本发明专利技术公开了一种软件实时可信度量的方法、设备、系统及存储介质。本发明专利技术在执行实时可信度量之前,首先为待度量软件编写并绑定预期行为规范以建立待度量软件的预期行为。在系统执行过程中,不断捕获待度量软件当前进程运行时的系统调用及其参数信息,基于所述系统调用及其参数信息建立所述当前进程的真实行为。然后,查找与待度量软件绑定的预期行为规范,基于所述预期行为规范获得与所述真实行为对应的预期行为,将所述真实行为与所述预期行为进行匹配。在匹配成功时,判定所述待度量软件处于可信状态,否则处于不可信状态并实时报警。
【技术实现步骤摘要】
软件实时可信度量的方法、设备、系统及存储介质
本专利技术涉及可信及安全监控
,尤其涉及一种软件实时可信度量的方法、设备、系统及存储介质。
技术介绍
当前,可信计算已经成为重要的安全支撑技术,应用在云计算安全、移动智能终端安全及网络安全等众多领域,因此,保证保信计算自身的可靠与是至关重要的。根据可信计算标准,可信计算有三大核心功能:度量、存储和报告,三者协同动作确保了第三方能够可靠地判定本机的可信性。其基本过程是:本机在运行的过程中不断度量自身的可信性,并将度量结果存储到专用安全芯片(TPM,TrustedPlatformModule)和内存log当中。当其他机器想与本机通信时,由本机将存储的度量结果报告给对方,并由对方来判定本机的可信性。在度量、存储和报告三大核心功能中,度量居于基础地位,存储和报告都是依据度量的结果而执行的。但是,如何实现软件实时可信度量仍然是一个有待解决的问题。这主要包括如下三方面的因素:(1)如何度量各类层出不穷的攻击方式。除了传统的多态/混淆/变形/编码等攻击之外,还需考虑新型攻击,如ROP(Return-OrientedProgramming)攻击等,更进一步地,理论上甚至还需要能够度量尚未发现或者尚未公开的未知攻击等。(2)已有的方法大多是一种“事后被动发现”机制,换句话说,这种机制只能确保其他机器可靠地判定本机是否被攻击而处于不可信状态,但却无法度量到当前机器是否正在被攻击以及无法在发现攻击的情况下进行实时响应。“事前防御、事中审计、事后发现”应当作为环环相扣的整体,然而,现有的可信度量侧重于“事后被动发现”,而缺少“事前主动防御”的能力。(3)现有的工作大多局限于理论研究,难以应用在实时可信度量领域,以实现有效(effectiveandefficient)的度量。上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供一种软件实时可信度量的方法、设备、系统及存储介质,旨在解决现有软件实时可信度量技术缺乏的问题。为实现上述目的,本专利技术提供一种软件实时可信度量的方法,所述方法包括以下步骤:获取待度量软件当前进程的系统调用,基于所述系统调用获取所述当前进程的真实行为;查找与所述系统调用对应的预期行为规范,基于所述预期行为规范获得与所述真实行为对应的预期行为;将所述真实行为与所述预期行为进行匹配;在匹配成功时,判定所述待度量软件处于可信状态。优选地,所述查找与所述系统调用对应的预期行为规范,基于所述预期行为规范获得与所述真实行为对应的预期行为之前,所述方法还包括:基于预先编制的语法规范,生成预期行为规范。优选地,所述获取待度量软件当前进程的系统调用,基于所述系统调用获取所述当前进程的真实行为,具体包括:获取当前进程的进程标志符,通过Ptrace系统函数获取所述当前进程的系统调用及参数信息,基于所述系统调用及参数信息获取所述当前进程的真实行为。优选地,所述获取待度量软件当前进程的系统调用,基于所述系统调用获取所述当前进程的真实行为,具体包括:获取待度量软件当前进程的系统调用序列,基于所述系统调用序列获取当前进程的真实行为序列;相应地,所述查找与所述系统调用对应的预期行为规范,基于所述预期行为规范获得与所述真实行为对应的预期行为,具体包括:分别查找与所述系统调用序列中各系统调用对应的预期行为规范,基于所述系统调用及与所述系统调用对应的预期行为规范,获得所述当前进程的预期行为序列。优选地,所述将所述真实行为与所述预期行为进行匹配,具体包括:遍历所述系统调用序列,将所述系统调用序列中各系统调用对应的真实行为与预期行为分别进行匹配。优选地,所述获取待度量软件当前进程的系统调用,基于所述系统调用获取所述当前进程的真实行为,具体包括:获取待度量软件当前进程的当前系统调用,基于所述当前系统调用获取所述当前进程的当前真实行为;相应地,所述查找与所述系统调用对应的预期行为规范,基于所述预期行为规范获得与所述真实行为对应的预期行为,具体包括:查找与所述当前系统调用对应的预期行为规范,基于所述预期行为规范获得与所述当前真实行为对应的当前预期行为。优选地,所述在匹配成功时,判定所述待度量软件处于可信状态之后,所述方法还包括:基于安全需求变动实时更新所述预期行为规范。此外,为实现上述目的,本专利技术还提供一种软件实时可信度量的设备,所述软件实时可信度量的设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的软件实时可信度量的程序,所述软件实时可信度量的程序配置为实现如上文所述的软件实时可信度量的方法的步骤。此外,为实现上述目的,本专利技术还提供一种软件实时可信度量的系统,所述软件实时可信度量的系统包括:获取模块,用于获取待度量软件当前进程的系统调用,基于所述系统调用获取所述当前进程的真实行为;查找模块,用于查找与所述系统调用对应的预期行为规范,基于所述预期行为规范获得与所述真实行为对应的预期行为;匹配模块,用于将所述真实行为与所述预期行为进行匹配;判定模块,用于在匹配成功时,判定所述待度量软件处于可信状态。此外,为实现上述目的,本专利技术还提供一种存储介质,所述存储介质上存储有软件实时可信度量的程序,所述软件实时可信度量的程序被处理器执行时实现如上文所述的软件实时可信度量的方法的步骤。本专利技术的设备首先获取待度量软件当前进程的系统调用,基于所述系统调用获取所述当前进程的真实行为,查找与所述系统调用对应的预期行为规范,基于所述预期行为规范获得与所述真实行为对应的预期行为,将所述真实行为与所述预期行为进行匹配,在匹配成功时,判定所述待度量软件处于可信状态。本专利技术,在软件运行过程中,能够实时地获取软件当前进程的系统调用,基于预期行为规范,将软件的真实行为与预期行为进行对比,获得软件当前的状态,实现了对软件的行为进行实时可信度量,及时发现各种攻击,提高了软件对各种攻击进行主动防御及对攻击进行及时处理的能力。附图说明图1是本专利技术实施例方案涉及的硬件运行环境的软件实时可信度量的设备结构示意图;图2为本专利技术软件实时可信度量的方法第一实施例的流程示意图;图3为本专利技术软件实时可信度量的系统第一实施例的流程示意图。本专利技术目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。具体实施方式应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。参照图1,图1为本专利技术实施例方案涉及的硬件运行环境的软件实时可信度量的设备的结构示意图。如图1所示,该软件实时可信度量的设备可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatilememory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。如图1所示,作为一种存本文档来自技高网...
【技术保护点】
1.一种软件实时可信度量方法,其特征在于,所述方法包括以下步骤:获取待度量软件当前进程的系统调用,基于所述系统调用获取所述当前进程的真实行为;查找与所述系统调用对应的预期行为规范,基于所述预期行为规范获得与所述真实行为对应的预期行为;将所述真实行为与所述预期行为进行匹配;在匹配成功时,判定所述待度量软件处于可信状态。
【技术特征摘要】
1.一种软件实时可信度量方法,其特征在于,所述方法包括以下步骤:获取待度量软件当前进程的系统调用,基于所述系统调用获取所述当前进程的真实行为;查找与所述系统调用对应的预期行为规范,基于所述预期行为规范获得与所述真实行为对应的预期行为;将所述真实行为与所述预期行为进行匹配;在匹配成功时,判定所述待度量软件处于可信状态。2.如权利要求1所述的方法,其特征在于,所述查找与所述系统调用对应的预期行为规范,基于所述预期行为规范获得与所述真实行为对应的预期行为之前,所述方法还包括:基于预先编制的语法规范,生成预期行为规范。3.如权利要求2所述的方法,其特征在于,所述获取待度量软件当前进程的系统调用,基于所述系统调用获取所述当前进程的真实行为,具体包括:获取当前进程的进程标志符,通过Ptrace系统函数获取所述当前进程的系统调用及参数信息,基于所述系统调用及参数信息获取所述当前进程的真实行为。4.如权利要求3所述的方法,其特征在于,所述获取待度量软件当前进程的系统调用,基于所述系统调用获取所述当前进程的真实行为,具体包括:获取待度量软件当前进程的系统调用序列,基于所述系统调用序列获取当前进程的真实行为序列;相应地,所述查找与所述系统调用对应的预期行为规范,基于所述预期行为规范获得与所述真实行为对应的预期行为,具体包括:分别查找与所述系统调用序列中各系统调用对应的预期行为规范,基于所述系统调用及与所述系统调用对应的预期行为规范,获得所述当前进程的预期行为序列。5.如权利要求4所述的方法,其特征在于,所述将所述真实行为与所述预期行为进行匹配,具体包括:遍历所述系统调用序列,将所述系统调用序列中各系统调用对应的真实行为与预期行为分...
【专利技术属性】
技术研发人员:张帆,张慧,赵涵捷,张聪,刘小丽,
申请(专利权)人:武汉轻工大学,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。