[发明专利]基于回调机制的内核扩展方法、装置及设备

说明书

本申请公开了一种基于回调机制的内核扩展方法、装置及设备，涉及网络安全技术领域，通过使用内核回调框架中注册的操作回调处理程序来对目标内核函数进行修改，能够提高系统调用的灵活性，满足第三方平台对内核的扩展需求。其中方法包括：通过使用内联挂钩的方式，构建内核回调框架以及操作回调处理程序，所述操作回调处理程序中携带有适用于内核扩展的目标回调规则；响应于系统调用的执行请求，基于所述内核回调框架将所述执行请求重定位至所述操作回调处理程序，所述系统调用为系统函数调用执行请求对应的目标内核函数；利用所述操作回调处理程序中的目标回调规则对所述执行请求对应的目标内核函数进行修改，返回内核扩展后的系统调用结果。

技术领域

本申请涉及网络安全技术领域，尤其是涉及到一种基于回调机制的内核扩展方法、装置及设备。

背景技术

内核是操作系统的核心，它促进了操作系统与该组件之间的交互，执行低级任务，例如磁盘管理、任务管理和内存管理等。内核扩展相当于一个应用程序捆绑包，用于通过允许第三方软件直接加载到操作系统内核中来扩展系统本机功能，例如，计算机病毒查杀与防护、勒索软件阻断、敏感数据访问审计及用户数据泄露监控等。

针对macOS系统，相关技术可以使用两种已知接口来进行内核扩展，以针对操作系统添加新功能，第一种是内核授权子系统提供的允许第三方拦截特定操作的内核编程接口，一旦拦截成功，被拦截操作可被进一步检查、批准或是阻断，然而，该方式对于某些特定的回调函数，输入参数通常缺少关键的上下文信息，例如，对于进程创建回调处理程序，输入参数缺乏进程的命令行参数，很难实现所有常规操作的拦截，使得内核扩展的功能存在局限性。另一种是强制访问控制框架提供的回调接口，该回调接口相比于内核授权子系统具有更加细粒度框架，在细粒度框架的支持下，几乎每一类常规操作都可以被拦截，第三方内核处理程序可以检查输入参数并根据自定义规则予以批准或拒绝。然而，由于第三方软件的接口调用很难获取到官方系统许可，如果第三方软件强制进行接口调用会存在兼容性问题。因此，上述操作系统提供的两种接口在应用过程都存在局限性，使得系统调用的灵活性较差，很难满足第三方平台对内核扩展的需求。

发明内容

有鉴于此，本申请提供了一种基于回调机制的内核扩展方法、装置及设备，主要目的在于解决现有技术中操作系统提供的两种接口在应用过程都存在局限性，使得系统调用的灵活性较差，很难满足第三方对内核扩展的需求的问题。

根据本申请的第一个方面，提供了一种基于回调机制的内核扩展方法，应用于操作系统端，该方法包括：

通过使用内联挂钩的方式，构建内核回调框架以及操作回调处理程序，所述操作回调处理程序中携带有适用于内核扩展的目标回调规则；

响应于系统调用的执行请求，基于所述内核回调框架将所述执行请求重定位至所述操作回调处理程序，所述系统调用为系统函数调用执行请求对应的目标内核函数；

利用所述操作回调处理程序中的目标回调规则对所述执行请求对应的目标内核函数进行修改，返回内核扩展后的系统调用结果。

进一步地，在所述通过使用内联挂钩的方式，构建内核回调框架以及操作回调处理程序之前，所述方法还包括：

接收云服务端派发的回调规则，获取操作系统中内核支持的功能集合；

根据所述内核支持的功能集合，从所述回调规则中筛选出适用于内核扩展的目标回调规则。

进一步地，所述回调规则中设置有用于扩展内核的业务逻辑，所述根据所述内核支持的功能集合，从所述回调规则中筛选出适用于内核扩展的目标回调规则，具体包括：

根据所述内核支持的功能集合，确定操作系统中各个内核函数调用过程所执行的功能参数；

利用所述各个内核函数调用过程所执行的功能参数判断所述回调规则中用于扩展内核的业务逻辑是否已被嵌入至操作系统的内核函数；