CN110135151B - 基于lsm与系统调用拦截相配合的可信计算实现系统及方法 - Google Patents
基于lsm与系统调用拦截相配合的可信计算实现系统及方法 Download PDFInfo
- Publication number
- CN110135151B CN110135151B CN201910434540.3A CN201910434540A CN110135151B CN 110135151 B CN110135151 B CN 110135151B CN 201910434540 A CN201910434540 A CN 201910434540A CN 110135151 B CN110135151 B CN 110135151B
- Authority
- CN
- China
- Prior art keywords
- file
- module
- list
- path
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于LSM与系统调用拦截相配合的可信计算实现系统及方法,涉及国产化终端安全技术领域。本发明的基于LSM与系统调用拦截相配合的可信计算实现方法,具有如下优点:1、高效:内核态模块只负责拦截和执行操作,将决策交给上层,避免内核态模块本身做大量负责逻辑,更加轻量高效;2、安全:内核态模块采用LSM与系统调用结合的方式进行拦截,更安全;3、定制化强:决策交给用户态模块进行,可根据需要进行更多的定制化。
Description
技术领域
本发明涉及国产化终端安全技术领域,具体涉及一种基于LSM 与系统调用拦截相配合的可信计算实现方法。
背景技术
在“自主可控”、“军民融合”等国家战略需求及相关政策的强力推动下,我国自主可控计算机技术及信息产业获得了长足的发展和进步。可信计算是自主可控计算机终端安全的一个重要技术领域,可信计算体系涵盖从硬件到操作系统以上的应用程序。
应用程序可信度量的基本流程为:在操作系统启动该应用程序之前,通过可信密码模块对该应用程序进行摘要值运算,将获得的结果与可信密码模块中存储的基准值进行比较,如果不一致,则说明该应用程序被篡改过,管理员根据实际情况采用不同的策略,阻止程序启动或放行。
可信文件保护的流程为:在操作系统对某个文件进行写入或删除操作前,通过可信密码模块对该应用文件进行摘要值运算,将获得的结果与可信密码模块中文件保护列表的基准值进行比对,如果一致,则阻止操作系统修改或删除该文件,如果不一致则放行该操作。
上述应用程序度量和文件保护一般通过操作系统应用层调用拦截实现,即通过回调函数来捕捉操作系统的应用程序调度以及文件的编辑行为。
上述处理方式有如下不足:系统调用安全性不高,容易被绕过;系统调用的审计粒度较粗;系统调用的实现方式复杂,对于同一种操作,实现的方式不同,则对应的系统调用不同(如用户右键删除文件和使用rm命令删除文件,对应不同的系统调用),因此容易出现遗漏。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何一种基于LSM与系统调用拦截相配合的可信计算实现系统及方法,针对操作系统以上的应用程序进行度量和可信文件保护,确保拦截行为高效、安全且无遗漏。
(二)技术方案
为了解决上述技术问题,本发明提供了一种基于LSM与系统调用拦截相配合的可信计算实现系统,包括:内核态模块、用户态服务模块、界面模块。其中,所述内核态模块处于操作系统的内核态,用于采用LSM与系统调用的方法,拦截操作系统动作,包括启动程序和文件读写操作,还用于根据用户态服务模块的决策内容执行允许或禁止操作;用户态服务模块位于操作系统的用户态,用于对所拦截的客体进行度量和决策,确定是阻止还是放行该客体;界面模块用于提供用户与可信密码设备交互的接口。
本发明还提供了一种利用所述的系统实现的一种利用上述系统实现的国产linux操作系统基于LSM与系统调用拦截相配合的可信计算方法,包括如下步骤:
S1、通过界面模块初始化程序度量范围和文件保护范围;
S2、内核态模块基于LSM与系统调用的方法,拦截程序执行和文件读写行为;
S3、用户态服务模块根据程序度量范围和文件保护范围对由内核态模块所拦截的正在执行的程序和读写的文件进行度量,根据度量结果对操作行为做出阻止或放行决策,并将操作结果记录在日志;
S4、内核态模块根据决策内容执行允许或禁止操作。
优选地,步骤S1中,配置的内容包括文件保护路径配置、文件保护列表维护、白名单全盘扫描、白名单列表维护;
