移動(dòng)智能終端中操作系統(tǒng)安全監(jiān)控研究與實(shí)現(xiàn)--正文(共9頁(yè))

1、移動(dòng)智能(zh nn)終端中操作系統(tǒng)安全監(jiān)控(jin kn)研究及實(shí)現(xiàn)(shxin)曹波1, 楊杉1, 梁新建1（1國(guó)網(wǎng)湖北省電力公司信息通信公司 武漢 湖北 430077）照片尺寸為20mm*30mm；最好不用紅色背景摘 要：保證移動(dòng)智能終端的安全性是一個(gè)重要的研究課題。提出了一種基于mini-PCI卡和語(yǔ)義不變式的移動(dòng)智能終端操作系統(tǒng)內(nèi)核安全監(jiān)控方法：在僅僅初始安裝了操作系統(tǒng)的機(jī)器上，通過(guò)學(xué)習(xí)獲取操作系統(tǒng)運(yùn)行過(guò)程中必須保持的語(yǔ)義不變式集合，將語(yǔ)義不變式集合作為內(nèi)核運(yùn)行的安全規(guī)范。然后，在FPGA快速開發(fā)原型實(shí)驗(yàn)板上，利用mini-PCI卡監(jiān)控針對(duì)操作系統(tǒng)內(nèi)核的每一次寫操作。一旦發(fā)現(xiàn)有內(nèi)核寫

2、操作，則將本次寫操作（通過(guò)變換之后）與語(yǔ)義不變式集合作對(duì)比。如果與語(yǔ)義不變式集合中的某一個(gè)條目相符，則可以確認(rèn)本次寫操作是可信的，系統(tǒng)不做任何處理；如果不能與語(yǔ)義不變式集合中的任意一條項(xiàng)目相符，則可以判定本次寫操作是不可信的，系統(tǒng)報(bào)警。實(shí)驗(yàn)證明了有效性。關(guān)鍵詞：移動(dòng)智能終端；操作系統(tǒng)安全；語(yǔ)義不變式中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1000-7180 (2008) xx-xxxx-xDesign and Implementation of Operating System Security Monitoring of Mobile Intelligence TerminalCA

3、O Bo1, YANG Shan1, Liang Xin-jian1(1 Information & communication branch of Hubei Electric Power Company Wuhan, 430077, China)Abstract：It is an important research topic to ensure the security of mobile intelligence terminals. A mini-PCI card and semantic invariants-based method for monitoring operati

4、ng system security of mobile intelligence terminal is introduced: Firstly, inferring the semantic invariants of the operating system in the training period, and all of the semantic invariants will be used as security specifications of operating system during runtime; secondly, in the fast FPGA proto

5、typing experiment board, a mini-PCI card is designed to monitoring modifications to kernel, and any violation against the inferred semantic invariants will be treated as an attack.Key words：Mobile Intelligence, Operating System Security, Semantic Invariants1引言目前，移動(dòng)智能終端已經(jīng)深入到人們生活的方方面面，如智能手機(jī)、平板電腦、車載設(shè)備等

6、等。據(jù)統(tǒng)計(jì)，未來(lái)10年之內(nèi)，移動(dòng)智能終端的數(shù)量將超過(guò)60億臺(tái)，這個(gè)數(shù)量將遠(yuǎn)遠(yuǎn)超過(guò)當(dāng)前PC機(jī)的數(shù)量。學(xué)術(shù)界也對(duì)移動(dòng)智能終端引起了極大的興趣。國(guó)家自然科學(xué)基金、863計(jì)劃、科技重大專項(xiàng)、“核高基”項(xiàng)目等，都有針對(duì)移動(dòng)智能終端及其安全性的立項(xiàng)指南，表明國(guó)家的高度重視。既然是智能終端，就離不開操作系統(tǒng)的支持。操作系統(tǒng)作為移動(dòng)智能終端最底層的系統(tǒng)軟件，且對(duì)上層虛擬機(jī)、應(yīng)用程序、進(jìn)程間通信等提供各類服務(wù)，保證操作系統(tǒng)的安全性是至關(guān)重要的。如果操作系統(tǒng)不可信，那么整個(gè)移動(dòng)智能終端的軟件架收稿日期：基金項(xiàng)目：智能電網(wǎng)移動(dòng)設(shè)備信息安全督查技術(shù)研究（521520130217）。構(gòu)也必然不可信。因此，對(duì)移動(dòng)智能終端

