CN105631317A - 一种系统调用方法及装置 - Google Patents
一种系统调用方法及装置 Download PDFInfo
- Publication number
- CN105631317A CN105631317A CN201510957602.0A CN201510957602A CN105631317A CN 105631317 A CN105631317 A CN 105631317A CN 201510957602 A CN201510957602 A CN 201510957602A CN 105631317 A CN105631317 A CN 105631317A
- Authority
- CN
- China
- Prior art keywords
- file
- file destination
- white list
- management table
- list management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种系统调用方法及装置,其中,所述方法包括:设置白名单管理表及内核模块;获取系统调用请求指令,查询系统调用表以获取目标系统服务程序的地址信息,其中,系统调用请求指令携带目标文件的物理存储路径及对应的第二特征值;劫持目标系统服务程序;查询白名单管理表,当白名单管理表中存在对应目标文件的文件属性信息时,判断所述目标文件对应的第二特征值与白名单管理表中对应目标文件的第一特征值是否相同,当判断结果为是时,确定目标文件未发生修改;利用内核模块释放所述目标系统服务程序;调用目标系统服务程序对所述目标文件进行相应的业务处理。通过本发明的技术方案,可提高服务器系统的安全性。
Description
技术领域
本发明涉及服务器技术领域,特别涉及一种系统调用方法及装置。
背景技术
随着计算机技术不断发展,服务器系统的安全性也越来越受到重视;由于针对服务器系统的各种病毒木马在不断地更新,传统的利用现有病毒木马的特征信息检测目标文件是否包括病毒木马的方法存在一定的局限性,并不能准确的检测出包括病毒木马的目标文件;通过触发包括病毒木马的目标文件,可向服务器系统的内核发送相应的系统调用请求以使内核提供相应的系统调用服务,比如:读写文件、修改文件等,可能导致服务器系统下的业务数据被窃取或修改,服务器系统的安全性较低。
发明内容
本发明提供了一种系统调用方法及装置,可提高服务器系统的安全性。
第一方面,本发明提供了一种系统调用方法,包括:
S0:设置白名单管理表,将服务器系统下的至少一个可信任文件的文件属性信息存储至所述白名单管理表中,其中,所述文件属性信息包括当前可信任文件的物理存储路径和第一特征值;以及,设置内核模块;
S1:获取系统调用请求指令,根据所述系统调用请求指令查询系统调用表以获取目标系统服务程序的地址信息,其中,所述系统调用请求指令携带目标文件的物理存储路径及对应的第二特征值;
S2:利用所述内核模块根据所述地址信息劫持所述目标系统服务程序;
S3:根据所述目标文件的物理存储路径查询所述白名单管理表,当所述白名单管理表中存在对应所述目标文件的文件属性信息时,判断所述目标文件对应的第二特征值与所述白名单管理表中对应所述目标文件的第一特征值是否相同,当判断结果为是时,确定目标文件未发生修改;
S4:利用所述内核模块释放所述目标系统服务程序;
S5:调用所述目标系统服务程序对所述目标文件进行相应的业务处理。
进一步的,还包括:设置进程文件保护表,将服务器系统下的至少一个可信任文件的物理存储路径存储至所述进程文件保护表中;
所述系统调用请求指令携带目标文件对应的至少一个业务进程的特征信息;
所述利用所述内核模块释放所述目标系统服务程序之前,进一步包括:
当所述系统服务程序用于终止所述目标文件对应的至少一个业务进程时,根据所述目标文件的物理存储路径查询所述进程文件保护表,当所述进程文件保护表内不存在对应所述目标文件的物理存储路径时,执行所述利用所述内核模块释放所述目标系统服务程序;
所述调用所述目标系统服务程序对所述目标文件进行相应的业务处理,包括:
调用Kill系统服务程序,终止所述目标文件对应所述特征信息的至少一个业务进程。
进一步的,还包括:
当所述白名单管理表中不存在对应所述目标文件的文件属性信息时,生成对应所述系统调用请求指令的日志信息,并存储所述日志信息。
进一步的,
所述特征值,包括:哈希值。
进一步的,
所述设置内核模块,包括:通过Insmod命令动态加载内核模块。
第二方面,本发明提供了一种系统调用装置,包括:
设置单元,用于设置白名单管理表及内核模块;
白名单管理表,用于存储服务器系统下的至少一个可信任文件的文件属性信息,其中,所述文件属性信息包括当前可信任文件的物理存储路径和第一特征值;
第一处理单元,用于获取系统调用请求指令,根据所述系统调用请求指令查询系统调用表以获取目标系统服务程序的地址信息,其中,所述系统调用请求指令携带目标文件的物理存储路径及对应的第二特征值;
内核模块,用于根据第一处理单元获取的地址信息劫持所述目标系统服务程序;以及,当第二处理单元确定目标文件未发生修改时,释放所述目标系统服务程序;
第二处理单元,用于根据所述目标文件的物理存储路径查询所述白名单管理表,当所述白名单管理表中存在对应所述目标文件的文件属性信息时,判断所述目标文件对应的第二特征值与所述白名单管理表中对应所述目标文件的第一特征值是否相同,当判断结果为是时,确定目标文件未发生修改;
第三处理单元,用于调用所述目标系统服务程序对所述目标文件进行相应的业务处理。
进一步的,
所述设置单元,进一步用于设置进程文件保护表;
所述进程文件保护表,用于存储服务器系统下的至少一个可信任文件的物理存储路径;
还包括:
第四处理单元,用于当所述系统服务程序用于终止所述目标文件对应的至少一个业务进程时,根据所述目标文件的物理存储路径查询所述进程文件保护表,当所述进程文件保护表内不存在对应所述目标文件的物理存储路径时,触发所述内核模块释放所述目标系统服务程序;
所述第三处理单元,用于调用Kill系统服务程序,终止所述目标文件对应所述特征信息的至少一个业务进程。
进一步的,还包括:
第五处理单元,用于当所述白名单管理表中不存在对应所述目标文件的文件属性信息时,生成对应所述系统调用请求指令的日志信息,并存储所述日志信息。
进一步的,
所述设置单元,用于通过Insmod命令动态加载内核模块。
本发明提供了一种系统调用方法及装置,通过设置内核模块以及设置白名单管理表存储至少一个可信任文件的文件属性信息,当需要根据获取到的系统调用请求指令时,通过设置的内核模块劫持目标系统服务程序,只有当目标文件属于可信任文件且未发生修改时,才能使内核模块释放目标系统服务程序,以调用目标系统服务程序实现相应的业务功能,即避免目标文件为不可信文件或修改后的文件时,恶意调用相应的系统服务程序给服务器系统造成破坏;可见,通过本发明的技术方案,提高了服务器系统的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种系统调用方法;
图2是本发明一实施例提供的另一种系统调用方法;
图3是本发明一实施例提供的一种系统调用装置;
图4是本发明一实施例提供的另一种系统调用装置。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种系统调用方法,该方法可以包括以下步骤:
S0:设置白名单管理表,将服务器系统下的至少一个可信任文件的文件属性信息存储至所述白名单管理表中,其中,所述文件属性信息包括当前可信任文件的物理存储路径和第一特征值;以及,设置内核模块;
S1:获取系统调用请求指令,根据所述系统调用请求指令查询系统调用表以获取目标系统服务程序的地址信息,其中,所述系统调用请求指令携带目标文件的物理存储路径及对应的第二特征值;
S2:利用所述内核模块根据所述地址信息劫持所述目标系统服务程序;
S3:根据所述目标文件的物理存储路径查询所述白名单管理表,当所述白名单管理表中存在对应所述目标文件的文件属性信息时,判断所述目标文件对应的第二特征值与所述白名单管理表中对应所述目标文件的第一特征值是否相同,当判断结果为是时,确定目标文件未发生修改;
S4:利用所述内核模块释放所述目标系统服务程序;
S5:调用所述目标系统服务程序对所述目标文件进行相应的业务处理。
本发明一实施例中,通过设置内核模块以及设置白名单管理表存储至少一个可信任文件的文件属性信息,当需要根据获取到的系统调用请求指令时,通过设置的内核模块劫持目标系统服务程序,只有当目标文件属于可信任文件且未发生修改时,才能使内核模块释放目标系统服务程序,以调用目标系统服务程序实现相应的业务功能,即避免目标文件为不可信文件或修改后的文件时,恶意调用相应的系统服务程序给服务器系统造成破坏;可见,通过本发明的技术方案,提高了服务器系统的安全性。
具体地,当入侵者通过任意病毒木马入侵服务器系统时,无论是窃取服务器系统下的业务数据(文件),还是修改服务器系统下的业务数据,均需要通过在应用层触发相应的系统调用中断,以通过调用相应的系统服务程序来实现相应的业务处理,比如,调用Write系统服务程序修改业务数据、调用Open系统服务程序窃取业务数据等。
本发明一实施例中,通过控制系统调用的过程可实现控制服务器系统下文件的运行以及访问控制,只有当目标文件为可信任文件且未发生修改时才能调用相应的系统服务程序来完成相应的业务处理,防止不可信文件或修改后的可信任文件恶意调用相应的系统服务程序,窃取业务数据、修改业务数据等,进而威胁服务器系统安全。
