一種Linux系統(tǒng)用戶操作行為審計方法

基本信息

申請?zhí)?/td> CN201711438934.3 申請日 -
公開(公告)號 CN108229155B 公開(公告)日 2021-05-14
申請公布號 CN108229155B 申請公布日 2021-05-14
分類號 G06F21/55 分類 計算;推算;計數(shù);
發(fā)明人 馮鵬飛;孫超 申請(專利權(quán))人 山東華軟金盾軟件股份有限公司
代理機構(gòu) 北京金宏來專利代理事務(wù)所(特殊普通合伙) 代理人 左海明
地址 250101 山東省濟南市高新區(qū)舜華路1號齊魯軟件園5號樓(創(chuàng)業(yè)廣場E座)A408、A410、A412房間
法律狀態(tài) -

摘要

摘要 一種Linux系統(tǒng)用戶操作行為審計方法,包括如下步驟:a)Linux系統(tǒng)加載文件過濾驅(qū)動ko文件;b)Linux系統(tǒng)結(jié)構(gòu)中kprobe保存CPU寄存器信息以及棧數(shù)據(jù),修改指令寄存器信息使執(zhí)行過程跳轉(zhuǎn)至自定義系統(tǒng)結(jié)構(gòu)jprobe中定義的方案探測函數(shù)jsys_write;c)通建立方案探測函數(shù);d)獲取打開文件的絕對路徑,獲取本次操作使用的命令及其絕對路徑;e)如果發(fā)現(xiàn)獲取到的寫入數(shù)據(jù)包含敏感數(shù)據(jù)或者文件所在目錄為禁止操作目錄,則修正自定義結(jié)構(gòu)jprobe保存的原始CPU寄存器信息,將返回地址修改為文件關(guān)閉地址直接關(guān)閉文件。審計的過程不影響系統(tǒng)正常使用、安全穩(wěn)定用Linux標準安全監(jiān)測技術(shù)處理,不會被系統(tǒng)提示警報。