一種記錄網(wǎng)絡(luò)攻擊IP和命令執(zhí)行回顯的方法和系統(tǒng)

基本信息

申請(qǐng)?zhí)?/td> CN202110692316.1 申請(qǐng)日 -
公開(公告)號(hào) CN113395287A 公開(公告)日 2021-09-14
申請(qǐng)公布號(hào) CN113395287A 申請(qǐng)公布日 2021-09-14
分類號(hào) H04L29/06 分類 電通信技術(shù);
發(fā)明人 王嘉雄 申請(qǐng)(專利權(quán))人 杭州默安科技有限公司
代理機(jī)構(gòu) 杭州裕陽聯(lián)合專利代理有限公司 代理人 田金霞
地址 311100 浙江省杭州市余杭區(qū)倉前街道文一西路1378號(hào)1幢E座10層
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種記錄網(wǎng)絡(luò)攻擊IP和命令執(zhí)行回顯的方法和系統(tǒng),所方法包括如下步驟:建立內(nèi)核調(diào)試模塊,在所述內(nèi)核調(diào)試模塊中掛載至少一個(gè)關(guān)鍵函數(shù);通過上述關(guān)鍵函數(shù)獲取PID字典、socketfd字典和IP對(duì)應(yīng)的字典;在內(nèi)核中掛載execve函數(shù),根據(jù)所述execve函數(shù)記錄當(dāng)前execve函數(shù)PID的調(diào)用過程,獲取并返回進(jìn)程樹;建立暗記模塊,記錄bash當(dāng)前的PID,執(zhí)行內(nèi)容和執(zhí)行回顯,根據(jù)所述進(jìn)程樹獲取祖先進(jìn)程;將所述祖先進(jìn)程PID和獲取的PID字典、socketfd字典、IP字典對(duì)比,獲取攻擊者IP。所述方法和系統(tǒng)獲取Bash進(jìn)程所處的進(jìn)程樹,并根據(jù)進(jìn)程樹追溯祖先進(jìn)程,根據(jù)所述祖先進(jìn)程的套接字獲取網(wǎng)絡(luò)攻擊者IP,從而可以實(shí)現(xiàn)對(duì)Bash攻擊的有效監(jiān)控。