技術領域

本發明涉及計算機操作系統安全技術領域，特別涉及一種基于hook技術的Unix白名單控制方法。

背景技術

隨著云計算、大數據等新型技術的發展，對云主機和服務器的安全計算環境要求越來越高。安全的計算環境是云計算發展的基礎，沒有安全的計算環境就不能保證云端數據的安全性，沒有安全的計算環境就不能保證云端業務的可持續性。軟件白名單機制是構建安全計算環境的重要措施。

現有技術中，基于hook技術的Unix白名單控制方法，能夠有效的解決Unix系統上軟件白名單技術的實現機制及如何部署的問題。

Unix系統上可運行的二進制文件，通常有三種方式：1、可獨立運行的可執行文件；2、SO文件，必須由可執行文件加載到自身的進程地址空間才能運行的動態庫文件；3、KO文件，由進程加載到內核空間運行的驅動文件。但現有技術中，如果黑客或內部人員新增、修改、替換這三種類型文件中的任意一個，造成當前操作系統存在惡意文件，計算環境將不再安全。

基于上述問題，本發明提出了一種基于hook技術的Unix白名單控制方法。

發明內容

本發明為了彌補現有技術的缺陷，提供了一種簡單高效的基于hook技術的Unix白名單控制方法。

本發明是通過如下技術方案實現的：

一種基于hook技術的Unix白名單控制方法，其特征在于：在Unix系統上增加過濾驅動模塊，所述過濾驅動模塊采用內核驅動的方式實現，由白名單主服務進程安裝并啟動運行；所述過濾驅動模塊在整個操作系統上控制非白名單中的進程啟動，控制非白名單中的動態庫加載，控制非白名單中的驅動加載，控制二進制文件添加，控制白名單中的二進制文件被寫入、覆蓋、替換、刪除和重命名，使操作系統保持干凈、安全的運行環境。

所述白名單主服務進程采用Unix應用程序的方式實現，白名單主服務進程在初始化時安裝過濾驅動模塊，同時掃描操作系統上的所有ELF文件，將各個ELF文件的全路徑和文件內容的SHA1值提交給過濾驅動模塊，添加到驅動的白名單清單中，建立白名單清單鏈表。

當接收到進程啟動，動態庫加載和/或驅動加載訪問請求時，所述過濾驅動模塊首先獲取訪問請求的二進制文件全路徑和SHA1值，然后遍歷自身的白名單清單鏈表，判斷ELF文件映射是否允許，如果是白名單清單中的二進制文件，則將訪問傳遞到原系統調用，操作系統正常完成ELF文件映射；如果不是白名單清單中的二進制文件，則將訪問過程阻止，操作系統映射ELF文件失敗，從而使得對應的進程無法啟動，動態庫無法加載，驅動無法加載。

操作系統運行期間，所述過濾驅動模塊攔截文件創建行為，禁止創建二進制文件；操作系統運行期間所有針對白名單清單鏈表中的二進制文件的寫入、覆蓋、替換、刪除、重命名，都將被所述過濾驅動模塊攔截后予以拒絕。

當接收到二進制文件的寫入、覆蓋、替換、刪除、重命名訪問請求時，所述過濾驅動模塊首先獲取訪問請求的二進制文件全路徑和SHA1值，然后遍歷自身的白名單清單鏈表，如果訪問請求針對的是白名單清單中的二進制文件，則將訪問過程阻止，使二進制文件的寫入、覆蓋、替換、刪除、重命名操作失敗；如果訪問請求針對的不是白名單清單中的二進制文件，則將訪問傳遞到原系統調用，操作系統正常完成二進制文件的寫入、覆蓋、替換、刪除、重命名操作。

為了安全起見，所述白名單主服務進程初次啟動在操作系統剛剛安裝/配置完成且網絡斷開的情況下進行；所述白名單主服務進程主動退出時，從當前操作系統中卸載過濾驅動模塊和自身。

本發明的有益效果是：該基于hook技術的Unix白名單控制方法，能夠禁止非白名單清單中的進程啟動，禁止非白名單清單中的動態庫和驅動加載，同時又能保證白名單清單中的進程文件、動態庫文件和驅動文件不被非法寫入、覆蓋、替換、刪除和重命名，保證當前操作系統不再新建二進制文件，從而建立一個安全的操作系統計算環境。

附圖說明

附圖1為本發明控制進程啟動，動態庫加載和/或驅動加載流程示意圖。

附圖2為本發明控制二進制文件的寫入、覆蓋、替換、刪除、重命名流程示意圖。

具體實施方式

為了使本發明所要解決的技術問題、技術方案及有益效果更加清楚明白，以下結合附圖和實施例，對本發明進行詳細的說明。應當說明的是，此處所描述的具體實施例僅用以解釋本發明，并不用于限定本發明。