[发明专利]应用软件可信性的混合度量方法

说明书

技术领域：

本发明设计是应用软件可信性的一种混合度量方法，并根据这种方法，设计和实现了一个安全防护系统，保护计算机系统的安全，阻止病毒木马的运行。 

背景技术：

随着信息技术的迅猛发展，信息安全问题日趋复杂，系统安全问题层出不穷，在给人类带来危害的同时也制约着信息化的发展进程。由防火墙、入侵监测和病毒防范为主构成的传统信息安全系统，在变化多端的恶意攻击手段面前，逐渐显得无能为力，最后只能导致防火墙越‘砌’越高、入侵检测越做越复杂、恶意代码库越做越大，对新的攻击入侵毫无防御能力。“老三样、堵漏洞、做高墙、防外攻，防不胜防”就是信息安全的基本现状^[1]。近年来，体现整体安全思想的可信计算技术正越来越受到人们的关注，成为信息安全新的热点研究方向。它有别于传统的安全技术，而是从底层和终端开始防范攻击。 

随着可信计算组织TCG的成立，并推出以可信平台模块TPM(Trusted Platform Module)为核心的可信计算规范^[2]，信任体系的研究在国际上进一步引起了研究者们的高度重视。根据TCG规范，与传统的安全体系不同，可信计算的核心思想是引入一个安全协处理器TPM，嵌入到计算机平台中，利用TPM的度量和约束来保证系统的可信。TPM的典型应用就是安全启动，其具体原理是指从系统加电的时刻起，依次对BIOS、系统I/O、ROM、硬件、系统内核进行完整性度量，确保系统正常状态启动，从而有效阻止病毒、木马、非法程序对系统的攻击和破坏，保证系统免受攻击，可靠、稳定运行。TCM采用了中国密码算法，TPCM增加了主动控制和主动度量。 

但是不管是安全启动，还是验证启动中采用的可信度量目前还存在如下问题：从电脑加电到操作系统装载(称之为系统引导)是一个顺序固定的单一链式过程，而且BIOS、操作系统装载器以及操作系统一般相对稳定，因此在可信传递过程中的完整性度量实现起来比较简单。但是从操作系统到应用的可信传递过程有着不同于系统引导过程的特点：首先操作系统平台之上的应用一般不是单一的，并且这些应用之间并不存在必然的顺序关系；其次在用户的一次操作活动期间，不一定会用到所有被允许执行的应用。目前从电脑加电开始BIOS运行到操作系统运行前的整个过程，由于流程可变性小，该领域的可信度量已经有了大量的研究并且达到了实际的应用^[3][4][5]，而操作系统加载后对应用程序的度量的研究还很不成熟。 

发明内容：

1应用软件的静态度量 

对应用软件的静态度量采用“白名单法”。在计算机系统中存放一个应用软件的列表，在列表中存放了各个正版应用软件的HASH度量值。当操作系统启动后，在每一个应用软件运行之前，度量这个应用软件并与数据库(白名单)中的HASH值进行比对，比对通过的应用软件则是可信的，不通过的应用软件则不是可信的。通过这种方法对应用软件实现静态度量。 

2应用软件的动态度量 

应用软件的动态度量方法为：动态监控软件实例，从中提取软件行为特征建立软件的正常行为模型；然后监控软件的实际运行，提取其行为特征并与正常行为模型进行比较。如果软件行为发生的偏差超过指定阈值，则判定软件行为不可信。监控软件的实际运行是指监控软件运行过程中的行为，比如文件操作，注册表修改等软件行为。 

3应用软件静态度量和动态度量的混合度量 

目前的软件存在数量庞大的不同的版本和配置文件，仅仅利用“白名单法”的静态度量是有困难的。因此本文提出对应用软件进行静态和动态的混合度量方法。 

混合度量的方法为：在应用软件启动前先对应用软件进行静态度量，对于静态度量结果为可信的应用软件直接允许其运行；因为静态度量没有通过的应用软件原因可能是“白名单”数据库的不全面，所以我们对这部分应用软件进行动态度量。通过动态度量来最终决定是否允许其运行。 

1.4Hook SSDT 

Windows可执行程序在内核模式中运行，并且对操作系统的所有子系统(Win32、POSIX和OS/2)都提供 本地支持。这些本地系统服务的地址在内核结构中称为系统服务调度表(System Service Dispatch Table，SSDT)中列出。该表可以基于系统调用编号进行索引，以便定位函数的内存地址。还有一个系统服务参数表(System Service Parameter Table，SSPT)指定了每个系统服务的函数参数的字节数。