[发明专利]软件完整性验证方法及系统

说明书

技术领域

本发明涉及一种软件完整性验证方法及系统，特别涉及一种在虚拟机监控器层实现软件完整性验证方法及系统；属于计算机安全技术领域。 

背景技术

随着互联网技术的迅猛发展，网络安全已经成为互联网不可忽视的一大方面。而病毒、木马、间谍软件、rootkits等恶意软件的不断泛滥，严重威胁着互联网安全，目前已成为网络安全领域的头号威胁。从技术的角度上看，恶意软件具有如下特点： 

(a)隐蔽性：以不被用户察觉的方式在软件系统中运行；运行后通常还隐藏自身的存在，从而逃脱杀毒软件等安全工具的检测，例如，恶意软件常常隐藏自身进程，删除日志记录等。 

(b)非法篡改：恶意软件常常通过篡改正常软件的代码和数据，并加入恶意程序和代码以达到破坏和入侵系统的目的。一旦被篡改后的软件加载到系统中，其恶意代码就会得到执行，从而威胁到系统的安全。另一方面，由于这些被篡改的软件通常是常用的应用程序或系统关键文件，用户很难发现并识别出这些被非法篡改的软件。 

(c)底层化：恶意软件已经更多的由用户级程序向内核级代码转化。 

因此，只要能在恶意软件或代码执行前发现、识别并阻止其运行，就可以保证软件系统的安全。软件完整性检验与保护技术正是这样一种技术。首先，它完整性监控整个软件环境(包括操作系统、文件系统、应用程序执行环境等)的完整性，能准确识别软件的存在、加载及运行。例如能发现并定位存储在文件系统上或内存中的软件二进制代码，能在发现软 件进程启动，能识别隐藏进程的运行等。然后，它能完整性检验软件，通常的做法是获取软件的“指纹”(即对软件做哈希运算，测得的哈希值)，与软件指纹库中已有的该软件的指纹进行比较。如果两者匹配，说明该软件符合完整性要求；如果不匹配，说明该软件被篡改。再者，它还能对软件进行完整性验证，在恶意软件对系统造成破坏或入侵前阻止其加载与运行。从而保护整个软件系统的完整性，即该软件系统中运行的所有软件都经过验证，并符合完整性要求。 

在实现本发明过程中，发明人发现现有技术中至少存在如下问题： 

(1)安全性问题 

目前绝大多数的软件完整性验证与保护机制都位于被保护的操作系统内部，使用了操作系统的功能来实现完整性验证机制，因此依赖于操作系统(特别是内核)的完整性。而当前的操作系统由于过于庞大(上百万行代码)，不可避免地存在安全漏洞，因而操作系统本身的完整性无法保证。而当前的恶意软件也驻留在操作系统内部，特别是内核级恶意代码，因其具有对操作系统内核的控制权，可以通过诸如隐藏文件和进程、篡改内核代码等方式，绕过甚至破坏完整性验证机制。 

(2)兼容性问题 

首先，现有的软件完整性验证与保护技术在操作系统内部实现，其实现机制依赖于操作系统的实现原理，这就意味着在linux上的完整性验证技术(由于操作系统实现原理不同)无法适用于windows上；也就是说现有的软件完整性验证与保护技术缺乏通用性和兼容性，在某一种操作系统平台下开发的完整性验证技术往往不适用或无法移植到其他操作系统。 

(3)其他问题 

而且现有的软件完整性验证与保护技术有时还需要额外的硬件支持。一方面需要购买额外的硬件设备，增加了硬件成本开销；另一方面，由于引入了硬件处理，增加了与硬件的交互，带来了额外的性能开销。 

发明内容

本发明提供一种软件完整性验证方法及系统，为了解决现有技术中的软件完整性验证方法都位于操作系统内部，依赖于操作系统的完整性，及现有技术的完整性验证方法缺乏通用性和兼容性的问题。 

为实现上述目的，本发明提供一种软件完整性验证方法，包括以下步骤： 

在虚拟机监控器中，通过截获上层操作系统的系统调用，以获取加载的可执行文件的路径； 

根据所述可执行文件的路径，获取所述可执行文件的哈希值；并将所述可执行文件的哈希值与指纹库中的软件指纹比对； 

根据所述指纹比对结果，对所述可执行文件进行完整性验证； 

所述获取加载的可执行文件的路径，包括： 

在虚拟机监控器中，截获上层操作系统的加载可执行文件的系统调用； 

获取所述加载可执行文件系统调用的参数，以获取打开可执行文件的系统调用返回的返回值；