CN103778006A - 一种操作***进程控制方法 - Google Patents
一种操作***进程控制方法 Download PDFInfo
- Publication number
- CN103778006A CN103778006A CN201410047995.7A CN201410047995A CN103778006A CN 103778006 A CN103778006 A CN 103778006A CN 201410047995 A CN201410047995 A CN 201410047995A CN 103778006 A CN103778006 A CN 103778006A
- Authority
- CN
- China
- Prior art keywords
- kernel
- operating system
- process control
- control strategy
- execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Stored Programmes (AREA)
Abstract
本发明提供了一种操作***进程控制方法。具体方法步骤为:给***下的每一个可执行文件一个唯一的标识;把所述标识按照执行需要放入执行列表,组成进程控制策略;在***内核中***内核模块,替换hook点函数;内核模块接收进程控制策略并解析,维护执行列表,在计算机上运行任何程序和脚本时,内核模块根据执行列表的进程控制策略决定进程和脚本的执行方法。在最少改变内核代码的情况下,实现强制访问控制模块,对Linux内核影响很小,效率很高,不会带来很大的开销。
Description
技术领域
本发明涉及一种操作***进程控制方法,特别是涉及一种适用于Linux操作***的***进程控制方法。
背景技术
Linux安全子***。其是一种轻量级通用访问控制框架,适合于多种访问控制模型在它上面以内核可加载模块的形式实现。用户可以根据自己的需求选择合适的安全模块加载到内核上实现。
在现有技术中进程控制中,存在着许多管理缺陷,如在systrace***调用中的出现过的***调用干预,因为它不能扩展到多处理器内核,并且它受制于参数替换攻击。
发明内容
本发明要解决的技术问题是提供一种Linux操纵***中,在最少改变内核代码的情况下,实现强制访问控制模块的方法。
本发明采用的技术方案如下: 一种操作***进程控制方法,具体方法步骤为:步骤一、给***下的每一个可执行文件一个唯一的标识;步骤二、把所述标识按照执行需要放入执行列表,组成进程控制策略;步骤三、在***内核中***内核模块,替换hook点函数;步骤四、内核模块接收进程控制策略并解析,维护执行列表,在计算机上运行任何程序和脚本时,内核模块根据执行列表的进程控制策略决定进程和脚本的执行方法。
作为优选,所述步骤一中的唯一标识为采用md5计算方法,计算出的每个可执行文件的特征值。
作为优选,所述步骤二中,把标识按照禁止启动和允许运行的执行需要放入黑白名单执行列表。
作为优选,所述黑名单上的进程是禁止启动的,白名单上的进程是允许运行的。
作为优选,所述***内核为基于内核安全子***框架的。
作为优选,所述步骤一和步骤二在服务器上完成,所述进程控制策略由服务器下发到需要进行进程控制的计算机,并存储在内存中。
作为优选,当有新的进程控制策略下发到需要进行进程控制的计算机时,新的进程控制策略替换之前的进程控制策略。
与现有技术相比,本发明的有益效果是:在最少改变内核代码的情况下,实现强制访问控制模块,对Linux内核影响很小,效率很高,不会带来很大的开销。
进一步的有益效果为:
1、基于内核安全子***框架,支持对所有进程和脚本的控制,可扩展性强;
2、进程控制策略由服务器下发到需要进行进程控制的计算机,控制模块启动后,可以支持控制策略的实时响应。策略修改后,控制方式相应修改,不用重新启动计算机,后台运行,自动启动,不需要关心的用户甚至感觉不到控制模块的存在,控制灵活、准确,进程控制策略可在策略配置管理程序上根据需要随时修改,不同的用户可根据需要进行定制。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本说明书(包括任何附加权利要求和摘要)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
本具体实施例以Linux操纵***为例进行具体说明。
一种操作***进程控制方法,具体方法步骤为:步骤一、给***下的每一个可执行文件一个唯一的标识;步骤二、把所述标识按照执行需要放入执行列表,组成进程控制策略;步骤三、在***内核中***内核模块,替换hook点函数;步骤四、内核模块接收进程控制策略并解析,维护执行列表,在计算机上运行任何程序和脚本时,内核模块根据执行列表的进程控制策略决定进程和脚本的执行方法。
所述步骤一中的唯一标识为采用md5计算方法,计算出的每个可执行文件的特征值。扫描Linux下的可执行文件,包括ELF格式的文件和有执行权限的脚本程序文件,计算出每个文件的特征值,该特征值用于唯一标识可执行文件。采用md5算法,可以达到精确控制某个进程的目的。
采用***内核模块的形式,可动态加载。模块安装到***中后,会随***开机自动运行,达到控制进程执行权限的目的。
所述步骤二中,把标识按照禁止启动和允许运行的执行需要放入黑白名单执行列表。在本具体实施例中,用户把扫描出来的进程按需要划入黑白名单,组成进程控制策略。
其中,所述黑名单上的进程是禁止启动的,白名单上的进程是允许运行的。在机器上运行任何进程和脚本时,内核模块根据黑白名单决定进程和脚本的执行放行与否。根据外设控制策略,在内核维护黑白名单链表,对当前准备执行的进程进行过滤。如果当前进程在黑名单中就向内核返回相应结果,从而***会禁止当前进程执行,达到禁止进程执行目的,如果当前进程通过过滤被放过,同样向内核返回放过的结果,使之能正常启动。
在本具体实施例中,所述步骤一和步骤二在服务器上完成,所述进程控制策略由服务器下发到需要进行进程控制的计算机,并存储在内存中。控制模块启动后,可以支持控制策略的实时响应。策略修改后,控制方式相应修改,不用重新启动计算机。服务器后台启动,自动启动,不需要关心的用户甚至感觉不到控制模块的存在。控制灵活、准确,进程控制策略可在策略配置管理程序上根据需要随时修改,不同的用户可根据需要进行定制。
所述***内核为基于内核安全子***框架的,能扩展到多处理器内核,可扩展性强。垮平台适用,对各类Linux***的计算机,均可实现对进程的控制。
当有新的进程控制策略下发到需要进行进程控制的计算机时,新的进程控制策略替换之前的进程控制策略。
本发明对Linux内核影响很小,效率很高,不会带来很大的开销。
用户正常使用计算机,当有新的进程准备执行时,进程控制模块会自动检测策略配置,判断当前进程是否有执行权限,并对该进程执行进行控制,控制过程无需用户参与即可达到目的。
对先前为放行的进程,如想禁用,需在策略配置管理程序上修改其控制策略;对已禁止的进程,如想重新放行,同样只需在策略配置管理程序上修改其控制策略,然后重新下发后执行该进程即可。
Claims (7)
1.一种操作***进程控制方法,具体方法步骤为:步骤一、给***下的每一个可执行文件一个唯一的标识;步骤二、把所述标识按照执行需要放入执行列表,组成进程控制策略;步骤三、在***内核中***内核模块,替换hook点函数;步骤四、内核模块接收进程控制策略并解析,维护执行列表,在计算机上运行任何程序和脚本时,内核模块根据执行列表的进程控制策略决定进程和脚本的执行方法。
2.根据权利要求1所述的操作***进程控制方法,所述步骤一中的唯一标识为采用md5计算方法,计算出的每个可执行文件的特征值。
3.根据权利要求1所述的操作***进程控制方法,所述步骤二中,把标识按照禁止启动和允许运行的执行需要放入黑白名单执行列表。
4.根据权利要求3所述的操作***进程控制方法,所述黑名单上的进程是禁止启动的,白名单上的进程是允许运行的。
5.根据权利要求1所述的操作***进程控制方法,所述***内核为基于内核安全子***框架的。
6.根据权利要求1所述的操作***进程控制方法,所述步骤一和步骤二在服务器上完成,所述进程控制策略由服务器下发到需要进行进程控制的计算机,并存储在内存中。
7.根据权利要求6所述的操作***进程控制方法,当有新的进程控制策略下发到需要进行进程控制的计算机时,新的进程控制策略替换之前的进程控制策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410047995.7A CN103778006B (zh) | 2014-02-12 | 2014-02-12 | 一种操作***进程控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410047995.7A CN103778006B (zh) | 2014-02-12 | 2014-02-12 | 一种操作***进程控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103778006A true CN103778006A (zh) | 2014-05-07 |
| CN103778006B CN103778006B (zh) | 2017-02-08 |
Family
ID=50570282
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410047995.7A Active CN103778006B (zh) | 2014-02-12 | 2014-02-12 | 一种操作***进程控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103778006B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104133726A (zh) * | 2014-08-13 | 2014-11-05 | 浪潮电子信息产业股份有限公司 | 一种进程上下文强制访问控制方法 |
| CN105844157A (zh) * | 2016-04-20 | 2016-08-10 | 北京鼎源科技有限公司 | 一种针对Android***App行为的监控方法 |
| CN107623581A (zh) * | 2016-07-15 | 2018-01-23 | 阿里巴巴集团控股有限公司 | 服务列表生成方法、装置及***,获取、上报方法及装置 |
| WO2018049977A1 (zh) * | 2016-09-14 | 2018-03-22 | 中兴通讯股份有限公司 | 保障***安全的方法及装置 |
| CN109831420A (zh) * | 2018-05-04 | 2019-05-31 | 360企业安全技术(珠海)有限公司 | 内核进程权限的确定方法及装置 |
| CN109828793A (zh) * | 2019-01-28 | 2019-05-31 | 山东超越数控电子股份有限公司 | 基于国产操作***的usb管控方法及*** |
| CN110781491A (zh) * | 2019-10-25 | 2020-02-11 | 苏州浪潮智能科技有限公司 | 一种进程访问文件的控制方法及装置 |
| CN112292678A (zh) * | 2019-01-04 | 2021-01-29 | 百度时代网络技术(北京)有限公司 | 用于验证将要由主机***的数据处理加速器执行的内核对象的方法与*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作***强制访问控制机制的实施方法 |
| CN101727555A (zh) * | 2009-12-04 | 2010-06-09 | 苏州昂信科技有限公司 | 一种操作***的访问控制方法及其实现平台 |
| CN102542182A (zh) * | 2010-12-15 | 2012-07-04 | 苏州凌霄科技有限公司 | 基于Windows平台的强制访问控制装置及控制方法 |
-
2014
- 2014-02-12 CN CN201410047995.7A patent/CN103778006B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作***强制访问控制机制的实施方法 |
| CN101727555A (zh) * | 2009-12-04 | 2010-06-09 | 苏州昂信科技有限公司 | 一种操作***的访问控制方法及其实现平台 |
| CN102542182A (zh) * | 2010-12-15 | 2012-07-04 | 苏州凌霄科技有限公司 | 基于Windows平台的强制访问控制装置及控制方法 |