值的说明的是,可信任文件可由用户根据实际业务需求进行合理设置,比如,将常用的文件的定义为可信任文件,又如,服务器系统下相对重要的文件将不会被定义为可信任文件,实现完全拒绝针对该文件做任何业务操作,提高该文件的安全性,进而提高服务器系统的安全性。
进一步的,为了防止已经运行在服务器系统下的目标文件对应的业务进程被恶意终止,本发明一个优选实施例中,还包括:
设置进程文件保护表,将服务器系统下的至少一个可信任文件的物理存储路径存储至所述进程文件保护表中;
所述系统调用请求指令携带目标文件对应的至少一个业务进程的特征信息;
所述利用所述内核模块释放所述目标系统服务程序之前,进一步包括:
当所述系统服务程序用于终止所述目标文件对应的至少一个业务进程时,根据所述目标文件的物理存储路径查询所述进程文件保护表,当所述进程文件保护表内不存在对应所述目标文件的物理存储路径时,执行所述利用所述内核模块释放所述目标系统服务程序;
所述调用所述目标系统服务程序对所述目标文件进行相应的业务处理,包括:
调用Kill系统服务程序,终止所述目标文件对应所述特征信息的至少一个业务进程。
进一步的,为了方便工作人员查看服务器系统的违规记录,本发明一个优选实施例中,还包括:
当所述白名单管理表中不存在对应所述目标文件的文件属性信息时,生成对应所述系统调用请求指令的日志信息,并存储所述日志信息。
进一步的,为了实现确定目标文件是否发生修改,本发明一个优选实施例中,所述特征值,包括:哈希值。
本发明一实施例中,可通过消息摘要算法计算相应的文件分别对应的哈希值,不同的文件不应具备相同的哈希值,因此,当白名单管理表中存在对应目标文件的文件属性信息时,可通过判断哈希值是否相同来确定目标文件是否发生修改。
进一步的,为了避免重新编译系统内核,影响服务器系统的正常运行,本发明一个优选实施例中,所述设置内核模块,包括:通过Insmod命令动态加载内核模块。
如图2所示,本发明提供了一种系统调用方法,以Linux服务器系统为例,该方法可以包括如下步骤:
步骤201,设置白名单管理表、进程文件保护表以及内核模块。
本发明一实施例中,在服务器系统下设置相应的内核模块时,通常需要终止当前服务器系统正在运行的业务程序,重新编译系统内核;在Linux服务器系统下,可通过Insmod命令动态加载内核模块,使Linux服务器系统内核部分紧密结合,且不必重新编译系统内核,不会影响Linux服务器系统运行其他业务程序。
步骤202,将至少一个可信任文件的文件属性信息存储至所述白名单管理表,以及,将需要实现进程保护的至少一个可信任文件的物理存储路径存储至进程文件保护表。
本发明一实施例中,文件属性信息包括但不限于当前可信任文件对应的物理存储路径及第一特征值。
值的说明的是,特征值是可用于表征当前可信任文件的完整性的一个参考值;举例来说,特征值可以包括哈希值,可通过消息摘要算法计算当前可信任文件的哈希值,任意两个不同的文件不应具备相同的哈希值。
值的说明的是,可信任文件可由用户根据实际业务需求进行合理设置;比如,将常用的文件定义为可信任文件,又如,服务器系统下相对重要的文件将不会被定义为可信任文件,实现完全拒绝针对该文件做任何业务操作,提高该文件的安全性,进而提高服务器系统的安全性。
步骤203,用户操作发起系统调用中断,根据系统调用中断产生系统调用请求指令。
步骤203中,用户可通过相应的硬件进行业务操作以触发系统调用中断,系统调用请求指令可发送至服务器系统内核以请求调用对应的目标系统服务程序。
值的说明的是,系统调用请求指令可携带业务参数、目标文件的物理存储路径、第二特征值以及对应目标文件的至少一个业务进程的特征信息。
步骤204,当获取到系统调用请求指令时,查询系统调用表以获取对应的目标系统服务程序的地址信息。
本发明一实施例中,当服务器系统正常运行时,在内存中维护一个系统调用表,系统调用表中存储有目标系统服务程序的地址信息以及对应的每一个目标系统服务程序分别对应的业务参数;相应的,可根据系统调用请求指令携带的业务参数查询系统调用表以获取对应目标系统服务程序的地址信息。
步骤205,利用内核模块劫持所述目标系统服务程序。
本发明一实施例中,在获取到目标系统服务程序的地址信息后,利用内核模块根据所述地址信息劫持目标系统服务程序,目标系统服务程序将中止运行,即目标系统服务程序暂时不在提供相应的业务处理功能。
步骤206,查询白名单管理表,判断白名单管理表中是否存在对应所述目标文件的文件属性信息,当判断结果为是时,执行步骤207;否则,执行步骤211。
本发明一实施例中,由于白名单管理表中存储有可信任文件对应的物理存储地址,系统调用请求指令中也携带目标文件的物理存储地址,因此,可直接根据目标文件的物理存储地址查询白名单管理表以确定目标文件是否属于可信任文件。
步骤207,判断所述目标文件是否发生修改,当判断结果为是时,结束当前业务流程;否则,执行步骤208.
本发明一实施例中,当步骤206中确定目标文件属于可信任文件时,为了防止该目标文件是被恶意修改后的可信任文件,可通过对比系统调用请求指令携带的第二特征值以及存储在白名单管理表中对应目标文件的第一特征值是否相同来确定目标文件是否是被修改后的可信任文件;当特征值相同时,则确定目标文件未发生修改,当特征值不同时,则说明该可信任文件发生修改,完整性受到破坏。
值的说明的是,当步骤207中确定目标文件的完整性受到破坏时,可生成相应的日志信息,以便工作人员查看。
步骤208,判断目标系统服务程序是否用于终止目标文件对应的至少一个业务进程;当判断结果为是时,执行步骤209,否则执行步骤210。
步骤209,查询所述进程文件保护表,判断所述进程文件保护表内是否存在对应所述目标文件的物理存储路径,当判断结果为是时,结束当前业务流程;否则,执行步骤210。
步骤210,调用所述目标系统服务程序对所述目标文件进行相应的业务处理。
步骤210中,当需要终止目标文件对应的至少一个业务进程时,步骤210可以包括调用Kill系统服务程序根据系统调用请求指令携带的特征信息针对对应的业务进程进行相应的终止操作,具体地,特征信息可与包括需要终止的业务进程对应的进程编号。
当然,步骤210中还可以结合实际业务需求调用其他的系统服务程序执行其他业务操作;比如,调用用于查询目标文件的Open系统服务程序、用于修改目标文件的Write系统服务程序等。
步骤211,生成对应所述系统调用请求指令的日志信息,并存储所述日志信息。
本发明一实施例中,通过将违规操作生成对应的日志信息并存储,方便用户查看违规操作,以根据该违规操作进行相应的业务处理;比如,恢复被修改的文件可信任文件等。
如图3所示,本发明实施例提供了一种系统调用装置,包括:
设置单元301,用于设置白名单管理表302及内核模块303;
白名单管理表302,用于存储服务器系统下的至少一个可信任文件的文件属性信息,其中,所述文件属性信息包括当前可信任文件的物理存储路径和第一特征值;
第一处理单元304,用于获取系统调用请求指令,根据所述系统调用请求指令查询系统调用表以获取目标系统服务程序的地址信息,其中,所述系统调用请求指令携带目标文件的物理存储路径及对应的第二特征值;
内核模块303,用于根据第一处理单元获取的地址信息劫持所述目标系统服务程序;以及,当第二处理单元305确定目标文件未发生修改时,释放所述目标系统服务程序;
第二处理单元305,用于根据所述目标文件的物理存储路径查询所述白名单管理表,当所述白名单管理表302中存在对应所述目标文件的文件属性信息时,判断所述目标文件对应的第二特征值与所述白名单管理表302中对应所述目标文件的第一特征值是否相同,当判断结果为是时,确定目标文件未发生修改;
第三处理单元306,用于调用所述目标系统服务程序对所述目标文件进行相应的业务处理。
进一步的,为了防止目标文件对应的业务进程被恶意终止,如图4所示,本发明一个优选实施例中,所述设置单元301,进一步用于设置进程文件保护表401;
所述进程文件保护表401,用于存储服务器系统下的至少一个可信任文件的物理存储路径;
还包括:
第四处理单元402,用于当所述系统服务程序用于终止所述目标文件对应的至少一个业务进程时,根据所述目标文件的物理存储路径查询所述进程文件保护表,当所述进程文件保护表内不存在对应所述目标文件的物理存储路径时,触发所述内核模块释放所述目标系统服务程序;
所述第三处理单元306,用于调用Kill系统服务程序,终止所述目标文件对应所述特征信息的至少一个业务进程。
进一步的,为了方便用户查看违规记录,本发明一个优选实施例中,还包括:
第五处理单元(附图中未示出),用于当所述白名单管理表内不存在对应所述目标文件的文件属性信息时,生成对应所述系统调用请求指令的日志信息,并存储所述日志信息。
进一步的,为了实现设置内核模块时不影响当前服务器系统的正常工作,本发明一个优选实施例中,所述设置单元301,用于通过Insmod命令动态加载内核模块304。
上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明各个实施例至少具有如下优点:
1、通过设置内核模块以及设置白名单管理表存储至少一个可信任文件的文件属性信息,当需要根据获取到的系统调用请求指令时,通过设置的内核模块劫持目标系统服务程序,只有当目标文件属于可信任文件且未发生修改时,才能使内核模块释放目标系统服务程序,以调用目标系统服务程序实现相应的业务功能,即避免目标文件为不可信文件或修改后的文件时,恶意调用相应的系统服务程序给服务器系统造成破坏;可见,通过本发明实施例提供的技术方案,提高了服务器系统的安全性。
