基于網(wǎng)格的LINUX文件完整性校驗(yàn)工具的原理

摘要：文件完整性校驗(yàn)是一種基于主機(jī)的入侵檢測(cè)技術(shù)，可以檢測(cè)出入侵者對(duì)主機(jī)文件的非法修改。針對(duì)目前文件系統(tǒng)完整性校驗(yàn)中存在的運(yùn)算復(fù)雜性問題，結(jié)合網(wǎng)格技術(shù)的應(yīng)用背景，提出一種基于網(wǎng)格的文件系統(tǒng)完整性校驗(yàn)的應(yīng)用模型，并對(duì)其產(chǎn)生的原因、特點(diǎn)、應(yīng)用平臺(tái)、工作流程進(jìn)行了詳細(xì)的闡述。目的是實(shí)現(xiàn)網(wǎng)格虛擬環(huán)境下提高文件完整性校驗(yàn)的速度。

關(guān)鍵詞：文件系統(tǒng)；完整性校驗(yàn)；網(wǎng)格；入侵檢測(cè)

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）01-0041-03

文件完整性是LINUX系統(tǒng)安全的一個(gè)重要特性。文件完整性校驗(yàn)是對(duì)入侵前后的系統(tǒng)狀態(tài)進(jìn)行比較，通過狀態(tài)的變動(dòng)來判斷系統(tǒng)是否受到入侵。入侵發(fā)生一定為引起系統(tǒng)文件的改動(dòng)。在確定了初始系統(tǒng)狀態(tài)后，文件完整性校驗(yàn)程序定期檢查當(dāng)前系統(tǒng)狀態(tài)并與初始系統(tǒng)狀態(tài)進(jìn)行比對(duì)，發(fā)現(xiàn)可疑或非法的修改時(shí)觸發(fā)警報(bào)。文件完整性校驗(yàn)工具工作原理如下：在數(shù)據(jù)庫(kù)中保存待檢測(cè)系統(tǒng)文件的特征碼。每次校驗(yàn)時(shí)重新計(jì)算每個(gè)文件的特征碼并與數(shù)據(jù)庫(kù)中的相應(yīng)特征碼進(jìn)行比對(duì)，如果相同則說明文件正常；如果不同則說明文件已經(jīng)被修改，觸發(fā)警報(bào)并向系統(tǒng)管理者報(bào)告該文件的異常改動(dòng)。因?yàn)樾ｒ?yàn)工具無法區(qū)分被檢測(cè)文件的變動(dòng)是由于正常修改引起的還是由于入侵引起的，所以在正常修改了被監(jiān)測(cè)文件后應(yīng)當(dāng)立即更新特征碼數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)，從而避免校驗(yàn)時(shí)產(chǎn)生誤報(bào)。……