[发明专利]一种LINUX的内核级进程动态度量方法

说明书

本发明涉及计算机科学技术领域，具体涉及一种LINUX的内核级进程动态度量方法，包括如下步骤：将度量文件导入LINUX的内核态，所述度量文件包括预设的可执行ELF文件；执行一程序，获取该程序的可执行ELF文件的第一代码时，同时获取第一预设代码，若所述第一代码与所述第一预设代码不一致，则生成告警日志；运行该程序并验证该程序的bprm文件的正确性时，将从可执行ELF文件中读取的第二代码和第二预设代码进行对比，若不一致，则生成告警日志；该程序调用__schedule()函数结束后，将current宏指向的进程所包括的第三代码和第三预设代码进行对比，若不一致，则生成告警日志。该方法针对LINUX操作系统，保证可执行ELF文件在整个执行进程中均不被篡改。

技术领域

本发明涉及计算机科学技术领域，具体涉及一种LINUX的内核级进程动态度量方法。

背景技术

随着科技的发展，技术也在突飞猛进，黑客技术也有了较大的变化。现在很多黑客不再使用文件替换的方式进行攻击，而是寻找漏洞，直接修改内存数据从而达到入侵系统的目的，这就对主机防护提出了更高的要求。

对此，一般采用静态度量和动态度量的方法进行防护。

静态度量的方法是指在进程创建时，验证度量值与某个时间点的度量值是否一致的方式进行管控，这并不能满足当下主机防护的新要求。进行静态度量时，需要定期对所有进程的关键内存部位进行扫描，此技术无法第一时间发现被修改的进程，存在较大的安全隐患；进行静态度量时，还需要侦测jump或call汇编跳转指令，当遇到这些敏感的跳转指令后，对跳转后的代码段所在内存会造成频繁的度量，效率较低；进行静态度量时，还需要把所有进程的内存映射到高端内存区，再创建新的内核线程对这些内存进行度量，这种方法对同步访问要求较高，有更大的风险造成死锁，同时需要大量修改内核源码，不宜写成外挂模块。

动态度量是保证程序运行完整性的重要方法。动态度量通过对运行时的程序进行相应的完整性度量，实现程序的可信和安全执行，确保程序的执行结果符合预期。在操作系统中，当程序可执行文件被加载入内存中正在或等待执行时，其可执行代码段应该和预设的可执行文件相同。若发生了变化，则表明可执行代码被异常修改，这将导致程序执行过程的不完整，程序执行结果的不可信。通过度量程序的可执行代码，可以保证可执行代码没有被攻击者篡改，保证程序的完整性。操作系统的内存以内存页为单位进行分配和管理，程序的可执行代码也以内存页为单位加载到内存中。当操作系统调度器进行调度并选定待执行进程时，调度器会将控制指针(PC指针)指向待执行进程的可执行代码的内存地址。

但是，现有的动态度量方法只对可执行文件执行前进行度量，使得攻击者可对可执行代码运行时进行修改并且不触发缺页异常。

因此，有必要提供一种动态度量的方法，保证可执行文件整个执行过程的安全。

发明内容

解决的技术问题

针对现有技术所存在的上述缺点，本发明提供了一种LINUX的内核级进程动态度量方法，针对LINUX操作系统，对可执行ELF文件执行进程进行动态度量，保证可执行ELF文件在整个执行进程中均不被篡改。

技术方案

为实现以上目的，本发明通过以下技术方案予以实现：

本发明提供一种LINUX的内核级进程动态度量方法，包括如下步骤：

S1、将度量文件导入LINUX的内核态，所述度量文件包括预设的可执行ELF文件；

S2、执行一程序，获取该程序的可执行ELF文件的第一代码时，同时获取所述度量文件中与所述第一代码对应的第一预设代码，若所述第一代码与所述第一预设代码不一致，则生成告警日志，反之不生成；