对于文件保护路径配置:配置被保护的文件路径,在该文件路径下的所有文件将被保护,配置过程即是文件保护列表的初始化过程;对于文件保护列表维护,包括动态增加或删除被保护文件名单;对于白名单全盘扫描:扫描操作系统硬盘,读取所有可执行文件,计算摘要值,更新可信名单的基准值,扫描过程即是白名单列表,即可执行程序列表的初始化过程;对于白名单列表维护,包括动态增加动态增加或删除白名单列表中的可执行程序。
优选地,步骤S1中,对于文件保护路径配置、文件保护列表维护、白名单全盘扫描、白名单列表维护的操作,遵循以下规则:首先识别出是基于单个文件、文件路径或可执行程序路径,如果是基于单个文件,则直接进行添加、修改、删除操作;如果是基于文件路径,则遍历文件路径下的所有文件并计算每个文件的摘要值;如果是可执行程序路径,则识别出当前路径下的所有可执行程序,并逐个计算摘要值。
优选地,步骤S1中,还将文件保护列表和可执行程序列表存储在可信密码模块中,并根据不同访问接口,实现列表的修改和删除。
优选地,步骤S1中,白名单和文件保护范围初始化过程中与可信密码模块交互时,摘要值计算通过调用可信密码接口模块实现;文件保护信息和白名单信息存储到可信密码模块中时,数据结构中由键值对key-value组成映射表,每个键对应一个链表,键key的取值是由被保护的文件或白名单的摘要值进行哈希运算得到的长度为32位的字符串;映射值value为被保护文件或白名单的摘要值,哈希值相同的摘要值放在一个链表里。
优选地,步骤S2中,应用程序发出读操作时,通过标准库函数调用syscall传递读取行为到内核态;内核态通过自定义系统调用后,传递给vfs_read,经过LSM鉴权后,由设备驱动操作完成读取操作;
内核态模块一旦监听到进程启动或文件操作行为,就将当前行为阻塞,并将进程信息或文件信息交给用户态服务模块进行决策;
由内核态模块传递给用户态服务模块的信息的数据结构中,描述操作文件的绝对路径,包括可执行程序和其他类型的文件,还描述文件的操作类型,包括如下三种操作类型:启动进程;写入,包括修改、删除;读取。
优选地,步骤S3的决策过程包括以下步骤:
(1)用户态服务模块解析出当前的操作类型和文件类型;
(2)根据操作类型和文件类型检查是否进行管控,如果不需要管控,则直接放行,否则执行下一步骤;
(3)将文件或应用程序传递给可信密码模块,计算该文件或程序的摘要值;
(4)将摘要值进行哈希运算,查询可信密码模块,查询对应的可信白名单列表和文件保护列表;
(5)根据查询结果,返回处置结果。
优选地,步骤S3的第(5)步骤的具体处置过程如下:
对于可执行文件,如果返回信息为空,表明该程序未在白名单列表中,或被篡改,则禁止运行;如果返回条目,则解析响应处置要求,返回结果;
对于文件保护列表,如果返回信息为空,则说明不在文件保护列表中,放行操作;如果返回信息不为空,则解析条目,根据预设控制要求,确定允许或禁止操作。
优选地,步骤S4中,对于可执行程序有如下执行结果:
对于放行,有两种情形,一是度量通过,另一种是确定为数据不管控的可执行程序;
对于阻止,有两种情形,一种是度量未通过,表明程序已被篡改,另一种是确定未在白名单内;
对于文件保护有如下执行结果:
允许读,允许进程打开文件,并读取其中数据;
允许读写,允许进程打开文件,读取数据以及回写到文件中;
禁止操作,禁止进程打开文件以及读、写操作。
(三)有益效果
本发明的基于LSM与系统调用拦截相配合的可信计算实现方法,具有如下优点:1、高效:内核态模块只负责拦截和执行操作,将决策交给上层,避免内核态模块本身做大量负责逻辑,更加轻量高效; 2、安全:内核态模块采用LSM与系统调用结合的方式进行拦截,更安全;3、定制化强:决策交给用户态模块进行,可根据需要进行更多的定制化。
附图说明
图1为本发明方法中的文件保护列表配置流程图;
图2为本发明方法中的白名单初始化流程图;
图3为本发明的可信密码模块中存储白名单和文件保护信息的数据结构示意图;
图4为本发明的方法中LSM+系统调用拦截机制示意图;
图5为本发明的方法中用户态服务模块的决策流程图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
本发明提供的一种国产linux操作系统基于LSM与系统调用拦截相配合的可信计算实现系统包括:内核态模块、用户态服务模块、界面模块。其中,所述内核态模块处于操作系统的内核态,用于采用 LSM(linux security module)结合系统调用的技术,拦截操作系统动作,包括启动程序和文件读写操作,还用于根据用户态服务模块的决策内容执行允许或禁止操作;用户态服务模块位于操作系统的用户态,用于对所拦截的客体进行度量和决策,确定是阻止还是放行该客体;界面模块用于提供用户与可信密码设备交互的接口。
本发明还提供了一种利用上述系统实现的国产linux操作系统基于LSM与系统调用拦截相配合的可信计算实现方法,包括以下步骤:
S1:通过界面模块提供的用户交互接口配置程序度量范围和文件保护范围,配置的内容包括文件保护路径配置、文件保护列表维护、白名单全盘扫描、白名单列表维护;具体说明如下:
(1)对于文件保护路径配置:配置被保护的文件路径,在该文件路径下的所有文件将被保护,配置过程即是文件保护列表的初始化过程,初始化流程如图1所示;
(2)对于文件保护列表维护,包括动态增加或删除被保护文件名单;
(3)对于白名单全盘扫描:扫描操作系统硬盘,读取所有可执行文件,计算摘要值,更新可信名单的基准值,扫描过程即是白名单列表(即可执行程序列表)初始化过程,流程如图2所示;
(4)对于白名单列表维护,包括动态增加动态增加或删除白名单列表中的可执行程序;
步骤S1中,对于文件保护路径配置、文件保护列表维护、白名单全盘扫描、白名单列表维护的操作,遵循以下规则:首先识别出是基于单个文件、文件路径或可执行程序路径,如果是基于单个文件,则直接进行添加、修改、删除等操作;如果是基于文件路径,则遍历文件路径下的所有文件并计算每个文件的摘要值;如果是可执行程序路径,则识别出当前路径下的所有可执行程序,并逐个计算摘要值;
步骤S1中,还将文件保护列表和可执行程序列表存储在可信密码模块中,并根据不同访问接口,实现列表的修改和删除。
对于白名单内的可执行程序类型,默认所有可执行程序均度量保护,用户可根据需要对预设关键程序进行可信度量,忽略预设的某些类型;
对于文件保护的类型,用户可根据实际需要增加被保护的文件类型。
步骤S1中,白名单和文件保护范围初始化过程中与可信密码模块交互的内容如下:
1)摘要值计算通过调用可信密码接口模块实现。
2)文件保护信息和白名单信息存储到可信密码模块中时,数据结构如图3所示。
其中,数据结构中由键值对key-value组成映射表,每个键对应一个链表,为提高效率,键key的取值是由被保护的文件或白名单的摘要值进行哈希运算得到的长度为32位的字符串;映射值value为被保护文件或白名单的摘要值,由于哈希运算存在重复的可能,因此,将哈希值相同的摘要值放在一个链表里。
S2:内核态模块基于LSM结合系统调用技术,拦截程序执行和文件读写行为。
以文件读取为例,如图4所示。
应用程序发出读操作时,通过标准库函数调用syscall传递读取行为到内核态;内核态通过自定义系统调用后,传递给vfs_read,经过LSM鉴权后,由设备驱动操作完成读取操作。
本步骤中采用自定义系统调用和LSM处相结合的拦截模式,其中一处拦截后,直接放回,提高效率。
本步骤中,内核态模块一旦监听到进程启动或文件操作行为,就将当前行为阻塞,并将进程信息或文件信息交给用户态服务模块进行决策。
由内核态模块传递给用户态服务模块的信息的数据结构如下:
filepath描述操作文件的绝对路径,包括可执行程序和其他类型的文件。
optype描述该文件的操作类型,包括有如下三种操作类型:
start,启动进程;
write,写入(包括修改、删除);
read,读取。
S3:用户态服务模块根据度量范围和文件保护范围对由内核态模块所拦截的正在执行的程序和读写的文件进行度量,根据度量结果对操作行为做出进行阻止或放行的决策,并将操作结果记录日志。
本步骤中,用户态服务模块收到进程信息或文件信息,读取信息进行决策,判断是拦截、放行或采取其他措施;决策过程如图5所示,包括以下步骤:
(1)用户态服务模块解析出当前的操作类型和文件类型;
(2)根据操作类型和文件类型检查是否进行管控,如果不需要管控,则直接放行,否则执行下一步骤;
(3)将文件或应用程序传递给可信密码模块,计算该文件或程序的摘要值;
(4)将摘要值进行哈希运算,查询可信密码模块,查询对应的可信白名单列表和文件保护列表;
(5)根据查询结果,返回处置结果;具体处置过程如下:
对于可执行文件,如果返回信息为空,表明该程序未在白名单列表中,或被篡改,则禁止运行;如果返回条目,则解析响应处置要求,返回结果;
对于文件保护列表,如果返回信息为空,则说明不在文件保护列表中,放行操作;如果返回信息不为空,则解析条目,根据预设控制要求,确定允许(包括允许读、读写)或禁止操作。
S4:内核态模块根据决策内容执行允许或禁止操作,记录在日志。
本步骤是内核态模块根据用户态服务模块返回的结果执行具体管控操作,得到管控结果。
对于可执行程序有如下执行结果:
对于放行,有两种情形,一是度量通过,另一种是确定为数据不管控的可执行程序;
对于阻止,有两种情形,一种是度量未通过,表明程序已被篡改,另一种是确定未在白名单内。
对于文件保护有如下执行结果:
允许读,允许进程打开文件,并读取其中数据;
允许读写,允许进程打开文件,读取数据以及回写到文件中;
禁止操作,禁止进程打开文件以及读、写操作。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种基于LSM与系统调用拦截相配合的可信计算实现系统,其特征在于,包括:内核态模块、用户态服务模块和界面模块;其中,所述内核态模块处于操作系统的内核态,用于采用LSM与系统调用的方法,拦截操作系统动作,包括启动程序和文件读写操作,还用于根据用户态服务模块的决策内容执行允许或禁止操作;用户态服务模块位于操作系统的用户态,用于对所拦截的客体进行度量和决策,确定是阻止还是放行该客体;界面模块用于提供用户与可信密码设备交互的接口。
2.一种利用权利要求1所述的系统实现的一种利用上述系统实现的国产linux操作系统基于LSM与系统调用拦截相配合的可信计算方法,其特征在于,包括如下步骤:
S1、通过界面模块初始化程序度量范围和文件保护范围;
S2、内核态模块基于LSM与系统调用的方法,拦截程序执行和文件读写行为;
S3、用户态服务模块根据程序度量范围和文件保护范围对由内核态模块所拦截的正在执行的程序和读写的文件进行度量,根据度量结果对操作行为做出阻止或放行决策,并将操作结果记录在日志;
S4、内核态模块根据决策内容执行允许或禁止操作。
3.如权利要求2所述的方法,其特征在于,步骤S1中,配置的内容包括文件保护路径配置、文件保护列表维护、白名单全盘扫描、白名单列表维护;
对于文件保护路径配置:配置被保护的文件路径,在该文件路径下的所有文件将被保护,配置过程即是文件保护列表的初始化过程;对于文件保护列表维护,包括动态增加或删除被保护文件名单;对于白名单全盘扫描:扫描操作系统硬盘,读取所有可执行文件,计算摘要值,更新可信名单的基准值,扫描过程即是白名单列表,即可执行程序列表的初始化过程;对于白名单列表维护,包括动态增加或删除白名单列表中的可执行程序。
4.如权利要求3所述的方法,其特征在于,步骤S1中,对于文件保护路径配置、文件保护列表维护、白名单全盘扫描、白名单列表维护的操作,遵循以下规则:首先识别出是基于单个文件、文件路径或可执行程序路径,如果是基于单个文件,则直接进行添加、修改、删除操作;如果是基于文件路径,则遍历文件路径下的所有文件并计算每个文件的摘要值;如果是可执行程序路径,则识别出当前路径下的所有可执行程序,并逐个计算摘要值。
5.如权利要求3所述的方法,其特征在于,步骤S1中,还将文件保护列表和可执行程序列表存储在可信密码模块中,并根据不同访问接口,实现列表的修改和删除。
6.如权利要求3所述的方法,其特征在于,步骤S1中,白名单和文件保护范围初始化过程中与可信密码模块交互时,摘要值计算通过调用可信密码接口模块实现;文件保护信息和白名单信息存储到可信密码模块中时,数据结构中由键值对key-value组成映射表,每个键对应一个链表,键key的取值是由被保护的文件或白名单的摘要值进行哈希运算得到的长度为32位的字符串;映射值value为被保护文件或白名单的摘要值,哈希值相同的摘要值放在一个链表里。
7.如权利要求2所述的方法,其特征在于,步骤S2中,应用程序发出读操作时,通过标准库函数调用syscall传递读取行为到内核态;内核态通过自定义系统调用后,传递给vfs_read,经过LSM鉴权后,由设备驱动操作完成读取操作;
内核态模块一旦监听到进程启动或文件操作行为,就将当前行为阻塞,并将进程信息或文件信息交给用户态服务模块进行决策;
由内核态模块传递给用户态服务模块的信息的数据结构中,描述操作文件的绝对路径,包括可执行程序和其他类型的文件,还描述文件的操作类型,包括如下三种操作类型:启动进程;写入,包括修改、删除;读取。
8.如权利要求2所述的方法,其特征在于,步骤S3的决策过程包括以下步骤:
(1)用户态服务模块解析出当前的操作类型和文件类型;
(2)根据操作类型和文件类型检查是否进行管控,如果不需要管控,则直接放行,否则执行下一步骤;
(3)将文件或应用程序传递给可信密码模块,计算该文件或应用程序的摘要值;
(4)将摘要值进行哈希运算,查询可信密码模块,查询对应的可信白名单列表和文件保护列表;
(5)根据查询结果,返回处置结果。
9.如权利要求8所述的方法,其特征在于,步骤S3的第(5)步骤的具体处置过程如下:
对于可执行文件,如果返回信息为空,表明该应用程序未在白名单列表中,或被篡改,则禁止运行;如果返回条目,则解析响应处置要求,返回结果;
对于文件保护列表,如果返回信息为空,则说明不在文件保护列表中,放行操作;如果返回信息不为空,则解析条目,根据预设控制要求,确定允许或禁止操作。
10.如权利要求2所述的方法,其特征在于,步骤S4中,对于可执行程序有如下执行结果:
对于放行,有两种情形,一是度量通过,另一种是确定为数据不管控的可执行程序;
对于阻止,有两种情形,一种是度量未通过,表明程序已被篡改,另一种是确定未在白名单内;
对于文件保护有如下执行结果:
允许读,允许进程打开文件,并读取其中数据;
允许读写,允许进程打开文件,读取数据以及回写到文件中;
禁止操作,禁止进程打开文件以及读、写操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910434540.3A CN110135151B (zh) | 2019-05-23 | 2019-05-23 | 基于lsm与系统调用拦截相配合的可信计算实现系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910434540.3A CN110135151B (zh) | 2019-05-23 | 2019-05-23 | 基于lsm与系统调用拦截相配合的可信计算实现系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110135151A CN110135151A (zh) | 2019-08-16 |
| CN110135151B true CN110135151B (zh) | 2020-12-01 |
Family
ID=67572574
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910434540.3A Active CN110135151B (zh) | 2019-05-23 | 2019-05-23 | 基于lsm与系统调用拦截相配合的可信计算实现系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110135151B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111538984B (zh) * | 2020-04-17 | 2023-04-25 | 南京东科优信网络安全技术研究院有限公司 | 一种可信白名单快速匹配装置与方法 |
| CN113162936B (zh) * | 2021-04-25 | 2023-04-07 | 亿次网联(杭州)科技有限公司 | 一种防止异常动态分析的方法和系统 |
| CN114818012B (zh) * | 2022-06-29 | 2022-10-21 | 麒麟软件有限公司 | 基于白名单列表的Linux文件完整性度量方法 |
| CN116561811A (zh) * | 2023-07-11 | 2023-08-08 | 北京智芯微电子科技有限公司 | 文件可信防篡改方法、装置及电子设备 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101556608B (zh) * | 2009-02-27 | 2012-08-29 | 浙大网新科技股份有限公司 | 一种基于事件监控机制的文件系统操作拦截方法 |
| US8819090B2 (en) * | 2012-04-23 | 2014-08-26 | Citrix Systems, Inc. | Trusted file indirection |
| US8893222B2 (en) * | 2012-11-13 | 2014-11-18 | Auckland Uniservices Ltd. | Security system and method for the android operating system |
| US20160337857A1 (en) * | 2014-01-10 | 2016-11-17 | Telsy Elettronica E Telecomunicazioni Spa | Secure voice and data method and system |
| CN105631310A (zh) * | 2014-10-30 | 2016-06-01 | 黄晓芳 | 高效可信进程认证方案 |
| CN106599690A (zh) * | 2016-12-21 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 国产操作系统下的可移动介质访问权限的管控方法及系统 |
-
2019
- 2019-05-23 CN CN201910434540.3A patent/CN110135151B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110135151A (zh) | 2019-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110135151B (zh) | 基于lsm与系统调用拦截相配合的可信计算实现系统及方法 | |
| CN110998582B (zh) | 安全存储装置与计算机安全性方法 | |
| EP3568791B1 (en) | Early runtime detection and prevention of ransomware | |
| JP6352332B2 (ja) | 変更されたデータを復元するシステム及び方法 | |
| US9565214B2 (en) | Real-time module protection | |
| CN103620613B (zh) | 用于基于虚拟机监视器的反恶意软件安全的系统和方法 | |
| US11314864B2 (en) | Memory layout based monitoring | |
| RU2723665C1 (ru) | Динамический индикатор репутации для оптимизации операций по обеспечению компьютерной безопасности | |
| CN113051034B (zh) | 一种基于kprobes的容器访问控制方法与系统 | |
| Yalew et al. | Hail to the Thief: Protecting data from mobile ransomware with ransomsafedroid | |
| Ohm et al. | You Can Run But You Can't Hide: Runtime Protection Against Malicious Package Updates For Node. js | |
| Isohara et al. | Lsm-based secure system monitoring using kernel protection schemes | |
| CN117453344A (zh) | 一种基于Linux系统调用的容器可信增强机制 | |
| CN108345804B (zh) | 一种可信计算环境中的存储方法和装置 | |
| CN112597492B (zh) | 一种基于Windows内核的二进制可执行文件更改监测方法 | |
| CN114186222A (zh) | 一种勒索病毒的防护方法及系统 | |
| CN113836529A (zh) | 进程检测方法、装置、存储介质以及计算机设备 | |
| KR101956725B1 (ko) | 인가된 실행 파일 및 동적 라이브러리 파일 기반 서버 접근 통제 시스템 | |
| KR102309695B1 (ko) | 호스트 침입 탐지를 위한 파일 기반 제어방법 및 장치 | |
| US20240126882A1 (en) | Instructions to process files in virtual machines | |
| RU2768196C9 (ru) | Защищённое запоминающее устройство | |
| US7272713B1 (en) | Controlling file operations | |
| Velten et al. | Active File Integrity Monitoring Using Paravirtualized Filesystems | |
| IL267854A (en) | Early detection of running time and prevention of atonement | |
| CN111353149A (zh) | 一种安卓系统的root权限实时检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |