CN103246849A - 一种Windows下基于增强型ROST的安全运行方法 - Google Patents
一种Windows下基于增强型ROST的安全运行方法 Download PDFInfo
- Publication number
- CN103246849A CN103246849A CN2013102089937A CN201310208993A CN103246849A CN 103246849 A CN103246849 A CN 103246849A CN 2013102089937 A CN2013102089937 A CN 2013102089937A CN 201310208993 A CN201310208993 A CN 201310208993A CN 103246849 A CN103246849 A CN 103246849A
- Authority
- CN
- China
- Prior art keywords
- access control
- access
- rule
- control module
- visit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种Windows下基于增强型ROST的安全运行方法,属于Windows操作系统安全运行技术领域,在Windows操作系统上增加内核模块来增强原有操作系统的安全性,增加的内核模块包括:文件强制访问控制模块、程序启动与执行控制模块、进程强制访问控制模块、注册表强制访问控制模块、服务强制访问控制模块、com组件强制访问控制模块、网络端口强制访问控制模块、用户防护控制模块、磁盘防护控制模块、登录防护控制模块、溢出防护控制模块、文件完整性检测模块、服务完整性检测模块、系统资源监控与报警模块。本发明和现有技术相比,全面提高Windows操作系统的安全性,免疫病毒木马和抵御黑客攻击。
Description
技术领域
本发明涉及一种Windows操作系统安全运行技术领域,具体地说是一种Windows下基于增强型ROST的安全运行方法。
背景技术
Windows操作系统的应用越来越广,其方便易用性特点受到了广泛的欢迎。但是,它的安全问题却饱受质疑。这个问题在个人用户使用时,并不明显,但是在政府部门、电信部门等准备大规模应用这种操作系统的时候,却成为最大的阻碍。
Windows操作系统的安全问题主要有:
1、超级用户特权:
超级管理员权限太大,其拥有其他用户所没有的特权,一旦获得超级管理员权限,就获得对计算机系统的完全控制;
2、文件访问控制简单:
用户进入系统便获得使用系统文件的权利,文件的访问仅依靠设置文件访问权限方式来控制,系统没有强制的安全访问控制机制,给攻击者开了方便之门;
3、程序启动控制简单:
用户进入系统便可启动任何程序(包括病毒或木马),系统没有强制的程序启动与执行控制机制,给系统带来了极大的安全隐患;
4、执行的程序不安全:
已经运行的Windows操作系统进程或用户进程经常被改写内存,甚至注入恶意代码,使程序的行为偏离了原来的轨道,造成系统的各种故障;
5、注册表访问控制简单:
注册表保存了Windows操作系统及各种应用的重要配置数据,这些数据一旦被改写,系统的运行将不稳定。当前系统并没有注册表的强制安全访问控制机制,使得攻击者很容易破坏注册表数据;
6、服务的不安全:
系统的许多功能多是通过后台服务的方式实现,由于对系统的服务缺乏必要的保护,所以服务很容易被攻击者控制或破坏,影响了系统的安全性和稳定性;
7、系统用户保护简单:
很多黑客攻入系统后,做的第一件事就是增加一个自己的用户,以便以后经常利用此账户光顾。当前系统缺乏对用户的安全管理控制,系统用户被增加或修改的危险性很大;
8、com组件不安全:
com组件是Windows操作系统的基石,系统的基础构件均通过com组件实现,非法入侵者经常通过替换或删除系统必须的com组件,使系统运行不稳定或发生异常;
9、缺乏磁盘保护:
现在一些高深的黑客有时会通过直接改写磁盘上的数据,从而破坏系统的文件或程序,致使系统发生一些不可预知的问题;
10、网络端口保护不完善:
黑客通常是通过一些端口扫描工具找到系统中当前已打开的端口,利用该端口支持的服务进行各种攻击及破坏活动;
11、用户登录过程简单:
Windows登录只需要输入一个密码即可,一旦这个密码被人窃取,操作系统大门顿时敞开,缺少二次确认机制;
12、缓冲区溢出造成隐患:
Windows服务器上往往跑着各种业务应用程序,很难保证每个应用程序的开发者都能保证自己程序的缓冲不会溢出,而一旦缓冲溢出被黑客利用,黑客将为所欲为。
综上所述,系统管理员担心黑客的攻击、用户害怕数据的丢失、政府机关关心国家机密是否安全等一系列问题致使构建安全的网络操作系统环境刻不容缓。正是由于以上常用安全问题,所以迫切需要发展一种能够全方位、多层面提高Windows操作系统自身安全的技术。
所有病毒或者木马等破坏行为的发作一般都通过以下步骤实现:
(1)写入系统,替换系统关键文件;
(2)修改系统配置文件或注册表;
(3)创建进程,把自身添加到开机启动项或者服务中。
当前Windows操作系统安全保障不完善,容易造成的系统故障主要有以下几项:
(1)缺少某些关键文件或关键文件被误删除,比如开机引导文件;
(2)配置文件或注册表被恶意更改,比如服务器ip地址等;
(3)加载恶意驱动;
(4)操作系统关键文件被修改或者替换。
发明内容
本发明的技术任务是提供一种,全面提高当前Windows操作系统在网络环境中的安全性和健壮性,免疫病毒木马和抵御黑客攻击,降低网络安全风险的一种Windows下基于增强型ROST的安全运行方法。
