Cyberattacks, especially attacks that exploit operating system vulnerabilities, have been increasing in recent years. In particular, if administrator privileges are acquired by an attacker through a privilege escalation attack, the attacker can operate the entire system and cause serious damage. In this paper, we propose an additional kernel observer (AKO) that prevents privilege escalation attacks that exploit operating system vulnerabilities. We focus on the fact that a process privilege can be changed only by specific system calls. AKO monitors privilege information changes during system call processing. If AKO detects a privilege change after system call processing, whereby the invoked system call does not originally change the process privilege, AKO regards the change as a privilege escalation attack and applies countermeasures against it. AKO can therefore prevent privilege escalation attacks. Introducing the proposed method in advance can prevent this type of attack by changing any process privilege that was not originally changed in a system call, regardless of the vulnerability type. In this paper, we describe the design and implementation of AKO for Linux x86 64-bit. Moreover, we show that AKO can be expanded to prevent the falsification of various data in the kernel space. Then, we present an expansion example that prevents the invalidation of Security-Enhanced Linux. Finally, our evaluation results show that AKO is effective against privilege escalation attacks, while maintaining low overhead.

近年来，网络攻击，尤其是利用操作系统漏洞的攻击，在增加。特别是，如果攻击者通过特权升级攻击获得了管理员特权，则攻击者可以操作整个系统，并造成严重破坏。在本文中，我们提出了一个附加的内核观察程序（AKO），可以防止利用操作系统漏洞的特权升级攻击。我们关注一个事实，即只能通过特定的系统调用才能更改进程特权。AKO监视系统调用处理期间的特权信息更改。如果AKO在系统调用处理之后检测到特权更改，从而被调用的系统调用最初并未更改进程特权，则AKO将该更改视为特权升级攻击，并对其采取对策。因此，AKO可以防止特权升级攻击。预先引入所建议的方法，可以通过更改任何系统特权中最初未更改的进程特权来防止此类攻击，而与漏洞类型无关。在本文中，我们描述了Linux x86 64位AKO的设计和实现。而且，我们表明可以扩展AKO来防止内核空间中各种数据的伪造。然后，我们提供一个扩展示例，以防止使安全性增强的Linux失效。最后，我们的评估结果表明，AKO可有效抵御特权升级攻击，同时保持较低的开销。预先引入所建议的方法，可以通过更改任何系统特权中最初未更改的进程特权来防止此类攻击，而与漏洞类型无关。在本文中，我们描述了Linux x86 64位AKO的设计和实现。而且，我们表明可以扩展AKO来防止内核空间中各种数据的伪造。然后，我们提供一个扩展示例，以防止使安全性增强的Linux失效。最后，我们的评估结果表明，AKO可有效抵御特权升级攻击，同时保持较低的开销。预先引入所建议的方法，可以通过更改任何系统特权中最初未更改的进程特权来防止此类攻击，而与漏洞类型无关。在本文中，我们描述了Linux x86 64位AKO的设计和实现。而且，我们表明可以扩展AKO来防止内核空间中各种数据的伪造。然后，我们提供一个扩展示例，以防止使安全性增强的Linux失效。最后，我们的评估结果表明，AKO可有效抵御特权升级攻击，同时保持较低的开销。我们证明了可以扩展AKO来防止内核空间中各种数据的伪造。然后，我们提供一个扩展示例，以防止使安全性增强的Linux失效。最后，我们的评估结果表明，AKO对特权提升攻击有效，同时保持较低的开销。我们证明了可以扩展AKO来防止内核空间中各种数据的伪造。然后，我们提供一个扩展示例，以防止使安全性增强的Linux失效。最后，我们的评估结果表明，AKO可有效抵御特权升级攻击，同时保持较低的开销。