[发明专利]一种软件行为完整性验证方法

说明书

本发明公开了一种软件行为完整性验证方法，采用C/S架构，服务器端包含软件的策略配置、特征存储、特征匹配功能，负责软件行为特征的验证；客户端包含软件的系统调用收集，能够根据系统调用序列生成软件的行为特征集；服务器和客户端之间部署基于SSL的安全信道，同行双方通过相应的通信模块进行交互，实现相互访问时的身份认证和数据传输加密。本发明解决了软件完整性的远程证明问题。

技术领域

本发明属于信息安全技术领域，具体涉及一种软件行为完整性验证方法。

背景技术

软件是互联网应用的基石，现代社会对计算机系统的依赖体现为对软件的依赖，而计算机系统的缺陷在很大程度上也是因为软件问题产生的。尤其是在当前背景下，越来越多的软件运行和开发环境冲传统的静态封闭的状态编程互联网环境下的动态开放的状态。越来越多的软件漏洞和缺陷被发现并被恶意攻击者利用。

在安全领域，软件的完整性提供了一个不同于以往的角度对软件当前的运行状态进行评估。软件的完整性代表着软件的可信赖程度。目前，软件完整性验证的方法有两种，静态验证方式和动态验证方式。静态验证通过分析校验软件程序文件和数据文件的状态，从而确保软件的初始状态是可信赖的，但是这种信任状态不能在软件运行的过程中传递下去，这是软件完整性确保的一大挑战。

可信软件的一个被广泛认可的定义是：运行行为及其结果总是符合人们预期，并在收到干扰时仍能提供连续服务的软件。软件行为的完整性是指：软件在实际运行过程中所产生的行为踪迹与软件的预期行为规则相匹配。

目前研究的比较多软件动态行为完整性验证方法有很多是基于系统调用的软件行为模型。依赖于软件的系统调用相关信息和某种建模方法，建立用于表征软件的正常行为特征的行为模型。程序受到入侵后将所在执行系统调用状况中有所体现，因此基于系统调用的软件行为模型可用于软件的行为完整性验证。

发明内容

本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种软件行为完整性验证方法，可以在软件运行的过程中实时的验证其完整性，以保证运行软件的可信性。

本发明采用以下技术方案：

一种软件行为完整性验证方法，采用C/S架构，服务器端包含软件的策略配置、特征存储、特征匹配功能，负责软件行为特征的验证；客户端包含软件的系统调用收集，能够根据系统调用序列生成软件的行为特征集；服务器和客户端之间部署基于SSL的安全信道，同行双方通过相应的通信模块进行交互，实现相互访问时的身份认证和数据传输加密。

具体的，客户端包括注册步骤和验证步骤，在客户端的初始状态下，客户端首先运行并且收集需要验证的软件的系统调用序列，通过n-gram算法对系统调用序列进行分析建模，生成短序列特征；将每个短序列看做软件的一次行为，计算每个行为所占的比例；根据策略要求，将每个行为和客户端的相关硬件或者系统软件关联，使用计算机的可信平台模块TPM将短序列和对应的值做哈希计算，生成软件的特征行为；最后将软件的所有特征行为和行为比作为软件的基础特征集发送给服务器，服务器将收到的特征集与数据库中存储的基础特征集做相似度识别，相似度高的软件行为是可信的，否则认为软件行为完整性受到破坏，服务器验证之后将验证的结果返回给客户端。