申请/专利权人：北京理工大学

申请日：2019-09-12

公开（公告）日：2022-09-20

公开（公告）号：CN110737888B

主分类号：G06F21/55

分类号：G06F21/55

优先权：

专利状态码：有效-授权

法律状态：2022.09.20#授权;2020.10.27#实质审查的生效;2020.01.31#公开

摘要：本发明涉及操作系统内核数据攻击行为的检测方法，属于计算机与信息科学技术领域。本发明目的是解决现有操作系统内核数据攻击行为检测方法存在的检测全面性不足、无法拦截攻击行为、依赖内核源代码等问题。本发明首先利用同步检测机制和语义重构技术定位并劫持特定内核函数，从而准确获取内核运行状态，计算当前内核进程的合法数据访问范围；然后利用虚拟化影子页表权限管理机制设置内存页的读写访问权限，将合法访问范围外的内核数据设置为只读或不可读写，对内核进程的数据访问范围进行强约束；最后使用“内存页异常”机制实现对攻击行为的同步检测从而对抗瞬态攻击，并利用虚拟机监视器拦截检测到的内核数据攻击行为。

主权项：1.虚拟化平台操作系统内核数据攻击行为检测方法，其特征在于所述方法包括如下步骤：步骤1，利用同步检测机制和虚拟机内核语义重构技术定位并劫持特定内核函数，获取内核运行状态，得到当前进程的信息，利用得到的进程信息，进一步判断当前正在运行的内核进程是否需要进行监控，针对内核白名单进程和检测方法植入的监视、保护进程，无需动态调整其数据访问权限；将操作系统内核进程对内核数据的访问行为划分为合法操作、危险操作和违法操作，合法操作包括读取内核代码、读取内核静态数据、读取公有动态数据、写入公有动态数据、读取进程自身私有动态数据、写入进程自身私有动态数据，危险操作包括读取非进程自身私有数据，违法操作包括写入内核静态代码、写入内核静态数据、写入非进程自身私有动态数据；结合获得的进程信息、内核数据信息，生成具体的访问权限列表，将危险操作和违法操作的范围进行记录；步骤2，利用虚拟化影子页表权限管理机制设置内存页的读写访问权限，将合法访问范围外的内核数据设置为只读或不可读写，对内核进程的数据访问范围进行强约束，即将目标进程的危险操作访问的目标数据区域的权限设置为不可读写，将目标进程的违法操作访问的目标数据区域的权限设置为只读；对于操作系统内核栈内数据访问权限的设置，需要监控所有与内核栈调整相关的行为，并在内核栈发生变化时调整内核栈中数据的访问权限；对于操作系统内核栈外数据的访问权限设置，需要根据不同的数据类型进行调整，其中，栈外数据包括内核代码、内核静态数据和部分内核动态数据中非当前进程的私有数据，对于内核代码、内核静态数据中需要保护的数据地址范围确定后，直接将该数据地址范围内存区域的权限设置为只读或不可读写，后续不需要再进行动态调整，而部分内核动态数据中非当前进程的私有数据主要分为两类，第1类是与内核进程相绑定的数据，第2类是仅允许特定进程、特定函数对其进行访问的系统相关数据，对于第1类数据，使用和栈内数据相同的权限设置、权限更新模式，即通过监控内核进程切换、新建、删除行为，动态调整对应数据区域的访问权限，对于第2类数据，通过内核源代码分析、数据访问关系图、离线训练方式获得访问白名单，当白名单内的进程、函数被激活时或退出时，动态修改对应数据区域的访问权限；步骤3，使用“内存页异常”机制实现对攻击行为的同步检测从而对抗瞬态攻击，并利用虚拟机监视器拦截检测到的内核数据攻击行为；当超出合法操作对应的访问权限列表之外的内核数据访问行为发生时，由于步骤2中相应的权限设置，将触发内存页异常并“陷入”虚拟机监视器中；在页异常陷入处理流程中，记录该异常的行为相关信息，包括进程ID、进程名、访问类型、目标地址信息；最后，对异常操作做出响应，响应分为3种：允许异常操作、拦截异常操作且返回操作失败，拦截异常操作且返回操作成功。

全文数据：

权利要求：

百度查询： 北京理工大学 虚拟化平台操作系统内核数据攻击行为检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD