[发明专利]一种Linux下基于内核的防勒索病毒的方法

说明书

本发明公开了一种Linux下基于内核的防勒索病毒的方法，其包括一管理中心以及若干个被管理端，被管理端均采用Linux操作系统，其包括以下步骤：1）管理中心给被管理端提供白名单；2）被管理端均安装有内核监控程序，内核监控程序挂钩特定内核函数；3）内核监控程序将特定内核函数的参数与白名单进行比较，若其在白名单中，则特定内核函数正常执行；反之，则阻止其加载。本发明的拦截点非常科学，对系统性能影响非常小。系统中文件操作频繁，不在文件过滤中进行分析，而在特定的可执行模块加载的路线中拦截可以实现此点。

技术领域

本发明属于软件领域，尤其涉及一种Linux下基于内核的防勒索病毒的方法。

背景技术

Linux是一种较为安全的操作系统，被广泛应用于服务器，这也使得其安全性显得更为重要。随着技术的发展，各类针对Linux的恶意病毒、勒索病毒或恶意程序等等层出不穷，其通过加载恶意代码威胁系统数据安全或卸载系统程序来达到破坏系统的目的，如何对这类威胁进行拦截，以提高Linux的安全性是目前亟待解决的技术问题。

发明内容

为了克服上述问题，本发明提供一种安全可靠的Linux下基于内核的防勒索病毒方法。

本发明的技术方案是Linux下基于内核的防勒索病毒的方法，其包括一管理中心以及若干个被管理端，所述被管理端均采用Linux操作系统，

其包括以下步骤：

1）所述管理中心给所述被管理端提供白名单，所述白名单以配置文件的形式记录所述管理中心允许执行的可执行对象的清单；所述可执行对象包括可执行程序、动态库和内核程序；

2）所述被管理端均安装有内核监控程序，所述内核监控程序通过Kprobe技术挂钩特定内核函数，并获得所述特定内核函数的参数，所述特定内核函数均是Linux操作系统下加载可执行对象时必须调用的内核函数；

3）所述内核监控程序将从所述特定内核函数中获取的参数与所述白名单中的可执行对象清单进行比较，若其在所述白名单中，则所述特定内核函数正常执行；反之，则所述特定内核函数返回空值或非法值，以阻止所述可执行对象的加载；

4）所述被管理端向所述管理中心上传拦截日志，所述拦截日志记载所述可执行对象的信息以及是否拦截的情况。

优选的，针对可执行程序，所述特定内核函数为load_elf_phdrs，所述步骤1）中，通过Kprobe技术拦截该load_elf_phdrs函数。

优选的，针对内核程序，所述特定内核函数为init_module和kernel_read_file_from_fd，所述步骤1）中，通过Kprobe技术拦截该kernel_read_file_from_fd函数，通过HOOK挂钩init_module函数的方式拦截init_module函数。

优选的，针对动态库，所述特定内核函数为vm_mmap，所述步骤1）中，通过Kprobe技术拦截该vm_mmap函数。

优选的，vm_mmap函数是可执行程序、动态库加载的经过点，以及map方式文件读写的经过点；拦截该vm_mmap函数采用如下步骤：

1.1）获取vm_mmap函数的参数；

1.2）如获得的vm_mmap函数的参数中，其第四个参数是不带可执行属性，则退出拦截并不执行步骤2），反之则继续；

1.3）如获得的vm_mmap函数的参数中，其第二个参数为零，则退出拦截并不执行步骤2），反之则继续。

优选的，所述白名单以哈希表的方式进行管理，其通过sm3哈希算法对所述可执行对象的参数进行运算，以获得唯一的32字节值作为该可执行对象的ID记录在所述白名单或黑名单中。

优选的，所述可执行对象的参数包括模块入口地址、文件设定长度内容和模块映像大小其中之一或多个。