本發(fā)明公開了一種內(nèi)核數(shù)據(jù)訪問控制方法與系統(tǒng)。本方法為：1)建立一保護(hù)列表，用于記錄需保護(hù)內(nèi)核數(shù)據(jù)的地址區(qū)域；建立一模塊列表，用于記錄可信的內(nèi)核模塊；2)將存儲允許修改該需保護(hù)內(nèi)核數(shù)據(jù)的代碼段對應(yīng)的地址區(qū)間存儲到一核心方法模塊；所述代碼段對應(yīng)的地址區(qū)間稱為可信代碼區(qū)域；3)核心方法模塊判斷收到的指令是否合法；當(dāng)該指令操作的數(shù)據(jù)地址為保護(hù)列表中的地址時，如果該指令為模塊列表中的模塊發(fā)出的指令且該指令的地址屬于該可信代碼區(qū)域，則該指令合法，否則不合法；4)異常處理模塊根據(jù)核心方法模塊的判斷結(jié)果確定是否執(zhí)行該指令，如果指令合法，則允許執(zhí)行該指令；否則阻止執(zhí)行。本方法提高了操作系統(tǒng)的安全性和可靠性。

技術(shù)領(lǐng)域

本發(fā)明涉及一種內(nèi)核數(shù)據(jù)訪問控制方法與系統(tǒng)，尤其涉及一種基于模塊白名單的內(nèi)核數(shù)據(jù)訪問控制方法與系統(tǒng)，屬于計(jì)算機(jī)操作系統(tǒng)安全領(lǐng)域。

背景技術(shù)

隨著黑客技術(shù)的發(fā)展，木馬對操作系統(tǒng)安全造成了巨大的威脅。木馬借助DKOM攻擊，可以將指定的進(jìn)程或者模塊結(jié)構(gòu)從進(jìn)程列表或者模塊列表中刪除，從而達(dá)到隱藏惡意的進(jìn)程或模塊的目的。在其他類型的DKOM攻擊中，木馬修改系統(tǒng)調(diào)用表或者中斷描述符表，將正常的系統(tǒng)調(diào)用服務(wù)程序或者中斷服務(wù)程序地址替換為惡意的函數(shù)地址。木馬還可以將進(jìn)程的用戶證書替換為超級用戶的證書，進(jìn)而提高惡意進(jìn)程的權(quán)限。

目前很多的發(fā)明采用虛擬機(jī)監(jiān)控器來保護(hù)操作系統(tǒng)免受木馬攻擊。虛擬機(jī)自省技術(shù)可以用來檢測木馬，但是虛擬機(jī)自省檢測假設(shè)內(nèi)核數(shù)據(jù)沒有被木馬修改，所以虛擬機(jī)自省無法檢測DKOM攻擊。有些發(fā)明提供了DKOM攻擊的檢測方法，但是檢測能力并不完備。PatchGuard保護(hù)只讀的內(nèi)核數(shù)據(jù)，如系統(tǒng)服務(wù)描述符表和中斷描述符表。UCONKI針對內(nèi)核只讀數(shù)據(jù)提出了一種訪問控制方法。而DKOM還會攻擊內(nèi)核非只讀數(shù)據(jù)，如進(jìn)程、模塊結(jié)構(gòu)。這些數(shù)據(jù)既可以被正常的內(nèi)核代碼修改，也可以被木馬修改。

Sentry架構(gòu)通過設(shè)計(jì)的訪問控制方法來保護(hù)內(nèi)核數(shù)據(jù)，但是如果木馬是Loadablekernel module(LKM)類型的木馬(LKM木馬是一類最常見的木馬)，并將攻擊代碼放置在LKM初始化代碼段(即模塊初始化函數(shù)中)，Sentry無法檢測。因?yàn)镾entry假設(shè).init.text代碼段是可信的，而LKM的初始化代碼將放置在.init.text代碼段執(zhí)行。

發(fā)明內(nèi)容

本發(fā)明解決的技術(shù)問題：提出了一種內(nèi)核數(shù)據(jù)訪問控制方法，并將其實(shí)現(xiàn)名為Hypro的系統(tǒng)。利用該方法，可以檢測DKOM和系統(tǒng)調(diào)用劫持攻擊。特別地，如果LKM木馬將攻擊代碼放置在模塊初始化代碼段，Hypro可以通過可疑行為內(nèi)核模塊追蹤算法，結(jié)合模塊白名單來拒絕木馬攻擊。

本發(fā)明的技術(shù)方案為：

一種內(nèi)核數(shù)據(jù)訪問控制方法，其步驟為：

1)建立一保護(hù)列表，用于記錄需保護(hù)內(nèi)核數(shù)據(jù)的地址區(qū)域；建立一模塊列表，用于記錄可信的內(nèi)核模塊，即模塊列表中的模塊允許修改該需保護(hù)內(nèi)核數(shù)據(jù)；

2)將存儲允許修改該需保護(hù)內(nèi)核數(shù)據(jù)的代碼段對應(yīng)的地址區(qū)間存儲到一核心方法模塊；所述代碼段對應(yīng)的地址區(qū)間稱為可信代碼區(qū)域；

3)所述核心方法模塊判斷收到的指令是否合法；其中，當(dāng)指令操作的數(shù)據(jù)地址為所述保護(hù)列表中記錄的地址時，如果該指令為所述模塊列表中的模塊發(fā)出的指令且該指令的地址屬于該可信代碼區(qū)域，則該指令合法，否則不合法；

4)異常處理模塊根據(jù)核心方法模塊的判斷結(jié)果確定是否允許執(zhí)行所述指令，如果指令合法，則允許執(zhí)行該指令；否則阻止執(zhí)行該指令。

進(jìn)一步的，所述可信代碼區(qū)域包括：內(nèi)核核心代碼段對應(yīng)的地址區(qū)間，內(nèi)核啟動所需的核心代碼對應(yīng)的地址區(qū)間和初始化LKM的代碼對應(yīng)的地址區(qū)間。