LINUX主机计算环境安全保护的模块及方法,属于计算机系统安全领域。本发明专利技术解决当前LINUX主机面临的安全威胁。可执行文件保护模块,用于可执行程序的注册与注销、完整性保护功能,对任何程序在运行之前都进行完整性检测,从而确保加载到内存中的用户态的进程安全;异常检测模块,用于建立进程合法行为集合,本模块运行过程中提取系统中进程行为,通过与正常行为匹配判定系统中进程行为是否出现异常,防止进程被恶意程序注入;内核关键数据结构保护模块,用于提供操作系统内核重要数据结构的备份、完整性检测和恢复功能,该模块在运行过程中检测内核重要数据结构是否被篡改,一旦发现篡改则根据之前的备份予以恢复。全面有效地保护LINUX主机的运行环境安全。
【技术实现步骤摘要】
本专利技术涉及LINUX主机计算环境安全保护的模块及方法,属于计算机系统安全领域。
技术介绍
在Internet中,越来越多的LINUX主机作为网络连接设备出现。LINUX主机作为网络连接的枢纽节点时,其操作系统环境的安全性和可靠性将直接影响整个网络的运行, 因此LINUX主机计算环境的安全保障是保障网络安全可靠运行不得不考虑的关键因素。LINUX主机计算环境安全主要是指保护操作系统内存中的敏感数据,其目的在于 一,保证内核的安全运行以及内存数据不被窃取或篡改;二,使其免受来自网络方面的恶意攻击,保证LINUX主机正常工作,避免关键数据受损。LINUX在设计上主要考虑的是开放性,对安全性没有给予特别的重视,在内核安全方面虽然提供了一些机制,但是一方面,LINUX的系统管理员和内核权限过大,一旦恶意程序或用户进入内核态,就可以随意操作内核的代码与数据,甚至杀死其他进程;另一方面, LINUX操作系统对资源的保护比较粗糙,对系统文件和目录的访问控制是靠目录和文件的属性完成的,这些机制已经难以满足复杂网络环境下的需要。在防范网络攻击方面,目前的技术主要是防火墙和入侵检测。防火墙易于部署,能够有效拦截来自网络外部的攻击,但有如下局限性一,入侵者可以找到防火墙的漏洞,绕过防火墙进行攻击;二,防火墙对来自内部的攻击无能为力;三,防火墙具有滞后性,只能对目前已知的网络攻击做出反应,无法检测到新的攻击类型;四,由于防火墙处于LINUX的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能。入侵检测弥补了防火墙的不足,可以发现来自于网络和来自于主机内部的各种入侵活动,对LINUX主机的安全性非常重要。可见,现有的安全机制尚不能很好地满足LINUX主机计算环境安全的需要。
技术实现思路
本专利技术从当前LINUX主机面临的安全威胁角度入手,提出了一种LINUX主机计算环境安全保护的模块及方法,以全面有效地保护LINUX主机的运行环境安全,减少恶意程序的侵害。LINUX主机计算环境安全保护的模块包括可执行文件保护模块、异常检测模块和内核关键数据结构保护模块;可执行文件保护模块,用于可执行程序的注册与注销、完整性保护功能,对任何程序在运行之前都进行完整性检测,从而确保加载到内存中的用户态的进程安全,实现对操作系统中静态可执行文件的保护;异常检测模块,用于建立进程合法行为集合,本模块运行过程中提取系统中进程行为,通过与正常行为匹配判定系统中进程行为是否出现异常,防止进程被恶意程序注入,实现对LINUX主机计算环境的动态保护;内核关键数据结构保护模块,用于提供操作系统内核重要数据结构的备份、完整性检测和恢复功能,该模块在运行过程中检测内核重要数据结构是否被篡改,一旦发现篡改则根据之前的备份予以恢复,保护LINUX主机计算环境中的关键数据结构。LINUX主机计算环境安全保护方法是通过可执行文件保护模块实现对操作系统中静态可执行文件的保护方法步骤一,在每一个可执行文件执行之前,由可执行文件加载过滤子模块把它拦截下来,并向完整性检测子模块发出检测请求;步骤二,完整性检测子模块在接收到完整性检测请求时,计算请求文件的摘要信息,并向可执行文件管理子模块提出查询请求;步骤三,可执行文件管理子模块在接收到查询请求时,查询数据库中是否有该文件的注册记录如果没有,则注册此文件,并标识为合法,进入步骤七;如果有,则将查到的记录传给完整性检测子模块,进入下一步;步骤四,完整性检测子模块通过对比步骤二中计算出的摘要与记录中的摘要,检测可执行文件是否有改动,并将结果反馈给可执行文件加载过滤子模块;步骤五,可执行文件加载过滤子模块接受返回信息,如果检测结果是安全的,则进入步骤七;如果结果可疑,则进入下一步做相应的错误处理;步骤六,杀死该进程,将文件标识为非法,向用户发出警告,进入步骤八;步骤七,可执行文件回到可执行文件的断点处,继续执行;步骤八,可执行文件管理子模块将执行这次操作的进程、用户、文件名和时间的信息记录到系统日志文件中。LINUX主机计算环境安全保护方法是通过异常检测模块实现对LINUX主机计算环境的动态保护方法步骤一,读入并分析系统配置信息,判断工作状态,如果为学习模式则进入下一步,如果为检测模式则转至步骤六;步骤二,进程行为提取子模块获取所需检测输入训练对象的进程行为;步骤三,行为特征抽取子模块对采集到的进程行为进行预处理和格式化处理;步骤四,行为规则建立子模块使用提取出的进程行为短序列,经过规则训练后建立正常行为规则库;步骤五,再次查看系统配置信息,如果配置为学习模式,则跳转至步骤一,如果配置为检测模式,则跳转至步骤六;步骤六,进程行为提取子模块获取所需检测输入训练对象的进程行为;步骤七,行为特征抽取子模块对采集到的进程行为进行预处理和格式化处理;步骤八,将进程行为分析子模块抽取到的进程行为特征与该进程的正常行为规则进行比对,分析当前进程是否发生了异常,并将分析结果发送给异常处理子模块;步骤九,异常处理子模块根据收到的异常情况进行处理。LINUX主机计算环境安全保护方法是通过内核关键数据结构保护模块实现对 LINUX主机计算环境的关键数据的保护方法步骤一,在系统编译完成时调用内核数据备份子模块,将需要保护的关键数据存入内核安全信息库中,并将权限设为只读;步骤二,在系统运行时,周期性的检测数据的完整性;采用差异分析检测法来实现内核关键数据的保护,所需要的信息由内核数据摘要子模块和内核数据备份子模块的记录提供;步骤三,发现被篡改行为时,使用内核数据恢复子模块进行数据恢复。当前针对LINUX主机环境的网络威胁主要有四类恶意攻击、安全缺陷、软件漏洞和结构隐患,其中除了管理问题之外,主要就是恶意程序,包括木马、病毒、rootkit等。恶意程序要在系统上运行,主要是通过两种途径一是将自己写入静态的宿主程序(可执行文件)从而获得运行权限,因此通过定义可信任程序与不可信任程序,在程序加载运行时进行过滤就可以阻止恶意程序的加载运行,这种保护是静态的;二是通过缓冲区溢出等的动态注入,从而进入核心态,因此可以通过检测进程的异常行为,阻止恶意程序动态注入, 这种保护是动态的。附图说明图1是本专利技术的结构示意图;图2是本专利技术中可执行文件保护模块1的结构示意图;图3是本专利技术中异常检测模块2的结构示意图;图4是本专利技术中内核关键数据结构保护模块3的结构示意图。具体实施例方式具体实施方式一结合图1说明本实施方式,本实施方式包括可执行文件保护模块1、异常检测模块2和内核关键数据结构保护模块3 ;可执行文件保护模块1,用于可执行程序的注册与注销、完整性保护功能,对任何程序在运行之前都进行完整性检测,其作用是负责对可执行文件进行安全处理,防止恶意程序对可执行文件进行篡改并注入恶意代码,从而确保加载到内存中的用户态的进程安全,实现对操作系统中静态可执行文件的保护;异常检测模块2,用于建立进程合法行为集合,本模块运行过程中提取系统中进程行为,通过与正常行为匹配判定系统中进程行为是否出现异常,防止进程被恶意程序注入, 实现对LINUX主机计算环境的动态保护;内核关键数据结构保护模块3,用于提供操作系统内核重要数据结构的备份、完整性检测和恢复功能,该模块在运行过程中检测内核重要本文档来自技高网...
【技术保护点】
1.LINUX主机计算环境安全保护的模块,其特征在于它包括可执行文件保护模块(1)、异常检测模块(2)和内核关键数据结构保护模块(3);可执行文件保护模块(1),用于可执行程序的注册与注销、完整性保护功能,对任何程序在运行之前都进行完整性检测,从而确保加载到内存中的用户态的进程安全,实现对操作系统中静态可执行文件的保护;异常检测模块(2),用于建立进程合法行为集合,本模块运行过程中提取系统中进程行为,通过与正常行为匹配判定系统中进程行为是否出现异常,防止进程被恶意程序注入,实现对LINUX主机计算环境的动态保护;内核关键数据结构保护模块(3),用于提供操作系统内核重要数据结构的备份、完整性检测和恢复功能,该模块在运行过程中检测内核重要数据结构是否被篡改,一旦发现篡改则根据之前的备份予以恢复,保护LINUX主机计算环境中的关键数据结构。
【技术特征摘要】
【专利技术属性】
技术研发人员:牛夏牧,李琼,韩琦,石振峰,王申,牛抒言,饶明,
申请(专利权)人:哈尔滨工业大学,
类型:发明
国别省市:93
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。