【技术实现步骤摘要】
基于微内核操作系统的安全监控方法、装置、设备及芯片
[0001]本公开涉及芯片
,具体涉及一种基于微内核操作系统的安全监控方法、装置、设备及芯片。
技术介绍
[0002]审计是事后认定违反安全规则的分析技术,安全审计为管理员在用户违反安全法则时提供及时的警告信息,实现对系统信息的追踪、审查、统计和报告等功能。目前有一些开源操作系统已经实现了审计功能。
[0003]Linux提供了用来记录系统安全事件的审计系统,审计系统包括用户空间审计系统和内核空间审计系统,用户空间审计系统由一些用户空间的审计程序组成,用来开启内核审计功能、设置审计规则和审计系统状态、接收内核审计系统发送来的审计消息并写入log文件,以及审计消息的检索和生成审计总结报告。内核审计系统用于产生和过滤内核的各种审计消息。
[0004]Linux的安全审计系统分为syslog和audit两个部分。audit部分主要记录安全信息,包括文件的读写、权限的修改等,syslog部分主要用来记录系统中的各种信息,如硬件警报和软件日志等。日志的数据主要包含了三类:内核及系统日志、用户日志、程序日志。
[0005]syslog属于应用层的服务,专门用来记录日志,我们可以把每一个程序理解为子系统,syslog可以根据日志的类别和优先级将日志保存在不同的文件中。另外syslog有两个进程,syslogd专门负责记录非内核的其他设置产生的日志,klogd专门负责内核产生的日志,通过系统调用syslog读出这些信息,记录在日志文件中。
[0 ...
【技术保护点】
【技术特征摘要】
1.一种基于微内核操作系统的安全监控方法,其特征在于,包括:响应于用户空间的执行对象对微内核操作系统中的系统调用接口的调用请求,在内核空间将所述调用请求对应的系统调用事件类型与预先配置的审计配置信息进行匹配;在所述系统调用事件类型与所述审计配置信息相匹配时,将所述系统调用接口进入内核空间运行时的入口审计信息记录在所述执行对象的审计上下文结构中,并将所述系统调用接口退出时的出口审计信息也记录在所述执行对象的审计上下文结构中;在退出所述系统调用接口时将所述审计上下文结构中的入口审计信息和出口审计信息从所述内核空间输出至用户空间的审计缓冲区。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:在所述调用请求对应的系统调用事件类型与所述审计配置信息不相匹配时,将所述系统调用接口在内核空间执行过程中所产生的第一内核态日志信息写入用户空间的日志缓冲区中。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:将用户空间产生的用户态日志信息写入所述日志缓冲区中;和/或,将内核空间产生的第二内核态日志信息写入所述日志缓冲区中;其中,所述第二内核态日志信息为非系统调用接口在内核空间产生的日志信息。4.根据权利要求2所述的方法,其特征在于,所述方法还包括:在用户空间读取所述日志缓冲区中的日志信息;调用文件系统接口将所述日志缓冲区中的所述日志信息输出至控制台或日志文件中。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:获取用户空间产生的用户空间审计信息;将所述用户空间审计信息与所述审计配置信息进行匹配;在所述用户空间审计信息与所述审计配置信息相匹配时,将所述用户空间审计信息写入所述审计缓冲区中。6.根据权利要求1所述的方法,其特征在于,所述方法还包括:接收用户在用户空间通过预设接口输入的用户配置信息;基于所述用户配置信息更新在用户空间存储的所述审计配置信息。7.根据权利要求4所述的方法,其特征在于,所述方法还包括:接收用户在用户空间对日志文件的查看请求;基于所述查看请求向用户输出所述日志文件。8.根据权利要求1所述的方法,其特征在于,所述方法还包括:在用户空间读取所述审计缓冲区中的审计信息;调用文件系统接口将所述审计缓存区中的所述审计信息输出至审计文件中。9.根据权利要求8所述的方法,其特征在于,所述方法还包括:接收用户在用户空间对所述审计文件的查看请求;基于所述审计文件中的审计信息向用户输出审计报告。10.根据权利要求8或9所述的方法,其特征在于,所述方法还包括:在用户空间设置审计缓冲区链表;所述审计缓冲区链表用于存储指向所述审计缓冲区的指针;
调用文件系统接口将所述审计缓存区中的所述审计信息输出至审计文件中,包括:在所述审计缓冲区链表中的指针个数超过预设阈值后,在用户空间基于所述审计缓冲区链表中的指针,调用文件系统接口将所述审计缓冲区中的审计信息输出至所述审计文件中;删除所述审计缓冲区链表中对应的指针。11.根据权利要求1所述的方法,其特征在于,所述方法还包括:建立空闲的审计缓冲区;将指向所述空闲的审计缓冲区的指针存储在空闲审计缓冲区链表中;在退出所述系统调用接口时将所述审计上下文结构中的入口审计信息和出口审计信息从所述内核空间输出至用户空间的审计缓冲区,包括:从所述空闲审计缓冲区链表中请求空闲的审计缓冲区;将所述审计上下文结构中的审计信息写入空闲的所述审计缓冲区中。12.根据权利要求11所述的方法,其特征在于,所述方法还包括:在所述空闲审计缓冲区链表中没有空闲的审计缓冲区时,重新分配审计缓冲区;将所述审计上下文结构中的审计信息写入重新分配的所述审计缓冲区中。13.根据权利要求1所述的方法,其特征在于,所述方法还包括:在所述审计文件中的内容超过预设存储容量后,建立新的审计文件;在所述审计文件的个数超过预设数量后,按照时间先后顺序删除最先建立的一个或多个审计文件。14.一种基于微内核操作系统的安全监控装置,其特征在于,包括:响应模块,被配置为响应于用户空间的执行对象对微内核操作系统中的系统调用接口的调用请求,在内核空间将所述调用请求对应的系统调用事件类型与预先配置的审计配置信息进行匹配;记录模块,被配置为在所述系统调用事件类型与所述审计配置信息相匹配时,将所述系统调用接口进入内核空间运行时的入口审计信息记录在所述执行对象的审计上下文结构中,并将所述系统调用接口退出时的出口审计信息也记录在所述执行对象的审计上下文结构中;第一输出模块,被配置为在退出所述...
【专利技术属性】
技术研发人员:赵东艳,王慧,王喆,曾林,李德建,顿中强,
申请(专利权)人:北京智芯微电子科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。