技術領域

本發明涉及系統安全檢測技術領域，尤其涉及一種系統攻擊檢測方法及其系統。

背景技術

隨著Andriod和Linux設備數量的不斷增加，特別是越來越多的移動終端采用了Andriod系統，Andriod系統的病毒和木馬也伴隨急劇增長，Andriod系統的安全性也越來越引起重視。

現階段針對系統攻擊采取的主要手段是采取數據加密、分區掛載控制、虛擬機保護特定進程和物理隔離。

數據加密的表現是對傳輸過程和存儲采取加密的方式進行。但數據加密只是單單對數據的傳輸和存儲過程進行保護，僅僅保證了數據的安全性和有效性，對于數據以后的動作等反饋無法保證。

分區掛載控制是指本來是只讀的分區，當出現攻擊時，攻擊程序想改變分區里面的內容就必須先重新掛載分區為可讀寫的方式。為了保護數據的不被篡改，采取特殊的方式使攻擊程序重新掛載分區失敗，從而保證了系統的完整性。這個方法很好地保證了原始系統包的完整性，但僅限于文件系統的完整性，對于一些臨時分區，臨時文件并不能啟動保護作用，只能保證系統不被篡改，并且對于敏感信息的讀取，同樣也起不到保護作用。

物理隔離是對關鍵的設備和操作進行物理隔離，這個可以起到很好的保護作用，但同時也增加了終端廠商的開發和維護成本。

在公開號為CN102663312A的中國專利公開文件中，提出了一種基于虛擬機的ROP攻擊檢測方法及系統，包括：將待保護的操作系統運行在虛擬域環境中；定位設定的目標進程，獲取目標進程的進程信息；監控該系統中進程運行，當上下文切換到目標進程時，將當前目標進程的堆棧標記為只讀；攔截當內存頁面錯誤引發自對一個可寫堆棧內存區域標記為只讀后發生的寫操作，并將相應堆棧頁面標記為可寫；定位當前目標進程在執行過程中下一需堆棧檢查的地方，設置斷點；截獲斷點并檢測ROP攻擊是否存在；當檢測到ROP攻擊時，停止當前目標進程，否則使目標進程繼續運行，同時將目標進程的堆棧標記為只讀。該方案主要是在操作系統和硬件之間再架設一個虛擬機，這將極大降低整個操作系統的性能，且該方案只實現了針對特定進程的保護，沒有實現對所有進程進行保護。如果利用這個方案對所有進程進行保護，會導致系統性能的急劇降低。這個方案的主要目的是保證進程執行上下文的執行代碼安全，保證進程代碼的執行順序不被改變。然而對于不被保護的進程，利用這些進程對系統進行攻擊，這個方案就起不到作用，如root系統這類攻擊。

發明內容

本發明所要解決的技術問題是：提供一種系統攻擊檢測方法及其系統，可有效保證系統的安全性和完整性。

為了解決上述技術問題，本發明采用的技術方案為：一種系統攻擊檢測方法，包括：

創建進程后，新建所述進程的進程上下文，并備份所述進程上下文中的只讀內容，所述只讀內容包括所述進程的用戶信息和權限；

標記所述進程處于就緒狀態；

通過調度器選擇一處于就緒狀態的進程；

若一所述進程當前的進程上下文中的只讀內容與其備份的只讀內容不一致，則判定系統受到攻擊。

本發明還涉及一種系統攻擊檢測系統，包括：

備份模塊，用于創建進程后，新建所述進程的進程上下文，并備份所述進程上下文中的只讀內容，所述只讀內容包括所述進程的用戶信息和權限；

標記模塊，用于標記所述進程處于就緒狀態；

選擇模塊，用于通過調度器選擇一處于就緒狀態的進程；

判定模塊，用于若一所述進程當前的進程上下文中的只讀內容與其備份的只讀內容不一致，則判定系統受到攻擊。

本發明的有益效果在于：通過在進程創建后立即新建進程上下文，保證此時的進程上下文記錄的是進程處于安全狀態下的狀態信息，從而保證此時備份的進程上下文中的只讀內容也是安全的；通過在進程執行前，判斷進程當前的進程上下文中的只讀內容與其備份的只讀內容是否一致，進而判斷進程或數據是否遭到篡改，從而判斷系統是否受到攻擊；通過調度器實時調度檢查進程的上下文，可以實時監控所有進程的運行狀態，從而可以提早發現對系統的攻擊行為；相對于被動的分區保護、數據加密等保護方式，可以較早地對系統的攻擊的行為做出相應的對策，從而更好地保證了系統的安全性和完整性。

附圖說明

圖1為本發明一種系統攻擊檢測方法的流程圖；

圖2為本發明實施例一的方法流程圖；

圖3為本發明一種系統攻擊檢測系統的結構示意圖；

圖4為本發明實施例二的系統結構示意圖。

標號說明：