主机审计的方法、系统、存储介质及计算机设备技术方案

技术编号：40634804 阅读：9 留言：0更新日期：2024-03-13 21:18

本发明专利技术提供了一种主机审计的方法，通过主机agent接收后台服务器下发的审计策略，并基于BPF map将所述审计策略配置于BPF驱动；根据所述BPF驱动执行所述审计策略，以收集系统调用syscal和文件系统操作的审计事件；将所述审计事件发送至所述后台服务器进行聚合分类。本发明专利技术还提供了一种主机审计的系统、存储介质及计算机设备。借此，本发明专利技术能够提升主机审计的性能，更高效的收集审计信息。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及主机审计，尤其涉及一种主机审计的方法、系统、存储介质及计算机设备。

技术介绍

1、linux audit子系统是一个用于收集记录系统、内核、用户进程发生的行为事件的被动防御的安全审计系统。该系统可以可靠地收集有关任何与安全相关事件的信息，如记录文件访问、网络访问、用户指令、系统调用和系统安全事件。

2、然而，现有的linux audit子系统存在以下问题：一、性能开销大，即系统开启服务的支付卡安全标准，系统吞吐率下降30％，系统调用开销下降50％，上下文切换下降10％，其他下降2％-10％；二、不能灵活调用性能，只是开启服务单不执行，系统吞吐率下降20％，系统调用开销下降35％，其他下降2％-10％；三、对docker(一种开放平台容器，用于开发应用、交付应用、运行应用)容器支持不够，且对docker及其服务的监测达不到安全发现的效果。

3、综上可知，现有的方法在实际使用上，存在着较多的问题，所以有必要加以改进。

技术实现思路

1、针对上述的缺陷，本专利技术的目的在于提供一种主机审计的方法，系统、存储介质及其计算机设备，能够提升主机审计的性能，更高效的收集审计信息。

2、为了实现上述目的，本专利技术提供一种主机审计的方法，包括步骤：

3、通过主机agent接收后台服务器下发的审计策略，并基于bpf map将所述审计策略配置于bpf驱动；

4、根据所述bpf驱动执行所述审计策略，以收集系统调用syscal和文件系统操作的审计事件；

5、将所述审计事件发送至所述后台服务器进行聚合分类。

6、可选的，所述将所述审计事件发送至所述后台服务器进行聚合分类的步骤之后，还包括：

7、根据对所述审计事件的聚合分类结果的安全分析，生成对应的安全策略；

8、将所述安全策略通知系统审计服务，以优化更新主机上的所述审计策略。

9、可选的，所述根据对所述审计事件的聚合分类结果的安全分析，生成对应的安全策略具体包括：

10、获取对若干主机上传的所述审计事件的聚合分类结果，并发送至预设的安全分析服务；

11、基于所述安全分析服务对所述聚合分类结果的安全分析，生成对应的安全策略。

12、可选的，所述安全分析服务为威胁狩猎分析服务。

13、可选的，还包括：

14、基于对主机采集到的性能指标数据和所述审计策略，执行对应的系统缓解措施。

15、可选的，所述系统缓解措施包括扩大或减小监测挂载点。

16、可选的，所述通过主机agent接收后台服务器下发的审计策略，并基于bpf map将所述审计策略配置于bpf驱动的步骤具体包括：

17、通过主机agent接收从后台服务器下发的审计策略；

18、将所述审计策略写入至bpf map中，以使所述审计策略配置于bpf驱动。

19、还提供了一种主机审计的系统，包括有：

20、策略配置单元，用于通过主机agent接收后台服务器下发的审计策略，并基于bpfmap将所述审计策略配置于bpf驱动；

21、策略执行单元，用于根据所述bpf驱动执行所述审计策略，以收集系统调用syscal和文件系统操作的审计事件；

22、事件聚合单元，用于将所述审计事件发送至所述后台服务器进行聚合分类。

23、另外，还提供了一种存储介质和计算机设备，所述存储介质用于存储一种用于执行上述主机审计的方法的计算机程序。

24、所述计算机设备包括存储介质、处理器以及存储在所述存储介质上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述的主机审计的方法。

25、本专利技术所述的主机审计的方法及其系统，通过主机agent接收后台服务器下发的审计策略，并基于bpf map将所述审计策略配置于bpf驱动；再依据所述bpf驱动执行所述审计策略，以收集系统调用syscal和文件系统操作的审计事件；然后将所述审计事件发送至所述后台服务器进行聚合分类。据此，本专利技术利用了bpf稳定性的优势，通过验证器防止错误引起的内核崩溃；从而能够提升主机审计的性能，更高效的收集审计信息。

本文档来自技高网...

【技术保护点】

1.一种主机审计的方法，其特征在于，包括步骤：

2.根据权利要求1所述的主机审计的方法，其特征在于，所述将所述审计事件发送至所述后台服务器进行聚合分类的步骤之后，还包括：

3.根据权利要求2所述的主机审计的方法，其特征在于，所述根据对所述审计事件的聚合分类结果的安全分析，生成对应的安全策略具体包括：

4.根据权利要求3所述的主机审计的方法，其特征在于，所述安全分析服务为威胁狩猎分析服务。

5.根据权利要求1所述的主机审计的方法，其特征在于，还包括：

6.根据权利要求5所述的主机审计的方法，其特征在于，所述系统缓解措施包括扩大或减小监测挂载点。

7.根据权利要求1所述的主机审计的方法，其特征在于，所述通过主机agent接收后台服务器下发的审计策略，并基于BPF map将所述审计策略配置于BPF驱动的步骤具体包括：

8.一种主机审计的系统，其特征在于，包括有：

9.一种存储介质，其特征在于，用于存储一种用于执行权利要求1～8中任意一种所述主机审计的方法的计算机程序。

10.一种

...

【技术特征摘要】

1.一种主机审计的方法，其特征在于，包括步骤：

2.根据权利要求1所述的主机审计的方法，其特征在于，所述将所述审计事件发送至所述后台服务器进行聚合分类的步骤之后，还包括：

3.根据权利要求2所述的主机审计的方法，其特征在于，所述根据对所述审计事件的聚合分类结果的安全分析，生成对应的安全策略具体包括：

4.根据权利要求3所述的主机审计的方法，其特征在于，所述安全分析服务为威胁狩猎分析服务。

5.根据权利要求1所述的主机审计的方法，其特征在于，还包括：

6.根据权利要求5所述的主机审计的方法，其特征在于，所述系统缓解措施包括...

【专利技术属性】
技术研发人员：罗进，
申请(专利权)人：三六零数字安全科技集团有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人