[发明专利]一种基于内核不变量保护的rootkit入侵检测和系统恢复方法

权利要求书

1.一种基于操作系统数据结构不变量保护的内核rootkit入侵检测和系统恢复方法，其特征在于：该方法包括入侵检测技术和系统恢复技术。

入侵检测模块(1)以操作系统内核数据结构不变量保护为基础，基于Xen虚拟化平台构建入侵检测。入侵检测系统由监控策略库(11)和监控模块(12)组成。

策略库(11)负责分析典型的内核rootkit入侵所采取的行为，针对其提取对应的内核不变量，并针对具体的不变量制定详细的检测策略；

监控模块(12)提取策略库(11)中的策略进行具体的入侵检测。监控(12)包括对虚拟机内存的自省(121)和对磁盘的监控(122)，借助于XenAccess库的自省机制实现，分别负责对客户机内存的监控和对客户机磁盘的监控。

一个客户机的系统快照包括三个方面的内容：CPU的状态、内存快照和磁盘快照。系统恢复由CPU状态模块(21)、内存快照模块(22)、磁盘快照模块(23)和快照文件模块(24)组成。这几个模块共同负责生成一个客户机系统快照。

CPU状态模块(21)负责在每次快照生成时记录客户机VCPU的所有状态，存放在快照文件(24)中，在快照恢复阶段负责取出快照文件中对应VCPU的内容，覆盖内核地中中原有的内容；

内存快照模块(22)又由内存监控位图模块(221)、记录守护程序(222)和内存快照文件(241)组成。内存监控位图模块(221)负责两次快照间对客户机内核内存的写操作；记录守护程序(222)负责记录更改的内存页内容；在快照生成时刻，内存快照模块(22)负责将记录守护程序(222)记录的修改内存页内容覆盖到初始保存的内存快照中以更新快照内容，快照恢复时恢复内核内存内容；

磁盘快照模块(23)由磁盘监控位图模块(231)和写操作重定向模块(232)组成。磁盘监控位图模块(231)负责监控对客户机磁盘块的写操作；写操作重定向模块(232)负责分配一个新的磁盘块来填充新的内容，并将对应的新旧磁盘块号成对的存储起来。磁盘快照模块(23)在快照生成时更新映射表以生成新的磁盘快照，在快照恢复阶段同样是调整映射表，使客户机系统恢复磁盘块的状态。

2.如权利要求1所述的入侵检测和入侵恢复方法，其特征在于提取典型操作系统内核数据结构不变量作为系统特征码，而非采用恶意程序特征码，并适用于虚拟化平台，利用虚拟化技术中的自省机制和管理机制，对内核rootkit进行入侵检测和系统恢复，力求最大限度地消除网络环境中计算机系统的安全隐患并对所有应用程序透明。

3.如权利要求1或2所述的入侵检测和入侵恢复方法，其特征在于：

(1)整个方法的实现以Xen虚拟机为平台，鉴于Xen虚拟机在实际应用中的广泛部署，该方法具有极大的应用潜力。

(2)分析具体内核rootkit入侵行为，提取对应的操作系统内核数据结构不变量，利用虚拟机自省机制来确保不变量关系不被改变，及时发现入侵行为并对上层应用透明。

(3)根据检测模块的监控结果，结合虚拟机系统快照回卷技术，可以对被入侵系统及时进行恢复，恢复后的系统安全可靠，整个恢复过程对上层应用透明。系统快照技术结合写时复制技术和重定向技术，以虚拟化为平台来实现。