本发明的技术任务是按以下方式实现的,在Windows操作系统的核心层重建操作系统的权限访问模型来实现系统访问安全受限,利用强制访问控制技术达到增强Windows操作系统安全性;具体措施为在Windows操作系统上增加内核模块来增强原有操作系统的安全性,增加的内核模块包括:文件强制访问控制模块、程序启动与执行控制模块、进程强制访问控制模块、注册表强制访问控制模块、服务强制访问控制模块、com组件强制访问控制模块、网络端口强制访问控制模块、用户防护控制模块、磁盘防护控制模块、登录防护控制模块、溢出防护控制模块、文件完整性检测模块、服务完整性检测模块、系统资源监控与报警模块。
文件强制访问控制模块:包括基于用户对文件的访问控制模块、基于进程对文件的访问控制模块;文件强制访问控制模块的文件系统过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获来自所有用户或者进程对文件或目录的I/O请求;当截获到文件或目录的I/O请求时遍历访问控制链表,搜索文件或目录为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问。
进程在运行的时候就绑定了用户主体,所以进程本身也是一个主体;当一个客体受到安全模块的保护的时候,包括管理员也无法访问该客体,除非拥有文件强制访问控制规则的权限。
程序启动与执行控制模块:通过可信度量技术,禁止非授权的程序启动;程序启动与执行控制模块的驱动程序在初始化时,逐条插入被控制程序路径到规则链表,并允许在运行期间动态添加或删除控制规则,以便截获系统所有的程序启动与执行请求;当检测到程序启动与执行请求时遍历规则链表,搜索要启动与执行进程的控制规则,并根据搜索结果进行过滤,未找到对应的控制规则或对应的控制规则设定为禁止,则禁止该程序启动与执行,否则允许该程序启动与执行。
程序启动与执行控制模块,实现服务器对于病毒、木马、攻击程序等恶意代码的自免疫,弥补杀毒软件的滞后性问题。
进程强制访问控制模块:通过对访问进程以不同访问权限对客体进程设制访问规则,任何用户及其调用的非授权进程都无权终止与操作受进程强制访问控制保护的进程;
注册表强制访问控制模块:通过对访问进程以不同访问权限对注册表项设制访问规则,任何用户及其调用的非授权进程都无权打开与操作受注册表强制访问控制保护的注册表项;
服务强制访问控制模块:通过对访问进程以不同访问权限对服务设制访问规则,及时发现新增、修改、删除服务或驱动,任何用户及其调用的非授权进程都无权操作受服务强制访问控制保护的服务;
com组件强制访问控制模块:通过对访问进程以不同访问权限对com组件设制访问规则,任何用户及其调用的非授权进程都无权使用与卸载受com组件强制访问控制保护的com组件;
网络端口强制访问控制模块:通过对访问进程以不同访问权限对网络端口设制访问规则,任何用户及其调用的非授权进程都无权连接与监听受网络端口强制访问控制保护的网络端口。
进程强制访问控制模块的进程过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获所有对进程的访问请求;当截获到进程的访问请求时遍历访问控制链表,搜索被访问进程为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
注册表强制访问控制模块的注册表过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获所有对注册表的访问请求;当截获到注册表的访问请求时遍历访问控制链表,搜索被访问注册表项为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
服务强制访问控制模块的服务过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获所有对服务的访问请求;当截获到服务的访问请求时遍历访问控制链表,搜索被访问服务为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
com组件强制访问控制模块的com组件过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获所有对com组件的访问请求;当截获到com组件的访问请求时遍历访问控制链表,搜索被访问com组件为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
网络端口强制访问控制模块的网络端口过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获所有对网络端口的访问请求;当截获到网络端口的访问请求时遍历访问控制链表,搜索被访问网络端口为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问。
用户防护控制模块:用户防护启用,将动态的监控新增用户、删除用户、修改管理员密码、修改用户属性等操作,一旦发现上述操作,非授权操作将立即禁止;
磁盘防护控制模块:通过文件强制访问控制设置为只读权限的文件,不能通过磁盘层被修改或删除;
登录防护控制模块:通过使用USB+密码认证或双重密码认证进行系统登录,提高Windows操作系统用户登录过程的安全性;
溢出防护控制模块:检查Windows操作系统当前可执行程序缓冲溢出,如果某个进程设置了溢出检查规则为禁止溢出代码执行,当该进程发生缓冲溢出时及时终止溢出后的缓冲被恶意代码利用并执行。
