一種系統(tǒng)行為審計(jì)方法、裝置、終端及存儲(chǔ)介質(zhì)

基本信息

申請(qǐng)?zhí)?/td> CN202010942657.5 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN112084091B 公開(kāi)(公告)日 2021-07-30
申請(qǐng)公布號(hào) CN112084091B 申請(qǐng)公布日 2021-07-30
分類號(hào) G06F11/30(2006.01)I 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 呂琦;張福;程度 申請(qǐng)(專利權(quán))人 北京升鑫網(wǎng)絡(luò)科技有限公司
代理機(jī)構(gòu) 北京譜帆知識(shí)產(chǎn)權(quán)代理有限公司 代理人 魏敬宣
地址 102199北京市大興區(qū)北京經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)科谷一街10號(hào)院6號(hào)樓5層505-4C
法律狀態(tài) -

摘要

摘要 本發(fā)明公開(kāi)了一種系統(tǒng)行為審計(jì)方法、裝置、終端及存儲(chǔ)介質(zhì),方法包括:加載內(nèi)核模塊,hook系統(tǒng)調(diào)用;確定系統(tǒng)調(diào)用被執(zhí)行且被審計(jì)時(shí),根據(jù)預(yù)設(shè)配置獲取與系統(tǒng)調(diào)用對(duì)應(yīng)的行為內(nèi)容;記錄當(dāng)前進(jìn)程的進(jìn)程UUID和會(huì)話UUID;將行為內(nèi)容、進(jìn)程UUID和會(huì)話UUID作為審計(jì)內(nèi)容進(jìn)行上報(bào);即通過(guò)加載內(nèi)核模塊,hook系統(tǒng)調(diào)用,進(jìn)而系統(tǒng)調(diào)用被執(zhí)行,可以對(duì)系統(tǒng)調(diào)用進(jìn)行審計(jì),根據(jù)預(yù)設(shè)配置策略獲取與系統(tǒng)調(diào)用對(duì)應(yīng)的行為內(nèi)容,并通過(guò)記錄當(dāng)前進(jìn)程的進(jìn)程UUID和會(huì)話UUID,行為內(nèi)容、進(jìn)程UUID和會(huì)話UUID,能夠更好的為后續(xù)的審計(jì)內(nèi)容分析做關(guān)聯(lián)支撐,且采用可動(dòng)態(tài)加載的內(nèi)核模塊,不需要重新編譯系統(tǒng)內(nèi)核,對(duì)上層應(yīng)用無(wú)影響。