一种基于内核模块的恶意软件拦截方法及装置制造方法及图纸

本发明专利技术实施例提供一种基于内核模块的恶意软件拦截方法及装置，所述方法包括：确定检测到内核模块加载通知，对内核模块信息进行合法性检测，获得合法性检测结果；所述合法性检测至少包括检测是否存在反初始化函数；确定合法性检测结果为不合法，则确定存在恶意软件加载内核模块，并拦截所述恶意软件。所述装置执行上述方法。本发明专利技术实施例提供的方法及装置，能够实现及时拦截恶意软件，进而避免在内核模块被恶意软件加载后进行的事后检测及修复。

A method and device for intercepting malware based on kernel module

【技术实现步骤摘要】
一种基于内核模块的恶意软件拦截方法及装置
本专利技术涉及网络安全
，尤其涉及一种基于内核模块的恶意软件拦截方法及装置。
技术介绍
Linux是一套免费使用和自由传播的类Unix操作系统，是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想，是一个性能稳定的多用户网络操作系统。随着Linux系统的广泛应用，越来越多的恶意软件针对Linux系统的内核模块进行攻击，从而给Linux系统的系统安全带来了极大的危害，现有技术采用如下手段进行处理：1、扫描本地文件系统，检测恶意软件的特征文件，从而确认本地文件系统是否有被恶意软件入侵过。2、扫描当前系统上的所有进程，通过检测是否有隐藏进程，从而确认是否有恶意软件隐藏了进程。3、扫描当前系统上的端口，以检查是否有外连进程，从而检测出异常进程，进而确认是否存在恶意软件入侵。4、转储内存镜像，通过分析内存镜像，进而确认是否存在恶意软件入侵。但上述几种技术方案都存在一定缺陷，即都是在恶意软件加载到内核模块之后，通过检测方式来确认是否存在恶意软件攻击；无法实现及时应对恶意软件攻击，且在检测存在恶意软件攻击后，还需要通过人工运维处理，从而消除恶意软件攻击带来的不利影响。
技术实现思路
针对现有技术存在的问题，本专利技术实施例提供一种基于内核模块的恶意软件拦截方法及装置。本专利技术实施例提供一种基于内核模块的恶意软件拦截方法，包括：确定检测到内核模块加载通知，对内核模块信息进行合法性检测，获得合法性检测结果；所述合法性检测至少包括检测是否存在反初始化函数；确定合法性检测结果为不合法，则确定存在恶意软件加载内核模块，并拦截所述恶意软件。其中，在所述确定检测到内核模块加载通知，对内核模块信息进行合法性检测，获得合法性检测结果之前，所述基于内核模块的恶意软件拦截方法还包括：利用系统钩子在检测到内核注入行为时，对所述内核模块信息进行预检测。其中，所述对内核模块信息进行合法性检测，获得合法性检测结果，包括：若确定所述内核模块信息中不存在所述反初始化函数，则确定所述合法性检测结果为不合法。其中，所述对内核模块信息进行合法性检测，获得合法性检测结果，还包括：若确定所述内核模块信息中存在所述反初始化函数，则检测在内核链表中是否存在所述内核模块；确定在内核链表中不存在所述内核模块，则确定所述合法性检测结果为不合法。其中，所述对内核模块信息进行合法性检测，获得合法性检测结果，还包括：若确定在内核链表中存在所述内核模块，则检测导致触发内核模块加载通知的待检测软件是否在黑名单中；确定待检测软件在所述黑名单中，则确定所述合法性检测结果为不合法。其中，所述对内核模块信息进行合法性检测，还包括：确定待检测软件不在所述黑名单中，则检测所述待检测软件是否在白名单中；确定待检测软件不在所述白名单中，则调用用户态层继续对所述内核模块信息进行合法性检测。其中，所述调用用户态层继续对所述内核模块信息进行合法性检测，包括：调用所述用户态层中的、由用户维护的用户态黑名单，并检测所述待检测软件是否在所述用户态黑名单中；确定待检测软件在所述用户态黑名单中，则确定所述合法性检测结果为不合法。其中，所述恶意软件为Rootkit。本专利技术实施例提供一种基于内核模块的恶意软件拦截装置，包括：检测单元，用于确定检测到内核模块加载通知，对内核模块信息进行合法性检测，获得合法性检测结果；所述合法性检测至少包括检测是否存在反初始化函数；拦截单元，用于确定合法性检测结果为不合法，则确定存在恶意软件加载内核模块，并拦截所述恶意软件。本专利技术实施例提供一种电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，所述处理器执行所述程序时实现如下方法步骤：确定检测到内核模块加载通知，对内核模块信息进行合法性检测，获得合法性检测结果；所述合法性检测至少包括检测是否存在反初始化函数；确定合法性检测结果为不合法，则确定存在恶意软件加载内核模块，并拦截所述恶意软件。本专利技术实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如下方法步骤：确定检测到内核模块加载通知，对内核模块信息进行合法性检测，获得合法性检测结果；所述合法性检测至少包括检测是否存在反初始化函数；确定合法性检测结果为不合法，则确定存在恶意软件加载内核模块，并拦截所述恶意软件。本专利技术实施例提供一种计算机程序产品，所述计算机程序产品包括计算机可执行指令，所述计算机可执行指令在被执行时实现如下方法步骤：确定检测到内核模块加载通知，对内核模块信息进行合法性检测，获得合法性检测结果；所述合法性检测至少包括检测是否存在反初始化函数；确定合法性检测结果为不合法，则确定存在恶意软件加载内核模块，并拦截所述恶意软件。本专利技术实施例提供的基于内核模块的恶意软件拦截方法及装置，通过内核模块加载通知触发对内核模块信息进行合法性检测，且至少包括检测是否存在反初始化函数，若合法性检测结果为不合法，则确定存在恶意软件加载内核模块，能够实现及时拦截恶意软件，进而避免在内核模块被恶意软件加载后进行的事后检测及修复。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术基于内核模块的恶意软件拦截方法实施例流程图；图2为本专利技术实现内核模块的恶意软件拦截方法另一实施例示意图；图3为本专利技术基于内核模块的恶意软件拦截装置实施例结构示意图；图4为本专利技术实施例提供的电子设备实体结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。图1为本专利技术基于内核模块的恶意软件拦截方法实施例流程图，如图1所示，本专利技术实施例提供的一种基于内核模块的恶意软件拦截方法，包括以下步骤：S101：确定检测到内核模块加载通知，对内核模块信息进行合法性检测，获得合法性检测结果；所述合法性检测至少包括检测是否存在反初始化函数。具体的，确定检测到内核模块加载通知，对内核模块信息进行合法性检测，获得合法性检测结果；所述合法本文档来自技高网...

【技术保护点】
1.一种基于内核模块的恶意软件拦截方法，其特征在于，包括：/n确定检测到内核模块加载通知，对内核模块信息进行合法性检测，获得合法性检测结果；所述合法性检测至少包括检测是否存在反初始化函数；/n确定合法性检测结果为不合法，则确定存在恶意软件加载内核模块，并拦截所述恶意软件。/n

【技术特征摘要】
1.一种基于内核模块的恶意软件拦截方法，其特征在于，包括：
确定检测到内核模块加载通知，对内核模块信息进行合法性检测，获得合法性检测结果；所述合法性检测至少包括检测是否存在反初始化函数；
确定合法性检测结果为不合法，则确定存在恶意软件加载内核模块，并拦截所述恶意软件。


2.根据权利要求1所述的基于内核模块的恶意软件拦截方法，其特征在于，在所述确定检测到内核模块加载通知，对内核模块信息进行合法性检测，获得合法性检测结果之前，所述基于内核模块的恶意软件拦截方法还包括：
利用系统钩子在检测到内核注入行为时，对所述内核模块信息进行预检测。


3.根据权利要求1所述的基于内核模块的恶意软件拦截方法，其特征在于，所述对内核模块信息进行合法性检测，获得合法性检测结果，包括：
若确定所述内核模块信息中不存在所述反初始化函数，则确定所述合法性检测结果为不合法。


4.根据权利要求3所述的基于内核模块的恶意软件拦截方法，其特征在于，所述对内核模块信息进行合法性检测，获得合法性检测结果，还包括：
若确定所述内核模块信息中存在所述反初始化函数，则检测在内核链表中是否存在所述内核模块信息对应的内核模块；
确定在内核链表中不存在所述内核模块，则确定所述合法性检测结果为不合法。


5.根据权利要求4所述的基于内核模块的恶意软件拦截方法，其特征在于，所述对内核模块信息进行合法性检测，获得合法性检测结果，还包括：
若确定在内核链表中存在所述内核模块，则检测导致触发内核模块加载通知的待检测软件是否在黑名单中；
确定待检测软件在所述黑名单中，则确定所述合法性检测结果为不合法。


6.根据权利要求5所述的基于内核模块的恶意软件拦截方...

【专利技术属性】
技术研发人员：屈梦梦，李常坤，张聪，汤迪斌，
申请(专利权)人：奇安信科技集团股份有限公司，网神信息技术北京股份有限公司，
类型：发明
国别省市：北京;11