操作系统主动免疫平台的设计和实现方法
【专利摘要】本发明公开了操作系统主动免疫平台的设计和实现方法,所述实现方法包括如下步骤:(1)初始化步骤;(2)控制机制步骤:截获系统调用行为,依据可信基准库提供的控制策略判定该调用行为是否被控制,如果该调用行为不被控制则允许执行,否则将该调用行为的主/客体信息传递给度量机制步骤;(3)度量机制步骤:依据可信基准库提供的度量策略判定度量该系统调用行为所需要的度量点,并将度量点信息传递给判定机制步骤;(4)判定机制步骤:依据度量机制步骤传递的度量点信息并根据可信基准库提供的判定策略决定调用相应的判定引擎进行判定,获得初步判定结果,并依据可信基准库提供的判定基准值调用综合判定引擎,综合判定引擎对各个初步判定结果进行综合判定并将综合判定结果返回给控制机制步骤,以及(5)执行步骤:控制机制步骤根据判定机制步骤返回的综合判定结果执行相应操作。
【专利说明】操作系统主动免疫平台的设计和实现方法
【技术领域】
[0001]本发明属于计算机信息安全领域,具体涉及操作系统主动免疫平台的设计和实现方法。
【背景技术】
[0002]目前,震网、火焰病毒、棱镜门事件以及微软XP停维事件的出现已经证明,我国的信息系统仍然面临巨大安全隐患,仅仅依靠传统“封堵查杀”的被动防御技术无法应对重大的安全事件,对国家安全威胁极大。
[0003]根源在于,采用PC架构的计算机进行了简化,去掉了许多成熟的安全机制,如存储器的隔离保护机制、程序安全保护机制等,使得计算机缺乏自我防护能力,一旦由防火墙、IDS、杀毒软件等组成的传外围防线被突破,将陷入完全失控的被动局面。
[0004]本操作系统主动免疫平台从计算模式上创新驱动,建立了一种运算和防护并存的双体系结构,在运算的同时主动进行身份识别、状态度量和行为鉴别,形成主动防御的自免疫体系,如同人体的免疫系统,及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质。通过资源可信度量对主客体进行可信验证,及时发现异常和环境的非法改变;通过行为可信鉴别,防止非法、越权操作的行为。
【发明内容】
[0005]针对现有技术的不足,本发明提出了操作系统主动免疫平台的设计和实现方法,通过对系统内核的改造实现对应用软件及操作系统的控制、度量以及判定,在运算的同时主动进行身份识别、状态度量和行为鉴别,形成主动防御的自免疫体系,如同人体的免疫系统,及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质。
[0006]其中,本发明的操作系统主动免疫平台的设计,包括如下结构:
控制机制,用于截获系统调用行为,依据可信基准库提供的控制策略判定该调用行为是否被控制,如果该调用行为不被控制则允许执行,否则将该调用行为的主/客体信息传递给度量机制;
度量机制,依据可信基准库提供的度量策略判定度量该系统调用行为所需要的度量点,并将度量点信息传递给判定机制;
判定机制,依据度量机制传递的度量点信息并根据可信基准库提供的判定策略决定调用相应的判定引擎进行判定,并将初步判定结果传递给判定机制,判定机制根据各个判定引擎提供的初步判定结果,并依据可信基准库提供的判定基准值调用综合判定引擎,综合判定引擎对各个初步判定结果进行综合判定并将最终判定结果返回给控制机制,以及可信基准库,用于初始化控制机制策略、度量机制策略、判定机制策略、以及可信基准值。
[0007]其中,优选地,所述判定该调用行为是否被控制,包括判断是否控制程序的执行、是否控制文件的打开或读/写、是否控制设备的打开或关闭、是否控制网络通信的读/写、或者是否有其他控制点。
[0008]其中,优选地,所述度量点包括进程环境度量点、主体标识度量点、文件完整性度量点、设备标识度量点、文件签名度量点、操作系统环境度量点、系统配置文件度量点、自主访问控制度量点或强制访问控制度量点。
