[发明专利]一种基于操作系统内核级数据交换识别方法

权利要求书

1.一种基于操作系统内核级数据交换识别方法，其特征在于，包括以下步骤：

S1：对所有经过内核的存储资源调用请求进行拦截；

S2：对发起存储资源调用的进线程进行特征审查；

S3：对内核函数将调用资源与进线程特征进行关联分析；

S4：对通过审查正常执行的数据交换行为进行记录，并完成数据交换过程的识别管理。

2.根据权利要求1所述的一种基于操作系统内核级数据交换识别方法，其特征在于：所述步骤S1中，在拦截调用请求时，同时需要对原本的调用过程进行挂机。

3.根据权利要求1所述的一种基于操作系统内核级数据交换识别方法，其特征在于：所述步骤S2中，特征审查的审查方式为：判断调用来源进线程特征是否满足系统安全要求；

其中，对包含不属于系统设置的安全特征的进线程进行拦截，拒绝其对资源的调用，终止相应的资源调用过程，并记录相应的调用终止事件；

对包含属于系统设置的安全特征的进线程进行通过，并进入步骤S3。

4.根据权利要求1所述的一种基于操作系统内核级数据交换识别方法，其特征在于：所述步骤S3中，关联分析的方式为：判断资源调用内容是否满足系统内部访问控制策略；

其中，拒绝不满足系统内部访问控制策略的资源调用请求，终止相应的资源调用过程，并记录相应的调用终止事件；

通过满足系统内部访问控制策略的资源调用请求，并进入步骤S4。

5.根据权利要求1所述的一种基于操作系统内核级数据交换识别方法，其特征在于：所述步骤S4中，记录的内容为内核通过在审查过程中产生的相应特征和请求数据，即可实现对相应特征和请求数据的记录和识别管理。

6.根据权利要求1所述的一种基于操作系统内核级数据交换识别方法，其特征在于：所述操作系统的内核基础是安全启动机制，操作系统内核的安全启动机制可以保证系统整体的信任状态传递可以正常有效的从以设备搭载的可信芯片为源头的信任起点向上传递，确保针对数据交换的识别管理过程能够按照设计的状态运行并达到设计的安全状态。

7.根据权利要求1所述的一种基于操作系统内核级数据交换识别方法，其特征在于：所述操作系统所有数据交换行为的级别均为内核级，并实现内核数据的识别、管理和控制。

8.根据权利要求1所述的一种基于操作系统内核级数据交换识别方法，其特征在于：所述步骤S1中，操作系统内存储资源调用请求的流程如下所示：

S1.1：用户态线程；

S1.2：申请创建内核对象，关联特定存储资源；

S1.3：调用内核函数；

S1.4：间接管理内核对象。

9.根据权利要求1所述的一种基于操作系统内核级数据交换识别方法，其特征在于：所述存储资源调用的进线程进行特征审查在操作系统内存储资源调用请求的过程中，并与操作系统内存储资源调用请求无缝衔接进行。