一種系統(tǒng)行為審計方法、裝置、終端及存儲介質(zhì)

基本信息

申請?zhí)?/td> CN202010942657.5 申請日 -
公開(公告)號 CN112084091B 公開(公告)日 2021-07-30
申請公布號 CN112084091B 申請公布日 2021-07-30
分類號 G06F11/30(2006.01)I 分類 計算;推算;計數(shù);
發(fā)明人 呂琦;張福;程度 申請(專利權(quán))人 北京升鑫網(wǎng)絡(luò)科技有限公司
代理機(jī)構(gòu) 北京譜帆知識產(chǎn)權(quán)代理有限公司 代理人 魏敬宣
地址 102199北京市大興區(qū)北京經(jīng)濟(jì)技術(shù)開發(fā)區(qū)科谷一街10號院6號樓5層505-4C
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種系統(tǒng)行為審計方法、裝置、終端及存儲介質(zhì),方法包括:加載內(nèi)核模塊,hook系統(tǒng)調(diào)用;確定系統(tǒng)調(diào)用被執(zhí)行且被審計時,根據(jù)預(yù)設(shè)配置獲取與系統(tǒng)調(diào)用對應(yīng)的行為內(nèi)容;記錄當(dāng)前進(jìn)程的進(jìn)程UUID和會話UUID;將行為內(nèi)容、進(jìn)程UUID和會話UUID作為審計內(nèi)容進(jìn)行上報;即通過加載內(nèi)核模塊,hook系統(tǒng)調(diào)用,進(jìn)而系統(tǒng)調(diào)用被執(zhí)行,可以對系統(tǒng)調(diào)用進(jìn)行審計,根據(jù)預(yù)設(shè)配置策略獲取與系統(tǒng)調(diào)用對應(yīng)的行為內(nèi)容,并通過記錄當(dāng)前進(jìn)程的進(jìn)程UUID和會話UUID,行為內(nèi)容、進(jìn)程UUID和會話UUID,能夠更好的為后續(xù)的審計內(nèi)容分析做關(guān)聯(lián)支撐,且采用可動態(tài)加載的內(nèi)核模塊,不需要重新編譯系統(tǒng)內(nèi)核,對上層應(yīng)用無影響。