用户防护控制模块的用户保护过滤驱动程序在初始化时,读取用户保护选项,并允许在运行期间动态修改用户保护选项,以便截获所有对系统用户的访问请求;当截获到对用户的访问请求时对比用户保护选项,并根据对比结果进行过滤,未找到对应的用户保护选项或对应的用户保护选项设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
磁盘防护控制模块的磁盘系统过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获来自所有用户或者进程对磁盘扇区的I/O请求;当截获到磁盘扇区的I/O请求时遍历访问控制链表,搜索此磁盘扇区中的文件或目录为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
登录防护控制模块的用户登录保护程序读取用户登录保护选项,以便拦截操作系统登录事件;当截获到系统登录事件时对比用户登录保护选项,并根据对比结果进行过滤,对应的用户登录保护选项设定为允许登录、用户密码输入正确且附加参数读取正常,则允许用户登录系统,否则用户不能登录系统;
溢出防护控制模块的溢出检测过滤驱动程序在初始化时,逐条插入被检测程序路径到规则链表,并允许在运行期间动态添加或删除检测规则,以便检测系统当前运行程序的缓冲溢出事件;当检测到溢出事件发生时遍历规则链表,搜索溢出进程的检测规则,并根据搜索结果进行过滤,未找到对应的检测规则或对应的检测规则设定为允许,则允许溢出的代码执行,否则禁止溢出的代码执行。
文件完整性检测模块:收集信息,为文件或目录建立数据摘要,并保存在数据文件中,检查启动时,解码数据文件,进行校验,以验证文件或目录是否变动过;
服务完整性检测模块:收集信息,为系统中的所有服务建立数据摘要,并保存在数据文件中,检查启动时,解码数据文件,进行校验,以验证系统服务是否变动;
系统资源监控与报警模块:通过对系统中的CPU、内存、硬盘、网络设置数量配额,当阀值达到时记录日志并通过相关途径报警。
本发明基于ROST+技术,ROST+技术即增强型ROST技术。ROST+:Reinforcement Operating System Technique Extend,翻译为增强型操作系统安全加固技术。ROST+技术打造立体多层次防护格局,防护层次从上到下依次为:应用层防护、文件系统层防护、磁盘防护;防护层次从左到右依次为:网络进口防护、主机系统防护、网络出口防护;防护层次从主到次依次为:基本防护、扩展防护(文件完整性检测、服务完整性检测、系统资源监控与报警)。同时,ROST+技术打造多实体防护格局,包括文件防护、目录防护、程序防护、进程防护、注册表防护、服务防护、用户防护、COM组件防护、网络端口防护、登录防护、缓冲防护。
本发明的一种Windows下基于增强型ROST的安全运行方法具有以下优点:通过控制文件、目录、程序、进程、注册表、服务、用户、com组件、磁盘、网络端口、登录过程、缓冲溢出等系统基本资源和事件,避免上述资源和事件被未经授权的非法使用,并解决病毒木马等的困扰,通过强制访问控制保护操作系统资源和事件,从根本上防止系统被修改或破坏,以便达到安全运行的目的。
具体实施方式
参照具体实施例对本发明的一种Windows下基于增强型ROST的安全运行方法作以下详细地说明。
实施例:
本发明的一种Windows下基于增强型ROST的安全运行方法, 在Windows操作系统的核心层重建操作系统的权限访问模型来实现系统访问安全受限,利用强制访问控制技术达到增强Windows操作系统安全性;具体措施为在Windows操作系统上增加内核模块来增强原有操作系统的安全性,增加的内核模块包括:文件强制访问控制模块、程序启动与执行控制模块、进程强制访问控制模块、注册表强制访问控制模块、服务强制访问控制模块、com组件强制访问控制模块、网络端口强制访问控制模块、用户防护控制模块、磁盘防护控制模块、登录防护控制模块、溢出防护控制模块、文件完整性检测模块、服务完整性检测模块、系统资源监控与报警模块。
文件强制访问控制模块:包括基于用户对文件的访问控制模块、基于进程对文件的访问控制模块;文件强制访问控制模块的文件系统过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获来自所有用户或者进程对文件或目录的I/O请求;当截获到文件或目录的I/O请求时遍历访问控制链表,搜索文件或目录为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问。
进程在运行的时候就绑定了用户主体,所以进程本身也是一个主体;当一个客体受到安全模块的保护的时候,包括管理员也无法访问该客体,除非拥有文件强制访问控制规则的权限。
程序启动与执行控制模块:通过可信度量技术,禁止非授权的程序启动;程序启动与执行控制模块的驱动程序在初始化时,逐条插入被控制程序路径到规则链表,并允许在运行期间动态添加或删除控制规则,以便截获系统所有的程序启动与执行请求;当检测到程序启动与执行请求时遍历规则链表,搜索要启动与执行进程的控制规则,并根据搜索结果进行过滤,未找到对应的控制规则或对应的控制规则设定为禁止,则禁止该程序启动与执行,否则允许该程序启动与执行。
程序启动与执行控制模块,实现服务器对于病毒、木马、攻击程序等恶意代码的自免疫,弥补杀毒软件的滞后性问题。
进程强制访问控制模块:通过对访问进程以不同访问权限对客体进程设制访问规则,任何用户及其调用的非授权进程都无权终止与操作受进程强制访问控制保护的进程;
注册表强制访问控制模块:通过对访问进程以不同访问权限对注册表项设制访问规则,任何用户及其调用的非授权进程都无权打开与操作受注册表强制访问控制保护的注册表项;
