基于网格的LINUX文件完整性校验工具的原理

【引言】文件完整性是LINUX系统安全的一个重要特性。文件完整性校验是对入侵前后的系统状态进行比较，通过状态的变动来判断系统是否受到入侵。入侵发生一定为引起系统文件的改动。在确定了初始系统状态后，文件完整性校验程序定期检查当前系统状态并与初始系统状态进行比对，发现可疑或非法的修改时触发警报。文件完整性校验工具工作原理如下：在数据库中保存待检测系统文件的特征码。每次校验时重新计算每个文件的特征码并与数据库中的相应特征码进行比对，如果相同则说明文件正常；如果不同则说明文件已经被修改，触发警报并向系统管理者报告该文件的异常改动。因为校验工具无法区分被检测文件的变动是由于正常修改引起的还是由于入侵引起的，所以在正常修改了被监测文件后应当立即更新特征码数据库内的数据，从而避免校验时产生误报。文件完整性校验的优点：发现入侵行为很重要的一个方面就是保证数据和系统的完整性。一旦入侵者成功入侵，为逃避检测和方便下次入侵，一般会通过更改系统中的相关文件来隐藏他的活动；同时做一些改动，例如植入后门程序，保证下次能够继续入侵。这两种活动都能够被文件完整性校验系统检测出。同时，文件完整性校验系统又具有相当的灵活性，可以为系统中的所有文件或某些重要文件进行单独配置。文件完整性校验的弱点：文件完整性校验的结论依赖于本地的数据库，而这些数据是可以被入侵者修改的。当入侵者取得管理员权限后篡改文件完整性校验系统，更新数据库，那么文件完整性校验系统就会失效。同时，文件完整性校验不能实时监控, 无法第一时间发现攻击行为并采取防御措施。因为文件完整性校验时需要处理的数据量非常大（如果检测全面文件的话），所有进行一次针对所有文件的文件完整性校验是一件非常耗时的工作。而本文主要解决的问题就是如何提高文件完整性校验的速度。