一种内核数据访问控制方法与系统技术方案
【技术实现步骤摘要】
一种内核数据访问控制方法与系统
本专利技术涉及一种内核数据访问控制方法与系统,尤其涉及一种基于模块白名单的内核数据访问控制方法与系统,属于计算机操作系统安全领域。
技术介绍
随着黑客技术的发展,木马对操作系统安全造成了巨大的威胁。木马借助DKOM攻击,可以将指定的进程或者模块结构从进程列表或者模块列表中删除,从而达到隐藏恶意的进程或模块的目的。在其他类型的DKOM攻击中,木马修改系统调用表或者中断描述符表,将正常的系统调用服务程序或者中断服务程序地址替换为恶意的函数地址。木马还可以将进程的用户证书替换为超级用户的证书,进而提高恶意进程的权限。目前很多的专利技术采用虚拟机监控器来保护操作系统免受木马攻击。虚拟机自省技术可以用来检测木马,但是虚拟机自省检测假设内核数据没有被木马修改,所以虚拟机自省无法检测DKOM攻击。有些专利技术提供了DKOM攻击的检测方法,但是检测能力并不完备。PatchGuard保护只读的内核数据,如系统服务描述符表和中断描述符表。UCONKI针对内核只读数据提出了一种访问控制方法。而DKOM还会攻击内核非只读数据,如进程、模块结构。这些数据既可...
【技术保护点】
一种内核数据访问控制方法,其步骤为:1)建立一保护列表,用于记录需保护内核数据的地址区域;建立一模块列表,用于记录可信的内核模块,即模块列表中的模块允许修改该需保护内核数据;2)将存储允许修改该需保护内核数据的代码段对应的地址区间存储到一核心方法模块;所述代码段对应的地址区间称为可信代码区域;3)所述核心方法模块判断收到的指令是否合法;其中,当该指令操作的数据地址为所述保护列表中记录的地址时,如果该指令为所述模块列表中的模块发出的指令且该指令的地址属于该可信代码区域,则该指令合法,否则不合法;4)异常处理模块根据核心方法模块的判断结果确定是否允许执行所述指令,如果指令合法,...
【技术特征摘要】
1.一种内核数据访问控制方法,其步骤为:1)建立一保护列表,用于记录需保护内核数据的地址区域;建立一模块列表,用于记录可信的内核模块,即模块列表中的模块允许修改该需保护内核数据;2)将存储允许修改该需保护内核数据的代码段对应的地址区间存储到一核心方法模块;所述代码段对应的地址区间称为可信代码区域;3)所述核心方法模块判断收到的指令是否合法;其中,当该指令操作的数据地址为所述保护列表中记录的地址时,如果该指令为所述模块列表中的模块发出的指令且该指令的地址属于该可信代码区域,则该指令合法,否则不合法;4)异常处理模块根据核心方法模块的判断结果确定是否允许执行所述指令,如果指令合法,则允许执行该指令;否则阻止执行该指令。2.如权利要求1所述的方法,其特征在于,所述可信代码区域包括:内核核心代码段对应的地址区间,内核启动所需的核心代码对应的地址区间和初始化LKM的代码对应的地址区间。3.权利要求1所述的方法,其特征在于,所述保护列表是由一组{start_address,end_address}元素构成的数组结构;其中,start_address和end_address为内核结构的起始地址和结束地址。4.权利要求1或2或3所述的方法,其特征在于,所述需保护内核数据为Linux内核数据,通过查询存储内核变量的客户虚拟地址的System.map文件获取所述可信代码区域以及保护内核数据的地址区域。5.权利要求1所述的方法,其特征在于,所述模块列表由内核模块结构体组成,记录了内核当前加载的模块。6.权利要求1所述的方法,其特征在于,所述核心方法模块判断指令为不合法时,所述异常处理模块调用可疑行为内核模块追踪算法追踪发出该指令的模块;所述可疑行为内核模块追踪算法为:首先将do_one_initcall函数的地址加入到do_one_initcall函数的参数列表中,作为一第二参数,第一参数为模块初始化函数的地址;然后读取客户...
【专利技术属性】
技术研发人员:马恒太,王建平,
申请(专利权)人:中国科学院软件研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。