【技术实现步骤摘要】
一种Linux系统用户操作行为审计方法
本专利技术涉及Linux系统审计领域,具体涉及一种Linux系统用户操作行为审计方法。
技术介绍
Linux系统作为常用服务器操作系统,在其提供服务过程中其自身行为或者用户操作行为在某些情况下需要进行审计以鉴别某些潜在危险,尤其在遭到入侵行为时更是无法确定操作了哪些系统文件或者改变了哪些系统配置。在现有的解决方案中,行为操作的审计目前大部分还是局限于系统自身的日志或者系统应用程序日志等内容,如syslog、apache运行日志,但对于具体的文件读写甚至文件读写内容无法做到明确的信息展示。
技术实现思路
本专利技术为了克服以上技术的不足,提供了一种不影响系统正常使用、安全稳定的Linux系统用户操作行为审计方法。本专利技术克服其技术问题所采用的技术方案是:一种Linux系统用户操作行为审计方法,包括如下步骤:a)Linux系统加载文件过滤驱动ko文件;b)Linux系统结构中kprobe保存CPU寄存器信息以及栈数据,修改指令寄存器信息使执行过程跳转至自定义系统结构jprobe中定义的方案探测函数jsys_write;c)通过staticvoidjsys_write(unsignedintfd,constchar__user*buf,size_tcount)命令建立方案探测函数,其中fd为本次打开的文件ID,buf为本次要写入的数据,count为本次写入的数据字节数;d)在方案提供的探测函数内部通过系统函数current_thread_info()获取到当前进程所有信息task_struct,通过task_struct中结 ...
【技术保护点】
1.一种Linux系统用户操作行为审计方法,其特征在于,包括如下步骤:a)Linux系统加载文件过滤驱动ko文件;b)Linux系统结构中kprobe保存CPU寄存器信息以及栈数据,修改指令寄存器信息使执行过程跳转至自定义系统结构jprobe中定义的方案探测函数jsys_write;c)通过static void jsys_write(unsigned int fd, const char __user *buf, size_t count)命令建立方案探测函数,其中fd为本次打开的文件ID,buf为本次要写入的数据,count为本次写入的数据字节数;d)在方案提供的探测函数内部通过系统函数current_thread_info()获取到当前进程所有信息task_struct,通过task_struct中结构体file以及file_struct获取打开文件的绝对路径,通过结构体vm_area_struct以及path获取本次操作使用的命令及其绝对路径;e)如果发现获取到的写入数据包含敏感数据或者文件所在目录为禁止操作目录,则修正自定义结构jprobe保存的原始CPU寄存器信息,将返回地 ...
【技术特征摘要】
1.一种Linux系统用户操作行为审计方法,其特征在于,包括如下步骤:a)Linux系统加载文件过滤驱动ko文件;b)Linux系统结构中kprobe保存CPU寄存器信息以及栈数据,修改指令寄存器信息使执行过程跳转至自定义系统结构jprobe中定义的方案探测函数jsys_write;c)通过staticvoidjsys_write(unsignedintfd,constchar__user*buf,size_tcount)命令建立方案探测函数,其中fd为本次打开的文件ID,buf为本次要写入的数据,count为本次写入的数据字节数;d)在方案提供的探测函数内部通过系统函数current_thread_info()获取到当前进程所有信息task_struct,通过task_struct中结构体file以及file_struct获取打开文件的绝对路径,通过结构体vm_area_st...
【专利技术属性】
技术研发人员:冯鹏飞,
申请(专利权)人:山东华软金盾软件股份有限公司,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。