Linux网络访问监控方法及装置制造方法及图纸

本发明专利技术提供一种Linux网络访问监控方法及装置，其中，所述方法包括：接收应用程序的运行命令，并获取应用程序的标识；加载预设的劫持函数库和动态库；运行所述应用程序并识别所述应用程序中的网络访问函数；根据所述网络访问函数和所述应用程序的标识查找所述劫持函数库；若查找到与所述网络访问函数和所述应用程序的标识对应的劫持函数，则运行所述劫持函数，并根据所述劫持函数的运行结果判断调用动态库中的劫持函数的同时是否对所述网络访问函数进行监控。本发明专利技术所提供的Linux网络访问监控方法，能够在Linux系统中针对不同的应用程序对网络访问进行监控，记录不同的应用程序进行网络访问时的访问日志。

Linux network access monitoring method and device

The invention provides a Linux network access monitoring method and device, wherein, the method comprises the following steps: run the command receiving application, and gets the application identifier; loading preset hijacking function library and dynamic library; running the application and identifying the application of network access based on the identification function; find the network access function and the application to the library to find the hijacking; if the hijacking function identification and the corresponding program network access function and the application, run the hijacking function, and according to the judgment of the dynamic library function call hijacking the hijack function operation results at the same time, whether on the network access control function. The Linux network access monitoring method provided by the invention can monitor the network access to different applications in the Linux system, and record the access logs of different applications when the network is accessed.

【技术实现步骤摘要】

本专利技术涉及信息安全
，特别是涉及一种Linux网络访问监控方法及装置。
技术介绍
随着互联网应用的普及与发展，互联网中存在的各种不安全因素也越来越多，尤其在设置了内部网络的大型网络中，如何监控对外部网络的访问，保证内部网络的安全，是信息安全
的重要课题。目前，Linux下常用的进行网络访问监控的方法包括IPTABLES。如果Linux系统连接到互联网的服务器或代理服务器，IPTABLES有利于在Linux系统上更好的控制IP信息包过滤和防火墙配置。IPTABLES组件是一种工具，也称为用户空间，它使插入、修改和除去信息包过滤表中的规则变得容易。传统的针对Linux系统下的网络访问监控的方法，基本上基于对IPTABLES的二次开发和包装，基于网络五元组(协议号，源IP，源端口，目的IP和目的端口)，并且针对所有使用Linux系统的程序统一监控网络访问，无法针对应用程序对Linux系统网络访问进行监控。
技术实现思路
基于此，有必要针对无法针对应用程序对Linux系统网络访问进行监控的问题，提供一种Linux网络访问监控方法，所述方法包括：接收应用程序的运行命令，并获取应用程序的标识；加载预设的劫持函数库和动态库；运行所述应用程序并识别所述应用程序中的网络访问函数；根据所述网络访问函数和所述应用程序的标识查找所述劫持函数库，所述劫持函数库包括所述网络访问函数、所述应用程序的标识和劫持函数之间的对应关系；若查找到与所述网络访问函数和所述应用程序的标识对应的劫持函数，则运行所述劫持函数，并根据所述劫持函数的运行结果，判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控。在其中一个实施例中，所述劫持函数库的绝对路径保存在后台入口文件中。在其中一个实施例中，所述根据所述劫持函数的运行结果判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控，包括：获取所述网络访问函数中的网络信息；根据所述网络信息，调用外部服务程序，并根据所述外部服务程序的运行结果判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控。在其中一个实施例中，所述调用外部服务程序，包括：查找预设的监控网络库；所述根据所述网络信息，调用外部服务程序，并根据所述外部服务程序的运行结果判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控，包括：根据所述网络信息，查找预设的监控网络库，并根据查找结果判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控。在其中一个实施例中，所述调用外部服务程序，还包括：记录网络访问日志；所述根据所述网络信息，查找预设的监控网络库，并根据查找结果判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控，还包括：根据所述网络访问函数和所述应用程序，查找预设的监控网络库，若查找结果为需要对所述网络访问函数进行监控，则调用动态库中的网络访问函数的同时记录所述网络访问函数的网络访问日志。本专利技术所提供的Linux网络访问监控方法，能够在Linux系统中通过劫持网络访问函数，并根据劫持函数的运行结果判断是否需要监控所述网络访问函数，可针对不同的应用程序对网络访问进行监控，记录不同的应用程序进行网络访问时的访问日志。在其中一个实施例中，本专利技术所提供的Linux网络访问监控方法，能够通过外部服务程序对需要进行监控的应用程序进行定义及维护，提供了灵活方便的针对Linux系统网络访问的监控。本专利技术还提供一种Linux网络访问监控装置，包括：应用程序接收模块，用于接收应用程序的运行命令，并获取应用程序的标识；函数加载模块，用于加载预设的劫持函数库和动态库；函数识别模块，用于运行所述应用程序并识别所述应用程序中的网络访问函数；访问监控模块，用于根据所述网络访问函数和所述应用程序的标识查找所述劫持函数库，所述劫持函数库包括所述网络访问函数、所述应用程序的标识和劫持函数之间的对应关系；若查找到与所述网络访问函数和所述应用程序的标识对应的劫持函数，则运行所述劫持函数，并根据所述劫持函数的运行结果，判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控。在其中一个实施例中，所述函数加载模块还用于加载预设的劫持函数库，且所述劫持函数库的绝对路径保存在后台入口文件中。在其中一个实施例中，所述访问监控模块，包括：网络信息获取单元，用于获取所述网络访问函数中的网络信息；访问监控单元，用于根据所述网络信息，调用外部服务程序，并根据所述外部服务程序的运行结果判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控。在其中一个实施例中，所述调用外部服务程序，包括：查找预设的监控网络库；所述访问监控单元，还用于根据所述网络信息，查找预设的监控网络库，并根据查找结果判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控。在其中一个实施例中，所述调用外部服务程序，还包括：记录网络访问日志；所述访问监控单元，还用于根据所述网络访问函数和所述应用程序，查找预设的监控网络库，若查找结果为需要对所述网络访问函数进行监控，则调用动态库中的网络访问函数的同时记录所述网络访问函数的网络访问日志。本专利技术所提供的Linux网络访问监控装置，能够在Linux系统中通过劫持网络访问函数，并根据劫持函数的运行结果判断是否需要监控所述网络访问函数，可针对不同的应用程序对网络访问进行监控，记录不同的应用程序进行网络访问时的访问日志。在其中一个实施例中，本专利技术所提供的Linux网络访问监控装置能够通过外部服务程序对需要进行监控的应用程序进行定义及维护，提供了灵活方便的针对Linux系统网络访问的监控。附图说明图1为一个实施例中的Linux网络访问监控方法的流程图；图2为一个实施例中的Linux网络访问监控方法中劫持库的位置示意图；图3为另一个实施例中的Linux网络访问监控方法的流程图；图4为又一个实施例中的Linux网络访问监控方法的流程图；图5为一个实施例中的Linux网络访问监控装置的结构图；图6为另一个实施例中的Linux网络访问监控装置的结构图。具体实施方式图1为一个实施例中的Linux网络访问监控方法的流程图，如图1所示的一个实施例中的Linux网络访问监控方法，包括：步骤S100，接收应用程序的运行命令，并获取应用程序的标识。具体的，所述应用程序的标识是指用于区分不同应用程序的记号，或区分不同应用程序的特征的标记，包括应用程序的程序类别、名称、版本号中的任意一种。步骤S200，加载预设的劫持函数库和动态库。具体的，所述预设的劫持函数库，包括open系列函数，close函数，create系列函数，read函数，write函数，socket操作系列函数(socket,listen，bind，connect，send，receive等)，kill函数等。系统首先加载所述劫持函数库，再加载动态库，即常用的C库。如图2所示，本实施例所提供的劫持库，加载后在Linux系统中位置在用户应用层之下，劫持库位于动态库更加靠近用户应用层的位置，以表示劫持库中的劫持函数优先被调用。如劫持库中没有相应的劫持函数，则调用动态库中的函数。图2中，劫持库和动态库都连接到Linux底层的内核部分本文档来自技高网...

【技术保护点】
一种Linux网络访问监控方法，其特征在于，所述方法包括：接收应用程序的运行命令，并获取应用程序的标识；加载预设的劫持函数库和动态库；运行所述应用程序并识别所述应用程序中的网络访问函数；根据所述网络访问函数和所述应用程序的标识查找所述劫持函数库，所述劫持函数库包括所述网络访问函数、所述应用程序的标识和劫持函数之间的对应关系；若查找到与所述网络访问函数和所述应用程序的标识对应的劫持函数，则运行所述劫持函数，并根据所述劫持函数的运行结果，判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控。

【技术特征摘要】
1.一种Linux网络访问监控方法，其特征在于，所述方法包括：接收应用程序的运行命令，并获取应用程序的标识；加载预设的劫持函数库和动态库；运行所述应用程序并识别所述应用程序中的网络访问函数；根据所述网络访问函数和所述应用程序的标识查找所述劫持函数库，所述劫持函数库包括所述网络访问函数、所述应用程序的标识和劫持函数之间的对应关系；若查找到与所述网络访问函数和所述应用程序的标识对应的劫持函数，则运行所述劫持函数，并根据所述劫持函数的运行结果，判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控。2.根据权利要求1所述的Linux网络访问监控方法，其特征在于：所述劫持函数库的绝对路径保存在后台入口文件中。3.根据权利要求1所述的Linux网络访问监控方法，其特征在于，所述根据所述劫持函数的运行结果，判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控，包括：获取所述网络访问函数中的网络信息；根据所述网络信息，调用外部服务程序，并根据所述外部服务程序的运行结果判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控。4.根据权利要求3所述的Linux网络访问监控方法，其特征在于，所述调用外部服务程序，包括：查找预设的监控网络库；所述根据所述网络信息，调用外部服务程序，并根据所述外部服务程序的运行结果判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控，包括：根据所述网络信息，查找预设的监控网络库，并根据查找结果判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控。5.根据权利要求4所述的Linux网络访问监控方法，其特征在于，所述调用外部服务程序，还包括：记录网络访问日志；所述根据所述网络信息，查找预设的监控网络库，并根据查找结果判断调用动态库中的网络访问函数的同时是否对所述网络访问函数进行监控，还包括：根据所述网络访问函数和所述应用程序，查找预设的监控网络库，若查找结果为需要对所述网络访问函数...

【专利技术属性】
技术研发人员：程广连，
申请(专利权)人：北京瑞星信息技术股份有限公司，
类型：发明
国别省市：北京;11