[发明专利]一种针对rootkit的检测方法及系统

说明书

本发明的实施例公开了一种针对rootkit的检测方法及系统。方法包括：调用待保护的系统的指定信息并储存；设置rootkit标识范围，判断待保护的系统的标识是否超出rootkit标识范围；若待保护的系统的标识超出rootkit标识范围，则判断系统未受到rootkit感染；若待保护的系统的标识位于rootkit标识范围内，则再次调用待保护的系统的指定信息，与储存的指定信息比较，若两次信息不同，则判断系统受到rootkit感染。系统包括调用模块，标识检测模块和指定信息比较模块。本发明检测过程简便迅速，仅在应用层即可完成，对系统无任何影响，无安全隐患，且对于使用了magic id标志技术的特定rootkit来说必定可检，准确率得到了保证。

技术领域

本发明涉及rootkit检测计数领域，特别涉及一种针对rootkit的检测方法及系统。

背景技术

Linux平台上的rootkit主要可以分为利用动态链接库劫持技术、二进制程序替换(用户空间rootkit)和LKM内核可插拔模块技术(内核空间rootkit)几大类，但是在这几类中都有一定数量的rootkit使用了magic id技术来作为标识。

简单来说，对于入侵者，当rootkit hook系统调用来隐藏自身与入侵痕迹时，第一不希望自己使用系统时获取的各类信息也是被隐藏过的，第二则是希望能够通过一些标识来选定要隐藏的文件、进程、连接等从而实现隐藏。针对第一点，若选择在入侵时短暂停用或卸载rootkit，必然会增加被发现的风险；针对第二点，常规的通过名字进行标识可能会意外将正常系统使用者的正常文件进程等也隐藏，反而增加被发现的风险。因此，许多rootkit开发者会在hook系统调用时选择magic id的标识技术：对于使用系统的用户来说，magic id决定是否返回系统真实信息；对于文件、进程、网络连接来说，使用magic id决定是否对其进行隐藏。攻击者在被感染系统中执行恶意操作时，很多时候会将自己的uid/gid设置为一个当前系统不存在且正常情况下不可能被使用的值，称作magic uid/gid，而rootkit hook的系统调用逻辑中，会优先判断调用者的uid/gid，当匹配到magic uid/gid时，会返回系统的真实情况，通过这种方式攻击者能正常使用系统。攻击者通过此方法可以实现特定恶意文件、进程、网络连接、文件的隐藏，当正常用户尝试访问这些项时，系统调用通过判断id返回被隐藏后的结果，通过这种方式攻击者实现隐藏和自保。例如Jynx、umbreon等Linux平台上的rootkit均使用了该标识方法。

现有的Linux平台下rootkit检测技术主要有以下几种方法：

(1)针对动态链接库劫持类rootkit，可以使用静态编译的二进制文件获取系统信息，对比动态链接的程序结果，若有区别则说明可能遭到了动态链接库劫持攻击。当rootkit修改了系统调用时，静态文件的结果也不可靠，也可能获取到虚假信息，因此很多rootkit可以避开这种检测方式。

(2)这一类检测思路追求对于内核空间rootkit的检出率，获取内存信息进行分析，在内核、系统调用层面上进行改动以判断是否存在内核空间rootkit。因为其在内核、系统调用上进行很大改动，对系统的影响相应的也较大，在Linux系统上有概率会带来其他安全隐患。而且即使这样，这些技术在面对一些足够隐蔽、技术力足够强、设计足够巧妙的rootkit时也难以发现。

(3)这种rootkit检测方式则从rootkit留下的痕迹方面进行判断，例如检查加载内核模块痕迹、检查日志系统痕迹、检查网络模式痕迹等等。这种检测方式，只要rootkit做好隐藏、痕迹清理方面的处理，基本不可能被这种方式检出。

发明内容

有鉴于此，本发明实施例的目的在于提供一种针对rootkit的检测方法及系统，检测过程简便迅速，仅在应用层即可完成，对系统无任何影响，无安全隐患，且对于使用了magic id标志技术的特定rootkit来说必定可检，准确率得到了保证，也几乎不存在误报情况。