技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)領(lǐng)域，尤其涉及一種利用安全審計(jì)技術(shù)對(duì)計(jì)算機(jī)內(nèi)核進(jìn) 行安全審計(jì)的方法和系統(tǒng)。

背景技術(shù)

目前的計(jì)算機(jī)安全審計(jì)技術(shù)有多種，如主機(jī)安全審計(jì)技術(shù)等。主機(jī)安全審 計(jì)技術(shù)的目的是提高系統(tǒng)主機(jī)的安全性，通過(guò)對(duì)計(jì)算機(jī)外設(shè)的控制和審計(jì)達(dá)到 對(duì)計(jì)算機(jī)主機(jī)保護(hù)的目的。對(duì)計(jì)算機(jī)外設(shè)的控制和審計(jì)包括對(duì)計(jì)算機(jī)接口進(jìn)行 控制和對(duì)計(jì)算機(jī)設(shè)備類進(jìn)行控制。具體地，主機(jī)安全審計(jì)技術(shù)包括以下技術(shù)內(nèi) 容：

撥號(hào)行為控制：允許/禁止內(nèi)網(wǎng)用戶通過(guò)MODEM或ADSL撥入外網(wǎng)；

網(wǎng)絡(luò)通信控制：允許/記錄/禁止內(nèi)網(wǎng)主機(jī)之間相互通信；

主機(jī)特性控制：記錄主機(jī)軟件、硬件特征，能夠?qū)崿F(xiàn)計(jì)算機(jī)資產(chǎn)管理；

主機(jī)文件控制：允許/記錄/禁止對(duì)主機(jī)指定文件的操作；

主機(jī)設(shè)備控制：允許/記錄/禁止使用主機(jī)本地設(shè)備，如：U盤、軟光驅(qū)、 并口、串口、打印機(jī)等；

操作行為控制：記錄/查看主機(jī)操作者行為，包括：當(dāng)前屏幕、鍵盤輸入。

對(duì)內(nèi)核的安全管理是指對(duì)運(yùn)行于內(nèi)核中的軟件的安全管理，也就是對(duì)內(nèi)核 鉤子的管理。鉤子是WINDOWS中消息處理機(jī)制的一個(gè)要點(diǎn)，通過(guò)在計(jì)算機(jī) 中安裝各種鉤子，應(yīng)用程序能夠設(shè)置相應(yīng)的子例程來(lái)監(jiān)視系統(tǒng)里的消息傳遞以 及在這些消息到達(dá)目標(biāo)窗口程序之前處理它們。鉤子的種類很多，每種鉤子可 以截獲并處理相應(yīng)的消息類。如：鍵盤鉤子可以截獲鍵盤消息，鼠標(biāo)鉤子可以 截獲鼠標(biāo)消息，外殼鉤子可以截獲啟動(dòng)和關(guān)閉應(yīng)用程序的消息，日志鉤子可以 監(jiān)視和記錄輸入事件等。

內(nèi)核鉤子就是在Windows的內(nèi)核層實(shí)現(xiàn)類似鉤子的行為，從而達(dá)到控制系 統(tǒng)底層某些功能的目的。內(nèi)核鉤子的種類也較多，如：系統(tǒng)服務(wù)描述符表(system? services?descriptor?table，SSDT)內(nèi)核鉤子、與圖形界面相關(guān)的系統(tǒng)服務(wù)描述符 表(Shadow?SSDT)內(nèi)核鉤子、文件系統(tǒng)驅(qū)動(dòng)(File?system?driver，F(xiàn)SD)內(nèi)核 鉤子、中斷描述符表(Interrupt?Descriptor?Table，IDT)內(nèi)核鉤子、內(nèi)核內(nèi)嵌鉤 子(Inline?Hook)、I/O請(qǐng)求包(I/O?Request?package，IRP)過(guò)濾鉤子、過(guò)濾驅(qū)動(dòng) 鉤子和系統(tǒng)回調(diào)例程(CallBack)鉤子等。

當(dāng)前對(duì)反鉤子技術(shù)主要應(yīng)用在一些小型的專業(yè)安全檢測(cè)工具中，對(duì)系統(tǒng)的 內(nèi)核鉤子進(jìn)行檢測(cè)；而在現(xiàn)有的主機(jī)安全審計(jì)中，主要專注于桌面級(jí)的審計(jì)， 只能通過(guò)對(duì)計(jì)算機(jī)外設(shè)的控制和審計(jì)達(dá)到實(shí)現(xiàn)計(jì)算機(jī)主機(jī)保護(hù)的目的，而無(wú)法 審計(jì)計(jì)算機(jī)內(nèi)核狀態(tài)下的軟件行為。現(xiàn)有的反鉤子技術(shù)無(wú)法對(duì)內(nèi)核狀態(tài)下的軟 件行為合法性做出正確評(píng)估，同時(shí)，檢測(cè)出的內(nèi)核狀態(tài)信息復(fù)雜，普通技術(shù)人 員很難獲知當(dāng)前內(nèi)核狀態(tài)；進(jìn)一步地，現(xiàn)有的反內(nèi)核鉤子技術(shù)沒(méi)有數(shù)據(jù)庫(kù)的支 持，也就無(wú)法對(duì)內(nèi)核狀態(tài)下的軟件行為進(jìn)行記錄分析。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供一種對(duì)內(nèi)核的安全審計(jì)方法和系統(tǒng)，以解決現(xiàn)有的主機(jī) 安全審計(jì)中無(wú)法對(duì)設(shè)備的內(nèi)核進(jìn)行安全審計(jì)的問(wèn)題。

一種對(duì)內(nèi)核的安全審計(jì)方法，所述方法包括：內(nèi)核掃描步驟：對(duì)設(shè)備內(nèi)的 每個(gè)內(nèi)核模塊進(jìn)行掃描，確定每個(gè)內(nèi)核模塊中安裝的內(nèi)核鉤子；比較步驟：利 用預(yù)先設(shè)定的多個(gè)行為信息組，對(duì)每個(gè)內(nèi)核模塊中安裝的內(nèi)核鉤子進(jìn)行比較， 其中，每個(gè)行為信息組中包含至少一個(gè)內(nèi)核鉤子標(biāo)識(shí)；匹配步驟：比較步驟得 出的比較結(jié)果為安裝的內(nèi)核鉤子覆蓋任一行為信息組中內(nèi)核鉤子標(biāo)識(shí)，則判定 相互匹配，進(jìn)一步確定該內(nèi)核鉤子所屬的內(nèi)核模塊；卸載步驟：卸載匹配步驟 中確定的內(nèi)核模塊。。

一種對(duì)內(nèi)核的安全審計(jì)系統(tǒng)，所述系統(tǒng)包括：內(nèi)核掃描模塊，用于對(duì)設(shè)備 內(nèi)的每個(gè)內(nèi)核模塊進(jìn)行掃描，確定每個(gè)內(nèi)核模塊中安裝的內(nèi)核鉤子；內(nèi)核審計(jì) 模塊，用于利用預(yù)先設(shè)定的多個(gè)行為信息組，對(duì)每個(gè)內(nèi)核模塊中的內(nèi)核鉤子進(jìn) 行比較，比較結(jié)果為安裝的內(nèi)核鉤子覆蓋任一行為信息組中內(nèi)核鉤子標(biāo)識(shí)，則 判定相互匹配，進(jìn)一步確定該內(nèi)核鉤子所屬的內(nèi)核模塊，其中，每個(gè)行為信息 組包含至少一個(gè)內(nèi)核鉤子標(biāo)識(shí)；審計(jì)執(zhí)行模塊，用于卸載所述內(nèi)核審計(jì)模塊確 定的內(nèi)核模塊。

本發(fā)明實(shí)施例的有益效果：