7、的操作系統(tǒng)安全進(jìn)行研究，具有重要(zhngyo)的意義。2014年國(guó)家863計(jì)劃指南(zhnn)明確指出，要研究(ynji)智能終端系統(tǒng)的內(nèi)核安全增強(qiáng)技術(shù)。當(dāng)前移動(dòng)智能終端采用最有代表性的兩類操作系統(tǒng)是Android和iOS，其中Android占據(jù)了市場(chǎng)的主導(dǎo)地位，本文選擇對(duì)Android進(jìn)行研究。從本質(zhì)上來(lái)說(shuō)，Android仍然是“基于”Linux的（Android另外在Linux之上加了一層“殼”），裁剪修改過(guò)的Linux運(yùn)行于Android的最底層。這就提出一個(gè)問(wèn)題：如何保證Android底層Linux操作系統(tǒng)的可信性？注意到操作系統(tǒng)在運(yùn)行過(guò)程中，其內(nèi)核會(huì)被不斷地被改寫，而操作系統(tǒng)被破壞

8、，本質(zhì)上正是由于惡意代碼對(duì)內(nèi)核數(shù)據(jù)的控制流或者數(shù)據(jù)流非法修改造成的。以傳統(tǒng)的Linux為例，當(dāng)生成一個(gè)新的進(jìn)程的時(shí)候，進(jìn)程對(duì)應(yīng)的PCB將被創(chuàng)建；當(dāng)分配的堆被回收的時(shí)候，堆管理數(shù)據(jù)結(jié)構(gòu)會(huì)被改寫等等。與此同時(shí)，rootkit之類的惡意代碼也會(huì)對(duì)內(nèi)核進(jìn)行改寫，以達(dá)到攻擊目的1。例如，一個(gè)進(jìn)程隱藏rootkit可能會(huì)將自身從all-tasks數(shù)據(jù)結(jié)構(gòu)中刪除（但不修改run-list數(shù)據(jù)結(jié)構(gòu)）從而達(dá)到隱蔽運(yùn)行的目的。因此，要保證操作系統(tǒng)內(nèi)核的可信性，就必須從各類形式復(fù)雜的、隨時(shí)動(dòng)態(tài)生成的寫操作中，判定哪些寫操作是系統(tǒng)正常運(yùn)行所產(chǎn)生的，哪些是惡意代碼惡意攻擊所發(fā)出的，并根據(jù)不同的情形允許或者拒絕寫操作的進(jìn)

9、行，從而達(dá)到保護(hù)目的。針對(duì)上述問(wèn)題，本文提出了一種基于內(nèi)核不變式的操作系統(tǒng)內(nèi)核安全監(jiān)控方法。其基本思想是：首先，通過(guò)訓(xùn)練階段獲取內(nèi)核在運(yùn)行中必須滿足的語(yǔ)義不變式，這些語(yǔ)義不變式就構(gòu)成了內(nèi)核動(dòng)態(tài)運(yùn)行的安全規(guī)范。然后，利用硬件監(jiān)控（mini-PCI卡）所有針對(duì)內(nèi)核的原始寫操作，并與語(yǔ)義不變式對(duì)比。如果符合語(yǔ)義不變式，則說(shuō)明是正常的進(jìn)程修改操作；否則說(shuō)明是惡意代碼對(duì)內(nèi)核的修改。2 惡意軟件觸發(fā)行為分析2.1 基本思想由于Linux操作系統(tǒng)已經(jīng)(y jing)位于移動(dòng)智能終端的最底層，因此若要對(duì)其進(jìn)行保護(hù)，就必須從操作系統(tǒng)的更低一層入手，即：采用(ciyng)額外硬件的方式2，或采用(ciyng)虛擬

10、機(jī)的方式3，通過(guò)“獨(dú)立”于移動(dòng)智能終端之外的軟件或者硬件來(lái)對(duì)其內(nèi)核進(jìn)行安全監(jiān)控和管理。本文當(dāng)中，采用額外硬件的方式。我們基于FPGA實(shí)現(xiàn)相對(duì)簡(jiǎn)單的快速原型開發(fā)，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)PCI卡（mini-PCI卡，以下簡(jiǎn)稱PCI卡），利用PCI卡來(lái)對(duì)移動(dòng)智能終端的操作系統(tǒng)內(nèi)核進(jìn)行監(jiān)控。圖1給出了基本架構(gòu)。圖1 mini-PCI卡架構(gòu)上述PCI卡本質(zhì)上是一個(gè)片上系統(tǒng)SoC（System on Chip）。其中，總線接口用來(lái)接收系統(tǒng)總線發(fā)過(guò)來(lái)的針對(duì)內(nèi)核寫操作的“原始數(shù)據(jù)拷貝”：在我們的設(shè)計(jì)中，F(xiàn)PGA上的特殊電路使得在任何針對(duì)內(nèi)核的寫操作發(fā)生時(shí)，從系統(tǒng)總線發(fā)送一份寫操作拷貝給PCI卡。得到寫操作拷貝之后，

