[发明专利]一种利用强制访问控制检测Solaris系统故障的方法

摘要

本发明提供一种Solaris系统的故障检测技术，该技术是通过强制访问控制快速处理Solaris操作系统故障并快速定位故障点。利用强制访问控制检测系统故障的技术与传统的最小权限模型的安全措施相比，具有快速检测并定位针对Solaris系统的攻击造成的故障，包括已知或未知的病毒程序，ROOTKIT级后门木马等。强制访问控制MAC分为两大块：一块是基于用户对文件的访问控制，另一块是基于进程对文件的访问控制，进程在运行的时候就绑定了用户，所以进程本身也是一个主体，当一个客体受到安全标记的保护的时候，即使root用户也无法访问该客体，除非拥有MAC的权限。

主权项

一种利用强制访问控制检测Solaris系统故障的方法，其特征在于，包括以下内容：1)强制访问控制MAC强制访问控制MAC分为两大块：一块是基于用户对文件的访问控制，另一块是基于进程对文件的访问控制，进程在运行的时候就绑定了用户，所以进程本身也是一个主体，当一个客体受到安全标记的保护的时候，即使root用户也无法访问该客体，除非拥有MAC的权限；2)用户网络强制访问控制把网络资源分为两类，一类是自主的绑定socket端口，另一类是远程连接网络资源，默认情况下是禁止任何用户使用这两类网络资源，即不允许所有用户绑定端口以及远程连接网络资源，以防止非法取得控制权限的黑客制造系统的隐蔽信道以及窃取网络资源，并且防止用户利用网络泄露重要的机密文件；3)在操作系统的核心层重构操作系统的权限访问模型来实现强制访问控制，并利用强制访问控制技术进行系统故障的快速检测和处理，步骤如下：文件系统过滤驱动程序在初始化时，逐条插入访问规则，并允许在运行期间动态添加或删除指定结点，以便截获来自所有用户或者进程对文件或目录的I/O请求，当截获到文件或目录的I/O请求时遍历规则链表，并根据访问规则进行过滤，符合规则者立即转交原服务函数，否则丢弃；进程保护过滤驱动程序在初始化时，逐条插入访问规则，并允许在运行期间动态添加或删除指定结点，以便截获所有对进程的遍历请求，当截获到进程遍历请求时，根据规则链表修改进程列表，并将修改后的列表转交原服务函数；网络资源的保护驱动程序在初始化时，逐条插入所有用户绑定端口以及远程连接网络资源的访问规则，并允许在运行期间动态允许或拒绝指定的网络连接，以便截获到所有遍历请求，当截获到连接网络资源遍历请求时，根据网络资源访问控制列表进行过滤，将符合规则的转交原服务函数。