【技术实现步骤摘要】
【技术保护点】
Linux环境下基于调用栈图的入侵检测方法,其特征在于:1)首先,获取调用栈数据首先通过Ptrace机制实时获取操作系统中每个进程产生的每个系统调用的调用栈数据,由父进程通过forkO产生一个子进程,然后父进程进入等待;在子 进程中通过PTRACE_ME主动请求被其父进程跟踪,然后在子进程中通过系统EXECVE函数运行被跟踪的父进程,进程返回标志为正数则表示为成功执行,否则,再次创建子进程,则会在执行第一个系统调用前停下来,并发送一个SIGCHILD信号给等待的父进程,父进程停止等待后发出PTRACE_SYSCALL请求重新启动停止的系统调用,父进程重新进入等待;子进程继续执行,在系统调用的入口处被信号SIGTRAP停止并发出SIGCHILD信号中止父进程的等待状态,父进程退出等待状态,此时获取到系统调用入口处的调用号、传入参数、返回地址以及调用函数的栈帧指针EBP,并进行相应调用栈图的生成或实时检测;然后父进程发出PTRACE_SYSCALL请求重新启动停止的系统调用,父进程第三次进入等待子进程停止信号的状态,子进程将被停止的系统调用运行结束,在系统调用 ...
【技术特征摘要】
【专利技术属性】
技术研发人员:管晓宏,冯力,孙杰,杨力伟,
申请(专利权)人:西安交通大学,
类型:发明
国别省市:87[中国|西安]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。