技術特征:1.一種面向Linux服務器的主動安全保障方法���,其特征在于:編譯Linux系統(tǒng)內(nèi)核����,將安全模塊嵌入在Linux系統(tǒng)內(nèi)核中,并且在Linux系統(tǒng)內(nèi)核加載階段即加載安全模塊�,設置安全模塊處于內(nèi)核級運行狀態(tài);
所述安全模塊包括安全策略執(zhí)行模塊�、安全策略仲裁模塊、安全日志記錄模塊以及自身保護模塊����,安全策略執(zhí)行模塊將所有用戶請求加以攔截并提交安全策略仲裁模塊進行仲裁,當安全策略仲裁模塊仲裁為允許時�����,安全策略執(zhí)行模塊放行該請求�����,當安全策略仲裁模塊仲裁為禁止時���,安全策略執(zhí)行模塊禁止該請求�;用戶請求運行結束后�����,系統(tǒng)先將運行結果返回安全模塊,由安全模塊記錄信息后返回給用戶結果�;系統(tǒng)運行全過程中�,自身保護模塊實時檢測安全模塊運行狀態(tài),一旦發(fā)現(xiàn)安全模塊運行出錯立即凍結系統(tǒng)狀態(tài)���,檢查并重新運行安全模塊���,直到安全模塊恢復后再恢復系統(tǒng)狀態(tài);安全日志記錄模塊記錄系統(tǒng)全部操作日志�����,實時備份操作日志并加密�。
2.根據(jù)權利要求1所述的面向Linux服務器的主動安全保障方法,其特征在于:所述安全模塊對用戶進程���、系統(tǒng)防火墻�、系統(tǒng)資源���、文件系統(tǒng)均采用建立黑白灰名單進行管理:
對于用戶進程�,安全模塊為用戶進程建立用戶進程白名單�、黑名單和灰名單�����,當系統(tǒng)試圖運行某個進程時�����,安全模塊對該用戶進程進行仲裁:針對屬于進程白名單中的用戶進程�,安全模塊允許系統(tǒng)調(diào)用該用戶進程���,并提醒用戶該用戶進程已經(jīng)運行����;針對屬于進程黑名單中的用戶進程�,安全模塊禁止系統(tǒng)調(diào)用該用戶進程,并提醒用戶該用戶進程已經(jīng)禁止運行����;針對屬于進程灰名單中的用戶進程,安全模塊定期詢問用戶是否允許該用戶進程運行���,如果用戶許可運行�,則將其從用戶進程灰名單中刪除并加入用戶進程白名單中,如果用戶不允許運行����,則將其從用戶進程灰名單中刪除并加入用戶進程黑名單中;
對任意一個用戶進程�,當該用戶進程首次運行時,安全模塊針對該用戶進程記錄用戶進程的狀態(tài)���,包括:文件讀寫、進程調(diào)用�、運行線程和網(wǎng)絡訪問,后續(xù)該用戶進程再次運行時�,若發(fā)現(xiàn)有與首次運行時記錄的用戶進程的狀態(tài)不同的行為,則將該用戶進程放入用戶進程灰名單中���,并提醒用戶該用戶進程的越權行為����,并再次請求用戶許可���;
對于系統(tǒng)防火墻�,安全模塊為用戶進程的網(wǎng)絡訪問請求建立系統(tǒng)防火墻白名單�、黑名單和灰名單,設置初始的系統(tǒng)防火墻策略為禁止所有的內(nèi)外部網(wǎng)絡訪問請求�;當某個用戶進程試圖訪問網(wǎng)絡時�,安全模塊對該網(wǎng)絡訪問請求進行仲裁:針對屬于系統(tǒng)防火墻白名單中的網(wǎng)絡訪問請求�����,安全模塊允許該網(wǎng)絡訪問請求����,并更新系統(tǒng)防火墻策略,將該網(wǎng)絡訪問請求所對應的防火墻策略加入系統(tǒng)防火墻策略表�,并提醒用戶已經(jīng)放行該網(wǎng)絡訪問請求,當該網(wǎng)絡訪問請求結束時��,立即再次更新系統(tǒng)防火墻策略���,將該網(wǎng)絡訪問請求所對應的防火墻策略從系統(tǒng)防火墻策略表中移除��;針對屬于系統(tǒng)防火墻黑名單中的網(wǎng)絡訪問請求�����,安全模塊阻止該網(wǎng)絡訪問請求����,并提醒用戶已經(jīng)禁止該網(wǎng)絡訪問請求;針對屬于系統(tǒng)防火墻灰名單中的網(wǎng)絡訪問請求��,安全模塊實時詢問用戶是否許可該網(wǎng)絡訪問請求����,若用戶許可,則將該網(wǎng)絡訪問請求加入系統(tǒng)防火墻白名單��,若用戶不許可����,則將該網(wǎng)絡訪問請求加入系統(tǒng)防火墻黑名單;
對任意一個網(wǎng)絡訪問請求�,當其在首次加入系統(tǒng)防火墻白名單時�����,安全模塊針對網(wǎng)絡訪問請求記錄該網(wǎng)絡訪問請求的狀態(tài)�����,包括:IP地址����、端口號、協(xié)議以及調(diào)用后運行的時間和流量消耗統(tǒng)計,在后續(xù)該網(wǎng)絡訪問請求再次請求時�����,若發(fā)現(xiàn)有與首次加入系統(tǒng)防火墻白名單時所記錄的該網(wǎng)絡訪問請求的狀態(tài)不同的行為�����,則重新將網(wǎng)絡訪問請求放入系統(tǒng)防火墻灰名單中��,并提醒用戶該網(wǎng)絡訪問請求的越權行為�,再次請求用戶許可;
對于系統(tǒng)資源���,安全模塊建立包括CPU占用率����、內(nèi)存占用率��、硬盤占用率在內(nèi)的系統(tǒng)資源表�����,實時監(jiān)控查詢各類系統(tǒng)資源占用情況��;同時,為用戶進程建立系統(tǒng)資源占用白名單��、黑名單和灰名單�����,系統(tǒng)資源占用白名單����、黑名單和灰名單中分別記錄位于其中的用戶進程對于各個類型系統(tǒng)資源的最大請求數(shù)目,許可范圍為每類系統(tǒng)資源的最大請求數(shù)目不超過該類系統(tǒng)資源總體的50%�,針對系統(tǒng)資源占用白名單中的用戶進程所請求的系統(tǒng)資源占用給予放行,針對系統(tǒng)資源占用黑名單中的用戶進程所請求的系統(tǒng)資源請求禁止運行�����,針對系統(tǒng)資源占用灰名單中的用戶進程所請求的系統(tǒng)資源請求主動問詢用戶是否放行�;
對于任意一個用戶進程首次運行時�����,安全模塊記錄該用戶進程的資源請求狀態(tài)和資源訪問�,并不斷監(jiān)控后續(xù)該用戶進程運行時對系統(tǒng)資源的占用情況,并根據(jù)其運行狀態(tài)動態(tài)調(diào)整系統(tǒng)資源占用��,一旦某次調(diào)整前后的可占用系統(tǒng)資源的百分比的差值超過5%,則重新將該用戶進程放入系統(tǒng)資源占用灰名單中����,并提醒用戶該用戶進程的越權行為,再次請求用戶許可�����;
一旦出現(xiàn)總體系統(tǒng)資源異常情況�,則主動凍結系統(tǒng)狀態(tài),逐一檢查系統(tǒng)資源占用情況�,將出現(xiàn)異常資源占用的用戶進程從系統(tǒng)資源占用白名單中移除并放入系統(tǒng)資源占用灰名單,然后恢復系統(tǒng)運行����,同時提醒用戶這一異常,如果用戶許可�,再將該用戶進程重新加入系統(tǒng)資源占用白名單中;
對于文件系統(tǒng)�,安全模塊建立文件系統(tǒng)管理表,實時監(jiān)控查詢文件系統(tǒng)讀寫情況����;同時,為用戶進程建立文件讀寫請求白名單�、黑名單和灰名單�����,采用最小特權許可的文件訪問請求����,針對文件讀寫請求白名單中的用戶進程的文件讀寫請求給予放行�����,針對文件讀寫請求黑名單中的用戶進程的文件讀寫請求禁止運行��,針對文件讀寫請求灰名單中的用戶進程的文件讀寫請求主動問詢用戶是否放行��,直到用戶許可后才會放行該文件讀寫請求�����;
對于任意一個用戶進程首次運行時���,安全模塊記錄該用戶進程的文件請求狀態(tài)和文件訪問狀態(tài),包括:文件名�、讀寫請求、文件屬性��、文件大小變動,并不斷監(jiān)控后續(xù)該用戶進程運行時對文件請求的使用情況���,一旦出現(xiàn)異常讀寫情況���,則重新將用戶進程放入文件讀寫請求灰名單中,并提醒用戶該用戶進程的越權行為�,再次請求用戶許可;
一旦出現(xiàn)總體文件系統(tǒng)異常情況�,安全模塊主動凍結系統(tǒng)狀態(tài),逐一檢查文件系統(tǒng)訪問情況�,將出現(xiàn)異常文件訪問的用戶進程從文件讀寫請求白名單中移除并加入文件讀寫請求灰名單中,然后恢復系統(tǒng)運行�����,同時提醒用戶這一異常����,如果用戶許可,再重新將該用戶進程從文件讀寫請求灰名單中移除并加入文件讀寫請求白名單中�;
安全模塊針對所有用戶進程建立單獨的運行用戶、創(chuàng)建獨立的用戶名��,并設定專用運行域�,專用運行域中記錄的內(nèi)容包括該用戶進程可調(diào)用的其他用戶進程或系統(tǒng)進程����、可請求的線程數(shù)目�����、可占用的系統(tǒng)資源類型和數(shù)量����、可使用的網(wǎng)絡訪問請求以及可訪問文件區(qū)域;初始化專用運行域����,建立前述用戶進程、系統(tǒng)防火墻�����、系統(tǒng)資源��、文件系統(tǒng)4種黑白灰名單���,將4種黑白灰名單中的成員首先全部加入至各自對應的灰名單中���,后續(xù)根據(jù)用戶對于每一項請求的許可或者禁止情況再加入各自對應的白名單或者黑名單中;情況1:用戶進程第一次運行時�����,將其從用戶進程灰名單加入用戶進程白名單����、從系統(tǒng)資源占用灰名單加入系統(tǒng)資源占用白名單中,然后許可該用戶進程運行�;如果整個運行過程中,該用戶進程不產(chǎn)生網(wǎng)絡訪問且系統(tǒng)資源占用不超過許可范圍�����,同時不產(chǎn)生文件系統(tǒng)的讀寫���,則不產(chǎn)生其他名單變化���;
情況2:若情況1中的用戶進程運行產(chǎn)生了網(wǎng)絡訪問請求,則記錄該用戶進程的運行狀態(tài)�,并臨時停止該用戶進程,同時將該用戶進程分別從用戶進程白名單移入用戶進程灰名單����、從系統(tǒng)資源占用白名單移入系統(tǒng)資源占用灰名單����;如果用戶允許該網(wǎng)絡訪問請求�����,則恢復該用戶進程的運行狀態(tài)并將該用戶進程分別從用戶進程灰名單中移入用戶進程白名單����、從系統(tǒng)資源占用灰名單移入系統(tǒng)資源占用白名單,并將該網(wǎng)絡訪問請求加入系統(tǒng)防火墻白名單���;如果用戶禁止該網(wǎng)絡訪問請求����,則將該用戶進程完全停止�,并將其分別從用戶進程灰名單移入用戶進程黑名單、從系統(tǒng)資源占用灰名單移入系統(tǒng)資源占用黑名單�����;
情況3:若情況1中的用戶進程運行產(chǎn)生了文件讀寫請求��,則記錄該用戶進程的運行狀態(tài),并臨時停止該用戶進程����,同時將該用戶進程分別從用戶進程白名單移入用戶進程灰名單、從系統(tǒng)資源占用白名單移入系統(tǒng)資源占用灰名單��;如果該用戶進程產(chǎn)生過情況2中的網(wǎng)絡訪問請求�����,將該用戶進程的網(wǎng)絡訪問請求從系統(tǒng)防火墻白名單移入系統(tǒng)防火墻灰名單�;如果用戶允許該用戶進程進行文件讀寫�����,則恢復該用戶進程的運行狀態(tài)���,并將用戶進程分別從用戶進程灰名單移入用戶進程白名單����、從系統(tǒng)資源占用灰名單移入用戶進程白名單�;如果該用戶進程產(chǎn)生了情況2中的網(wǎng)絡訪問請求,則將該用戶進程的網(wǎng)絡訪問請求從系統(tǒng)防火墻灰名單移入系統(tǒng)防火墻白名單�����,并將該用戶進程從文件讀寫請求灰名單移入文件讀寫請求白名單;如果用戶禁止該用戶進程進行文件讀寫���,則將該用戶進程停止���,并將該用戶進程分別從用戶進程灰名單移入用戶進程黑名單、從系統(tǒng)資源占用灰名單移入系統(tǒng)資源占用黑名單�,將該用戶進程的網(wǎng)絡訪問請求從系統(tǒng)防火墻灰名單移入系統(tǒng)防火墻黑名單;
情況4:若情況1中的用戶進程在情況2中描述的網(wǎng)絡訪問請求發(fā)生并被用戶允許后再一次發(fā)生網(wǎng)絡訪問請求����,若本次網(wǎng)絡訪問請求與情況2中的網(wǎng)絡訪問請求的IP或者端口不同,則將本次該用戶進程的網(wǎng)絡訪問請求從系統(tǒng)防火墻白名單移入系統(tǒng)防火墻灰名單�;如果用戶允許了該用戶進程的本次網(wǎng)絡訪問請求,將該用戶進程的本次網(wǎng)絡訪問請求從系統(tǒng)防火墻灰名單移入系統(tǒng)防火墻白名單�,并允許該用戶進程的本次網(wǎng)絡訪問請求;如果用戶禁止了該用戶進程的本次網(wǎng)絡訪問請求���,則將該用戶進程的本次網(wǎng)絡訪問請求從系統(tǒng)防火墻灰名單移入系統(tǒng)防火墻黑名單中����,并禁止該用戶進程的本次網(wǎng)絡訪問請求���;
情況5:若情況1中的用戶進程在情況3中描述的文件讀寫請求發(fā)生并被用戶允許后再一次發(fā)生文件讀寫請求�����,若本次文件讀寫請求與情況3中的文件讀寫請求不同�,則將本次文件讀寫請求的用戶進程加入文件讀寫請求灰名單;如果用戶允許了該用戶進程的本次文件讀寫請求����,將本次文件讀寫請求的用戶進程從文件讀寫請求灰名單移入文件讀寫請求白名單���,并允許該用戶進程的本次文件讀寫請求���;如果用戶禁止了該用戶進程的本次文件讀寫請求,將本次文件讀寫請求的用戶進程從文件讀寫請求灰名單移入文件讀寫請求黑名單��,并禁止該用戶進程的本次文件讀寫請求����。
3.根據(jù)權利要求1所述的面向Linux服務器的主動安全保障方法,其特征在于:安全模塊針對系統(tǒng)運行日志和安全日志進行實時審計�����,建立專用的日志審計管理用戶,非審計用戶不能刪除����、修改日志;同時��,在系統(tǒng)多個位置建立日志存儲區(qū)域���,實時同步記錄完整日志�,并采用高級加密標準AES對日志進行加密���。