CN106326745A - 一种Linux系统下防止系统调用劫持的方法 - Google Patents
一种Linux系统下防止系统调用劫持的方法 Download PDFInfo
- Publication number
- CN106326745A CN106326745A CN201610698847.0A CN201610698847A CN106326745A CN 106326745 A CN106326745 A CN 106326745A CN 201610698847 A CN201610698847 A CN 201610698847A CN 106326745 A CN106326745 A CN 106326745A
- Authority
- CN
- China
- Prior art keywords
- system call
- address
- call
- linux
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000000737 periodic effect Effects 0.000 claims description 5
- 238000012360 testing method Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 3
- 238000011084 recovery Methods 0.000 claims description 3
- 230000015572 biosynthetic process Effects 0.000 claims description 2
- 238000012544 monitoring process Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 239000002023 wood Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Monitoring And Testing Of Exchanges (AREA)
Abstract
本发明公开了一种Linux系统下防止系统调用劫持的方法,其实现过程为:搜集防护系统所有系统调用函数的入口地址,然后周期性的遍历系统调用表以检查系统调用表是否被修改,如果被修改则修改回原系统调用地址,并记录日志报告管理员。该一种Linux系统下防止系统调用劫持的方法与现有技术相比,可以对Linux系统的系统调用表做到监控,当系统表被恶意修改后可以及时将系统调用表进行修复,并通过日志的形式报告管理员,实用性强,适用范围广泛,易于推广。
Description
技术领域
本发明涉及计算机技术领域,具体地说是一种实用性强、Linux系统下防止系统调用劫持的方法。
背景技术
现在网络上运行的服务器Linux系统占有很大比例,所以Linux服务器的安全性也变得越来越重要,虽然Linux上的病毒、木马并不像Windows上那么多,但也存在一些病毒木马。系统调用做为应用层和内核的接口,如果系统表被恶意替换,那整个系统的运行将会被控制,所以保证系统调用表的完整性变得非常重要。
基于此,现提供一种Linux系统下防护系统调用劫持的设计方法,本方法可以对Linux系统的系统调用表做到监控,当系统表被恶意修改后可以及时将系统调用表进行修复,并通过日志的形式报告管理员。
发明内容
本发明的技术任务是针对以上不足之处,提供一种实用性强、Linux系统下防止系统调用劫持的方法。
一种Linux系统下防止系统调用劫持的方法,其实现过程为:搜集防护系统所有系统调用函数的入口地址,然后周期性的遍历系统调用表以检查系统调用表是否被修改,如果被修改则修改回原系统调用地址,并记录日志报告管理员。
其具体实现过程为:系统调用函数地址获取,形成数据库存储在文件中;进行周期性检查,查看函数地址是否被恶意替换;根据检查结果进行决策判断;根据决策判断结果,进行相应处理,该处理是指是否进行恢复并记录日志。
所述系统调用函数地址获取过程为:通过读取Linux内核文件/proc/kallsyms文件获取所有系统调用的地址,然后将所有系统调用函数的地址与系统调用号形成数据库保存到文件中。
所述周期性检查的周期为5秒,即每5秒检查系统调用表中的函数地址。
决策判断是指在系统调用表中根据系统调用号取得系统调用的函数地址,然后与数据库中保存的系统调用函数地址对比,判断两者是否相同。
根据决策判断结果进行处理是指当判断系统调用表中的函数地址与数据库保存的函数地址不同时,则恢复系统调用表中的原函数,并记录日志通知管理员。
本发明的一种Linux系统下防止系统调用劫持的方法,具有以下优点:
本发明的一种Linux系统下防止系统调用劫持的方法,可以对Linux系统的系统调用表做到监控,可以检测出系统的系统调用表是否被进行了篡改,使得能够防御内核层的监控、攻击,当系统表被恶意修改后可以及时将系统调用表进行修复,并通过日志的形式报告管理员,实用性强,适用范围广泛,易于推广。
附图说明
附图1为本发明的实现示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步说明。
如附图1所示,本发明提出一种Linux系统下防止系统调用劫持的方法,本发明的显著特征是可以检测出系统的系统调用表是否被进行了篡改,使得能够防御内核层的监控、攻击。
其实现过程为:搜集防护系统所有系统调用函数的入口地址,然后周期性的遍历系统调用表以检查系统调用表是否被修改,如果被修改则修改回原系统调用地址,并记录日志报告管理员。
其具体实现过程为:
系统调用函数地址获取,形成数据库存储在文件中;
进行周期性检查,查看函数地址是否被恶意替换;
根据检查结果进行决策判断;
根据决策判断结果,进行相应处理,该处理是指是否进行恢复并记录日志。
所述系统调用函数地址获取过程为:通过读取Linux内核文件/proc/kallsyms文件获取所有系统调用的地址,然后将所有系统调用函数的地址与系统调用号形成数据库保存到文件中。
/proc/kallsyms文件是一个特殊的文件,它并不是存储在磁盘上的文件。这个文件只有被读取的时候,才会由Linux内核产生内容,比如write系统调用对应内核的sys_write,将所有系统调用函数的地址与系统调用号形成数据库保存到文件中。
所述周期性检查的周期为5秒,即每5秒检查系统调用表中的函数地址。
决策判断是指在系统调用表中根据系统调用号取得系统调用的函数地址,然后与数据库中保存的系统调用函数地址对比,判断两者是否相同。
根据决策判断结果进行处理是指当判断系统调用表中的函数地址与数据库保存的函数地址不同时,则恢复系统调用表中的原函数,并记录日志通知管理员。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的一种Linux系统下防止系统调用劫持的方法的权利要求书的且任何所述技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
Claims (6)
1.一种Linux系统下防止系统调用劫持的方法,其特征在于,其实现过程为:搜集防护系统所有系统调用函数的入口地址,然后周期性的遍历系统调用表以检查系统调用表是否被修改,如果被修改则修改回原系统调用地址,并记录日志报告管理员。
2.根据权利要求1所述的一种Linux系统下防止系统调用劫持的方法,其特征在于,其具体实现过程为:系统调用函数地址获取,形成数据库存储在文件中;进行周期性检查,查看函数地址是否被恶意替换;根据检查结果进行决策判断;根据决策判断结果,进行相应处理,该处理是指是否进行恢复并记录日志。
3.根据权利要求1所述的一种Linux系统下防止系统调用劫持的方法,其特征在于,所述系统调用函数地址获取过程为:通过读取Linux内核文件/proc/kallsyms文件获取所有系统调用的地址,然后将所有系统调用函数的地址与系统调用号形成数据库保存到文件中。
4.根据权利要求1所述的一种Linux系统下防止系统调用劫持的方法,其特征在于,所述周期性检查的周期为5秒,即每5秒检查系统调用表中的函数地址。
5.根据权利要求1所述的一种Linux系统下防止系统调用劫持的方法,其特征在于,决策判断是指在系统调用表中根据系统调用号取得系统调用的函数地址,然后与数据库中保存的系统调用函数地址对比,判断两者是否相同。
6.根据权利要求1所述的一种Linux系统下防止系统调用劫持的方法,其特征在于,根据决策判断结果进行处理是指当判断系统调用表中的函数地址与数据库保存的函数地址不同时,则恢复系统调用表中的原函数,并记录日志通知管理员。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610698847.0A CN106326745A (zh) | 2016-08-22 | 2016-08-22 | 一种Linux系统下防止系统调用劫持的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610698847.0A CN106326745A (zh) | 2016-08-22 | 2016-08-22 | 一种Linux系统下防止系统调用劫持的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106326745A true CN106326745A (zh) | 2017-01-11 |
Family
ID=57741572
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610698847.0A Pending CN106326745A (zh) | 2016-08-22 | 2016-08-22 | 一种Linux系统下防止系统调用劫持的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106326745A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112306683A (zh) * | 2020-10-29 | 2021-02-02 | 北京字节跳动网络技术有限公司 | 一种函数劫持方法、装置、介质和电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101042719A (zh) * | 2006-03-21 | 2007-09-26 | 联想(北京)有限公司 | 一种查杀rootkit的系统及方法 |
| CN104598823A (zh) * | 2015-01-21 | 2015-05-06 | 华东师范大学 | 一种安卓系统中内核级rootkit检测方法及其系统 |
| CN105184166A (zh) * | 2015-10-21 | 2015-12-23 | 南京大学 | 基于内核的安卓程序实时行为分析方法及系统 |
-
2016
- 2016-08-22 CN CN201610698847.0A patent/CN106326745A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101042719A (zh) * | 2006-03-21 | 2007-09-26 | 联想(北京)有限公司 | 一种查杀rootkit的系统及方法 |
| CN104598823A (zh) * | 2015-01-21 | 2015-05-06 | 华东师范大学 | 一种安卓系统中内核级rootkit检测方法及其系统 |
| CN105184166A (zh) * | 2015-10-21 | 2015-12-23 | 南京大学 | 基于内核的安卓程序实时行为分析方法及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112306683A (zh) * | 2020-10-29 | 2021-02-02 | 北京字节跳动网络技术有限公司 | 一种函数劫持方法、装置、介质和电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110351307B (zh) | 基于集成学习的异常用户检测方法及系统 | |
| CN102647421B (zh) | 基于行为特征的web后门检测方法和装置 | |
| CN106295349A (zh) | 账号被盗的风险识别方法、识别装置及防控系统 | |
| CN106657057A (zh) | 反爬虫系统及方法 | |
| CN106708663A (zh) | 一种数据库自动备份方法及装置 | |
| CN102222194A (zh) | Linux主机计算环境安全保护的模块及方法 | |
| CN109347808B (zh) | 一种基于用户群行为活动的安全分析方法 | |
| CN105930226B (zh) | 一种数据处理方法及装置 | |
| CN103428212A (zh) | 一种恶意代码检测及防御的方法 | |
| CN108989294A (zh) | 一种准确识别网站访问的恶意用户的方法及系统 | |
| CN104063669A (zh) | 一种实时监测文件完整性的方法 | |
| CN111611592A (zh) | 一种大数据平台安全评估方法及装置 | |
| CN105825130B (zh) | 一种信息安全预警方法及装置 | |
| CN117932233B (zh) | 基于相似异常行为的用户行为模型微调方法、系统及介质 | |
| CN106789158A (zh) | 一种云服务保险定损方法和系统 | |
| CN116094817A (zh) | 一种网络安全检测系统和方法 | |
| CN104135483A (zh) | 一种网络安全自动配置管理系统 | |
| Perera et al. | The next gen security operation center | |
| US11651313B1 (en) | Insider threat detection using access behavior analysis | |
| CN106326745A (zh) | 一种Linux系统下防止系统调用劫持的方法 | |
| Macak et al. | Scenarios for process-aware insider attack detection in manufacturing | |
| CN106407836B (zh) | 一种数据非法修改行为自动检测的方法及装置 | |
| CN116720194A (zh) | 一种数据安全风险评估的方法和系统 | |
| CN111885088A (zh) | 基于区块链的日志监测方法及装置 | |
| CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170111 |
|
| RJ01 | Rejection of invention patent application after publication |