한국정보과학회논문지:컴퓨팅의 실제 및 레터 (Journal of KIISE:Computing Practices and Letters)

한국정보과학회 (Korean Institute of Information Scientists and Engineers)
권호 표지

LxBSM: C2 수준의 감사 자료 생성을 위한 리눅스 기반 동적 커널 모듈

LxBSM: Loadable Kernel Module for the Creation of C2 Level Audit Data based on Linux

  • 발행 : 2004.04.01
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

현재 대부분의 상용 운영체제는 운영체제의 보안성을 높이기 위하여 높은 수준의 감사 기능을 제공한다. Linux의 성능 및 안정성은 기존 상용 운영체제에 뒤떨어지지 않지만, 감사 기능을 거의 제공하지 못하고 있다. Linux를 서버 운영체제로 사용하기 위해서는 C2 수준 이상의 보안성을 필요로 하며, 이를 만족시키기 위해서는 시스템 콜에 대한 감시와, 감사 이벤트가 요구된다. 본 논문의 LxBSM은 Linux 커널에서 C2 수준의 감사 기능을 제공하는 커널 모듈이다. LxBSM은 SunShield BSM의 감사 자료와 호환되는 C2 수준의 감사 자료를 제공하며, 동적 커널 모듈(Loadable Kernel Module) 방식으로 구현되어 운용성을 높였다. 또한 사용자 프로세스에 대한 감사 자료를 생성함으로써, 기존의 Linux 기반 감사 모듈보다 풍부한 감사 자료를 제공한다. 파이프와 파일로 감사 자료의 출력이 가능하여 감사 자료를 활용하는 침입 탐지 시스템의 연계성을 높였다. LxBSM의 성능을 측정한 결과, fork, execve, open, close와 같이 감사 자료를 생성하는 시스템 콜이 호출될 때의 응답 시간은 지연되었으나, 그 외의 다른 성능 감소 현상은 나타나지 않았다.

Currently most of commercial operating systems contain a high-level audit feature to increase their own security level. Linux does not fall behind the other commercial operating systems in performance and stability, but Linux does not have a good audit feature. Linux is required to support a higher security feature than C2 level of the TCSEC in order to be used as a server operating system, which requires the kernel-level audit feature that provides the system call auditing feature and audit event. In this paper, we present LxBSM, which is a kernel module to provide the kernel-level audit features. The audit record format of LxBSM is compatible with that of Sunshield BSM. The LxBSM is implemented as a loadable kernel module, so it has the enhanced usability. It provides the rich audit records including the user-level audit events such as login/logout. It supports both the pipe and file interface for increasing the connectivity between LxBSM and intrusion detection systems (IDS). The performance of LxBSM is compared and evaluated with that of Linux kernel without the audit features. The response time was increased when the system calls were called to create the audit data, such as fork, execve, open, and close. However any other performance degradation was not observed.

키워드

참고문헌

  1. Boran Consulting, IT Security Cookbook - OS Overview, http://www.boran.com/security/it15-os-overview.html, 2000
  2. LinuxBSM, http://linuxbsm.sourceforge.net/, 2000
  3. Snare, http://www.intersectalliance.com/projects/Snare/, 2001
  4. D. P. Bovet, M. Cesati, Understanding The Linux Kernel, O'Reilly, 2001
  5. Sun Microsystems, SunShield Basic Security Module Guide, Sun Microsystems, 1998
  6. SELinux, http://www.nsa.gov/selinux/, 2001
  7. Linux Intrusion Detection System(LIDS), http://www.lids.org/
  8. Pragmatic/THC, (nearly) Complete Linux Loadable Kernel Modules, http://www.thehackerschoice.com/papersILKM_HACKING.html, 1999
  9. ImSafe, http://imsafe.sourceforge.net/
  10. Counterpane Corporation, 'Syslog Overview,' http://www.counterpane.com/syslog-overview.pdf
  11. M. Bishop, 'A Standard Audit Trail Format,' Dept. CS. UC. Davis, 1996
  12. J. Xu, Z. Kalbarczvk, S. Patel and R. K. Iyer, 'Architecture Support for Depending Against Buffer Overflow Attacks,' http://www.crhc.uiuc.edu/Tjunxu/Paners/EASY_02_arch_support_stack_ overflow.pdf
  13. Kaladix Linux, http://www.kaladix.org/docs/information.shtrnl, 2001
  14. Linux Device Driver(2nd ed.) A.Rubini;J.Corbet
  15. A. Rubini, J. Corbet, Linux Device Driver, 2nd Edition, O'Reilly, 2001
  16. Inzen Corporation, http://www.inzen.com/
  17. W. R. Stevens, Unix Network Programming, 2nd Edition, Prentice Hall, 1998
  18. J. Crowcroft, L. Philips, TCP/IP and Linux Protocol Implementation, Johns & Wiley, 2002
  19. LMBench, http://www.bitmover.com/lmbench/, 1998
  20. Linux Test Project, http://ltp.sourceforge.net/, 2002
  21. 'Department of Defense Trusted Computer System Evaluation Criteria,' DOD 5200.28-STD, 1985
  22. U. Flegel, 'Pseudonymizing Unix Log Files,' http://ls6-www.informatik.unidortrnund.de/issi/archive/literature/2002/, 2002
  23. P. C. Clark, 'Policy-Enhanced Linux,' 23rd NISSC, 2000
  24. Immunix, http://immunix.org/
  25. Computer Associates, eTrust Access Control for UNIX, 2001