公开(公告)号：CN107967426B

公开(公告)日：2020-07-03

申请号：CN201711205897.1

申请日：2017-11-27

申请人： 华中科技大学

发明人： 金海 ,  羌卫中 ,  杨嘉玮

IPC分类号： G06F21/55

摘要： 本发明公开了一种Linux内核数据攻击的检测方法、防御方法及系统，该检测方法包括如下步骤：根据Linux内核数据与安全相关度从Linux内核数据中提取安全关键数据；对Linux内核数据进行静态分析获得Linux内核数据的数据流；从Linux内核数据的数据流中提取安全关键数据之间关系获得安全关键数据的数据流；对Linux内核运行过程中关键数据进行监控，并与安全关键数据的数据流进行比较，若Linux内核运行过程中关键数据偏离安全关键数据的数据流，则输出Linux内核数据受到攻击，否则，输出Linux内核数据未受到攻击。相比于现有的内核数据攻击检测方案，本发明充分考虑了程序数据流的间接分支分特性，有效降低了检测结果的误报率。

公开(公告)号：CN107967426A

公开(公告)日：2018-04-27

申请号：CN201711205897.1

申请日：2017-11-27

申请人： 华中科技大学

发明人： 金海 ,  羌卫中 ,  杨嘉玮

IPC分类号： G06F21/55

摘要： 本发明公开了一种Linux内核数据攻击的检测方法、防御方法及系统，该检测方法包括如下步骤：根据Linux内核数据与安全相关度从Linux内核数据中提取安全关键数据；对Linux内核数据进行静态分析获得Linux内核数据的数据流；从Linux内核数据的数据流中提取安全关键数据之间关系获得安全关键数据的数据流；对Linux内核运行过程中关键数据进行监控，并与安全关键数据的数据流进行比较，若Linux内核运行过程中关键数据偏离安全关键数据的数据流，则输出Linux内核数据受到攻击，否则，输出Linux内核数据未受到攻击。相比于现有的内核数据攻击检测方案，本发明充分考虑了程序数据流的间接分支分特性，有效降低了检测结果的误报率。