[发明专利]软件实时可信度量的方法、设备、系统及存储介质

说明书

本发明公开了一种软件实时可信度量的方法、设备、系统及存储介质。本发明在执行实时可信度量之前，首先为待度量软件编写并绑定预期行为规范以建立待度量软件的预期行为。在系统执行过程中，不断捕获待度量软件当前进程运行时的系统调用及其参数信息，基于所述系统调用及其参数信息建立所述当前进程的真实行为。然后，查找与待度量软件绑定的预期行为规范，基于所述预期行为规范获得与所述真实行为对应的预期行为，将所述真实行为与所述预期行为进行匹配。在匹配成功时，判定所述待度量软件处于可信状态，否则处于不可信状态并实时报警。

技术领域

本发明涉及可信及安全监控技术领域，尤其涉及一种软件实时可信度量的方法、设备、系统及存储介质。

背景技术

当前，可信计算已经成为重要的安全支撑技术，应用在云计算安全、移动智能终端安全及网络安全等众多领域，因此，保证保信计算自身的可靠与是至关重要的。根据可信计算标准，可信计算有三大核心功能：度量、存储和报告，三者协同动作确保了第三方能够可靠地判定本机的可信性。其基本过程是：本机在运行的过程中不断度量自身的可信性，并将度量结果存储到专用安全芯片(TPM，Trusted Platform Module)和内存log当中。当其他机器想与本机通信时，由本机将存储的度量结果报告给对方，并由对方来判定本机的可信性。

在度量、存储和报告三大核心功能中，度量居于基础地位，存储和报告都是依据度量的结果而执行的。但是，如何实现软件实时可信度量仍然是一个有待解决的问题。这主要包括如下三方面的因素：(1)如何度量各类层出不穷的攻击方式。除了传统的多态/混淆/变形/编码等攻击之外，还需考虑新型攻击，如ROP(Return-Oriented Programming)攻击等，更进一步地，理论上甚至还需要能够度量尚未发现或者尚未公开的未知攻击等。(2)已有的方法大多是一种“事后被动发现”机制，换句话说，这种机制只能确保其他机器可靠地判定本机是否被攻击而处于不可信状态，但却无法度量到当前机器是否正在被攻击以及无法在发现攻击的情况下进行实时响应。“事前防御、事中审计、事后发现”应当作为环环相扣的整体，然而，现有的可信度量侧重于“事后被动发现”，而缺少“事前主动防御”的能力。(3)现有的工作大多局限于理论研究，难以应用在实时可信度量领域，以实现有效(effective andefficient)的度量。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种软件实时可信度量的方法、设备、系统及存储介质，旨在解决现有软件实时可信度量技术缺乏的问题。

为实现上述目的，本发明提供一种软件实时可信度量的方法，所述方法包括以下步骤：

获取待度量软件当前进程的系统调用，基于所述系统调用获取所述当前进程的真实行为；

查找与所述系统调用对应的预期行为规范，基于所述预期行为规范获得与所述真实行为对应的预期行为；

将所述真实行为与所述预期行为进行匹配；

在匹配成功时，判定所述待度量软件处于可信状态。

优选地，所述查找与所述系统调用对应的预期行为规范，基于所述预期行为规范获得与所述真实行为对应的预期行为之前，所述方法还包括：

基于预先编制的语法规范，生成预期行为规范。

优选地，所述获取待度量软件当前进程的系统调用，基于所述系统调用获取所述当前进程的真实行为，具体包括：

获取当前进程的进程标志符，通过Ptrace系统函数获取所述当前进程的系统调用及参数信息，基于所述系统调用及参数信息获取所述当前进程的真实行为。

优选地，所述获取待度量软件当前进程的系统调用，基于所述系统调用获取所述当前进程的真实行为，具体包括：