11、PCI卡上的CPU芯片對(duì)其進(jìn)行預(yù)處理變換，然后將預(yù)處理后的數(shù)據(jù)傳送給內(nèi)核過(guò)濾器和語(yǔ)義不變式模塊進(jìn)行判定：如果寫操作符合內(nèi)核過(guò)濾器或者語(yǔ)義不變式中的任何一個(gè)條目，則該寫操作是合法的；否則是不合法的。圖1中的編程接口API用來(lái)從外部對(duì)PCI卡進(jìn)行配置和管理，以增強(qiáng)系統(tǒng)的易用性。FASH用來(lái)作為運(yùn)算載體，并存儲(chǔ)必要的信息（如配置信息，內(nèi)核符號(hào)表，內(nèi)核數(shù)據(jù)結(jié)構(gòu)信息等）。需要指出的是，前已說(shuō)明，要監(jiān)控并管理操作系統(tǒng)安全只有兩種方式：采用平臺(tái)硬件2或者虛擬機(jī)3。顯然，采用虛擬機(jī)會(huì)不可避免地會(huì)影響到移動(dòng)智能終端的實(shí)時(shí)運(yùn)行效率，在移動(dòng)智能終端的CPU、內(nèi)存、功耗和電源受限的情況下，這種影響更加明顯。同時(shí)，若采

12、用虛擬機(jī)，底層硬件也必須做相應(yīng)改動(dòng)以適應(yīng)虛擬機(jī)。因此，本文選擇直接采用額外硬件的方式進(jìn)行處理。實(shí)際上，結(jié)合硬件進(jìn)行系統(tǒng)安全增強(qiáng)不僅可行而且很常見(jiàn)4。圖2 系統(tǒng)工作(gngzu)流程在PCI卡的基礎(chǔ)上，整個(gè)(zhngg)系統(tǒng)的運(yùn)行流程如圖2所示：（1）監(jiān)控系統(tǒng)總線對(duì)內(nèi)核的寫操作(cozu)，并發(fā)送原始數(shù)據(jù)“拷貝”Raw Data。當(dāng)系統(tǒng)啟動(dòng)之后，F(xiàn)PGA電路不斷監(jiān)控系統(tǒng)總線上對(duì)內(nèi)核的寫操作。一旦有寫操作發(fā)生，F(xiàn)PGA通過(guò)特殊的電路將寫操作發(fā)送一份“拷貝”給PCI卡。注意這份拷貝是來(lái)自系統(tǒng)總線的原始寫操作信息，因此又稱為Raw Data。PCI卡在收到Raw Data之后，將其變換為內(nèi)核數(shù)據(jù)結(jié)構(gòu)的

13、形式。與Raw Data相對(duì)應(yīng)，變換后的數(shù)據(jù)稱為為Refined Data。（2）基于語(yǔ)義不變式判定寫操作是否可信。得到Refined Data之后，CPU首先將其發(fā)送給內(nèi)核過(guò)濾器進(jìn)行白名單過(guò)濾。內(nèi)核過(guò)濾器類似于一個(gè)白名單系統(tǒng)，其中的每一個(gè)條目類似于。其含義是：在地址addr，如果對(duì)象object_name寫入的是value值（addr、object和value也可以是集合，包含空集），那么這個(gè)寫入一定是正常的。這樣，如果內(nèi)核過(guò)濾器中的某一個(gè)條目被匹配，則可以立即斷定本次寫操作是可信的，PCI卡不做任何處理；如果不能夠與白名單中的任何一個(gè)條目匹配，則內(nèi)核過(guò)濾器進(jìn)一步將Refined Data轉(zhuǎn)

14、發(fā)給語(yǔ)義不變式模塊。語(yǔ)義不變式形式中的條目更加復(fù)雜，其類似于“run-list all-list”或“l(fā)ength(formats)= 5”等形式，因此，CPU需要根據(jù)語(yǔ)義不變式中的每一個(gè)條目對(duì)Refined Data進(jìn)行變換計(jì)算，之后與條目進(jìn)行比對(duì)。同樣地，如果語(yǔ)義不變式模塊中的某一個(gè)條目匹配能夠成功，則可以斷定本次寫操作是可信；否則如果不能與任何一個(gè)條目匹配成功，則可以斷定本次寫操作不可信，系統(tǒng)報(bào)警。非形式地說(shuō)，內(nèi)核過(guò)濾器本質(zhì)(bnzh)上也是一種特殊的語(yǔ)義不變式，其對(duì)應(yīng)于內(nèi)核運(yùn)行過(guò)程中總是保持為“常量(chngling)不變”的部分；而語(yǔ)義不變式則更具有普遍意義，其對(duì)應(yīng)于內(nèi)核(ni h)

15、運(yùn)行過(guò)程中“動(dòng)態(tài)變化，但可抽象為不變式”的部分（如當(dāng)前正在運(yùn)行的進(jìn)程鏈表run-list是動(dòng)態(tài)變化的，但run-list當(dāng)中的進(jìn)程一定位于all-list鏈表當(dāng)中，即無(wú)論內(nèi)核如何運(yùn)行，其都必須滿足不變式：run-list all-list）。通過(guò)內(nèi)核過(guò)濾器和語(yǔ)義不變式模塊的結(jié)合，能夠在進(jìn)行復(fù)雜的語(yǔ)義不變式匹配之前先進(jìn)行簡(jiǎn)單過(guò)濾，從而提高了運(yùn)行效率。2.2 語(yǔ)義不變式生成圖1中的內(nèi)核過(guò)濾器和語(yǔ)義不變式模塊確定了內(nèi)核寫操作是否可信的判定標(biāo)準(zhǔn)，因而其是整個(gè)系統(tǒng)軟件核心之一。前已說(shuō)明，內(nèi)核過(guò)濾器本質(zhì)上來(lái)說(shuō)也是一種特殊的語(yǔ)義不變式，因此，如何提煉語(yǔ)義不變式就成為一個(gè)關(guān)鍵問(wèn)題。本文中，語(yǔ)義不變式生成是一個(gè)

16、訓(xùn)練的過(guò)程。注意從軟件的多次執(zhí)行當(dāng)中提取可能的（likely）不變式是可行的，MIT的Daikon5動(dòng)態(tài)不變式生成工具就能夠?qū)崿F(xiàn)該功能：Daikon通過(guò)多次運(yùn)行程序并觀察程序的運(yùn)行跡，從中提煉出可能的不變式。使用Daikon生成語(yǔ)義不變式要解決兩個(gè)問(wèn)題：第一，Daikon需要對(duì)程序進(jìn)行插裝（instrument），以便指明生成不變式的入口點(diǎn)（entry point）和出口點(diǎn)（exit point）。然而我們無(wú)法對(duì)內(nèi)核進(jìn)行插裝以指明入口點(diǎn)和出口點(diǎn)；第二，生成的語(yǔ)義不變式需要表達(dá)為內(nèi)核數(shù)據(jù)結(jié)構(gòu)的形式。如何將內(nèi)核空間地址與內(nèi)核數(shù)據(jù)結(jié)構(gòu)對(duì)應(yīng)起來(lái)？本文的解決方案如下：（1）對(duì)于程序的插裝以指明入口點(diǎn)和出

17、口點(diǎn)的問(wèn)題。注意到內(nèi)核運(yùn)行時(shí)必有特定的內(nèi)存地址，因此，只要將整個(gè)內(nèi)核地址空間記錄下來(lái)將內(nèi)核起始地址作為入口點(diǎn)，將內(nèi)核結(jié)束地址作為出口點(diǎn)即可。由于Daikon抽取可能的（likely）不變式時(shí)需要程序的多次執(zhí)行跡（trace），因此，在訓(xùn)練的過(guò)程中，為了兼顧準(zhǔn)確性和存儲(chǔ)空間，我們?cè)O(shè)定每隔2秒鐘抓取一次內(nèi)核空間，從而“模擬程序多次執(zhí)行的跡”（稱為內(nèi)核跡Kernel Traces）。（2）對(duì)于(duy)將內(nèi)核空間地址與內(nèi)核數(shù)據(jù)結(jié)構(gòu)對(duì)應(yīng)的問(wèn)題。首先，從內(nèi)核源代碼獲取內(nèi)核中所有數(shù)據(jù)結(jié)構(gòu)的定義(dngy)，并獲取內(nèi)核符號(hào)表。分析內(nèi)核源碼獲取內(nèi)核數(shù)據(jù)結(jié)構(gòu)可以采用編譯工具；而內(nèi)核符號(hào)表可以直接下載（如Wind

18、ows）或者直接可得（如Linux的System.map文件）。注意(zh y)這兩部分信息除了訓(xùn)練階段使用外，也存儲(chǔ)在圖1的Flash當(dāng)中以供動(dòng)態(tài)監(jiān)控時(shí)使用。其次，利用遞歸地方法獲取內(nèi)核空間地址與內(nèi)核數(shù)據(jù)結(jié)構(gòu)間的對(duì)應(yīng)關(guān)系。其基本思想是，以前一個(gè)步驟中得到的符號(hào)表（符號(hào)表中記錄了是具有固定物理地址的符號(hào)）和內(nèi)核數(shù)據(jù)結(jié)構(gòu)定義作為基準(zhǔn)點(diǎn)出發(fā)，對(duì)每一個(gè)內(nèi)核跡利用工作表的方式進(jìn)行分析，即：每遇到一個(gè)新的地址（指針域），就將其加入到工作表當(dāng)中，這樣遞歸下去，直到工作表為空。這樣，就得到了每一個(gè)內(nèi)核空間地址（指針域）與數(shù)據(jù)結(jié)構(gòu)之間的對(duì)應(yīng)關(guān)系。每一個(gè)Kernel Traces，都會(huì)生成這樣一個(gè)對(duì)應(yīng)關(guān)系，供D

19、aikon使用。3 實(shí)驗(yàn)從 HYPERLINK / /下載得到本文實(shí)驗(yàn)樣本。前已說(shuō)明，由于移動(dòng)智能終端的操作系統(tǒng)如Android等本質(zhì)上還是構(gòu)建在Linux操作系統(tǒng)之上，因此本文選擇Linux下常見(jiàn)的內(nèi)核惡意代碼（或稱為rootkit）進(jìn)行試驗(yàn)。這些rootkit的惡意功能包括：進(jìn)程隱藏6、二進(jìn)制格式增加、禁止防火墻7、攻擊隨機(jī)數(shù)生成器等等。下面對(duì)上述rootkit的語(yǔ)義不變式生成做示例說(shuō)明。（1）進(jìn)程隱藏Linux內(nèi)核對(duì)于進(jìn)程維護(hù)有多個(gè)鏈表。系統(tǒng)中所有處于可運(yùn)行狀態(tài)的進(jìn)程都位于run-list鏈表當(dāng)中，供內(nèi)核調(diào)度執(zhí)行；而系統(tǒng)中所有的進(jìn)程都位于all-tasks鏈表當(dāng)中。一個(gè)rootkit可以

20、將自身（或者需要隱藏的進(jìn)程）從all-tasks中刪除從而從常見(jiàn)的進(jìn)程列表工具，如ps，中隱藏；但同時(shí)保留在run-list當(dāng)中從而保持正常運(yùn)行。Daikon通過(guò)對(duì)正常(zhngchng)內(nèi)核學(xué)習(xí)，能夠給出語(yǔ)義不變式：run-list all-list。（2）二進(jìn)制格式(g shi)增加Linux中程序(chngx)并沒(méi)有類似Windows的后綴名來(lái)區(qū)分不同的程序類型。如果某個(gè)程序要運(yùn)行，在新創(chuàng)建一個(gè)進(jìn)程后，search_binary_handler()函數(shù)將被調(diào)用。這個(gè)函數(shù)遞歸遍歷存儲(chǔ)不同文件格式的formats鏈表。當(dāng)?shù)竭_(dá)formats中的某個(gè)節(jié)點(diǎn)之后，節(jié)點(diǎn)對(duì)應(yīng)的handler就嘗試加載二

21、進(jìn)制映像。如果能夠加載，則handler返回SUCCESS；否則如果不能加載，則handler返回ENOEXEC，并繼續(xù)遞歸查找下一個(gè)節(jié)點(diǎn)。攻擊者通過(guò)修改formats鏈表惡意增加一種新的文件格式，以便在鏈表頭插入一個(gè)新的二進(jìn)制格式，同時(shí)讓這個(gè)節(jié)點(diǎn)的handler包含惡意代碼，且總是返回ENOEXEC。這樣，每當(dāng)一個(gè)新的進(jìn)程被創(chuàng)建，那么惡意代碼就會(huì)被執(zhí)行一次。在本系統(tǒng)中，實(shí)驗(yàn)初始時(shí)有5種文件格式。因此，Daikon學(xué)習(xí)得到：formats鏈表的長(zhǎng)度為5，在語(yǔ)義不變式中表達(dá)為：length(formats) = 5。（3）非法禁止防火墻在Linux中，防火墻是由iptables來(lái)設(shè)置的。而ipt

