本发明专利技术公开了一种基于嵌入式系统的Rootkit检测方法及系统,选取具有PCI插口规范的嵌入式设备,所述嵌入式设备中集成有独立操作系统;将所述嵌入式设备安装至待检测计算机主板的PCI插槽中;待检测计算机利用原有操作系统遍历待检测计算机磁盘,获取待检测计算机的文件名列表A;所述嵌入式设备利用独立操作系统遍历待检测计算机磁盘,获取待检测计算机的文件名列表B;所述嵌入式设备对比文件名列表A和文件名列表B,当文件名列表B中出现新增文件名且所述新增文件名出现次数超过预警值,则判定待检测计算机中存在Rootkit。本发明专利技术所提供的技术方案可以克服传统检测方法的不足,更加有效地检测未知Rootkit。
【技术实现步骤摘要】
【专利摘要】本专利技术公开了一种基于嵌入式系统的Rootkit检测方法及系统,选取具有PCI插口规范的嵌入式设备,所述嵌入式设备中集成有独立操作系统;将所述嵌入式设备安装至待检测计算机主板的PCI插槽中;待检测计算机利用原有操作系统遍历待检测计算机磁盘,获取待检测计算机的文件名列表A;所述嵌入式设备利用独立操作系统遍历待检测计算机磁盘,获取待检测计算机的文件名列表B;所述嵌入式设备对比文件名列表A和文件名列表B,当文件名列表B中出现新增文件名且所述新增文件名出现次数超过预警值,则判定待检测计算机中存在Rootkit。本专利技术所提供的技术方案可以克服传统检测方法的不足,更加有效地检测未知Rootkit。【专利说明】—种基于嵌入式系统的Rootkit检测方法及系统
本专利技术涉及网络安全
,尤其涉及一种基于嵌入式系统的Rootkit检测方法及系统。
技术介绍
随着信息技术的飞速发展,以窃取计算机控制权和敏感信息为目标的程序迅速增力口,特别是近些年来出现的各类APT事件,标志着网络安全已经进入了国家层面上的对抗,而Rootkit正是这类攻击中重要的一环,是一种能够持久地、稳定地、无法检测的存在于计算机上的一组程序和代码。Rootkit可以在目标计算机中长期潜伏而不被察觉,因此在计算机战争、间谍、反计算机犯罪、证据收集等领域得到广泛应用,同时也被恶意代码使用者用来实现对计算机的恶意控制。控制者一旦获得操作系统的控制权限,向目标主机投放Rootkit,它就能长期维护一个后门,允许控制者一直以管理员权限控制系统,并且通过隐藏文件、进程、注册表项、端口等来隐藏攻击行为,从而逃避用户和安全软件的检测。Rootkit自诞生以来,其技术不断发展,总是有新的技术出现在Rootkit上,而反Rootkit技术一般只能追随Rootkit技术,普遍落后于Rootkit技术。目前对Rootkit的检测有以下两种方法: 关闭怀疑感染Rootkit的计算机,然后将其硬盘挂载到其他系统,再使用相关工具以特征进行检查。使用专门检测Rootkit的相关工具进行检测、如chkrootkit、rkhunter、BlackLighto然而,以上方法在实际使用中存在诸多缺陷,并不能达到完美检测Rootkit的目的。第一种方法存在以下三个问题: 不能实时扫描监控,时效性差,可能导致检出Rootkit的时间滞后; 每次扫描都需要关闭计算机,挂载硬盘到其他系统,这对于一些重要服务器而言十分麻烦且不利于维护; 正如特征扫描不能检出未知病毒一样,这种方法同样不能检出所有Rootkit。第二种方法存在以下两个问题: 基于当前系统环境运行,容易被针对性的Rootkit进行躲避或绕过。这些检测工具只能检测已知的Rootkit,而目前它们大多已经不再更新,无法检出使用新的技术的Rootkit。
技术实现思路
针对上述技术问题,本专利技术提供了一种基于嵌入式系统的Rootkit检测方法及系统,该方法通过外部具有独立操作系统的嵌入式设备扫描待检测计算机的磁盘,获取文件名列表与原有操作系统获取的文件名列表对比,判定是否存在新增文件名,并最终判定是否感染Rootkit。本专利技术采用如下方法来实现:一种基于嵌入式系统的Rootkit检测方法,包括: 选取具有PCI插口规范的嵌入式设备,所述嵌入式设备中集成有独立操作系统; 将所述嵌入式设备安装至待检测计算机主板的PCI插槽中; 待检测计算机利用原有操作系统遍历待检测计算机磁盘,获取待检测计算机的文件名列表A ;所述原有操作系统至少包括:UNIX、WINDOWS。