CN106295355A - 一种面向Linux服务器的主动安全保障方法 - Google Patents
一种面向Linux服务器的主动安全保障方法 Download PDFInfo
- Publication number
- CN106295355A CN106295355A CN201610656020.3A CN201610656020A CN106295355A CN 106295355 A CN106295355 A CN 106295355A CN 201610656020 A CN201610656020 A CN 201610656020A CN 106295355 A CN106295355 A CN 106295355A
- Authority
- CN
- China
- Prior art keywords
- consumer process
- user
- network access
- request
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种面向Linux操作***的主动安全保障方法作为可以独立运行的安全模块将嵌入***内核,与操作***紧密结合,克服现有Linux操作***在***资源管理、进程管理、防火墙管理、用户管理、文件管理、日志安全审计以及状态监控等方面不足的问题,采用多模块工作方式,将策略执行、策略仲裁、策略保存、日志记录相互独立,确保***正常工作。
Description
技术领域
本发明属于一种操作***安全保护方法。
背景技术
目前黑客攻击层出不穷,甚至愈演愈烈,针对网络、操作***、应用等各个层面的攻击行为,最终目的是为了获取主机中的资源和权限。对用户来说核心是保护操作***中的数据信息,保障操作***安全是信息安全的基础。
目前的操作***环境下,使用超级用户登陆可以控制任何应用***,每个应用***之间无法做到完全隔离,如果拥有超级用户的权限,就意味着可以在服务器中做任何事情,数据的保密性和完整性根本无法保证,更无法满足信息***安全要求。同时,如果操作***中某一应用出现漏洞,就可能导致整个操作***沦陷,从而让整个服务器数据信息遭到破坏和窃取。
当前国内使用的操作***主要是来自国外(如Windows/Linux/Unix),***漏洞一直影响操作***的安全,而***漏洞是当初设计操作***时有意或无意留下的缺陷,黑客根据危害程度不同的漏洞发动攻击,轻则可以获取***敏感信息,重则可以获取***控制权限。
目前修复漏洞主要的途径是通过更新厂商(如Microsoft、SUN、IBM、HP等)提供的补丁。由于多数商业服务器操作***不开源,即使知道漏洞产生的原因,也不能对操作***源码进行修改并重新编译;而开源的Linux操作***出现漏洞,绝大多数用户也无技术能力进行漏洞修复。所以一旦发现漏洞,只能完全依赖厂商发布补丁,如果在厂商未出补丁或维护人员没有安装补丁这段时间内遭受攻击,操作***将会面临严重威胁。
在国内,当前很多实际的安全操作***已经被设计和开发出来。其中,最为重要的是基于Flask体系结构的动态策略安全操作***,以及随后出现的迄今最有影响力的安全操作***Security Linux和它的实现机制LSM(Linux Security Modle)。
Flask体系结构由客体管理器和安全服务器组成,优点是将策略实施与策略决策分开。主要目标是提供安全策略的灵活和可变通性,支持动态策略,在一个***的安全策略需要修改的时候,不需要修改引用监控器等其他关键组件,而只需要更新安全策略服务器中存储的策略即可。
LSM采取了***钩子函数的方法来控制***对核心客体(如进程、节点、打开文件、IPC等)的存取访问。每当***通过了Linux***自带的自主访问控制DAC策略检查而试图对一个客体进行访问时,借助于***到核心代码中的钩子函数来仲裁对该客体的访问。LSM并不为该函数提供具体的实现,仅仅是调用挂在它上面的某个具体安全模块的函数。主体是否能对客体进行访问完全取决于具体的安全模块函数,安全模块根据自己的安全策略来判断访问请求是通过还是拒绝并强制返回一个错误码。
现有的安全操作***在访问控制方面表现不错,但是在***资源统一管理、进程名单管控、文件最小特权访问、防火墙动态策略更新和进程运行域管理方面存在缺陷:***资源管理与操作***耦合度较低,不能依据资源状态感知***安全;进程管控依赖钩子函数,没有将安全模块完整内嵌进入***内核;文件管理采用自主访问控制,没有启用强制访问控制策略;防火墙策略需要手动配置,不能实时更新。
发明内容
发明目的:为了克服现有Linux操作***在***资源管理、进程管理、防火墙管理、用户管理、文件管理、日志安全审计以及状态监控等方面不足的问题,本发明专利提供了一套采用黑白灰名单制管理的Linux操作***安全保障方案。
技术方案:
本发明专利为了解决上述技术问题所采用的总体技术方案如下:通过重新编译内核,将安全保障模块嵌入在Linux***内核中,在Linux***内核加载阶段即加载***安全模块,保证安全模块处于内核级运行状态,不会被其他模块关闭或者卸载。
所述安全模块包括安全策略执行模块、安全策略仲裁模块、安全日志记录模块以及自身保护模块,安全策略执行模块将所有用户请求加以拦截并提交安全策略仲裁模块进行仲裁,当安全策略仲裁模块仲裁为允许时,安全策略执行模块放行该请求,当安全策略仲裁模块仲裁为禁止时,安全策略执行模块禁止该请求;用户请求运行结束后,***先将运行结果返回安全模块,由安全模块记录信息后返回给用户结果;***运行全过程中,自身保护模块实时检测安全模块运行状态,一旦发现安全模块运行出错立即冻结***状态,检查并重新运行安全模块,直到安全模块恢复后再恢复***状态;安全日志记录模块记录***全部操作日志,实时备份操作日志并加密。
进一步的,在本发明中,所述安全模块对用户进程、***防火墙、***资源、文件***均采用建立黑白灰名单进行管理:
对于用户进程,安全模块为用户进程建立用户进程白名单、黑名单和灰名单,当***试图运行某个进程时,安全模块对该用户进程进行仲裁:针对属于进程白名单中的用户进程,安全模块允许***调用该用户进程,并提醒用户该用户进程已经运行;针对属于进程黑名单中的用户进程,安全模块禁止***调用该用户进程,并提醒用户该用户进程已经禁止运行;针对属于进程灰名单中的用户进程,安全模块定期询问用户是否允许该用户进程运行,如果用户许可运行,则将其从用户进程灰名单中删除并加入用户进程白名单中,如果用户不允许运行,则将其从用户进程灰名单中删除并加入用户进程黑名单中;
对任意一个用户进程,当该用户进程首次运行时,安全模块针对该用户进程记录用户进程的状态,包括:文件读写、进程调用、运行线程和网络访问,后续该用户进程再次运行时,若发现有与首次运行时记录的用户进程的状态不同的行为,则将该用户进程放入用户进程灰名单中,并提醒用户该用户进程的越权行为,并再次请求用户许可;
对于***防火墙,安全模块为用户进程的网络访问请求建立***防火墙白名单、黑名单和灰名单,设置初始的***防火墙策略为禁止所有的内外部网络访问请求;当某个用户进程试图访问网络时,安全模块对该网络访问请求进行仲裁:针对属于***防火墙白名单中的网络访问请求,安全模块允许该网络访问请求,并更新***防火墙策略,将该网络访问请求所对应的防火墙策略加入***防火墙策略表,并提醒用户已经放行该网络访问请求,当该网络访问请求结束时,立即再次更新***防火墙策略,将该网络访问请求所对应的防火墙策略从***防火墙策略表中移除;针对属于***防火墙黑名单中的网络访问请求,安全模块阻止该网络访问请求,并提醒用户已经禁止该网络访问请求;针对属于***防火墙灰名单中的网络访问请求,安全模块实时询问用户是否许可该网络访问请求,若用户许可,则将该网络访问请求加入***防火墙白名单,若用户不许可,则将该网络访问请求加入***防火墙黑名单;
对任意一个网络访问请求,当其在首次加入***防火墙白名单时,安全模块针对网络访问请求记录该网络访问请求的状态,包括:IP地址、端口号、协议以及调用后运行的时间和流量消耗统计,在后续该网络访问请求再次请求时,若发现有与首次加入***防火墙白名单时所记录的该网络访问请求的状态不同的行为,则重新将网络访问请求放入***防火墙灰名单中,并提醒用户该网络访问请求的越权行为,再次请求用户许可;
对于***资源,安全模块建立包括CPU占用率、内存占用率、硬盘占用率在内的***资源表,实时监控查询各类***资源占用情况;同时,为用户进程建立***资源占用白名单、黑名单和灰名单,***资源占用白名单、黑名单和灰名单中分别记录位于其中的用户进程对于各个类型***资源的最大请求数目,许可范围为每类***资源的最大请求数目不超过该类***资源总体的50%,针对***资源占用白名单中的用户进程所请求的***资源占用给予放行,针对***资源占用黑名单中的用户进程所请求的***资源请求禁止运行,针对***资源占用灰名单中的用户进程所请求的***资源请求主动问询用户是否放行;
对于任意一个用户进程首次运行时,安全模块记录该用户进程的资源请求状态和资源访问,并不断监控后续该用户进程运行时对***资源的占用情况,并根据其运行状态动态调整***资源占用,一旦某次调整前后的可占用***资源的百分比的差值超过5%,则重新将该用户进程放入***资源占用灰名单中,并提醒用户该用户进程的越权行为,再次请求用户许可;
一旦出现总体***资源异常情况,则主动冻结***状态,逐一检查***资源占用情况,将出现异常资源占用的用户进程从***资源占用白名单中移除并放入***资源占用灰名单,然后恢复***运行,同时提醒用户这一异常,如果用户许可,再将该用户进程重新加入***资源占用白名单中;
对于文件***,安全模块建立文件***管理表,实时监控查询文件***读写情况;同时,为用户进程建立文件读写请求白名单、黑名单和灰名单,采用最小特权许可的文件访问请求,针对文件读写请求白名单中的用户进程的文件读写请求给予放行,针对文件读写请求黑名单中的用户进程的文件读写请求禁止运行,针对文件读写请求灰名单中的用户进程的文件读写请求主动问询用户是否放行,直到用户许可后才会放行该文件读写请求;
对于任意一个用户进程首次运行时,安全模块记录该用户进程的文件请求状态和文件访问状态,包括:文件名、读写请求、文件属性、文件大小变动,并不断监控后续该用户进程运行时对文件请求的使用情况,一旦出现异常读写情况,则重新将用户进程放入文件读写请求灰名单中,并提醒用户该用户进程的越权行为,再次请求用户许可;
一旦出现总体文件***异常情况,安全模块主动冻结***状态,逐一检查文件***访问情况,将出现异常文件访问的用户进程从文件读写请求白名单中移除并加入文件读写请求灰名单中,然后恢复***运行,同时提醒用户这一异常,如果用户许可,再重新将该用户进程从文件读写请求灰名单中移除并加入文件读写请求白名单中;
安全模块针对所有用户进程建立单独的运行用户、创建独立的用户名,并设定专用运行域,专用运行域中记录的内容包括该用户进程可调用的其他用户进程或***进程、可请求的线程数目、可占用的***资源类型和数量、可使用的网络访问请求以及可访问文件区域;初始化专用运行域,建立前述用户进程、***防火墙、***资源、文件***4种黑白灰名单,将4种黑白灰名单中的成员首先全部加入至各自对应的灰名单中,后续根据用户对于每一项请求的许可或者禁止情况再加入各自对应的白名单或者黑名单中;
情况1:用户进程第一次运行时,将其从用户进程灰名单加入用户进程白名单、从***资源占用灰名单加入***资源占用白名单中,然后许可该用户进程运行;如果整个运行过程中,该用户进程不产生网络访问且***资源占用不超过许可范围,同时不产生文件***的读写,则不产生其他名单变化;
情况2:若情况1中的用户进程运行产生了网络访问请求,则记录该用户进程的运行状态,并临时停止该用户进程,同时将该用户进程分别从用户进程白名单移入用户进程灰名单、从***资源占用白名单移入***资源占用灰名单;如果用户允许该网络访问请求,则恢复该用户进程的运行状态并将该用户进程分别从用户进程灰名单中移入用户进程白名单、从***资源占用灰名单移入***资源占用白名单,并将该网络访问请求加入***防火墙白名单;如果用户禁止该网络访问请求,则将该用户进程完全停止,并将其分别从用户进程灰名单移入用户进程黑名单、从***资源占用灰名单移入***资源占用黑名单;
情况3:若情况1中的用户进程运行产生了文件读写请求,则记录该用户进程的运行状态,并临时停止该用户进程,同时将该用户进程分别从用户进程白名单移入用户进程灰名单、从***资源占用白名单移入***资源占用灰名单;如果该用户进程产生过情况2中的网络访问请求,将该用户进程的网络访问请求从***防火墙白名单移入***防火墙灰名单;如果用户允许该用户进程进行文件读写,则恢复该用户进程的运行状态,并将用户进程分别从用户进程灰名单移入用户进程白名单、从***资源占用灰名单移入用户进程白名单;如果该用户进程产生了情况2中的网络访问请求,则将该用户进程的网络访问请求从***防火墙灰名单移入***防火墙白名单,并将该用户进程从文件读写请求灰名单移入文件读写请求白名单;如果用户禁止该用户进程进行文件读写,则将该用户进程停止,并将该用户进程分别从用户进程灰名单移入用户进程黑名单、从***资源占用灰名单移入***资源占用黑名单,将该用户进程的网络访问请求从***防火墙灰名单移入***防火墙黑名单;
情况4:若情况1中的用户进程在情况2中描述的网络访问请求发生并被用户允许后再一次发生网络访问请求,若本次网络访问请求与情况2中的网络访问请求的IP或者端口不同,则将本次该用户进程的网络访问请求从***防火墙白名单移入***防火墙灰名单;如果用户允许了该用户进程的本次网络访问请求,将该用户进程的本次网络访问请求从***防火墙灰名单移入***防火墙白名单,并允许该用户进程的本次网络访问请求;如果用户禁止了该用户进程的本次网络访问请求,则将该用户进程的本次网络访问请求从***防火墙灰名单移入***防火墙黑名单中,并禁止该用户进程的本次网络访问请求;
情况5:若情况1中的用户进程在情况3中描述的文件读写请求发生并被用户允许后再一次发生文件读写请求,若本次文件读写请求与情况3中的文件读写请求不同,则将本次文件读写请求的用户进程加入文件读写请求灰名单;如果用户允许了该用户进程的本次文件读写请求,将本次文件读写请求的用户进程从文件读写请求灰名单移入文件读写请求白名单,并允许该用户进程的本次文件读写请求;如果用户禁止了该用户进程的本次文件读写请求,将本次文件读写请求的用户进程从文件读写请求灰名单移入文件读写请求黑名单,并禁止该用户进程的本次文件读写请求。
进一步的,在本发明中,安全模块针对***运行日志和安全日志进行实时审计,建立专用的日志审计管理用户,非审计用户不能删除、修改日志;同时,在***多个位置建立日志存储区域,实时同步记录完整日志,并采用高级加密标准AES对日志进行加密。
有益效果:
本发明的面向Linux操作***的主动安全保障方法作为可以独立运行的安全模块将嵌入***内核,与操作***紧密结合,克服现有Linux操作***在***资源管理、进程管理、防火墙管理、用户管理、文件管理、日志安全审计以及状态监控等方面不足的问题,采用多模块工作方式,将策略执行、策略仲裁、策略保存、日志记录相互独立,确保***正常工作;具体优点如下:
本发明专利在***资源管理方面,改进了原有Linux***不能统一管理***资源的缺陷,采用内核嵌入模块方式进行实时***资源接口查询和管理,能够实时检测并统一管理***资源。
本发明专利在进程管理方面,改进了原有Linux***不能实时检测并分析进程的缺陷,能够实时检测并设计了进程黑白灰名单机制,针对进程行为进行分析,能够方便安全保证***进程安全;
本发明专利在防火墙管理方面,改进了原有Linux***不能够实时动态更新策略的缺陷,能够实时动态更新***防火墙策略并针对***进程设计防火墙黑白名单进行分析,保证操作***网络安全。
本发明专利在用户管理方面,改进了原有Linux***用户管理策略不能动态改进的缺陷,将所有的用户进程建立不同的用户和运行域,保证所有的用户进程运行在单独的用户名下并设立独立的运行域,保证用户权限安全和用户隐私安全;
本发明专利在文件管理方面,改进了原有Linux***文件访问时没有专门的用户访问权限管理机制的缺陷,采用最小权限机制实现安全文件访问;
本发明专利在日志安全审计方面,改进了原有Linux***仅能记录日志,没有安全分析,没有日志安全保障的缺陷,能够实现安全日志独立审计和独立存储,对***日志进行安全分析,查看各类安全事件。
附图说明
图1为本发明的各部分之间结构示意图;
图2为本发明的流程示意图。
具体实施方式
下面结合附图对本发明做更进一步的解释。
本发明的安全保障方法提供了一种全局安全策略,主要包括以下9个方面:
1、重新编译内核,将安全保障模块嵌入在Linux内核中。
2、在Linux***内核加载阶段即加载***安全模块。
3、安全策略执行模块将所有用户请求(包括进程执行、网络访问、文件读写等)加以拦截并提交安全策略仲裁进行判断。
4、策略仲裁为白名单项目时,执行模块放行该请求。
5、策略仲裁为黑名单项目时,执行模块会禁止该请求。
6、策略仲裁为灰名单项目时,执行模块会禁止该请求,然后请求用户是否允许该请求。如果用户许可,加入白名单,如果用户禁止,加入黑名单。
7、运行结束后,***将运行结果返回安全模块,由安全模块记录信息后返回给用户结果。
8、***运行全过程中,自身保护模块实时检测安全模块运行状态,一旦发现安全模块运行出错会立即冻结***状态,检查并重新运行安全模块功能,直到安全模块恢复后恢复***状态。
9、***运行全过程中,安全日志记录模块记录***全部操作日志,多个位置实时备份日志并加密。
具体来说,所述安全模块对用户进程、***防火墙、***资源、文件***均采用建立黑白灰名单进行管理:
对于用户进程,安全模块为用户进程建立用户进程白名单、黑名单和灰名单,当***试图运行某个进程时,安全模块对该用户进程进行仲裁:针对属于进程白名单中的用户进程,安全模块允许***调用该用户进程,并提醒用户该用户进程已经运行;针对属于进程黑名单中的用户进程,安全模块禁止***调用该用户进程,并提醒用户该用户进程已经禁止运行;针对属于进程灰名单中的用户进程,安全模块定期询问用户是否允许该用户进程运行,如果用户许可运行,则将其从用户进程灰名单中删除并加入用户进程白名单中,如果用户不允许运行,则将其从用户进程灰名单中删除并加入用户进程黑名单中;
对任意一个用户进程,当该用户进程首次运行时,安全模块针对该用户进程记录用户进程的状态,包括:文件读写、进程调用、运行线程和网络访问,后续该用户进程再次运行时,若发现有与首次运行时记录的用户进程的状态不同的行为,则将该用户进程放入用户进程灰名单中,并提醒用户该用户进程的越权行为,并再次请求用户许可;
