[发明专利]一种基于CPU时空隔离机制实现应用软件行为监控系统的方法

说明书

技术领域

本发明涉及一种软件监控方法，具体地说是一种基于CPU时空隔 离机制实现应用软件行为监控系统的方法，属于软件监控领域。

背景技术

随着信息技术的不断发展，国民经济及国防军工信息化技术运用 的普及，计算机应用系统处于经济、国防的基础支撑地位，而其安全 性问题已经成为决定经济、国防安全的关键，一旦计算机应用系统遭 到破坏，将会导致灾难性后果。作为计算机应用系统安全防护的重要 一环，当前基于恶意代码行为特征匹配的传统计算机防护软件，无法 及时检测经过多态、加壳、变形、反跟踪等隐藏技术的恶意代码。从 应用软件运行操作的角度出发，任何应用软件对系统资源的操作都是 通过进程进行系统调用，而可以表征应用软件行为特征的系统调用序 列和系统调用参数信息(参数字符类型、参数长度、返回值类型)在 局部范围内是一个规则集合，因此，为了解决传统防护软件在时效性 与可靠性方面的不足，通过提取应用软件正常行为特征建立规则样本 库的应用软件行为监控系统被提出来，并且受到国内外信息安全研究 领域的广泛关注。

当前应用软件行为监控系统所采用的技术方案主要有：1、操作系 统用户层监控技术，通过系统调用接口函数获取所要分析的数据信 息，然而应用软件行为监控系统自身安全无法保障，且必须依赖系统 管理员经验判断是否发生入侵，不能满足系统安全的时效性和可靠性 要求。2、操作系统内核层监控技术，通过内核安全钩子函数截获进 程对某个特定API的函数调用，使得API的执行流程转向指定的检测、 分析、监控代码。如果恶意代码一旦获得系统内核访问权限，那么内 核层监控技术的有效性明显受到挑战，应用软件行为监控系统存在被 绕过的风险。3、基于硬件虚拟化的监控技术，通过运行于计算机硬 件平台与操作系统内核之间的虚拟机管理软件，监管系统内存空间使 用、应用软件行为特征及动态内核对象访问权限等信息，其更高特权 级的CPU运行态可以保障应用行为监管系统的高可靠性，然而虚拟机 管理软件只能获取系统硬件级别的信息，比如CPU中寄存器的参数信 息，内存地址等，因此从硬件平台上直接获取到的系统信息与操作系 统之间存在语义差别，可读性较差，额外的系统语义转换严重影响系 统性能。

发明内容

为了解决上述问题，本发明设计了一种基于CPU时空隔离机制实 现应用软件行为监控系统的方法，提高了应用软件行为监控系统的时 效性和可靠性，增强了计算机应用系统的安全性。

本发明的技术方案为：

一种基于CPU时空隔离机制实现应用软件行为监控系统的方法， 所述监控系统的方法，包括以下步骤：

1、在通用操作系统运行环境下，利用系统调用拦截技术提取应 用软件进程系统调用序列、系统调用参数信息及返回值，通过数据分 析技术建立进程正常行为样本库；

2、在通用操作系统运行环境下，拦截应用软件行为信息，并保 存于通用操作系统共享内存空间；通过预设的安全时钟中断处理将系 统运行状态切换至安全内核；

3、安全内核中的应用软件行为监控系统基于安全时钟的中断处 理以读取拦截的应用软件进程行为信息，并通过应用正常行为样本库 进行异常检测；如果异常度值大于预设安全阀值，则发生异常，系统 根据安全策略进行安全处理，反之；

4、检测处理完毕，系统状态返回。

所述监控系统包括以下组成部分：

1、异常检测模块

异常检测模块读取已拦截的应用软件系统调用序列、系统调用参 数信息及返回值，利用数据分析技术建立应用软件正常行为模型，通 过比较异常度值和预设安全阀值的大小来确定是否发出异常；两种工 作模式：

1)训练模式

在通用操作系统运行环境下，通过操作系统内核的异常处理模块 来拦截安全应用软件系统调用序列、参数信息及返回值，经过一段时 间的拦截试验，形成应用软件正常行为样本库；

2)检测模式

在通用操作系统运行环境下，保存已拦截的应用软件系统调用信 息；基于安全时钟的中断处理，通过系统状态切换指令使得系统运行 状态切换至安全内核；此时，在安全内核运行环境下的应用软件行为 监控系统读取已拦截的系统调用信息，并与应用软件正常行为样本库 进行模式匹配，比较异常度值与安全阀值来判断软件行为是否异常；

2、样本库管理

1)初始化模式