699 | 6分钟阅读
观看嘉宾完整演讲视频及PPT,请点击:http://t.cn/EyWc3Xx
摘要
当前网络已经深入我们工作和生活的方方面面,随之而来的是安全防护形势不容乐观。据我们公司内部做安全的同学统计,目前国内黑客的数量就超过了10万,每年的攻击次数超过10亿次。
面对这样的形式,我们在网络攻防、入侵检测和漏洞检测与防护方面做了很多工作。其中入侵检测在及时发现入侵并及时处理方面具有很重要的意义。
入侵检测面临挑战
入侵检测主要分为海量数据的实时获取和实时分析两方面。
海量数据的实时获取主要的思路是通过在操作系统上放一个安全agent,频繁地进行扫描以获取进程执行信息或者是网络连接信息。但这种思路会面临几个问题。
第一个是存在死角。因为考虑到性能开销和对业务性能的影响,所以不可能一直扫描,还是存在间断。有一些执行时间比较短的进程或网络连接的信息扫描不到。这就存在监控死角留下安全隐患。
第二个问题是性能开销。现在的安全agent在扫描的时候还是会对一些业务造成影响,有时就会收到业务的投诉。只能把投诉的业务加入白名单,以后就不扫描这个业务了。但这样是存在安全隐患的。
第三个问题是如何适应越来越复杂的业务环境。最早的时候,所有业务都是位于物理机上,后来云计算兴起,引入了服务器虚拟化。每一个虚拟机上放一个agent。近几年虚拟化大火,docker在我们公司内部平台用得比较多,它的使用模式是比较复杂的。有些docker子集是有独立IP的,有些则没有。容器虚拟化可能是一个轻量级的虚拟化,一台物理机上有可能运行非常多的docker子集。每个docker子集里放一个安全agent,这些安全agent都在进行扫描,性能开销是非常大的。
当前入侵检测的海量实时获取面临的这些问题,我们的解决思路是从操作系统层面建立一个入侵监控信息获取框架。
新的入侵检测框架
基本思路很简单,从操作系统层面的入侵信息获取支持和相关信息,然后把这些信息传送给安全那边的数据模块。
它的子进程的好处首先是全面无死角,其次是得到了操作系统层面的支持,业务环境适应性好。
面临挑战有性能开销和海量现网业务的支持。对于现网业务来说,部分开放内核模块支持,部分不开放内核模块支持。
技术路线
技术路线分为两条,一条是内核热补丁,针对有内核模块支持系统。另一条是C库劫持和进程热补丁,针对无内核模块支持系统。
技术路线一:内核&内核热补丁(1)
整体架构
技术路线一:内核&内核热补丁(2)
考虑到内核热补丁这块,ftrace的好处在于它可以动态地在指定函数上添加需要的钩子函数。但是对我们来说,ftrace仅仅是在工作开头能添加钩子函数,对我们来说是不够的。
Kpatch是基于ftrace的框架来实现的。每做一次新旧函数的替换都会执行到ftrace一系列的框架代码,包含了几百条指令。对于一些调用非常频繁的场景下,性能开销是非常高的。
我们自己写了tpatch内核热补丁的框架,它相对于Kpatch来说更加简化。
技术路线一:内核&内核热补丁(3)
通过以上方法我们解决了数据获取的问题,之后要把数据传送给数据分析模块。直接的思路就是开辟一片数据缓冲区,读者和写者通过数据缓冲区进行数据的传送。
这里面临的问题是缓冲区不能加锁,一旦加锁,性能开销就非常大。在五个性能并行,对一个个缓冲区进行操作的情况下,因为锁竞争导致的CPU性能开销就在百分之十以上。这个开销太大业务不能忍受,所以数据的缓冲区必须是无锁的。
这个缓冲区可能的锁竞争主要来源于三个方面,第一是写者方面的竞争,第二读者之间的竞争,第三是写者与读者之间的竞争。我们用一个缓冲区只面向一个读者就可以解决读者间的竞争问题。写者的竞争在内核里面用per-cpu的数据结构以解决这个问题。读者与写者间的竞争可以利用一个经典的数据结构ringbuffer来消除。
技术路线一:内核&内核热补丁(4)
热补丁性能优化
技术路线一:内核&内核热补丁(5)
在性能开销方面的优化,引用计数优化,开销降低3%。代码优化,开销降低了2%。
技术路线二:C库劫持&进程热补丁(1)
C库劫持
技术路线二:C库劫持&进程热补丁(2)
进程热补丁
操作系统安全增强未来展望
身份认证:内核签名、模块签名和进程签名。
访问控制:取消root的完全权限,权限细分,关键数据访问受限。
密钥管理:密钥分发和管理框架与操作系统紧密结合,密钥由内核管理并据此进行相关认证,应用层接触不到私钥。
今天的分享就到这里,谢谢大家!
编者:IT大咖说,转载请标明版权和出处
