本發(fā)明涉及系統(tǒng)安全檢測技術領域，尤其涉及一種系統(tǒng)攻擊檢測方法及其系統(tǒng)。

背景技術：

隨著andriod和linux設備數(shù)量的不斷增加，特別是越來越多的移動終端采用了andriod系統(tǒng)，andriod系統(tǒng)的病毒和木馬也伴隨急劇增長，andriod系統(tǒng)的安全性也越來越引起重視。

現(xiàn)階段針對系統(tǒng)攻擊采取的主要手段是采取數(shù)據(jù)加密、分區(qū)掛載控制、虛擬機保護特定進程和物理隔離。

數(shù)據(jù)加密的表現(xiàn)是對傳輸過程和存儲采取加密的方式進行。但數(shù)據(jù)加密只是單單對數(shù)據(jù)的傳輸和存儲過程進行保護，僅僅保證了數(shù)據(jù)的安全性和有效性，對于數(shù)據(jù)以后的動作等反饋無法保證。

分區(qū)掛載控制是指本來是只讀的分區(qū)，當出現(xiàn)攻擊時，攻擊程序想改變分區(qū)里面的內容就必須先重新掛載分區(qū)為可讀寫的方式。為了保護數(shù)據(jù)的不被篡改，采取特殊的方式使攻擊程序重新掛載分區(qū)失敗，從而保證了系統(tǒng)的完整性。這個方法很好地保證了原始系統(tǒng)包的完整性，但僅限于文件系統(tǒng)的完整性，對于一些臨時分區(qū)，臨時文件并不能啟動保護作用，只能保證系統(tǒng)不被篡改，并且對于敏感信息的讀取，同樣也起不到保護作用。

物理隔離是對關鍵的設備和操作進行物理隔離，這個可以起到很好的保護作用，但同時也增加了終端廠商的開發(fā)和維護成本。

在公開號為cn102663312a的中國專利公開文件中，提出了一種基于虛擬機的rop攻擊檢測方法及系統(tǒng)，包括：將待保護的操作系統(tǒng)運行在虛擬域環(huán)境中；定位設定的目標進程，獲取目標進程的進程信息；監(jiān)控該系統(tǒng)中進程運行，當上下文切換到目標進程時，將當前目標進程的堆棧標記為只讀；攔截當內存頁面錯誤引發(fā)自對一個可寫堆棧內存區(qū)域標記為只讀后發(fā)生的寫操作，并將相應堆棧頁面標記為可寫；定位當前目標進程在執(zhí)行過程中下一需堆棧檢查的地方，設置斷點；截獲斷點并檢測rop攻擊是否存在；當檢測到rop攻擊時，停止當前目標進程，否則使目標進程繼續(xù)運行，同時將目標進程的堆棧標記為只讀。該方案主要是在操作系統(tǒng)和硬件之間再架設一個虛擬機，這將極大降低整個操作系統(tǒng)的性能，且該方案只實現(xiàn)了針對特定進程的保護，沒有實現(xiàn)對所有進程進行保護。如果利用這個方案對所有進程進行保護，會導致系統(tǒng)性能的急劇降低。這個方案的主要目的是保證進程執(zhí)行上下文的執(zhí)行代碼安全，保證進程代碼的執(zhí)行順序不被改變。然而對于不被保護的進程，利用這些進程對系統(tǒng)進行攻擊，這個方案就起不到作用，如root系統(tǒng)這類攻擊。

技術實現(xiàn)要素：

本發(fā)明所要解決的技術問題是：提供一種系統(tǒng)攻擊檢測方法及其系統(tǒng)，可有效保證系統(tǒng)的安全性和完整性。

為了解決上述技術問題，本發(fā)明采用的技術方案為：一種系統(tǒng)攻擊檢測方法，包括：

創(chuàng)建進程后，新建所述進程的進程上下文，并備份所述進程上下文中的只讀內容，所述只讀內容包括所述進程的用戶信息和權限；

標記所述進程處于就緒狀態(tài)；

通過調度器選擇一處于就緒狀態(tài)的進程；

若一所述進程當前的進程上下文中的只讀內容與其備份的只讀內容不一致，則判定系統(tǒng)受到攻擊。

本發(fā)明還涉及一種系統(tǒng)攻擊檢測系統(tǒng)，包括：

備份模塊，用于創(chuàng)建進程后，新建所述進程的進程上下文，并備份所述進程上下文中的只讀內容，所述只讀內容包括所述進程的用戶信息和權限；

標記模塊，用于標記所述進程處于就緒狀態(tài)；

選擇模塊，用于通過調度器選擇一處于就緒狀態(tài)的進程；

判定模塊，用于若一所述進程當前的進程上下文中的只讀內容與其備份的只讀內容不一致，則判定系統(tǒng)受到攻擊。

本發(fā)明的有益效果在于：通過在進程創(chuàng)建后立即新建進程上下文，保證此時的進程上下文記錄的是進程處于安全狀態(tài)下的狀態(tài)信息，從而保證此時備份的進程上下文中的只讀內容也是安全的；通過在進程執(zhí)行前，判斷進程當前的進程上下文中的只讀內容與其備份的只讀內容是否一致，進而判斷進程或數(shù)據(jù)是否遭到篡改，從而判斷系統(tǒng)是否受到攻擊；通過調度器實時調度檢查進程的上下文，可以實時監(jiān)控所有進程的運行狀態(tài)，從而可以提早發(fā)現(xiàn)對系統(tǒng)的攻擊行為；相對于被動的分區(qū)保護、數(shù)據(jù)加密等保護方式，可以較早地對系統(tǒng)的攻擊的行為做出相應的對策，從而更好地保證了系統(tǒng)的安全性和完整性。

附圖說明

圖1為本發(fā)明一種系統(tǒng)攻擊檢測方法的流程圖；

圖2為本發(fā)明實施例一的方法流程圖；

圖3為本發(fā)明一種系統(tǒng)攻擊檢測系統(tǒng)的結構示意圖；

圖4為本發(fā)明實施例二的系統(tǒng)結構示意圖。

標號說明：

1、備份模塊；2、標記模塊；3、選擇模塊；4、判定模塊；5、第一執(zhí)行模塊；6、第二執(zhí)行模塊。

具體實施方式

為詳細說明本發(fā)明的技術內容、所實現(xiàn)目的及效果，以下結合實施方式并配合附圖詳予說明。

本發(fā)明最關鍵的構思在于：通過調度器實時調度檢查進程上下文中的只讀內容與其備份的只讀內容是否一致。

請參閱圖1，一種系統(tǒng)攻擊檢測方法，包括：

創(chuàng)建進程后，新建所述進程的進程上下文，并備份所述進程上下文中的只讀內容，所述只讀內容包括所述進程的用戶信息和權限；

標記所述進程處于就緒狀態(tài)；

通過調度器選擇一處于就緒狀態(tài)的進程；

若一所述進程當前的進程上下文中的只讀內容與其備份的只讀內容不一致，則判定系統(tǒng)受到攻擊。

從上述描述可知，本發(fā)明的有益效果在于：相對于被動的分區(qū)保護、數(shù)據(jù)加密等保護方式，可以較早地對系統(tǒng)的攻擊的行為做出相應的對策，從而更好地保證了系統(tǒng)的安全性和完整性。

進一步地，所述“通過調度器選擇一處于就緒狀態(tài)的進程”之后，進一步包括：

若一所述進程當前的進程上下文中的只讀內容與其備份的只讀內容一致，則執(zhí)行一所述進程；

繼續(xù)執(zhí)行所述通過調度器選擇一處于就緒狀態(tài)的進程的步驟。

由上述描述可知，若進程當前的進程上下文中的只讀內容與其備份的只讀內容一致，則判定所述進程安全，繼續(xù)執(zhí)行所述進程，然后調度器再調度檢查下一個進程是否安全。

進一步地，所述“通過調度器選擇一處于就緒狀態(tài)的進程”具體為：

根據(jù)調度器的調度算法，選擇一處于就緒狀態(tài)的進程，所述調度算法包括完全公平調度算法和實時調度算法。

由上述描述可知，通過調度器實時調度檢查進程的上下文，可以實時監(jiān)控所有進程的運行狀態(tài)，從而可以提早發(fā)現(xiàn)對系統(tǒng)的攻擊行為，有效保證了系統(tǒng)的安全性。

請參照圖3，本發(fā)明還提出了一種系統(tǒng)攻擊檢測系統(tǒng)，包括：

備份模塊，用于創(chuàng)建進程后，新建所述進程的進程上下文，并備份所述進程上下文中的只讀內容，所述只讀內容包括所述進程的用戶信息和權限；

標記模塊，用于標記所述進程處于就緒狀態(tài)；

選擇模塊，用于通過調度器選擇一處于就緒狀態(tài)的進程；

判定模塊，用于若一所述進程當前的進程上下文中的只讀內容與其備份的只讀內容不一致，則判定系統(tǒng)受到攻擊。

進一步地，還包括：

第一執(zhí)行模塊，用于若一所述進程當前的進程上下文與其備份的進程上下文一致，則執(zhí)行一所述進程；

第二執(zhí)行模塊，用于繼續(xù)執(zhí)行所述通過調度器選擇一處于就緒狀態(tài)的進程的步驟。

進一步地，所述選擇模塊具體用于根據(jù)調度器的調度算法，選擇一處于就緒狀態(tài)的進程，所述調度算法包括完全公平調度算法和實時調度算法。

實施例一

請參照圖2，本發(fā)明的實施例一為：一種系統(tǒng)攻擊檢測方法，適用于android、linux系統(tǒng)等終端和桌面設備，包括如下步驟：

s1：創(chuàng)建進程后，新建所述進程的進程上下文，并備份所述進程上下文中的只讀內容，所述只讀內容包括所述進程的用戶信息和權限；具體地，在內核空間或用戶空間創(chuàng)建進程，進一步地，可通過do_fork()函數(shù)創(chuàng)建進程并創(chuàng)建進程描述符以及子進程執(zhí)行所需要的所有其他內核數(shù)據(jù)結構；進程創(chuàng)建后，在標記其為就緒狀態(tài)之前，新建所述進程的進程上下文，此時默認第一次新建進程時進程上下文是安全的；然后對所述進程上下文中的只讀內容進行備份，并保存至所述進程的任務數(shù)據(jù)結構中。

s2：標記所述進程處于就緒狀態(tài)；處于就緒狀態(tài)的進程等待調度器調度。

s3：通過調度器選擇一處于就緒狀態(tài)的進程；具體地，根據(jù)調度器的調度算法，選擇一處于就緒狀態(tài)的進程，所述調度算法包括完全公平調度算法(cfs)和實時調度算法，當然，也可包括其他調度算法。

s4：判斷一所述進程當前的進程上下文中的只讀內容與其備份的只讀內容是否一致，若否，則執(zhí)行步驟s5，若是，則執(zhí)行步驟s6。

s5：判定系統(tǒng)受到攻擊，發(fā)出系統(tǒng)攻擊警報。

s6：執(zhí)行一所述進程；返回執(zhí)行步驟s3。若一處于執(zhí)行狀態(tài)的進程運行的時間片結束后未接收到結束進程的通知則可繼續(xù)等待調度器調度，若接收到結束進程的通知則退出，即執(zhí)行do_exit()函數(shù)。

linux和android系統(tǒng)中，一個對象操作另一個對象時通常要做安全性檢查。如一個進程操作一個文件，要檢查進程是否有權限操作該文件。credential機制，正是對象間訪問所需權限的抽象；主體提供自己權限的證書，客體提供訪問自己所需權限的證書，根據(jù)主客體提供的證書及操作做安全性檢查。其中，客體指用戶空間程序直接可以操作的系統(tǒng)對象，如進程、文件、消息隊列、信號量、共享內存等；主體指操作客體的對象，一般為進程。當主體操作客體時，根據(jù)主體上下文、客體上下文、操作來做安全計算，查找規(guī)則看主體是否有權限操作客體。

進程上下文中的只讀內容包括所述進程的用戶信息和權限，也就是說，進程的用戶信息和權限一般是處于只讀狀態(tài)，不可編輯修改，若發(fā)現(xiàn)進程的用戶信息和權限發(fā)生改變，則判定系統(tǒng)可能遭受攻擊。

本實施例通過調度器實時調度檢查進程的上下文，可以實時監(jiān)控所有進程的運行狀態(tài)，從而可以提早發(fā)現(xiàn)對系統(tǒng)的攻擊行為；相對于被動的分區(qū)保護、數(shù)據(jù)加密等保護方式，可以較早地對系統(tǒng)的攻擊的行為做出相應的對策，從而更好地保證了系統(tǒng)的安全性和完整性。

實施例二

請參照圖4，本實施例是對應上述實施例的一種系統(tǒng)攻擊檢測系統(tǒng)，包括：

備份模塊1，用于創(chuàng)建進程后，新建所述進程的進程上下文，并備份所述進程上下文中的只讀內容，所述只讀內容包括所述進程的用戶信息和權限；

標記模塊2，用于標記所述進程處于就緒狀態(tài)；

選擇模塊3，用于通過調度器選擇一處于就緒狀態(tài)的進程；

判定模塊4，用于若一所述進程當前的進程上下文中的只讀內容與其備份的只讀內容不一致，則判定系統(tǒng)受到攻擊。

進一步地，還包括：

第一執(zhí)行模塊5，用于若一所述進程當前的進程上下文與其備份的進程上下文一致，則執(zhí)行一所述進程；

第二執(zhí)行模塊6，用于繼續(xù)執(zhí)行所述通過調度器選擇一處于就緒狀態(tài)的進程的步驟。

進一步地，所述選擇模塊3具體用于根據(jù)調度器的調度算法，選擇一處于就緒狀態(tài)的進程，所述調度算法包括完全公平調度算法和實時調度算法。

綜上所述，本發(fā)明提供的一種系統(tǒng)攻擊檢測方法及其系統(tǒng)，通過在進程創(chuàng)建后立即新建進程上下文，保證此時的進程上下文記錄的是進程處于安全狀態(tài)下的狀態(tài)信息，從而保證此時備份的進程上下文中的只讀內容也是安全的；通過在進程執(zhí)行前，判斷進程當前的進程上下文中的只讀內容與其備份的只讀內容是否一致，進而判斷進程或數(shù)據(jù)是否遭到篡改，從而判斷系統(tǒng)是否受到攻擊；通過調度器實時調度檢查進程的上下文，可以實時監(jiān)控所有進程的運行狀態(tài)，從而可以提早發(fā)現(xiàn)對系統(tǒng)的攻擊行為；相對于被動的分區(qū)保護、數(shù)據(jù)加密等保護方式，可以較早地對系統(tǒng)的攻擊的行為做出相應的對策，從而更好地保證了系統(tǒng)的安全性和完整性。

以上所述僅為本發(fā)明的實施例，并非因此限制本發(fā)明的專利范圍，凡是利用本發(fā)明說明書及附圖內容所作的等同變換，或直接或間接運用在相關的技術領域，均同理包括在本發(fā)明的專利保護范圍內。