2、通过设置进程文件保护表,在进程文件保护表中存储需要实现进程保护的目标文件的物理存储路径,对应的目标文件正常运行时对应的业务进程不会被恶意终止。
3、通过Insmod命令动态加载内核模块,在确保内核模块可以和当前服务器系统内核紧密联系的情况下,不会影响当前服务器系统的其他业务功能。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个〃〃〃〃〃〃”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (9)
1.一种系统调用方法,其特征在于,包括:设置白名单管理表,将服务器系统下的至少一个可信任文件的文件属性信息存储至所述白名单管理表中,其中,所述文件属性信息包括当前可信任文件的物理存储路径和第一特征值;以及,设置内核模块;还包括:
获取系统调用请求指令,根据所述系统调用请求指令查询系统调用表以获取目标系统服务程序的地址信息,其中,所述系统调用请求指令携带目标文件的物理存储路径及对应的第二特征值;
利用所述内核模块根据所述地址信息劫持所述目标系统服务程序;
根据所述目标文件的物理存储路径查询所述白名单管理表,当所述白名单管理表中存在对应所述目标文件的文件属性信息时,判断所述目标文件对应的第二特征值与所述白名单管理表中对应所述目标文件的第一特征值是否相同,当判断结果为是时,确定目标文件未发生修改;
利用所述内核模块释放所述目标系统服务程序;
调用所述目标系统服务程序对所述目标文件进行相应的业务处理。
2.根据权利要求1所述的系统调用方法,其特征在于,还包括:设置进程文件保护表,将服务器系统下的至少一个可信任文件的物理存储路径存储至所述进程文件保护表中;
所述系统调用请求指令携带目标文件对应的至少一个业务进程的特征信息;
所述利用所述内核模块释放所述目标系统服务程序之前,进一步包括:
当所述系统服务程序用于终止所述目标文件对应的至少一个业务进程时,根据所述目标文件的物理存储路径查询所述进程文件保护表,当所述进程文件保护表内不存在对应所述目标文件的物理存储路径时,执行所述利用所述内核模块释放所述目标系统服务程序;
所述调用所述目标系统服务程序对所述目标文件进行相应的业务处理,包括:
调用Kill系统服务程序,终止所述目标文件对应所述特征信息的至少一个业务进程。
3.根据权利要求1所述的系统调用方法,其特征在于,还包括:
当所述白名单管理表中不存在对应所述目标文件的文件属性信息时,生成对应所述系统调用请求指令的日志信息,并存储所述日志信息。
4.根据权利要求1中任一所述的系统调用方法,其特征在于,
所述特征值,包括:哈希值。
5.根据权利要求1至4中任一所述的系统调用方法,其特征在于,
所述设置内核模块,包括:通过Insmod命令动态加载内核模块。
6.一种系统调用装置,其特征在于,包括:
设置单元,用于设置白名单管理表及内核模块;
白名单管理表,用于存储服务器系统下的至少一个可信任文件的文件属性信息,其中,所述文件属性信息包括当前可信任文件的物理存储路径和第一特征值;
第一处理单元,用于获取系统调用请求指令,根据所述系统调用请求指令查询系统调用表以获取目标系统服务程序的地址信息,其中,所述系统调用请求指令携带目标文件的物理存储路径及对应的第二特征值;
内核模块,用于根据第一处理单元获取的地址信息劫持所述目标系统服务程序;以及,当第二处理单元确定目标文件未发生修改时,释放所述目标系统服务程序;
第二处理单元,用于根据所述目标文件的物理存储路径查询所述白名单管理表,当所述白名单管理表中存在对应所述目标文件的文件属性信息时,判断所述目标文件对应的第二特征值与所述白名单管理表中对应所述目标文件的第一特征值是否相同,当判断结果为是时,确定目标文件未发生修改;
第三处理单元,用于调用所述目标系统服务程序对所述目标文件进行相应的业务处理。
7.根据权利要求6所述的系统调用装置,其特征在于,
所述设置单元,进一步用于设置进程文件保护表;
所述进程文件保护表,用于存储服务器系统下的至少一个可信任文件的物理存储路径;
还包括:
第四处理单元,用于当所述系统服务程序用于终止所述目标文件对应的至少一个业务进程时,根据所述目标文件的物理存储路径查询所述进程文件保护表,当所述进程文件保护表内不存在对应所述目标文件的物理存储路径时,触发所述内核模块释放所述目标系统服务程序;
所述第三处理单元,用于调用Kill系统服务程序,终止所述目标文件对应所述特征信息的至少一个业务进程。
8.根据权利要求6所述的系统调用装置,其特征在于,还包括:
第五处理单元,用于当所述白名单管理表中不存在对应所述目标文件的文件属性信息时,生成对应所述系统调用请求指令的日志信息,并存储所述日志信息。
9.根据权利要求6至8中任一所述的系统调用装置,其特征在于,
所述设置单元,用于通过Insmod命令动态加载内核模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510957602.0A CN105631317B (zh) | 2015-12-18 | 2015-12-18 | 一种系统调用方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510957602.0A CN105631317B (zh) | 2015-12-18 | 2015-12-18 | 一种系统调用方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105631317A true CN105631317A (zh) | 2016-06-01 |
| CN105631317B CN105631317B (zh) | 2018-08-14 |
Family
ID=56046242
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510957602.0A Active CN105631317B (zh) | 2015-12-18 | 2015-12-18 | 一种系统调用方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105631317B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108777691A (zh) * | 2018-06-12 | 2018-11-09 | 山东智慧云链网络科技有限公司 | 网络安全防护方法及装置 |
| CN111191270A (zh) * | 2019-10-09 | 2020-05-22 | 浙江中控技术股份有限公司 | 一种基于白名单防护的敏感文件访问控制方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102693395A (zh) * | 2012-06-07 | 2012-09-26 | 奇智软件(北京)有限公司 | 一种用于拦截应用程序对服务的调用的方法和装置 |
| CN102930205A (zh) * | 2012-10-10 | 2013-02-13 | 北京奇虎科技有限公司 | 一种监测单元及方法 |
| CN104008337A (zh) * | 2014-05-07 | 2014-08-27 | 广州华多网络科技有限公司 | 一种基于Linux系统的主动防御方法及装置 |
| WO2015025116A1 (en) * | 2013-08-23 | 2015-02-26 | British Telecommunications Public Limited Company | Method and apparatus for modifying a computer program in a trusted manner |
| CN104933354A (zh) * | 2014-12-30 | 2015-09-23 | 国家电网公司 | 一种基于可信计算的白名单静态度量方法 |
-
2015
- 2015-12-18 CN CN201510957602.0A patent/CN105631317B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102693395A (zh) * | 2012-06-07 | 2012-09-26 | 奇智软件(北京)有限公司 | 一种用于拦截应用程序对服务的调用的方法和装置 |
| CN102930205A (zh) * | 2012-10-10 | 2013-02-13 | 北京奇虎科技有限公司 | 一种监测单元及方法 |
| WO2015025116A1 (en) * | 2013-08-23 | 2015-02-26 | British Telecommunications Public Limited Company | Method and apparatus for modifying a computer program in a trusted manner |
| CN104008337A (zh) * | 2014-05-07 | 2014-08-27 | 广州华多网络科技有限公司 | 一种基于Linux系统的主动防御方法及装置 |
