入侵检测方法及装置制造方法及图纸

本发明专利技术公开了一种入侵检测方法及装置，属于计算机安全技术领域。该方法包括：获取系统调用链表；从系统调用链表中导出系统调用指针；对系统调用指针用指纹算法进行处理，得到系统调用指针指纹数据；将当前获取的系统调用指针指纹数据与本端预存的系统调用指针指纹数据进行比对；当确定当前获取的系统调用指针指纹数据与本端预存的系统调用指针指纹数据不一致时，确定本端发生入侵事件。该装置包括：第一获取模块、导出模块、指纹算法处理模块、第一比对模块和第一确定模块。本发明专利技术将当前指纹数据和预存的系统调用指针指纹数据进行比对，以确定是否有入侵事件发生，可以检测到对系统内核态的入侵事件，实现了对系统全面的保护，提高了系统可靠性。

【技术实现步骤摘要】
入侵检测方法及装置
本专利技术涉及计算机安全
，特别涉及一种入侵检测方法及装置。
技术介绍
随着Linux系统越来越多的被用于企业服务器，如何提高Linux系统的安全性成为一个值得重视的问题。为了给Linux系统提供实时防护，一般采用主机入侵检测技术，通过收集和分析系统日志以及用户态的配置文件、库文件和系统指令等信息，检测系统中是否有入侵事件发生。在实现本专利技术的过程中，专利技术人发现现有技术至少存在以下问题：Linux系统将自身划分为用户态和内核态两部分。目前基于Linux系统的主机入侵检测技术中收集和分析的信息均属于用户态的信息，无法对Linux系统内核进行检测，因此无法检测到对Linux系统内核态的入侵事件。
技术实现思路
为了解决现有技术的问题，本专利技术实施例提供了一种入侵检测方法及装置。该技术方案如下：一方面，提供了一种入侵检测方法，该方法包括：获取系统调用链表；从该系统调用链表中导出系统调用指针；对该系统调用指针用指纹算法进行处理，得到系统调用指针指纹数据；将当前获取的该系统调用指针指纹数据与本端预存的系统调用指针指纹数据进行比对；当确定当前获取的该系统调用指针指纹数据与本端预存的系统调用指针指纹数据不一致时，确定本端发生入侵事件；该获取系统调用链表包括：获取系统调用处理程序入口；根据该系统调用处理程序入口，获取该系统调用链表指针，该系统调用链表指针指向该系统调用链表的首地址；根据该系统调用链表指针，获取系统调用链表；该获取系统调用处理程序入口包括：执行SIDT汇编指令，将IDTR寄存器中的中断描述符表的基地址和长度值复制到内存中；根据该中断描述符表的基地址和长度值获取中断描述符表；将该中断描述符表存储到内存中；根据中断描述符表，获取系统调用对应的门描述符；根据该门描述符，转到系统调用处理程序入口。可选地，该根据该系统调用处理程序入口，获取该系统调用链表指针包括：在内存中查找第一个Call汇编指令；执行该Call汇编指令；该Call汇编指令根据该系统调用处理程序入口，获取该系统调用链表指针。可选地，获取系统调用链表之前，该方法还包括：在初始化阶段，获取初始化阶段的系统调用指针指纹数据；将该初始化阶段的系统调用指针指纹数据存储在本端。可选地，在初始化阶段，获取初始化阶段的系统调用指针指纹数据之后，该方法还包括：将该初始化阶段的系统调用指针指纹数据存储到服务器。可选地，将该初始化阶段的系统调用指针指纹数据存储到服务器之后，该方法还包括：将当前获取的该系统调用指针指纹数据与服务器预存的系统调用指针指纹数据进行比对；当确定当前获取的该系统调用指针指纹数据与该服务器预存的系统调用指针指纹数据不一致时，确定本端发生入侵事件。可选地，将该初始化阶段的系统调用指针指纹数据存储到服务器之后，该方法还包括：将该本端预存的系统调用指针指纹数据与该服务器预存的系统调用指针指纹数据进行比对；当确定本端预存的系统调用指针指纹数据与服务器预存的系统调用指针指纹数据不一致时，确定本端发生入侵事件。