[发明专利]基于微内核操作系统的安全监控方法、装置、设备及芯片

说明书

本公开实施例公开了一种基于微内核操作系统的安全监控方法、装置、设备及芯片，所述方法包括：响应于用户空间的执行对象对微内核操作系统中的系统调用接口的调用请求，在内核空间将调用请求对应的系统调用事件类型与预先配置的审计配置信息进行匹配；在系统调用事件类型与审计配置信息相匹配时，将系统调用接口进入内核空间运行时的入口审计信息记录在执行对象的审计上下文结构，并在系统调用接口退出时的出口审计信息也记录在执行对象的审计上下文结构；在退出系统调用接口时将审计上下文结构中的入口审计信息和出口审计信息从所述内核空间输出至用户空间的审计缓冲区。该技术方案能够在尽可能最大化简化内核的前提下对操作系统进行安全监控。

技术领域

本公开涉及芯片技术领域，具体涉及一种基于微内核操作系统的安全监控方法、装置、设备及芯片。

背景技术

审计是事后认定违反安全规则的分析技术，安全审计为管理员在用户违反安全法则时提供及时的警告信息，实现对系统信息的追踪、审查、统计和报告等功能。目前有一些开源操作系统已经实现了审计功能。

Linux提供了用来记录系统安全事件的审计系统，审计系统包括用户空间审计系统和内核空间审计系统，用户空间审计系统由一些用户空间的审计程序组成，用来开启内核审计功能、设置审计规则和审计系统状态、接收内核审计系统发送来的审计消息并写入log文件，以及审计消息的检索和生成审计总结报告。内核审计系统用于产生和过滤内核的各种审计消息。

Linux的安全审计系统分为syslog和audit两个部分。audit部分主要记录安全信息，包括文件的读写、权限的修改等，syslog部分主要用来记录系统中的各种信息，如硬件警报和软件日志等。日志的数据主要包含了三类：内核及系统日志、用户日志、程序日志。

syslog属于应用层的服务，专门用来记录日志，我们可以把每一个程序理解为子系统，syslog可以根据日志的类别和优先级将日志保存在不同的文件中。另外syslog有两个进程，syslogd专门负责记录非内核的其他设置产生的日志，klogd专门负责内核产生的日志，通过系统调用syslog读出这些信息，记录在日志文件中。

除了Linux以外，还有SNARE(System iNtrusion and Reporting Environment)审计系统，它是一个开源的安全审计和事件日志软件。SNARE系统主要分为三个模块：内核动态加载模块auditmodule.o；在用户空间运行的审计监控程序auditd；图形截面的配置和报告工具snare。此系统将审计从内核中分离出来，构成一个独立于内核的模块。它重新编写了要审计的系统调用，在新的系统调用中实现对审计信息的收集以及将审计记录放入缓冲池，加载模块后，通过将系统调用表中的函数指针指向新的系统调用函数来使得新的带审计功能的系统调用代替原有的系统调用。

此外，WINDOWS NT审计系统能够检测和记录与安全性有关的任何创建、访问或删除系统资源的事件，并记录实施这些行为的用户。在审计过程中对象管理器可以根据审计策略生成审计事件，这是一个被动的过程，也可以在用户程序中利用审计函数主动生成审计事件。

Linux操作系统作为一个宏内核架构，系统的主要核心组件都在内核实现，安全审计系统的部分模块也是在内核中实现的，这样的设计思想与本发明针对的微内核操作系统是不同的，不利于模块化设计。

SNARE系统的审计事件较少，不够全面，同时其采用系统调用来分离审计系统的方式是建立在系统调用表的基础上，当内核模块中不能再引用系统调用表时，此方式也就不可行了。

因此，针对微内核操作系统，需要在用户层设计一个安全审计监控系统，在保证隔离性的基础上，维护操作系统的安全性和可靠性。

发明内容

本公开实施例提供一种基于微内核操作系统的安全监控方法、装置、设备及芯片。

第一方面，本公开实施例中提供了一种基于微内核操作系统的安全监控方法，其中，包括：