CN103778006B - 一种操作系统进程控制方法 - Google Patents
一种操作系统进程控制方法 Download PDFInfo
- Publication number
- CN103778006B CN103778006B CN201410047995.7A CN201410047995A CN103778006B CN 103778006 B CN103778006 B CN 103778006B CN 201410047995 A CN201410047995 A CN 201410047995A CN 103778006 B CN103778006 B CN 103778006B
- Authority
- CN
- China
- Prior art keywords
- kernel
- execution
- operating system
- strategy
- control method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Stored Programmes (AREA)
Abstract
本发明提供了一种操作系统进程控制方法。具体方法步骤为:给系统下的每一个可执行文件一个唯一的标识;把所述标识按照执行需要放入执行列表,组成进程控制策略;在系统内核中插入内核模块,替换hook点函数;内核模块接收进程控制策略并解析,维护执行列表,在计算机上运行任何程序和脚本时,内核模块根据执行列表的进程控制策略决定进程和脚本的执行方法。在最少改变内核代码的情况下,实现强制访问控制模块,对Linux内核影响很小,效率很高,不会带来很大的开销。
Description
技术领域
本发明涉及一种操作系统进程控制方法,特别是涉及一种适用于Linux操作系统的系统进程控制方法。
背景技术
Linux安全子系统。其是一种轻量级通用访问控制框架,适合于多种访问控制模型在它上面以内核可加载模块的形式实现。用户可以根据自己的需求选择合适的安全模块加载到内核上实现。
在现有技术中进程控制中,存在着许多管理缺陷,如在systrace系统调用中的出现过的系统调用干预,因为它不能扩展到多处理器内核,并且它受制于参数替换攻击。
发明内容
本发明要解决的技术问题是提供一种Linux操纵系统中,在最少改变内核代码的情况下,实现强制访问控制模块的方法。
本发明采用的技术方案如下: 一种操作系统进程控制方法,具体方法步骤为:步骤一、给系统下的每一个可执行文件一个唯一的标识;步骤二、把所述标识按照执行需要放入执行列表,组成进程控制策略;步骤三、在系统内核中插入内核模块,替换hook点函数;步骤四、内核模块接收进程控制策略并解析,维护执行列表,在计算机上运行任何程序和脚本时,内核模块根据执行列表的进程控制策略决定进程和脚本的执行方法。
作为优选,所述步骤一中的唯一标识为采用md5计算方法,计算出的每个可执行文件的特征值。
作为优选,所述步骤二中,把标识按照禁止启动和允许运行的执行需要放入黑白名单执行列表。
作为优选,所述黑名单上的进程是禁止启动的,白名单上的进程是允许运行的。
作为优选,所述系统内核为基于内核安全子系统框架的。
作为优选,所述步骤一和步骤二在服务器上完成,所述进程控制策略由服务器下发到需要进行进程控制的计算机,并存储在内存中。
作为优选,当有新的进程控制策略下发到需要进行进程控制的计算机时,新的进程控制策略替换之前的进程控制策略。
与现有技术相比,本发明的有益效果是:在最少改变内核代码的情况下,实现强制访问控制模块,对Linux内核影响很小,效率很高,不会带来很大的开销。
进一步的有益效果为:
1、基于内核安全子系统框架,支持对所有进程和脚本的控制,可扩展性强;
2、进程控制策略由服务器下发到需要进行进程控制的计算机,控制模块启动后,可以支持控制策略的实时响应。策略修改后,控制方式相应修改,不用重新启动计算机,后台运行,自动启动,不需要关心的用户甚至感觉不到控制模块的存在,控制灵活、准确,进程控制策略可在策略配置管理程序上根据需要随时修改,不同的用户可根据需要进行定制。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本说明书(包括任何附加权利要求和摘要)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
本具体实施例以Linux操纵系统为例进行具体说明。
一种操作系统进程控制方法,具体方法步骤为:步骤一、给系统下的每一个可执行文件一个唯一的标识;步骤二、把所述标识按照执行需要放入执行列表,组成进程控制策略;步骤三、在系统内核中插入内核模块,替换hook点函数;步骤四、内核模块接收进程控制策略并解析,维护执行列表,在计算机上运行任何程序和脚本时,内核模块根据执行列表的进程控制策略决定进程和脚本的执行方法。
所述步骤一中的唯一标识为采用md5计算方法,计算出的每个可执行文件的特征值。扫描Linux下的可执行文件,包括ELF格式的文件和有执行权限的脚本程序文件,计算出每个文件的特征值,该特征值用于唯一标识可执行文件。采用md5算法,可以达到精确控制某个进程的目的。
采用系统内核模块的形式,可动态加载。模块安装到系统中后,会随系统开机自动运行,达到控制进程执行权限的目的。
所述步骤二中,把标识按照禁止启动和允许运行的执行需要放入黑白名单执行列表。在本具体实施例中,用户把扫描出来的进程按需要划入黑白名单,组成进程控制策略。
其中,所述黑名单上的进程是禁止启动的,白名单上的进程是允许运行的。在机器上运行任何进程和脚本时,内核模块根据黑白名单决定进程和脚本的执行放行与否。根据外设控制策略,在内核维护黑白名单链表,对当前准备执行的进程进行过滤。如果当前进程在黑名单中就向内核返回相应结果,从而系统会禁止当前进程执行,达到禁止进程执行目的,如果当前进程通过过滤被放过,同样向内核返回放过的结果,使之能正常启动。
在本具体实施例中,所述步骤一和步骤二在服务器上完成,所述进程控制策略由服务器下发到需要进行进程控制的计算机,并存储在内存中。控制模块启动后,可以支持控制策略的实时响应。策略修改后,控制方式相应修改,不用重新启动计算机。服务器后台启动,自动启动,不需要关心的用户甚至感觉不到控制模块的存在。控制灵活、准确,进程控制策略可在策略配置管理程序上根据需要随时修改,不同的用户可根据需要进行定制。
所述系统内核为基于内核安全子系统框架的,能扩展到多处理器内核,可扩展性强。垮平台适用,对各类Linux系统的计算机,均可实现对进程的控制。
当有新的进程控制策略下发到需要进行进程控制的计算机时,新的进程控制策略替换之前的进程控制策略。
本发明对Linux内核影响很小,效率很高,不会带来很大的开销。
用户正常使用计算机,当有新的进程准备执行时,进程控制模块会自动检测策略配置,判断当前进程是否有执行权限,并对该进程执行进行控制,控制过程无需用户参与即可达到目的。
对先前为放行的进程,如想禁用,需在策略配置管理程序上修改其控制策略;对已禁止的进程,如想重新放行,同样只需在策略配置管理程序上修改其控制策略,然后重新下发后执行该进程即可。
Claims (7)
1.一种操作系统进程控制方法,具体方法步骤为:步骤一、给系统下的每一个可执行文件一个唯一的标识;步骤二、把所述标识按照执行需要放入执行列表,组成进程控制策略;步骤三、在系统内核中插入内核模块,替换hook点函数;步骤四、内核模块接收进程控制策略并解析,维护执行列表,在计算机上运行任何程序和脚本时,内核模块根据执行列表的进程控制策略决定进程和脚本的执行方法。
2.根据权利要求1所述的操作系统进程控制方法,所述步骤一中的唯一标识为采用md5计算方法,计算出的每个可执行文件的特征值。
3.根据权利要求1所述的操作系统进程控制方法,所述步骤二中,把标识按照禁止启动和允许运行的执行需要放入黑白名单执行列表。
4.根据权利要求3所述的操作系统进程控制方法,黑名单上的进程是禁止启动的,白名单上的进程是允许运行的。
5.根据权利要求1所述的操作系统进程控制方法,所述系统内核为基于内核安全子系统框架的。
6.根据权利要求1所述的操作系统进程控制方法,所述步骤一和步骤二在服务器上完成,所述进程控制策略由服务器下发到需要进行进程控制的计算机,并存储在内存中。
7.根据权利要求6所述的操作系统进程控制方法,当有新的进程控制策略下发到需要进行进程控制的计算机时,新的进程控制策略替换之前的进程控制策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410047995.7A CN103778006B (zh) | 2014-02-12 | 2014-02-12 | 一种操作系统进程控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410047995.7A CN103778006B (zh) | 2014-02-12 | 2014-02-12 | 一种操作系统进程控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103778006A CN103778006A (zh) | 2014-05-07 |
| CN103778006B true CN103778006B (zh) | 2017-02-08 |
Family
ID=50570282
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410047995.7A Active CN103778006B (zh) | 2014-02-12 | 2014-02-12 | 一种操作系统进程控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103778006B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104133726A (zh) * | 2014-08-13 | 2014-11-05 | 浪潮电子信息产业股份有限公司 | 一种进程上下文强制访问控制方法 |
| CN105844157A (zh) * | 2016-04-20 | 2016-08-10 | 北京鼎源科技有限公司 | 一种针对Android系统App行为的监控方法 |
| CN107623581B (zh) * | 2016-07-15 | 2020-11-24 | 阿里巴巴集团控股有限公司 | 服务列表生成方法、装置及系统,获取、上报方法及装置 |
| CN107818260B (zh) * | 2016-09-14 | 2023-04-25 | 中兴通讯股份有限公司 | 保障系统安全的方法及装置 |
| CN108683652A (zh) * | 2018-05-04 | 2018-10-19 | 北京奇安信科技有限公司 | 一种基于行为权限的处理网络攻击行为的方法及装置 |
| EP3794477B1 (en) * | 2019-01-04 | 2023-05-10 | Baidu.com Times Technology (Beijing) Co., Ltd. | Method and system for validating kernel objects to be executed by a data processing accelerator of a host system |
| CN109828793B (zh) * | 2019-01-28 | 2022-06-28 | 超越科技股份有限公司 | 基于国产操作系统的usb管控方法及系统 |
| CN110781491B (zh) * | 2019-10-25 | 2022-02-18 | 苏州浪潮智能科技有限公司 | 一种进程访问文件的控制方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
| CN101727555A (zh) * | 2009-12-04 | 2010-06-09 | 苏州昂信科技有限公司 | 一种操作系统的访问控制方法及其实现平台 |
| CN102542182A (zh) * | 2010-12-15 | 2012-07-04 | 苏州凌霄科技有限公司 | 基于Windows平台的强制访问控制装置及控制方法 |
-
2014
- 2014-02-12 CN CN201410047995.7A patent/CN103778006B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
| CN101727555A (zh) * | 2009-12-04 | 2010-06-09 | 苏州昂信科技有限公司 | 一种操作系统的访问控制方法及其实现平台 |
| CN102542182A (zh) * | 2010-12-15 | 2012-07-04 | 苏州凌霄科技有限公司 | 基于Windows平台的强制访问控制装置及控制方法 |
Non-Patent Citations (3)
| Title |
|---|
| LSM框架下可执行程序的强制访问控制机制;刘威鹏 等;《计算机工程》;20080430;第34卷(第7期);160-162 * |
| 基于进程的访问控制模型;粱千金 等;《计算机工程》;20070131;第33卷(第2期);25-27 * |
| 如何增强Linux系统的安全性,第一部分:Linux安全模块(LSM)简介;赵亮;《https://www.ibm.com/developerworks/cn/linux/l-lsm/part1/》;20030726;1-6 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103778006A (zh) | 2014-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103778006B (zh) | 一种操作系统进程控制方法 | |
| CN104754043B (zh) | 一种终端升级方法及装置 | |
| US20150242627A1 (en) | Apparatus and method for blocking actvity of malware | |
| US20100153941A1 (en) | Flexible content update via deployment order template | |
| US9594586B2 (en) | Scale-out method and system | |
| CN108121543B (zh) | 一种软件代码编译处理方法及装置 | |
| CN110673927B (zh) | 一种虚拟机的调度方法和装置 | |
| CN105681060A (zh) | 一种虚拟化网络功能管理升级方法、装置及服务器 | |
| CN102930202A (zh) | 在Linux系统中执行操作的方法 | |
| CN101826026A (zh) | 嵌入式设备、嵌入式设备中固件在线升级的系统及方法 | |
| JP2011164971A (ja) | Biosとbmcとの間の通信パス強化方法、その装置及びそのプログラム | |
| EP3182718B1 (en) | Set top box upgrade method and device | |
| CN110874263B (zh) | docker容器实例监控方法及装置 | |
| WO2018024198A1 (zh) | 机顶盒的应用程序升级方法、系统及机顶盒 | |
| CN109828793B (zh) | 基于国产操作系统的usb管控方法及系统 | |
| CN103856559A (zh) | 多版本并存的web服务工作方法和系统 | |
| US20110320595A1 (en) | Medical information processing device and software distributing system | |
| CN114244642B (zh) | 设备的控制方法及其装置、计算机可读存储介质、处理器 | |
| CN111124509B (zh) | 一种服务器启动方法与装置 | |
| CN107463390B (zh) | 一种软件升级方法及升级服务器 | |
| JP2014127036A (ja) | 情報処理プログラム、情報処理方法及び装置 | |
| CN106293790B (zh) | 基于Firefox操作系统的应用程序升级方法和装置 | |
| US20180144105A1 (en) | Computing apparatus and method with persistent memory | |
| CN105653960A (zh) | 一种Linux能力分配方法及装置 | |
| CN104111862A (zh) | 云计算平台中获取虚拟机ip地址方法与系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |