一種基于Linux主機(jī)的入侵檢測(cè)方法及裝置

基本信息

申請(qǐng)?zhí)?/td> CN201911363006.4 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN111090855A 公開(kāi)(公告)日 2020-05-01
申請(qǐng)公布號(hào) CN111090855A 申請(qǐng)公布日 2020-05-01
分類(lèi)號(hào) G06F21/55 分類(lèi) 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 王彥杰;胡建勛;肖樹(shù)根 申請(qǐng)(專(zhuān)利權(quán))人 中科信息安全共性技術(shù)國(guó)家工程研究中心有限公司
代理機(jī)構(gòu) - 代理人 -
地址 100080 北京市海淀區(qū)中關(guān)村大街19號(hào)新中關(guān)大廈B座北翼16層
法律狀態(tài) -

摘要

摘要 一種基于Linux主機(jī)的入侵檢測(cè)方法時(shí)在Linux內(nèi)核層啟動(dòng)三個(gè)HOOK監(jiān)視器,分別是網(wǎng)絡(luò)HOOK監(jiān)視器、進(jìn)程HOOK監(jiān)視器、文件HOOK監(jiān)視器;并分別發(fā)現(xiàn)來(lái)自網(wǎng)絡(luò)層的入侵、發(fā)現(xiàn)基于進(jìn)程執(zhí)行的入侵、分析匹配文件惡意行為。同時(shí)當(dāng)特征匹配模塊在網(wǎng)絡(luò)、進(jìn)程、文件的任意一種匹配上行為特征庫(kù),即視為入侵行為,上報(bào)給入侵檢測(cè)管理中心。有益效果在于:該方法及裝置的應(yīng)用解決了基于主機(jī)檢測(cè)存在的及時(shí)性不夠且敏感度不高的技術(shù)缺陷,有效提高了基于主機(jī)檢測(cè)的及時(shí)性和敏感性。