Non-Patent Citations (3)
| Title |
|---|
| 刘威鹏 等: "LSM框架下可执行程序的强制访问控制机制", 《计算机工程》 * |
| 粱千金 等: "基于进程的访问控制模型", 《计算机工程》 * |
| 赵亮: "如何增强Linux***的安全性,第一部分:Linux安全模块(LSM)简介", 《HTTPS://WWW.IBM.COM/DEVELOPERWORKS/CN/LINUX/L-LSM/PART1/》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104133726A (zh) * | 2014-08-13 | 2014-11-05 | 浪潮电子信息产业股份有限公司 | 一种进程上下文强制访问控制方法 |
| CN105844157A (zh) * | 2016-04-20 | 2016-08-10 | 北京鼎源科技有限公司 | 一种针对Android***App行为的监控方法 |
| CN107623581A (zh) * | 2016-07-15 | 2018-01-23 | 阿里巴巴集团控股有限公司 | 服务列表生成方法、装置及***,获取、上报方法及装置 |
| WO2018049977A1 (zh) * | 2016-09-14 | 2018-03-22 | 中兴通讯股份有限公司 | 保障***安全的方法及装置 |
| CN109831420A (zh) * | 2018-05-04 | 2019-05-31 | 360企业安全技术(珠海)有限公司 | 内核进程权限的确定方法及装置 |
| CN109831420B (zh) * | 2018-05-04 | 2021-10-22 | 360企业安全技术(珠海)有限公司 | 内核进程权限的确定方法及装置 |
| CN112292678A (zh) * | 2019-01-04 | 2021-01-29 | 百度时代网络技术(北京)有限公司 | 用于验证将要由主机***的数据处理加速器执行的内核对象的方法与*** |
| CN109828793A (zh) * | 2019-01-28 | 2019-05-31 | 山东超越数控电子股份有限公司 | 基于国产操作***的usb管控方法及*** |
| CN109828793B (zh) * | 2019-01-28 | 2022-06-28 | 超越科技股份有限公司 | 基于国产操作***的usb管控方法及*** |
| CN110781491A (zh) * | 2019-10-25 | 2020-02-11 | 苏州浪潮智能科技有限公司 | 一种进程访问文件的控制方法及装置 |
| CN110781491B (zh) * | 2019-10-25 | 2022-02-18 | 苏州浪潮智能科技有限公司 | 一种进程访问文件的控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103778006B (zh) | 2017-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103778006A (zh) | 一种操作***进程控制方法 | |
| US9280664B2 (en) | Apparatus and method for blocking activity of malware | |
| US20170141968A1 (en) | Updating Electronic Devices Using a Push Model | |
| CN104754043B (zh) | 一种终端升级方法及装置 | |
| EP2668566A1 (en) | Authenticate a hypervisor with encoded information | |
| CN107329792B (zh) | 一种Docker容器启动方法及装置 | |
| CN110673927B (zh) | 一种虚拟机的调度方法和装置 | |
| WO2016101519A1 (zh) | 一种实现操作***重启的方法和装置 | |
| CN105069352A (zh) | 一种在服务器上构建可信应用程序运行环境的方法 | |
| CA2875828A1 (en) | Auto-update while running client interface with handshake | |
| CN110874263B (zh) | docker容器实例监控方法及装置 | |
| US9195832B1 (en) | System and method for providing access to original routines of boot drivers | |
| CN109784035B (zh) | 一种安装进程的追踪处理方法及装置 | |
| CN111125721B (zh) | 一种进程启动的控制方法、计算机设备和可读存储介质 | |
| CN106650435A (zh) | 一种保护***安全的方法及装置 | |
| CN110750284A (zh) | 一种应用快速启动方法、终端及计算机可读存储介质 | |
| US20180144105A1 (en) | Computing apparatus and method with persistent memory | |
| CN113779562A (zh) | 基于零信任的计算机病毒防护方法、装置、设备及介质 | |
| CN106843917B (zh) | 一种驱动程序的加载方法及装置 | |
| CN104516752B (zh) | 一种信息处理方法及电子设备 | |
| CN108183920A (zh) | 一种工业控制***恶意代码防御***及其防御方法 | |
| CN102750173B (zh) | 一种基于windows服务的应用程序启动方法 | |
| CN112685063A (zh) | 特征库更新方法、装置、网络设备及可读存储介质 | |
| CN103500306A (zh) | 客户端程序监控方法、装置及客户端 | |
| CN105183503B (zh) | 一种安全软件的安全升级方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |