【技术实现步骤摘要】
rootkit检测方法、装置及电子设备
本申请涉及网络安全领域,尤其涉及一种rootkit检测方法、装置及电子设备。
技术介绍
rootkit是指在非授权情况下维持系统最高权限,试图通过隐藏自己防止被发现,达到长期利用受害主机的目的。当前rootkit主要包括两种:用户态rootkit和内核态rootkit。用户态rootkit经常篡改系统命令,或恶意替换系统动态链接库,使得获取的信息已不是内核态返回给用户态的原始信息,达到隐藏自己长期侵害主机的目的;而内核态rootkit更为复杂,内核结构体是内核数据流的承载和控制对象,内核态rootkit即通过篡改内核结构体来掩人耳目。目前的内核态rootkit主要为LKM(LoadableKernelModules,可加载内核模块)入侵方式,其大致可以分为以下几类:系统调用表、中断向量表、DKNOM、硬件寄存器中断、Proc文件系统,各种方式的区别是篡改不同类型的内核结构体。如何准确地检测内核态rootkit成为一种亟待解决的技术问题。专利技术内...
【技术保护点】
1.一种rootkit检测方法,其特征在于,方法包括:/n当检测到LKM内核模块加载事件发生时,获取所述LKM信息以及内核关键数据结构;/n分别确定所获取到的LKM信息中各LKM的哈希值,以及,所获取到的内核关键数据结构中各内核关键数据结构的哈希值;/n比较所述各LKM的哈希值与LKM基准信息,以及,比较所述各内核关键数据结构的哈希值与内核关键数据结构基准信息;所述LKM基准信息和所述内核关键数据结构基准信息预置于安全装置中,所述LKM基准信息包括LKM标识信息及对应的基准哈希值;所述内核关键数据结构基准信息包括内核关键数据结构标识信息及对应的基准哈希值;/n当所述各LKM...
【技术特征摘要】
1.一种rootkit检测方法,其特征在于,方法包括:
当检测到LKM内核模块加载事件发生时,获取所述LKM信息以及内核关键数据结构;
分别确定所获取到的LKM信息中各LKM的哈希值,以及,所获取到的内核关键数据结构中各内核关键数据结构的哈希值;
比较所述各LKM的哈希值与LKM基准信息,以及,比较所述各内核关键数据结构的哈希值与内核关键数据结构基准信息;所述LKM基准信息和所述内核关键数据结构基准信息预置于安全装置中,所述LKM基准信息包括LKM标识信息及对应的基准哈希值;所述内核关键数据结构基准信息包括内核关键数据结构标识信息及对应的基准哈希值;
当所述各LKM的哈希值与所述LKM基准信息一致,且所述各内核关键数据结构的哈希值与所述内核关键数据结构基准信息一致时,确定内核态rootkit检测通过。
2.根据权利要求1所述的方法,其特征在于,所述确定内核态rootkit检测通过之后,还包括:
获取内核态进程信息,并基于所述内核态进程信息的关键属性生成内核态进程信息列表;
获取用户态进程信息,并基于所述用户态进程信息的所述关键属性生成用户态进程信息列表;
比较所述内核态进程信息列表以及所述用户态进程信息列表;
当所述内核态进程信息列表与所述用户态进程信息列表一致时,确定用户态rootkit检测通过;
其中,所述关键属性包括以下属性之一或多个:
进程号、父进程信息以及进程名。
3.根据权利要求1或2所述的方法,其特征在于,所述获取加载的可加载内核模块LKM信息以及内核关键数据结构之前,还包括:
当终端上电启动时,依次验证引导程序的数字签名和内核/操作系统的数字签名;
当所述引导程序的数字签名和所述内核/操作系统的数字签名均验证通过时,允许启动。
4.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
动态地基于LKM信息和内核关键数据结构建立行为分析树,其中,所述行为分析树用于表示内核根基是否被非法篡改;
基于所述安全装置中预置的基准值,确定所述行为分析树是否存在异常。
5.根据权利要求4所述的方法,其特征在于,所述行为分析树的叶子节点包括LKM标识信息及对应的哈希值,或,内核关键数据结构的标识信息及对应的哈希值;
所述基于所述安全装置中预置的基准值,确定所述行为分析树是否存在异常,包括:
当所述行为分析树的各叶子节点中包括的哈希值分别与对应的哈希基准值一致时,确定所述行为分析树正常。
6.一种rootkit检测装置,其特征在于,包括:
获取单元,用于当检测到LKM内...
【专利技术属性】
技术研发人员:王滨,陈达,林克章,陈加栋,
申请(专利权)人:杭州海康威视数字技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。