【技术实现步骤摘要】
一种基于内核模块的恶意软件拦截方法及装置
本专利技术涉及网络安全
,尤其涉及一种基于内核模块的恶意软件拦截方法及装置。
技术介绍
Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。随着Linux系统的广泛应用,越来越多的恶意软件针对Linux系统的内核模块进行攻击,从而给Linux系统的系统安全带来了极大的危害,现有技术采用如下手段进行处理:1、扫描本地文件系统,检测恶意软件的特征文件,从而确认本地文件系统是否有被恶意软件入侵过。2、扫描当前系统上的所有进程,通过检测是否有隐藏进程,从而确认是否有恶意软件隐藏了进程。3、扫描当前系统上的端口,以检查是否有外连进程,从而检测出异常进程,进而确认是否存在恶意软件入侵。4、转储内存镜像,通过分析内存镜像,进而确认是否...
【技术保护点】
1.一种基于内核模块的恶意软件拦截方法,其特征在于,包括:/n确定检测到内核模块加载通知,对内核模块信息进行合法性检测,获得合法性检测结果;所述合法性检测至少包括检测是否存在反初始化函数;/n确定合法性检测结果为不合法,则确定存在恶意软件加载内核模块,并拦截所述恶意软件。/n
【技术特征摘要】
1.一种基于内核模块的恶意软件拦截方法,其特征在于,包括:
确定检测到内核模块加载通知,对内核模块信息进行合法性检测,获得合法性检测结果;所述合法性检测至少包括检测是否存在反初始化函数;
确定合法性检测结果为不合法,则确定存在恶意软件加载内核模块,并拦截所述恶意软件。
2.根据权利要求1所述的基于内核模块的恶意软件拦截方法,其特征在于,在所述确定检测到内核模块加载通知,对内核模块信息进行合法性检测,获得合法性检测结果之前,所述基于内核模块的恶意软件拦截方法还包括:
利用系统钩子在检测到内核注入行为时,对所述内核模块信息进行预检测。
3.根据权利要求1所述的基于内核模块的恶意软件拦截方法,其特征在于,所述对内核模块信息进行合法性检测,获得合法性检测结果,包括:
若确定所述内核模块信息中不存在所述反初始化函数,则确定所述合法性检测结果为不合法。
4.根据权利要求3所述的基于内核模块的恶意软件拦截方法,其特征在于,所述对内核模块信息进行合法性检测,获得合法性检测结果,还包括:
若确定所述内核模块信息中存在所述反初始化函数,则检测在内核链表中是否存在所述内核模块信息对应的内核模块;
确定在内核链表中不存在所述内核模块,则确定所述合法性检测结果为不合法。
5.根据权利要求4所述的基于内核模块的恶意软件拦截方法,其特征在于,所述对内核模块信息进行合法性检测,获得合法性检测结果,还包括:
若确定在内核链表中存在所述内核模块,则检测导致触发内核模块加载通知的待检测软件是否在黑名单中;
确定待检测软件在所述黑名单中,则确定所述合法性检测结果为不合法。
6.根据权利要求5所述的基于内核模块的恶意软件拦截方...
【专利技术属性】
技术研发人员:屈梦梦,李常坤,张聪,汤迪斌,
申请(专利权)人:奇安信科技集团股份有限公司,网神信息技术北京股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。