对于***防火墙,安全模块为用户进程的网络访问请求建立***防火墙白名单、黑名单和灰名单,设置初始的***防火墙策略为禁止所有的内外部网络访问请求;当某个用户进程试图访问网络时,安全模块对该网络访问请求进行仲裁:针对属于***防火墙白名单中的网络访问请求,安全模块允许该网络访问请求,并更新***防火墙策略,将该网络访问请求所对应的防火墙策略加入***防火墙策略表,并提醒用户已经放行该网络访问请求,当该网络访问请求结束时,立即再次更新***防火墙策略,将该网络访问请求所对应的防火墙策略从***防火墙策略表中移除;针对属于***防火墙黑名单中的网络访问请求,安全模块阻止该网络访问请求,并提醒用户已经禁止该网络访问请求;针对属于***防火墙灰名单中的网络访问请求,安全模块实时询问用户是否许可该网络访问请求,若用户许可,则将该网络访问请求加入***防火墙白名单,若用户不许可,则将该网络访问请求加入***防火墙黑名单;
对任意一个网络访问请求,当其在首次加入***防火墙白名单时,安全模块针对网络访问请求记录该网络访问请求的状态,包括:IP地址、端口号、协议以及调用后运行的时间和流量消耗统计,在后续该网络访问请求再次请求时,若发现有与首次加入***防火墙白名单时所记录的该网络访问请求的状态不同的行为,则重新将网络访问请求放入***防火墙灰名单中,并提醒用户该网络访问请求的越权行为,再次请求用户许可;
对于***资源,安全模块建立包括CPU占用率、内存占用率、硬盘占用率在内的***资源表,实时监控查询各类***资源占用情况;同时,为用户进程建立***资源占用白名单、黑名单和灰名单,***资源占用白名单、黑名单和灰名单中分别记录位于其中的用户进程对于各个类型***资源的最大请求数目,许可范围为每类***资源的最大请求数目不超过该类***资源总体的50%,针对***资源占用白名单中的用户进程所请求的***资源占用给予放行,针对***资源占用黑名单中的用户进程所请求的***资源请求禁止运行,针对***资源占用灰名单中的用户进程所请求的***资源请求主动问询用户是否放行;
对于任意一个用户进程首次运行时,安全模块记录该用户进程的资源请求状态和资源访问,包括CPU占用率、内存占用率、硬盘占用率,并不断监控后续该用户进程运行时对***资源的占用情况,并根据其运行状态动态调整***资源占用,一旦某次调整前后的可占用***资源的百分比的差值超过5%,则重新将该用户进程放入***资源占用灰名单中,并提醒用户该用户进程的越权行为,再次请求用户许可;
一旦出现总体***资源异常情况,则主动冻结***状态,逐一检查***资源占用情况,将出现异常资源占用的用户进程从***资源占用白名单中移除并放入***资源占用灰名单,然后恢复***运行,同时提醒用户这一异常,如果用户许可,再将该用户进程重新加入***资源占用白名单中;
对于文件***,安全模块建立文件***管理表,实时监控查询文件***读写情况;同时,为用户进程建立文件读写请求白名单、黑名单和灰名单,采用最小特权许可的文件访问请求,针对文件读写请求白名单中的用户进程的文件读写请求给予放行,针对文件读写请求黑名单中的用户进程的文件读写请求禁止运行,针对文件读写请求灰名单中的用户进程的文件读写请求主动问询用户是否放行,直到用户许可后才会放行该文件读写请求;
对于任意一个用户进程首次运行时,安全模块记录该用户进程的文件请求状态和文件访问状态,包括:文件名、读写请求、文件属性、文件大小变动,并不断监控后续该用户进程运行时对文件请求的使用情况,一旦出现异常读写情况,则重新将用户进程放入文件读写请求灰名单中,并提醒用户该用户进程的越权行为,再次请求用户许可;
一旦出现总体文件***异常情况,安全模块主动冻结***状态,逐一检查文件***访问情况,将出现异常文件访问的用户进程从文件读写请求白名单中移除并加入文件读写请求灰名单中,然后恢复***运行,同时提醒用户这一异常,如果用户许可,再重新将该用户进程从文件读写请求灰名单中移除并加入文件读写请求白名单中;
安全模块针对所有用户进程建立单独的运行用户、创建独立的用户名,并设定专用运行域,专用运行域中记录的内容包括该用户进程可调用的其他用户进程或***进程、可请求的线程数目、可占用的***资源类型和数量、可使用的网络访问请求以及可访问文件区域;初始化专用运行域,建立前述用户进程、***防火墙、***资源、文件***4种黑白灰名单,将4种黑白灰名单中的成员首先全部加入至各自对应的灰名单中,后续根据用户对于每一项请求的许可或者禁止情况再加入各自对应的白名单或者黑名单中;
情况1:用户进程第一次运行时,将其从用户进程灰名单加入用户进程白名单、从***资源占用灰名单加入***资源占用白名单中,然后许可该用户进程运行;如果整个运行过程中,该用户进程不产生网络访问且***资源占用不超过许可范围,同时不产生文件***的读写,则不产生其他名单变化;
情况2:若情况1中的用户进程运行产生了网络访问请求,则记录该用户进程的运行状态,包括:IP地址、端口号,协议,以及调用后运行的时间和流量消耗统计,并临时停止该用户进程,同时将该用户进程分别从用户进程白名单移入用户进程灰名单、从***资源占用白名单移入***资源占用灰名单;如果用户允许该网络访问请求,则恢复该用户进程的运行状态并将该用户进程分别从用户进程灰名单中移入用户进程白名单、从***资源占用灰名单移入***资源占用白名单,并将该网络访问请求加入***防火墙白名单;如果用户禁止该网络访问请求,则将该用户进程完全停止,并将其分别从用户进程灰名单移入用户进程黑名单、从***资源占用灰名单移入***资源占用黑名单;
