买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：上海湖顶大数据科技有限公司

摘要：本发明公开了一种基于LSM来实现动态的系统调用劫持的方法，该方法包括如下步骤：用户进程调用系统调用函数，系统调用函数运行LSM框架插入的钩子函数，钩子函数调用动态加载的LSM检测函数，检查操作上下文和主客体安全域的相关信息，符合定制的安全策略允许系统调用继续执行，不符合定制的安全策略则错误返回。本发明科学合理，使用安全方便，不需要事先编译进内核中就能够动态加载LSM安全模块，使用定制的检测函数，完成一种基于LSM的动态的系统调用劫持。

主权项：1.一种基于LSM来实现动态的系统调用劫持的方法，其特征在于，所述方法包括如下步骤：步骤S1:加载定制的内核模块，转步骤S2；步骤S2：将一个指针地址作为第一命名模块加载参数，将第一命名模块加载到定制的内核模块，并在第一命名模块中实现一个定制的检测函数，转步骤S3；步骤S3：用户进程调用系统调用函数，转步骤S4；步骤S4：系统调用函数运行LSM框架插入的钩子函数，钩子函数调用动态加载的LSM检测函数，根据指针地址将当前安全操作集中第一命名的检测函数的地址保存起来，并且以旧检测函数命名存储，将当前安全操作集中第一命名的检测函数指针指向定制的检测函数，转步骤S5；步骤S5：系统调用execve在执行时，先调用定制的检测函数，如果通过了定制的检测，再调用第一命名的检测函数，当LSM框架中安全模块的钩子函数被调用时，该安全模块从主客体结构中获取该安全模块的安全上下文信息并将其发送给安全模块策略引擎，安全模块策略引擎根据主客体安全上下文信息以及安全策略库，作出该安全模块对于此次调用的决策，实现系统的调用劫持；所述步骤S2中在定制的内核模块中实现一个定制的检测函数，所述定制的检测函数用于检查将被执行的程序是否处于临时目录下，如果程序处于临时目录下，则认为是一个危险程序，禁止该程序执行，如果程序不处于临时目录下，则认为是一个安全程序，允许该程序执行；所述步骤S2中定制的检测函数插入链表头部，将定制的检测函数以链表的形式串联起来，使定制的检测函数优先生效；所述步骤S2中将定制的检测函数以链表形式串联的步骤如下：在LSM框架中的钩子函数指针结构中添加一个链表，将定制的检测函数插入链表头部；在LSM框架中创建一个字段数组，该字段数组中的每一个指针对应一个安全模块的安全域；在LSM框架初始化阶段，LSM框架根据配置获得多个安全模块的启动参数，并初始化链表结构；当安全模块加载进入Linux内核时，安全模块获得一个钩子函数指针结构体，然后将该安全模块中的钩子函数与该钩子函数指针结构体中的指针相连接并给该安全模块分配一个定位值，之后通过钩子函数指针结构体的链表结构将安全模块与其他已加载进入Linux内核的安全模块的钩子函数指针结构体链接，其中，定位值代表安全模块的启动顺序。

全文数据：

权利要求：

百度查询： 上海湖顶大数据科技有限公司 一种基于LSM来实现动态的系统调用劫持的方法