[发明专利]终端安全控制方法、装置和计算机可读存储介质

说明书

本发明公开了终端安全控制方法、装置和计算机可读存储介质。所述方法包括：响应于内核模块操作请求，加载和/或卸载指定类型的内核模块；基于已加载的指定类型的内核模块监测相应的指定系统调用行为；当监测到指定系统调用行为时，执行预设的安全控制操作。该技术方案针对某些病毒具备系统级的操作权限，而普通的安全软件操作权限较低，无法应对的问题，通过动态加载的内核模块实现了对指定系统调用行为的监测，而这些行为往往是只有病毒才会执行的系统调用行为，也就实现了对病毒的检测和后续的处理，安全有效，稳定性高。

技术领域

本发明涉及计算机安全领域，具体涉及终端安全控制方法、装置和计算机可读存储介质。

背景技术

在计算机安全领域，病毒的“攻”与安全软件的“防”是互有胜负的，为了应对技术革新后的病毒程序，安全软件的防护策略也需要不断升级。以安卓手机为例，目前许多ELF病毒通过获取ROOT权限，在感染系统分区后进一步破坏系统和安全软件等，为用户带来了巨大损失，如何应对这类病毒是需要解决的问题。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的终端安全控制方法、装置和计算机可读存储介质。

依据本发明的一个方面，提供了一种终端安全控制方法，包括：

响应于内核模块操作请求，加载和/或卸载指定类型的内核模块；

基于已加载的指定类型的内核模块监测相应的指定系统调用行为；

当监测到指定系统调用行为时，执行预设的安全控制操作。

可选地，所述响应于内核模块操作请求，加载和/或卸载指定类型的内核模块包括：

由内核模块管理服务接收所述内核模块操作请求，根据接收到的内核模块操作请求加载和/或卸载相应的内核模块。

可选地，该方法还包括：

设置所述内核模块管理服务在所述终端的操作系统启动过程中启动，并在所述操作系统的运行过程中常驻。

可选地，所述由内核模块管理服务接收所述内核模块操作请求，根据接收到的内核模块操作请求加载和/或卸载相应的内核模块包括：

由所述内核模块管理服务提供内核模块操作接口，通过所述内核模块操作接口接收内核模块操作请求；对所述内核模块操作请求的发出者的签名信息进行验证，和/或，对待操作的内核模块的签名信息进行验证；在通过验证时加载和/或卸载相应待操作的内核模块。

可选地，所述基于所述内核模块监测指定类型的系统调用行为包括：

为所述内核模块提供安全接口，以使所述内核模块在有应用通过Linux安全模块LSM进行指定系统调用行为时，通过所述安全接口获取该指定系统调用行为。

可选地，所述LSM调用安全模块的总指针指向安全结构体，所述安全结构体中保存有若干个函数指针，各函数指针用于指向安全模块中与各系统调用行为对应的执行函数；所述安全接口用于获取所述函数指针的调用事件。

可选地，所述执行预设的安全控制操作包括：

在获取到指定函数指针的调用事件后，动态修改该指定函数指针指向所述内核模块中的安全控制函数，以使所述安全控制函数通过相应的安全控制接口执行相应的安全控制操作。

可选地，所述预设的安全控制操作包括如下的一种或多种：

拦截所述系统调用行为；

记录执行该系统调用行为的进程的名称和/或特征值；

上报已记录的进程的名称和/或特征值。

依据本发明的另一方面，提供了一种终端安全控制装置，包括：