服务强制访问控制模块:通过对访问进程以不同访问权限对服务设制访问规则,及时发现新增、修改、删除服务或驱动,任何用户及其调用的非授权进程都无权操作受服务强制访问控制保护的服务;
com组件强制访问控制模块:通过对访问进程以不同访问权限对com组件设制访问规则,任何用户及其调用的非授权进程都无权使用与卸载受com组件强制访问控制保护的com组件;
网络端口强制访问控制模块:通过对访问进程以不同访问权限对网络端口设制访问规则,任何用户及其调用的非授权进程都无权连接与监听受网络端口强制访问控制保护的网络端口。
进程强制访问控制模块的进程过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获所有对进程的访问请求;当截获到进程的访问请求时遍历访问控制链表,搜索被访问进程为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
注册表强制访问控制模块的注册表过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获所有对注册表的访问请求;当截获到注册表的访问请求时遍历访问控制链表,搜索被访问注册表项为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
服务强制访问控制模块的服务过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获所有对服务的访问请求;当截获到服务的访问请求时遍历访问控制链表,搜索被访问服务为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
com组件强制访问控制模块的com组件过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获所有对com组件的访问请求;当截获到com组件的访问请求时遍历访问控制链表,搜索被访问com组件为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
网络端口强制访问控制模块的网络端口过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获所有对网络端口的访问请求;当截获到网络端口的访问请求时遍历访问控制链表,搜索被访问网络端口为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问。
用户防护控制模块:用户防护启用,将动态的监控新增用户、删除用户、修改管理员密码、修改用户属性等操作,一旦发现上述操作,非授权操作将立即禁止;
磁盘防护控制模块:通过文件强制访问控制设置为只读权限的文件,不能通过磁盘层被修改或删除;
登录防护控制模块:通过使用USB+密码认证或双重密码认证进行系统登录,提高Windows操作系统用户登录过程的安全性;
溢出防护控制模块:检查Windows操作系统当前可执行程序缓冲溢出,如果某个进程设置了溢出检查规则为禁止溢出代码执行,当该进程发生缓冲溢出时及时终止溢出后的缓冲被恶意代码利用并执行。
用户防护控制模块的用户保护过滤驱动程序在初始化时,读取用户保护选项,并允许在运行期间动态修改用户保护选项,以便截获所有对系统用户的访问请求;当截获到对用户的访问请求时对比用户保护选项,并根据对比结果进行过滤,未找到对应的用户保护选项或对应的用户保护选项设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
磁盘防护控制模块的磁盘系统过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获来自所有用户或者进程对磁盘扇区的I/O请求;当截获到磁盘扇区的I/O请求时遍历访问控制链表,搜索此磁盘扇区中的文件或目录为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
登录防护控制模块的用户登录保护程序读取用户登录保护选项,以便拦截操作系统登录事件;当截获到系统登录事件时对比用户登录保护选项,并根据对比结果进行过滤,对应的用户登录保护选项设定为允许登录、用户密码输入正确且附加参数读取正常,则允许用户登录系统,否则用户不能登录系统;
溢出防护控制模块的溢出检测过滤驱动程序在初始化时,逐条插入被检测程序路径到规则链表,并允许在运行期间动态添加或删除检测规则,以便检测系统当前运行程序的缓冲溢出事件;当检测到溢出事件发生时遍历规则链表,搜索溢出进程的检测规则,并根据搜索结果进行过滤,未找到对应的检测规则或对应的检测规则设定为允许,则允许溢出的代码执行,否则禁止溢出的代码执行。
文件完整性检测模块:收集信息,为文件或目录建立数据摘要,并保存在数据文件中,检查启动时,解码数据文件,进行校验,以验证文件或目录是否变动过;
服务完整性检测模块:收集信息,为系统中的所有服务建立数据摘要,并保存在数据文件中,检查启动时,解码数据文件,进行校验,以验证系统服务是否变动;
系统资源监控与报警模块:通过对系统中的CPU、内存、硬盘、网络设置数量配额,当阀值达到时记录日志并通过相关途径报警。
本发明的一种Windows下基于增强型ROST的安全运行方法,本说明书中提到的系统以及Windows均为Windows操作系统的简称。除说明书所述的技术特征外,均为本专业技术人员的已知技术。
Claims (8)
1.一种Windows下基于增强型ROST的安全运行方法,其特征在于在Windows操作系统的核心层重建操作系统的权限访问模型来实现系统访问安全受限,利用强制访问控制技术达到增强Windows操作系统安全性;具体措施为在Windows操作系统上增加内核模块来增强原有操作系统的安全性,增加的内核模块包括:文件强制访问控制模块、程序启动与执行控制模块、进程强制访问控制模块、注册表强制访问控制模块、服务强制访问控制模块、com组件强制访问控制模块、网络端口强制访问控制模块、用户防护控制模块、磁盘防护控制模块、登录防护控制模块、溢出防护控制模块、文件完整性检测模块、服务完整性检测模块、系统资源监控与报警模块。
2.根据权利要求1所述的一种Windows下基于增强型ROST的安全运行方法,其特征在于文件强制访问控制模块:包括基于用户对文件的访问控制模块、基于进程对文件的访问控制模块;文件强制访问控制模块的文件系统过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获来自所有用户或者进程对文件或目录的I/O请求;当截获到文件或目录的I/O请求时遍历访问控制链表,搜索文件或目录为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问。
3.根据权利要求1所述的一种Windows下基于增强型ROST的安全运行方法,其特征在于程序启动与执行控制模块:通过可信度量技术,禁止非授权的程序启动;程序启动与执行控制模块的驱动程序在初始化时,逐条插入被控制程序路径到规则链表,并允许在运行期间动态添加或删除控制规则,以便截获系统所有的程序启动与执行请求;当检测到程序启动与执行请求时遍历规则链表,搜索要启动与执行进程的控制规则,并根据搜索结果进行过滤,未找到对应的控制规则或对应的控制规则设定为禁止,则禁止该程序启动与执行,否则允许该程序启动与执行。
4.根据权利要求1所述的一种Windows下基于增强型ROST的安全运行方法,其特征在于进程强制访问控制模块:通过对访问进程以不同访问权限对客体进程设制访问规则,任何用户及其调用的非授权进程都无权终止与操作受进程强制访问控制保护的进程;
注册表强制访问控制模块:通过对访问进程以不同访问权限对注册表项设制访问规则,任何用户及其调用的非授权进程都无权打开与操作受注册表强制访问控制保护的注册表项;
服务强制访问控制模块:通过对访问进程以不同访问权限对服务设制访问规则,及时发现新增、修改、删除服务或驱动,任何用户及其调用的非授权进程都无权操作受服务强制访问控制保护的服务;
com组件强制访问控制模块:通过对访问进程以不同访问权限对com组件设制访问规则,任何用户及其调用的非授权进程都无权使用与卸载受com组件强制访问控制保护的com组件;
网络端口强制访问控制模块:通过对访问进程以不同访问权限对网络端口设制访问规则,任何用户及其调用的非授权进程都无权连接与监听受网络端口强制访问控制保护的网络端口。
5.根据权利要求4所述的一种Windows下基于增强型ROST的安全运行方法,其特征在于进程强制访问控制模块的进程过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获所有对进程的访问请求;当截获到进程的访问请求时遍历访问控制链表,搜索被访问进程为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
注册表强制访问控制模块的注册表过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获所有对注册表的访问请求;当截获到注册表的访问请求时遍历访问控制链表,搜索被访问注册表项为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
服务强制访问控制模块的服务过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获所有对服务的访问请求;当截获到服务的访问请求时遍历访问控制链表,搜索被访问服务为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
com组件强制访问控制模块的com组件过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获所有对com组件的访问请求;当截获到com组件的访问请求时遍历访问控制链表,搜索被访问com组件为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
网络端口强制访问控制模块的网络端口过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获所有对网络端口的访问请求;当截获到网络端口的访问请求时遍历访问控制链表,搜索被访问网络端口为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问。
6.根据权利要求1所述的一种Windows下基于增强型ROST的安全运行方法,其特征在于用户防护控制模块:用户防护启用,将动态的监控新增用户、删除用户、修改管理员密码、修改用户属性等操作,一旦发现上述操作,非授权操作将立即禁止;
磁盘防护控制模块:通过文件强制访问控制设置为只读权限的文件,不能通过磁盘层被修改或删除;
登录防护控制模块:通过使用USB+密码认证或双重密码认证进行系统登录,提高Windows操作系统用户登录过程的安全性;
溢出防护控制模块:检查Windows操作系统当前可执行程序缓冲溢出,如果某个进程设置了溢出检查规则为禁止溢出代码执行,当该进程发生缓冲溢出时及时终止溢出后的缓冲被恶意代码利用并执行。
7.根据权利要求6所述的一种Windows下基于增强型ROST的安全运行方法,其特征在于用户防护控制模块的用户保护过滤驱动程序在初始化时,读取用户保护选项,并允许在运行期间动态修改用户保护选项,以便截获所有对系统用户的访问请求;当截获到对用户的访问请求时对比用户保护选项,并根据对比结果进行过滤,未找到对应的用户保护选项或对应的用户保护选项设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
磁盘防护控制模块的磁盘系统过滤驱动程序在初始化时,逐条插入访问规则到访问控制链表,并允许在运行期间动态添加或删除访问规则,以便截获来自所有用户或者进程对磁盘扇区的I/O请求;当截获到磁盘扇区的I/O请求时遍历访问控制链表,搜索此磁盘扇区中的文件或目录为客体的访问控制规则,并根据搜索结果进行过滤,未找到对应的访问控制规则或对应的访问控制规则设定为允许访问,则转交原系统服务例程,否则明确要求系统拒绝该访问;
登录防护控制模块的用户登录保护程序读取用户登录保护选项,以便拦截操作系统登录事件;当截获到系统登录事件时对比用户登录保护选项,并根据对比结果进行过滤,对应的用户登录保护选项设定为允许登录、用户密码输入正确且附加参数读取正常,则允许用户登录系统,否则用户不能登录系统;
溢出防护控制模块的溢出检测过滤驱动程序在初始化时,逐条插入被检测程序路径到规则链表,并允许在运行期间动态添加或删除检测规则,以便检测系统当前运行程序的缓冲溢出事件;当检测到溢出事件发生时遍历规则链表,搜索溢出进程的检测规则,并根据搜索结果进行过滤,未找到对应的检测规则或对应的检测规则设定为允许,则允许溢出的代码执行,否则禁止溢出的代码执行。
8.根据权利要求1所述的一种Windows下基于增强型ROST的安全运行方法,其特征在于文件完整性检测模块:收集信息,为文件或目录建立数据摘要,并保存在数据文件中,检查启动时,解码数据文件,进行校验,以验证文件或目录是否变动过;
服务完整性检测模块:收集信息,为系统中的所有服务建立数据摘要,并保存在数据文件中,检查启动时,解码数据文件,进行校验,以验证系统服务是否变动;
系统资源监控与报警模块:通过对系统中的CPU、内存、硬盘、网络设置数量配额,当阀值达到时记录日志并通过相关途径报警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2013102089937A CN103246849A (zh) | 2013-05-30 | 2013-05-30 | 一种Windows下基于增强型ROST的安全运行方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2013102089937A CN103246849A (zh) | 2013-05-30 | 2013-05-30 | 一种Windows下基于增强型ROST的安全运行方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103246849A true CN103246849A (zh) | 2013-08-14 |
Family
ID=48926363
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2013102089937A Pending CN103246849A (zh) | 2013-05-30 | 2013-05-30 | 一种Windows下基于增强型ROST的安全运行方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103246849A (zh) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103793662A (zh) * | 2013-12-12 | 2014-05-14 | 浪潮电子信息产业股份有限公司 | 一种可信平台下基于强制访问控制的安全运行方法 |
CN104133726A (zh) * | 2014-08-13 | 2014-11-05 | 浪潮电子信息产业股份有限公司 | 一种进程上下文强制访问控制方法 |
CN105303087A (zh) * | 2015-11-26 | 2016-02-03 | 中国农业银行股份有限公司 | 一种用户权限信息更新方法及装置 |
CN105912945A (zh) * | 2016-04-05 | 2016-08-31 | 浪潮电子信息产业股份有限公司 | 一种操作系统安全加固装置及运行方法 |
CN106228078A (zh) * | 2016-07-29 | 2016-12-14 | 浪潮电子信息产业股份有限公司 | 一种Linux下基于增强型ROST的安全运行方法 |
CN106326699A (zh) * | 2016-08-25 | 2017-01-11 | 广东七洲科技股份有限公司 | 一种基于文件访问控制和进程访问控制的服务器加固方法 |
CN106503550A (zh) * | 2016-10-10 | 2017-03-15 | 哈尔滨理工大学 | 一种基于Python开发的预警机系统 |
CN107220542A (zh) * | 2017-05-31 | 2017-09-29 | 郑州云海信息技术有限公司 | 一种基于强制访问控制的Windows系统进程防护方法 |
CN107483277A (zh) * | 2017-09-28 | 2017-12-15 | 北京小米移动软件有限公司 | 端口管理方法及装置 |
CN109325346A (zh) * | 2018-09-06 | 2019-02-12 | 郑州云海信息技术有限公司 | 一种基于Linux系统的入侵检测方法 |
CN109800580A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 系统进程的权限控制方法及装置、存储介质、计算机设备 |
CN110381068A (zh) * | 2019-07-23 | 2019-10-25 | 迈普通信技术股份有限公司 | 强制访问控制方法、装置、网络设备及存储介质 |
CN111079154A (zh) * | 2019-12-20 | 2020-04-28 | 北京中嘉华诚网络安全技术有限公司 | 一种保护操作系统内核不被外来程序破坏的内核加固系统 |
CN111949979A (zh) * | 2020-07-29 | 2020-11-17 | 山东英信计算机技术有限公司 | 一种网络端口保护方法、系统、电子设备及存储介质 |
CN112906000A (zh) * | 2021-03-03 | 2021-06-04 | 深信服科技股份有限公司 | 一种程序访问方法、装置、设备及可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040025016A1 (en) * | 2002-06-17 | 2004-02-05 | Digitalnet Government Solutions, Llc | Trusted computer system |
CN1940805A (zh) * | 2005-09-30 | 2007-04-04 | 联想(北京)有限公司 | 计算机系统及其安全加固方法 |
US7640584B1 (en) * | 2005-06-24 | 2009-12-29 | Rockwell Collins, Inc. | System and method for enhancing computer security |
-
2013
- 2013-05-30 CN CN2013102089937A patent/CN103246849A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040025016A1 (en) * | 2002-06-17 | 2004-02-05 | Digitalnet Government Solutions, Llc | Trusted computer system |
US7640584B1 (en) * | 2005-06-24 | 2009-12-29 | Rockwell Collins, Inc. | System and method for enhancing computer security |
CN1940805A (zh) * | 2005-09-30 | 2007-04-04 | 联想(北京)有限公司 | 计算机系统及其安全加固方法 |
Non-Patent Citations (1)
Title |
---|
施怡: "采用windows内核加固技术(GKR)构建安全操作系统", 《福建电脑》 * |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103793662A (zh) * | 2013-12-12 | 2014-05-14 | 浪潮电子信息产业股份有限公司 | 一种可信平台下基于强制访问控制的安全运行方法 |
CN104133726A (zh) * | 2014-08-13 | 2014-11-05 | 浪潮电子信息产业股份有限公司 | 一种进程上下文强制访问控制方法 |
CN105303087A (zh) * | 2015-11-26 | 2016-02-03 | 中国农业银行股份有限公司 | 一种用户权限信息更新方法及装置 |
CN105303087B (zh) * | 2015-11-26 | 2018-01-09 | 中国农业银行股份有限公司 | 一种用户权限信息更新方法及装置 |
CN105912945A (zh) * | 2016-04-05 | 2016-08-31 | 浪潮电子信息产业股份有限公司 | 一种操作系统安全加固装置及运行方法 |
CN106228078A (zh) * | 2016-07-29 | 2016-12-14 | 浪潮电子信息产业股份有限公司 | 一种Linux下基于增强型ROST的安全运行方法 |
CN106326699B (zh) * | 2016-08-25 | 2020-02-07 | 广东七洲科技股份有限公司 | 一种基于文件访问控制和进程访问控制的服务器加固方法 |
CN106326699A (zh) * | 2016-08-25 | 2017-01-11 | 广东七洲科技股份有限公司 | 一种基于文件访问控制和进程访问控制的服务器加固方法 |
CN106503550A (zh) * | 2016-10-10 | 2017-03-15 | 哈尔滨理工大学 | 一种基于Python开发的预警机系统 |
CN107220542A (zh) * | 2017-05-31 | 2017-09-29 | 郑州云海信息技术有限公司 | 一种基于强制访问控制的Windows系统进程防护方法 |
CN107483277A (zh) * | 2017-09-28 | 2017-12-15 | 北京小米移动软件有限公司 | 端口管理方法及装置 |
CN109325346A (zh) * | 2018-09-06 | 2019-02-12 | 郑州云海信息技术有限公司 | 一种基于Linux系统的入侵检测方法 |
