CN111800490B - 获取网络行为数据的方法、装置及终端设备 - Google Patents
获取网络行为数据的方法、装置及终端设备 Download PDFInfo
- Publication number
- CN111800490B CN111800490B CN202010583037.7A CN202010583037A CN111800490B CN 111800490 B CN111800490 B CN 111800490B CN 202010583037 A CN202010583037 A CN 202010583037A CN 111800490 B CN111800490 B CN 111800490B
- Authority
- CN
- China
- Prior art keywords
- information
- network connection
- connection request
- function
- acquiring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种获取网络行为数据的方法、装置及终端设备。其中,方法包括:在获取到网络连接请求的情况下,通过调用设定的钩子函数,获取所述网络连接请求对应的五元组信息;所述设定的钩子函数为用于处理网络连接请求的内核函数的钩子函数;根据所述五元组信息确定出所述网络连接请求相关的进程的进程标识符;获取所述进程标识符对应的进程信息。
Description
技术领域
本发明涉及通信领域,尤其涉及一种获取网络行为数据的方法、装置及终端设备。
背景技术
相关技术中,终端设备在捕获到经过网络协议栈的数据包的情况下,通常基于连接跟踪机制,从连接跟踪表记录的连接记录项中确定出捕获到的数据包对应的网络连接的连接记录项,基于确定出的连接记录项中的五元组信息,从文件系统中获取与该五元组信息匹配的进程文件的文件描述符的索引节点(inode)信息,根据索引节点信息遍历文件系统中存储的所有进程文件,获取索引节点信息对应的进程信息,将获取到的进程信息以及五元组信息向服务器发送,以便服务器基于五元组信息以及进程信息分析网络行为。其中,链接跟踪是指跟踪并记录网络连接的状态。连接记录项是指对每一个网络连接的产生、传输及终止进行跟踪记录。
上述基于链接跟踪机制获取进程信息的过程中,存在匹配链较长且匹配效率不高的问题。
发明内容
有鉴于此,本发明实施例期望提供一种获取网络行为数据的方法、装置及终端设备,以解决现有技术中,在获取进程信息的过程中,存在的匹配链较长且匹配效率不高的问题。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供一种获取网络行为数据的方法,包括:
在获取到网络连接请求的情况下,通过调用设定的钩子函数,获取所述网络连接请求对应的五元组信息;所述设定的钩子函数为用于处理网络连接请求的内核函数的钩子函数;
根据所述五元组信息确定出所述网络连接请求相关的进程的进程标识符;
获取所述进程标识符对应的进程信息。
上述方案中,所述在获取到网络连接请求的情况下,通过调用设定的钩子函数,获取所述网络连接请求对应的五元组信息,包括:
在获取到网络连接请求的情况下,确定出用于处理所述网络连接请求的内核函数;
调用确定出的内核函数对应的设定的钩子函数;
根据调用的钩子函数对应的协议类型和所述网络连接请求对应的四元组信息,确定所述网络连接请求对应的五元组信息。
上述方案中,在调用确定出的内核函数对应的设定的钩子函数时,所述方法包括:
根据调用的钩子函数中的寄存器标识信息确定出寄存器;所述寄存器标识信息对应的寄存器用于保存处理所述网络连接请求的内核函数的相关参数,所述相关参数包括设定的结构体的首地址;
从确定出的寄存器中获取所述设定的结构体的首地址;
基于调用的钩子函数中的数据指针偏移量,以及所述设定的结构体的首地址,确定出所述四元组信息在内存中的存储地址;所述数据指针偏移量用于表征四元组信息相对于所述设定的结构体的首地址的地址偏移量;
从确定出的存储地址中读取所述四元组信息。
上述方案中,还包括:
获取所述终端设备的设备信息;所述设备信息包括处理器架构信息、处理器运算位数以及操作系统的内核版本信息;
基于所述处理器架构信息以及所述内核版本信息,确定出所述寄存器标识信息;
基于所述处理器运算位数确定所述数据指针偏移量;
基于所述寄存器标识信息以及所述数据指针偏移量,生成所述设定的钩子函数。
上述方案中,还包括:
在内核层,将获取到的五元组信息以及所述进程标识符写入环形缓冲区;
所述获取所述进程标识符对应的进程信息,包括:
在应用层,从所述环形缓冲区中读取所述五元组信息和相应的进程标识符;
基于读取到的进程标识符,从文件系统中获取所述进程标识符对应的进程信息。
上述方案中,所述在内核层,所述将获取到的五元组信息以及所述进程标识符写入环形缓冲区,包括:
基于进程白名单对所述进程的标识信息进行过滤处理,得到未处于所述白名单中的进程标识符;
将未处于所述白名单中的进程标识符以及相应的五元组信息,写入环形缓冲区。