[0009]其中,优选地,所述相应的判定引擎包括进程环境引擎、用户标识判定引擎、文件完整性判定引擎、设备标识判定引擎、文件签名判定引擎、操作系统环境判定引擎、操作系统配置文件判定引擎、自主访问控制行为判定引擎、或强制访问控制行为判定引擎。
[0010]其中,优选地,所述的综合判定结果包括执行、阻止、审计、或沙箱等其它操作。
[0011]另外,本发明的操作系统主动免疫平台的实现方法,包括如下步骤:
(1)初始化步骤:建立可信基准库,初始化控制机制、度量机制以及判定机制;
(2)控制机制步骤:截获系统调用行为,依据可信基准库提供的控制策略判定该调用行为是否被控制,如果该调用行为不被控制则允许执行,否则将该调用行为的主/客体信息传递给度量机制步骤;
(3)度量机制步骤:依据可信基准库提供的度量策略判定度量该系统调用行为所需要的度量点,并将度量点信息传递给判定机制步骤;
(4)判定机制步骤:依据度量机制步骤传递的度量点信息并根据可信基准库提供的判定策略决定调用相应的判定引擎进行判定,获得初步判定结果,并依据可信基准库提供的判定基准值调用综合判定引擎,综合判定引擎对各个初步判定结果进行综合判定并将综合判定结果返回给控制机制步骤,以及
(5)执行步骤:控制机制步骤根据判定机制步骤返回的综合判定结果执行相应操作。
[0012]其中,优选地,所述建立可信基准库包括初始化控制机制策略、度量机制策略、判定机制策略,以及可信基准值。
[0013]其中,优选地,所述判定该调用行为是否被控制,包括判断是否控制程序的执行、是否控制文件的打开或读/写、是否控制设备的打开或关闭、是否控制网络通信的读/写、或者是否有其他控制点。
[0014]其中,优选地,所述度量点包括进程环境度量点、主体标识度量点、文件完整性度量点、设备标识度量点、文件签名度量点、操作系统环境度量点、系统配置文件度量点、自主访问控制度量点或强制访问控制度量点。
[0015]其中,优选地,所述相应的判定引擎包括进程环境引擎、用户标识判定引擎、文件完整性判定引擎、设备标识判定引擎、文件签名判定引擎、操作系统环境判定引擎、操作系统配置文件判定引擎、自主访问控制行为判定引擎、或强制访问控制行为判定引擎。
[0016]其中,优选地,所述的综合判定结果包括执行、阻止、审计、或沙箱等其它操作。
[0017]
【专利附图】
【附图说明】
图1是主动免疫平台的框架图;
图2是可执行程序执行流程与主动免疫平台的结合图;
图3是可信基准库结构的示意图;
图4是控制机制的逻辑示意图;
图5是度量机制的结构示意图;以及图6是判定机制的结构示意图。
【具体实施方式】
[0018]本发明的主动免疫平台的总体框架为:第一步,控制机制截获系统调用行为(例如:文件/设备的打开、读、写,程序的执行等),控制机制依据可信基准库提供的控制策略判定该事件是否被控制(例如:是否控制程序的执行,是否控制文件的读/写等),如果该操作不被控制则允许执行,否则将该系统调用行为的主/客体信息等传递给度量机制。第二步,度量机制依据可信基准库提供的度量策略判定度量该系统调用行为所需要的度量点(例如:进程环境度量点,文件完整性度量点,设备标识度量点,操作系统环境度量点等),并将度量点信息传递给判定机制。第三步,判定机制依据度量机制传递的度量点信息并根据可信基准库提供的判定策略决定调用相应的判定引擎(例如:进程环境引擎,文件完整性判定引擎,操作系统环境判定引擎,设备标识判定引擎等)进行判定,并将判定结果传递给判定机制,判定机制根据各个判定引擎提供的判定结果,并依据可信基准库提供的判定基准值调用综合判定引擎,综合判定引擎对各个判定结果进行综合判定并将判定结果(例如执行、阻止、审计、或者沙箱等其它操作)返回给控制机制。第四步,控制机制根据判定机制返回的综合判定结果执行相应操作(例如执行、阻止、审计、或者进入沙箱等其它操作)。
[0019]以下结合附图描述本发明主动免疫平台的实现方法。
[0020]以linux执行/bin/ls为例,如图1和图2所示,说明主动免疫平台:
首先控制机制在系统调用d0_exeCVe()处截获系统调用行为(本例为执行可执行程序行为)。控制机制通过可信基准库查看控制机制策略,如果策略配置控制可执行程序,则进入度量机制,否则不做控制,允许运行。
[0021]第二,进入度量机制,度量机制通过可信基准库查看度量机制策略,并设置度量点(本例中可以选择设置文件完整性度量点、行为度量点等)。
[0022]第三,判定机制根据度量机制传递的度量点信息,并查看可信基准库判定机制策略选择相应的判定引擎(本例中可以选择文件完整性判定引擎、行为判定引擎)。文件完整性判定引擎用来判定可执行程序所必须的配置文件以及动态库,行为判定引擎用来判定可执行程序要操作的文件或目录。两个判定引擎将判定结果传递给综合判定机制,综合判定机制决定该操作是执行、拒绝、沙箱、还是审计或其它操作,并将判定结果返回给控制机制。
[0023]第四,控制机制根据判定机制返回的判定结果进行相应操作。
[0024]第五,总结,免疫平台从系统调用处开始,依据可信基准库配置的相应策略,主动对应用程序进行度量,而不是应用程序被动调用度量机制。
[0025]本发明的操作系统主动免疫方法包括如下步骤:
第一步骤,主动免疫平台初始化
主动免疫平台初始化包括:建立可信基准库,控制机制初始化,度量机制初始化,以及判定机制初始化。
[0026]可信基准库的建立包含:初始化控制机制策略,度量机制策略,判定机制策略,以及可信基准值。如图3所示,包括进程环境,用户标识,文件完整性,设备标识,文件签名,操作系统环境,系统配置文件,自主访问控制策略,主/客体标记等。
[0027]控制机制初始化:依据可信基准库提供的控制机制策略,设置系统调用行为的控制点(例如:程序执行控制点,文件打开、读、写控制点,设备打开、关闭控制点,网络通信的读、写控制点等)。以上面所说程序执行过程为例:可以设置程序执行控制点(控制/bin/ls程序执行),文件读写控制点(控制/bin/ls所要查看的文件)。
[0028]度量机制初始化:依据控制机制对系统调用行为的控制点以及可信基准库度量机制策略设置度量点(例如:主体标识度量点,进程环境度量点,文件完整性度量点,设备标识度量点,文件签名度量点,操作系统环境度量点,系统配置文件度量点,自主访问控制度量点,强制访问控制度量点等)。以上面所说程序执行过程为例:程序/bin/ls执行,度量点可设置为文件完整性度量点,行为度量点等。
[0029]判定机制初始化:依据度量机制设置的度量点以及可信基准库判定机制策略设置相应的判定引擎(例如:主体标识判定引擎,进程环境判定引擎,文件完整性判定引擎,设备标识判定引擎,文件签名判定引擎,操作系统环境判定引擎,系统配置文件判定引擎,自主访问控制判定引擎,强制访问控制判定引擎等)。以上面所说程序执行过程为例:程序/bin/Is执行,判定机制可调用文件完整性判定引擎,行为判定引擎进行判定。
[0030]第二步骤,控制机制
如图4所示,其为控制机制的逻辑示意图。控制机制为主动免疫平台实现机制的入口。如图2所示,以程序执行为例,控制机制在系统调用d0_execve()处截获系统调用行为,并判断该系统调用行为是否应该被控制。
[0031]用户的操作、程序的执行等操作系统行为通过系统调用进入内核,并由控制机制接管。根据可信基准库提供的控制机制策略(包括程序执行的控制,文件打开、读、写控制,设备打开、关闭控制,网络通信的读、写控制等)来决定该操作是否需要被控制。以图2所示程序执行为例:是否需要控制/bin/ls的执行,是否需要控制/bin/ls要访问的文件等。如果需要被控制则将该系统调用行为的主/客体信息传递给度量机制,度量机制根据该事件将相应的度量点信息传递给判定机制,判定机制调用相应判定引擎,并将判定结果传递给综合判定机制,综合判机制将判定结果(阻止、执行、审计、或沙箱等其它操作)返回给控制机制,由控制机制执灯判定结果。
