CN104008337A - 一种基于Linux系统的主动防御方法及装置 - Google Patents

一种基于Linux系统的主动防御方法及装置 Download PDF

Info

Publication number
CN104008337A
CN104008337A CN201410191624.6A CN201410191624A CN104008337A CN 104008337 A CN104008337 A CN 104008337A CN 201410191624 A CN201410191624 A CN 201410191624A CN 104008337 A CN104008337 A CN 104008337A
Authority
CN
China
Prior art keywords
call
state process
linux
user
hook
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410191624.6A
Other languages
English (en)
Other versions
CN104008337B (zh
Inventor
韩方
张涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Huaduo Network Technology Co Ltd
Original Assignee
Guangzhou Huaduo Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Huaduo Network Technology Co Ltd filed Critical Guangzhou Huaduo Network Technology Co Ltd
Priority to CN201410191624.6A priority Critical patent/CN104008337B/zh
Publication of CN104008337A publication Critical patent/CN104008337A/zh
Application granted granted Critical
Publication of CN104008337B publication Critical patent/CN104008337B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种基于Linux系统的主动防御方法及装置,属于系统安全领域。所述方法包括:采用钩子Hook监测Linux内核的系统调用;当监测到设置了Hook的系统调用被用户态进程调用时,判断所述用户态进程是否存在于白名单中;当所述用户态进程存在于所述白名单中时,允许所述用户态进程调用所述系统调用;当所述用户态进程不存在于所述白名单中时,禁止所述用户态进程调用所述系统调用;其中,所述白名单包括一个或多个允许执行系统调用的用户态进程。可以对Linux系统运行的程序等进行有效检测,对于Linux运行的恶意程序,后门木马程序等进行及时拦截,是一种Linux下的有效的主动防御方法。

Description

一种基于Linux系统的主动防御方法及装置
技术领域
本发明涉及计算机领域,特别涉及一种基于Linux系统的主动防御方法及装置。
背景技术
Linux是一种自由和开放源代码的类UNIX操作系统,是一个基于多用户、多任务、支持多线程和多中央处理器(Central Processing Unit,简称“CPU”)的操作系统。
随着Linux系统被越来越多的企业作为服务器使用,相关攻击事件、入侵事件、木马程序随着逐渐增多。在计算机安全领域,主动防御技术是一种为计算机数据提供实时防护的主机安全技术,而目前Linux系统的主动防御技术发展缓慢,对于Linux系统运行的恶意程序,后门木马程序等无法有效及时拦截,目前主流的主动防御系统基本都是在Windows平台下实现的,Linux下没有有效的主动防御方法。
发明内容
为了解决现有中技术Linux下没有有效的主动防御系统和方法的问题,本发明实施例提供了一种基于Linux系统的主动防御方法及装置。所述技术方案如下:
一方面,本发明实施例提供了一种基于Linux系统的主动防御方法,适用于Linux主机,所述方法包括:
采用钩子Hook监测Linux内核的系统调用;
当监测到设置了所述Hook的系统调用被用户态进程调用时,判断所述用户态进程是否存在于白名单中;
当所述用户态进程存在于所述白名单中时,允许所述用户态进程调用所述系统调用;
当所述用户态进程不存在于所述白名单中时,禁止所述用户态进程调用所述系统调用;
所述白名单包括一个或多个允许执行系统调用的用户态进程。
在本发明实施例的一种实现方式中,所述系统调用包括:
系统加载内核模块、系统进程运行、系统重要配置文件的修改、系统执行的命令、系统端口监听调用和系统注入调用。
在本发明实施例的另一种实现方式中,所述采用钩子Hook监测Linux内核的系统调用,包括:
获取当前Linux系统调用链表指针;
获取调用链表sys_call_table指针;
判断所述当前Linux系统调用链表指针与所述调用链表sys_call_table指针是否相等;
当所述当前Linux系统调用链表指针与所述调用链表sys_call_table指针相等时,监测所述Linux内核的系统调用。
在本发明实施例的另一种实现方式中,所述方法还包括:
获取防御策略,所述防御策略包括Hook策略和所述白名单;
根据所述防御策略对所述Linux内核的系统调用设置Hook。
在本发明实施例的另一种实现方式中,所述获取防御策略,包括:
接收服务器下发的所述防御策略。
另一方面,本发明实施例还提供了一种基于Linux系统的主动防御装置,所述装置包括:
监测模块,用于采用钩子Hook监测Linux内核的系统调用;
判断模块,用于当监测到设置了所述Hook的系统调用被用户态进程调用时,判断所述用户态进程是否存在于白名单中;
处理模块,用于当所述用户态进程存在于所述白名单中时,允许所述用户态进程调用所述系统调用;
当所述用户态进程不存在于所述白名单中时,禁止所述用户态进程调用所述系统调用;
所述白名单包括一个或多个允许执行系统调用的用户态进程。
在本发明实施例的一种实现方式中,所述系统调用包括:
系统加载内核模块、系统进程运行、系统重要配置文件的修改、系统执行的命令、系统端口监听调用和系统注入调用。
在本发明实施例的另一种实现方式中,所述监测模块包括:
第一获取单元,用于获取当前Linux系统调用链表指针;
第一获取单元,用于获取调用链表sys_call_table指针;
判断单元,用于判断所述当前Linux系统调用链表指针与所述调用链表sys_call_table指针是否相等;
执行单元,用于当所述当前Linux系统调用链表指针与所述调用链表sys_call_table指针相等时,监测所述Linux内核的系统调用。
在本发明实施例的另一种实现方式中,所述装置还包括:
获取模块,用于获取防御策略,所述防御策略包括Hook策略和所述白名单;
执行模块,用于根据所述防御策略对所述Linux内核的系统调用设置Hook。
在本发明实施例的另一种实现方式中,获取模块包括:
传输单元,用于接收服务器下发的所述防御策略。
本发明实施例提供的技术方案带来的有益效果是:
通过采用钩子Hook监测Linux内核的系统调用,当监测到设置了Hook的系统调用被用户态进程调用时,判断用户态进程是否存在于白名单中,当用户态进程存在于白名单中时,允许用户态进程调用系统调用,当用户态进程不存在于白名单中时,禁止用户态进程调用系统调用,可以对Linux系统运行的程序等进行有效检测,对于Linux运行的恶意程序,后门木马程序等进行及时拦截,是一种基于Linux系统的有效的主动防御方法。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的应用场景图;
图2是本发明实施例一提供的基于Linux系统的主动防御方法的方法流程图;
图3是本发明实施例二提供的基于Linux系统的主动防御方法的方法流程图;
图4是本发明实施例三提供的基于Linux系统的主动防御装置的结构示意图;
图5是本发明实施例四提供的基于Linux系统的主动防御装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
为了便于实施例的描述,下面先简单介绍一下本发明中实施例的应用场景。参见图1,多台Linux主机A1与Linux服务器A2连接,这些Linux主机A1可以安装不同发行版的Linux系统,例如centos和ubuntu等。每个Linux主机A1中都存在用户态进程(Ysec_agent)C1和内核态进程(Ysec_kagent)C2,Linux服务器A2与用户态进程C1连接,并通过用户态进程C1向Linux主机A1发送防御策略,用户态进程C1将接收到的防御策略发送给内核态进程C2,用户态进程C1通过Netlink同内核态进程C2通信,Netlink是一种套接字,是用以实现用户态进程C1与内核态进程C2通信的一种特殊的进程间通信的常用接口。
当然,这里设置一台Linux服务器A2与多台Linux主机A1连接的目的在于,实现在服务器端对主机防御策略的统一设置,方便管理。在主机较少的场合亦可以直接在主机上设置防御策略。本发明实施例中的基于Linux系统的主动防御装置设置在上述Linux主机A1上。
需要说明的是,以上所述的设备种类、连接关系和连接方式仅为举例,本发明对此不作限制。
实施例一
本发明实施例提供了一种基于Linux系统的主动防御方法,适用于Linux主机,Linux系统包括用户态进程和内核态进程,参见图2,该方法包括:
步骤101:采用钩子Hook监测Linux内核的系统调用。
步骤102:当监测到设置了Hook的系统调用被用户态进程调用时,判断用户态进程是否存在于白名单中。
步骤103:当用户态进程存在于白名单中时,允许用户态进程调用系统调用;
当用户态进程不存在于白名单中时,禁止用户态进程调用系统调用。
其中,白名单包括一个或多个允许执行系统调用的用户态进程。
本发明实施例通过采用钩子Hook监测Linux内核的系统调用,当监测到设置了Hook的系统调用被用户态进程调用时,判断用户态进程是否存在于白名单中,当用户态进程存在于白名单中时,允许用户态进程调用系统调用,当用户态进程不存在于白名单中时,禁止用户态进程调用系统调用,可以对Linux系统运行的程序等进行有效检测,对于Linux运行的恶意程序,后门木马程序等进行及时拦截,是一种基于Linux系统的有效的主动防御方法。
实施例二
本发明实施例提供了一种基于Linux系统的主动防御方法,适用于Linux主机,参见图3,该方法包括:
步骤201:获取防御策略,防御策略包括Hook策略和白名单。
在具体实现时,步骤201可以包括:
接收服务器下发的防御策略。具体地,该防御策略由服务器下发到用户态进程,再由用户态进程发送给内核态进程。
在本实施例中当然,防御策略是由Linux服务器统一配置的,在多个Linux主机的场景中,通过服务器对主机防御策略的统一设置,实现配置同一,方便管理。而在主机较少的场合亦可以直接在主机上设置防御策略。
进一步地,该步骤201可以由Linux主机内的内核态进程实现,用户态进程通过Netlink同内核态进程通信,Netlink是一种套接字,是用以实现用户态进程与内核态进程通信的一种特殊的进程间通信的常用接口。
步骤202:根据防御策略对Linux内核的系统调用设置Hook。
步骤203:获取当前Linux系统调用链表指针。
具体地,可以通过寻找第一个Call(子程序调用指令)汇编指令获取当前Linux系统调用链表指针。
步骤204:获取调用链表sys_call_table指针。
其中,sys_call_table为系统内核调用链表。
具体地,可以通过/proc/kallsyms获取调用链表sys_call_table指针。其中,/proc/kallsyms为Linux内核镜像文件,用于将Linux内核用到的所有函数地址和名称连接进内核文件,当内核启动后,同时加载到内存中。
步骤205:判断当前Linux系统调用链表指针与调用链表sys_call_table指针是否相等,当当前Linux系统调用链表指针与调用链表sys_call_table指针相等时,执行步骤206;当当前Linux系统调用链表指针与调用链表sys_call_table指针不相等时,发出告警,并结束流程。
当当前Linux系统调用链表指针与调用链表sys_call_table指针不相等时,说明当前调用链表指针中存在不是系统内核调用链表指针,因此需要告警并结束流程。
步骤206:采用钩子Hook监测Linux内核的系统调用。
其中,系统调用包括:系统加载内核模块、系统进程运行、系统重要配置文件的修改、系统执行的命令、系统端口监听调用和系统注入调用。
步骤207:当监测到设置了Hook的系统调用被用户态进程调用时,判断用户态进程是否存在于白名单中。
步骤208:当用户态进程存在于白名单中时,允许用户态进程调用系统调用;
当用户态进程不存在于白名单中时,禁止用户态进程调用系统调用。
其中,白名单包括一个或多个允许执行系统调用的用户态进程。
在一种实现方式中,上述白名单可以有多个,每个白名单对应一种系统调用,例如白名单1规定可以进行系统端口监听的用户态进程,白名单2规定可以进行系统内核模块加载的用户态进程。并且,可以在白名单1中可以详细划分可以监听端口1的用户态进程,可以监听端口2的用户态进程。
在具体实现时,步骤206~208可以采用下述方式实现:
通过Hook Linux内核sys_call_table[__NR__init_module]对于系统加载内核模块进行防御,白名单中的用户态进程允许加载内核模块,否则禁止加载。
通过Hook Linux内核sys_call_table[__NR_execve]对于系统进程运行进行主动防御,白名单中的用户态进程允许运行系统进程,否则禁止运行。
通过Hook Linux内核sys_call_table[__NR_write]对于系统重要配置文件的修改进行主动防御,白名单中的用户态进程允许对系统重要配置文件的修改,否则禁止修改。
通过Hook Linux内核sys_call_table[__NR__execve]对于系统执行的命令进行主动防御,对于被保护的系统命令如iptables、useradd等命令,白名单中的用户态进程允许执行系统命令,否则禁止执行。
通过Hook Linux内核sys_call_table[__NR__listen]对于系统端口监听调用进行主动防御,白名单中的用户态进程允许监听系统端口,否则禁止监听。
通过Hook Linux内核sys_call_table[__NR__ptrace]对于系统注入调用进行主动防御,白名单中的用户态进程允许系统注入,否则禁止系统注入。
本发明实施例通过采用钩子Hook监测Linux内核的系统调用,当监测到设置了Hook的系统调用被用户态进程调用时,判断用户态进程是否存在于白名单中,当用户态进程存在于白名单中时,允许用户态进程调用系统调用,当用户态进程不存在于白名单中时,禁止用户态进程调用系统调用,可以对Linux系统运行的程序等进行有效检测,对于Linux运行的恶意程序,后门木马程序等进行及时拦截,是一种基于Linux系统的有效的主动防御方法。
实施例三
本发明实施例还提供了一种基于Linux系统的主动防御装置,参见图4,该装置包括:
监测模块301,用于采用钩子Hook监测Linux内核的系统调用;
判断模块302,用于当监测到设置了Hook的系统调用被用户态进程调用时,判断用户态进程是否存在于白名单中;
处理模块303,用于当用户态进程存在于白名单中时,允许用户态进程调用系统调用;
当用户态进程不存在于白名单中时,禁止用户态进程调用系统调用。
其中,白名单包括一个或多个允许执行系统调用的用户态进程。
本发明实施例通过采用钩子Hook监测Linux内核的系统调用,当监测到设置了Hook的系统调用被用户态进程调用时,判断用户态进程是否存在于白名单中,当用户态进程存在于白名单中时,允许用户态进程调用系统调用,当用户态进程不存在于白名单中时,禁止用户态进程调用系统调用,可以对Linux系统运行的程序等进行有效检测,对于Linux运行的恶意程序,后门木马程序等进行及时拦截,是一种基于Linux系统的有效的主动防御方法。
实施例四
本发明实施例提供了一种基于Linux系统的主动防御装置,参见图5,该装置包括:
监测模块401,用于采用钩子Hook监测Linux内核的系统调用;
判断模块402,用于当监测到设置了Hook的系统调用被用户态进程调用时,判断用户态进程是否存在于白名单中;
处理模块403,用于当用户态进程存在于白名单中时,允许用户态进程调用系统调用;
当用户态进程不存在于白名单中时,禁止用户态进程调用系统调用。
其中,白名单包括一个或多个允许执行系统调用的用户态进程。
在本发明实施例的一种实现方式中,系统调用包括:
系统加载内核模块、系统进程运行、系统重要配置文件的修改、系统执行的命令、系统端口监听调用和系统注入调用。
在一种实现方式中,上述白名单可以有多个,每个白名单对应一种系统调用,例如白名单1规定可以进行系统端口监听的用户态进程,白名单2规定可以进行系统内核模块加载的用户态进程。并且,可以在白名单1中可以详细划分可以监听端口1的用户态进程,可以监听端口2的用户态进程。
在具体实现时,判断模块402和处理模块403:
通过Hook Linux内核sys_call_table[__NR__init_module]对于系统加载内核模块进行防御,白名单中的用户态进程允许加载内核模块,否则禁止加载。
通过Hook Linux内核sys_call_table[__NR_execve]对于系统进程运行进行主动防御,白名单中的用户态进程允许运行系统进程,否则禁止运行。
通过Hook Linux内核sys_call_table[__NR_write]对于系统重要配置文件的修改进行主动防御,白名单中的用户态进程允许对系统重要配置文件的修改,否则禁止修改。
通过Hook Linux内核sys_call_table[__NR__execve]对于系统执行的命令进行主动防御,对于被保护的系统命令如iptables、useradd等命令,白名单中的用户态进程允许执行系统命令,否则禁止执行。
通过Hook Linux内核sys_call_table[__NR__listen]对于系统端口监听调用进行主动防御,白名单中的用户态进程允许监听系统端口,否则禁止监听。
通过Hook Linux内核sys_call_table[__NR__ptrace]对于系统注入调用进行主动防御,白名单中的用户态进程允许系统注入,否则禁止系统注入。
在本发明实施例的一种实现方式中,监测模块401包括:
第一获取单元401a,用于获取当前Linux系统调用链表指针。
具体地,可以通过寻找第一个Call汇编指令获取当前Linux系统调用链表指针。
第二获取单元401b,用于获取调用链表sys_call_table指针。
其中,sys_call_table为系统内核调用链表。
具体地,可以通过/proc/kallsyms获取调用链表sys_call_table指针。其中,/proc/kallsyms为Linux内核镜像文件,用于将Linux内核用到的所有函数地址和名称连接进内核文件,当内核启动后,同时加载到内存中。
判断单元401c,用于判断当前Linux系统调用链表指针与调用链表sys_call_table指针是否相等。
执行单元401d,用于当当前Linux系统调用链表指针与调用链表sys_call_table指针相等时,采用钩子Hook监测Linux内核的系统调用。
当当前Linux系统调用链表指针与调用链表sys_call_table指针不相等时,说明当前调用链表指针中存在不是系统内核调用链表指针,因此需要告警并结束流程。
进一步地,该装置还可以包括:
获取模块404,用于获取防御策略,防御策略包括Hook策略;
执行模块405,用于根据防御策略对Linux内核设置Hook。
在本发明实施例的一种实现方式中,获取模块404包括:
传输单元,用于接收服务器下发的防御策略。具体地,该防御策略由服务器下发到用户态进程,再由用户态进程发送给内核态进程。
在本实施例中当然,防御策略是由Linux服务器统一配置的,在多个Linux主机的场景中,通过服务器对主机防御策略的统一设置,实现配置同一,方便管理。而在主机较少的场合亦可以直接在主机上设置防御策略。
本发明实施例通过采用钩子Hook监测Linux内核的系统调用,当系统调用是设定的白名单中的系统调用时,执行系统调用;当系统调用不是白名单中的系统调用时,禁止系统调用,可以对Linux系统运行的程序等进行有效检测,对于Linux运行的恶意程序,后门木马程序等进行及时拦截,是一种基于Linux系统的有效的主动防御方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于Linux系统的主动防御方法,适用于Linux主机,其特征在于,所述方法包括:
采用钩子Hook监测Linux内核的系统调用;
当监测到设置了所述Hook的系统调用被用户态进程调用时,判断所述用户态进程是否存在于白名单中;
当所述用户态进程存在于所述白名单中时,允许所述用户态进程调用所述系统调用;
当所述用户态进程不存在于所述白名单中时,禁止所述用户态进程调用所述系统调用;
所述白名单包括一个或多个允许执行系统调用的用户态进程。
2.根据权利要求1所述的方法,其特征在于,所述系统调用包括:
系统加载内核模块、系统进程运行、系统重要配置文件的修改、系统执行的命令、系统端口监听调用和系统注入调用。
3.根据权利要求1所述的方法,其特征在于,所述采用钩子Hook监测Linux内核的系统调用,包括:
获取当前Linux系统调用链表指针;
获取调用链表sys_call_table指针;
判断所述当前Linux系统调用链表指针与所述调用链表sys_call_table指针是否相等;
当所述当前Linux系统调用链表指针与所述调用链表sys_call_table指针相等时,监测所述Linux内核的系统调用。
4.根据权利要求1~3任一项所述的方法,其特征在于,所述方法还包括:
获取防御策略,所述防御策略包括Hook策略和所述白名单;
根据所述防御策略对所述Linux内核的系统调用设置Hook。
5.根据权利要求4所述的方法,其特征在于,所述获取防御策略,包括:
接收服务器下发的所述防御策略。
6.一种基于Linux系统的主动防御装置,其特征在于,所述装置包括:
监测模块,用于采用钩子Hook监测Linux内核的系统调用;
判断模块,用于当监测到设置了所述Hook的系统调用被用户态进程调用时,判断所述用户态进程是否存在于白名单中;
处理模块,用于当所述用户态进程存在于所述白名单中时,允许所述用户态进程调用所述系统调用;
当所述用户态进程不存在于所述白名单中时,禁止所述用户态进程调用所述系统调用;
所述白名单包括一个或多个允许执行系统调用的用户态进程。
7.根据权利要求6所述的装置,其特征在于,所述系统调用包括:
系统加载内核模块、系统进程运行、系统重要配置文件的修改、系统执行的命令、系统端口监听调用和系统注入调用。
8.根据权利要求6所述的装置,其特征在于,所述监测模块包括:
第一获取单元,用于获取当前Linux系统调用链表指针;
第一获取单元,用于获取调用链表sys_call_table指针;
判断单元,用于判断所述当前Linux系统调用链表指针与所述调用链表sys_call_table指针是否相等;
执行单元,用于当所述当前Linux系统调用链表指针与所述调用链表sys_call_table指针相等时,监测所述Linux内核的系统调用。
9.根据权利要求6~8任一项所述的装置,其特征在于,所述装置还包括:
获取模块,用于获取防御策略,所述防御策略包括Hook策略和所述白名单;
执行模块,用于根据所述防御策略对所述Linux内核的系统调用设置Hook。
10.根据权利要求9所述的装置,其特征在于,获取模块包括:
传输单元,用于接收服务器下发的所述防御策略。
CN201410191624.6A 2014-05-07 2014-05-07 一种基于Linux系统的主动防御方法及装置 Active CN104008337B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410191624.6A CN104008337B (zh) 2014-05-07 2014-05-07 一种基于Linux系统的主动防御方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410191624.6A CN104008337B (zh) 2014-05-07 2014-05-07 一种基于Linux系统的主动防御方法及装置

Publications (2)

Publication Number Publication Date
CN104008337A true CN104008337A (zh) 2014-08-27
CN104008337B CN104008337B (zh) 2019-08-23

Family

ID=51368987

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410191624.6A Active CN104008337B (zh) 2014-05-07 2014-05-07 一种基于Linux系统的主动防御方法及装置

Country Status (1)

Country Link
CN (1) CN104008337B (zh)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105631317A (zh) * 2015-12-18 2016-06-01 浪潮电子信息产业股份有限公司 一种系统调用方法及装置
CN105844157A (zh) * 2016-04-20 2016-08-10 北京鼎源科技有限公司 一种针对Android系统App行为的监控方法
CN106203108A (zh) * 2016-06-29 2016-12-07 北京市国路安信息技术股份有限公司 基于内核模块的Linux白名单系统保护方法和装置
CN106203189A (zh) * 2016-07-04 2016-12-07 北京金山安全软件有限公司 设备数据获取方法、装置和终端设备
CN106203078A (zh) * 2016-07-04 2016-12-07 北京金山安全软件有限公司 桌面切换处理方法、装置和终端设备
CN106778244A (zh) * 2016-11-28 2017-05-31 北京奇虎科技有限公司 基于虚拟机的内核漏洞检测进程保护方法及装置
CN106919458A (zh) * 2015-12-25 2017-07-04 腾讯科技(深圳)有限公司 Hook目标内核函数的方法及装置
CN107491693A (zh) * 2017-07-24 2017-12-19 南京南瑞集团公司 一种具有自学习特性的工控操作系统主动防御方法
CN108021807A (zh) * 2017-12-29 2018-05-11 浙江大学 Linux容器的细粒度沙盒策略执行方法
CN108280349A (zh) * 2018-01-10 2018-07-13 维沃移动通信有限公司 保护系统内核层的方法、移动终端及计算机可读存储介质
CN109672681A (zh) * 2018-12-25 2019-04-23 上海点融信息科技有限责任公司 入侵检测方法及入侵检测装置
CN109831420A (zh) * 2018-05-04 2019-05-31 360企业安全技术(珠海)有限公司 内核进程权限的确定方法及装置
CN111259392A (zh) * 2020-01-13 2020-06-09 奇安信科技集团股份有限公司 一种基于内核模块的恶意软件拦截方法及装置
CN112181540A (zh) * 2020-09-28 2021-01-05 中孚安全技术有限公司 一种在Linux应用层上实现hook的方法与系统
CN113469688A (zh) * 2021-07-23 2021-10-01 厦门慢雾科技有限公司 一种针对私钥安全管理的主动风险识别模型
CN116483294A (zh) * 2023-06-25 2023-07-25 闪捷信息科技有限公司 基于Linux内核管控的打印机水印添加方法和装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101727545A (zh) * 2008-10-10 2010-06-09 中国科学院研究生院 一种安全操作系统强制访问控制机制的实施方法
CN101727555A (zh) * 2009-12-04 2010-06-09 苏州昂信科技有限公司 一种操作系统的访问控制方法及其实现平台
CN101901313A (zh) * 2010-06-10 2010-12-01 中科方德软件有限公司 一种Linux文件保护系统及方法
CN101997912A (zh) * 2010-10-27 2011-03-30 苏州凌霄科技有限公司 基于Android平台的强制访问控制装置及控制方法
CN102930205A (zh) * 2012-10-10 2013-02-13 北京奇虎科技有限公司 一种监测单元及方法
CN103065092A (zh) * 2012-12-24 2013-04-24 公安部第一研究所 一种拦截可疑程序运行的方法
CN103514402A (zh) * 2013-09-30 2014-01-15 广州华多网络科技有限公司 入侵检测方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101727545A (zh) * 2008-10-10 2010-06-09 中国科学院研究生院 一种安全操作系统强制访问控制机制的实施方法
CN101727555A (zh) * 2009-12-04 2010-06-09 苏州昂信科技有限公司 一种操作系统的访问控制方法及其实现平台
CN101901313A (zh) * 2010-06-10 2010-12-01 中科方德软件有限公司 一种Linux文件保护系统及方法
CN101997912A (zh) * 2010-10-27 2011-03-30 苏州凌霄科技有限公司 基于Android平台的强制访问控制装置及控制方法
CN102930205A (zh) * 2012-10-10 2013-02-13 北京奇虎科技有限公司 一种监测单元及方法
CN103065092A (zh) * 2012-12-24 2013-04-24 公安部第一研究所 一种拦截可疑程序运行的方法
CN103514402A (zh) * 2013-09-30 2014-01-15 广州华多网络科技有限公司 入侵检测方法及装置

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105631317B (zh) * 2015-12-18 2018-08-14 浪潮电子信息产业股份有限公司 一种系统调用方法及装置
CN105631317A (zh) * 2015-12-18 2016-06-01 浪潮电子信息产业股份有限公司 一种系统调用方法及装置
CN106919458A (zh) * 2015-12-25 2017-07-04 腾讯科技(深圳)有限公司 Hook目标内核函数的方法及装置
CN106919458B (zh) * 2015-12-25 2020-09-01 腾讯科技(深圳)有限公司 Hook目标内核函数的方法及装置
CN105844157A (zh) * 2016-04-20 2016-08-10 北京鼎源科技有限公司 一种针对Android系统App行为的监控方法
CN106203108A (zh) * 2016-06-29 2016-12-07 北京市国路安信息技术股份有限公司 基于内核模块的Linux白名单系统保护方法和装置
CN106203189A (zh) * 2016-07-04 2016-12-07 北京金山安全软件有限公司 设备数据获取方法、装置和终端设备
CN106203078A (zh) * 2016-07-04 2016-12-07 北京金山安全软件有限公司 桌面切换处理方法、装置和终端设备
CN106778244A (zh) * 2016-11-28 2017-05-31 北京奇虎科技有限公司 基于虚拟机的内核漏洞检测进程保护方法及装置
CN106778244B (zh) * 2016-11-28 2019-12-06 北京奇虎科技有限公司 基于虚拟机的内核漏洞检测进程保护方法及装置
CN107491693A (zh) * 2017-07-24 2017-12-19 南京南瑞集团公司 一种具有自学习特性的工控操作系统主动防御方法
CN108021807A (zh) * 2017-12-29 2018-05-11 浙江大学 Linux容器的细粒度沙盒策略执行方法
CN108021807B (zh) * 2017-12-29 2020-04-28 浙江大学 Linux容器的细粒度沙盒策略执行方法
CN108280349A (zh) * 2018-01-10 2018-07-13 维沃移动通信有限公司 保护系统内核层的方法、移动终端及计算机可读存储介质
CN109831420B (zh) * 2018-05-04 2021-10-22 360企业安全技术(珠海)有限公司 内核进程权限的确定方法及装置
CN109831420A (zh) * 2018-05-04 2019-05-31 360企业安全技术(珠海)有限公司 内核进程权限的确定方法及装置
CN109672681A (zh) * 2018-12-25 2019-04-23 上海点融信息科技有限责任公司 入侵检测方法及入侵检测装置
CN111259392A (zh) * 2020-01-13 2020-06-09 奇安信科技集团股份有限公司 一种基于内核模块的恶意软件拦截方法及装置
CN111259392B (zh) * 2020-01-13 2023-06-13 奇安信科技集团股份有限公司 一种基于内核模块的恶意软件拦截方法及装置
CN112181540A (zh) * 2020-09-28 2021-01-05 中孚安全技术有限公司 一种在Linux应用层上实现hook的方法与系统
CN113469688A (zh) * 2021-07-23 2021-10-01 厦门慢雾科技有限公司 一种针对私钥安全管理的主动风险识别模型
CN116483294A (zh) * 2023-06-25 2023-07-25 闪捷信息科技有限公司 基于Linux内核管控的打印机水印添加方法和装置
CN116483294B (zh) * 2023-06-25 2023-09-01 闪捷信息科技有限公司 基于Linux内核管控的打印机水印添加方法和装置

Also Published As

Publication number Publication date
CN104008337B (zh) 2019-08-23

Similar Documents

Publication Publication Date Title
CN104008337A (zh) 一种基于Linux系统的主动防御方法及装置
US10032024B2 (en) System and method for virtual partition monitoring
US9904784B2 (en) Kernel-level security agent
US9210194B2 (en) Method and system for protecting data flow at a mobile device
US8326872B2 (en) Database sandbox
US9323931B2 (en) Complex scoring for malware detection
US7814549B2 (en) Direct process access
US8209757B1 (en) Direct call into system DLL detection system and method
US9542557B2 (en) Snoop-based kernel integrity monitoring apparatus and method thereof
CN113138836B (zh) 一种使用基于Docker容器的防逃逸系统的防逃逸方法
CN106127031A (zh) 一种保护进程的方法、装置及电子设备
CN102831344A (zh) 一种进程的处理方法和装置
US20160246590A1 (en) Priority Status of Security Patches to RASP-Secured Applications
CN105426751A (zh) 一种防止篡改系统时间的方法及装置
CN101599113A (zh) 驱动型恶意软件防御方法和装置
CN105095763B (zh) 漏洞防御方法及装置、电子设备
US8065734B1 (en) Code module operating system (OS) interactions intercepting system and method
CN109639884A (zh) 一种基于安卓监控敏感权限的方法、存储介质及终端设备
CN105590060A (zh) 一种目标应用程序的保护方法及装置
CN106022109A (zh) 一种防止线程暂停的方法、装置及电子设备
CN113918955A (zh) 一种linux内核漏洞权限提升检测阻断方法和系统
US10055572B1 (en) Systems and methods for preventing windows kernel code or drivers from being executed
CN106909838A (zh) 一种拦截系统调用的方法及装置
CN106022015A (zh) 一种防止进程暂停的方法、装置及电子设备
US11709937B2 (en) Inactivating basic blocks of program code to prevent code reuse attacks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 511446 Guangzhou City, Guangdong Province, Panyu District, South Village, Huambo Business District Wanda Plaza, block B1, floor 28

Applicant after: Guangzhou Huaduo Network Technology Co., Ltd.

Address before: 510655, Guangzhou, Whampoa Avenue, No. 2, creative industrial park, building 3-08,

Applicant before: Guangzhou Huaduo Network Technology Co., Ltd.

GR01 Patent grant
GR01 Patent grant