專利名稱::一種對(duì)內(nèi)核的安全審計(jì)方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及計(jì)算機(jī)領(lǐng)域,尤其涉及一種利用安全審計(jì)技術(shù)對(duì)計(jì)算機(jī)內(nèi)核進(jìn)行安全審計(jì)的方法和系統(tǒng)�。
背景技術(shù):
:目前的計(jì)算機(jī)安全審計(jì)技術(shù)有多種,如主機(jī)安全審計(jì)技術(shù)等�����。主機(jī)安全審計(jì)技術(shù)的目的是提高系統(tǒng)主機(jī)的安全性�,通過(guò)對(duì)計(jì)算機(jī)外設(shè)的控制和審計(jì)達(dá)到對(duì)計(jì)算機(jī)主機(jī)保護(hù)的目的。對(duì)計(jì)算機(jī)外設(shè)的控制和審計(jì)包括對(duì)計(jì)算機(jī)接口進(jìn)行控制和對(duì)計(jì)算機(jī)設(shè)備類進(jìn)行控制����。具體地,主機(jī)安全審計(jì)技術(shù)包括以下技術(shù)內(nèi)容撥號(hào)行為控制允許/禁止內(nèi)網(wǎng)用戶通過(guò)MODEM或ADSL撥入外網(wǎng)�;網(wǎng)絡(luò)通信控制允許/記錄/禁止內(nèi)網(wǎng)主機(jī)之間相互通信�;主機(jī)特性控制記錄主機(jī)軟件、硬件特征�,能夠?qū)崿F(xiàn)計(jì)算機(jī)資產(chǎn)管理;主機(jī)文件控制允許/記錄/禁止對(duì)主機(jī)指定文件的操作�����;主機(jī)設(shè)備控制允許/記錄/禁止使用主機(jī)本地設(shè)備,如U盤�、軟光驅(qū)、并口����、串口、打印機(jī)等���;操作行為控制記錄/查看主機(jī)操作者行為���,包括當(dāng)前屏幕、鍵盤輸入�����。對(duì)內(nèi)核的安全管理是指對(duì)運(yùn)行于內(nèi)核中的軟件的安全管理���,也就是對(duì)內(nèi)核鉤子的管理����。鉤子是WINDOWS中消息處理機(jī)制的一個(gè)要點(diǎn)��,通過(guò)在計(jì)算機(jī)中安裝各種鉤子�,應(yīng)用程序能夠設(shè)置相應(yīng)的子例程來(lái)監(jiān)視系統(tǒng)里的消息傳遞以及在這些消息到達(dá)目標(biāo)窗口程序之前處理它們���。鉤子的種類很多,每種鉤子可以截獲并處理相應(yīng)的消息類���。如鍵盤鉤子可以截獲鍵盤消息�����,鼠標(biāo)鉤子可以截獲鼠標(biāo)消息�,外殼鉤子可以截獲啟動(dòng)和關(guān)閉應(yīng)用程序的消息��,日志鉤子可以監(jiān)視和記錄輸入事件等��。內(nèi)核鉤子就是在Windows的內(nèi)核層實(shí)現(xiàn)類似鉤子的行為���,從而達(dá)到控制系統(tǒng)底層某些功能的目的���。內(nèi)核鉤子的種類也較多,如系統(tǒng)服務(wù)描述符表(systemservicesdescriptortable,SSDT)內(nèi)核鉤子���、與圖形界面相關(guān)的系統(tǒng)服務(wù)描述符表(ShadowSSDT)內(nèi)核鉤子、文件系統(tǒng)驅(qū)動(dòng)(Filesystemdriver,FSD)內(nèi)核鉤子���、中斷描述符表(InterruptDescriptorTable,IDT)內(nèi)核鉤子�����、內(nèi)核內(nèi)嵌鉤子(InlineHook)����、I/0請(qǐng)求包(1/0Requestpackage,IRP)過(guò)濾鉤子、過(guò)濾驅(qū)動(dòng)鉤子和系統(tǒng)回調(diào)例程(CallBack)鉤子等�。當(dāng)前對(duì)反鉤子技術(shù)主要應(yīng)用在一些小型的專業(yè)安全檢測(cè)工具中,對(duì)系統(tǒng)的內(nèi)核鉤子進(jìn)行檢測(cè)���;而在現(xiàn)有的主機(jī)安全審計(jì)中�����,主要專注于桌面級(jí)的審計(jì)���,只能通過(guò)對(duì)計(jì)算機(jī)外設(shè)的控制和審計(jì)達(dá)到實(shí)現(xiàn)計(jì)算機(jī)主機(jī)保護(hù)的目的,而無(wú)法審計(jì)計(jì)算機(jī)內(nèi)核狀態(tài)下的軟件行為?�,F(xiàn)有的反鉤子技術(shù)無(wú)法對(duì)內(nèi)核狀態(tài)下的軟件行為合法性做出正確評(píng)估�,同時(shí),檢測(cè)出的內(nèi)核狀態(tài)信息復(fù)雜,普通技術(shù)人員很難獲知當(dāng)前內(nèi)核狀態(tài)���;進(jìn)一步地��,現(xiàn)有的反內(nèi)核鉤子技術(shù)沒(méi)有數(shù)據(jù)庫(kù)的支持��,也就無(wú)法對(duì)內(nèi)核狀態(tài)下的軟件行為進(jìn)行記錄分析�。
發(fā)明內(nèi)容本發(fā)明實(shí)施例提供一種對(duì)內(nèi)核的安全審計(jì)方法和系統(tǒng)�����,以解決現(xiàn)有的主機(jī)安全審計(jì)中無(wú)法對(duì)設(shè)備的內(nèi)核進(jìn)行安全審計(jì)的問(wèn)題�����?��!N對(duì)內(nèi)核的安全審計(jì)方法���,所述方法包括對(duì)設(shè)備內(nèi)的每個(gè)內(nèi)核模塊進(jìn)行掃描,確定每個(gè)內(nèi)核模塊中安裝的內(nèi)核鉤子��;利用預(yù)先設(shè)定的多個(gè)行為信息組�,對(duì)每個(gè)內(nèi)核模塊中的內(nèi)核鉤子進(jìn)行比較�,其中��,每個(gè)行為信息組包含至少一個(gè)內(nèi)核鉤子標(biāo)識(shí)���;確定安裝的內(nèi)核鉤子與所述至少一個(gè)行為信息組中內(nèi)核鉤子標(biāo)識(shí)匹配的內(nèi)核模塊,并卸載確定的內(nèi)核模塊����。—種對(duì)內(nèi)核的安全審計(jì)系統(tǒng)��,所述系統(tǒng)包括內(nèi)核掃描模塊���,用于對(duì)設(shè)備內(nèi)的每個(gè)內(nèi)核模塊進(jìn)行掃描��,確定每個(gè)內(nèi)核模塊中安裝的內(nèi)核鉤子�����;內(nèi)核審計(jì)模塊��,用于利用預(yù)先設(shè)定的多個(gè)行為信息組�����,對(duì)每個(gè)內(nèi)核模塊中的內(nèi)核鉤子進(jìn)行比較�����,并確定安裝的內(nèi)核鉤子與所述至少一個(gè)行為信息組中內(nèi)核鉤子標(biāo)識(shí)匹配的內(nèi)核模塊���,其中��,每個(gè)行為信息組包含至少一個(gè)內(nèi)核鉤子標(biāo)識(shí)���;審計(jì)執(zhí)行模塊,用于卸載所述內(nèi)核審計(jì)模塊確定的內(nèi)核模塊�。本發(fā)明實(shí)施例的有益效果由于本發(fā)明實(shí)施例通過(guò)將內(nèi)核反鉤子技術(shù)集成于主機(jī)安全系統(tǒng)中,將主機(jī)安全審計(jì)技術(shù)與內(nèi)核反鉤子技術(shù)有機(jī)結(jié)合來(lái)����,對(duì)設(shè)備內(nèi)的每個(gè)內(nèi)核模塊進(jìn)行掃描并確定每個(gè)內(nèi)核模塊中安裝的內(nèi)核鉤子,確定出安裝了非法軟件的內(nèi)核模塊����,并卸載確定的內(nèi)核模塊,以提高內(nèi)核系統(tǒng)的安全性和可靠性�����。圖1為本發(fā)明實(shí)施例一中對(duì)內(nèi)核的安全審計(jì)方法的示意圖;圖2為本發(fā)明實(shí)施例二中對(duì)內(nèi)核的安全審系統(tǒng)的結(jié)構(gòu)示意圖��;圖3為本發(fā)明實(shí)施例二中對(duì)內(nèi)核的安全審系統(tǒng)應(yīng)用于場(chǎng)景示意圖���。具體實(shí)施例方式為了對(duì)計(jì)算機(jī)內(nèi)核狀態(tài)下的軟件行為進(jìn)行安全審核���,本發(fā)明實(shí)施例將內(nèi)核反鉤子技術(shù)集成于主機(jī)安全系統(tǒng)中���,將主機(jī)安全審計(jì)技術(shù)與內(nèi)核反鉤子技術(shù)有機(jī)結(jié)合來(lái)��,以達(dá)到監(jiān)控計(jì)算機(jī)從內(nèi)核態(tài)到用戶態(tài)所有軟件的動(dòng)作行為����,以提高計(jì)算機(jī)的安全性和可靠性���。下面結(jié)合說(shuō)明書附圖對(duì)本發(fā)明實(shí)施例進(jìn)行詳細(xì)描述�。實(shí)施例一本發(fā)明實(shí)施例一將內(nèi)核反鉤子技術(shù)應(yīng)用于主機(jī)安全審計(jì)技術(shù)中�,提出一種新的對(duì)內(nèi)核的安全審計(jì)方法,如圖1所示��,所述方法包括以下步驟步驟101:對(duì)設(shè)備內(nèi)的每個(gè)內(nèi)核模塊進(jìn)行掃描��,確定每個(gè)內(nèi)核模塊中安裝的內(nèi)核鉤子。本步驟中涉及的設(shè)備可以是諸如計(jì)算機(jī)等終端設(shè)備�,也可以是其他需要對(duì)設(shè)備的內(nèi)核狀態(tài)進(jìn)行安全審計(jì)的其他終端。待處理的設(shè)備中具有內(nèi)核系統(tǒng)�,該內(nèi)核系統(tǒng)中安裝了至少一個(gè)軟件,每個(gè)軟件可以對(duì)應(yīng)一個(gè)內(nèi)核模塊�����,這里的內(nèi)核模塊是指驅(qū)動(dòng)程序文件(相當(dāng)于應(yīng)用層一個(gè)exe文件)�,在每個(gè)內(nèi)核模塊中又可能安裝了內(nèi)核鉤子。為了對(duì)設(shè)備的內(nèi)核態(tài)的軟件行為進(jìn)行安全審計(jì)���,需要對(duì)設(shè)備內(nèi)的內(nèi)核模塊進(jìn)行掃描�,其掃描方式可以是實(shí)時(shí)掃描�����,或是周期性地進(jìn)行掃描��,掃描周期可以根據(jù)經(jīng)驗(yàn)值或是對(duì)安全性的要求確定����,如果對(duì)設(shè)備內(nèi)核的安全性要求較高,可以設(shè)置較短的掃描周期�,以便于在內(nèi)核的軟件態(tài)出現(xiàn)異常時(shí)可以快速發(fā)現(xiàn)���;如果對(duì)設(shè)備內(nèi)核的安全性要求較低,可以設(shè)置較短的掃描周期����,以便于節(jié)約設(shè)備資源。在本步驟中確定出內(nèi)核模塊中安裝的內(nèi)核鉤子后���,可以記錄每個(gè)內(nèi)核模塊對(duì)應(yīng)的內(nèi)核鉤子標(biāo)識(shí)�����。步驟102:利用預(yù)先設(shè)定的多個(gè)行為信息組,對(duì)每個(gè)內(nèi)核模塊中的內(nèi)核鉤子進(jìn)行比較����。其中,每個(gè)行為信息組包含至少一個(gè)內(nèi)核鉤子標(biāo)識(shí)�,進(jìn)一步地,每個(gè)行為信息組中包含的內(nèi)核鉤子標(biāo)識(shí)之和表示內(nèi)核鉤子標(biāo)識(shí)對(duì)應(yīng)的內(nèi)核鉤子的集合為非法�。在本步驟中,可以根據(jù)管理員的實(shí)際經(jīng)驗(yàn)設(shè)定行為信息組���,并將設(shè)定的行為信息組存儲(chǔ)在數(shù)據(jù)庫(kù)中���,這里的數(shù)據(jù)庫(kù)可以是設(shè)備應(yīng)用層的存儲(chǔ)部件��,也可以是能夠與設(shè)備進(jìn)行通信的其他數(shù)據(jù)庫(kù)設(shè)備���。步驟103:確定安裝的內(nèi)核鉤子與所述至少一個(gè)行為信息組中內(nèi)核鉤子標(biāo)識(shí)匹配的內(nèi)核模塊,并卸載確定的內(nèi)核模塊�。利用行為信息組與內(nèi)核模塊中的內(nèi)核鉤子進(jìn)行比較的具體方法是根據(jù)確定的內(nèi)核模塊中的內(nèi)核鉤子確定該內(nèi)核模塊對(duì)應(yīng)的內(nèi)核鉤子標(biāo)識(shí),然后將該內(nèi)核模塊對(duì)應(yīng)的內(nèi)核鉤子標(biāo)識(shí)分別與每個(gè)行為信息組中的內(nèi)核鉤子標(biāo)識(shí)進(jìn)行比較���,如果內(nèi)核模塊對(duì)應(yīng)的內(nèi)核鉤子標(biāo)識(shí)全部包含在某一行為信息組中的內(nèi)核鉤子標(biāo)識(shí)中(包括內(nèi)核模塊對(duì)應(yīng)的內(nèi)核鉤子標(biāo)識(shí)與行為信息組中的內(nèi)核鉤子標(biāo)識(shí)完全相同�����,或是內(nèi)核模塊對(duì)應(yīng)的內(nèi)核鉤子標(biāo)識(shí)包含行為信息組中的內(nèi)核鉤子標(biāo)識(shí))����,則表示該內(nèi)核模塊是與行為信息組中內(nèi)核鉤子標(biāo)識(shí)匹配的內(nèi)核模塊��,確定該內(nèi)核模塊中安裝了非法軟件(如惡意軟件或間諜軟件)�;否則,則確定該內(nèi)核模塊中沒(méi)有安裝非法軟件�。為了確保設(shè)備內(nèi)核的安全性,本步驟確定出安裝了非法軟件的內(nèi)核后可以先恢復(fù)內(nèi)核模塊中安裝的非法內(nèi)核鉤子����,即恢復(fù)從確定的內(nèi)核模塊中查找出的與匹配的行為信息組中內(nèi)核鉤子標(biāo)識(shí)對(duì)應(yīng)的內(nèi)核鉤子�,然后再卸載確定的內(nèi)核模塊���。下面舉例說(shuō)明恢復(fù)內(nèi)核模塊中安裝的非法內(nèi)核鉤子若某一內(nèi)核模塊中運(yùn)行A�、B��、C�、D四種內(nèi)核鉤子,某一行為信息組中包含了A�����、B����、C三種內(nèi)核鉤子標(biāo)識(shí)���,表示A�����、B�、C三種內(nèi)核鉤子安裝在一起是間諜軟件行為,則恢復(fù)該內(nèi)核模塊中運(yùn)行的A��、B���、C三種內(nèi)核鉤子���。恢復(fù)內(nèi)核鉤子的執(zhí)行手段可以為以來(lái)自磁盤文件的正常代碼來(lái)覆蓋鉤子代碼��。例如若惡意軟件安裝了IDT鍵盤鉤子來(lái)讀取用戶通過(guò)鍵盤輸入的密碼����,則通過(guò)鉤子恢復(fù)之后,由于鍵盤鉤子代碼不存在����,因此也就無(wú)法再讀取用戶通過(guò)鍵盤輸入的密碼。通過(guò)上述步驟101步驟103的方案��,使用主機(jī)安全審計(jì)技術(shù)對(duì)設(shè)備的內(nèi)核模塊進(jìn)行安全審計(jì)��,并利用預(yù)先設(shè)定的不安全策略查找出內(nèi)核系統(tǒng)中哪些內(nèi)核模塊中安裝了非法軟件��,以增加對(duì)惡意內(nèi)核模塊判定的準(zhǔn)確性,使非專業(yè)技術(shù)人員也能夠通過(guò)本發(fā)明實(shí)施例提供的方案對(duì)設(shè)備的內(nèi)核態(tài)進(jìn)行安全審計(jì)����。在本發(fā)明實(shí)施例一進(jìn)一步通過(guò)白名單的方式對(duì)安全審計(jì)方法進(jìn)行優(yōu)化,具體做法為在步驟101與步驟102之間還包括以下步驟步驟A:根據(jù)預(yù)先設(shè)定的內(nèi)核白名單信息���,從多個(gè)內(nèi)核模塊中確定合法的內(nèi)核模塊�。本步驟中的內(nèi)核白名單信息也可以與行為信息組存儲(chǔ)在同一數(shù)據(jù)庫(kù)中��,也可以分別存儲(chǔ)在不同的數(shù)據(jù)庫(kù)中���。由于在步驟A中已經(jīng)篩選出了合法的內(nèi)核模塊����,因此�����,在步驟102中需要進(jìn)行是否安裝了非法內(nèi)核鉤子判定的內(nèi)核模塊是內(nèi)核系統(tǒng)中除了合法的內(nèi)核模塊之外的其他內(nèi)核模塊����,而屬于內(nèi)核白名單信息中的內(nèi)核模塊����,可以在判定是否安裝了非法內(nèi)核鉤子時(shí)將其忽略�。實(shí)施例二本發(fā)明實(shí)施例還提供一種與實(shí)施例一屬于同一發(fā)明構(gòu)思下對(duì)內(nèi)核的安全審計(jì)系統(tǒng)���,如圖2所示�,所述系統(tǒng)包括以下部件內(nèi)核掃描模塊11��、內(nèi)核審計(jì)模塊12和審計(jì)執(zhí)行模塊13���,其中內(nèi)核掃描模塊ll用于對(duì)設(shè)備內(nèi)的每個(gè)內(nèi)核模塊進(jìn)行掃描����,確定每個(gè)內(nèi)核模塊中安裝的內(nèi)核鉤子�;內(nèi)核審計(jì)模塊12用于利用預(yù)先設(shè)定的多個(gè)行為信息組,對(duì)每個(gè)內(nèi)核模塊中的內(nèi)核鉤子進(jìn)行比較����,并確定安裝的內(nèi)核鉤子與所述至少一個(gè)行為信息組中內(nèi)核鉤子標(biāo)識(shí)匹配的內(nèi)核模塊,其中�����,每個(gè)行為信息組包含至少一個(gè)內(nèi)核鉤子標(biāo)識(shí)����;審計(jì)執(zhí)行模塊13用于卸載所述內(nèi)核審計(jì)模塊確定的內(nèi)核模塊�。在本實(shí)施例中的內(nèi)核安全審計(jì)系統(tǒng)可以安裝在設(shè)備中�,進(jìn)一步地,可以應(yīng)用于設(shè)備的應(yīng)用層���。如圖3所示����,內(nèi)核安全審計(jì)系統(tǒng)安裝在用戶計(jì)算機(jī)系統(tǒng)中��,與內(nèi)核系統(tǒng)交互通信完成對(duì)內(nèi)核系統(tǒng)中的各內(nèi)核模塊進(jìn)行安全審計(jì)����。具體地,主機(jī)審計(jì)系統(tǒng)服務(wù)器進(jìn)程和審計(jì)系統(tǒng)管理服務(wù)Web接口從數(shù)據(jù)庫(kù)中讀取預(yù)先設(shè)定的不安全策略(包括行為信息組和內(nèi)核白名單信息)�,然后通過(guò)TCP/IP協(xié)議由LAN網(wǎng)絡(luò)發(fā)送至對(duì)內(nèi)核的安全審計(jì)系統(tǒng)。內(nèi)核掃描模塊11需要對(duì)內(nèi)核模塊中安裝的多種鉤子進(jìn)行掃描�����,其掃描內(nèi)容可以為圖2所示的內(nèi)核驅(qū)動(dòng)�、過(guò)濾驅(qū)動(dòng)、FSD鉤子����、SSDT鉤子、ShadowSSDT鉤子����、IDT鉤子、Cal1Back鉤子和內(nèi)核代碼內(nèi)嵌鉤子��。如果當(dāng)前審計(jì)的是非內(nèi)核的常規(guī)行為��,則直接按照目前的主機(jī)安全審計(jì)技術(shù)進(jìn)行審核�����,如果當(dāng)前審計(jì)的是內(nèi)核是否安裝軟件非法軟件的行為�,則內(nèi)核掃描模塊11將掃描結(jié)果發(fā)送內(nèi)核審計(jì)模塊12。內(nèi)核審計(jì)模塊12根據(jù)來(lái)自服務(wù)器系統(tǒng)的不安全策略對(duì)各內(nèi)核模塊進(jìn)行審計(jì)�,最后由審計(jì)執(zhí)行模塊13恢復(fù)安裝了非法軟件的內(nèi)核模塊中的部分或全部?jī)?nèi)核鉤子,并卸載所述內(nèi)核審計(jì)模塊12確定的內(nèi)核模塊�。所述內(nèi)核審計(jì)模塊12還用于從確定的所述內(nèi)核模塊中查找出與匹配的行為信息組中內(nèi)核鉤子標(biāo)識(shí)對(duì)應(yīng)的內(nèi)核鉤子;則所述審計(jì)執(zhí)行模塊13還用于恢復(fù)查找出的所述內(nèi)核鉤子�。所述系統(tǒng)還包括合法確定模塊14用于根據(jù)預(yù)先設(shè)定的內(nèi)核白名單信息,從多個(gè)內(nèi)核模塊中確定合法的內(nèi)核模塊���;所述內(nèi)核審計(jì)模塊12具體用于從多個(gè)內(nèi)核模塊中確定除合法的內(nèi)核模塊之外的其他內(nèi)核模塊�,并利用行為信息組對(duì)所述其他內(nèi)核模塊中的內(nèi)核鉤子進(jìn)行比較。實(shí)施例三下面通過(guò)一個(gè)具體的實(shí)例對(duì)本發(fā)明實(shí)施例一和實(shí)施例二的方案進(jìn)行詳細(xì)描述��。假設(shè)本實(shí)施例三中預(yù)先設(shè)定了兩個(gè)行為信息組�,其中行為信息組1中包含的內(nèi)核鉤子標(biāo)識(shí)為IDT鍵盤鉤子標(biāo)識(shí)+TDI網(wǎng)絡(luò)通信鉤子標(biāo)識(shí);行為信息組2中包含的內(nèi)核鉤子標(biāo)識(shí)為IDT鍵盤鉤子標(biāo)識(shí)+NDIS網(wǎng)絡(luò)通信鉤子標(biāo)識(shí)���。內(nèi)核掃描模塊11對(duì)計(jì)算機(jī)的各內(nèi)核模塊進(jìn)行掃描���,分別得到3個(gè)內(nèi)核模塊中安裝鉤子的行為,并將這3個(gè)內(nèi)核模塊的標(biāo)識(shí)發(fā)送給合法確定模塊14;合法確定模塊14根據(jù)預(yù)先設(shè)定的內(nèi)核白名單信息�����,確定內(nèi)核模塊3是合法的內(nèi)核模塊��;合法確定模塊14將內(nèi)核模塊1和內(nèi)核模塊2的掃描結(jié)果發(fā)送給內(nèi)核審計(jì)模塊12�,其中內(nèi)核模塊1中安裝的鉤子為IDT鍵盤鉤子+TDI網(wǎng)絡(luò)通信鉤子+FSD鉤子;內(nèi)核模塊2中安裝的鉤子為IDT鍵盤鉤子+CallBack鉤子����。內(nèi)核審計(jì)模塊12確定內(nèi)核模塊1中安裝的鉤子對(duì)應(yīng)的標(biāo)識(shí)包含行為信息組1中包含的內(nèi)核鉤子標(biāo)識(shí),則內(nèi)核模塊1中安裝了非法軟件���。審計(jì)執(zhí)行模塊13對(duì)內(nèi)核模塊1中的IDT鍵盤鉤子標(biāo)識(shí)和TDI網(wǎng)絡(luò)通信鉤子標(biāo)識(shí)對(duì)應(yīng)的內(nèi)核鉤子進(jìn)行恢復(fù)���,然后卸載內(nèi)核模塊l����。通過(guò)本發(fā)明實(shí)施例一至實(shí)施例三的方案�,將內(nèi)核反鉤子技術(shù)應(yīng)用到主機(jī)安全審計(jì)系統(tǒng)中���,形成具有反內(nèi)核間諜軟件功能的新一代主機(jī)安全審計(jì)系統(tǒng)����;使用主機(jī)安全審計(jì)技術(shù)對(duì)設(shè)備的內(nèi)核模塊進(jìn)行安全審計(jì)�,并利用預(yù)先設(shè)定的不安全策略查找出內(nèi)核系統(tǒng)中哪些內(nèi)核模塊中安裝了非法軟件,以增加對(duì)惡意內(nèi)核模塊判定的準(zhǔn)確性�����,使非專業(yè)技術(shù)人員也能夠通過(guò)本發(fā)明實(shí)施例提供的方案對(duì)設(shè)備的內(nèi)核態(tài)進(jìn)行安全審計(jì)����。顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍��。這樣��,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)�。權(quán)利要求一種對(duì)內(nèi)核的安全審計(jì)方法,其特征在于�,所述方法包括對(duì)設(shè)備內(nèi)的每個(gè)內(nèi)核模塊進(jìn)行掃描,確定每個(gè)內(nèi)核模塊中安裝的內(nèi)核鉤子�;利用預(yù)先設(shè)定的多個(gè)行為信息組,對(duì)每個(gè)內(nèi)核模塊中的內(nèi)核鉤子進(jìn)行比較�,其中,每個(gè)行為信息組包含至少一個(gè)內(nèi)核鉤子標(biāo)識(shí)���;確定安裝的內(nèi)核鉤子與所述至少一個(gè)行為信息組中內(nèi)核鉤子標(biāo)識(shí)匹配的內(nèi)核模塊���,并卸載確定的內(nèi)核模塊。2.如權(quán)利要求1所述的方法���,其特征在于����,每個(gè)行為信息組中包含的內(nèi)核鉤子標(biāo)識(shí)之和表示內(nèi)核鉤子標(biāo)識(shí)對(duì)應(yīng)的內(nèi)核鉤子的集合為非法���。3.如權(quán)利要求1所述的方法���,其特征在于�,確定與所述行為信息組中內(nèi)核鉤子標(biāo)識(shí)匹配的內(nèi)核模塊之后���,卸載確定的內(nèi)核模塊之前��,所述方法還包括從確定的所述內(nèi)核模塊中查找出與匹配的行為信息組中內(nèi)核鉤子標(biāo)識(shí)對(duì)應(yīng)的內(nèi)核鉤子�����;恢復(fù)查找出的所述內(nèi)核鉤子。4.如權(quán)利要求1所述的方法���,其特征在于���,確定每個(gè)內(nèi)核模塊中安裝的內(nèi)核鉤子之后,且確定與行為信息組中內(nèi)核鉤子標(biāo)識(shí)匹配的內(nèi)核模塊之前�����,所述方法還包括根據(jù)預(yù)先設(shè)定的內(nèi)核白名單信息�����,從多個(gè)內(nèi)核模塊中確定合法的內(nèi)核模塊�;利用行為信息組對(duì)每個(gè)內(nèi)核模塊中的內(nèi)核鉤子進(jìn)行比較��,包括從多個(gè)內(nèi)核模塊中確定除合法的內(nèi)核模塊之外的其他內(nèi)核模塊�,并利用行為信息組對(duì)所述其他內(nèi)核模塊中的內(nèi)核鉤子進(jìn)行比較�����。