[发明专利]一种Linux内核数据攻击的检测方法、防御方法及系统

说明书

本发明公开了一种Linux内核数据攻击的检测方法、防御方法及系统，该检测方法包括如下步骤：根据Linux内核数据与安全相关度从Linux内核数据中提取安全关键数据；对Linux内核数据进行静态分析获得Linux内核数据的数据流；从Linux内核数据的数据流中提取安全关键数据之间关系获得安全关键数据的数据流；对Linux内核运行过程中关键数据进行监控，并与安全关键数据的数据流进行比较，若Linux内核运行过程中关键数据偏离安全关键数据的数据流，则输出Linux内核数据受到攻击，否则，输出Linux内核数据未受到攻击。相比于现有的内核数据攻击检测方案，本发明充分考虑了程序数据流的间接分支分特性，有效降低了检测结果的误报率。

技术领域

本发明属于内核攻击检测防御领域，更具体地，涉及一种Linux内核数据攻击的检测防御方法及系统。

背景技术

内核是操作系统最基本的部分，对于一个安全和稳定的系统来说，保护内核免受其他运行程序的干扰是首要的。如今内核正成为攻击者们的目标，这主要有以下几点原因：

第一，由于如ASLR、Sandbox、CFI、CPI、DEP等等各种用户态防护机制的实施，针对用户态程序的攻击越来越难；

第二，内核的攻击面大。这是由于内核代码行数大(16.9MLOC，Linuxver4.5.4)，系统调用多(397)，新版本的内核也会带来新的漏洞和攻击机会；

第三，攻击内核获得的收益高。内核代码通常是特权代码，攻击者通常会进行特权提升或者恶意代码执行操作。同时内核某些数据结构对于安全机制很重要，篡改这些数据结构致使内核安全机制失效，来影藏自己的行踪，使得攻击难以被发现。

近几年来，内核攻击的研究热点逐渐聚焦到data-only的攻击上。这类攻击与之前攻击最大的区别是data-only攻击利用内核数据结构，不再以修改代码段、内核函数为目标。国内外对于Data-only的攻击研究主要分为两大类：Control-data攻击和Non-control-data攻击。对于control-data攻击的防御研究主要在memory safety、内核代码完整性检查和控制流完整性技术上，而non-control-data攻击的防御研究主要在memory safety、内存隔离和数据流完整性技术上。

面向内核攻击的方式主要经历了3个阶段。早期面向内核的攻击主要是代码注入攻击，通过向内核空间中引入恶意代码，然后执行这串恶意代码，从而完成攻击。针对这类攻击的防御方法主要有内核代码完整性保护。

随着对于内核攻击方法研究的深入，内核攻击的方式从代码注入攻击演变到了控制流劫持攻击。这种攻击通过改变内核执行控制流，最终将控制流引向执行恶意代码，从而完成对内核的攻击。这类内核攻击方法通常有ROP、JOP等攻击形式。针对这类攻击的防御方法主要有控制流完整性保护。

最近几年出现了一种新的内核攻击方式。这类攻击与之前的内核攻击不同之处在于它只利用内核中的数据结构进行攻击，这类数据通常是安全相关的数据。这类攻击有两种形式：control data攻击和non-control-data攻击。针对这类攻击的防御方法主要有控制流完整性保护、检测内核数据不变量和数据流完整性保护。

综上所述，现有的Linux内核攻击防御系统的方案有以下不足：

基于控制流完整性的Linux内核攻击防御系统由于没有考虑到对于内核数据的攻击，无法应对面向Linux内核数据的攻击；另外传统静态分析得到的数据流会存在对间接分支分析结果不准确，会有遗漏的问题。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种Linux内核数据攻击的检测方法及系统，其目的在于解决现有的内核攻击防御方法没有考虑到内核数据导致无法应对内核数据攻击的问题的技术问题。