本发明专利技术公开了一种应用层命令审计方法、装置、系统及存储介质,方法包括:对命令的二进制文件静态注入一段加载指定动态库的机器码;当命令的命令进程启动时,加载指定动态库,并在指定动态库中hook记录命令函数;确定记录命令函数被调用时,记录命令的命令信息,并通过客户端上报命令信息至服务端;即对命令的二进制文件静态注入一段加载动态库的机器码,注入机器码之后不会影响此二进制文件的正常功能,注入成功后,加载指定的动态库,在动态库中被hook的函数被调用后,相关命令信息就会被实时记录,通过客户端上报到服务端,进而可以实时收集并且上报命令信息,及时提示客户存在异常操作,支持对攻击者进行阻断,保护系统安全。保护系统安全。保护系统安全。
【技术实现步骤摘要】
一种应用层命令审计方法、装置、系统及存储介质
[0001]本专利技术涉及计算机安全领域,尤其涉及一种应用层命令审计方法、装置、系统及存储介质。
技术介绍
[0002]Linux操作系统是基于UNIX操作系统发展而来的一种克隆系统,其以性能稳定、运行高效而被各大企业广泛使用,目前系统的基础操作大多数使用命令完成,然而这些命令中会存在一些对系统安全产生威胁的行为,其中目前主要是通过获取shell命令的历史记录,来分析shell命令是否对系统存在安全风险并且记录IP来源,而通过历史记录来分析一些异常的命令和定位一些异常的IP,不能够及时的发现命令的风险。
技术实现思路
[0003]本专利技术所要解决的技术问题是针对上述现有技术的不足,提供一种应用层命令审计方法、装置、系统及存储介质,可以实时记录命令信息,并及时上报,能有效解决通过历史记录来分析一些异常的命令和定位一些异常的IP,不能够及时的发现命令的风险的技术问题。
[0004]本专利技术解决上述技术问题的技术方案如下:一种应用层命令审计方法,包括以下步骤:
[0005]对命令的二进制文件静态注入一段加载指定动态库的机器码;
[0006]当所述命令的命令进程启动时,加载所述指定动态库,并在所述指定动态库中hook记录命令函数;
[0007]确定所述记录命令函数被调用时,记录所述命令的命令信息,并通过客户端上报所述命令信息至服务端。
[0008]为解决上述技术问题,本专利技术实施例还提供一种应用层命令审计方法,包括以下步骤:
[0009]对命令的二进制文件静态注入一段加载指定动态库的机器码;
[0010]当命令进程启动时,加载所述指定动态库,并在所述指定动态库中hook记录命令函数;
[0011]确定所述记录命令函数被调用时,记录所述命令的命令信息,并通过客户端上报所述命令信息至服务端;
[0012]接收并分析所述客户端上报的所述命令信息;
[0013]当确定对所述命令信息对应的命令进行阻断时,向所述客户端下发命令阻断操作。
[0014]为解决上述技术问题,本专利技术实施例还提供一种应用层命令审计装置,包括静态注入模块、hook模块和上报模块;
[0015]所述静态注入模块,用于对命令的二进制文件静态注入一段加载指定动态库的机
器码;
[0016]所述hook模块,用于当所述命令的命令进程启动时,加载所述指定动态库,并在所述指定动态库中hook记录命令函数;
[0017]所述上报模块,用于确定所述记录命令函数被调用时,记录所述命令的命令信息,并通过客户端上报所述命令信息至服务端。
[0018]为解决上述技术问题,本专利技术实施例还提供一种应用层命令审计系统,包括:根据如上所述的应用层命令审计装置、客户端和服务端;
[0019]所述应用层命令审计装置将命令信息上报给所述客户端;
[0020]所述客户端对所述命令信息进行处理后上报给所述服务端;
[0021]所述服务端对所述命令信息进行分析,当确定对所述命令信息对应的命令进行阻断时,向所述客户端下发命令阻断操作。
[0022]所述客户端执行所述命令阻断操作。
[0023]为解决上述技术问题,本专利技术实施例还提供一种存储介质,所述存储介质存储有一个或者多个计算机程序,所述一个或者多个计算机程序可被一个或者多个处理器执行,以实现如上所述的应用层命令审计方法的步骤。
[0024]本专利技术的有益效果是:对命令的二进制文件静态注入一段加载动态库的机器码,注入机器码之后不会影响此二进制文件的正常功能,注入成功后,二进制文件在执行的时候会加载指定的动态库,接着在动态库中hook记录命令的函数;当记录命令函数被调用,会直接跳转到hook函数,相关命令信息就会在命令执行过程中实时地被记录,通过客户端上报到服务端,进而可以实时收集并且上报命令信息,及时提示客户存在异常操作,支持对攻击者进行阻断,保护系统安全。
附图说明
[0025]图1为本专利技术一实施例提供的应用层命令审计方法流程图;
[0026]图2为本专利技术另一实施例提供的应用层命令审计方法流程图;
[0027]图3为本专利技术另一实施例提供的应用层命令审计方法流程图;
[0028]图4为本专利技术实施例提供的应用层命令审计装置结构示意图;
[0029]图5为本专利技术实施例提供的应用层命令审计系统结构示意图。
具体实施方式
[0030]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本专利技术保护的范围。
[0031]参照图1所示,一种应用层命令审计方法,包括以下步骤:
[0032]S101:对命令的二进制文件静态注入一段加载指定动态库的机器码;
[0033]S102:当命令的命令进程启动时,加载指定动态库,并在指定动态库中hook记录命令函数;
[0034]S103:确定记录命令函数被调用时,记录命令的命令信息,并通过客户端上报命令
信息至服务端。
[0035]在本实施例中,对命令的二进制文件静态注入一段加载动态库的机器码,注入机器码之后不会影响此二进制文件的正常功能,注入成功后,二进制文件在执行的时候会加载指定的动态库,接着在动态库中hook记录命令的函数。当记录命令函数被调用,会直接跳转到hook函数,相关命令和用户IP就会实时被记录,通过客户端上报到服务端,进而可以实时收集并且上报命令信息,及时提示客户存在异常操作,支持对攻击者进行阻断,保护系统安全。
[0036]在本实施例中,具体的,步骤S101包括:
[0037]将加载指定动态库的机器码写到命令的二进制文件对应的代码段中;
[0038]查找命令的二进制文件的入口函数地址和加载动态库的API函数地址,入口函数用于作为跳转到机器码的入口,API函数地址用于加载指定动态库;
[0039]根据入口函数和API函数的地址值对机器码进行计算;
[0040]保存修改后的执行命令的二进制文件。
[0041]本实施例中,还可以先读取命令的二进制文件的文本内容,并进行对应格式校验,确保该命令的格式正确性,确保该命令的二进制文件包括入口函数和加载动态库的API函数;然后查找入口函数和加载动态库的API函数地址;可预设编写好一段机器码,该机器码用于加载到指定动态库中,对命令的二进制文件的结构进行分析,将该机器码写到程序的代码段中。
[0042]进一步地,在本实施例中,根据入口函数和API函数的地址值对机器码进行计算具体包括:将入口函数所在位置的前n个字节修改为跳转到注入的机器码的地址处,n为正整数;根据修改后的入口函数和API函数的地址值,对机器码中的指定位置的跳转偏移值进行计算。通过将入口函数所在位置的前n个字本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种应用层命令审计方法,其特征在于,所述应用层命令审计方法包括:对命令的二进制文件静态注入一段加载指定动态库的机器码;当所述命令的命令进程启动时,加载所述指定动态库,并在所述指定动态库中钩子hook记录命令函数;确定所述记录命令函数被调用时,记录所述命令的命令信息,并通过客户端上报所述命令信息至服务端。2.根据权利要求1所述的应用层命令审计方法,其特征在于,所述对所述命令的二进制文件静态注入一段加载指定动态库的机器码包括:将所述加载指定动态库的机器码写到所述命令的二进制文件对应的代码段中;查找所述命令的二进制文件的入口函数地址和加载动态库的API函数地址,所述入口函数用于作为跳转到所述机器码的入口,所述API函数地址用于加载所述指定动态库;根据所述入口函数和所述API函数的地址值对所述机器码进行计算;保存修改后的执行命令的二进制文件。3.根据权利要求2所述的应用层命令审计方法,其特征在于,所述根据所述入口函数和所述API函数的地址值对所述机器码进行计算包括:将所述入口函数所在位置的前n个字节修改为跳转到注入的所述机器码的地址处,n为正整数;根据修改后的所述入口函数和所述API函数的地址值,对所述机器码中的指定位置的跳转偏移值进行计算。4.根据权利要求3所述的应用层命令审计方法,其特征在于,所述当命令进程启动时,加载所述指定动态库,并在所述指定动态库中hook记录命令函数包括:当所述命令进程启动时,执行所述入口函数,跳转到所述机器码处;保存所述入口函数中预设寄存器的值,并调用所述API加载所述指定动态库;所述指定动态库被加载后,获取所述命令进程中所述记录命令函数的地址,并对所述记录命令函数进行hook。5.根据权利要求4所述的应用层命令审计方法,其特征在于,所述当所述命令的命令进程启动时,加载所述指定动态库之后包括:所述指定动态库加载完成后,恢复所述预设寄存器的值,跳转回所述入口函数执行所述命令进程...
【专利技术属性】
技术研发人员:龚金秋,张福,程度,
申请(专利权)人:北京升鑫网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。