[发明专利]一种对内核的安全审计方法和系统

说明书

技术领域

本发明涉及计算机领域，尤其涉及一种利用安全审计技术对计算机内核进 行安全审计的方法和系统。

背景技术

目前的计算机安全审计技术有多种，如主机安全审计技术等。主机安全审 计技术的目的是提高系统主机的安全性，通过对计算机外设的控制和审计达到 对计算机主机保护的目的。对计算机外设的控制和审计包括对计算机接口进行 控制和对计算机设备类进行控制。具体地，主机安全审计技术包括以下技术内 容：

拨号行为控制：允许/禁止内网用户通过MODEM或ADSL拨入外网；

网络通信控制：允许/记录/禁止内网主机之间相互通信；

主机特性控制：记录主机软件、硬件特征，能够实现计算机资产管理；

主机文件控制：允许/记录/禁止对主机指定文件的操作；

主机设备控制：允许/记录/禁止使用主机本地设备，如：U盘、软光驱、 并口、串口、打印机等；

操作行为控制：记录/查看主机操作者行为，包括：当前屏幕、键盘输入。

对内核的安全管理是指对运行于内核中的软件的安全管理，也就是对内核 钩子的管理。钩子是WINDOWS中消息处理机制的一个要点，通过在计算机 中安装各种钩子，应用程序能够设置相应的子例程来监视系统里的消息传递以 及在这些消息到达目标窗口程序之前处理它们。钩子的种类很多，每种钩子可 以截获并处理相应的消息类。如：键盘钩子可以截获键盘消息，鼠标钩子可以 截获鼠标消息，外壳钩子可以截获启动和关闭应用程序的消息，日志钩子可以 监视和记录输入事件等。

内核钩子就是在Windows的内核层实现类似钩子的行为，从而达到控制系 统底层某些功能的目的。内核钩子的种类也较多，如：系统服务描述符表(system  services descriptor table，SSDT)内核钩子、与图形界面相关的系统服务描述符 表(Shadow SSDT)内核钩子、文件系统驱动(File system driver，FSD)内核 钩子、中断描述符表(Interrupt Descriptor Table，IDT)内核钩子、内核内嵌钩 子(Inline Hook)、I/O请求包(I/O Request package，IRP)过滤钩子、过滤驱动 钩子和系统回调例程(CallBack)钩子等。

当前对反钩子技术主要应用在一些小型的专业安全检测工具中，对系统的 内核钩子进行检测；而在现有的主机安全审计中，主要专注于桌面级的审计， 只能通过对计算机外设的控制和审计达到实现计算机主机保护的目的，而无法 审计计算机内核状态下的软件行为。现有的反钩子技术无法对内核状态下的软 件行为合法性做出正确评估，同时，检测出的内核状态信息复杂，普通技术人 员很难获知当前内核状态；进一步地，现有的反内核钩子技术没有数据库的支 持，也就无法对内核状态下的软件行为进行记录分析。

发明内容

本发明实施例提供一种对内核的安全审计方法和系统，以解决现有的主机 安全审计中无法对设备的内核进行安全审计的问题。

一种对内核的安全审计方法，所述方法包括：内核扫描步骤：对设备内的 每个内核模块进行扫描，确定每个内核模块中安装的内核钩子；比较步骤：利 用预先设定的多个行为信息组，对每个内核模块中安装的内核钩子进行比较， 其中，每个行为信息组中包含至少一个内核钩子标识；匹配步骤：比较步骤得 出的比较结果为安装的内核钩子覆盖任一行为信息组中内核钩子标识，则判定 相互匹配，进一步确定该内核钩子所属的内核模块；卸载步骤：卸载匹配步骤 中确定的内核模块。。

一种对内核的安全审计系统，所述系统包括：内核扫描模块，用于对设备 内的每个内核模块进行扫描，确定每个内核模块中安装的内核钩子；内核审计 模块，用于利用预先设定的多个行为信息组，对每个内核模块中的内核钩子进 行比较，比较结果为安装的内核钩子覆盖任一行为信息组中内核钩子标识，则 判定相互匹配，进一步确定该内核钩子所属的内核模块，其中，每个行为信息 组包含至少一个内核钩子标识；审计执行模块，用于卸载所述内核审计模块确 定的内核模块。

本发明实施例的有益效果：