The invention discloses an intrusion detection method, which includes: hijacking the function to be hijacked in the Linux kernel state to obtain the operation behavior information; processing the obtained operation behavior information to obtain the target information corresponding to the operation behavior information; writing the obtained target information into the shared memory; obtaining the target information from the shared memory and entering the target information. Processing is performed to obtain the target detection information, and the target detection information is transmitted to the management server for detection. The intrusion detection method of the present invention only hijacks the four main system call functions, simplifies the structure of HIDS, reduces resource consumption and has good kernel compatibility due to the separation of target detection information collection and detection, and improves the performance of the shared memory information transmission mode compared with the netLink mode.
【技术实现步骤摘要】
入侵检测方法及入侵检测装置
本专利技术涉及网络安全,尤其涉及入侵检测方法及入侵检测装置。
技术介绍
基于主机的入侵检测系统(HIDS)是安全防护体系的重要一环,也是安全纵深防御体系中的最后一环。当攻击者攻击到内部网络,获得了服务器的权限,通过账户操作、提权操作、网络配置、文件操作,往往会给主机所有者造成严重的损害,包括服务中断或彻底破坏、数据泄露或丢失、持续执行与业务无关的操作(例如发送DDOS攻击数据包、挖矿等),有时还会使服务器持续留有后门。Linux系统的HIDS一直是安全领域最为基础也最为难以解决的问题,主要原因包括版本众多、稳定性差、性能损耗严重等。目前常见的HIDS研发思路包括:(1)基于主流的开源项目,例如OSSEC,进行客制化开发;(2)基于LinuxAudit,进行操作分析。但是这两种方案在真正实施过程中,存在以下的问题:1)结构复杂、功能繁多、不能灵活调整,2)资源消耗大,性能损耗严重,3)在用户态难以对rootkit等高级威胁进行检测。因此,亟需一种简化结构、减小资源消耗并且交互性好的入侵检测方法及检测装置。
技术实现思路
针对上述问题,本专利技术一方面提供了一种入侵检测方法,包括:通过对Linux内核态中的待劫持函数进行劫持来获得操作行为信息;对所获得的操作行为信息进行处理以获得与所述操作行为信息相对应的目标信息;将所获得的目标信息写入共享内存;从所述共享内存中获取所述目标信息并对所述目标信息进行处理以获得目标检测信息;以及将所获得的目标检测信息传送到管理服务器以进行检测。本专利技术另一方面提供了一种的入侵检测装置,所述装置包括:处理器 ...
【技术保护点】
1.一种入侵检测方法,包括:通过对Linux内核态中的待劫持函数进行劫持来获得操作行为信息;对所获得的操作行为信息进行处理以获得与所述操作行为信息相对应的目标信息;将所获得的目标信息写入共享内存;从所述共享内存中获取所述目标信息并对所述目标信息进行处理以获得目标检测信息;以及将所获得的目标检测信息传送到管理服务器以进行检测。
【技术特征摘要】
1.一种入侵检测方法,包括:通过对Linux内核态中的待劫持函数进行劫持来获得操作行为信息;对所获得的操作行为信息进行处理以获得与所述操作行为信息相对应的目标信息;将所获得的目标信息写入共享内存;从所述共享内存中获取所述目标信息并对所述目标信息进行处理以获得目标检测信息;以及将所获得的目标检测信息传送到管理服务器以进行检测。2.根据权利要求1所述的方法,其中,所述待劫持函数为系统调用函数execve、connect、init_module和finit_module。3.根据权利要求2所述的方法,其中,对所获得的操作行为信息进行处理以获得与所述操作行为信息相对应的目标信息包括:通过task_struct数据结构和内核态的系统函数来获得所述目标信息。4.根据权利要求3所述的方法,其中,通过task_struct数据结构和内核态的系统函数来获得所述目标信息还包括:通过kernel_getsockname()函数来获得当前connect中的sourceip/port。5.根据权利要求3或4所述的方法,其中,通过task_struct数据结构和内核态的系统函数获得所述目标信息还包括:根据Linux的命名空间特性对容器进行隔离,以使得所述容器与所述命名空间兼容和相关联从而收集所述容器中的数据。6.根据权利要求3所述的方法,其中,所述内核态的系统函数为dentry_path_raw()或d_path()。7.根据权利要求1所述的方法,其中,对所述目标信息进行处理以获得目标检测信息还包括:根据UID信息获取用户名;添加时间戳;截断超大数据;处理换行符;以及转化为json格式并进行压缩的目标检测信息。8.一种的入侵检测装置,所述装置包括:处理器;以及存储器,其用于存储指令,当所述指令被执行时使得所述处理器执行以下操作...
【专利技术属性】
技术研发人员:陈越,
申请(专利权)人:上海点融信息科技有限责任公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。