CN109800580A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 系统进程的权限控制方法及装置、存储介质、计算机设备 |
CN110381068A (zh) * | 2019-07-23 | 2019-10-25 | 迈普通信技术股份有限公司 | 强制访问控制方法、装置、网络设备及存储介质 |
CN111079154A (zh) * | 2019-12-20 | 2020-04-28 | 北京中嘉华诚网络安全技术有限公司 | 一种保护操作系统内核不被外来程序破坏的内核加固系统 |
CN111949979A (zh) * | 2020-07-29 | 2020-11-17 | 山东英信计算机技术有限公司 | 一种网络端口保护方法、系统、电子设备及存储介质 |
CN112906000A (zh) * | 2021-03-03 | 2021-06-04 | 深信服科技股份有限公司 | 一种程序访问方法、装置、设备及可读存储介质 |
CN112906000B (zh) * | 2021-03-03 | 2024-02-23 | 深信服科技股份有限公司 | 一种程序访问方法、装置、设备及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103246849A (zh) | 一种Windows下基于增强型ROST的安全运行方法 | |
US11657152B2 (en) | Methods for behavioral detection and prevention of cyberattacks, and related apparatus and techniques | |
US7904956B2 (en) | Access authorization with anomaly detection | |
US9069941B2 (en) | Access authorization having embedded policies | |
US20180375826A1 (en) | Active network backup device | |
AU2007252841B2 (en) | Method and system for defending security application in a user's computer | |
US7506364B2 (en) | Integrated access authorization | |
KR101700552B1 (ko) | 보안 운영 체제 환경으로의 콘텍스트 기반 전환 | |
CN101667232B (zh) | 基于可信计算的终端可信保障系统与方法 | |
CN106228078A (zh) | 一种Linux下基于增强型ROST的安全运行方法 | |
CN102034052A (zh) | 基于三权分立的操作系统体系结构及实现方法 | |
CN101877039A (zh) | 一种服务器操作系统的故障检测技术 | |
WO2013090314A1 (en) | Secure operating system/web server systems and methods | |
Gupta et al. | Taxonomy of cloud security | |
GB2572977A (en) | Protecting a computer device from escalation of privilege attacks | |
Ami et al. | Ransomware prevention using application authentication-based file access control | |
Deng et al. | Lexical analysis for the webshell attacks | |
CN101788944A (zh) | 一种利用强制访问控制检测aix系统故障的方法 | |
CN101819548A (zh) | 一种利用强制访问控制检测Linux系统故障的技术 | |
CN101827091A (zh) | 一种利用强制访问控制检测Solaris系统故障的方法 | |
Peisert et al. | Dynamic, flexible, and optimistic access control | |
US11983272B2 (en) | Method and system for detecting and preventing application privilege escalation attacks | |
CN117725630B (zh) | 安全防护方法、设备、存储介质和计算机程序产品 | |
McIntosh | RanDeter: using novel statistical and physical controls to deter ransomware attacks: a thesis presented in partial fulfillment of the requirements for the degree of Master of Information Sciences in Software Engineering at Massey University, Auckland, New Zealand | |
Ma | The Research on MySQL Security Baseline |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130814 |