情况3:若情况1中的用户进程运行产生了文件读写请求,则记录该用户进程的运行状态,包括:文件名、读写请求、文件属性、文件大小变动,并临时停止该用户进程,同时将该用户进程分别从用户进程白名单移入用户进程灰名单、从***资源占用白名单移入***资源占用灰名单;如果该用户进程产生过情况2中的网络访问请求,将该用户进程的网络访问请求从***防火墙白名单移入***防火墙灰名单;如果用户允许该用户进程进行文件读写,则恢复该用户进程的运行状态,并将用户进程分别从用户进程灰名单移入用户进程白名单、从***资源占用灰名单移入用户进程白名单;如果该用户进程产生了情况2中的网络访问请求,则将该用户进程的网络访问请求从***防火墙灰名单移入***防火墙白名单,并将该用户进程从文件读写请求灰名单移入文件读写请求白名单;如果用户禁止该用户进程进行文件读写,则将该用户进程停止,并将该用户进程分别从用户进程灰名单移入用户进程黑名单、从***资源占用灰名单移入***资源占用黑名单,将该用户进程的网络访问请求从***防火墙灰名单移入***防火墙黑名单;
情况4:若情况1中的用户进程在情况2中描述的网络访问请求发生并被用户允许后再一次发生网络访问请求,若本次网络访问请求与情况2中的网络访问请求的IP或者端口不同,则将本次该用户进程的网络访问请求从***防火墙白名单移入***防火墙灰名单;如果用户允许了该用户进程的本次网络访问请求,将该用户进程的本次网络访问请求从***防火墙灰名单移入***防火墙白名单,并允许该用户进程的本次网络访问请求;如果用户禁止了该用户进程的本次网络访问请求,则将该用户进程的本次网络访问请求从***防火墙灰名单移入***防火墙黑名单中,并禁止该用户进程的本次网络访问请求;
情况5:若情况1中的用户进程在情况3中描述的文件读写请求发生并被用户允许后再一次发生文件读写请求,若本次文件读写请求与情况3中的文件读写请求不同,则将本次文件读写请求的用户进程加入文件读写请求灰名单;如果用户允许了该用户进程的本次文件读写请求,将本次文件读写请求的用户进程从文件读写请求灰名单移入文件读写请求白名单,并允许该用户进程的本次文件读写请求;如果用户禁止了该用户进程的本次文件读写请求,将本次文件读写请求的用户进程从文件读写请求灰名单移入文件读写请求黑名单,并禁止该用户进程的本次文件读写请求。
整个运行过程中,安全模块针对***运行日志和安全日志进行实时审计,包括进程情况、防火墙情况、文件访问情况、***资源情况、用户和角色、安全域变化等,建立专用的日志审计管理用户,非审计用户不能删除、修改日志;同时,在***多个位置建立日志存储区域,实时同步记录完整日志,并采用高级加密标准AES对日志进行加密。
根据上述实施例,可以更好的理解本发明。然而,本领域的技术人员容易理解,实施例所描述的具体的物料配比、工艺条件及其结果仅用于说明本发明,而不应当也不会限制权利要求书中所详细描述的本发明。
Claims (3)
1.一种面向Linux服务器的主动安全保障方法,其特征在于:编译Linux***内核,将安全模块嵌入在Linux***内核中,并且在Linux***内核加载阶段即加载安全模块,设置安全模块处于内核级运行状态;
所述安全模块包括安全策略执行模块、安全策略仲裁模块、安全日志记录模块以及自身保护模块,安全策略执行模块将所有用户请求加以拦截并提交安全策略仲裁模块进行仲裁,当安全策略仲裁模块仲裁为允许时,安全策略执行模块放行该请求,当安全策略仲裁模块仲裁为禁止时,安全策略执行模块禁止该请求;用户请求运行结束后,***先将运行结果返回安全模块,由安全模块记录信息后返回给用户结果;***运行全过程中,自身保护模块实时检测安全模块运行状态,一旦发现安全模块运行出错立即冻结***状态,检查并重新运行安全模块,直到安全模块恢复后再恢复***状态;安全日志记录模块记录***全部操作日志,实时备份操作日志并加密。
2.根据权利要求1所述的面向Linux服务器的主动安全保障方法,其特征在于:所述安全模块对用户进程、***防火墙、***资源、文件***均采用建立黑白灰名单进行管理:
对于用户进程,安全模块为用户进程建立用户进程白名单、黑名单和灰名单,当***试图运行某个进程时,安全模块对该用户进程进行仲裁:针对属于进程白名单中的用户进程,安全模块允许***调用该用户进程,并提醒用户该用户进程已经运行;针对属于进程黑名单中的用户进程,安全模块禁止***调用该用户进程,并提醒用户该用户进程已经禁止运行;针对属于进程灰名单中的用户进程,安全模块定期询问用户是否允许该用户进程运行,如果用户许可运行,则将其从用户进程灰名单中删除并加入用户进程白名单中,如果用户不允许运行,则将其从用户进程灰名单中删除并加入用户进程黑名单中;
对任意一个用户进程,当该用户进程首次运行时,安全模块针对该用户进程记录用户进程的状态,包括:文件读写、进程调用、运行线程和网络访问,后续该用户进程再次运行时,若发现有与首次运行时记录的用户进程的状态不同的行为,则将该用户进程放入用户进程灰名单中,并提醒用户该用户进程的越权行为,并再次请求用户许可;
对于***防火墙,安全模块为用户进程的网络访问请求建立***防火墙白名单、黑名单和灰名单,设置初始的***防火墙策略为禁止所有的内外部网络访问请求;当某个用户进程试图访问网络时,安全模块对该网络访问请求进行仲裁:针对属于***防火墙白名单中的网络访问请求,安全模块允许该网络访问请求,并更新***防火墙策略,将该网络访问请求所对应的防火墙策略加入***防火墙策略表,并提醒用户已经放行该网络访问请求,当该网络访问请求结束时,立即再次更新***防火墙策略,将该网络访问请求所对应的防火墙策略从***防火墙策略表中移除;针对属于***防火墙黑名单中的网络访问请求,安全模块阻止该网络访问请求,并提醒用户已经禁止该网络访问请求;针对属于***防火墙灰名单中的网络访问请求,安全模块实时询问用户是否许可该网络访问请求,若用户许可,则将该网络访问请求加入***防火墙白名单,若用户不许可,则将该网络访问请求加入***防火墙黑名单;
对任意一个网络访问请求,当其在首次加入***防火墙白名单时,安全模块针对网络访问请求记录该网络访问请求的状态,包括:IP地址、端口号、协议以及调用后运行的时间和流量消耗统计,在后续该网络访问请求再次请求时,若发现有与首次加入***防火墙白名单时所记录的该网络访问请求的状态不同的行为,则重新将网络访问请求放入***防火墙灰名单中,并提醒用户该网络访问请求的越权行为,再次请求用户许可;
对于***资源,安全模块建立包括CPU占用率、内存占用率、硬盘占用率在内的***资源表,实时监控查询各类***资源占用情况;同时,为用户进程建立***资源占用白名单、黑名单和灰名单,***资源占用白名单、黑名单和灰名单中分别记录位于其中的用户进程对于各个类型***资源的最大请求数目,许可范围为每类***资源的最大请求数目不超过该类***资源总体的50%,针对***资源占用白名单中的用户进程所请求的***资源占用给予放行,针对***资源占用黑名单中的用户进程所请求的***资源请求禁止运行,针对***资源占用灰名单中的用户进程所请求的***资源请求主动问询用户是否放行;
对于任意一个用户进程首次运行时,安全模块记录该用户进程的资源请求状态和资源访问,并不断监控后续该用户进程运行时对***资源的占用情况,并根据其运行状态动态调整***资源占用,一旦某次调整前后的可占用***资源的百分比的差值超过5%,则重新将该用户进程放入***资源占用灰名单中,并提醒用户该用户进程的越权行为,再次请求用户许可;
一旦出现总体***资源异常情况,则主动冻结***状态,逐一检查***资源占用情况,将出现异常资源占用的用户进程从***资源占用白名单中移除并放入***资源占用灰名单,然后恢复***运行,同时提醒用户这一异常,如果用户许可,再将该用户进程重新加入***资源占用白名单中;
对于文件***,安全模块建立文件***管理表,实时监控查询文件***读写情况;同时,为用户进程建立文件读写请求白名单、黑名单和灰名单,采用最小特权许可的文件访问请求,针对文件读写请求白名单中的用户进程的文件读写请求给予放行,针对文件读写请求黑名单中的用户进程的文件读写请求禁止运行,针对文件读写请求灰名单中的用户进程的文件读写请求主动问询用户是否放行,直到用户许可后才会放行该文件读写请求;
对于任意一个用户进程首次运行时,安全模块记录该用户进程的文件请求状态和文件访问状态,包括:文件名、读写请求、文件属性、文件大小变动,并不断监控后续该用户进程运行时对文件请求的使用情况,一旦出现异常读写情况,则重新将用户进程放入文件读写请求灰名单中,并提醒用户该用户进程的越权行为,再次请求用户许可;
一旦出现总体文件***异常情况,安全模块主动冻结***状态,逐一检查文件***访问情况,将出现异常文件访问的用户进程从文件读写请求白名单中移除并加入文件读写请求灰名单中,然后恢复***运行,同时提醒用户这一异常,如果用户许可,再重新将该用户进程从文件读写请求灰名单中移除并加入文件读写请求白名单中;
安全模块针对所有用户进程建立单独的运行用户、创建独立的用户名,并设定专用运行域,专用运行域中记录的内容包括该用户进程可调用的其他用户进程或***进程、可请求的线程数目、可占用的***资源类型和数量、可使用的网络访问请求以及可访问文件区域;初始化专用运行域,建立前述用户进程、***防火墙、***资源、文件***4种黑白灰名单,将4种黑白灰名单中的成员首先全部加入至各自对应的灰名单中,后续根据用户对于每一项请求的许可或者禁止情况再加入各自对应的白名单或者黑名单中;情况1:用户进程第一次运行时,将其从用户进程灰名单加入用户进程白名单、从***资源占用灰名单加入***资源占用白名单中,然后许可该用户进程运行;如果整个运行过程中,该用户进程不产生网络访问且***资源占用不超过许可范围,同时不产生文件***的读写,则不产生其他名单变化;
情况2:若情况1中的用户进程运行产生了网络访问请求,则记录该用户进程的运行状态,并临时停止该用户进程,同时将该用户进程分别从用户进程白名单移入用户进程灰名单、从***资源占用白名单移入***资源占用灰名单;如果用户允许该网络访问请求,则恢复该用户进程的运行状态并将该用户进程分别从用户进程灰名单中移入用户进程白名单、从***资源占用灰名单移入***资源占用白名单,并将该网络访问请求加入***防火墙白名单;如果用户禁止该网络访问请求,则将该用户进程完全停止,并将其分别从用户进程灰名单移入用户进程黑名单、从***资源占用灰名单移入***资源占用黑名单;
情况3:若情况1中的用户进程运行产生了文件读写请求,则记录该用户进程的运行状态,并临时停止该用户进程,同时将该用户进程分别从用户进程白名单移入用户进程灰名单、从***资源占用白名单移入***资源占用灰名单;如果该用户进程产生过情况2中的网络访问请求,将该用户进程的网络访问请求从***防火墙白名单移入***防火墙灰名单;如果用户允许该用户进程进行文件读写,则恢复该用户进程的运行状态,并将用户进程分别从用户进程灰名单移入用户进程白名单、从***资源占用灰名单移入用户进程白名单;如果该用户进程产生了情况2中的网络访问请求,则将该用户进程的网络访问请求从***防火墙灰名单移入***防火墙白名单,并将该用户进程从文件读写请求灰名单移入文件读写请求白名单;如果用户禁止该用户进程进行文件读写,则将该用户进程停止,并将该用户进程分别从用户进程灰名单移入用户进程黑名单、从***资源占用灰名单移入***资源占用黑名单,将该用户进程的网络访问请求从***防火墙灰名单移入***防火墙黑名单;
情况4:若情况1中的用户进程在情况2中描述的网络访问请求发生并被用户允许后再一次发生网络访问请求,若本次网络访问请求与情况2中的网络访问请求的IP或者端口不同,则将本次该用户进程的网络访问请求从***防火墙白名单移入***防火墙灰名单;如果用户允许了该用户进程的本次网络访问请求,将该用户进程的本次网络访问请求从***防火墙灰名单移入***防火墙白名单,并允许该用户进程的本次网络访问请求;如果用户禁止了该用户进程的本次网络访问请求,则将该用户进程的本次网络访问请求从***防火墙灰名单移入***防火墙黑名单中,并禁止该用户进程的本次网络访问请求;
情况5:若情况1中的用户进程在情况3中描述的文件读写请求发生并被用户允许后再一次发生文件读写请求,若本次文件读写请求与情况3中的文件读写请求不同,则将本次文件读写请求的用户进程加入文件读写请求灰名单;如果用户允许了该用户进程的本次文件读写请求,将本次文件读写请求的用户进程从文件读写请求灰名单移入文件读写请求白名单,并允许该用户进程的本次文件读写请求;如果用户禁止了该用户进程的本次文件读写请求,将本次文件读写请求的用户进程从文件读写请求灰名单移入文件读写请求黑名单,并禁止该用户进程的本次文件读写请求。
3.根据权利要求1所述的面向Linux服务器的主动安全保障方法,其特征在于:安全模块针对***运行日志和安全日志进行实时审计,建立专用的日志审计管理用户,非审计用户不能删除、修改日志;同时,在***多个位置建立日志存储区域,实时同步记录完整日志,并采用高级加密标准AES对日志进行加密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610656020.3A CN106295355B (zh) | 2016-08-11 | 2016-08-11 | 一种面向Linux服务器的主动安全保障方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610656020.3A CN106295355B (zh) | 2016-08-11 | 2016-08-11 | 一种面向Linux服务器的主动安全保障方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106295355A true CN106295355A (zh) | 2017-01-04 |
CN106295355B CN106295355B (zh) | 2019-02-26 |
Family
ID=57669001
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610656020.3A Active CN106295355B (zh) | 2016-08-11 | 2016-08-11 | 一种面向Linux服务器的主动安全保障方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106295355B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107360178A (zh) * | 2017-07-31 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种使用白名单控制网络访问的方法 |
CN108121913A (zh) * | 2017-09-26 | 2018-06-05 | 江苏神州信源***工程有限公司 | 一种操作管理方法及装置 |
CN108804912A (zh) * | 2018-06-15 | 2018-11-13 | 北京大学 | 一种基于权限集差异的应用程序越权检测方法 |
CN109165486A (zh) * | 2018-08-27 | 2019-01-08 | 四川长虹电器股份有限公司 | 一种可配置的接口访问权限控制方法 |
CN109241734A (zh) * | 2018-08-10 | 2019-01-18 | 航天信息股份有限公司 | 一种防护软件运行效率优化方法及*** |
CN109271804A (zh) * | 2018-08-09 | 2019-01-25 | 山东中孚安全技术有限公司 | 一种基于Linux安全模块的文件审计、防护方法 |
CN109768962A (zh) * | 2018-12-13 | 2019-05-17 | 平安科技(深圳)有限公司 | 防火墙策略生成方法、装置、计算机设备及存储介质 |
CN110909380A (zh) * | 2019-11-11 | 2020-03-24 | 西安交通大学 | 一种异常文件访问行为监控方法和装置 |
CN110990844A (zh) * | 2019-10-25 | 2020-04-10 | 浙江大华技术股份有限公司 | 基于内核的云数据保护方法、云服务器、*** |
CN111611774A (zh) * | 2020-04-29 | 2020-09-01 | 国家电网有限公司 | 一种运维操作指令安全分析方法、***及存储介质 |
CN114499948A (zh) * | 2021-12-23 | 2022-05-13 | 麒麟软件有限公司 | 一种Linux防火墙动态策略处理方法、装置及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102393887A (zh) * | 2011-06-30 | 2012-03-28 | 成都市华为赛门铁克科技有限公司 | 基于lsm基制的应用集中管理***及方法 |
CN102930202A (zh) * | 2012-11-05 | 2013-02-13 | 曙光信息产业(北京)有限公司 | 在Linux***中执行操作的方法 |
-
2016
- 2016-08-11 CN CN201610656020.3A patent/CN106295355B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102393887A (zh) * | 2011-06-30 | 2012-03-28 | 成都市华为赛门铁克科技有限公司 | 基于lsm基制的应用集中管理***及方法 |
CN102930202A (zh) * | 2012-11-05 | 2013-02-13 | 曙光信息产业(北京)有限公司 | 在Linux***中执行操作的方法 |
Non-Patent Citations (3)
Title |
---|
吴娴等: "基于LSM框架构建Linux安全模块", 《计算机工程与设计》 * |
王赛娇等: "基于LSM的进程行为监控技术研究", 《计算机工程与科学》 * |
罗俊等: "基于LSM架构对Linux文件***进行安全性增强", 《计算机工程与应用》 * |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107360178A (zh) * | 2017-07-31 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种使用白名单控制网络访问的方法 |
CN108121913A (zh) * | 2017-09-26 | 2018-06-05 | 江苏神州信源***工程有限公司 | 一种操作管理方法及装置 |
CN108804912A (zh) * | 2018-06-15 | 2018-11-13 | 北京大学 | 一种基于权限集差异的应用程序越权检测方法 |
CN109271804A (zh) * | 2018-08-09 | 2019-01-25 | 山东中孚安全技术有限公司 | 一种基于Linux安全模块的文件审计、防护方法 |
CN109241734A (zh) * | 2018-08-10 | 2019-01-18 | 航天信息股份有限公司 | 一种防护软件运行效率优化方法及*** |
CN109165486A (zh) * | 2018-08-27 | 2019-01-08 | 四川长虹电器股份有限公司 | 一种可配置的接口访问权限控制方法 |
CN109768962A (zh) * | 2018-12-13 | 2019-05-17 | 平安科技(深圳)有限公司 | 防火墙策略生成方法、装置、计算机设备及存储介质 |
CN109768962B (zh) * | 2018-12-13 | 2022-04-12 | 平安科技(深圳)有限公司 | 防火墙策略生成方法、装置、计算机设备及存储介质 |
CN110990844A (zh) * | 2019-10-25 | 2020-04-10 | 浙江大华技术股份有限公司 | 基于内核的云数据保护方法、云服务器、*** |
CN110990844B (zh) * | 2019-10-25 | 2022-04-08 | 浙江大华技术股份有限公司 | 基于内核的云数据保护方法、云服务器、*** |
CN110909380A (zh) * | 2019-11-11 | 2020-03-24 | 西安交通大学 | 一种异常文件访问行为监控方法和装置 |
CN111611774A (zh) * | 2020-04-29 | 2020-09-01 | 国家电网有限公司 | 一种运维操作指令安全分析方法、***及存储介质 |
CN111611774B (zh) * | 2020-04-29 | 2023-08-18 | 国家电网有限公司 | 一种运维操作指令安全分析方法、***及存储介质 |
CN114499948A (zh) * | 2021-12-23 | 2022-05-13 | 麒麟软件有限公司 | 一种Linux防火墙动态策略处理方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN106295355B (zh) | 2019-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106295355B (zh) | 一种面向Linux服务器的主动安全保障方法 | |
US10361998B2 (en) | Secure gateway communication systems and methods | |
US9602515B2 (en) | Enforcing alignment of approved changes and deployed changes in the software change life-cycle | |
US7673324B2 (en) | Method and system for tracking an operating performed on an information asset with metadata associated therewith | |
US7814021B2 (en) | Managed distribution of digital assets | |
US20110239306A1 (en) | Data leak protection application | |
CN103620613B (zh) | 用于基于虚拟机监视器的反恶意软件安全的***和方法 | |
CN102034052B (zh) | 基于三权分立的操作***体系结构及实现方法 | |
US8893285B2 (en) | Securing data using integrated host-based data loss agent with encryption detection | |
US9736182B1 (en) | Context-aware compromise assessment | |
CN101520831A (zh) | 安全终端***及终端安全方法 | |
US11221968B1 (en) | Systems and methods for shadow copy access prevention | |
US11556642B2 (en) | Code monitoring and restricting of egress operations | |
CN106228078A (zh) | 一种Linux下基于增强型ROST的安全运行方法 | |
CN114003943A (zh) | 一种用于机房托管管理的安全双控管理平台 | |
CN107256358A (zh) | 工业组态监控软件执行过程动态保护方法 | |
JP5293151B2 (ja) | コンテンツ保護装置及びコンテンツ保護プログラム | |
CN114661694A (zh) | 数据库运维安全管控*** | |
CN101408919A (zh) | 计算机间谍行为的监测方法及*** | |
RU2399091C2 (ru) | Способ адаптивного параметрического управления безопасностью информационных систем и система для его осуществления | |
US20210004477A1 (en) | Enhanced computer objects security | |
CN114239034A (zh) | 一种保护敏感资源的日志记录***及事故取证方法 | |
CN106886709B (zh) | 一种文件加密中的应用程序动态授信方法 | |
Rosado et al. | Comparison of security patterns | |
KR100959277B1 (ko) | 커널계층에서 통제리스트를 이용한 mbr공격차단 시스템 및 그 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |