基于linux的进程保护方法与流程

本发明涉及进程保护方法，具体涉及基于linux的进程保护方法。

背景技术：

1、随着计算机技术和网络技术的快速发展，病毒木马等恶意软件也在快速发展，对系统的安全性挑战也越来越严峻，尤其是对系统关键进程和各行业关键应用的保护需求也越来越多。因此作为操作系统，需要提供完善的、安全的进程保护机制，来保证各关键应用在系统中的安全运行，同时也得保证系统性能和正常功能不受影响。

2、从目前已有的技术来看，都只是片面的解决了进程保护的问题，没有从系统的整体角度来解决问题。如：

3、专利《一种进程保护方法、标记方法、装置及设备》（cn 112182558 a）中描述将进程保护标识设置到程序文件扩展属性中，在每次检测到终止进程的信号时再从进程对应程序文件扩展属性中获取是否存在进程保护标识，来直接决定是否允许终止进程。该方法不仅会大大增加系统性能损失，也没有提出对进程保护标识扩展属性的保护方法，存在一定的安全隐患，同时也没有明确对于内核线程发送终止信号时的处理方法。

4、专利《一种进程保护方法、装置、设备以及计算机可读存储介质》（cn 107678782a）中描述在检测到进程运行后，新创建个服务进程来对受保护进程进行保护，该方法并没有对具体的杀死进程的信号做处理，而是在进程被杀死后，服务进程定期来检查受保护进程是否还在运行，若没在运行了则再次将受保护进程拉起运行。该方法不能保证受保护进程永远在线，同时当需要保护的进程量比较大时，会需要同步创建大量的服务进程来保护，会增加系统的负担，在系统资源耗尽时，触发oom机制，会有可能杀死系统任何应用进程和服务进程，此时可能会导致该发明的进程保护方法失效。

技术实现思路

1、为解决已有技术存在的不足，本发明提供了一种基于linux的进程保护方法，包括如下步骤：

2、步骤s1：将进程保护标识写入程序文件的elf数据段中；

3、步骤s2：程序文件执行时，内核直接读取文件elf段数据，获取进程保护标识，并将获取到的进程保护标识设置到进程安全域数据中；

4、步骤s3：进程收到杀死信号后，分析杀死信号的来源，并根据信号来源，再结合被保护进程自身状态来决定是否允许杀死被保护进程。

5、其中，所述步骤s1中，在通用场景下，直接将进程保护标识写入程序文件的elf数据段中；在安全场景下，先将进程保护标识结合程序文件名进行签名，再将签名后的数据写入到程序文件的elf数据段中。

6、其中，所述步骤s3包括：

7、步骤s31：判断进程安全域数据中是否设置了进程保护标识，若不是，则表示进程不是被保护的进程，可以直接杀死，否则，进入下一步；

8、步骤s32：判断发送信号的进程是否是进程自己，若是，则允许杀死被保护进程，否则，进入下一步；

9、步骤s33：判断发送信号的进程是否是内核线程，若不是，则禁止杀死被保护进程，否则，进入下一步；

10、步骤s34：判断内核线程是否是异常处理机制线程，若不是，则允许内核线程杀死被保护的进程，若是，则进入下一步；

11、步骤s35：检查被保护进程当前占用系统资源情况，若被保护进程大量占用系统资源影响了系统的正常运行，则允许该内核异常处理机制线程杀死被保护进程，否则，禁止杀死被保护的进程。

12、本发明可在安全需求高的环境中，可以对进程保护标识进行签名，确保进程保护功能不被病毒木马等恶意软件利用；同时，在进程启动时将进程保护标识写入进程安全域数据中，在内核中可以直接通过读取进程安全域数据来快速识别进程是否被保护；并且，进程防杀死处理更符合系统的实际使用：在进程收到杀死信号后，从不影响系统正常使用的前提下，分析杀死信号的来源进程，根据信号来源，再结合被保护进程自身状态来决定是否允许杀死被保护进程，确保被保护进程不会轻易被病毒木马等恶意软件杀死。

技术特征：

1.基于linux的进程保护方法，其特征在于，包括如下步骤：

2.如权利要求1所述的基于linux的进程保护方法，其特征在于，所述步骤s1中，在通用场景下，直接将进程保护标识写入程序文件的elf数据段中；在安全场景下，先将进程保护标识结合程序文件名进行签名，再将签名后的数据写入到程序文件的elf数据段中。

3.如权利要求1所述的基于linux的进程保护方法，其特征在于，所述步骤s3包括：

技术总结
本发明涉及基于linux的进程保护方法，包括：将进程保护标识写入程序文件的elf数据段中；程序文件执行时，内核直接读取文件elf段数据，获取进程保护标识，并将获取到的进程保护标识设置到进程安全域数据中；进程收到杀死信号后，分析杀死信号的来源，并根据信号来源，再结合被保护进程自身状态来决定是否允许杀死被保护进程。本发明可在安全需求高的环境中，可以对进程保护标识进行签名，确保进程保护功能不被病毒木马等恶意软件利用；同时，在进程启动时将进程保护标识写入进程安全域数据中，在内核中可以直接通过读取进程安全域数据来快速识别进程是否被保护；并且，进程防杀死处理更符合系统的实际使用。

技术研发人员：杨钊,姬一文,刘毅,郇福喜,王康龙,朱兵,杨诏钧
受保护的技术使用者：麒麟软件有限公司
技术研发日：
技术公布日：2024/3/4