Linux内核操作系统ELF文件特征计算方法及系统与流程

本发明涉及计算机信息安全技术领域，尤其涉及Linux内核操作系统ELF文件特征计算方法及系统。

背景技术：

目前基于Linux内核的操作系统，尤其是国产中标麒麟操作系统，该系统基于Linux多种公开的内核版本私有化开发而来，继承了Linux绝大多数特性。这些基于Linux内核的操作系统都有一个普遍的现象，即每次安装操作系统后，磁盘中所有ELF格式文件的MD5值都会发生变化，导致无法搜集准确的ELF格式文件的唯一特征。

每台主机，根据其安装的操作系统，都有一套白名单库，该白名单库的内容包括所安装操作系统的ELF文件的标识，若ELF文件的MD5值不唯一，则无法使用其MD5、sha1等标识信息建立系统白名单库，这便使得主机存在严重的安全隐患。

技术实现要素：

针对上述现有技术中存在的缺陷，本发明提出Linux内核操作系统ELF文件特征计算方法及系统，首先获取ELF文件，并判断ELF文件所属的系统平台，然后获取各ELF文件的session段信息，按规定对不同系统平台下不同ELF文件的session段信息进行过滤，提取过滤后各ELF文件session段信息包含的内容信息，最后对所述内容信息计算MD5值，得到各ELF文件的特征，所述特征不会再随着系统环境的变化而变化，为各ELF文件的唯一标识特征。

具体发明内容包括：

Linux内核操作系统ELF文件特征计算方法，包括：

遍历系统中的ELF格式文件；

识别各ELF格式文件所属的系统平台；若主机中安装多个系统，则其ELF文件自然也来自不同的系统平台；

根据各ELF格式文件所属的系统平台，获取各ELF文件的session段信息；

按规定对所述session段信息进行过滤；

根据过滤后各ELF文件的session段信息中每项信息的首地址和偏移地址，获取每项信息的内容；

分别将各ELF文件的session段信息中每项信息的内容进行合并；

分别计算合并后内容的MD5值，得到各ELF文件的特征。

所述按规定对所述session段信息进行过滤，具体为：将各ELF文件的session段信息与session字段列表进行匹配，保留匹配成功的session段信息，过滤掉匹配不成功的session段信息；其中，所述session字段列表包含各相同系统平台中同一ELF文件的共有session段信息。

进一步地，所述系统平台为基于Linux内核的操作系统，包括：32位Linux操作系统、32位麒麟操作系统、64位Linux操作系统、64位麒麟操作系统。

Linux内核操作系统ELF文件特征计算系统，包括：

ELF文件获取模块，用于遍历系统中的ELF格式文件；

系统平台识别模块，用于识别各ELF格式文件所属的系统平台；若主机中安装多个系统，则其ELF文件自然也来自不同的系统平台

Session段信息获取模块，用于根据各ELF格式文件所属的系统平台，获取各ELF文件的session段信息；

过滤模块，用于按规定对所述session段信息进行过滤；

内容计算模块，用于根据过滤后各ELF文件的session段信息中每项信息的首地址和偏移地址，获取每项信息的内容；

内容合并模块，用于分别将各ELF文件的session段信息中每项信息的内容进行合并；

特征计算模块，用于分别计算合并后内容的MD5，得到各ELF文件的特征。

所述过滤模块，具体用于：将各ELF文件的session段信息与session字段列表进行匹配，保留匹配成功的session段信息，过滤掉匹配不成功的session段信息；其中，所述session字段列表包含各相同系统平台中同一ELF文件的共有session段信息。

进一步地，所述系统平台为基于Linux内核的操作系统，包括：32位Linux操作系统、32位麒麟操作系统、64位Linux操作系统、64位麒麟操作系统。

本发明的有益效果是：

针对目前基于Linux内核的操作系统每次安装操作系统后，其磁盘中所有ELF格式文件的MD5值都会发生变化这一技术现状，本发明提出了Linux内核操作系统ELF文件特征计算方法及系统，利用本发明，能够计算出基于Linux内核操作系统的各ELF文件对应的唯一标识特征，这些特征不会再随着系统环境的变化而变化；

