摘要：文件完整性校驗是一種基于主機的入侵檢測技術，可以檢測出入侵者對主機文件的非法修改。針對目前文件系統(tǒng)完整性校驗中存在的運算復雜性問題，結合網(wǎng)格技術的應用背景，提出一種基于網(wǎng)格的文件系統(tǒng)完整性校驗的應用模型，并對其產(chǎn)生的原因、特點、應用平臺、工作流程進行了詳細的闡述。目的是實現(xiàn)網(wǎng)格虛擬環(huán)境下提高文件完整性校驗的速度。

關鍵詞：文件系統(tǒng)；完整性校驗；網(wǎng)格；入侵檢測

中圖分類號：TP309 文獻標識碼：A 文章編號：1009-3044（2013）01-0041-03

文件完整性是LINUX系統(tǒng)安全的一個重要特性。文件完整性校驗是對入侵前后的系統(tǒng)狀態(tài)進行比較，通過狀態(tài)的變動來判斷系統(tǒng)是否受到入侵。入侵發(fā)生一定為引起系統(tǒng)文件的改動。在確定了初始系統(tǒng)狀態(tài)后，文件完整性校驗程序定期檢查當前系統(tǒng)狀態(tài)并與初始系統(tǒng)狀態(tài)進行比對，發(fā)現(xiàn)可疑或非法的修改時觸發(fā)警報。文件完整性校驗工具工作原理如下：在數(shù)據(jù)庫中保存待檢測系統(tǒng)文件的特征碼。每次校驗時重新計算每個文件的特征碼并與數(shù)據(jù)庫中的相應特征碼進行比對，如果相同則說明文件正常；如果不同則說明文件已經(jīng)被修改，觸發(fā)警報并向系統(tǒng)管理者報告該文件的異常改動。因為校驗工具無法區(qū)分被檢測文件的變動是由于正常修改引起的還是由于入侵引起的，所以在正常修改了被監(jiān)測文件后應當立即更新特征碼數(shù)據(jù)庫內(nèi)的數(shù)據(jù)，從而避免校驗時產(chǎn)生誤報。

文件完整性校驗的優(yōu)點：發(fā)現(xiàn)入侵行為很重要的一個方面就是保證數(shù)據(jù)和系統(tǒng)的完整性。一旦入侵者成功入侵，為逃避檢測和方便下次入侵，一般會通過更改系統(tǒng)中的相關文件來隱藏他的活動；同時做一些改動，例如植入后門程序，保證下次能夠繼續(xù)入侵。這兩種活動都能夠被文件完整性校驗系統(tǒng)檢測出。同時，文件完整性校驗系統(tǒng)又具有相當?shù)撵`活性，可以為系統(tǒng)中的所有文件或某些重要文件進行單獨配置。

文件完整性校驗的弱點：文件完整性校驗的結論依賴于本地的數(shù)據(jù)庫，而這些數(shù)據(jù)是可以被入侵者修改的。當入侵者取得管理員權限后篡改文件完整性校驗系統(tǒng)，更新數(shù)據(jù)庫，那么文件完整性校驗系統(tǒng)就會失效。同時，文件完整性校驗不能實時監(jiān)控， 無法第一時間發(fā)現(xiàn)攻擊行為并采取防御措施。因為文件完整性校驗時需要處理的數(shù)據(jù)量非常大（如果檢測全面文件的話），所有進行一次針對所有文件的文件完整性校驗是一件非常耗時的工作。

而本文主要解決的問題就是如何提高文件完整性校驗的速度。

1 關鍵技術及特點

1.1 文件完整性校驗

用密碼學的方法來檢驗文件的完整性是大多數(shù)軟件的共同考慮。文件的特征碼，也稱校驗和、數(shù)字文摘或數(shù)字簽名，由文件內(nèi)容通過Hash函數(shù)計算得出。不同的文件幾乎不可能得到相同的Hash結果；同時Hash算法是一個單向函數(shù)，無法進行逆推。所以通過特征碼進行文件完整性校驗是一種非常成熟的方法。當文件一被修改，就可檢測出來。因此，利用文件的特征碼可方便地檢測出入侵者對文件的修改。

1.2 網(wǎng)格技術的特點及其模型

網(wǎng)格是一種高性能計算平臺，由分布在Internet 上的各類資源組成。網(wǎng)格將所有資源虛擬為一臺超級計算機，在這個虛擬環(huán)境下進行資源共享和協(xié)同工作，為用戶提供一體化信息和計算、存儲、訪問等應用服務 [1]。組成網(wǎng)格系統(tǒng)的資源是動態(tài)變化的，所有資源由網(wǎng)格統(tǒng)一管理。網(wǎng)格能夠動態(tài)監(jiān)視和管理網(wǎng)格資源，實現(xiàn)任務的動態(tài)遷移，從可利用的資源中選取最佳資源服務。

Ian Foster于2001年提出了網(wǎng)格計算協(xié)議體系結構，將網(wǎng)格技術的核心定義為標準化的協(xié)議與服務，并與互聯(lián)網(wǎng)協(xié)議進行類比（如圖1）。該結構主要包括以下五個層次[2]：

（1） 構造層（Fabric）

構造層的基本功能是向上提供網(wǎng)格中可共享的資源。常用的構造層資源包括處理能力、存儲系統(tǒng)、網(wǎng)絡資源、分布式文件系統(tǒng)、分布式計算機池、計算機集群等。構造層資源提供的功能越豐富，則可以支持的高級共享操作就越多。

（2） 連接層（Connectivity）

連接層的基本功能是實現(xiàn)網(wǎng)格共享資源間便利安全的通信。它定義了核心的安全通信、網(wǎng)絡資源處理與認證授權控制等協(xié)議。通信協(xié)議允許在構造層資源之間通過傳輸、路由及名字解析等機制進行數(shù)據(jù)交換和授權認證、安全控制。

（3） 資源層（Resource）

資源層的主要功能是實現(xiàn)單一資源共享。資源層主要定義了資源共享間的安全握手、資源初始化、資源運行狀況、統(tǒng)計與付費等使用數(shù)據(jù)。該層建立在連接層的安全通信和認證授權控制協(xié)議之上，通過調(diào)用構造層函數(shù)來訪問和控制局部資源。

（4） 匯集層（Collective）

匯集層的主要功能是協(xié)調(diào)各種資源。該層將資源層提交的受控資源匯集在一起，供虛擬組織的應用程序共享和調(diào)用。匯聚層對來自應用的共享進行管理和控制，提供資源代理、資源監(jiān)測診斷、網(wǎng)格啟動、賬戶管理、協(xié)同分配管理、數(shù)據(jù)復制服務、負載管理控制、軟件發(fā)現(xiàn)服務等多種功能。

（5） 應用層（Application）

應用層是是網(wǎng)格上用戶的應用程序，在虛擬組織環(huán)境中存在的。應用程序通過各層的應用程序編程接口調(diào)用相應的服務，再通過服務調(diào)動網(wǎng)格上的資源來完成任務。應用程序的開發(fā)涉及大量的庫函數(shù)，需要構建支持網(wǎng)格計算的大型函數(shù)庫。

2 基于網(wǎng)格的文件完整性校驗的特點

目前在文件系統(tǒng)校驗建模方面的研究很少.Shlomo Hershkop等人曾采用PAD（Probabilistic Anomaly Detection）算法開發(fā)了基于Unix的文件系統(tǒng)的異常檢測器FWRAP，但是他將文件系統(tǒng)作為一個整體進行建模，由于文件系統(tǒng)的數(shù)據(jù)量較大，數(shù)據(jù)的存貯和運算帶來較大的系統(tǒng)負荷，因此它不能處理大容量的訓練數(shù)據(jù)[4]。而數(shù)據(jù)的存貯和運算恰恰是網(wǎng)格的優(yōu)勢所在。

網(wǎng)格是一個異構、動態(tài)的計算平臺，目標是實現(xiàn)資源共享和分布式協(xié)同工作。在網(wǎng)格環(huán)境中所有的組件都是虛擬的，通過定義一組核心接口來動態(tài)的調(diào)用網(wǎng)格中的各種資源，實現(xiàn)所有的服務。在進行具體服務時以底層資源組成為基礎直接對虛擬組織進行資源管理。因此基于網(wǎng)格的文件完整性校驗具有如下特點[3]：

共享性：網(wǎng)格將多個結點的資源集成起來，提供動態(tài)、跨結點的資源環(huán)境，解決大容量數(shù)據(jù)的存貯問題。各種資源通過網(wǎng)格技術有效的提供給網(wǎng)格中的任意合法結點。各個結點通過資源共享，完成用戶提交的各種任務。

協(xié)同性：網(wǎng)格提供一個協(xié)同管理的環(huán)境，能夠在動態(tài)組成的系統(tǒng)中解決大容量數(shù)據(jù)的運算問題。網(wǎng)格將來自不同管理域、不同管理平臺、具有不同能力的結點集成在一起，成為一個有機的整體。用戶不僅可以使用單個結點提供的功能，而且能夠使用多個結點的聚合資源。網(wǎng)格資源結點根據(jù)不同的任務，動態(tài)組成不同的服務，通過彼此間合作，共同完成任務。

動態(tài)性：網(wǎng)格具有高度的可擴展性，支持結點的動態(tài)加入和退出。網(wǎng)格對這些結點進行有效管理和分配，以保證結點退出時不影響系統(tǒng)的正常工作，結點加入時立即被系統(tǒng)發(fā)現(xiàn)并且可用。

3 基于網(wǎng)格的文件完整性校驗平臺框架

框架模型見圖2。

基于網(wǎng)格的LINUX文件完整性校驗平臺主要由2部分組成：

網(wǎng)格管理控制平臺：它是基于網(wǎng)格的文件完整性校驗平臺的集中控制管理單元，通過該平臺的集中統(tǒng)一控制，使得新建的文件完整性校驗平臺子系統(tǒng)通過統(tǒng)一的規(guī)范，與原有子系統(tǒng)實現(xiàn)互通、互聯(lián)和互操作，在網(wǎng)格管理控制平臺的統(tǒng)一協(xié)調(diào)控制下發(fā)揮出系統(tǒng)的最優(yōu)化效用。

文件完整性校驗網(wǎng)格：在基于網(wǎng)格的文件完整性校驗系統(tǒng)下，可用的存儲空間和計算能力是無限的。該網(wǎng)格為本地文件完整性校驗系統(tǒng)提供透明的數(shù)據(jù)計算和存儲接口，使本地主機能夠容易的實現(xiàn)網(wǎng)格中的資源共享。該網(wǎng)格通過動態(tài)的利用整個網(wǎng)格中強大的計算資源，為本地主機用戶提供遠遠強于自身的運算能力，最大限度的縮短文件完整性校驗所需的時間。

4 結論

本文提出了一種基于網(wǎng)格技術的LINUX文件完整性校驗模型，該模型通過利用網(wǎng)格技術強大的資源共享能力，借助不同網(wǎng)段不同平臺主機的整合計算能力，極大的縮減單機進行文件完整性校驗時所需要的時間。該模型具有以下特點：

（1） 該模型不需要源文件、大規(guī)模訓練數(shù)據(jù)，通用性和易用性好；

（2） 該模型能大大縮短文件完整性校驗所花費的時間，提升工作效率；

（3） 抵抗攻擊的能力更強，漏報率更低。

參考文獻：

[1] 徐志偉，馮百明，李偉.網(wǎng)格計算技術[M].北京：電子工業(yè)出版，2004，2，23.

[2] Ian Foster，Carl Kesselman.The Grid：Blueprint for a New Computing Infrastructure[M].北京：機械工業(yè)出版社，2005.

[3] Foster I，Kesselman C，Nick JM，etal.Grid Services for Distributed System Integration[J]. Computer，2002，35（6）.

[4] Shlomo Hersbkop，Ryan Ferster，Linh H.Bui，Ke Wang and Salvatore J.Stolfo.“Host—based Anomaly Detection Using Wrapping File Systems”.CU Tech Report April，2O04.

[5] Eleazar Eskin.Probabilistic anomaly detection over discrete records using inconsistency checks.Technical report，Columbia University Computer Science Technical Report，2002.

[6] Sufat rio ， Roland H. C. Yap . Improving host based IDS with argument abstraction to prevent mimicry attacks. Proceedings of RAID 2005，Springer，Germany，2006

[7] Adam G.Pennington，etc.Storage2based Intrusion Detection： Watching storage activity for suspicious behavior，Washington DC，Proceedings of the 12th USEN IX Security Symposium，2003.