[发明专利]一种Linux内核轻量级结构化保护方法及装置

说明书

本发明涉及一种Linux内核轻量级结构化保护方法及装置。该方法将Linux内核结构化为关键保护结构和非关键保护结构，对关键保护结构进行重点保护，对非关键保护结构进行可选择性保护；所述关键保护结构包括Linux安全模块及与Linux安全模块密切相关的结构；然后监控针对所述关键保护结构的修改动作，对被保护的数据变更进行拦截，对被保护的代码变更和/或页表项变更进行检查以判定其合法性，如果判定为非法则进行拦截，如果判定为合法则通过指令模拟完成相应的修改。本发明能够以较小的性能代价提升Linux内核整体的安全性。

技术领域

本发明属于计算机操作系统内核安全技术领域，具体涉及一种基于虚拟化技术针对Linux内核的轻量级结构化的保护方法及装置。

背景技术

随着计算机系统越来越广泛的使用，计算机系统的安全问题被广泛关注。计算机系统的安全有多个层次和方面，而在传统的软件栈中操作系统内核是处于最底层，是整个计算机系统的基础，因此操作系统内核安全尤为重要。

Linux操作系统内核是极其庞大和复杂的，对其进行全方位保护需要的开销极大，并且保护方案难以实现和确保全面性。已有的技术多是针对抵御特定类型的攻击和防护特定类型的结构，提供单一侧面的内核保护。

发明内容

本发明要解决的技术问题是以较小的性能代价提升Linux内核整体的安全性而不仅仅是某个单一侧面的保护。

为了解决上述问题，本发明提出了一种基于虚拟化技术针对Linux内核的轻量级结构化的保护方法，包括：

将Linux内核结构化为两个部分——关键保护结构和非关键保护结构。对关键保护结构进行重点保护，而对非关键保护结构进行可选择性保护。

对于Linux内核结构化的划分，本发明以Linux安全模块(Linux SecurityModule，LSM)为基础，将其作为关键保护结构的重点，然后以此展开，将与LSM密切相关的结构都作为关键保护结构。这些结构包括LSM框架中的security_hook_heads、各个安全模块中的security_hook_list、系统调用表sys_call_table与ia32_sys_call_table、中断向量表idt_table与debug_idt_table以及trace_idt_table、内核中所有代码和与前述结构相关的页表项。

本方法监控针对上述关键保护结构的修改动作。监控的原则包括：

通过清除虚拟机扩展页表(Extend Page Table，EPT)里受保护数据结构相关页表项中的写权限位，防止security_hook_heads、security_hook_list、系统调用表、中断向量表被更改。

通过清除EPT里内核代码(包括内核模块代码)相关页表项中的写权限位，捕捉对内核代码的更改行为，对更改进行检测。当检测认为符合内核中任意特性对内核代码的修改行为后，模拟指令使对内核代码的修改生效。

通过清除与受保护页表项相关的EPT里的页表项中的写权限，捕捉对受保护页表项的修改，检查修改是否保证了其映射不被改变以及权限设置满足代码完整性的要求。对经过检查的修改经过指令模拟，完成相应的修改。

本发明还提供了一种Linux内核轻量级结构化保护装置，包括：

启动模块，用于本装置的启动过程和初始化的管理。当Linux内核启动完毕且各个启动阶段应该别加载的模块加载完毕之后，本专利提出的装置将以模块的形式进入到内核当中执行。本装置将建立虚拟化的执行环境，然后将当前在物理机上运行的操作系统内核迁移到刚建立的虚拟机中去，接着通过这个虚拟机对操作系统内核进行监控。

虚拟机管理模块，用于维护虚拟机的虚拟执行环境，提供本装置到虚拟机的切换，处理虚拟机切换到本装置后的虚拟机状态记录以及根据虚拟机退出原因进行任务分发，维护和更改EPT中权限设置。