基于Linux的内核信息追踪方法研究
计算机系统应用的很多领域中(操作系统内核分析、计算机系统结构模拟器和网络安全入侵检测等),都需要实时检测操作系统运行状态[1]。为满足检测过程的真实性、完整性和实时性等要求,经常需要在运行的系统内核中实时的追踪一些必要信息[2]。由于Linux系统开放源码,易于修改,可以最大限度的满足上述原则,因此基于Linux的内核信息追踪更是受到广泛重视[3][4]。 内核信息捕获和内核信息存储是内核信息追踪涉及的两个重点,也是内核信息追踪的两大难点。一方面,由于内核信息捕获过程大都运行在系统内核态,所以难免会对系统本身运行造成影响[5]。另一方面,捕获后的信息不能常驻内存,需要实时地发送到用户态分析处理,或以文件的形式存储在磁盘中。因此,如何有效的实现用户态和内核态的通信也至关重要。 围绕内核信息捕获和内核信息存储这两项内容,陈燕晖,李清干和张磊等提出基于内核调试的捕获方法[6][7][8],牛峰、李东亮等提出基于内核日志、Proc文件系统等通信方法[9][10]。本文对比分析了这些方法的特点,指出了各自适用场景,帮助研究人员选择适当的方法追踪Linux内核信息。文章第一部分介绍了内核信息捕获的三种方法及其特点;第二部分分析了用户态和内核态通信的三种方法;第三部分结合最新版内核[11],给出一个较为通用的大规模内核信息追踪模型;第四部分给出结论。
暂无评论