[发明专利]一种基于内核不变量保护的rootkit入侵检测和系统恢复方法

摘要

针对内核级rootkit入侵很难被发现、入侵后计算机系统很难被恢复的问题，提出一种基于操作系统数据结构不变量保护的内核级rootkit入侵检测和系统恢复的方法。该方法以Xen虚拟机为实现平台，利用操作系统内核数据结构不变量作为系统特征码对内核级rootkit入侵行为进行检测，结合虚拟机系统快照回卷技术对被入侵系统进行系统安全恢复。

主权项

一种基于操作系统数据结构不变量保护的内核rootkit入侵检测和系统恢复方法，其特征在于：该方法包括入侵检测技术和系统恢复技术。入侵检测模块(1)以操作系统内核数据结构不变量保护为基础，基于Xen虚拟化平台构建入侵检测。入侵检测系统由监控策略库(11)和监控模块(12)组成。策略库(11)负责分析典型的内核rootkit入侵所采取的行为，针对其提取对应的内核不变量，并针对具体的不变量制定详细的检测策略；监控模块(12)提取策略库(11)中的策略进行具体的入侵检测。监控(12)包括对虚拟机内存的自省(121)和对磁盘的监控(122)，借助于XenAccess库的自省机制实现，分别负责对客户机内存的监控和对客户机磁盘的监控。一个客户机的系统快照包括三个方面的内容：CPU的状态、内存快照和磁盘快照。系统恢复由CPU状态模块(21)、内存快照模块(22)、磁盘快照模块(23)和快照文件模块(24)组成。这几个模块共同负责生成一个客户机系统快照。CPU状态模块(21)负责在每次快照生成时记录客户机VCPU的所有状态，存放在快照文件(24)中，在快照恢复阶段负责取出快照文件中对应VCPU的内容，覆盖内核地中中原有的内容；内存快照模块(22)又由内存监控位图模块(221)、记录守护程序(222)和内存快照文件(241)组成。内存监控位图模块(221)负责两次快照间对客户机内核内存的写操作；记录守护程序(222)负责记录更改的内存页内容；在快照生成时刻，内存快照模块(22)负责将记录守护程序(222)记录的修改内存页内容覆盖到初始保存的内存快照中以更新快照内容，快照恢复时恢复内核内存内容；磁盘快照模块(23)由磁盘监控位图模块(231)和写操作重定向模块(232)组成。磁盘监控位图模块(231)负责监控对客户机磁盘块的写操作；写操作重定向模块(232)负责分配一个新的磁盘块来填充新的内容，并将对应的新旧磁盘块号成对的存储起来。磁盘快照模块(23)在快照生成时更新映射表以生成新的磁盘快照，在快照恢复阶段同样是调整映射表，使客户机系统恢复磁盘块的状态。