一种记录网络攻击IP和命令执行回显的方法和系统
基本信息
| 申请号 | CN202110692316.1 | 申请日 | - |
| 公开(公告)号 | CN113395287A | 公开(公告)日 | 2021-09-14 |
| 申请公布号 | CN113395287A | 申请公布日 | 2021-09-14 |
| 分类号 | H04L29/06 | 分类 | 电通信技术; |
| 发明人 | 王嘉雄 | 申请(专利权)人 | 杭州默安科技有限公司 |
| 代理机构 | 杭州裕阳联合专利代理有限公司 | 代理人 | 田金霞 |
| 地址 | 311100 浙江省杭州市余杭区仓前街道文一西路1378号1幢E座10层 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本发明公开了一种记录网络攻击IP和命令执行回显的方法和系统,所方法包括如下步骤:建立内核调试模块,在所述内核调试模块中挂载至少一个关键函数;通过上述关键函数获取PID字典、socketfd字典和IP对应的字典;在内核中挂载execve函数,根据所述execve函数记录当前execve函数PID的调用过程,获取并返回进程树;建立暗记模块,记录bash当前的PID,执行内容和执行回显,根据所述进程树获取祖先进程;将所述祖先进程PID和获取的PID字典、socketfd字典、IP字典对比,获取攻击者IP。所述方法和系统获取Bash进程所处的进程树,并根据进程树追溯祖先进程,根据所述祖先进程的套接字获取网络攻击者IP,从而可以实现对Bash攻击的有效监控。 |
