[发明专利]一种ELF文件执行控制系统及方法

说明书

本发明公开了一种ELF文件执行控制系统及方法，包括，动态特征值搜集模块，用于搜集当前系统上的ELF文件的特征值，生成并保存到特征库中，并将保存的当前系统上的ELF文件的特征值与白名单库中的特征值进行比较，获取当前系统可信任的ELF文件；应用程序执行控制模块，用于ELF文件的策略下发和执行控制。本发明的一种ELF文件执行控制系统及方法与现有技术相比，减少了ELF执行控制类产品对用户环境的影响的依赖，提供了产品竞争力，实用性强。

技术领域

本发明涉及操作系统安全领域，具体地说是一种ELF文件执行控制系统及方法。

背景技术

现有技术的Linux操作系统中，应用程序控制主要通过证书、特征值、文件名称、路径、用户等属性进行控制。由于Linux没有证书信息，主要是通过特征值进行控制的。为了加快程序启动，根据ELF（Executable and Linkable FormatLinux的缩写，操作系统可执行和可连接文件格式）文件的启动加载方式，提出了预链接Prelink技术。通过该技术加快了可执行文件依赖的动态库的加载速度，提升了可执行文件的启动速度。但该技术会修改可执行的有关依赖库的部分内容。导致特征值在计算的过程中出现错误。尤其是在ELF文件hash值发生变化的时候，导致Prelink技术造成的特征值计算误差较大，进而有影响ELF文件的执行及加载控制。

基于此，亟需一种有效的消除系统中因Prelink技术造成的影响的技术。

发明内容

本发明的技术任务是针对以上不足之处，提供一种ELF文件执行控制系统及方法。

一种ELF文件执行控制系统，包括，

动态特征值搜集模块，用于搜集当前系统上的ELF文件的特征值，生成并保存到特征库中，该特征库中还配置有白名单库，所述白名单库记录可信任ELF文件的特征值，并将保存的当前系统上的ELF文件的特征值与白名单库中的特征值进行比较，获取当前系统可信任的ELF文件；

应用程序执行控制模块，用于ELF文件的策略下发和执行控制，其中策略下发是指通过获取特征库中可信任的ELF文件，然后再执行控制该可信任ELF文件对应的应用程序。

所述动态特征值搜集模块生成的特征库中，保存搜集的文件特征值的过程为：在搜集获取ELF文件后，判断该文件是否启用了Prelink，若启用Prelink则搜集Prelink之后的特征值和Prelink之前原始文件的特征值，将两特征值均保存到特征库中；未启用Prelink则直接保存该ELF文件的原始特征值，即当前特征值；相对应的，在确定当前系统可信任的ELF文件时，将当前系统上的ELF文件的原始特征值与白名单库中的特征值进行比较，来判断该ELF文件是否可信：存在则表明当前ELF文件的特征值为可信的，其对应的ELF文件为可信任文件，否则为不可信任文件。

所述动态特征值搜集模块还用于实时监控当前系统，当系统中的ELF文件发生变化时，根据特征值判断其是否可信，即将该ELF文件的原始特征值与特征库中白名单库记录的可信任特征值进行比较，相同则该ELF文件可信，否则为不可信。

所述系统中的ELF文件发生变化是指在应用程序执行过程中，对ELF文件进行创建、删除和/或修改的变化，相对应的，动态特征值搜集模块在其发生变化时自动判断其信任级别，确定其是否可信。

所述应用程序执行控制模块实现的策略下发具体为：首先从特征库获取当前文件系统信任的ELF文件特征值，若该ELF文件被Prelink修改，则加载修改后的文件特征值，否则加载修改之前的文件特征值。

还包括日志及结果反馈模块，该模块用于将应用程序执行过程中产生的日志及系统的操作日志及时通知到用户或者保存到操作系统的日志中，所述应用程序执行过程中产生的日志及系统的操作日志包括记录当前ELF文件控制过程的日志、记录系统中ELF文件变化过程的日志、记录ELF文件启动及加载过程的日志。