專利名稱:一種數(shù)據(jù)安全交換進程監(jiān)管方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計算機安全技術(shù)領(lǐng)域,尤其涉及一種數(shù)據(jù)安全交換進程監(jiān)管方法及系統(tǒng)����。
背景技術(shù):
當(dāng)前,隨著社會信息化的飛速發(fā)展��,對信息系統(tǒng)兩方面的需求愈加凸顯����。其ー是安 全隔離的需求信息安全是維護國家安全、社會穩(wěn)定以及保障和促進信息化健康發(fā)展的基本策略���,因此��,為保證信息系統(tǒng)的安全�����,需要對擁有不同安全需求的信息系統(tǒng)進行安全域劃分��,并在劃分的安全域邊界采用安全隔離技術(shù)措施��,以防止來自外部的非法攻擊和內(nèi)部的非法數(shù)據(jù)泄露���;其ニ是信息共享的需求信息的互通���、資源的共享是現(xiàn)代信息技術(shù)的精神實質(zhì),是國家信息化建設(shè)的本質(zhì)要求���、故信息共享成為當(dāng)前信息領(lǐng)域一大需求�����。在上述既要保證信息系統(tǒng)的安全���,又要能夠?qū)π畔⑾到y(tǒng)進行數(shù)據(jù)交換、信息共享的背景下���,安全交換技術(shù)應(yīng)運而生。目前的安全交換技術(shù)主要有硬件隔離技術(shù)���、認證技術(shù)�、XML (Extensible MarkupLanguage,可擴展標記語言)技術(shù)以及專用通信協(xié)議技木��。其中��,硬件隔離技術(shù)�����,是通過專用硬件使不連通的兩個或兩個以上的網(wǎng)絡(luò)進行網(wǎng)絡(luò)之間的安全數(shù)據(jù)傳輸和資源共享的技術(shù),該技術(shù)滿足安全隔離的要求���,可以防止黑客直接建立的攻擊����。但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展對于黑客利用第三方進行的間接攻擊如端ロ反彈型攻擊等并不能起到很好的安全防護作用�����;認證技術(shù)認證的是交換節(jié)點��,而不能對交換進程進行認證�,即不能保證經(jīng)過認證的可信節(jié)點上所運行的進程是否可信;XML技術(shù)很好地解決了安全交換中數(shù)據(jù)異構(gòu)的問題�����,并且還可以通過XML的加密技術(shù)對所交換的數(shù)據(jù)進行保護�,但卻不能對交換進程本身的安全進行保護;專用通訊協(xié)議技術(shù)放棄了使用 TCP/IP (Transmission Control Protocol/InternetProtocol,傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議)的協(xié)議族��,其應(yīng)用特定的通信協(xié)議,提供專用的通信接ロ�����,來建立一條專用的交換通道�,但這只保證了交換通道的安全,并不能避免交換進程被攻擊后����,攻擊者利用這條通道竊取數(shù)據(jù)??梢姡鲜龇椒ň磳粨Q進程進行保護�,進一歩在交換過程被攻擊吋,數(shù)據(jù)交換的安全性降低�����。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明的目的在于提供一種數(shù)據(jù)安全交換進程監(jiān)管方法及平臺����,以實現(xiàn)從對交換進程監(jiān)管的角度對數(shù)據(jù)交換進行保護����,進而提高數(shù)據(jù)交換的安全性和可靠性�����。為此��,本發(fā)明提供如下技術(shù)方案一種數(shù)據(jù)安全交換進程監(jiān)管方法����,包括截獲啟動交換進程的請求���;對所述交換進程所包括的交換程序的完整性進行認證��;在交換進程啟動后���,接收所述交換進程的注冊請求;
依據(jù)所述注冊請求對所述交換進程進行注冊���,產(chǎn)生注冊信息����;依據(jù)所述注冊信息提取所述交換進程的實時行為數(shù)據(jù)����,并對所述實時行為數(shù)據(jù)進行預(yù)處理�;對預(yù)處理后的實時行為數(shù)據(jù)進行建模�����,獲取建模模型���,依據(jù)預(yù)設(shè)規(guī)則對所述建模模型進行評估�����;依據(jù)所述評估的評估結(jié)果�,控制所述交換進程的運行�。優(yōu)選的,所述注冊信息包括所述交換進程的進程控制符PID及所述交換進程所包括的交換程序的摘要信息�����。優(yōu)選的�����,所述依據(jù)所述注冊信息提取所述交換進程的實時行為數(shù)據(jù)����,并對所述實時行為數(shù)據(jù)進行預(yù)處理包括 根據(jù)交換進程的PID,提取所述交換進程的系統(tǒng)調(diào)用序列�����,作為所述實時行為數(shù)據(jù)���;將所述系統(tǒng)調(diào)用序列中的每一系統(tǒng)調(diào)用替換為與之相應(yīng)的系統(tǒng)調(diào)用序號�����,產(chǎn)生序號形式的系統(tǒng)調(diào)用序列��;提取所述序號形式的系統(tǒng)調(diào)用序列的特征模式�,并對所述特征模式進行編號�����,產(chǎn)生特征模式編號�����;對所述序號形式的系統(tǒng)調(diào)用序列進行壓縮處理�����,則壓縮處理后的系統(tǒng)調(diào)用序列為由所述系統(tǒng)調(diào)用序號以及所述特征模式編號混合構(gòu)成的序列。優(yōu)選的�����,所述對預(yù)處理后的實時行為數(shù)據(jù)進行建模��,獲取建模模型��,依據(jù)預(yù)設(shè)規(guī)則對所述建模模型進行評估包括使用Markov模型λ =(Φ�,π,P)對經(jīng)過所述預(yù)處理的系統(tǒng)調(diào)用序列進行建模����,其中Φ = {Α,C2, - ,Ci, - ,Cn, Cn+1}����,I彡i彡!!,Ci表示系統(tǒng)調(diào)用或特征模式的狀態(tài),Clri表示之前沒有出現(xiàn)過的系統(tǒng)調(diào)用的狀態(tài)���;Ji ={> CJ����,π Ci=NCi/N, π表示實時行為軌跡中不同系統(tǒng)調(diào)用或特征模式出現(xiàn)的概率,Nci表示狀態(tài)Ci對應(yīng)的系統(tǒng)調(diào)用或特征模式在壓縮后的實時行為軌跡中出現(xiàn)的次數(shù)��,N表示實時行為軌跡的長度����,令nCn+1=min (πα)/10;P= I Pci�;cJ I (郵咖”卩^^ぃノ^^バ彡^彡ル卩表示不同系統(tǒng)調(diào)用或特征模式之間轉(zhuǎn)換的概率,Pc^cu.表示交換進程在t時刻處于狀態(tài)Ci, t+Ι時刻處于狀態(tài)Cj的概率����,Nci;cj表示狀態(tài)Ci和狀態(tài)Cj.相鄰出現(xiàn)的次數(shù)����,令Ρε ,εη+1=π η (Pci��;cj) /10;依據(jù)公式V (L)=JI Ci*Pci,ci+l*Pci+l, ci+2-*Pci+L-2,ci+L-l 計算���、檢測長為 L 的狀態(tài)短序列C1C2-Ci^Cn的異常度��,并對最近檢測的k個狀態(tài)短序列中異常度小于第一閾值的個數(shù)進行計數(shù)��,當(dāng)計數(shù)值大于第二閾值時���,評估結(jié)果為異常��。優(yōu)選的�,所述對所述交換進程所包括的交換程序的完整性進行認證的認證過程包括獲取所述交換進程的啟動文件的摘要信息��;依據(jù)所述摘要信息計算所述啟動文件的摘要值�����;對所述啟動文件的摘要值以文檔為單位分別進行級聯(lián)���,并對級聯(lián)后的摘要值進行HASH計算����;
將所述HASH計算后的摘要值與預(yù)設(shè)值進行匹配��,若匹配成功�����,則允許啟動交換進程���,若不成功�,則修復(fù)所述交換進程所包括的交換程序,轉(zhuǎn)至執(zhí)行獲取所述交換進程的啟動文件的摘要信息��。優(yōu)選的����,所述啟動文件包括可執(zhí)行文件����、動態(tài)鏈接庫文件、配置文件和初始化文件�����。優(yōu)選的�����,所述依據(jù)所述評估的評估結(jié)果����,控制所述交換進程的運行包括若評估結(jié)果為異常,則發(fā)出異常警報���,并終止交換進程����;否則,繼續(xù)對交換進程進行監(jiān)管���。一種數(shù)據(jù)安全交換進程監(jiān)管系統(tǒng)����,基于所述數(shù)據(jù)安全交換進程監(jiān)管方法�����,包括認證模塊�����、注冊模塊�����、預(yù)處理模塊��、建模與評估模塊以及控制模塊���,其中 所述認證模塊�,用于接收啟動交換進程的請求,對所述交換進程所包括的交換程序的完整性進行認證��;所述注冊模塊����,用于在交換進程啟動后,接收所述交換進程的注冊請求�,并依據(jù)所述注冊請求對所述交換進程進行注冊,產(chǎn)生注冊信息���;所述預(yù)處理模塊,用于依據(jù)所述注冊信息提取所述交換進程的實時行為數(shù)據(jù)���,并對所述實時行為數(shù)據(jù)進行預(yù)處理�����;所述建模與評估模塊�����,用于對預(yù)處理后的實時行為數(shù)據(jù)進行建模��,獲取建模模型����,依據(jù)預(yù)設(shè)規(guī)則對所述建模模型進行評估;所述控制模塊��,用于依據(jù)所述評估的評估結(jié)果�����,控制所述交換進程的運行���。