[发明专利]rootkit检测方法、装置及电子设备

说明书

本申请提供一种rootkit检测方法、装置及电子设备，该方法包括：当检测到LKM内核模块加载事件发生时，获取该LKM信息以及内核关键数据结构；分别确定所获取到的LKM信息中各LKM的哈希值，以及，所获取到的内核关键数据结构中各内核关键数据结构的哈希值；比较所述各LKM的哈希值与LKM基准信息，以及，比较所述各内核关键数据结构的哈希值与内核关键数据结构基准信息；当所述各LKM的哈希值与所述LKM基准信息一致，且所述各内核关键数据结构的哈希值与所述内核关键数据结构基准信息一致时，确定内核态rootkit检测通过。该方法可以实现高可靠性和准确性的内核态rootkit检测。

技术领域

本申请涉及网络安全领域，尤其涉及一种rootkit检测方法、装置及电子设备。

背景技术

rootkit是指在非授权情况下维持系统最高权限，试图通过隐藏自己防止被发现，达到长期利用受害主机的目的。

当前rootkit主要包括两种：用户态rootkit和内核态rootkit。用户态rootkit经常篡改系统命令，或恶意替换系统动态链接库，使得获取的信息已不是内核态返回给用户态的原始信息，达到隐藏自己长期侵害主机的目的；而内核态rootkit更为复杂，内核结构体是内核数据流的承载和控制对象，内核态rootkit即通过篡改内核结构体来掩人耳目。

目前的内核态rootkit主要为LKM（LoadableKernelModules，可加载内核模块）入侵方式，其大致可以分为以下几类：系统调用表、中断向量表、DKNOM、硬件寄存器中断、Proc文件系统，各种方式的区别是篡改不同类型的内核结构体。

如何准确地检测内核态rootkit成为一种亟待解决的技术问题。

发明内容

有鉴于此，本申请提供一种rootkit检测方法、装置及电子设备。

具体地，本申请是通过如下技术方案实现的：

根据本申请实施例的第一方面，提供一种rootkit检测方法，包括：

当检测到LKM内核模块加载事件发生时，获取所述LKM信息以及内核关键数据结构；

分别确定所获取到的LKM信息中各LKM的哈希值，以及，所获取到的内核关键数据结构中各内核关键数据结构的哈希值；

比较所述各LKM的哈希值与LKM基准信息，以及，比较所述各内核关键数据结构的哈希值与内核关键数据结构基准信息；所述LKM基准信息包括LKM标识信息及对应的基准哈希值；所述内核关键数据结构基准信息包括内核关键数据结构标识信息及对应的基准哈希值；

当所述各LKM的哈希值与所述LKM基准信息一致，且所述各内核关键数据结构的哈希值与所述内核关键数据结构基准信息一致时，确定内核态rootkit检测通过。

根据本申请实施例的第二方面，提供一种rootkit检测装置，包括：

获取单元，用于当检测到LKM内核模块加载事件发生时，获取所述LKM信息以及内核关键数据结构；

确定单元，用于分别确定所获取到的LKM信息中各LKM的哈希值，以及，所获取到的内核关键数据结构中各内核关键数据结构的哈希值；

比较单元，用于比较所述各LKM的哈希值与LKM基准信息，以及，比较所述各内核关键数据结构的哈希值与内核关键数据结构基准信息；所述LKM基准信息包括LKM标识信息及对应的基准哈希值；所述内核关键数据结构基准信息包括内核关键数据结构标识信息及对应的基准哈希值；

检测单元，用于当所述各LKM的哈希值与所述LKM基准信息一致，且所述各内核关键数据结构的哈希值与所述内核关键数据结构基准信息一致时，确定内核态rootkit检测通过。