1.一種對內(nèi)核的安全審計方法，其特征在于，所述方法包括：

內(nèi)核掃描步驟：對設(shè)備內(nèi)的每個內(nèi)核模塊進行掃描，確定每個內(nèi)核模塊中 安裝的內(nèi)核鉤子；

比較步驟：利用預(yù)先設(shè)定的多個行為信息組，對每個內(nèi)核模塊中安裝的內(nèi) 核鉤子進行比較，其中，每個行為信息組中包含至少一個內(nèi)核鉤子標識；

匹配步驟：比較步驟得出的比較結(jié)果為安裝的內(nèi)核鉤子覆蓋任一行為信息 組中內(nèi)核鉤子標識，則判定相互匹配，進一步確定該內(nèi)核鉤子所屬的內(nèi)核模塊；

卸載步驟：卸載匹配步驟中確定的內(nèi)核模塊。

2.如權(quán)利要求1所述的方法，其特征在于，每個行為信息組中包含的內(nèi) 核鉤子標識之和表示內(nèi)核鉤子標識對應(yīng)的內(nèi)核鉤子的集合為非法。

3.如權(quán)利要求1所述的方法，其特征在于，匹配步驟之后，卸載步驟之 前，所述方法還包括：

從確定的所述內(nèi)核模塊中查找出與匹配的行為信息組中內(nèi)核鉤子標識對 應(yīng)的內(nèi)核鉤子；

恢復(fù)查找出的所述內(nèi)核鉤子。

4.如權(quán)利要求1所述的方法，其特征在于，內(nèi)核掃描步驟之后，匹配步 驟之前，所述方法還包括：

根據(jù)預(yù)先設(shè)定的內(nèi)核白名單信息，從多個內(nèi)核模塊中確定合法的內(nèi)核模 塊；

利用行為信息組對每個內(nèi)核模塊中的內(nèi)核鉤子進行比較，包括：

從多個內(nèi)核模塊中確定除合法的內(nèi)核模塊之外的其他內(nèi)核模塊，并利用行 為信息組對所述其他內(nèi)核模塊中的內(nèi)核鉤子進行比較。

5.一種對內(nèi)核的安全審計系統(tǒng)，其特征在于，所述系統(tǒng)包括：

內(nèi)核掃描模塊，用于對設(shè)備內(nèi)的每個內(nèi)核模塊進行掃描，確定每個內(nèi)核模 塊中安裝的內(nèi)核鉤子；

內(nèi)核審計模塊，用于利用預(yù)先設(shè)定的多個行為信息組，對每個內(nèi)核模塊中 的內(nèi)核鉤子進行比較，比較結(jié)果為安裝的內(nèi)核鉤子覆蓋任一行為信息組中內(nèi)核 鉤子標識，則判定相互匹配，進一步確定該內(nèi)核鉤子所屬的內(nèi)核模塊，其中， 每個行為信息組包含至少一個內(nèi)核鉤子標識；

審計執(zhí)行模塊，用于卸載所述內(nèi)核審計模塊確定的內(nèi)核模塊。

6.如權(quán)利要求5所述的系統(tǒng)，其特征在于，每個行為信息組中包含的內(nèi) 核鉤子標識之和表示內(nèi)核鉤子標識對應(yīng)的內(nèi)核鉤子的集合為非法。

7.如權(quán)利要求5所述的系統(tǒng)，其特征在于，

所述內(nèi)核審計模塊，還用于從確定的所述內(nèi)核模塊中查找出與匹配的行為 信息組中內(nèi)核鈞子標識對應(yīng)的內(nèi)核鉤子；

所述審計執(zhí)行模塊，還用于恢復(fù)查找出的所述內(nèi)核鉤子。

8.如權(quán)利要求5所述的系統(tǒng)，其特征在于，所述系統(tǒng)還包括：

合法確定模塊，用于根據(jù)預(yù)先設(shè)定的內(nèi)核白名單信息，從多個內(nèi)核模塊中 確定合法的內(nèi)核模塊；

所述內(nèi)核審計模塊，具體用于從多個內(nèi)核模塊中確定除合法的內(nèi)核模塊之 外的其他內(nèi)核模塊，并利用行為信息組對所述其他內(nèi)核模塊中的內(nèi)核鉤子進行 比較。

9.如權(quán)利要求5～8任一所述的系統(tǒng)，其特征在于，所述對內(nèi)核的安全審 計系統(tǒng)應(yīng)用于設(shè)備的應(yīng)用層。