優(yōu)選的�����,所述認證模塊包括獲取模塊��,用于獲取所述交換進程的啟動文件的摘要信息���;計算模塊,用于依據(jù)所述摘要信息計算所述啟動文件的摘要值���;處理模塊���,用于對所述啟動文件的摘要值以文檔為單位分別進行級聯(lián)�����,并對級聯(lián)后的摘要值進行HASH計算���;匹配模塊,用于將所述HASH計算后的摘要值與預(yù)設(shè)值進行匹配�����,若匹配成功�,則啟動交換進程,若不成功��,則轉(zhuǎn)至下述修復(fù)模塊�;修復(fù)模塊���,用于修復(fù)所述交換進程所包括的交換程序��,之后轉(zhuǎn)至所述獲取模塊��。本發(fā)明實施例提供的數(shù)據(jù)安全交換進程監(jiān)管方法在交換進程啟動前對所述交換進程所包括的交換程序的完整性進行認證���;在其啟動后對所述交換進程進行注冊�、依據(jù)所述注冊信息提取所述交換進程的實時行為數(shù)據(jù)���,并對所述實時行為數(shù)據(jù)進行預(yù)處理�;進而對經(jīng)過所述預(yù)處理后的實時行為數(shù)據(jù)進行建模���,并依據(jù)預(yù)設(shè)規(guī)則對所建模型進行評估���,最后依據(jù)評估結(jié)果對所述交換進程進行控制?����?梢?,本發(fā)明的方法通過對啟動前靜態(tài)方式的交換進程的認證以及對啟動后動態(tài)運行方式的交換進程的預(yù)處理、建模����、評估及評估基礎(chǔ)上對交換進程的控制,實現(xiàn)了對交換進程的整個生命周期的監(jiān)管���,從而實現(xiàn)了從對交換進程監(jiān)管的角度對數(shù)據(jù)交換進行保護的目的����,進而提高了數(shù)據(jù)交換的安全性和可靠性。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地�����,下面描述中的附圖是本發(fā)明的一些實施例��,對于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動的前提下���,還可以根據(jù)這些附圖獲得其他的附圖。圖I是本發(fā)明實施例提供的數(shù)據(jù)安全交換進程監(jiān)管方法的實施平臺結(jié)構(gòu)圖����;圖2是本發(fā)明實施例提供的交換進程監(jiān)管架構(gòu)示意圖��;圖3是本發(fā)明實施例提供的數(shù)據(jù)安全交換進程監(jiān)管方法的流程示意圖����;圖4是本發(fā)明實施例提供的程序完整性認證的流程示意圖���;圖5是本發(fā)明實施例提供的程序完整性認證的具體實例圖;圖6是本發(fā)明實施例提供的系統(tǒng)調(diào)用序列提取及預(yù)處理的流程示意圖�;
圖7是本發(fā)明實施例提供的系統(tǒng)調(diào)用序列提取及預(yù)處理的具體實例圖;圖8是本發(fā)明實施例提供的建模與評估過程流程示意圖����;圖9是本發(fā)明實施例提供的數(shù)據(jù)安全交換進程監(jiān)管系統(tǒng)結(jié)構(gòu)圖。
具體實施例方式為了引用和清楚起見����,下文中使用的技術(shù)名詞、簡寫或縮寫總結(jié)解釋如下節(jié)點節(jié)點分為交換主節(jié)點和交換從節(jié)點�,節(jié)點實際是指一臺電腦或者一個擁有獨立物理地址和具有傳送或接收數(shù)據(jù)功能的與網(wǎng)絡(luò)相連的其他設(shè)備。為使本發(fā)明實施例的目的�、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術(shù)方案進行清楚�����、完整地描述��,顯然,所描述的實施例是本發(fā)明一部分實施例����,而不是全部的實施例?��;诒景l(fā)明中的實施例���,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍����。本發(fā)明實施例公開了ー種數(shù)據(jù)安全交換進程監(jiān)管方法,該方法所基于的平臺�����,請參見圖1���,包括交換主節(jié)點和交換從節(jié)點�����,交換主節(jié)點在該平臺中處于中心位置��,交換從節(jié)點安裝在該平臺的各個終端上��。交換主節(jié)點以某種形式為用戶提供管理界面�����,如B/S (BiOwser/Server��,瀏覽器/服務(wù)器)模式等����,使用戶可以通過管理界面對各個交換從節(jié)點進行統(tǒng)一的配置����,監(jiān)控和管理,繼而交換主節(jié)點將用戶對于交換從節(jié)點的配置信息按照一定的格式轉(zhuǎn)換為配置文件并下發(fā)給交換從節(jié)點���,從而���,在交換從節(jié)點啟動之前,交換主節(jié)點可通過配置文件對交換從節(jié)點進行認證����,以保證交換從節(jié)點的合法性����。為了保證數(shù)據(jù)交換的安全性���,防止交換進程被木馬等惡意程序攻擊��,需要對交換進程進行實時的監(jiān)管�。交換主節(jié)點上運行監(jiān)管服務(wù)���,負責(zé)交換從節(jié)點之間的文件安全交換�����,交換從節(jié)點之間不能直接進行文件交換�,即交換從節(jié)點將交換進程的行為上報到交換主節(jié)點���,由交換主節(jié)點對交換進程的行為進行評估并裁決���,進而,交換從節(jié)點根據(jù)裁決的結(jié)果�,對交換進程進行終止/繼續(xù)的控制,從而保證了數(shù)據(jù)交換的安全性。上述平臺在實施時�,其功能具體可通過監(jiān)管服務(wù)器和監(jiān)管代理實現(xiàn),并輔以相關(guān)的底層通信設(shè)施����。請參見圖I和圖2����,監(jiān)管服務(wù)器位于交換主節(jié)點,負責(zé)存儲與進程監(jiān)管相關(guān)的信息���,如程序靜態(tài)完整性信息�,程序備份及進程行為模型等���;監(jiān)管代理位于交換主節(jié)點和交換從節(jié)點���,是進程監(jiān)管的具體實施者,負責(zé)完整性認證���、程序修復(fù)���、進程注冊,建模及評估等。
以下本發(fā)明實施例將基于上述平臺對數(shù)據(jù)安全交換進程監(jiān)管方法進行詳細介紹���。請參見圖3���,其為本發(fā)明實施例提供的數(shù)據(jù)安全交換進程監(jiān)管方法的流程圖,該方法包括如下步驟SI :截獲啟動交換進程的請求���。S2 :對上述交換進程所包括的交換程序的完整性進行認證���。具體地,請參見圖4����,對交換進程所包括的交換程序的完整性認證的詳細過程為S21 :獲取上述交換進程的啟動文件的摘要信息。��、S22 :依據(jù)摘要信息計算啟動文件的摘要值��。S23 :對啟動文件的摘要值以文檔為單位分別進行級聯(lián)�����,并對級聯(lián)后的摘要值進行HASH計算����。S24 :將HASH計算后的摘要值與預(yù)設(shè)值進行匹配�,若匹配成功�,若匹配成功,則轉(zhuǎn)至步驟S25 ;否則�����,轉(zhuǎn)至步驟S26�。S25 ;允許啟動交換進程��。S26 :修復(fù)交換進程所包括的交換程序�����,之后轉(zhuǎn)至步驟S21���。相應(yīng)于上述平臺����,為保證數(shù)據(jù)交換的安全�����,交換進程需要在監(jiān)管代理的控制下啟動。即在交換進程加載前���,監(jiān)管代理對交換進程所包括的交換程序的完整性進行度量���,并將度量結(jié)果上報到監(jiān)管服務(wù)器;監(jiān)管服務(wù)器根據(jù)度量結(jié)果進行裁決���,并將裁決結(jié)果返回值監(jiān)管代理��;進而監(jiān)管代理根據(jù)裁決結(jié)果決定是否允許啟動交換進程�。參見圖5���,以下以發(fā)送進程SndP和接收進程RcvP為例�,對上述完整性認證的過程進行詳細介紹發(fā)送進程SndP和接收進程RcvP請求啟動以進行交換任務(wù)�。監(jiān)管代理接收到發(fā)送進程SndP和接收進程RcvP的啟動請求,之后收集發(fā)送進程SndP和接收進程RcvP的相關(guān)啟動文件�����。其中���,相關(guān)啟動文件包括.exe可執(zhí)行文件�����、.dll動態(tài)鏈接庫文件�、.conf配置文件和.ini初始化文件等,發(fā)送進程SndP的相關(guān)啟動文件包括F1. exe、L1. dll以及I1. ini�����,接收進程RcvP的相關(guān)啟動文件包括F2. exe���、L1. dll����、L2. dll及 C1. conf�����。監(jiān)管代理計算發(fā)送進程SndP和接收進程RcvP的相關(guān)啟動文件的摘要值���。具體地�,對摘要值的計算可選擇MD5 (Message-Digest Algorithm5,消息摘要算法第五版)或SHA(Secure Hash Algorithm,安全散列算法)等。此處,將計算得出的發(fā)送進程SndP的相關(guān)啟動文件F1. exe��、L1. dll以及I1. ini的摘要值分別記為H1,H2���、H6,將接收進程RcvP的相關(guān)啟動文件L1. dll��、F2. exe�、L2. dll及C1. conf的摘要值分別記為H2、H3�、H4和Hgo監(jiān)管代理將上述發(fā)送進程SndP和接收進程RcvP的相關(guān)文件的摘要值分別進行級聯(lián),并再次進行HASH計算��,得HtH11 H21H6]和H[H21H31H41H5]�����,并以此作為認證交換進程所包括的交換程序的完整性認證的依據(jù)�����。監(jiān)管代理將上述級聯(lián)結(jié)果以ニ元組的形式〈SndP’H^lAlHe]����,<RcvP, H[H21H31H41H5] >發(fā)送至監(jiān)管服務(wù)器,并請求監(jiān)管服務(wù)器對其進行驗證����。監(jiān)管服務(wù)器將收到的ニ元組與該監(jiān)管服務(wù)器內(nèi)的數(shù)據(jù)庫中的程序靜態(tài)完整性信息進行匹配��,若匹配成功����,返回Authorized至監(jiān)管代理�����,則監(jiān)管代理允許啟動交換進程����;否貝1J,返回Unauthorized至監(jiān)管代理,并繼續(xù)以下步驟��。
監(jiān)管代理接收到監(jiān)管服務(wù)器返回的Unauthorized����,則交換進程所包括的交換程序的完整性認證失敗�,說明程序遭到了篡改或破壞,則監(jiān)管代理不允許啟動交換進程��,將該情況記錄至監(jiān)管服務(wù)器中����,并對交換進程進行靜態(tài)完整性修復(fù)��,即監(jiān)管代理重新從監(jiān)管服務(wù)器的程序備份中下載交換進程所包括的交換程序�����,完成修復(fù)�,之后重新對修復(fù)后的交換程序進行完整性認證��。S3 :在交換進程啟動后���,接收交換進程的注冊請求����。S4 :依據(jù)注冊請求對交換進程進行注冊�����,產(chǎn)生注冊信息�����。其中�����,上述注冊■信息包括交換進程的PID (Process Identifier,進程控制符)及上述交換程序的摘要信息。交換進程的PID用于描述一個交換任務(wù)實例�,交換程序的摘要信息包括交換進程的版本、功能����、行為模型等信息。上述注冊信息存儲在監(jiān)管代理的數(shù)據(jù)庫 中����。交換進程啟動后,監(jiān)管代理可根據(jù)交換進程的PID對其進行跟蹤���,以便后續(xù)對其進行實時監(jiān)管及評估處理���。S5 :依據(jù)注冊信息提取交換進程的實時行為數(shù)據(jù),并對實時行為數(shù)據(jù)進行預(yù)處理�。當(dāng)交換程序經(jīng)過認證,交換進程啟動后����,交換程序的完整性即交換進程的靜態(tài)完整性得到了保障��,而正在運行的交換進程依然隨時面臨著被入侵、破壞的可能��。因此�����,監(jiān)管代理需提取交換進程的實時行為數(shù)據(jù)���,并依據(jù)實時行為數(shù)據(jù)對交換進程的安全性和可靠性進行評估�,完成對交換進程的監(jiān)管�����。進程的行為可以在不同層次上進行描述����,如庫函數(shù)、系統(tǒng)調(diào)用�����、匯編代碼�����。機器碼等。本發(fā)明實施例將在系統(tǒng)調(diào)用層次對交換進程的描述作為優(yōu)選���,對于正常的系統(tǒng)調(diào)用來說����,系統(tǒng)調(diào)用序列具有規(guī)律性�����,而當(dāng)系統(tǒng)調(diào)用遭到破壞�,其所對應(yīng)的系統(tǒng)調(diào)用序列與正常時的系統(tǒng)調(diào)用序列會有較為明顯的區(qū)別,本發(fā)明將該特點作為對交換進程進行評估的依據(jù)���。參見圖6�,在系統(tǒng)調(diào)用層次上�,上述步驟5中提取及預(yù)處理的詳細步驟如下S51 :根據(jù)交換進程的PID,提取交換進程的系統(tǒng)調(diào)用序列�����,作為實時行為數(shù)據(jù)���。S52 :將系統(tǒng)調(diào)用序列中的每一系統(tǒng)調(diào)用替換為與之相應(yīng)的系統(tǒng)調(diào)用編號���,產(chǎn)生序號形式的系統(tǒng)調(diào)用序列。S53:提取序號形式的系統(tǒng)調(diào)用序列的特征模式�,并對特征模式進行編號,產(chǎn)生特征模式編號�����。S54:對序號形式的系統(tǒng)調(diào)用序列進行壓縮處理�����,則壓縮處理后的系統(tǒng)調(diào)用序列為由系統(tǒng)調(diào)用序號以及特征模式編號混合構(gòu)成的序列����。參見圖7,以下以Linux系統(tǒng)下對交換進程的實時行為數(shù)據(jù)的提取和預(yù)處理為例�����,對上述提取及預(yù)處理的過程進行詳細描述在Linux系統(tǒng)下使用strace命令���,以得到指定PID的交換進程的系統(tǒng)調(diào)用序列�。具體命令為=Strace -pPID���,其中-P是指使用其后的PID來追蹤交換進程���,最終得到數(shù)據(jù)格式為 sys_call (parameterI, parameter〗...)的系統(tǒng)調(diào)用序列��。根據(jù)Linux內(nèi)核中usr/include/sys/syscall. h里的系統(tǒng)調(diào)用與其序號的對應(yīng)關(guān)系�,將系統(tǒng)調(diào)用替換為系統(tǒng)調(diào)用序號���,產(chǎn)生序號形式的系統(tǒng)調(diào)用序列�����。實現(xiàn)的過程為利用Linux系統(tǒng)中的管道機制,使用命令strace-pPID I process將得到的上述系統(tǒng)調(diào)用序列重定向到數(shù)據(jù)預(yù)處理程序�����。其中��,“ I ”表示管道��,即將“ I ”前的程序的標準輸出重定向到其后程序的標準輸入�,process為行為數(shù)據(jù)預(yù)處理程序�,該process預(yù)處理程序?qū)ι鲜鱿到y(tǒng)調(diào)用序列進行預(yù)處理并使其按格式〈pid, sys_call_num>輸出,其中�����,sys_call_num為系統(tǒng)調(diào)用序號。提取序號形式的系統(tǒng)調(diào)用序列的特征模式并對特征模式進行編號���。對于序號形式的系統(tǒng)調(diào)用序列T,若其中的系統(tǒng)調(diào)用短序列I的支持度大于設(shè)定的閾值���,則I稱為系統(tǒng)調(diào)用序列T的特征模式����。支持度是指系統(tǒng)調(diào)用短序列作為ー個整體在系統(tǒng)調(diào)用序列中出現(xiàn)的概率��。則上述提取特征模式的過程為利用公式sliP(j) = 計算系統(tǒng)調(diào)用短序列I的
支持度��,其中Ien (T)表示系統(tǒng)調(diào)用序列T的長度����,即含有的系統(tǒng)調(diào)用的個數(shù),Xu表示系統(tǒng)調(diào)用短序列在T中出現(xiàn)的次數(shù)����。進而依據(jù)支持度及預(yù)設(shè)的閾值確定特征模式。對特征模式的編號采用類似系統(tǒng)調(diào)用的編號的方式���,由于一般的操作系統(tǒng)中���,系 統(tǒng)調(diào)用的個數(shù)不會超過300個�,因此�����,為了避免混淆�,對特征模式使用大于300的數(shù)字進行編號。本實施例中����,對提取的特征模式作進ー步處理尋找長度為I的特征模式,即滿足最低支持度的單個系統(tǒng)調(diào)用��;在此基礎(chǔ)上�,將相鄰的兩個長度為I的特征模式合并為長度為2的特征模式;然后��,再將上述長度為2的特征模式與其相鄰的長度為I的特征模式進行合并����,得長度為3的特征模式;依此類推��,直到?jīng)]有新的更長的特征模式出現(xiàn)。在上述基礎(chǔ)上����,構(gòu)建特征模式庫,在構(gòu)建時�����,為了壓縮特征模式庫的大小����,進而使系統(tǒng)調(diào)用序列更為簡潔�,具體采用長度優(yōu)先原則,即若存在較長的特征模式����,就不再單獨列舉其包含的較短的特征模式。最后�,對序號形式的系統(tǒng)調(diào)用序列進行壓縮,壓縮后的系統(tǒng)調(diào)用序列為由上述系統(tǒng)調(diào)用序號與上述特征模式編號混合構(gòu)成的序列�����。S6:對預(yù)處理后的實時行為數(shù)據(jù)進行建模���,獲取建模模型���,依據(jù)預(yù)設(shè)規(guī)則對上述建模模型進行評估����。前已述及����,對于正常的交換進程來說,其系統(tǒng)調(diào)用序列具有較強的規(guī)律性�����,本實施例通過使用Markov模型對系統(tǒng)調(diào)用序列進行建模與評估來掲示系統(tǒng)調(diào)用序列是否具有該規(guī)律性����,進而判斷交換進程是否存在異常。監(jiān)管代理從監(jiān)管服務(wù)器中下載交換進程的進程行為模型����,即上述Markov模型,將其存入監(jiān)管代理數(shù)據(jù)庫中����,并基于該Markov模型�,對預(yù)處理后的系統(tǒng)調(diào)用序列進行建模和評估�。監(jiān)管代理數(shù)據(jù)庫中數(shù)據(jù)存儲的字段如下述表I所示表I
pel
Pid用于描述交換任務(wù)實例
程序的唯一標識,采用程序的摘要值ver程序的版本號
權(quán)利要求
1.一種數(shù)據(jù)安全交換進程監(jiān)管方法���,其特征在于�,包括 截獲啟動交換進程的請求�; 對所述交換進程所包括的交換程序的完整性進行認證; 在交換進程啟動后��,接收所述交換進程的注冊請求���; 依據(jù)所述注冊請求對所述交換進程進行注冊,產(chǎn)生注冊信息��; 依據(jù)所述注冊信息提取所述交換進程的實時行為數(shù)據(jù)�����,并對所述實時行為數(shù)據(jù)進行預(yù)處理�����; 對預(yù)處理后的實時行為數(shù)據(jù)進行建模,獲取建模模型�,依據(jù)預(yù)設(shè)規(guī)則對所述建模模型進行評估; 依據(jù)所述評估的評估結(jié)果����,控制所述交換進程的運行。
2.根據(jù)權(quán)利要求I所述的數(shù)據(jù)安全交換進程監(jiān)管方法�����,其特征在于����,所述注冊信息包括所述交換進程的進程控制符PID及所述交換進程所包括的交換程序的摘要信息。
3.根據(jù)權(quán)利要求2所述的數(shù)據(jù)安全交換進程監(jiān)管方法�����,其特征在于��,所述依據(jù)所述注冊信息提取所述交換進程的實時行為數(shù)據(jù)����,并對所述實時行為數(shù)據(jù)進行預(yù)處理包括 根據(jù)交換進程的PID,提取所述交換進程的系統(tǒng)調(diào)用序列�����,作為所述實時行為數(shù)據(jù); 將所述系統(tǒng)調(diào)用序列中的每一系統(tǒng)調(diào)用替換為與之相應(yīng)的系統(tǒng)調(diào)用序號���,產(chǎn)生序號形式的系統(tǒng)調(diào)用序列��; 提取所述序號形式的系統(tǒng)調(diào)用序列的特征模式����,并對所述特征模式進行編號���,產(chǎn)生特征模式編號��; 對所述序號形式的系統(tǒng)調(diào)用序列進行壓縮處理�����,則壓縮處理后的系統(tǒng)調(diào)用序列為由所述系統(tǒng)調(diào)用序號以及所述特征模式編號混合構(gòu)成的序列。
4.根據(jù)權(quán)利要求3所述的數(shù)據(jù)安全交換進程監(jiān)管方法��,其特征在于����,所述對預(yù)處理后的實時行為數(shù)據(jù)進行建模,獲取建模模型,依據(jù)預(yù)設(shè)規(guī)則對所述建模模型進行評估包括 使用Markov模型入=(0�,, P)對經(jīng)過所述預(yù)處理的系統(tǒng)調(diào)用序列進行建模,其中 O= (C1, C2,…���,Ci,…�,Cn, Cn+1}���,I≤i≤n����,Ci表示系統(tǒng)調(diào)用或特征模式的狀態(tài)����,Cn+1表示之前沒有出現(xiàn)過的系統(tǒng)調(diào)用的狀態(tài); ji={>Ci}�����,Ci=NCi/N, 表示實時行為軌跡中不同系統(tǒng)調(diào)用或特征模式出現(xiàn)的概率����,Nci表示狀態(tài)Ci對應(yīng)的系統(tǒng)調(diào)用或特征模式在壓縮后的實時行為軌跡中出現(xiàn)的次數(shù),N表示實時行為軌跡的長度�,令( Ti Ci) /10 ���;P I Pci, cj I (n+l)*(n+l),Pci, cj ^"ci, cj/^ci I 土�,J =, P表示不同系統(tǒng)調(diào)用或特征模式之間轉(zhuǎn)換的概率�,PcdM表示交換進程在t時刻處于狀態(tài)Ci,t+1時刻處于狀態(tài)G的概率����,NcdM表示狀態(tài)Ci和狀態(tài)Cj相鄰出現(xiàn)的次數(shù),令Pc^art=Hiin (Pci�;cj) /10; 依據(jù)公式V計算、檢測長為L的狀態(tài)短序列C1C2…CiI2Ci^的異常度�����,并對最近檢測的k個狀態(tài)短序列中異常度小于第一閾值的個數(shù)進行計數(shù)���,當(dāng)計數(shù)值大于第二閾值時��,評估結(jié)果為異常���。
5.根據(jù)權(quán)利要求I所述的數(shù)據(jù)安全交換進程監(jiān)管方法����,其特征在于��,所述對所述交換進程所包括的交換程序的完整性進行認證的認證過程包括 獲取所述交換進程的啟動文件的摘要信息��; 依據(jù)所述摘要信息計算所述啟動文件的摘要值�;對所述啟動文件的摘要值以文檔為單位分別進行級聯(lián)����,并對級聯(lián)后的摘要值進行HASH 計算; 將所述HASH計算后的摘要值與預(yù)設(shè)值進行匹配,若匹配成功���,則允許啟動交換進程���,若不成功,則修復(fù)所述交換進程所包括的交換程序����,轉(zhuǎn)至執(zhí)行獲取所述交換進程的啟動文件的摘要信息。
6.根據(jù)權(quán)利要求5所述的數(shù)據(jù)安全交換進程監(jiān)管方法�����,其特征在于��,所述啟動文件包括可執(zhí)行文件、動態(tài)鏈接庫文件�����、配置文件和初 始化文件���。
7.根據(jù)權(quán)利要求I所述的數(shù)據(jù)安全交換進程監(jiān)管方法�����,其特征在于���,所述依據(jù)所述評估的評估結(jié)果,控制所述交換進程的運行包括 若評估結(jié)果為異常�����,則發(fā)出異常警報����,并終止交換進程; 否則��,繼續(xù)對交換進程進行監(jiān)管。
8.一種數(shù)據(jù)安全交換進程監(jiān)管系統(tǒng)�,基于如權(quán)利要求f 7任意一項所述的數(shù)據(jù)安全交換進程監(jiān)管方法,其特征在于���,包括認證模塊、注冊模塊�����、預(yù)處理模塊��、建模與評估模塊以及控制模塊����,其中 所述認證模塊,用于接收啟動交換進程的請求����,對所述交換進程所包括的交換程序的完整性進行認證; 所述注冊模塊����,用于在交換進程啟動后,接收所述交換進程的注冊請求��,并依據(jù)所述注冊請求對所述交換進程進行注冊�,產(chǎn)生注冊信息�����; 所述預(yù)處理模塊��,用于依據(jù)所述注冊信息提取所述交換進程的實時行為數(shù)據(jù)�����,并對所述實時行為數(shù)據(jù)進行預(yù)處理�����; 所述建模與評估模塊�,用于對預(yù)處理后的實時行為數(shù)據(jù)進行建模���,獲取建模模型��,依據(jù)預(yù)設(shè)規(guī)則對所述建模模型進行評估�����; 所述控制模塊����,用于依據(jù)所述評估的評估結(jié)果,控制所述交換進程的運行���。
9.根據(jù)權(quán)利要求8所述的數(shù)據(jù)安全交換進程監(jiān)管系統(tǒng)�����,其特征在于,所述認證模塊包括 獲取模塊����,用于獲取所述交換進程的啟動文件的摘要信息; 計算模塊���,用于依據(jù)所述摘要信息計算所述啟動文件的摘要值����; 處理模塊�,用于對所述啟動文件的摘要值以文檔為單位分別進行級聯(lián),并對級聯(lián)后的摘要值進行HASH計算����; 匹配模塊,用于將所述HASH計算后的摘要值與預(yù)設(shè)值進行匹配,若匹配成功����,則啟動交換進程,若不成功�����,則轉(zhuǎn)至下述修復(fù)模塊�����; 修復(fù)模塊���,用于修復(fù)所述交換進程所包括的交換程序��,之后轉(zhuǎn)至所述獲取模塊�����。
全文摘要
本發(fā)明公開了一種數(shù)據(jù)安全交換進程監(jiān)管方法及系統(tǒng)�����,該方法包括啟動前對交換進程包括的交換程序的完整性進行認證����;啟動后接收交換進程的注冊請求,對交換進程進行注冊���,產(chǎn)生注冊信息�����;依據(jù)注冊信息提取交換進程的實時行為數(shù)據(jù)��,并對實時行為數(shù)據(jù)進行預(yù)處理;對經(jīng)過預(yù)處理的實時行為數(shù)據(jù)建模����,并依據(jù)預(yù)設(shè)規(guī)則對所建模型進行評估;依據(jù)評估結(jié)果對交換進程進行控制���?����?梢?����,該方法通過對啟動前靜態(tài)方式的交換進程的認證及對啟動后動態(tài)運行方式的交換進程的預(yù)處理�����、建模�、評估及評估基礎(chǔ)上對交換進程的控制,實現(xiàn)了對交換進程的整個生命周期的監(jiān)管��,從而實現(xiàn)了從交換進程監(jiān)管的角度對數(shù)據(jù)交換進行保護的目的���,進而提高了數(shù)據(jù)交換的安全性和可靠性�。
文檔編號H04L29/06GK102739690SQ20121024882
公開日2012年10月17日 申請日期2012年7月17日 優(yōu)先權(quán)日2012年7月17日
發(fā)明者夏春濤, 孫奕, 張東巍, 張紅旗, 曹利峰, 杜學(xué)繪, 毛琨, 王超, 陳性元 申請人:中國人民解放軍信息工程大學(xué)