5.—種對(duì)內(nèi)核的安全審計(jì)系統(tǒng)���,其特征在于�,所述系統(tǒng)包括內(nèi)核掃描模塊��,用于對(duì)設(shè)備內(nèi)的每個(gè)內(nèi)核模塊進(jìn)行掃描�,確定每個(gè)內(nèi)核模塊中安裝的內(nèi)核鉤子;內(nèi)核審計(jì)模塊�,用于利用預(yù)先設(shè)定的多個(gè)行為信息組,對(duì)每個(gè)內(nèi)核模塊中的內(nèi)核鉤子進(jìn)行比較����,并確定安裝的內(nèi)核鉤子與所述至少一個(gè)行為信息組中內(nèi)核鉤子標(biāo)識(shí)匹配的內(nèi)核模塊,其中����,每個(gè)行為信息組包含至少一個(gè)內(nèi)核鉤子標(biāo)識(shí);審計(jì)執(zhí)行模塊,用于卸載所述內(nèi)核審計(jì)模塊確定的內(nèi)核模塊�����。6.如權(quán)利要求5所述的系統(tǒng)��,其特征在于�,每個(gè)行為信息組中包含的內(nèi)核鉤子標(biāo)識(shí)之和表示內(nèi)核鉤子標(biāo)識(shí)對(duì)應(yīng)的內(nèi)核鉤子的集合為非法。7.如權(quán)利要求5所述的系統(tǒng)����,其特征在于,所述內(nèi)核審計(jì)模塊�,還用于從確定的所述內(nèi)核模塊中查找出與匹配的行為信息組中內(nèi)核鉤子標(biāo)識(shí)對(duì)應(yīng)的內(nèi)核鉤子��;所述審計(jì)執(zhí)行模塊�����,還用于恢復(fù)查找出的所述內(nèi)核鉤子�����。8.如權(quán)利要求5所述的系統(tǒng)�,其特征在于,所述系統(tǒng)還包括合法確定模塊,用于根據(jù)預(yù)先設(shè)定的內(nèi)核白名單信息��,從多個(gè)內(nèi)核模塊中確定合法的內(nèi)核模塊����;所述內(nèi)核審計(jì)模塊,具體用于從多個(gè)內(nèi)核模塊中確定除合法的內(nèi)核模塊之外的其他內(nèi)核模塊�����,并利用行為信息組對(duì)所述其他內(nèi)核模塊中的內(nèi)核鉤子進(jìn)行比較���。9.如權(quán)利要求58任一所述的系統(tǒng)��,其特征在于����,所述系統(tǒng)應(yīng)用于設(shè)備的應(yīng)用層�����。全文摘要本發(fā)明公開了一種對(duì)內(nèi)核的安全審計(jì)方法和系統(tǒng)��,主要內(nèi)容包括通過(guò)將內(nèi)核反鉤子技術(shù)集成于主機(jī)安全系統(tǒng)中���,將主機(jī)安全審計(jì)技術(shù)與內(nèi)核反鉤子技術(shù)有機(jī)結(jié)合來(lái)��,對(duì)設(shè)備內(nèi)的每個(gè)內(nèi)核模塊進(jìn)行掃描并確定每個(gè)內(nèi)核模塊中安裝的內(nèi)核鉤子�����,確定出安裝了非法軟件的內(nèi)核模塊�,并卸載確定的內(nèi)核模塊,以提高內(nèi)核系統(tǒng)的安全性和可靠性����。文檔編號(hào)G06F21/00GK101777102SQ20101010493公開日2010年7月14日申請(qǐng)日期2010年1月29日優(yōu)先權(quán)日2010年1月29日發(fā)明者柯宗慶,柯宗貴申請(qǐng)人:藍(lán)盾信息安全技術(shù)股份有限公司