| CN104933354A (zh) * | 2014-12-30 | 2015-09-23 | 国家电网公司 | 一种基于可信计算的白名单静态度量方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108777691A (zh) * | 2018-06-12 | 2018-11-09 | 山东智慧云链网络科技有限公司 | 网络安全防护方法及装置 |
| CN108777691B (zh) * | 2018-06-12 | 2022-04-15 | 山东智慧云链网络科技有限公司 | 网络安全防护方法及装置 |
| CN111191270A (zh) * | 2019-10-09 | 2020-05-22 | 浙江中控技术股份有限公司 | 一种基于白名单防护的敏感文件访问控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105631317B (zh) | 2018-08-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108810006B (zh) | 资源访问方法、装置、设备及存储介质 | |
| CN105980993B (zh) | 数据处理设备和方法 | |
| US7665138B2 (en) | Detecting method and architecture thereof for malicious codes | |
| US10310992B1 (en) | Mitigation of cyber attacks by pointer obfuscation | |
| CN110225029B (zh) | 注入攻击检测方法、装置、服务器及存储介质 | |
| CN100568255C (zh) | 一种网页防挂马的方法 | |
| CN111191243B (zh) | 一种漏洞检测方法、装置和存储介质 | |
| CN111400723A (zh) | 基于tee扩展的操作系统内核强制访问控制方法及系统 | |
| CN107908958B (zh) | SELinux安全标识符防篡改检测方法及系统 | |
| CN101395587B (zh) | 防止可执行程序被修改 | |
| CN111324891A (zh) | 用于容器文件完整性监视的系统和方法 | |
| CN113138836B (zh) | 一种使用基于Docker容器的防逃逸系统的防逃逸方法 | |
| US20190286820A1 (en) | Apparatus and method for detecting container rootkit | |
| US11636197B2 (en) | Selective import/export address table filtering | |
| US20240143739A1 (en) | Intelligent obfuscation of mobile applications | |
| CN101599113A (zh) | 驱动型恶意软件防御方法和装置 | |
| CN105303114A (zh) | 基于windows的系统服务函数调用方法及装置 | |
| EP3975021B1 (en) | Method and system for data flow monitoring to identify application security vulnerabilities and to detect and prevent attacks | |
| CN104298922A (zh) | 一种阻止漏洞利用的方法及装置 | |
| CN105631317A (zh) | 一种系统调用方法及装置 | |
| US8176567B2 (en) | Apparatus and method to limit access to selected sub-program in a software system | |
| CN101706852A (zh) | 网游密码保护装置和方法 | |
| KR100456512B1 (ko) | 커널 백도어 탐지 시스템, 이를 이용한 커널 백도어 탐지방법 및 커널 데이터 복구 방법 | |
| CN106022109A (zh) | 一种防止线程暂停的方法、装置及电子设备 | |
| CN114936368A (zh) | 一种Java内存木马检测方法、终端设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |