WO2020007249A1

WO2020007249A1 - 一种操作系统安全主动防御方法及操作系统

Info

Publication number: WO2020007249A1
Application number: PCT/CN2019/093831
Authority: WO
Inventors: 戚跃民; 宋汉石; 曹宇; 汪毅; 孟飞宇; 马哲; 蒋利兵
Original assignee: 中国银联股份有限公司
Priority date: 2018-07-03
Filing date: 2019-06-28
Publication date: 2020-01-09
Also published as: CN109271787A

Abstract

本发明涉及一种操作系统安全主动防御方法以及操作系统。该操作系统安全主动防御方法包括下述步骤：合法性检查步骤，对主动防御程序自身的合法性进行检查，在检查合法的情况下加载运行主动防御程序加载；以及防御检查步骤，利用主动防御程序进行系统安全检查。根据本发明的操作系统以及操作系统安全主动防御方法，能够发现利用未公开的漏洞入侵的恶意程序，而且，具备对关键位置出现的外源性代码的检测能力。

Description

一种操作系统安全主动防御方法及操作系统

技术领域

本发明涉及计算机技术，具体地操作系统安全主动防御方法以及一种操作系统。

背景技术

随着支付技术的发展，以Android为代表的智能操作系统因为界面功能丰富、应用开发便捷等原因而在智能POS上广泛使用，智能POS的普及率越来越高。在提升支付体验的同时，由于Andorid系统属于通用操作系统，且版本更新频繁，不可避免的存在大量诸如缓存溢出、提权等类型的安全漏洞。

目前行业通行做法是通过建立漏洞监控机制，及时更新安全补丁来减缓漏洞的影响，但这无法防御小范围传播的未被官方修复的0Day漏洞。

由于交易应用都是安装在Android操作系统中，这些漏洞会对智能POS整体安全性造成威胁。因此有必要找到一种能够减缓未知漏洞威胁的防御机制，能够及时发现系统入侵行为，并进行锁定和告警。

