Контроль работоспособности процессов операционной системы KasperskyOS на базе инвариантов поведения (Игорь Сорокин, OSDAY-2024)

Короткая ссылка: 20240620M

Докладчик: Игорь Сорокин

Задача мониторинга процессов с целью определения их работоспособности возникает практически во всех решениях, которые должны работать в режиме 24 на 7. Как правило такой мониторинг осуществляется за счет количественных характеристик потребляемых ресурсов ОС (процессорное время, количество памяти, количество потоков и т.п.) или по принципу watchdog. Однако, в случае срабатывания закладок или эксплуатации уязвимостей, такой мониторинг не всегда позволяет определить, что контролируемый процесс начал выполнять паразитную работу.
Рассмотрим другой способ мониторинга, основанный на наблюдении за тем, как контролируемый процесс взаимодействует с внешним миром, операционной системой, необходимыми для работы сервисами. При этом обратим внимание не на количественные, а на качественные характеристики процесса, которые остаются неизменными на любых аппаратных платформах и определяются заложенной в него логикой – инвариантами корректного поведения. Покажем, как будет выглядеть архитектура такого решения на базе KasperskyOS, как формируются инварианты из исходного текста приложения.