CN102222194A - Linux主机计算环境安全保护的模块及方法 - Google Patents
Linux主机计算环境安全保护的模块及方法 Download PDFInfo
- Publication number
- CN102222194A CN102222194A CN2011101970463A CN201110197046A CN102222194A CN 102222194 A CN102222194 A CN 102222194A CN 2011101970463 A CN2011101970463 A CN 2011101970463A CN 201110197046 A CN201110197046 A CN 201110197046A CN 102222194 A CN102222194 A CN 102222194A
- Authority
- CN
- China
- Prior art keywords
- submodule
- executable file
- module
- kernel
- protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
LINUX主机计算环境安全保护的模块及方法,属于计算机系统安全领域。本发明解决当前LINUX主机面临的安全威胁。可执行文件保护模块,用于可执行程序的注册与注销、完整性保护功能,对任何程序在运行之前都进行完整性检测,从而确保加载到内存中的用户态的进程安全;异常检测模块,用于建立进程合法行为集合,本模块运行过程中提取系统中进程行为,通过与正常行为匹配判定系统中进程行为是否出现异常,防止进程被恶意程序注入;内核关键数据结构保护模块,用于提供操作系统内核重要数据结构的备份、完整性检测和恢复功能,该模块在运行过程中检测内核重要数据结构是否被篡改,一旦发现篡改则根据之前的备份予以恢复。全面有效地保护LINUX主机的运行环境安全。
Description
技术领域
本发明涉及LINUX主机计算环境安全保护的模块及方法,属于计算机系统安全领域。
背景技术
在Internet中,越来越多的LINUX主机作为网络连接设备出现。LINUX主机作为网络连接的枢纽节点时,其操作系统环境的安全性和可靠性将直接影响整个网络的运行,因此LINUX主机计算环境的安全保障是保障网络安全可靠运行不得不考虑的关键因素。
LINUX主机计算环境安全主要是指保护操作系统内存中的敏感数据,其目的在于:一,保证内核的安全运行以及内存数据不被窃取或篡改;二,使其免受来自网络方面的恶意攻击,保证LINUX主机正常工作,避免关键数据受损。
LINUX在设计上主要考虑的是开放性,对安全性没有给予特别的重视,在内核安全方面虽然提供了一些机制,但是一方面,LINUX的系统管理员和内核权限过大,一旦恶意程序或用户进入内核态,就可以随意操作内核的代码与数据,甚至杀死其他进程;另一方面,LINUX操作系统对资源的保护比较粗糙,对系统文件和目录的访问控制是靠目录和文件的属性完成的,这些机制已经难以满足复杂网络环境下的需要。
在防范网络攻击方面,目前的技术主要是防火墙和入侵检测。防火墙易于部署,能够有效拦截来自网络外部的攻击,但有如下局限性:一,入侵者可以找到防火墙的漏洞,绕过防火墙进行攻击;二,防火墙对来自内部的攻击无能为力;三,防火墙具有滞后性,只能对目前已知的网络攻击做出反应,无法检测到新的攻击类型;四,由于防火墙处于LINUX的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能。入侵检测弥补了防火墙的不足,可以发现来自于网络和来自于主机内部的各种入侵活动,对LINUX主机的安全性非常重要。
可见,现有的安全机制尚不能很好地满足LINUX主机计算环境安全的需要。
发明内容
本发明从当前LINUX主机面临的安全威胁角度入手,提出了一种LINUX主机计算环境安全保护的模块及方法,以全面有效地保护LINUX主机的运行环境安全,减少恶意程序的侵害。
LINUX主机计算环境安全保护的模块包括可执行文件保护模块、异常检测模块和内核关键数据结构保护模块;
可执行文件保护模块,用于可执行程序的注册与注销、完整性保护功能,对任何程序在运行之前都进行完整性检测,从而确保加载到内存中的用户态的进程安全,实现对操作系统中静态可执行文件的保护;
异常检测模块,用于建立进程合法行为集合,本模块运行过程中提取系统中进程行为,通过与正常行为匹配判定系统中进程行为是否出现异常,防止进程被恶意程序注入,实现对LINUX主机计算环境的动态保护;
内核关键数据结构保护模块,用于提供操作系统内核重要数据结构的备份、完整性检测和恢复功能,该模块在运行过程中检测内核重要数据结构是否被篡改,一旦发现篡改则根据之前的备份予以恢复,保护LINUX主机计算环境中的关键数据结构。
LINUX主机计算环境安全保护方法是通过可执行文件保护模块实现对操作系统中静态可执行文件的保护方法:
步骤一,在每一个可执行文件执行之前,由可执行文件加载过滤子模块把它拦截下来,并向完整性检测子模块发出检测请求;
步骤二,完整性检测子模块在接收到完整性检测请求时,计算请求文件的摘要信息,并向可执行文件管理子模块提出查询请求;
步骤三,可执行文件管理子模块在接收到查询请求时,查询数据库中是否有该文件的注册记录:如果没有,则注册此文件,并标识为合法,进入步骤七;如果有,则将查到的记录传给完整性检测子模块,进入下一步;
步骤四,完整性检测子模块通过对比步骤二中计算出的摘要与记录中的摘要,检测可执行文件是否有改动,并将结果反馈给可执行文件加载过滤子模块;
步骤五,可执行文件加载过滤子模块接受返回信息,如果检测结果是安全的,则进入步骤七;如果结果可疑,则进入下一步做相应的错误处理;
步骤六,杀死该进程,将文件标识为非法,向用户发出警告,进入步骤八;
步骤七,可执行文件回到可执行文件的断点处,继续执行;
步骤八,可执行文件管理子模块将执行这次操作的进程、用户、文件名和时间的信息记录到系统日志文件中。
LINUX主机计算环境安全保护方法是通过异常检测模块实现对LINUX主机计算环境的动态保护方法:
步骤一,读入并分析系统配置信息,判断工作状态,如果为学习模式则进入下一步,如果为检测模式则转至步骤六;
步骤二,进程行为提取子模块获取所需检测输入训练对象的进程行为;
步骤三,行为特征抽取子模块对采集到的进程行为进行预处理和格式化处理;
步骤四,行为规则建立子模块使用提取出的进程行为短序列,经过规则训练后建立正常行为规则库;
步骤五,再次查看系统配置信息,如果配置为学习模式,则跳转至步骤一,如果配置为检测模式,则跳转至步骤六;
步骤六,进程行为提取子模块获取所需检测输入训练对象的进程行为;
步骤七,行为特征抽取子模块对采集到的进程行为进行预处理和格式化处理;
步骤八,将进程行为分析子模块抽取到的进程行为特征与该进程的正常行为规则进行比对,分析当前进程是否发生了异常,并将分析结果发送给异常处理子模块;
步骤九,异常处理子模块根据收到的异常情况进行处理。
LINUX主机计算环境安全保护方法是通过内核关键数据结构保护模块实现对LINUX主机计算环境的关键数据的保护方法:
步骤一,在系统编译完成时调用内核数据备份子模块,将需要保护的关键数据存入内核安全信息库中,并将权限设为只读;
步骤二,在系统运行时,周期性的检测数据的完整性;采用差异分析检测法来实现内核关键数据的保护,所需要的信息由内核数据摘要子模块和内核数据备份子模块的记录提供;
步骤三,发现被篡改行为时,使用内核数据恢复子模块进行数据恢复。
当前针对LINUX主机环境的网络威胁主要有四类:恶意攻击、安全缺陷、软件漏洞和结构隐患,其中除了管理问题之外,主要就是恶意程序,包括木马、病毒、rootkit等。恶意程序要在系统上运行,主要是通过两种途径:一是将自己写入静态的宿主程序(可执行文件)从而获得运行权限,因此通过定义可信任程序与不可信任程序,在程序加载运行时进行过滤就可以阻止恶意程序的加载运行,这种保护是静态的;二是通过缓冲区溢出等的动态注入,从而进入核心态,因此可以通过检测进程的异常行为,阻止恶意程序动态注入,这种保护是动态的。
附图说明
图1是本发明的结构示意图;图2是本发明中可执行文件保护模块1的结构示意图;图3是本发明中异常检测模块2的结构示意图;图4是本发明中内核关键数据结构保护模块3的结构示意图。
具体实施方式
具体实施方式一:结合图1说明本实施方式,本实施方式包括可执行文件保护模块1、异常检测模块2和内核关键数据结构保护模块3;
可执行文件保护模块1,用于可执行程序的注册与注销、完整性保护功能,对任何程序在运行之前都进行完整性检测,其作用是负责对可执行文件进行安全处理,防止恶意程序对可执行文件进行篡改并注入恶意代码,从而确保加载到内存中的用户态的进程安全,实现对操作系统中静态可执行文件的保护;
异常检测模块2,用于建立进程合法行为集合,本模块运行过程中提取系统中进程行为,通过与正常行为匹配判定系统中进程行为是否出现异常,防止进程被恶意程序注入,实现对LINUX主机计算环境的动态保护;
内核关键数据结构保护模块3,用于提供操作系统内核重要数据结构的备份、完整性检测和恢复功能,该模块在运行过程中检测内核重要数据结构是否被篡改,一旦发现篡改则根据之前的备份予以恢复,保护LINUX主机计算环境中的关键数据结构。
具体实施方式二:结合图2说明本实施方式,本实施方式与具体实施方式一不同点在于可执行文件保护模块1包括可执行文件加载过滤子模块1-1、完整性检测子模块1-2和可执行文件管理子模块1-3;
可执行文件加载过滤子模块1-1,用于截获可执行文件加载请求,并向完整性检测子模块1-2发起完整性检测请求,根据从完整性检测子模块1-2获得的结果决策是否允许程序加载运行;所述截获可执行文件加载请求的方法是:通过添加钩子程序,截获内核中加载可执行文件的系统调用,并解析出参数中的文件路径等文件系统信息,以便于返回;
完整性检测子模块1-2,用于按照可执行文件加载过滤子模块1-1发来的请求对进程进行完整性检测,并将结果反馈给可执行文件加载过滤子模块1-1;所述的进行完整性检测的方法是:通过可执行文件管理子模块1-3查找该进程注册的信息,并与当前计算得到的进程文件摘要比对,如果吻合则说明该进程合法,否则说明该进程可疑;
可执行文件管理子模块1-3,用于负责对可执行文件进行注册管理,用户通过用户交互程序,实现对可执行文件的注册、注销、查看和校验的操作,所述对执行文件进行注册管理的方法是:对文件内容进行摘要,并将文件名、大小、所有者、摘要和当前时间的关键信息存入数据库中。
上述的可执行文件保护实施步骤如下:
步骤一,在每一个可执行文件执行之前,由可执行文件加载过滤子模块1-1把它拦截下来,并向完整性检测子模块1-2发出检测请求;
步骤二,完整性检测子模块1-2在接收到完整性检测请求时,计算请求文件的摘要信息,并向可执行文件管理子模块1-3提出查询请求;
步骤三,可执行文件管理子模块1-3在接收到查询请求时,查询数据库中是否有该文件的注册记录:如果没有,则注册此文件,并标识为合法,进入步骤七;如果有,则将查到的记录传给完整性检测子模块1-2,进入下一步;
步骤四,完整性检测子模块1-2通过对比步骤二中计算出的摘要与记录中的摘要,检测可执行文件是否有改动,并将结果反馈给可执行文件加载过滤子模块1-1;
步骤五,可执行文件加载过滤子模块1-1接受返回信息,如果检测结果是安全的,则进入步骤七;如果结果可疑,则进入下一步做相应的错误处理;
步骤六,杀死该进程,将文件标识为非法,向用户发出警告,进入步骤八;
步骤七,可执行文件回到可执行文件的断点处,继续执行;
步骤八,可执行文件管理子模块1-3将执行这次操作的进程、用户、文件名和时间的信息记录到系统日志文件中。
其它组成和连接方式与具体实施方式一相同。
具体实施方式三:结合图说明本实施方式,本实施方式与具体实施方式一不同点在于异常检测模块2包括进程行为提取子模块2-1、行为特征抽取子模块2-2、行为规则建立子模块2-3、进程行为分析子模块2-4和异常处理子模块2-5;
进程行为提取子模块2-1,用于采集进程行为,所述的进程行为即进程的系统调用序列,该模块主要由处理系统调用中断劫持、获取系统调用和整理系统调用、传递进程行为信息4个部分。
行为特征抽取子模块2-2,用于对进程行为提取子模块2-1采集到的进程行为进行预处理和格式化处理;
行为规则建立子模块2-3,用于对行为特征抽取子模块2-2提取出来的进程行为短序列进行规则训练,从中建立正常行为规则库;
进程行为分析子模块2-4,用于把抽取到的进程行为特征与正常行为规则进行匹配,分析当前进程是否发生了异常,并将分析结果发送给异常处理子模块2-5;
异常处理子模块2-5,接收进程行为分析子模块2-4传来的分析结果,根据异常情况进行相应的处理。
为了实现对LINUX主机计算环境的动态保护的方法,该方法包括以下步骤:
步骤一,读入并分析系统配置信息,判断工作状态,如果为学习模式则进入下一步,如果为检测模式则转至步骤六;
步骤二,进程行为提取子模块2-1获取所需检测输入训练对象的进程行为;
步骤三,行为特征抽取子模块2-2对采集到的进程行为进行预处理和格式化处理;
步骤四,行为规则建立子模块2-3使用提取出的进程行为短序列,经过规则训练后建立正常行为规则库;
步骤五,再次查看系统配置信息,如果配置为学习模式,则跳转至步骤一,如果配置为检测模式,则跳转至步骤六;
步骤六,进程行为提取子模块2-1获取所需检测输入训练对象的进程行为;
步骤七,行为特征抽取子模块2-2对采集到的进程行为进行预处理和格式化处理;
步骤八,将进程行为分析子模块2-4抽取到的进程行为特征与该进程的正常行为规则进行比对,分析当前进程是否发生了异常,并将分析结果发送给异常处理子模块2-5;
步骤九,异常处理子模块2-5根据收到的异常情况进行处理。
上述行为提取的步骤包括:
21)在/proc目录下建立虚拟文件,并注册read和write函数,用于和用户态模块交互;
22)使用修改中断服务程序实现系统调用号的方法截获int80中断;
23)获取进程ID为pid的进程的系统调用序列,把这个序列通过步骤21中所述的虚拟文件发送到用户态;
上述步骤二和步骤六中执行相同的操作,所需参数均为所要检测进程的pid、所要获取的系统调用序列长度、以及超时阈值;
上述步骤三和步骤七执行相同的操作,具体实现方式为获得进程行为提取子模块提供的进程系统调用序列,利用滑动窗口机制来分割系统调用序列对程序行为进行分析,提取程序所发出的系统调用短序列。将大小为k的窗口滑动穿过系统调用轨迹,记录下遇到的每个长度为k的不同系统调用序列。
针对上述步骤八中的异常行为分析,本发明提出了两个指标,即
1、最短海明距离检测指标
最短海明距离指标描述为:在检测时用海明距离(hamming distance)d(i,j)来计算两个系统调用序列串之间的相似性。对在检测阶段产生的短系统调用序列串i,用i与正常行为库中短系统调用序列串间的最小海明距离dmin(i)来作为异常信号强度。
dmin(i)=min{d(i,j),对任意正常行为库中的短系统调用序列j}
采用dmin来描述异常信号强度的原因是,它能使入侵产生较强的异常,dmin值越大则系统调用序列的变化越可能是入侵造成。然而在实际中常用在序列串比对时产生的最大dmin值,因为它代表了在检测入侵时产生的最强异常信号。异常信号值计算如下:
当值超过预先制定的阈值时认为程序行为异常。
2、局部不匹配率异常指标
局部不匹配率指标描述为:假设局部序列数量为L,用m表示一个检测短串在局部序列中不匹配的系统调用的个数,用MA表示局部最大不匹配个数,则:
MA=max{m}
其它组成和连接方式与具体实施方式一相同。
具体实施方式四:结合图4说明本实施方式,本实施方式与具体实施方式一不同点在于内核关键数据结构保护模块3包括内核数据备份子模块3-1、内核数据完整性检测子模块3-2、内核数据摘要子模块3-3和内核数据恢复子模块3-4;
内核数据备份子模块3-1,用于备份内核关键数据,需要进行完整性保护的数据结构有系统调用表和IDT表,备份的时机应在新安装系统或者编译内核结束之后进行,备份的信息放在只读的内核安全信息库中,以防被篡改,关键数据通过内核数据摘要子模块3-3进行摘要;
内核数据完整性检测子模块3-2,用于周期性的检测数据的完整性,发现异常则进行数据恢复,向用户发出警告,并将异常记录到日志中;
内核数据摘要子模块3-3,用于对内核中的各种数据进行摘要,并将摘要值传递给内核数据完整性检测子模块3-2使用;
内核数据恢复子模块3-4,用于在内核数据完整性检测子模块3-2检测到数据异常时,启动执行内核数据恢复过程。
内核关键数据结构保护模块3的运行过程如下:
步骤一,在系统编译刚完成时调用内核数据备份子模块3-1,将需要保护的关键数据存入内核安全信息库中,并将权限设为只读;
步骤二,在系统运行时,周期性的检测数据的完整性;采用差异分析检测法来实现内核关键数据的保护,所需要的信息由内核数据摘要子模块3-3和内核数据备份子模块3-1的记录提供。
步骤三,发现被篡改行为时,使用内核数据恢复子模块3-4进行数据恢复。
其它组成和连接方式与具体实施方式一相同。
本发明内容不仅限于上述各实施方式的内容,其中一个或几个具体实施方式的组合同样也可以实现发明的目的。
Claims (7)
1.LINUX主机计算环境安全保护的模块,其特征在于它包括可执行文件保护模块(1)、异常检测模块(2)和内核关键数据结构保护模块(3);
可执行文件保护模块(1),用于可执行程序的注册与注销、完整性保护功能,对任何程序在运行之前都进行完整性检测,从而确保加载到内存中的用户态的进程安全,实现对操作系统中静态可执行文件的保护;
异常检测模块(2),用于建立进程合法行为集合,本模块运行过程中提取系统中进程行为,通过与正常行为匹配判定系统中进程行为是否出现异常,防止进程被恶意程序注入,实现对LINUX主机计算环境的动态保护;
内核关键数据结构保护模块(3),用于提供操作系统内核重要数据结构的备份、完整性检测和恢复功能,该模块在运行过程中检测内核重要数据结构是否被篡改,一旦发现篡改则根据之前的备份予以恢复,保护LINUX主机计算环境中的关键数据结构。
2.根据权利要求1所述的LINUX主机计算环境安全保护的模块,其特征在于可执行文件保护模块(1)包括可执行文件加载过滤子模块(1-1)、完整性检测子模块(1-2)和可执行文件管理子模块(1-3);
可执行文件加载过滤子模块(1-1),用于截获可执行文件加载请求,并向完整性检测子模块(1-2)发起完整性检测请求,根据从完整性检测子模块(1-2)获得的结果决策是否允许程序加载运行;所述截获可执行文件加载请求的方法是:通过添加钩子程序,截获内核中加载可执行文件的系统调用,并解析出参数中的文件路径等文件系统信息,以便于返回;
完整性检测子模块(1-2),用于按照可执行文件加载过滤子模块(1-1)发来的请求对进程进行完整性检测,并将结果反馈给可执行文件加载过滤子模块(1-1);所述进行完整性检测的方法是:通过可执行文件管理子模块(1-3)查找该进程注册的信息,并与当前计算得到的进程文件摘要比对,如果吻合则说明该进程合法,否则说明该进程可疑;
可执行文件管理子模块(1-3),用于负责对可执行文件进行注册管理,用户通过用户交互程序,实现对可执行文件的注册、注销、查看和校验的操作,所述对执行文件进行注册管理的方法是:对文件内容进行摘要,并将文件名、大小、所有者、摘要和当前时间的关键信息存入数据库中。
3.根据权利要求1所述的LINUX主机计算环境安全保护的模块,其特征在于异常检测模块(2)包括进程行为提取子模块(2-1)、行为特征抽取子模块(2-2)、行为规则建立子模块(2-3)、进程行为分析子模块(2-4)和异常处理子模块(2-5);
进程行为提取子模块(2-1),用于采集进程行为;
行为特征抽取子模块(2-2),用于对进程行为提取子模块(2-1)采集到的进程行为进行预处理和格式化处理;
行为规则建立子模块(2-3),用于对行为特征抽取子模块(2-2)提取出来的进程行为短序列进行规则训练,从中建立正常行为规则库;
进程行为分析子模块(2-4),用于把抽取到的进程行为特征与正常行为规则进行匹配,分析当前进程是否发生了异常,并将分析结果发送给异常处理子模块(2-5);
异常处理子模块(2-5),接收进程行为分析子模块(2-4)传来的分析结果,根据异常情况进行相应的处理。
4.根据权利要求1所述的LINUX主机计算环境安全保护的模块,其特征在于内核关键数据结构保护模块(3)包括内核数据备份子模块(3-1)、内核数据完整性检测子模块(3-2)、内核数据摘要子模块(3-3)和内核数据恢复子模块(3-4);
内核数据备份子模块(3-1),用于备份内核关键数据,
内核数据完整性检测子模块(3-2),用于周期性的检测数据的完整性,发现异常则进行数据恢复,向用户发出警告,并将异常记录到日志中;
内核数据摘要子模块(3-3),用于对内核中的各种数据进行摘要;
内核数据恢复子模块(3-4),用于在内核数据完整性检测子模块(3-2)检测到数据异常时,启动执行内核数据恢复过程。
5.LINUX主机计算环境安全保护方法,其特征在于它通过可执行文件保护模块(1)实现对操作系统中静态可执行文件的保护方法:
步骤一,在每一个可执行文件执行之前,由可执行文件加载过滤子模块(1-1)把它拦截下来,并向完整性检测子模块(1-2)发出检测请求;
步骤二,完整性检测子模块(1-2)在接收到完整性检测请求时,计算请求文件的摘要信息,并向可执行文件管理子模块(1-3)提出查询请求;
步骤三,可执行文件管理子模块(1-3)在接收到查询请求时,查询数据库中是否有该文件的注册记录:如果没有,则注册此文件,并标识为合法,进入步骤七;如果有,则将查到的记录传给完整性检测子模块(1-2),进入下一步;
步骤四,完整性检测子模块(1-2)通过对比步骤二中计算出的摘要与记录中的摘要,检测可执行文件是否有改动,并将结果反馈给可执行文件加载过滤子模块(1-1);
步骤五,可执行文件加载过滤子模块(1-1)接受返回信息,如果检测结果是安全的,则进入步骤七;如果结果可疑,则进入下一步做相应的错误处理;
步骤六,杀死该进程,将文件标识为非法,向用户发出警告,进入步骤八;
步骤七,可执行文件回到可执行文件的断点处,继续执行;
步骤八,可执行文件管理子模块(1-3)将执行这次操作的进程、用户、文件名和时间的信息记录到系统日志文件中。
6.LINUX主机计算环境安全保护方法,其特征在于它通过异常检测模块(2)实现对LINUX主机计算环境的动态保护方法:
步骤一,读入并分析系统配置信息,判断工作状态,如果为学习模式则进入下一步,如果为检测模式则转至步骤六;
步骤二,进程行为提取子模块(2-1)获取所需检测输入训练对象的进程行为;
步骤三,行为特征抽取子模块(2-2)对采集到的进程行为进行预处理和格式化处理;
步骤四,行为规则建立子模块(2-3)使用提取出的进程行为短序列,经过规则训练后建立正常行为规则库;
步骤五,再次查看系统配置信息,如果配置为学习模式,则跳转至步骤一,如果配置为检测模式,则跳转至步骤六;
步骤六,进程行为提取子模块(2-1)获取所需检测输入训练对象的进程行为;
步骤七,行为特征抽取子模块(2-2)对采集到的进程行为进行预处理和格式化处理;
步骤八,将进程行为分析子模块(2-4)抽取到的进程行为特征与该进程的正常行为规则进行比对,分析当前进程是否发生了异常,并将分析结果发送给异常处理子模块(2-5);
步骤九,异常处理子模块(2-5)根据收到的异常情况进行处理。
7.LINUX主机计算环境安全保护方法,其特征在于它通过内核关键数据结构保护模块(3)实现对LINUX主机计算环境的关键数据的保护方法:
步骤一,在系统编译完成时调用内核数据备份子模块(3-1),将需要保护的关键数据存入内核安全信息库中,并将权限设为只读;
步骤二,在系统运行时,周期性的检测数据的完整性;采用差异分析检测法来实现内核关键数据的保护,所需要的信息由内核数据摘要子模块(3-3)和内核数据备份子模块(3-1)的记录提供;
步骤三,发现被篡改行为时,使用内核数据恢复子模块(3-4)进行数据恢复。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011101970463A CN102222194A (zh) | 2011-07-14 | 2011-07-14 | Linux主机计算环境安全保护的模块及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011101970463A CN102222194A (zh) | 2011-07-14 | 2011-07-14 | Linux主机计算环境安全保护的模块及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102222194A true CN102222194A (zh) | 2011-10-19 |
Family
ID=44778744
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011101970463A Pending CN102222194A (zh) | 2011-07-14 | 2011-07-14 | Linux主机计算环境安全保护的模块及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102222194A (zh) |
Cited By (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102930202A (zh) * | 2012-11-05 | 2013-02-13 | 曙光信息产业(北京)有限公司 | 在Linux系统中执行操作的方法 |
CN103020516A (zh) * | 2013-01-17 | 2013-04-03 | 珠海市君天电子科技有限公司 | 一种防御网购木马的方法及其装置 |
CN103049698A (zh) * | 2013-01-17 | 2013-04-17 | 珠海市君天电子科技有限公司 | 一种防御网购木马的方法及其装置 |
CN103530555A (zh) * | 2013-10-31 | 2014-01-22 | 浙江云巢科技有限公司 | 防止程序执行恶意操作的方法和装置 |
CN103679035A (zh) * | 2012-09-24 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 安全性检测方法与装置 |
CN103699498A (zh) * | 2013-11-25 | 2014-04-02 | 南京大学 | 一种应用程序关键数据保护系统及其保护方法 |
CN103778385A (zh) * | 2014-02-24 | 2014-05-07 | 联想(北京)有限公司 | 一种数据保护方法、装置及电子设备 |
CN103902892A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 基于行为的病毒防御方法及系统 |
CN104077522A (zh) * | 2014-06-30 | 2014-10-01 | 江苏华大天益电力科技有限公司 | 一种操作系统进程完整性检测方法 |
CN104572461A (zh) * | 2014-12-30 | 2015-04-29 | 北京奇虎科技有限公司 | 一种文件自动检测方法和装置 |
CN104732156A (zh) * | 2015-03-18 | 2015-06-24 | 北京控制工程研究所 | 一种对航天器空间交会对接软件重要数据进行保护的方法 |
CN104809401A (zh) * | 2015-05-08 | 2015-07-29 | 南京大学 | 一种操作系统内核完整性保护方法 |
CN104850793A (zh) * | 2015-05-28 | 2015-08-19 | 成都中科创达软件有限公司 | 一种安卓系统智能控制管理方法 |
CN104866760A (zh) * | 2015-06-01 | 2015-08-26 | 成都中科创达软件有限公司 | 一种智能手机安全防护方法 |
CN104866761A (zh) * | 2015-06-01 | 2015-08-26 | 成都中科创达软件有限公司 | 一种高安全性安卓智能终端 |
CN104955043A (zh) * | 2015-06-01 | 2015-09-30 | 成都中科创达软件有限公司 | 一种智能终端安全防护系统 |
CN105183530A (zh) * | 2015-11-03 | 2015-12-23 | 浪潮(北京)电子信息产业有限公司 | 基于k-unix内核的模块加载方法及系统 |
CN105303107A (zh) * | 2014-06-06 | 2016-02-03 | 中兴通讯股份有限公司 | 一种异常进程检测方法及装置 |
CN105933303A (zh) * | 2016-04-15 | 2016-09-07 | 浪潮集团有限公司 | 一种文件篡改的检测方法及装置 |
CN106156622A (zh) * | 2016-07-04 | 2016-11-23 | 北京金山安全软件有限公司 | 服务进程注册方法、装置和终端设备 |
CN106844078A (zh) * | 2016-12-27 | 2017-06-13 | 郑州云海信息技术有限公司 | 一种pcie故障的处理方法和装置 |
CN106899977A (zh) * | 2015-12-18 | 2017-06-27 | 中国电信股份有限公司 | 异常流量检验方法和装置 |
CN106933556A (zh) * | 2015-12-29 | 2017-07-07 | 珠海市君天电子科技有限公司 | 一种驱动程序的打开方法及装置 |
CN107330320A (zh) * | 2016-04-29 | 2017-11-07 | 腾讯科技(深圳)有限公司 | 应用进程监控的方法和装置 |
CN107851155A (zh) * | 2015-07-24 | 2018-03-27 | 比特梵德知识产权管理有限公司 | 用于跨越多个软件实体跟踪恶意行为的系统及方法 |
CN109815692A (zh) * | 2017-11-20 | 2019-05-28 | 腾讯科技(深圳)有限公司 | 识别安装应用的方法和装置、存储介质及电子装置 |
CN109936548A (zh) * | 2017-12-18 | 2019-06-25 | 航天信息股份有限公司 | 基于pki平台的异常行为检测方法及装置 |
CN110516444A (zh) * | 2019-07-23 | 2019-11-29 | 成都理工大学 | 基于kernel的跨终端跨版本Root攻击检测与防护系统 |
WO2020000741A1 (zh) * | 2018-06-30 | 2020-01-02 | 平安科技(深圳)有限公司 | 一种rookit检测方法、装置及服务器 |
CN111651754A (zh) * | 2020-04-13 | 2020-09-11 | 北京奇艺世纪科技有限公司 | 入侵的检测方法和装置、存储介质、电子装置 |
CN112182573A (zh) * | 2020-09-10 | 2021-01-05 | 青岛海尔科技有限公司 | 用于入侵检测的方法及装置、设备 |
CN112231694A (zh) * | 2020-10-27 | 2021-01-15 | 北京人大金仓信息技术股份有限公司 | 一种数据库的检测方法、装置、设备及介质 |
CN112486723A (zh) * | 2020-11-25 | 2021-03-12 | 龙芯中科技术股份有限公司 | 数据校验方法、装置、处理器及电子设备 |
CN113032737A (zh) * | 2021-03-15 | 2021-06-25 | 清华大学 | 软件的保护方法、装置、电子设备及存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
-
2011
- 2011-07-14 CN CN2011101970463A patent/CN102222194A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
Non-Patent Citations (3)
Title |
---|
张磊等: "一种网页防篡改的系统模型", 《武汉大学学报(理学版)》, vol. 55, no. 1, 28 February 2009 (2009-02-28) * |
苏璞睿: "基于特权行为的入侵检测方法研究", 《中国博士学位论文全文数据库》, 30 April 2005 (2005-04-30) * |
褚力行: "基于数字签名的Linux兼容内核上应用程序的安全机制", 《中国优秀硕士学位论文全文数据库》, 30 April 2007 (2007-04-30) * |
Cited By (52)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103679035A (zh) * | 2012-09-24 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 安全性检测方法与装置 |
CN103679035B (zh) * | 2012-09-24 | 2016-12-28 | 腾讯科技(深圳)有限公司 | 安全性检测方法与装置 |
CN102930202A (zh) * | 2012-11-05 | 2013-02-13 | 曙光信息产业(北京)有限公司 | 在Linux系统中执行操作的方法 |
CN103902892A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 基于行为的病毒防御方法及系统 |
CN103020516A (zh) * | 2013-01-17 | 2013-04-03 | 珠海市君天电子科技有限公司 | 一种防御网购木马的方法及其装置 |
CN103049698A (zh) * | 2013-01-17 | 2013-04-17 | 珠海市君天电子科技有限公司 | 一种防御网购木马的方法及其装置 |
CN103020516B (zh) * | 2013-01-17 | 2015-12-23 | 珠海市君天电子科技有限公司 | 一种防御网购木马的方法及其装置 |
CN103049698B (zh) * | 2013-01-17 | 2015-08-19 | 珠海市君天电子科技有限公司 | 一种防御网购木马的方法及其装置 |
CN103530555A (zh) * | 2013-10-31 | 2014-01-22 | 浙江云巢科技有限公司 | 防止程序执行恶意操作的方法和装置 |
CN103530555B (zh) * | 2013-10-31 | 2016-09-07 | 浙江云巢科技有限公司 | 防止程序执行恶意操作的方法和装置 |
CN103699498B (zh) * | 2013-11-25 | 2016-08-31 | 南京大学 | 一种应用程序关键数据保护系统及其保护方法 |
CN103699498A (zh) * | 2013-11-25 | 2014-04-02 | 南京大学 | 一种应用程序关键数据保护系统及其保护方法 |
CN103778385A (zh) * | 2014-02-24 | 2014-05-07 | 联想(北京)有限公司 | 一种数据保护方法、装置及电子设备 |
CN105303107A (zh) * | 2014-06-06 | 2016-02-03 | 中兴通讯股份有限公司 | 一种异常进程检测方法及装置 |
CN104077522A (zh) * | 2014-06-30 | 2014-10-01 | 江苏华大天益电力科技有限公司 | 一种操作系统进程完整性检测方法 |
CN104572461A (zh) * | 2014-12-30 | 2015-04-29 | 北京奇虎科技有限公司 | 一种文件自动检测方法和装置 |
CN104572461B (zh) * | 2014-12-30 | 2018-03-02 | 北京奇虎科技有限公司 | 一种文件自动检测方法和装置 |
CN104732156B (zh) * | 2015-03-18 | 2018-02-09 | 北京控制工程研究所 | 一种对航天器空间交会对接软件重要数据进行保护的方法 |
CN104732156A (zh) * | 2015-03-18 | 2015-06-24 | 北京控制工程研究所 | 一种对航天器空间交会对接软件重要数据进行保护的方法 |
CN104809401B (zh) * | 2015-05-08 | 2017-12-19 | 南京大学 | 一种操作系统内核完整性保护方法 |
CN104809401A (zh) * | 2015-05-08 | 2015-07-29 | 南京大学 | 一种操作系统内核完整性保护方法 |
CN104850793A (zh) * | 2015-05-28 | 2015-08-19 | 成都中科创达软件有限公司 | 一种安卓系统智能控制管理方法 |
CN104850793B (zh) * | 2015-05-28 | 2017-09-29 | 成都中科创达软件有限公司 | 一种安卓系统智能控制管理方法 |
CN104955043B (zh) * | 2015-06-01 | 2018-02-16 | 成都中科创达软件有限公司 | 一种智能终端安全防护系统 |
CN104866761A (zh) * | 2015-06-01 | 2015-08-26 | 成都中科创达软件有限公司 | 一种高安全性安卓智能终端 |
CN104866760B (zh) * | 2015-06-01 | 2017-10-10 | 成都中科创达软件有限公司 | 一种智能手机安全防护方法 |
CN104866761B (zh) * | 2015-06-01 | 2017-10-31 | 成都中科创达软件有限公司 | 一种高安全性安卓智能终端 |
CN104866760A (zh) * | 2015-06-01 | 2015-08-26 | 成都中科创达软件有限公司 | 一种智能手机安全防护方法 |
CN104955043A (zh) * | 2015-06-01 | 2015-09-30 | 成都中科创达软件有限公司 | 一种智能终端安全防护系统 |
CN107851155A (zh) * | 2015-07-24 | 2018-03-27 | 比特梵德知识产权管理有限公司 | 用于跨越多个软件实体跟踪恶意行为的系统及方法 |
CN107851155B (zh) * | 2015-07-24 | 2021-02-26 | 比特梵德知识产权管理有限公司 | 用于跨越多个软件实体跟踪恶意行为的系统及方法 |
CN105183530A (zh) * | 2015-11-03 | 2015-12-23 | 浪潮(北京)电子信息产业有限公司 | 基于k-unix内核的模块加载方法及系统 |
CN106899977B (zh) * | 2015-12-18 | 2020-02-18 | 中国电信股份有限公司 | 异常流量检验方法和装置 |
CN106899977A (zh) * | 2015-12-18 | 2017-06-27 | 中国电信股份有限公司 | 异常流量检验方法和装置 |
CN106933556A (zh) * | 2015-12-29 | 2017-07-07 | 珠海市君天电子科技有限公司 | 一种驱动程序的打开方法及装置 |
CN105933303A (zh) * | 2016-04-15 | 2016-09-07 | 浪潮集团有限公司 | 一种文件篡改的检测方法及装置 |
CN105933303B (zh) * | 2016-04-15 | 2019-02-19 | 浪潮集团有限公司 | 一种文件篡改的检测方法及装置 |
CN107330320A (zh) * | 2016-04-29 | 2017-11-07 | 腾讯科技(深圳)有限公司 | 应用进程监控的方法和装置 |
CN106156622A (zh) * | 2016-07-04 | 2016-11-23 | 北京金山安全软件有限公司 | 服务进程注册方法、装置和终端设备 |
CN106844078A (zh) * | 2016-12-27 | 2017-06-13 | 郑州云海信息技术有限公司 | 一种pcie故障的处理方法和装置 |
CN109815692A (zh) * | 2017-11-20 | 2019-05-28 | 腾讯科技(深圳)有限公司 | 识别安装应用的方法和装置、存储介质及电子装置 |
CN109815692B (zh) * | 2017-11-20 | 2023-02-10 | 腾讯科技(深圳)有限公司 | 识别安装应用的方法和装置、存储介质及电子装置 |
CN109936548A (zh) * | 2017-12-18 | 2019-06-25 | 航天信息股份有限公司 | 基于pki平台的异常行为检测方法及装置 |
WO2020000741A1 (zh) * | 2018-06-30 | 2020-01-02 | 平安科技(深圳)有限公司 | 一种rookit检测方法、装置及服务器 |
CN110516444A (zh) * | 2019-07-23 | 2019-11-29 | 成都理工大学 | 基于kernel的跨终端跨版本Root攻击检测与防护系统 |
CN111651754A (zh) * | 2020-04-13 | 2020-09-11 | 北京奇艺世纪科技有限公司 | 入侵的检测方法和装置、存储介质、电子装置 |
CN112182573A (zh) * | 2020-09-10 | 2021-01-05 | 青岛海尔科技有限公司 | 用于入侵检测的方法及装置、设备 |
CN112231694A (zh) * | 2020-10-27 | 2021-01-15 | 北京人大金仓信息技术股份有限公司 | 一种数据库的检测方法、装置、设备及介质 |
CN112486723A (zh) * | 2020-11-25 | 2021-03-12 | 龙芯中科技术股份有限公司 | 数据校验方法、装置、处理器及电子设备 |
CN112486723B (zh) * | 2020-11-25 | 2023-11-07 | 龙芯中科技术股份有限公司 | 数据校验方法、装置、处理器及电子设备 |
CN113032737A (zh) * | 2021-03-15 | 2021-06-25 | 清华大学 | 软件的保护方法、装置、电子设备及存储介质 |
CN113032737B (zh) * | 2021-03-15 | 2021-11-30 | 清华大学 | 软件的保护方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102222194A (zh) | Linux主机计算环境安全保护的模块及方法 | |
CN102902928B (zh) | 一种网页防篡改方法及装置 | |
CN110266669B (zh) | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 | |
CN103428196B (zh) | 一种基于url白名单的web应用入侵检测方法 | |
CN103150511B (zh) | 一种安全防护系统 | |
CN113542279B (zh) | 一种网络安全风险评估方法、系统及装置 | |
KR20180080449A (ko) | 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치 | |
CN109829297A (zh) | 监控装置、方法及其电脑存储介质 | |
US20150193624A1 (en) | Security protection system and method | |
CN102413127A (zh) | 一种数据库综合安全防护方法 | |
CN108462714A (zh) | 一种基于系统弹性的apt防御系统及其防御方法 | |
CN105408911A (zh) | 硬件和软件执行概况分析 | |
CN109409087B (zh) | 防提权检测方法及设备 | |
CN108989294A (zh) | 一种准确识别网站访问的恶意用户的方法及系统 | |
KR101031786B1 (ko) | 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 | |
CN111524007A (zh) | 一种智能合约的嵌入式入侵检测方法及装置 | |
US9774627B2 (en) | Detecting memory-scraping malware | |
CN103220277A (zh) | 监控跨站脚本攻击的方法、装置及系统 | |
CN110545293A (zh) | 一种精准式网络攻击检测预警平台 | |
Mouelhi et al. | Tailored shielding and bypass testing of web applications | |
Arjunwadkar et al. | The rule based intrusion detection and prevention model for biometric system | |
KR101725670B1 (ko) | 웹 서버 점검을 이용해서 악성 코드를 탐지하고 차단하는 시스템 및 방법 | |
Gadgikar | Preventing SQL injection attacks using negative tainting approach | |
KR101650445B1 (ko) | 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법 | |
KR101560534B1 (ko) | 행위 기반 분석 기술을 이용한 지능적 지속 공격 탐지 및 대응 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20111019 |