公开于本发明背景部分的信息仅仅旨在增加对本发明的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。

发明内容

鉴于上述问题，本发明旨在提供一种能够主动检测系统的安全状态以及关键组件是否被入侵的操作系统安全主动防御方法以及一种操作系统。

本发明的操作系统安全主动防御方法，其特征在于，包括下述步骤：

合法性检查步骤，对主动防御程序自身的合法性进行检查，在检查合法的情况下加载运行主动防御程序加载；以及

防御检查步骤，利用主动防御程序进行系统安全检查。

可选地，周期性执行所述防御检查步骤。

可选地，在所述防御检查步骤中包括以下的一个子步骤或者多个子步骤：

执行文件系统的检查的文件系统检查子步骤；

执行关键进程的检查的关键进程检查子步骤；

执行操作系统的安全配置检查的配置检查子步骤；

执行网络通信的检查的网络通信检查子步骤；

执行系统资源占用情况检查的系统资源检查子步骤；以及

检查用户自定义的系统异常行为的自定义检查子步骤。

可选地，在文件系统检查子步骤中，检查操作系统中的文件系统关键位置是否存在白名单以外的未知文件，并且，检查的位置位于系统可执行程序和配置文件所在的目录。

可选地，在所述关键进程检查子步骤中，是检查操作系统中是否存在白名单之外的特权进程。

可选地，在所述配置检查子步骤中，检查关键的安全配置是否被篡改。

可选地，在所述网络通信检查子步骤中，检查操作系统的所有对外侦听的TCP/UDP端口是否都在白名单中。

可选地，在所述系统资源检查子步骤中，识别恶意程序长时间CPU占用过高或频繁的内存申请或频繁访问违例。

可选地，当所述防御检查步骤中检查到系统安全存在的问题的情况下，后进一步具备：

安全动作执行步骤，主动防御程序自动执行预定的安全动作。

可选地，所述操作系统是POS终端的操作系统。

本发明的操作系统，其特征在于，在所述操作系统的系统内核中具备内核模块，在所述内核模块具备：

合法性检查子模块，用于对主动防御程序自身的合法性进行检查，在检查为合法的情况下加载运行主动防御程序加载；以及

防御检查子模块，用于利用主动防御程序进行系统安全检查。

可选地，所述防御检查模块包括以下的一个子模块或者多个子模块：

执行文件系统的检查的文件系统检查子模块；

执行关键进程的检查的关键进程检查子模块；

执行操作系统的安全配置检查的配置检查子模块；

执行网络通信的检查的网络通信检查子模块；

执行系统资源占用情况检查的系统资源检查子模块；以及

检查用户自定义的系统异常行为的自定义检查子模块。

可选地，所述操作系统是POS终端的操作系统。

本发明的操作系统，其特征在于，在所述操作系统的固件中集成有可执行文件模块，所述可执行文件模块具备：

执行文件系统的检查的文件系统检查子模块；

执行关键进程的检查的关键进程检查子模块；

执行操作系统的安全配置检查的配置检查子模块；

执行网络通信的检查的网络通信检查子模块；

执行系统资源占用情况检查的系统资源检查子模块；以及

检查用户自定义的系统异常行为的自定义检查子模块。

可选地，所述操作系统是POS终端的操作系统。

本发明的计算机可读介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现上述的操作系统安全主动防御方法。

本发明的计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现上述的操作系统安全主动防御方法。

根据本发明的操作系统安全主动防御方法以及操作系统，提出了一种用于智能POS终端操作系统的主动防御方案，能够主动检测系统的安全状态以及关键组件是否被入侵，与同类型其他方案相比，具有通用性强、能够防御未知威胁等特点。

通过纳入本文的附图以及随后与附图一起用于说明本发明的某些原理的具体实施方式，本发明的方法和装置所具有的其它特征和优点将更为具体地变得清楚或得以阐明。

附图说明

图1是表示本发明的操作系统安全主动防御方法的流程图。

图2是表示合法性检查步骤S100的一个具体的实施方式。

图3是本发明的一实施方式的操作系统的构造示意图。

图4是本发明的一实施方式的防御检查模块的构造示意图。

图5是本发明再一实施方式的操作系统的框图。

图6是表示本发明再一实施方式的防御检查模块的构造示意图。

具体实施方式

下面介绍的是本发明的多个实施例中的一些，旨在提供对本发明的基本了解。并不旨在确认本发明的关键或决定性的要素或限定所要保护的范围。

本发明的一个主要发明点在于，在操作系统的固件中嵌入一段主动防御程序代码，该主动防御程序集成在系统内核或固件中，如果集成在系统内核中，则体现为一个Android内核模块，如果集成在固件中，则体现为一个可执行文件。其物理存储位置可以在Boot分区，也可以在System分区。

本发明另一个主要发明点在于，定义了该主动防御程序的行为特征。通过这些行为，能够及时发现针对操作系统的入侵行为，并执行相应的安全动作。

首先，对于本发明的操作系统安全主动防御方法进行说明。

图1是表示本发明的操作系统安全主动防御方法的流程图。

如图1所示，本发明的操作系统安全主动防御方法包括：

合法性检查步骤S100：对主动防御程序自身的合法性进行检查，在检查合法的情况下加载运行主动防御程序加载；

防御检查步骤S200：利用主动防御程序进行系统安全检查；以及

安全动作执行步骤S300：主动防御程序自动执行预定的安全动作。

接着，对于这些步骤的具体内容进行说明。以下说明以操作系统是POS终端的情况进行说明。

合法性检查步骤S100是用于确保主动防御程序自身的合法性，检查的方法由POS终端的自检完成，检查的内容包括主动防御程序自身的可执行文件和配置文件的数字签名是否合法，主动防御程序的进程状态是否正常等。如果固件合法性检查程序发现异常，则触发终端失效或自毁。

图2是表示合法性检查步骤S100的一个具体的实施方式。

如图2所示，在步骤S1中操作系统开机，在步骤S2中读取主动防御程序的数字签名，在步骤S3中读取操作系统中对应的公钥，在步骤S4中检查数字签名是否合法，若合法则在步骤S5中继续下一步的检查步骤(即防御检查步骤S200)，若检查结果为非合法，则提示检查失败。

本发明中的主动防御程序是在操作系统开机前期自动启动执行。如果主动防御程序集成在系统内核中，则由内核直接初始化执行。如果程序集成在固件中，则由Init进程直接初始化执行。当主动防御程序的合法性检查步骤完成之后，则自动加载运行，继续进防御检查步骤S200，由此来确认系统的安全状态。

作为防御检查步骤S200的具体内容可以列举以下检查：

(1)检查文件系统关键位置的文件是否都在白名单中；

(2)检查加载的内核模块是否都在白名单中；

(3)检查以特权用户运行的进程是否都在白名单中；

(4)检查所有正在运行的进程是否都来源于已知位置；

(5)检查是否存在资源占用异常的进程；

(6)检查操作系统关键配置是否与预定义的值一致；

(7)检查网络侦听端口是否都在白名单中；

(8)检查其它用户自定义的异常行为特征。

在本发明中，对于防御检查步骤S200，作为一个实施方式，设置一个定时器，然后周期性地执行防御检查步骤S200，由此，对操作系统安全环境进行主动检查。

以上是是举例说明防御检查步骤S200的一些检查内容。如果对于防御检查步骤S200的内容进行分类的话，大致可以分为以下几类：

(a)文件系统的检查；

(b)关键进程的检查；

(c)操作系统的安全配置检查；

(d)网络通信的检查；

(e)系统资源占用情况检查；以及

(f)其他用户自定义的系统异常行为的检查。

接着，对于这些检查分类的具体内容进行说明。

(a)对文件系统的检查。

对于文件系统检查的目的是检查文件系统关键位置是否存在白名单以外的未知文件，检查的位置位于系统可执行程序和配置文件所在的目录，检查的文件包括但不限于：

1)文件系统根目录:/

2)PATH环境变量中所包含的路径，包括/sbin；/system/bin；/system/xbin等，且应包括su/busybox等与提权相关的文件；

3)关键的系统目录，如/system/lib/modules等。

(b)对于系统关键进程的检查

对于系统关键进程的检查其目的是检查操作系统中是否存在白名单之外的特权进程，检查手段包括但不限于：

1)检查已加载的内核模块是否都在白名单中；

2)检查以非shell和应用用户运行的进程是否都在白名单中；

3)检查进程的启动命令行和位置是否来源于常见目录，是否存在无对应可执行文件的进程。

(c)对于系统的安全配置检查

对于系统的安全配置检查其目的是检查关键的安全配置是否被篡改，检查手段主要是通过读取配置信息、尝试非法操作等，包括但不限于：

1)检查系统安全属性值，如ro.secure和ro.debuggable；

2)检查安全机制是否开启，如randomize_va_space等；

3)检查关键分区和文件属性，如system分区是否为ro；

4)尝试非法操作，如以非特权用户运行诊断程序，尝试访问未授权路径或提升权限，预期失败。

(d)对于系统的网络通信检查

对于系统的网络通信检查其目的是检查是否开启了未知的网络服务，这些服务可能是由木马所创建的，主要手段是检查所有对外侦听的TCP/UDP端口是否都在白名单中。

(e)对于系统资源占用情况的检查

对于系统资源占用情况的检查其目的是识别恶意程序在利用漏洞时的一些特征行为，如长时间CPU占用过高、频繁的内存申请、频繁访问违例等。

另外，当防御检查步骤S200的检查过程中发现异常后，接着可以进一步进行安全动作执行步骤S300(该步骤为可选步骤)。在安全动作执行步骤S300中，主动防御程序自动执行预定的安全动作。例如，如安全锁定智能POS，或者触发自毁操作等。进一步也可以同时，屏幕显示、声音报警等方式告知用户，或者后台发送告警信息给管理平台。

以上是以操作系统POS终端的操作系统为例进行说明，但是本发明的操作系统包含但不限于POS中的操作系统。

以上说明了本发明的操作系统安全主动防御方法，接着对于本发明的操作系统的进行说明。

图3是本发明的一实施方式的操作系统的构造示意图。

如图2所示，本发明的操作系统的系统内核100中具备内核模块110，在内核模块110具备：合法性检查子模块111，用于对主动防御程序自身的合法性进行检查，在检查为合法的情况下加载运行主动防御程序加载；防御检查子模块112，用于利用主动防御程序进行系统安全检查；以及安全动作执行模块113，由主动防御程序自动执行预定的安全动作。

图4是本发明的一实施方式的防御检查模块的构造示意图。如图3所示，防御检查模块112包括以下的一个子模块或者多个子模块：执行文件系统的检查的文件系统检查子模块11；执行关键进程的检查的关键进程检查子模块12；执行操作系统的安全配置检查的配置检查子模块13；执行网络通信的检查的网络通信检查子模块14；执行系统资源占用情况检查的系统资源检查子模块15以及检查用户自定义的系统异常行为的自定义检查子模块16。

接着，对于本发明再一实施方式的操作系统进行说明。

图5是本发明再一实施方式的操作系统的框图。如图4所示，本发明再一实施方式的操作系统的固件200中集成有可执行文件模块210。其中，可执行文件模块210具备：合法性检查子模块211，对主动防御程序自身的合法性进行检查，在检查为合法的情况下加载运行主动防御程序加载；防御检查子模块212，利用主动防御程序进行系统安全检查；以及安全动作执行模块113，利用主动防御程序自动执行预定的安全动作。

图6是本发明再一实施方式的防御检查模块的构造示意图。所述防御检查模块212包括以下的一个子模块或者多个子模块：执行文件系统的检查的文件系统检查子模块21；执行关键进程的检查的关键进程检查子模块22；执行操作系统的安全配置检查的配置检查子模块23；执行网络通信的检查的网络通信检查子模块24；执行系统资源占用情况检查的系统资源检查子模块25以及检查用户自定义的系统异常行为的自定义检查子模块26。

进一步，本发明还提供一种计算机可读介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现上述的操作系统安全主动防御方法。

进一步，本发明还提供一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现上述的操作系统安全主动防御方法。

根据本发明的操作系统以及操作系统安全主动防御方法，能够发现利用未公开的漏洞入侵的恶意程序，而且，具备对关键位置出现的外源性代码的检测能力。

以上，例子主要说明了本发明的操作系统以及操作系统安全主动防御方法。尽管只对其中一些本发明的具体实施方式进行了描述，但是本领域普通技术人员应当了解，本发明可以在不偏离其主旨与范围内以许多其他的形式实施。因此，所展示的例子与实施方式被视为示意性的而非限制性的，在不脱离如所附各权利要求所定义的本发明精神及范围的情况下，本发明可能涵盖各种的修改与替换。

Claims

一种操作系统安全主动防御方法，其特征在于，包括：

合法性检查步骤，对主动防御程序自身的合法性进行检查，在检查合法的情况下加载运行主动防御程序加载；以及

防御检查步骤，利用主动防御程序进行系统安全检查。
如权利要求1所述的操作系统安全主动防御方法，其特征在于，

周期性执行所述防御检查步骤。
如权利要求1所述的操作系统安全主动防御方法，其特征在于，

在所述防御检查步骤中包括以下的一个子步骤或者多个子步骤：

执行文件系统的检查的文件系统检查子步骤；

执行关键进程的检查的关键进程检查子步骤；

执行操作系统的安全配置检查的配置检查子步骤；

执行网络通信的检查的网络通信检查子步骤；

执行系统资源占用情况检查的系统资源检查子步骤；以及

检查用户自定义的系统异常行为的自定义检查子步骤。
如权利要求3所述的操作系统安全主动防御方法，其特征在于，

在文件系统检查子步骤中，检查操作系统中的文件系统关键位置是否存在白名单以外的未知文件，并且，检查的位置位于系统可执行程序和配置文件所在的目录。
如权利要求3所述的操作系统安全主动防御方法，其特征在于，

在所述关键进程检查子步骤中，是检查操作系统中是否存在白名单之外的特权进程。
如权利要求3所述的操作系统安全主动防御方法，其特征在于，

在所述配置检查子步骤中，检查关键的安全配置是否被篡改。
如权利要求3所述的操作系统安全主动防御方法，其特征在于，

在所述网络通信检查子步骤中，检查操作系统的所有对外侦听的TCP/UDP端口是否都在白名单中。
如权利要求3所述的操作系统安全主动防御方法，其特征在于，

在所述系统资源检查子步骤中，识别恶意程序长时间CPU占用过高或频繁的内存申请或频繁访问违例。
如权利要求1所述的操作系统安全主动防御方法，其特征在于，当所述防御检查步骤中检查到系统安全存在的问题的情况下，后进一步具备：

安全动作执行步骤，主动防御程序自动执行预定的安全动作。
如权利要求1～9任意一项所述的操作系统安全主动防御方法，其特征在于，所述操作系统是POS终端的操作系统。
一种操作系统，其特征在于，在所述操作系统的系统内核中具备内核模块，在所述内核模块具备：

合法性检查子模块，用于对主动防御程序自身的合法性进行检查，在检查为合法的情况下加载运行主动防御程序加载；以及

防御检查子模块，用于利用主动防御程序进行系统安全检查。
如权利要求11所述的操作系统，其特征在于，

所述防御检查模块包括以下的一个子模块或者多个子模块：

执行文件系统的检查的文件系统检查子模块；

执行关键进程的检查的关键进程检查子模块；

执行操作系统的安全配置检查的配置检查子模块；

执行网络通信的检查的网络通信检查子模块；

执行系统资源占用情况检查的系统资源检查子模块以及

检查用户自定义的系统异常行为的自定义检查子模块。
如权利要求11或12所述操作系统，其特征在于，

所述操作系统是POS终端的操作系统。
一种操作系统，其特征在于，在所述操作系统的固件中集成有可执行文件模块，所述可执行文件模块具备：

合法性检查子模块，用于对主动防御程序自身的合法性进行检查，在检查为合法的情况下加载运行主动防御程序加载；以及

防御检查子模块，用于利用主动防御程序进行系统安全检查。
如权利要求14所述的操作系统，其特征在于，

所述防御检查模块包括以下的一个子模块或者多个子模块：

执行文件系统的检查的文件系统检查子模块；

执行关键进程的检查的关键进程检查子模块；

执行操作系统的安全配置检查的配置检查子模块；

执行网络通信的检查的网络通信检查子模块；

执行系统资源占用情况检查的系统资源检查子模块；以及

检查用户自定义的系统异常行为的自定义检查子模块。
如权利要求14或15所述的操作系统，其特征在于，

所述操作系统是POS终端的操作系统。
一种计算机可读介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1～10中任意一项所述的操作系统安全主动防御方法。
一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1～10中任意一项所述的操作系统安全主动防御方法。