一种Linux系统用户操作行为审计方法
基本信息
| 申请号 | CN201711438934.3 | 申请日 | - |
| 公开(公告)号 | CN108229155B | 公开(公告)日 | 2021-05-14 |
| 申请公布号 | CN108229155B | 申请公布日 | 2021-05-14 |
| 分类号 | G06F21/55 | 分类 | 计算;推算;计数; |
| 发明人 | 冯鹏飞;孙超 | 申请(专利权)人 | 山东华软金盾软件股份有限公司 |
| 代理机构 | 北京金宏来专利代理事务所(特殊普通合伙) | 代理人 | 左海明 |
| 地址 | 250101 山东省济南市高新区舜华路1号齐鲁软件园5号楼(创业广场E座)A408、A410、A412房间 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 一种Linux系统用户操作行为审计方法,包括如下步骤:a)Linux系统加载文件过滤驱动ko文件;b)Linux系统结构中kprobe保存CPU寄存器信息以及栈数据,修改指令寄存器信息使执行过程跳转至自定义系统结构jprobe中定义的方案探测函数jsys_write;c)通建立方案探测函数;d)获取打开文件的绝对路径,获取本次操作使用的命令及其绝对路径;e)如果发现获取到的写入数据包含敏感数据或者文件所在目录为禁止操作目录,则修正自定义结构jprobe保存的原始CPU寄存器信息,将返回地址修改为文件关闭地址直接关闭文件。审计的过程不影响系统正常使用、安全稳定用Linux标准安全监测技术处理,不会被系统提示警报。 |
