[发明专利]一种基于内核不变量保护的rootkit入侵检测和系统恢复方法

说明书

技术领域

本发明属于计算机系统安全领域，具体针对内核级rootkit入侵行为进行入侵检测和系统灾难恢复。

背景技术

rootkit是入侵者用来隐藏自身痕迹和保留访问权限的工具集。内核级rootkit通过修改操作系统内核代码和数据来达到其恶意的目的，使得操作系统本身变得不可信任，造成了极大的安全隐患。相比于用户级rootkit，内核级rootkit破坏力更强，隐蔽性更高，技术难度更大，更难防御。近年来，针对内核级rootkit的入侵检测和系统恢复研究引起了国内外研究者的广泛关注，相应的应对策略也越来越多。

入侵检测，顾名思义，就是对入侵行为的检测。它通过对计算机网络或者计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。随着内核级rootkit技术的迅速发展，针对内核级rootkit入侵的检测变得非常困难，属于安全领域的前沿技术。最新的内核级rootkit通过修改操作系统内核中动态的非控制类数据结构来达到其恶意的目的。针对此类最新的还未被检测到的内核级rootkit入侵，简单的基于恶意程序特征码扫描和基于异常行为验证的工具无法很好的检测到这种入侵，因此需要提出新的技术来弥补这种缺陷。基于此，也就有了本发明的第一个技术点，虚拟化平台上基于操作系统内核数据结构不变量保护的入侵检测。

计算机系统本身的复杂性使得各种系统漏洞层出不穷；再者，入侵技术的高速发展使得构建足够安全可靠的计算机系统成为幻梦。面对已经被入侵了的计算机系统，需要有一种技术能够从这种灾难当中恢复系统的可靠性和可用性。系统恢复就是这样一种提高计算机系统可靠性和可用性的有效手段。具体到恶意程序入侵，系统恢复技术以冗余资源为基础，通过合理的系统软硬件体系结构，在系统软件的有效管理下，采用入侵检测、隔离和灾难恢复等方法屏蔽、减少和消除入侵对计算机系统的影响。基于这样一种想法，有了本发明的第二个技术点，虚拟化平台上基于高性能系统快照回卷的入侵恢复。

发明内容

本发明针对现有入侵检测技术和恢复技术无法完全防御最新内核级rootkit入侵的情况，提出了一种虚拟化平台上基于操作系统数据结构不变量保护的内核级rootkit入侵检测和系统恢复方法。

本发明提供的入侵检测和系统恢复系统，其特征在于：该系统结合虚拟化技术、操作系统内核数据结构不变量检测技术和系统快照恢复技术，以Xen虚拟机为平台对内核级rootkit入侵进行检测和系统恢复。

当前，计算系统的资源规模不断扩展，处理能力快速增强，资源种类日益丰富，应用需求也灵活多样。虚拟化技术能够动态组织多种计算资源，实现透明化的可伸缩计算系统架构，从而可以灵活构建满足多种应用的计算环境，提高计算资源的使用效率。本发明以Xen虚拟机为平台构建入侵检测和恢复系统，不仅可以充分借助虚拟化技术来实现系统细节，而且有利于该系统在虚拟化技术大量部署的环境中应用，满足实际需求。

系统级虚拟化在硬件与软件之间设置一层虚拟机管理器软件，对硬件资源进行划分和抽象，为上层的软件系统提供若干个虚拟计算环境，同时支持若干个独立执行的虚拟机，也称为客户操作系统。Xen是针对x86体系结构的开源虚拟机管理器，由英国剑桥大学的研究人员设计开发。Xen采用“半虚拟化”技术对硬件系统进行虚拟，其精巧的半虚拟化设计使得运行于其上的客户操作系统能够获得接近于运行在裸机上的性能。运行在Xen上的操作系统称之为虚拟域，这些虚拟域分为特权域(Dom0)和非特权域(DomU)。Dom0作为Xen的助手，随着Xen的启动而建立，是第一个运行在Xen上的虚拟域，负责协助Xen虚拟机管理器对虚拟机进行管理，能够对其它域进行设备访问的授权。DomU是指除了Dom0之外的虚拟域，相对于Dom0来说，DomU受到了许多的限制，其中最重要的便是对硬件设备的访问需要Dom0授权。基于Xen构建入侵检测和恢复系统可以减少系统性能损耗，而且Xen提供的自省机制使得整个系统对被检测客户机透明。

内核级rootkit入侵检测系统以操作系统内核数据结构不变保护为基础，不同于基于恶意程序特征码扫描或基于异常行为验证的检测系统。基于恶意程序特征码扫描的入侵检测需要事先分析恶意程序本身，因此一些最新的未知恶意入侵无法检测；基于异常行为验证的入侵检测通过查找一些代表rootkit主要行为的隐藏元素来找出相应的rootkit，对这个行为的界定不好划分，容易引起入侵误判或者漏判。操作系统内核数据结构不变量在整个系统的运行过程中始终不发生改变，用来作为构建入侵检测系统的操作系统特征码。