[发明专利]LINUX主机计算环境安全保护的模块及方法

权利要求书

1.LINUX主机计算环境安全保护的模块，其特征在于它包括可执行文件保护模块(1)、异常检测模块(2)和内核关键数据结构保护模块(3)；

可执行文件保护模块(1)，用于可执行程序的注册与注销、完整性保护功能，对任何程序在运行之前都进行完整性检测，从而确保加载到内存中的用户态的进程安全，实现对操作系统中静态可执行文件的保护；

异常检测模块(2)，用于建立进程合法行为集合，本模块运行过程中提取系统中进程行为，通过与正常行为匹配判定系统中进程行为是否出现异常，防止进程被恶意程序注入，实现对LINUX主机计算环境的动态保护；

内核关键数据结构保护模块(3)，用于提供操作系统内核重要数据结构的备份、完整性检测和恢复功能，该模块在运行过程中检测内核重要数据结构是否被篡改，一旦发现篡改则根据之前的备份予以恢复，保护LINUX主机计算环境中的关键数据结构。

2.根据权利要求1所述的LINUX主机计算环境安全保护的模块，其特征在于可执行文件保护模块(1)包括可执行文件加载过滤子模块(1-1)、完整性检测子模块(1-2)和可执行文件管理子模块(1-3)；

可执行文件加载过滤子模块(1-1)，用于截获可执行文件加载请求，并向完整性检测子模块(1-2)发起完整性检测请求，根据从完整性检测子模块(1-2)获得的结果决策是否允许程序加载运行；所述截获可执行文件加载请求的方法是：通过添加钩子程序，截获内核中加载可执行文件的系统调用，并解析出参数中的文件路径等文件系统信息，以便于返回；

完整性检测子模块(1-2)，用于按照可执行文件加载过滤子模块(1-1)发来的请求对进程进行完整性检测，并将结果反馈给可执行文件加载过滤子模块(1-1)；所述进行完整性检测的方法是：通过可执行文件管理子模块(1-3)查找该进程注册的信息，并与当前计算得到的进程文件摘要比对，如果吻合则说明该进程合法，否则说明该进程可疑；

可执行文件管理子模块(1-3)，用于负责对可执行文件进行注册管理，用户通过用户交互程序，实现对可执行文件的注册、注销、查看和校验的操作，所述对执行文件进行注册管理的方法是：对文件内容进行摘要，并将文件名、大小、所有者、摘要和当前时间的关键信息存入数据库中。

3.根据权利要求1所述的LINUX主机计算环境安全保护的模块，其特征在于异常检测模块(2)包括进程行为提取子模块(2-1)、行为特征抽取子模块(2-2)、行为规则建立子模块(2-3)、进程行为分析子模块(2-4)和异常处理子模块(2-5)；

进程行为提取子模块(2-1)，用于采集进程行为；

行为特征抽取子模块(2-2)，用于对进程行为提取子模块(2-1)采集到的进程行为进行预处理和格式化处理；

行为规则建立子模块(2-3)，用于对行为特征抽取子模块(2-2)提取出来的进程行为短序列进行规则训练，从中建立正常行为规则库；

进程行为分析子模块(2-4)，用于把抽取到的进程行为特征与正常行为规则进行匹配，分析当前进程是否发生了异常，并将分析结果发送给异常处理子模块(2-5)；

异常处理子模块(2-5)，接收进程行为分析子模块(2-4)传来的分析结果，根据异常情况进行相应的处理。

4.根据权利要求1所述的LINUX主机计算环境安全保护的模块，其特征在于内核关键数据结构保护模块(3)包括内核数据备份子模块(3-1)、内核数据完整性检测子模块(3-2)、内核数据摘要子模块(3-3)和内核数据恢复子模块(3-4)；

内核数据备份子模块(3-1)，用于备份内核关键数据，

内核数据完整性检测子模块(3-2)，用于周期性的检测数据的完整性，发现异常则进行数据恢复，向用户发出警告，并将异常记录到日志中；

内核数据摘要子模块(3-3)，用于对内核中的各种数据进行摘要；

内核数据恢复子模块(3-4)，用于在内核数据完整性检测子模块(3-2)检测到数据异常时，启动执行内核数据恢复过程。