[发明专利]Linux下基于elf二进制标准解析的内核Rootkit检测方法及装置

说明书

本发明公开了一种Linux下基于elf二进制标准解析的内核Rootkit检测方法、装置及存储设备，涉及网络安全领域，包括：加载待测内核，读取其中内核文件或者内核模块文件到内存；读取内核及内核模块的elf文件中代码段和只读数据段的内容；将读取到的代码段和只读数据段内容与运行中的待测内核的代码区和只读数据区进行逐一比对获取差异；若差异出现在只读数据段则直接判定为内核Rootkit；若差异出现在代码段，则需进一步排除差异是否属于内核运行时的修改，如果不是则判定为内核Rootkit，解决了当前内核Rootkit检测技术多是针对Rootkit行为策略的检测技术，无法全面的对系统进行检测的问题。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种Linux下基于elf二进制标准解析的内核Rootkit检测方法、装置及存储设备。

背景技术

目前中国各个重要领域的基础设施都已经实现网络化、信息化、数据化，各项基础设施的核心部件都离不开网络信息系统，Linux系统一直是服务器系统的主流选择，而随着国产操作系统时代的到来，基于类Linux系统平台的各种国产操作系统也不断投入市场，针对Linux下的病毒木马检测已经成为网络安全研究的核心问题之一，Rootkit作为攻击Linux系统的必备手段，几乎可以隐藏任何恶意代码程序和操作，包括但不限于进程、网络端口、文件、内核模块等，并且随着技术的发展已经逐步进化成从应用层深入到内核层，甚至可以深入到硬件层面，隐藏性更高难以发现系统软件中恶意的文件和进程。

目前针对Linux系统的Rootkit检测工具多数是应用层的Rootkit检测，主流的Linux内核层Rootkit检测手段有限，常用的手段有基于特征码检测、基于内核栈检测、基于VMM的Rootkit检测技术、基于内核挂钩检测、基于内核内存检测、基于内核kallsyms符号表检测等。这些检测技术一般存在着一定的局限性，有的仅仅针对检测特定的内核Rootkit手段，或者针对某一特定环境；基于特征码检测只能通过分析现有的内核Rootkit检测技术，提取特征码然后做特定检测处理，不能检测未知手段的内核Rootkit；基于内核kallsyms符号表检测、基于内核挂钩检测、基于内核栈检测，都是通过函数地址信息，对函数地址进行检测，只能检测使用一般HOOK技术手段的Rootkit,不能检测使用INLINE HOOK技术的Rootkit情况；基于内核kallsyms符号表检测，该机制还存在借助外部System.map文件的情况，而该文件是容易被篡改利用的可读文件，导致检测结果不准确，而且System.map文件不包含内核模块的函数表信息，不能检测内核模块中的Rootkit；基于VMM的Rootkit检测只针对特定环境；

综上所述，目前主流内核Rootkit检测技术多是针对Rootkit行为策略的检测技术，存在缺点和不足，无法全面的对系统进行检测。

发明内容

有鉴于此，本发明提供了一种Linux下基于elf二进制标准解析的内核Rootkit检测方法、装置及存储设备，解决了目前主流内核Rootkit检测技术多是针对Rootkit行为策略的检测技术，存在缺点和不足无法全面的对系统进行检测的问题。

第一方面，本发明提供了一种Linux下基于elf二进制标准解析的内核Rootkit检测方法，包括：

加载待测内核，读取其中内核文件或者内核模块文件到内存；

读取内核及内核模块的elf文件中代码段和只读数据段的内容；

将读取到的代码段和只读数据段内容与运行中的待测内核的代码区和只读数据区进行逐一比对获取差异；

若差异出现在只读数据段则直接判定为内核Rootkit；若差异出现在代码段，则需进一步排除差异是否属于内核运行时的修改，如果不是则判定为内核Rootkit。

进一步地，所述加载待测内核，具体为：通过在应用层使用insmod命令直接加载。