[0032]第三步,度量机制
如图5所示,其为度量机制的逻辑示意图。度量机制为主动免疫平台实现机制设置相应度量点。度量点的设置根据控制机制控制的事件,以及可信基准库中度量机制策略。
[0033]度量点包括四个类别:主体可信度量(主体标识度量点,进程环境度量点),客体可信度量(文件完整性度量点,设备标识度量点,文件签名度量点),环境度量(操作系统环境度量点,系统配置文件度量点),行为度量(自主访问控制度量,强制访问控制度量)。
[0034]如图2所示:当可执行程序执行时,控制机制在系统调用函数d0_eXeCVe()处截获系统调用行为相应信息,并设置对应度量点,在本具体实施例中,为设置文件完整性度量点,行为度量点,并将该度量点获取的进程环境信息传递给判定机制。
[0035]第四步骤,判定机制
如图6所示,其为判定机制的逻辑示意图。判定机制根据度量机制传递的度量点信息,依据判定机制策略调用相应判定引擎,并将各个判定引擎的判定结果汇总给综合判定机制,综合判定机制将综合判定结果(执行、阻断、审计、或者沙箱等其它操作)返回给控制机制。
[0036]再如图2所示,判定机制根据度量机制传递的文件完整性度量点和行为度量点的信息,依据判定机制策略调用文件完整性判定引擎和行为判定引擎,并将判定结果传递给综合判定机制,由综合判定机制将判定结果返回给控制机制执行。
[0037]判定策略依据可信基准库中判定机制策略而设定,包括进程环境判定,用户标识判定,文件完整性判定,设备标识判定,文件签名判定,操作系统运行环境判定,操作系统配置文件判定,自主访问控制判定,强制访问控制判定等。其中:
进程环境判定:在进程环境判定引擎中,将进程环境完整性值与可信基准库中的完整性值进行比对判定,判定结果有两种,如果完整性值比对相同则判定可信,如果完整性值比对不同则判定不可信。
[0038]用户标识判定:在用户标识判定引擎中,将用户的标识信息与可信中的用户标识进行比对,判定结果有两种,如果用户标识与可信基准库中相同,则判定该用户可信,如果不同则不可信。
[0039]文件完整性判定:在文件完整性判定引擎中,将文件完整性值与可信基准库中的文件完整性值进行比对,判定结果有两种,如果文件完整性与可信基准库中相同,则判定文件可信,如果不同则不可信。
[0040]设备标识判定:在设备标识判定引擎中,将设备标识与可信基准库中的设备标识进行比对,判定结果有两种,如果设备标识与可信基准库中相同,则判定设备可信,如果不同则不可信。
[0041]文件签名判定:文件签名判定引擎由可信基准库中得到公钥,并计算相应签名值,将该签名值与文件本身签名值进行比对判定,判定结果有两种,如果比对成功则签名验证有效,如果比对不成功则签名验证失败。
[0042]操作系统运行环境判定:操作系统运行环境判定引擎由可信基准库中得到系统初始状态度量值,将该度量值与正在运行系统度量值进行比对判定,判定结果有两种,如果比对成功则判定可信,如果比对不成功则判定不可信。
[0043]操作系统配置文件判定:在操作系统配置文件判定引擎中,将操作系统配置文件的度量值与可信基准库中的度量值进行比对,判定结果有两种,如果比对成功则判定可信,如果比对不成功则判定不可信。
[0044]自主访问控制判定:在自主访问控制判定引擎中,将主体、客体、操作行为与可信基准库中的主体,客体、操作行为进行比对,判定结果有两种,如果比对成功则允许该主体对客体的操作行为,否则拒绝。