本发明有利于基于Linux内核操作系统的系统白名单的建立，并有利于确定Linux文件的黑白文件特征，并通过各ELF文件的唯一特征值建立操作系统基础白文件集合和威胁文件集合，为进一步对系统环境的检测及信息安全的维护提供精确地数据基础。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明Linux内核操作系统ELF文件特征计算的方法流程图；

图2为本发明Linux内核操作系统ELF文件特征计算的系统结构图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明给出了Linux内核操作系统ELF文件特征计算的方法实施例，如图1所示，包括：

S101：遍历系统中的ELF格式文件；ELF文件从首字符开始的共有字符为“\177ELF”，因此，文件解析后，可以将文件对应的前4个字节的字符与“\177ELF”进行匹配，若匹配成功则为ELF文件，否则不是ELF文件；

S102：识别各ELF格式文件所属的系统平台；若主机中安装多个系统，则其ELF文件自然也来自不同的系统平台；

S103：根据各ELF格式文件所属的系统平台，获取各ELF文件的session段信息；可以根据GCC库中的ELF.H，读取各ELF文件的session段信息，所述session段信息包括：session段数量、session段名称、session段大小、session段偏移地址等；

S104：按规定对所述session段信息进行过滤；

S105：根据过滤后各ELF文件的session段信息中每项信息的首地址和偏移地址，获取每项信息的内容；

S106：分别将各ELF文件的session段信息中每项信息的内容进行合并；

S107：分别计算合并后内容的MD5值，得到各ELF文件的特征。

优选地，所述按规定对所述session段信息进行过滤，具体为：将各ELF文件的session段信息与session字段列表进行匹配，保留匹配成功的session段信息，过滤掉匹配不成功的session段信息；其中，所述session字段列表包含各相同系统平台中同一ELF文件的共有session段信息；

例如，通过对某一系统平台下某一ELF文件的大量数据统计，得到该ELF文件在不同系统状态下，其共有session段信息为：“.interp”、“.note.ABI-tag”、“.gnu.hash”、“.gnu.version”、“.gnu.version_r”、“.rela.dyn”、“.rela.plt”、“.init”、“.plt”、“.text”、“.fini”、“.rodata”、“.eh_frame”、“.ctors”、“.dtors”、“.jcr”、“.data.rel.ro”。

优选地，所述系统平台为基于Linux内核的操作系统，包括：32位Linux操作系统、32位麒麟操作系统、64位Linux操作系统、64位麒麟操作系统。

本发明还给出了Linux内核操作系统ELF文件特征计算的系统实施例，如图2所示，包括：

ELF文件获取模块201，用于遍历系统中的ELF格式文件；

系统平台识别模块202，用于识别各ELF格式文件所属的系统平台；若主机中安装多个系统，则其ELF文件自然也来自不同的系统平台

Session段信息获取模块203，用于根据各ELF格式文件所属的系统平台，获取各ELF文件的session段信息；

过滤模块204，用于按规定对所述session段信息进行过滤；

内容计算模块205，用于根据过滤后各ELF文件的session段信息中每项信息的首地址和偏移地址，获取每项信息的内容；

内容合并模块206，用于分别将各ELF文件的session段信息中每项信息的内容进行合并；

特征计算模块207，用于分别计算合并后内容的MD5，得到各ELF文件的特征。

优选地，所述过滤模块204，具体用于：将各ELF文件的session段信息与session字段列表进行匹配，保留匹配成功的session段信息，过滤掉匹配不成功的session段信息；其中，所述session字段列表包含各相同系统平台中同一ELF文件的共有session段信息。

优选地，所述系统平台为基于Linux内核的操作系统，包括：32位Linux操作系统、32位麒麟操作系统、64位Linux操作系统、64位麒麟操作系统。

本说明书中方法的实施例采用递进的方式描述，对于系统的实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。针对目前基于Linux内核的操作系统每次安装操作系统后，其磁盘中所有ELF格式文件的MD5值都会发生变化这一技术现状，本发明提出了Linux内核操作系统ELF文件特征计算方法及系统，利用本发明，能够计算出基于Linux内核操作系统的各ELF文件对应的唯一标识特征，这些特征不会再随着系统环境的变化而变化；本发明有利于基于Linux内核操作系统的系统白名单的建立，并有利于确定Linux文件的黑白文件特征，并通过各ELF文件的唯一特征值建立操作系统基础白文件集合和威胁文件集合，为进一步对系统环境的检测及信息安全的维护提供精确地数据基础。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。