可选地，获取系统调用链表之后，该方法还包括：获取系统调用地址文件，该系统调用地址文件用于存储该系统调用指针；将该系统调用地址文件与该系统调用链表进行比对；当确定该系统调用地址文件与该系统调用链表不一致时，确定本端发生入侵事件。可选地，确定本端发生入侵事件之后，该方法还包括：根据该入侵事件，输出警报信息。另一方面，提供了一种入侵检测装置，该装置包括：第一获取模块，用于获取系统调用链表；导出模块，用于从该系统调用链表中导出系统调用指针；指纹算法处理模块，用于对该系统调用指针用指纹算法进行处理，得到系统调用指针指纹数据；第一比对模块，用于将当前获取的该系统调用指针指纹数据与本端预存的系统调用指针指纹数据进行比对；第一确定模块，用于当确定当前获取的该系统调用指针指纹数据与本端预存的系统调用指针指纹数据不一致时，确定本端发生入侵事件；该第一获取模块包括：第一获取单元，用于获取系统调用处理程序入口；第二获取单元，用于根据该系统调用处理程序入口，获取该系统调用链表指针，该系统调用链表指针指向该系统调用链表的首地址；第三获取单元，用于根据该系统调用链表指针，获取系统调用链表；该第一获取单元还用于执行SIDT汇编指令，将IDTR寄存器中的中断描述符表的基地址和长度值复制到内存中；根据该中断描述符表的基地址和长度值获取中断描述符表；将该中断描述符表存储到内存中；根据中断描述符表，获取系统调用对应的门描述符；根据该门描述符，转到系统调用处理程序入口。可选地，该第二获取单元还用于在内存中查找第一个Call汇编指令；执行该Call汇编指令；该Call汇编指令根据该系统调用处理程序入口，获取该系统调用链表指针。可选地，该装置还包括：第二获取模块，用于在初始化阶段，获取初始化阶段的系统调用指针指纹数据；第一存储模块，用于将该初始化阶段的系统调用指针指纹数据存储在本端。可选地，该装置还包括：第二存储模块，用于将该初始化阶段的系统调用指针指纹数据存储到服务器。可选地，该装置还包括：第二比对模块，用于将当前获取的该系统调用指针指纹数据与服务器预存的系统调用指针指纹数据进行比对；第二确定模块，用于当确定当前获取的该系统调用指针指纹数据与该服务器预存的系统调用指针指纹数据不一致时，确定本端发生入侵事件。可选地，该装置还包括：第三比对模块，用于将该本端预存的系统调用指针指纹数据与该服务器预存的系统调用指针指纹数据进行比对；第三确定模块，用于当确定本端预存的系统调用指针指纹数据与服务器预存的系统调用指针指纹数据不一致时，确定本端发生入侵事件。可选地，该装置还包括：第三获取模块，用于获取系统调用地址文件，该系统调用地址文件用于存储该系统调用指针；第四比对模块，用于将该系统调用地址文件与该系统调用链表进行比对；第四确定模块，用于当确定该系统调用地址文件与该系统调用链表不一致时，确定本端发生入侵事件。可选地，该装置还包括：输出警报模块，用于根据该入侵事件，输出警报信息。本专利技术实施例提供的技术方案带来的有益效果是：通过获取当前系统调用指针的指纹数据，并将当前指纹数据和预先存储的系统调用指针指纹数据进行比对，以确定是否有入侵事件发生，可以检测到对系统内核态的入侵事件，实现了对系统全面的保护，提高了系统可靠性。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种入侵检测方法的流程图；图2是本专利技术实施例提供的一种入侵检测方法的流程图；图3是本专利技术实施例提供的一种入侵检测装置结构示意图；图4是本专利技术实施例提供的一种入侵检测装置结构示意图；图5是本专利技术实施例提供的一种入侵检测装置结构示意图；图6是本专利技术实施例提供的一种入侵检测装置结构示意图；图7是本专利技术实施例提供的一种入侵检测装置结构示意图；图8是本专利技术实施例提供的一种入侵检测装置结构示意图；图9是本专利技术实施例提供的一种入侵检测装置结构示意图；图10是本专利技术实施例提供的一种入侵检测装置结构示意图本文档来自技高网...

【技术保护点】
一种入侵检测方法，其特征在于，所述方法包括：获取系统调用链表；从所述系统调用链表中导出系统调用指针；对所述系统调用指针用指纹算法进行处理，得到系统调用指针指纹数据；将当前获取的所述系统调用指针指纹数据与本端预存的系统调用指针指纹数据进行比对；当确定当前获取的所述系统调用指针指纹数据与本端预存的系统调用指针指纹数据不一致时，确定本端发生入侵事件。

【技术特征摘要】
1.一种入侵检测方法，其特征在于，所述方法包括：获取系统调用链表；从所述系统调用链表中导出系统调用指针；对所述系统调用指针用指纹算法进行处理，得到系统调用指针指纹数据；将当前获取的所述系统调用指针指纹数据与本端预存的系统调用指针指纹数据进行比对；当确定当前获取的所述系统调用指针指纹数据与本端预存的系统调用指针指纹数据不一致时，确定本端发生入侵事件；所述获取系统调用链表包括：获取系统调用处理程序入口；根据所述系统调用处理程序入口，获取所述系统调用链表指针，所述系统调用链表指针指向所述系统调用链表的首地址；根据所述系统调用链表指针，获取系统调用链表；所述获取系统调用处理程序入口包括：执行SIDT汇编指令，将IDTR寄存器中的中断描述符表的基地址和长度值复制到内存中；根据所述中断描述符表的基地址和长度值获取中断描述符表；将所述中断描述符表存储到内存中；根据中断描述符表，获取系统调用对应的门描述符；根据所述门描述符，转到系统调用处理程序入口。2.根据权利要求1所述的方法，其特征在于，所述根据所述系统调用处理程序入口，获取所述系统调用链表指针包括：在内存中查找第一个Call汇编指令；执行所述Call汇编指令；所述Call汇编指令根据所述系统调用处理程序入口，获取所述系统调用链表指针。3.根据权利要求1所述的方法，其特征在于，获取系统调用链表之前，所述方法还包括：在初始化阶段，获取初始化阶段的系统调用指针指纹数据；将所述初始化阶段的系统调用指针指纹数据存储在本端。4.根据权利要求3所述的方法，其特征在于，在初始化阶段，获取初始化阶段的系统调用指针指纹数据之后，所述方法还包括：将所述初始化阶段的系统调用指针指纹数据存储到服务器。5.根据权利要求4所述的方法，其特征在于，将所述初始化阶段的系统调用指针指纹数据存储到服务器之后，所述方法还包括：将当前获取的所述系统调用指针指纹数据与服务器预存的系统调用指针指纹数据进行比对；当确定当前获取的所述系统调用指针指纹数据与所述服务器预存的系统调用指针指纹数据不一致时，确定本端发生入侵事件。6.根据权利要求4所述的方法，其特征在于，将所述初始化阶段的系统调用指针指纹数据存储到服务器之后，所述方法还包括：将所述本端预存的系统调用指针指纹数据与所述服务器预存的系统调用指针指纹数据进行比对；当确定本端预存的系统调用指针指纹数据与服务器预存的系统调用指针指纹数据不一致时，确定本端发生入侵事件。7.根据权利要求1所述的方法，其特征在于，获取系统调用链表之后，所述方法还包括：获取系统调用地址文件，所述系统调用地址文件用于存储所述系统调用指针；将所述系统调用地址文件与所述系统调用链表进行比对；当确定所述系统调用地址文件与所述系统调用链表不一致时，确定本端发生入侵事件。8.根据权利要求1所述的方法，其特征在于，确定本端发生入侵事件之后，所述方法还包括：根据所述入侵事件，输出警报信息。9.一种入侵检测装置，其特征在于...

【专利技术属性】
技术研发人员：韩方，张涛，
申请(专利权)人：广州华多网络科技有限公司，
类型：发明
国别省市：