[发明专利]一种对内核的安全审计方法和系统有效
| 申请号: | 201010104937.5 | 申请日: | 2010-01-29 |
| 公开(公告)号: | CN101777102A | 公开(公告)日: | 2010-07-14 |
| 发明(设计)人: | 柯宗贵;柯宗庆 | 申请(专利权)人: | 蓝盾信息安全技术股份有限公司 |
| 主分类号: | G06F21/00 | 分类号: | G06F21/00 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 510630广东省广州市天河*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 内核 安全 审计 方法 系统 | ||
1.一种对内核的安全审计方法,其特征在于,所述方法包括:
内核扫描步骤:对设备内的每个内核模块进行扫描,确定每个内核模块中 安装的内核钩子;
比较步骤:利用预先设定的多个行为信息组,对每个内核模块中安装的内 核钩子进行比较,其中,每个行为信息组中包含至少一个内核钩子标识;
匹配步骤:比较步骤得出的比较结果为安装的内核钩子覆盖任一行为信息 组中内核钩子标识,则判定相互匹配,进一步确定该内核钩子所属的内核模块;
卸载步骤:卸载匹配步骤中确定的内核模块。
2.如权利要求1所述的方法,其特征在于,每个行为信息组中包含的内 核钩子标识之和表示内核钩子标识对应的内核钩子的集合为非法。
3.如权利要求1所述的方法,其特征在于,匹配步骤之后,卸载步骤之 前,所述方法还包括:
从确定的所述内核模块中查找出与匹配的行为信息组中内核钩子标识对 应的内核钩子;
恢复查找出的所述内核钩子。
4.如权利要求1所述的方法,其特征在于,内核扫描步骤之后,匹配步 骤之前,所述方法还包括:
根据预先设定的内核白名单信息,从多个内核模块中确定合法的内核模 块;
利用行为信息组对每个内核模块中的内核钩子进行比较,包括:
从多个内核模块中确定除合法的内核模块之外的其他内核模块,并利用行 为信息组对所述其他内核模块中的内核钩子进行比较。
5.一种对内核的安全审计系统,其特征在于,所述系统包括:
内核扫描模块,用于对设备内的每个内核模块进行扫描,确定每个内核模 块中安装的内核钩子;
内核审计模块,用于利用预先设定的多个行为信息组,对每个内核模块中 的内核钩子进行比较,比较结果为安装的内核钩子覆盖任一行为信息组中内核 钩子标识,则判定相互匹配,进一步确定该内核钩子所属的内核模块,其中, 每个行为信息组包含至少一个内核钩子标识;
审计执行模块,用于卸载所述内核审计模块确定的内核模块。
6.如权利要求5所述的系统,其特征在于,每个行为信息组中包含的内 核钩子标识之和表示内核钩子标识对应的内核钩子的集合为非法。
7.如权利要求5所述的系统,其特征在于,
所述内核审计模块,还用于从确定的所述内核模块中查找出与匹配的行为 信息组中内核钧子标识对应的内核钩子;
所述审计执行模块,还用于恢复查找出的所述内核钩子。
8.如权利要求5所述的系统,其特征在于,所述系统还包括:
合法确定模块,用于根据预先设定的内核白名单信息,从多个内核模块中 确定合法的内核模块;
所述内核审计模块,具体用于从多个内核模块中确定除合法的内核模块之 外的其他内核模块,并利用行为信息组对所述其他内核模块中的内核钩子进行 比较。
9.如权利要求5~8任一所述的系统,其特征在于,所述对内核的安全审 计系统应用于设备的应用层。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于蓝盾信息安全技术股份有限公司,未经蓝盾信息安全技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201010104937.5/1.html,转载请声明来源钻瓜专利网。
