[发明专利]一种软件行为完整性验证方法

权利要求书

1.一种软件行为完整性验证方法，其特征在于，采用C/S架构，服务器端包含软件的策略配置、特征存储、特征匹配功能，负责软件行为特征的验证；客户端包含软件的系统调用收集，能够根据系统调用序列生成软件的行为特征集；服务器和客户端之间部署基于SSL的安全信道，同行双方通过相应的通信模块进行交互，实现相互访问时的身份认证和数据传输加密。

2.根据权利要求1所述的软件行为完整性验证方法，其特征在于，客户端包括注册步骤和验证步骤，在客户端的初始状态下，客户端首先运行并且收集需要验证的软件的系统调用序列，通过n-gram算法对系统调用序列进行分析建模，生成短序列特征；将每个短序列看做软件的一次行为，计算每个行为所占的比例；根据策略要求，将每个行为和客户端的相关硬件或者系统软件关联，使用计算机的可信平台模块TPM将短序列和对应的值做哈希计算，生成软件的特征行为；最后将软件的所有特征行为和行为比作为软件的基础特征集发送给服务器，服务器将收到的特征集与数据库中存储的基础特征集做相似度识别，相似度高的软件行为是可信的，否则认为软件行为完整性受到破坏，服务器验证之后将验证的结果返回给客户端。

3.根据权利要求2所述的软件行为完整性验证方法，其特征在于，客户端的注册过程中，首先客户端使用用户名和密码登录服务器，建立安全的通信信道；客户端向服务器发送注册请求，服务器收到注册请求后验证请求的合法性，然后在策略服务器上查找对应客户端所需要的软件的策略，策略包含软件注册所需要的时间和相对应的软硬件信息，并将策略信息发送给客户端；客户端收到服务器的相应信息后，开始运行软件并收集其运行时产生的系统调用队列，达到策略所需时间后，使用n-gram算法对系统调用队列进行处理，分析出每一个系统调用高频短序列SCS_j及其对应的占比R_j；根据策略的要求，软件的运行状态和计算机的硬件信息或操作系统关联，从TPM的平台配置寄存器PCR中取出对应策略的信任值，使用密码学hash函数，计算每一个短序列和策略关联后的值HSCS_j＝Hash(SCS_j||PCR_i)，每一对的(HSCS_j，R_j)作为一组行为特征，所有高频的行为特征组成软件的行为基础特征集BSC；客户端在得到行为特征集后将该集合发送给服务器，服务器收到后存到数据库中；存储成功后服务器返回给客户端注册成功的信息，客户端将软件及其策略信息存储在策略文件中，开机时计算机将根据策略文件的信息选择启动的动作。

4.根据权利要求3所述的软件行为完整性验证方法，其特征在于，客户端向服务器发送注册请求包含两个个字段，分别为消息头部和注册策略，头部包含的字段有：消息类型、用户ID和机器ID，注册策略包含软件的名称和等待时长的集合；服务器在收到客户端发起的注册操作请求后，生成注册请求；注册请求消息的结构体为{header,policy[]},其中header结构体为{op,,UserID，ext},分别表示操作类型、用户名附加信息，服务器生成注册请求消息m的生成必须遵守以下规则：

S2011、创建RegistrationRequest消息，根据客户端发来的消息，生成注册请求的头部信息header，消息类型为reg，ext填写机器ID，用户ID和机器ID均从收到的消息中获取到；

S2012、对于每一个客户端，创建一个策略数组，该数组包含客户端设备所需验证的所有软件的名称等待时长，软件名称和等待时长根据机器ID从数据库中查找。

5.根据权利要求3所述的软件行为完整性验证方法，其特征在于，客户端注册请求处理规则如下：

S2021、选择并解析消息RegistrationRequest；

S2022、如果消息中的字段为空或者字段的类型和值不符，拒绝操作；

S2023、将策略中的软件名称加入验证列表中，对于每个列表中的软件，使用trace工具持续收集其运行时产生的系统调用序列，并保存到临时文件中，收集的时间和设定的等待时长相同。