所述嵌入式设备利用独立操作系统遍历待检测计算机磁盘,获取待检测计算机的文件名列表B ; 所述嵌入式设备对比文件名列表A和文件名列表B,当文件名列表B中出现新增文件名且所述新增文件名出现次数超过预警值,则判定待检测计算机中存在Rootkit。其中,所述预警值为用户根据实际情况设定,可以为三次。其中,所述嵌入式设备的独立操作系统通过底层驱动实现对待检测计算机磁盘的访问,从而获取待检测计算机上的文件名列表B。上述方法中获取的文件名列表A和文件名列表B可以保存至外存,再进行对比。进一步地,所述待检测计算机利用原有操作系统遍历待检测计算机磁盘,获取待检测计算机的文件名列表A之后,还包括: 将文件名列表A写入到预设路径的文件中,并在所述文件的尾部写入代表文件名列表A是否完整的标识; 所述嵌入式设备每隔预设时间读取所述文件,当判定文件名列表A完整后,则继续所述嵌入式设备利用独立的操作系统遍历待检测计算机磁盘,获取待检测计算机的文件名列表B的操作。进一步地,所述判定待检测计算机中存在Rootkit之后,还包括:将出现次数超过预警值的新增文件名对应的文件路径、警报时间以日志的形式保存至外存,并发出报警声音,提示用户。本专利技术米用如下系统来实现:一种基于嵌入式系统的Rootkit检测系统,包括嵌入式设备和遍历模块: 所述嵌入式设备,具有PCI插口规范,在所述嵌入式设备中集成有独立操作系统;所述嵌入式设备安装在待检测计算机主板的PCI插槽中; 所述遍历模块,位于待检测计算机原有操作系统中,用于遍历待检测计算机磁盘,获取待检测计算机的文件名列表A ;所述原有操作系统至少包括:UNIX、WINDOWS。所述嵌入式设备的独立操作系统中集成有系统格式解析模块、异常文件检测模块; 所述系统格式解析模块,用于遍历待检测计算机磁盘,获取待检测计算机的文件名列表B ;所述系统格式解析模块负责解析文件系统格式(FAT/NTFS/EXT),并获取各分区的文件名列表。所述异常文件检测模块,用于对比文件名列表A和文件名列表B,当文件名列表B中出现新增文件名且所述新增文件名出现次数超过预警值,则判定待检测计算机中存在Rootkit。其中,所述预警值可以为三次。其中,所述嵌入式设备的独立操作系统通过底层驱动实现对待检测计算机磁盘的访问,从而获取待检测计算机上的文件名列表B。上述系统中获取的文件名列表A和文件名列表B可以保存至外存,再进行对比。进一步地,所述遍历模块在遍历待检测计算机磁盘,获取待检测计算机的文件名列表A之后,还包括: 将文件名列表A写入到预设路径的文件中,并在所述文件的尾部写入代表文件名列表A是否完整的标识; 所述嵌入式设备每隔预设时间读取所述文件,当判定文件名列表A完整后,则由所述系统格式解析模块获取待检测计算机的文件名列表B。进一步地,所述嵌入式设备还包括威胁预警模块,当异常文件检测模块判定待检测计算机中存在Rootkit之后,威胁预警模块将出现次数超过预警值的新增文件名对应的文件路径、警报时间以日志的形式保存至外存,并发出报警声音,提示用户。综上所述,本专利技术提供了一种基于嵌入式系统的Rootkit检测方法及系统,通过在待检测计算机的PCI插槽上外接硬件设备,该硬件设备中有独立的嵌入式系统,利用该硬件设备的操作系统遍历待检测计算机磁盘,获取待检测计算机的文件名列表,查看其较之于原有操作系统遍历的文件名列表是否存在新增文件名,并判定其出现次数是否超过预警值,若是,则判定待检测计算机中存在Rootkit。该专利技术所给出的技术方案可以有效检测Rootkit,尤其可本文档来自技高网...
【技术保护点】
一种基于嵌入式系统的Rootkit检测方法,其特征在于,包括:选取具有PCI插口规范的嵌入式设备,所述嵌入式设备中集成有独立操作系统;将所述嵌入式设备安装至待检测计算机主板的PCI插槽中;待检测计算机利用原有操作系统遍历待检测计算机磁盘,获取待检测计算机的文件名列表A;所述嵌入式设备利用独立操作系统遍历待检测计算机磁盘,获取待检测计算机的文件名列表B;所述嵌入式设备对比文件名列表A和文件名列表B,当文件名列表B中出现新增文件名且所述新增文件名出现次数超过预警值,则判定待检测计算机中存在Rootkit。
【技术特征摘要】
【专利技术属性】
技术研发人员:白淳升,李柏松,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。