技術領域

本發明涉及計算機領域，尤其涉及一種利用安全審計技術對計算機內核進 行安全審計的方法和系統。

背景技術

目前的計算機安全審計技術有多種，如主機安全審計技術等。主機安全審 計技術的目的是提高系統主機的安全性，通過對計算機外設的控制和審計達到 對計算機主機保護的目的。對計算機外設的控制和審計包括對計算機接口進行 控制和對計算機設備類進行控制。具體地，主機安全審計技術包括以下技術內 容：

撥號行為控制：允許/禁止內網用戶通過MODEM或ADSL撥入外網；

網絡通信控制：允許/記錄/禁止內網主機之間相互通信；

主機特性控制：記錄主機軟件、硬件特征，能夠實現計算機資產管理；

主機文件控制：允許/記錄/禁止對主機指定文件的操作；

主機設備控制：允許/記錄/禁止使用主機本地設備，如：U盤、軟光驅、 并口、串口、打印機等；

操作行為控制：記錄/查看主機操作者行為，包括：當前屏幕、鍵盤輸入。

對內核的安全管理是指對運行于內核中的軟件的安全管理，也就是對內核 鉤子的管理。鉤子是WINDOWS中消息處理機制的一個要點，通過在計算機 中安裝各種鉤子，應用程序能夠設置相應的子例程來監視系統里的消息傳遞以 及在這些消息到達目標窗口程序之前處理它們。鉤子的種類很多，每種鉤子可 以截獲并處理相應的消息類。如：鍵盤鉤子可以截獲鍵盤消息，鼠標鉤子可以 截獲鼠標消息，外殼鉤子可以截獲啟動和關閉應用程序的消息，日志鉤子可以 監視和記錄輸入事件等。

內核鉤子就是在Windows的內核層實現類似鉤子的行為，從而達到控制系 統底層某些功能的目的。內核鉤子的種類也較多，如：系統服務描述符表(system? services?descriptor?table，SSDT)內核鉤子、與圖形界面相關的系統服務描述符 表(Shadow?SSDT)內核鉤子、文件系統驅動(File?system?driver，FSD)內核 鉤子、中斷描述符表(Interrupt?Descriptor?Table，IDT)內核鉤子、內核內嵌鉤 子(Inline?Hook)、I/O請求包(I/O?Request?package，IRP)過濾鉤子、過濾驅動 鉤子和系統回調例程(CallBack)鉤子等。

當前對反鉤子技術主要應用在一些小型的專業安全檢測工具中，對系統的 內核鉤子進行檢測；而在現有的主機安全審計中，主要專注于桌面級的審計， 只能通過對計算機外設的控制和審計達到實現計算機主機保護的目的，而無法 審計計算機內核狀態下的軟件行為。現有的反鉤子技術無法對內核狀態下的軟 件行為合法性做出正確評估，同時，檢測出的內核狀態信息復雜，普通技術人 員很難獲知當前內核狀態；進一步地，現有的反內核鉤子技術沒有數據庫的支 持，也就無法對內核狀態下的軟件行為進行記錄分析。

發明內容

本發明實施例提供一種對內核的安全審計方法和系統，以解決現有的主機 安全審計中無法對設備的內核進行安全審計的問題。

一種對內核的安全審計方法，所述方法包括：內核掃描步驟：對設備內的 每個內核模塊進行掃描，確定每個內核模塊中安裝的內核鉤子；比較步驟：利 用預先設定的多個行為信息組，對每個內核模塊中安裝的內核鉤子進行比較， 其中，每個行為信息組中包含至少一個內核鉤子標識；匹配步驟：比較步驟得 出的比較結果為安裝的內核鉤子覆蓋任一行為信息組中內核鉤子標識，則判定 相互匹配，進一步確定該內核鉤子所屬的內核模塊；卸載步驟：卸載匹配步驟 中確定的內核模塊。。

一種對內核的安全審計系統，所述系統包括：內核掃描模塊，用于對設備 內的每個內核模塊進行掃描，確定每個內核模塊中安裝的內核鉤子；內核審計 模塊，用于利用預先設定的多個行為信息組，對每個內核模塊中的內核鉤子進 行比較，比較結果為安裝的內核鉤子覆蓋任一行為信息組中內核鉤子標識，則 判定相互匹配，進一步確定該內核鉤子所屬的內核模塊，其中，每個行為信息 組包含至少一個內核鉤子標識；審計執行模塊，用于卸載所述內核審計模塊確 定的內核模塊。

本發明實施例的有益效果：