基于微内核操作系统的安全监控方法、装置、设备及芯片制造方法及图纸

本公开实施例公开了一种基于微内核操作系统的安全监控方法、装置、设备及芯片，所述方法包括：响应于用户空间的执行对象对微内核操作系统中的系统调用接口的调用请求，在内核空间将调用请求对应的系统调用事件类型与预先配置的审计配置信息进行匹配；在系统调用事件类型与审计配置信息相匹配时，将系统调用接口进入内核空间运行时的入口审计信息记录在执行对象的审计上下文结构，并在系统调用接口退出时的出口审计信息也记录在执行对象的审计上下文结构；在退出系统调用接口时将审计上下文结构中的入口审计信息和出口审计信息从所述内核空间输出至用户空间的审计缓冲区。该技术方案能够在尽可能最大化简化内核的前提下对操作系统进行安全监控。对操作系统进行安全监控。对操作系统进行安全监控。

【技术实现步骤摘要】
基于微内核操作系统的安全监控方法、装置、设备及芯片


[0001]本公开涉及芯片
，具体涉及一种基于微内核操作系统的安全监控方法、装置、设备及芯片。

技术介绍

[0002]审计是事后认定违反安全规则的分析技术，安全审计为管理员在用户违反安全法则时提供及时的警告信息，实现对系统信息的追踪、审查、统计和报告等功能。目前有一些开源操作系统已经实现了审计功能。
[0003]Linux提供了用来记录系统安全事件的审计系统，审计系统包括用户空间审计系统和内核空间审计系统，用户空间审计系统由一些用户空间的审计程序组成，用来开启内核审计功能、设置审计规则和审计系统状态、接收内核审计系统发送来的审计消息并写入log文件，以及审计消息的检索和生成审计总结报告。内核审计系统用于产生和过滤内核的各种审计消息。
[0004]Linux的安全审计系统分为syslog和audit两个部分。audit部分主要记录安全信息，包括文件的读写、权限的修改等，syslog部分主要用来记录系统中的各种信息，如硬件警报和软件日志等。日志的数据主要包含了三类：内核及系统日志、用户日志、程序日志。
[0005]syslog属于应用层的服务，专门用来记录日志，我们可以把每一个程序理解为子系统，syslog可以根据日志的类别和优先级将日志保存在不同的文件中。另外syslog有两个进程，syslogd专门负责记录非内核的其他设置产生的日志，klogd专门负责内核产生的日志，通过系统调用syslog读出这些信息，记录在日志文件中。
[0006]除了Linux以外，还有SNARE(System iNtrusion and Reporting Environment)审计系统，它是一个开源的安全审计和事件日志软件。SNARE系统主要分为三个模块：内核动态加载模块auditmodule.o；在用户空间运行的审计监控程序auditd；图形截面的配置和报告工具snare。此系统将审计从内核中分离出来，构成一个独立于内核的模块。它重新编写了要审计的系统调用，在新的系统调用中实现对审计信息的收集以及将审计记录放入缓冲池，加载模块后，通过将系统调用表中的函数指针指向新的系统调用函数来使得新的带审计功能的系统调用代替原有的系统调用。
[0007]此外，WINDOWS NT审计系统能够检测和记录与安全性有关的任何创建、访问或删除系统资源的事件，并记录实施这些行为的用户。在审计过程中对象管理器可以根据审计策略生成审计事件，这是一个被动的过程，也可以在用户程序中利用审计函数主动生成审计事件。
[0008]Linux操作系统作为一个宏内核架构，系统的主要核心组件都在内核实现，安全审计系统的部分模块也是在内核中实现的，这样的设计思想与本专利技术针对的微内核操作系统是不同的，不利于模块化设计。
[0009]SNARE系统的审计事件较少，不够全面，同时其采用系统调用来分离审计系统的方式是建立在系统调用表的基础上，当内核模块中不能再引用系统调用表时，此方式也就不
可行了。
[0010]因此，针对微内核操作系统，需要在用户层设计一个安全审计监控系统，在保证隔离性的基础上，维护操作系统的安全性和可靠性。

技术实现思路

[0011]本公开实施例提供一种基于微内核操作系统的安全监控方法、装置、设备及芯片。
[0012]第一方面，本公开实施例中提供了一种基于微内核操作系统的安全监控方法，其中，包括：响应于用户空间的执行对象对微内核操作系统中的系统调用接口的调用请求，在内核空间将所述调用请求对应的系统调用事件类型与预先配置的审计配置信息进行匹配；在所述系统调用事件类型与所述审计配置信息相匹配时，将所述系统调用接口进入内核空间运行时的入口审计信息记录在所述执行对象的审计上下文结构中，并将所述系统调用接口退出时的出口审计信息也记录在所述执行对象的审计上下文结构中；在退出所述系统调用接口时将所述审计上下文结构中的入口审计信息和出口审计信息从所述内核空间输出至用户空间的审计缓冲区。
[0013]进一步地，所述方法还包括：在所述调用请求对应的系统调用事件类型与所述审计配置信息不相匹配时，将所述系统调用接口在内核空间执行过程中所产生的第一内核态日志信息写入用户空间的日志缓冲区中。
[0014]进一步地，所述方法还包括：将用户空间产生的用户态日志信息写入所述日志缓冲区中；和/或，将内核空间产生的第二内核态日志信息写入所述日志缓冲区中；其中，所述第二内核态日志信息为非系统调用接口在内核空间产生的日志信息。
[0015]进一步地，所述方法还包括：在用户空间读取所述日志缓冲区中的日志信息；调用文件系统接口将所述日志缓冲区中的所述日志信息输出至控制台或日志文件中。
[0016]进一步地，所述方法还包括：获取用户空间产生的用户空间审计信息；将所述用户空间审计信息与所述审计配置信息进行匹配；在所述用户空间审计信息与所述审计配置信息相匹配时，将所述用户空间审计信息写入所述审计缓冲区中。
[0017]进一步地，所述方法还包括：接收用户在用户空间通过预设接口输入的用户配置信息；基于所述用户配置信息更新在用户空间存储的所述审计配置信息。
[0018]进一步地，所述方法还包括：接收用户在用户空间对日志文件的查看请求；基于所述查看请求向用户输出所述日志文件。
[0019]进一步地，所述方法还包括：
在用户空间读取所述审计缓冲区中的审计信息；调用文件系统接口将所述审计缓存区中的所述审计信息输出至审计文件中。
[0020]进一步地，所述方法还包括：接收用户在用户空间对所述审计文件的查看请求；基于所述审计文件中的审计信息向用户输出审计报告。
[0021]进一步地，所述方法还包括：在用户空间设置审计缓冲区链表；所述审计缓冲区链表用于存储指向所述审计缓冲区的指针；调用文件系统接口将所述审计缓存区中的所述审计信息输出至审计文件中，包括：在所述审计缓冲区链表中的指针个数超过预设阈值后，在用户空间基于所述审计缓冲区链表中的指针，调用文件系统接口将所述审计缓冲区中的审计信息输出至所述审计文件中；删除所述审计缓冲区链表中对应的指针。
[0022]进一步地，所述方法还包括：建立空闲的审计缓冲区；将指向所述空闲的审计缓冲区的指针存储在空闲审计缓冲区链表中；在退出所述系统调用接口时将所述审计上下文结构中的入口审计信息和出口审计信息从所述内核空间输出至用户空间的审计缓冲区，包括：从所述空闲审计缓冲区链表中请求空闲的审计缓冲区；将所述审计上下文结构中的审计信息写入空闲的所述审计缓冲区中。
[0023]进一步地，所述方法还包括：在所述空闲审计缓冲区链表中没有空闲的审计缓冲区时，重新分配审计缓冲区；将所述审计上下文结构中的审计信息写入重新分配的所述审计缓冲区中。
[0024]进一步地，所述方法还包括：在所述审计文件中的内容超过预设存储容量后，建立新的审计文件；在所述审计文件的个数超过预设数量后，按照时间先后顺序删除最先建立本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于微内核操作系统的安全监控方法，其特征在于，包括：响应于用户空间的执行对象对微内核操作系统中的系统调用接口的调用请求，在内核空间将所述调用请求对应的系统调用事件类型与预先配置的审计配置信息进行匹配；在所述系统调用事件类型与所述审计配置信息相匹配时，将所述系统调用接口进入内核空间运行时的入口审计信息记录在所述执行对象的审计上下文结构中，并将所述系统调用接口退出时的出口审计信息也记录在所述执行对象的审计上下文结构中；在退出所述系统调用接口时将所述审计上下文结构中的入口审计信息和出口审计信息从所述内核空间输出至用户空间的审计缓冲区。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：在所述调用请求对应的系统调用事件类型与所述审计配置信息不相匹配时，将所述系统调用接口在内核空间执行过程中所产生的第一内核态日志信息写入用户空间的日志缓冲区中。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：将用户空间产生的用户态日志信息写入所述日志缓冲区中；和/或，将内核空间产生的第二内核态日志信息写入所述日志缓冲区中；其中，所述第二内核态日志信息为非系统调用接口在内核空间产生的日志信息。4.根据权利要求2所述的方法，其特征在于，所述方法还包括：在用户空间读取所述日志缓冲区中的日志信息；调用文件系统接口将所述日志缓冲区中的所述日志信息输出至控制台或日志文件中。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：获取用户空间产生的用户空间审计信息；将所述用户空间审计信息与所述审计配置信息进行匹配；在所述用户空间审计信息与所述审计配置信息相匹配时，将所述用户空间审计信息写入所述审计缓冲区中。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：接收用户在用户空间通过预设接口输入的用户配置信息；基于所述用户配置信息更新在用户空间存储的所述审计配置信息。7.根据权利要求4所述的方法，其特征在于，所述方法还包括：接收用户在用户空间对日志文件的查看请求；基于所述查看请求向用户输出所述日志文件。8.根据权利要求1所述的方法，其特征在于，所述方法还包括：在用户空间读取所述审计缓冲区中的审计信息；调用文件系统接口将所述审计缓存区中的所述审计信息输出至审计文件中。9.根据权利要求8所述的方法，其特征在于，所述方法还包括：接收用户在用户空间对所述审计文件的查看请求；基于所述审计文件中的审计信息向用户输出审计报告。10.根据权利要求8或9所述的方法，其特征在于，所述方法还包括：在用户空间设置审计缓冲区链表；所述审计缓冲区链表用于存储指向所述审计缓冲区的指针；
调用文件系统接口将所述审计缓存区中的所述审计信息输出至审计文件中，包括：在所述审计缓冲区链表中的指针个数超过预设阈值后，在用户空间基于所述审计缓冲区链表中的指针，调用文件系统接口将所述审计缓冲区中的审计信息输出至所述审计文件中；删除所述审计缓冲区链表中对应的指针。11.根据权利要求1所述的方法，其特征在于，所述方法还包括：建立空闲的审计缓冲区；将指向所述空闲的审计缓冲区的指针存储在空闲审计缓冲区链表中；在退出所述系统调用接口时将所述审计上下文结构中的入口审计信息和出口审计信息从所述内核空间输出至用户空间的审计缓冲区，包括：从所述空闲审计缓冲区链表中请求空闲的审计缓冲区；将所述审计上下文结构中的审计信息写入空闲的所述审计缓冲区中。12.根据权利要求11所述的方法，其特征在于，所述方法还包括：在所述空闲审计缓冲区链表中没有空闲的审计缓冲区时，重新分配审计缓冲区；将所述审计上下文结构中的审计信息写入重新分配的所述审计缓冲区中。13.根据权利要求1所述的方法，其特征在于，所述方法还包括：在所述审计文件中的内容超过预设存储容量后，建立新的审计文件；在所述审计文件的个数超过预设数量后，按照时间先后顺序删除最先建立的一个或多个审计文件。14.一种基于微内核操作系统的安全监控装置，其特征在于，包括：响应模块，被配置为响应于用户空间的执行对象对微内核操作系统中的系统调用接口的调用请求，在内核空间将所述调用请求对应的系统调用事件类型与预先配置的审计配置信息进行匹配；记录模块，被配置为在所述系统调用事件类型与所述审计配置信息相匹配时，将所述系统调用接口进入内核空间运行时的入口审计信息记录在所述执行对象的审计上下文结构中，并将所述系统调用接口退出时的出口审计信息也记录在所述执行对象的审计上下文结构中；第一输出模块，被配置为在退出所述...

【专利技术属性】
技术研发人员：赵东艳，王慧，王喆，曾林，李德建，顿中强，
申请(专利权)人：北京智芯微电子科技有限公司，
类型：发明
国别省市：