22、ables通過(guò)netfilter框架來(lái)實(shí)現(xiàn)。netfilter在ip棧的不同地方增加了鉤子函數(shù)，由用戶通過(guò)鉤子函數(shù)來(lái)注冊(cè)回調(diào)函數(shù)，從而實(shí)現(xiàn)用戶特定的網(wǎng)絡(luò)功能。所有的netfilter鉤子注冊(cè)都保存在nf_hooks全局表中。攻擊者可以通過(guò)改寫netfilter鉤子，將其指向攻擊函數(shù)從而影響iptables而非法禁止防火墻。TCP/IP協(xié)議族鉤子函數(shù)掛載點(diǎn)為L(zhǎng)OCAL_IN，對(duì)應(yīng)于nf_hooks21。Daikon學(xué)習(xí)到nf_hooks21是一個(gè)常數(shù)地址，即：nf_hooks21 = CONSTANT，其中CONSTANT是一個(gè)靜態(tài)的常數(shù)。在不同機(jī)器上可能取值不同，需根據(jù)實(shí)際情況配置。注意到nf

23、_hooks21在正常情況下是一個(gè)常數(shù)，因此本條語(yǔ)義不變式添加到過(guò)濾器中。實(shí)驗(yàn)過(guò)程中，本文選取了3類典型的rootkit，共13個(gè)樣本。試驗(yàn)過(guò)程中均檢測(cè)到了這些惡意代碼對(duì)內(nèi)核的完整性破壞，其誤報(bào)率約10%。發(fā)生誤報(bào)的一個(gè)主要原因是：在訓(xùn)練階段，內(nèi)核跡的獲取是異步的，換句話說(shuō)，本文采用每隔2秒獲取一次內(nèi)核跡，因而內(nèi)核跡獲取時(shí)存在時(shí)間延遲，在這個(gè)過(guò)程當(dāng)中，內(nèi)核仍然在運(yùn)行，從而使得獲取的不同內(nèi)核跡之間可能存在不一致的情形。在后續(xù)的研究當(dāng)中，我們擬研究采用實(shí)時(shí)增量式的方法來(lái)獲取不同的內(nèi)核跡，即：精確記錄每一次內(nèi)核中的改寫行為，僅僅將這些改寫操作，而不是整個(gè)內(nèi)核地址空間，記錄下來(lái)。至于實(shí)時(shí)內(nèi)核安全性檢測(cè)

24、則是由PCI卡完成的，檢測(cè)時(shí)間定義為從rootkit安裝到rootkit被監(jiān)測(cè)出來(lái)的時(shí)間。這種定義是合理的，因?yàn)檫@16個(gè)樣本當(dāng)中，并沒(méi)有rootkit故意推遲其惡意功能的實(shí)施（如：包含特定觸發(fā)條件才觸發(fā)）。平均計(jì)算，rootkit對(duì)內(nèi)核完整性破壞的檢測(cè)時(shí)間約為40秒。這個(gè)時(shí)間相對(duì)較長(zhǎng)，在將來(lái)，我們擬采用更快的ARM CPU，并優(yōu)化檢測(cè)算法以提升檢測(cè)速度。4 結(jié)束語(yǔ)操作系統(tǒng)作為移動(dòng)智能終端的軟件基礎(chǔ)，其安全性具有重要的意義。本文選擇世界上市場(chǎng)占有率最高的Android系統(tǒng)為研究(ynji)對(duì)象，對(duì)其安全性進(jìn)行了初步研究。由于Android本質(zhì)上建立在裁減修改過(guò)的Linux操作系統(tǒng)之上，因此，作為第一步研究，本文提出了一種基于PCI卡及語(yǔ)義不變式的Linux內(nèi)核完整性監(jiān)控和保護(hù)方法，實(shí)驗(yàn)表明了方法的有效性。在下一步(y b)研究中，我們擬仍以FPGA平臺(tái)為基礎(chǔ)，將本方法應(yīng)用到包含(bohn)上層的Android系統(tǒng)上。參考文獻(xiàn):1易再堯, 黃本雄, 孫建華. 一種基于虛擬化哈佛體系結(jié)構(gòu)的Rootkit技術(shù)J. 微電子學(xué)與計(jì)算機(jī), 2010, 24(4): 129-136.2 N. L. Petroni, T. Fraser, J. Molina