[0045]基于标记的强制访问控制判定:将度量机制度量点中得到的主体、客体相关信息,传递给相应判定引擎(例如:基于标记的访问控制判定引擎),由判定引擎通过可信基准库获得相应的主体标记、客体标记,依据访问控制模型(例如:BLP/BIBA模型,即保密性/完整性判定模型,保密性判定模型提供向下读向上写的原则,完整性判定模型模型提供向下写向上读的原则。即主体的保密性级别高于客体的保密性级别,主体可以“读”客体,反之则可以“写”客体。主体的完整性级别高于客体的完整性级别,主体可以“写”客体,反之则可以“读”客体)进行判别,判别结果有两种,一种是允许“读/执行”操作,一种是允许“写”操作。
[0046]虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属【技术领域】内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
【权利要求】
1.操作系统主动免疫平台,包括如下结构: 控制机制,用于截获系统调用行为,依据可信基准库提供的控制策略判定该调用行为是否被控制,如果该调用行为不被控制则允许执行,否则将该系统调用行为的主/客体信息传递给度量机制; 度量机制,依据可信基准库提供的度量策略判定度量该系统调用行为所需要的度量点,并将度量点信息传递给判定机制;判定机制,依据度量机制传递的度量点信息并根据可信基准库提供的判定策略决定调用相应的判定引擎进行判定,并将初步判定结果传递给判定机制,判定机制根据各个判定引擎提供的初步判定结果,并依据可信基准库提供的判定基准值调用综合判定引擎,综合判定引擎对各个初步判定结果进行综合判定并将最终判定结果返回给控制机制,以及可信基准库,用于初始化控制机制策略、度量机制策略、判定机制策略、以及可信基准值。
2.根据权利要求1所述的平台,其中所述判定该调用行为是否被控制,包括判断是否控制程序的执行、是否控制文件的打开或读/写、是否控制设备的打开或关闭、是否控制网络通信的读/写。
3.根据权利要求1所述的平台,其中所述度量点包括进程环境度量点、主体标识度量点、文件完整性度量点、设备标识度量点、文件签名度量点、操作系统环境度量点、系统配置文件度量点、自主访问控制度量点或强制访问控制度量点。
4.根据权利要求1所述的平台,其中所述相应的判定引擎包括进程环境引擎、用户标识判定引擎、文件完整性判定引擎、设备标识判定引擎、文件签名判定引擎、操作系统环境判定引擎、操作系统配置文件判定引擎、自主访问控制行为判定引擎、或强制访问控制行为判定引擎。
5.根据权利要求1所述的平台,其中所述的综合判定结果包括执行、阻止、审计、或者沙箱等其它操作。
6.根据权利要求1-5任意一项所述的操作系统主动免疫平台的实现方法,包括如下步骤: (1)初始化步骤:建立可信基准库,初始化控制机制、度量机制以及判定机制; (2)控制机制步骤:截获系统调用行为,依据可信基准库提供的控制策略判定该调用行为是否被控制,如果该调用行为不被控制则允许执行,否则将该调用行为的主/客体信息传递给度量机制步骤; (3)度量机制步骤:依据可信基准库提供的度量策略判定度量该系统调用行为所需要的度量点,并将度量点信息传递给判定机制步骤; (4)判定机制步骤:依据度量机制步骤传递的度量点信息并根据可信基准库提供的判定策略决定调用相应的判定引擎进行判定,获得初步判定结果,并依据可信基准库提供的判定基准值调用综合判定引擎,综合判定引擎对各个初步判定结果进行综合判定并将综合判定结果返回给控制机制步骤,以及 (5)执行步骤:控制机制步骤根据判定机制步骤返回的综合判定结果执行相应操作。
7.根据权利要求6所述的方法,其中所述建立可信基准库包括初始化控制机制策略、度量机制策略、判定机制策略,以及可信基准值。
【文档编号】G06F21/57GK104298925SQ201410540720
【公开日】2015年1月21日 申请日期:2014年10月14日 优先权日:2014年10月14日
【发明者】孙瑜, 王大海, 李小刚 申请人:北京可信华泰信息技术有限公司