上述方案中,在所述网络连接请求为所述终端设备接收到的网络连接请求的情况下,在所述调用确定出的内核函数对应的钩子函数之前,还包括:
调用确定出的内核函数,通过确定出的内核函数处理所述网络连接请求,得到函数返回值;
将所述函数返回值写入所述寄存器标识信息对应的寄存器;所述函数返回值包括所述设定的结构体的首地址。
本发明实施例还提供一种获取网络行为数据的装置,包括:
第一获取单元,用于在获取到网络连接请求的情况下,通过调用设定的钩子函数,获取所述网络连接请求对应的五元组信息;所述设定的钩子函数为用于处理网络连接请求的内核函数的钩子函数;
第二获取单元,根据所述五元组信息确定出所述网络连接请求相关的进程的进程标识符;
第三获取单元,获取所述进程标识符对应的进程信息。
本发明实施例还提供了一种终端设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行上述任一获取网络行为数据的方法的步骤。
本发明实施例还提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一获取网络行为数据的方法的步骤。
本发明实施例提供的方案中,在获取到网络连接请求的情况下,通过调用设定的钩子函数,获取网络连接请求对应的五元组信息,并获取与该五元组信息关联的进程标识符,根据获取到的进程标识符获取相应的进程信息。区别于基于连接跟踪机制获取进程信息的方案,本方案不需要加载连接跟踪驱动,不需要匹配所有网络连接的连接记录项,来获取当前捕获到的网络连接的五元组信息,可以提高获取五元组信息的效率,从而能够较快地获取到与五元组信息关联的进程标识符对应的进程信息。
附图说明
图1为本发明实施例提供的获取网络行为数据的方法的实现流程示意图;
图2为本发明实施例提供的获取网络行为数据的方法中获取五元组信息的实现流程示意图;
图3为本发明实施例提供的获取网络行为数据的方法中获取四元组信息的实现流程示意图;
图4为本发明实施例提供的获取网络行为数据的方法中生成设定的钩子函数的实现流程示意图;
图5为本发明另一实施例提供的获取网络行为数据的方法的实现流程示意图;
图6为本发明应用实施例提供的获取网络行为数据的方法的实现流程示意图;
图7为本发明应用实施例提供的获取网络行为数据的应用场景的示意图;
图8为本发明实施例提供的获取网络行为数据的装置的结构示意图;
图9为本发明实施例终端设备的硬件组成结构示意图。
具体实施方式
以下结合说明书附图及具体实施例对本发明的技术方案做进一步的详细阐述。
图1示出了本发明实施例提供的获取网络行为数据的方法的实现流程示意图。在本发明实施例中,获取网络行为数据的方法的执行主体为终端设备。
参照图1,本发明实施例提供的获取网络行为数据的方法包括:
S101:在获取到网络连接请求的情况下,通过调用设定的钩子函数,获取所述网络连接请求对应的五元组信息;所述设定的钩子函数为用于处理网络连接请求的内核函数的钩子函数。
终端设备在获取到网络连接请求的情况下,需要采用相应的内核函数处理该网络连接请求,终端设备通过调用用于处理该网络连接请求的内核函数的钩子函数,获取该内核函数的入参或函数返回值,通过解析该内核函数的入参或函数返回值,从内存中获取该网络连接请求对应的五元组信息。五元组信息包括:源地址、目的地址、源端口、目的端口以及通信协议。
网络连接请求包括由终端设备主动发起的网络连接请求,还包括终端设备接收到的由其他设备发起的网络连接请求。终端设备可以通过检测经过协议栈的数据包来检测是否获取到网络连接请求。
这里,网络连接请求包括但不限于基于传输控制协议(TCP,TransmissionControl Protocol)的网络连接请求、基于用户数据报协议(UDP,User DatagramProtocol)的网络连接请求。
需要说明的是,终端设备的内核为Linux内核时,终端设备在获取到网络连接请求的情况下,可以基于Kprobe on ftrace技术,跟踪用于处理该网络连接请求的内核函数,在检测到该内核函数被调用的情况下,调用用于处理该网络连接请求的内核函数的钩子函数,以获取该网络连接请求对应的五元组信息。调用的钩子函数为kprobe钩子函数。这里,Kprobe On Ftrace基于debugfs文件系统,利用ftrace接口动态注册kprobe钩子的特性,动态注册钩子函数到内核,最后由ftrace框架进行数据解析。
其中,Kprobe是跟踪Linux内核中发生的事件的一种方法,Kprobe允许程序设计者根据需求自己定义挂载点以及需要的数据。Ftrace是Linux内部跟踪器,用于跟踪内核函数的调用。
S102:根据所述五元组信息确定出所述网络连接请求相关的进程的进程标识符。
在终端设备中,任一网络连接请求对应的五元组信息以及该网络连接请求相关的进程的进程标识符(PID,Process Identifier)是关联存储的。
在一实施例中,终端设备可以根据S101中获取到网络连接请求对应的五元组信息,从缓存中获取到相应的进程标识符,从而得到与网络连接请求相关的进程的进程标识符。
在另一实施例中,终端设备可以通过内核中的进程指针变量,获取处于运行状态的进程,基于五元组信息与进程标识符之间的对应关系,获取网络连接请求对应的五元组信息所对应的进程标识符,从而得到与网络连接请求相关的进程的进程标识符。这里,进程指针变量用于指向处于运行状态的进程。网络连接请求相关的进程包括用于处理网络连接请求的进程。
S103:获取所述进程标识符对应的进程信息。
终端设备基于获取到的进程标识符,获取与该进程标识符关联的进程信息,从而得到与网络连接请求相关的进程的进程信息。
这里,进程信息包括但不限于:进程名称、进程路径、进程的执行参数、进程对应的用户组以及用户名、进程启动时间等。进程包括但不限于:服务器进程、sshd进程、反弹shell、病毒进程等。其中,sshd为secure shell的简称,是一种可以通过网络在主机中开启shell的服务。反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。反弹shell本质上是客户端与服务端的角色反转。
由于进程指针变量用于指向处于运行状态的进程,通过进程指针变量可以获取到进程标识符,从而获取到与进程标识符关联的进程信息,可以减少因快速关闭网络连接而无法获取到进程信息,从而造成漏报进程信息的情况发生。
本发明实施例提供的方案中,在获取到网络连接请求的情况下,通过调用设定的钩子函数,获取网络连接请求对应的五元组信息,并获取与该五元组信息关联的进程标识符,根据获取到的进程标识符获取相应的进程信息。区别于基于连接跟踪机制获取进程信息的方案,本方案不需要加载连接跟踪驱动,不需要匹配所有网络连接的连接记录项,来获取当前捕获到的网络连接的五元组信息,可以提高获取五元组信息的效率,从而能够较快地获取到与五元组信息关联的进程标识符对应的进程信息。
进一步地,可以通过进程指针变量直接获取到进程标识符,从而获取到与进程标识符关联的进程信息,一方面可以减少因快速关闭网络连接而无法获取到进程信息,从而造成漏报进程信息的情况发生;另一方面可以提高获取进程信息的效率。
作为本发明的另一实施例,图2示出了本发明实施例提供的获取网络行为数据的方法中获取五元组信息的实现流程示意图。如图2所示,所述在获取到网络连接请求的情况下,通过调用设定的钩子函数,获取所述网络连接请求对应的五元组信息,包括:
S201:在获取到网络连接请求的情况下,确定出用于处理所述网络连接请求的内核函数。
在实际应用中,终端设备在获取到基于TCP协议的网络连接请求,且该网络连接请求由终端设备发起的情况下,用于处理该网络连接请求的内核函数为第一内核函数,第一内核函数用于实现TCP主动发起连接。
终端设备在接收到基于TCP协议的网络连接请求的情况下,用于处理该网络连接请求的内核函数为第二内核函数,第二内核函数用于实现TCP接受连接。
终端设备在获取到基于UDP协议的网络连接请求,且该网络连接请求由终端设备发起的情况下,用于处理该网络连接请求的内核函数为第三内核函数,第三内核函数用于实现UDP发送数据包。
终端设备在获取到基于UDP协议的网络连接请求,且该网络连接请求由终端设备发起的情况下,用于处理该网络连接请求的内核函数为第四内核函数,第四内核函数用于实现UDP发送数据包。
S202:调用确定出的内核函数对应的设定的钩子函数。
终端设备在调用确定出的内核函数处理网络连接请求的情况下,调用确定出的内核函数对应的设定的钩子函数。
需要说明的是,当确定出的内核函数对应的设定的钩子函数设置于内核函数的函数入口时,先执行设定的钩子函数,在执行完设定的钩子函数的情况下,再执行确定出的内核函数。当确定出的内核函数对应的设定的钩子函数设置于内核函数的函数出口时,先执行确定出的内核函数,在执行完确定出的内核函数的情况下,再执行设定的钩子函数。
其中,终端设备确定出的内核函数为第一内核函数时,第一内核函数对应的设定的钩子函数为TCP主动发起连接的第一钩子函数。第一钩子函数设置于第一内核函数的函数入口处。
终端设备确定出的内核函数为第二内核函数时,第二内核函数对应的设定的钩子函数为TCP接受连接的第二钩子函数。第二钩子函数设置于第二内核函数的函数出口处。
终端设备确定出的内核函数为第三内核函数时,第三内核函数对应的设定的钩子函数为UDP发送数据包的第三钩子函数。第三钩子函数设置于第三内核函数的函数入口处。
终端设备确定出的内核函数为第四内核函数时,第四内核函数对应的设定的钩子函数为UDP接收数据包的第四钩子函数。第四钩子函数设置于第四内核函数的函数出口处。
S203:根据调用的钩子函数对应的协议类型和所述网络连接请求对应的四元组信息,确定所述网络连接请求对应的五元组信息。
终端设备根据调用的钩子函数对应的协议类型,确定出网络连接请求的通信协议。这里,当调用的钩子函数为第一钩子函数或第二钩子函数时,网络连接请求的通信协议为TCP协议。当调用的钩子函数为第三钩子函数或第四钩子函数时,网络连接请求的通信协议为UDP协议。
终端设备在调用确定出的内核函数对应的设定的钩子函数的情况下,执行钩子函数,并从内存中获取网络连接请求对应的四元组信息。这里,四元组信息包括:源地址、目的地址、源端口以及目的端口。
本实施例提供的方案中,终端设备通过调用钩子函数来获取网络连接请求对应的五元组信息,不需要匹配所有网络连接的连接记录项,可以提高获取五元组信息的效率。
作为本发明的另一实施例,图3示出了本发明实施例提供的获取网络行为数据的方法中获取四元组信息的实现流程示意图。如图3所示,在调用确定出的内核函数对应的设定的钩子函数时,所述方法包括:
S301:根据调用的钩子函数中的寄存器标识信息确定出寄存器;所述寄存器标识信息对应的寄存器用于保存处理所述网络连接请求的内核函数的相关参数,所述相关参数包括设定的结构体的首地址。
终端设备根据调用的钩子函数中的寄存器标识信息,确定出寄存器标识信息对应的寄存器。这里,确定出的寄存器为用于保存内核函数的入参的入参寄存器,或者,用于保存内核函数的函数返回值的出参寄存器。
S302:从确定出的寄存器中获取设定的结构体的首地址。
终端设备可以从确定出的寄存器中,获取用于处理网络连接的内核函数的入参或者函数返回值,从获取到的入参或者函数返回值中,获取设定的结构体的首地址。
其中,终端设备在调用前文提及的第一钩子函数或第三钩子函数的情况下,确定出的寄存器为入参寄存器,入参寄存器中存储的入参,在执行内核函数之前即可获取得到;终端设备在调用第二钩子函数或第四钩子函数的情况下,确定出的寄存器为用于保存函数返回值的出参寄存器,出参寄存器中保存的函数返回值是终端设备在执行完内核函数之后写入。
S303:基于调用的钩子函数中的数据指针偏移量,以及所述设定的结构体的首地址,确定出所述四元组信息在内存中的存储地址;所述数据指针偏移量用于表征四元组信息相对于所述设定的结构体的首地址的地址偏移量。
这里,数据指针偏移量包括源地址的指针偏移量、目的地址的指针偏移量、源端口的指针偏移量以及目的端口的指针偏移量。
由于设定的结构体中包括四元组信息中的源地址、目的地址、源端口以及目的端口这四个变量,而数据指针偏移量用于表征设定的结构体中的这四个变量相对于设定的结构体的首地址的地址偏移量,因此,终端设备可以根据设定的结构体的首地址,以及源地址的指针偏移量,确定出源地址在内存中的存储地址;根据设定的结构体的首地址,以及目的地址的指针偏移量,确定出目的地址在内存中的存储地址;根据设定的结构体的首地址,以及源端口的地址的指针偏移量,确定出源端口在内存中的存储地址;根据设定的结构体的首地址,以及目的端口的地址的指针偏移量,确定出目的端口在内存中的存储地址。
在实际应用中,设定的结构体可以为INET_SOCK结构体。
S304:从确定出的存储地址中读取所述四元组信息。
本实施例提供的方案中,终端设备可以通过设定的结构体的首地址以及数据指针偏移量,确定出四元组信息在内存中的存储地址,并从确定出的存储地址中读取四元组信息。终端设备可以直接从内存中读取相应的四元组信息,可以提高获取四元组信息的效率。
在一实施例中,在所述网络连接请求为所述终端设备接收到的网络连接请求的情况下,在所述调用确定出的内核函数对应的钩子函数之前,获取网络行为数据的方法还包括:
调用确定出的内核函数,通过确定出的内核函数处理所述网络连接请求,得到函数返回值;
将所述函数返回值写入所述寄存器标识信息对应的寄存器;所述函数返回值包括所述设定的结构体的首地址。
这里,在网络连接请求为终端设备接收到的网络连接请求的情况下,终端设备确定出用于处理该网络连接请求的内核函数,并调用该内核函数,通过该内核函数处理网络连接请求,得到函数返回值,将函数返回值写入该内核函数对应的钩子函数中的寄存器标识信息对应的寄存器。这里,寄存器标识信息对应的寄存器为用于保存内核函数的函数返回值的出参寄存器。
作为本发明的另一实施例,图4示出了本发明实施例提供的获取网络行为数据的方法中生成设定的钩子函数的实现流程示意图。如图4所示,通过以下步骤生成设定的钩子函数:
S401:获取所述终端设备的设备信息;所述设备信息包括处理器架构信息、处理器运算位数以及操作系统的内核版本信息。
这里,处理器架构的类型包括但不限于:X86、X64、ARM、MPLS。处理器运算位数包括但不限于:32位、64位。
S402:基于所述处理器架构信息以及所述内核版本信息,确定出所述寄存器标识信息。
由于,对于不同的处理器架构和操作系统的内核版本的终端设备而言,用于存储内核函数的相关参数的寄存器可能不同;因此,这里,终端设备需要基于处理器架构信息、内核版本信息以及寄存器标识信息三者之间的对应关系,确定出与S401中获取到的处理器架构信息以及内核版本信息相对应的寄存器标识信息。
S403:基于所述处理器运算位数确定所述数据指针偏移量。
不同的终端设备,处理器运算位数不同的话,数据指针偏移量不同。终端设备中存储有处理器运算位数与数据指针偏移量之间的对应关系,终端设备可以基于处理器运算位数与数据指针偏移量之间的对应关系,确定出在S401中获取到的处理器运算位数对应的数据指针偏移量。
S404:基于所述寄存器标识信息以及所述数据指针偏移量,生成所述设定的钩子函数。
终端设备按照钩子函数的构建流程,基于寄存器标识信息以及数据指针偏移量,生成设定的钩子函数,保存设定的钩子函数的地址,并将设定的钩子函数的地址替换成相应的内核函数的地址,以将设定的钩子函数注册到内核中。
这里,终端设备在生成设定的钩子函数的过程中,在钩子函数中设置了对相应的内核函数的探测点。探测点用于表征设定的钩子函数与相应的内核函数的执行顺序。例如,当设定的钩子函数的探测点设置于相应的内核函数的函数入口处时,终端设备在调用内核函数时,跳转到设定的钩子函数,在执行完设定的钩子函数之后,再返回执行内核函数。当设定的钩子函数的探测点设置于相应的内核函数的函数出口处时,在执行完内核函数之后,执行设定的钩子函数,在执行完设定的钩子函数的情况下,跳转到内核函数的函数出口,然后再退出内核函数。
作为本发明的另一实施例,图5示出了本发明另一实施例提供的获取网络行为数据的方法的实现流程示意图。图5对应的实施例与图1对应的实施例的不同之处在于S503~S505,具体如下:
S503:在内核层,将获取到的五元组信息以及所述进程标识符写入环形缓冲区。
终端设备在根据五元组信息确定出网络连接请求相关的进程的进程标识符的情况下,在内核层,将获取到的五元组信息以及进程标识符关联写入环形缓冲区。终端设备还可以将环形缓冲区中的五元组信息以及相应的进程标识符,关联写入管道文件。
S504:在应用层,从所述环形缓冲区中读取所述五元组信息和相应的进程标识符。
这里,终端设备在内核层,将获取到的五元组信息以及进程标识符关联写入环形缓冲区的情况下,在应用层,通过运行相应的应用程序,从环形缓冲区中读取五元组信息和相应的进程标识符。
需要说明的是,在终端设备将环形缓冲区中的五元组信息以及相应的进程标识符,关联写入管道文件的情况下,终端设备需要从管道文件中获取五元组信息和相应的进程标识符。
S505:基于读取到的进程标识符,从文件系统中获取所述进程标识符对应的进程信息。
终端设备基于读取到的进程标识符,从文件系统中获取进程标识符对应的进程信息。文件系统可以为Pro文件系统,Pro文件系统用于存储所有进程的进程信息。
作为本发明的另一实施例,S503中所述将获取到的五元组信息以及所述进程标识符写入环形缓冲区,包括:
基于进程白名单对所述进程的标识信息进行过滤处理,得到未处于所述白名单中的进程标识符;
将未处于所述白名单中的进程标识符以及相应的五元组信息,写入环形缓冲区。
这里,进程白名单用于存储可信进程的进程标识符。可信进程包括但不限于MySQL数据库的进程、DNS服务器的进程。
本实施例提供的方案中,通过进程白名单对获取到的进程标识符进行过滤处理,将未处于进程白名单中的进程标识符以及相应的五元组信息写入环形缓冲区,可以节省环形缓冲区的存储空间,还可以节省因上报没有安全隐患的网络行为数据所占用的网络资源。
作为本发明的应用实施例,图6示出了本发明应用实施例提供的获取网络行为数据的方法的实现流程示意图。图6对应的实施例中,终端设备在获取到进程信息之后,还可以包括S604:向电子设备发送所述五元组信息以及所述进程信息。
S601~S603的具体实现过程请参照上文实施例中的S101~S103的相关描述,此处不赘述。
这里,终端设备向电子设备发送获取到的五元组信息以及进程信息,以便电子设备基于五元组信息以及进程信息进行网络行为分析,从而确定是否存在异常的网络行为。异常的网络行为包括但不限于:遭到病毒攻击、访问限制网站等。
在实际应用中,电子设备可以是部署了云工作负载保护平台(CWPP,CloudWorkload Protection Platforms)的设备,例如,部署了云工作负载保护平台的服务器。
需要说明的是,终端设备可以主动上报五元组信息以及进程信息;终端设备也可以在获取到部署了CWPP的服务器发送的网络行为数据获取请求的情况下,上报五元组信息以及进程信息。
下面结合具体的应用场景介绍获取网络行为数据的实现过程:
参照图7,图7示出了本发明应用实施例提供的获取网络行为数据的应用场景的示意图。图7中包括服务器11、云工作负载保护平台12、第一终端设备13和第二终端设备14。第一终端设备13可以通过云工作负载保护平台12与服务器11进行数据交互。其中,服务器11中部署了CWPP的服务端,第一终端设备13中部署了CWPP的客户端。在实际应用中,云工作负载保护平台12也可以替换成其他安全工具,例如,云访问安全代理(CASB,Cloud AccessSecurity Broker)、云安全配置管理(CSPM,Cloud Security Posture Management)。
服务器11通过云工作负载保护平台12向第一终端设备13发送网络行为数据获取请求。
第一终端设备13在接收到服务器11发送的网络行为数据获取请求的情况下,检测是否接收到由第二终端设备14发起的网络连接请求,或者检测第一终端设备13是否主动发起网络连接请求。在检测结果表征第一终端设备13接收到由第二终端设备14发起的网络连接请求,或者表征第一终端设备13主动发起网络连接请求的情况下,第一终端设备13执行S601~S604。
服务器11在接收到第一终端设备13发送的五元组信息以及进程信息的情况下,基于接收到的五元组信息以及进程信息进行网络行为分析,从而确定是否存在异常的网络行为。
在实际应用中,服务器11可以基于接收到的进程信息中的进程名称,从病毒数据库中查找是否存在与接收到的进程信息中的进程名称相匹配的进程名称,服务器11在查找到匹配的进程名称的情况下,查找结果表征第一终端设备13获取到的网络连接对应的进程是病毒进程。这种情况下,服务器11识别出病毒进程,并按照设定的处理流程对病毒进程进行处理。例如,对病毒进程进行隔离等。
在实际应用中,服务器11还可以基于接收到的至少两个进程信息中的进程启动时间,确定出第一终端设备13获取到的网络连接请求的时间间隔,从而基于确定出的时间间隔以及设定的病毒攻击的时间间隔阈值,进一步确定第一终端设备13是否遭受到了病毒攻击。这里,当确定出的时间间隔小于或等于设定的病毒攻击的时间间隔阈值时,服务器11确定出第一终端设备13遭受到了病毒攻击。
值得说明的是,在本应用实施例中,获取网络行为数据的方法可以应用于识别病毒进程的应用场景、识别病毒攻击的应用场景。在其他实施例中,获取网络行为数据的方法还可以应用于其他与网络行为有关的应用场景,例如,文件监控的应用场景、进程监控的应用场景等。
为实现本发明实施例的方法,本发明实施例还提供了一种获取网络行为数据的装置,设置在终端设备上,如图8所示,该获取网络行为数据的装置包括:
第一获取单元801,用于在获取到网络连接请求的情况下,通过调用设定的钩子函数,获取所述网络连接请求对应的五元组信息;所述设定的钩子函数为用于处理网络连接请求的内核函数的钩子函数;
第二获取单元802,根据所述五元组信息确定出所述网络连接请求相关的进程的进程标识符;
第三获取单元803,获取所述进程标识符对应的进程信息。
在一实施例中,第一获取单元801具体用于:
在获取到网络连接请求的情况下,确定出用于处理所述网络连接请求的内核函数;
调用确定出的内核函数对应的设定的钩子函数;
根据调用的钩子函数对应的协议类型和所述网络连接请求对应的四元组信息,确定所述网络连接请求对应的五元组信息。
在一实施例中,在调用确定出的内核函数对应的设定的钩子函数时,第一获取单元801具体用于:
根据调用的钩子函数中的寄存器标识信息确定出寄存器;所述寄存器标识信息对应的寄存器用于保存处理所述网络连接请求的内核函数的相关参数,所述相关参数包括设定的结构体的首地址;
从确定出的寄存器中获取所述设定的结构体的首地址;
基于调用的钩子函数中的数据指针偏移量,以及所述设定的结构体的首地址,确定出所述四元组信息在内存中的存储地址;所述数据指针偏移量用于表征四元组信息相对于所述设定的结构体的首地址的地址偏移量;
从确定出的存储地址中读取所述四元组信息。
在一实施例中,获取网络行为数据的装置还包括:
设备信息获取单元,用于获取所述终端设备的设备信息;所述设备信息包括处理器架构信息、处理器运算位数以及操作系统的内核版本信息;
第一确定单元,用于基于所述处理器架构信息以及所述内核版本信息,确定出所述寄存器标识信息;
第二确定单元,用于基于所述处理器运算位数确定所述数据指针偏移量;
钩子函数生成单元,用于基于所述寄存器标识信息以及所述数据指针偏移量,生成所述设定的钩子函数。
在一实施例中,获取网络行为数据的装置还包括:
数据写入单元,用于在内核层,将获取到的五元组信息以及所述进程标识符写入环形缓冲区;
第三获取单元803具体用于:在应用层,从所述环形缓冲区中读取所述五元组信息和相应的进程标识符;基于读取到的进程标识符,从文件系统中获取所述进程标识符对应的进程信息。
在一实施例中,数据写入单元具体用于:
基于进程白名单对所述进程的标识信息进行过滤处理,得到未处于所述白名单中的进程标识符;
将未处于所述白名单中的进程标识符以及相应的五元组信息,写入环形缓冲区。
在一实施例中,获取网络行为数据的装置还包括:
内核函数处理单元,用于调用确定出的内核函数,通过确定出的内核函数处理所述网络连接请求,得到函数返回值;
函数返回值写入单元,用于将所述函数返回值写入所述寄存器标识信息对应的寄存器;所述函数返回值包括所述设定的结构体的首地址。
实际应用时,获取网络行为数据的装置中包括的各单元可由获取网络行为数据的装置中的处理器来实现。当然,处理器需要运行存储器中存储的程序来实现上述各程序模块的功能。
需要说明的是:上述实施例提供的获取网络行为数据的装置在获取网络行为数据时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将获取网络行为数据的装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的获取网络行为数据的装置与获取网络行为数据的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本发明实施例的方法,本发明实施例还提供了一种终端设备。图9为本发明实施例终端设备的硬件组成结构示意图,如图9所示,终端设备包括:
通信接口1,能够与其它设备比如电子设备等进行信息交互;
处理器2,与通信接口1连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的获取网络行为数据的方法。而所述计算机程序存储在存储器3上。
当然,实际应用时,终端设备中的各个组件通过总线系统4耦合在一起。可理解,总线系统4用于实现这些组件之间的连接通信。总线系统4除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图9中将各种总线都标为总线系统4。
本发明实施例中的存储器3用于存储各种类型的数据以支持终端设备的操作。这些数据的示例包括:用于在终端设备上操作的任何计算机程序。
可以理解,存储器3可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,Sync Link Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器3旨在包括但不限于这些和任意其它适合类型的存储器。
上述本发明实施例揭示的方法可以应用于处理器2中,或者由处理器2实现。处理器2可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器3,处理器2读取存储器3中的程序,结合其硬件完成前述方法的步骤。
处理器2执行所述程序时实现本发明实施例的各个方法中的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本发明实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器3,上述计算机程序可由处理器2执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (8)
1.一种获取网络行为数据的方法,其特征在于,应用于终端设备,所述方法包括:
在获取到网络连接请求的情况下,确定出用于处理所述网络连接请求的内核函数;调用确定出的内核函数对应的设定的钩子函数;
根据调用的钩子函数中的寄存器标识信息确定出寄存器;所述寄存器标识信息对应的寄存器用于保存处理所述网络连接请求的内核函数的相关参数,所述相关参数包括设定的结构体的首地址;
从确定出的寄存器中获取所述设定的结构体的首地址;
基于调用的钩子函数中的数据指针偏移量,以及所述设定的结构体的首地址,确定出四元组信息在内存中的存储地址;所述数据指针偏移量用于表征四元组信息相对于所述设定的结构体的首地址的地址偏移量;
从确定出的存储地址中读取所述四元组信息;
根据调用的钩子函数对应的协议类型和所述网络连接请求对应的四元组信息,确定所述网络连接请求对应的五元组信息;
根据所述五元组信息确定出所述网络连接请求相关的进程的进程标识符;
获取所述进程标识符对应的进程信息。
2.根据权利要求1所述的方法,其特征在于,还包括:
获取所述终端设备的设备信息;所述设备信息包括处理器架构信息、处理器运算位数以及操作系统的内核版本信息;
基于所述处理器架构信息以及所述内核版本信息,确定出所述寄存器标识信息;
基于所述处理器运算位数确定所述数据指针偏移量;
基于所述寄存器标识信息以及所述数据指针偏移量,生成所述设定的钩子函数。
3.根据权利要求1所述的方法,其特征在于,还包括:
在内核层,将获取到的五元组信息以及所述进程标识符写入环形缓冲区;
所述获取所述进程标识符对应的进程信息,包括:
在应用层,从所述环形缓冲区中读取所述五元组信息和相应的进程标识符;
基于读取到的进程标识符,从文件系统中获取所述进程标识符对应的进程信息。
4.根据权利要求3所述的方法,其特征在于,所述在内核层,所述将获取到的五元组信息以及所述进程标识符写入环形缓冲区,包括:
基于进程白名单对所述进程的标识信息进行过滤处理,得到未处于所述白名单中的进程标识符;
将未处于所述白名单中的进程标识符以及相应的五元组信息,写入环形缓冲区。
5.根据权利要求1所述的方法,其特征在于,在所述网络连接请求为所述终端设备接收到的网络连接请求的情况下,在所述调用确定出的内核函数对应的钩子函数之前,还包括:
调用确定出的内核函数,通过确定出的内核函数处理所述网络连接请求,得到函数返回值;
将所述函数返回值写入所述寄存器标识信息对应的寄存器;所述函数返回值包括所述设定的结构体的首地址。
6.一种获取网络行为数据的装置,其特征在于,包括:
第一获取单元,用于在获取到网络连接请求的情况下,确定出用于处理所述网络连接请求的内核函数;调用确定出的内核函数对应的设定的钩子函数;根据调用的钩子函数中的寄存器标识信息确定出寄存器;所述寄存器标识信息对应的寄存器用于保存处理所述网络连接请求的内核函数的相关参数,所述相关参数包括设定的结构体的首地址;从确定出的寄存器中获取所述设定的结构体的首地址;基于调用的钩子函数中的数据指针偏移量,以及所述设定的结构体的首地址,确定出四元组信息在内存中的存储地址;所述数据指针偏移量用于表征四元组信息相对于所述设定的结构体的首地址的地址偏移量;从确定出的存储地址中读取所述四元组信息;根据调用的钩子函数对应的协议类型和所述网络连接请求对应的四元组信息,确定所述网络连接请求对应的五元组信息;
第二获取单元,根据所述五元组信息确定出所述网络连接请求相关的进程的进程标识符;
第三获取单元,获取所述进程标识符对应的进程信息。
7.一种终端设备,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行权利要求1至5任一项所述的获取网络行为数据的方法步骤。
8.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5任一项所述的获取网络行为数据的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010583037.7A CN111800490B (zh) | 2020-06-23 | 2020-06-23 | 获取网络行为数据的方法、装置及终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010583037.7A CN111800490B (zh) | 2020-06-23 | 2020-06-23 | 获取网络行为数据的方法、装置及终端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111800490A CN111800490A (zh) | 2020-10-20 |
| CN111800490B true CN111800490B (zh) | 2023-07-14 |
Family
ID=72803689
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010583037.7A Active CN111800490B (zh) | 2020-06-23 | 2020-06-23 | 获取网络行为数据的方法、装置及终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111800490B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112653609B (zh) * | 2020-12-14 | 2022-05-27 | 北京指掌易科技有限公司 | 一种vpn识别应用方法、装置、终端及存储介质 |
| CN115776451A (zh) * | 2021-09-06 | 2023-03-10 | 深信服科技股份有限公司 | 信息采集方法、装置、电子设备及存储介质 |
| CN113905105B (zh) * | 2021-09-30 | 2024-03-15 | 阿里巴巴(中国)有限公司 | 一种建立应用依赖关系的方法及装置 |
| CN115002186A (zh) * | 2022-05-17 | 2022-09-02 | 深信服科技股份有限公司 | 网络信息采集方法、装置、电子设备及可读存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110096363A (zh) * | 2019-04-29 | 2019-08-06 | 亚信科技(成都)有限公司 | 一种网络事件与进程的关联方法及装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7904709B2 (en) * | 2006-02-03 | 2011-03-08 | Research In Motion Limited | System and method for controlling data communications between a server and a client device |
| CA2770933C (en) * | 2011-03-11 | 2021-05-25 | Intellacare Inc. | A method and system for monitoring the activity of a subject within spatial temporal and/or behavioral parameters |
| EP3157223A1 (en) * | 2015-10-14 | 2017-04-19 | Alcatel Lucent | Method and systems for associating subscriber identification information with a subscriber-side network termination identifier |
| EP3440821B1 (en) * | 2016-04-06 | 2022-08-24 | Karamba Security | Secure controller operation and malware prevention |
| CN108462590B (zh) * | 2017-02-20 | 2021-09-28 | 阿里巴巴集团控股有限公司 | 网络流量的监控方法及装置、计算机终端 |
| US10409981B2 (en) * | 2017-04-21 | 2019-09-10 | International Business Machines Corporation | In-process stack memory protection |
| CN110493165A (zh) * | 2018-06-29 | 2019-11-22 | 厦门白山耘科技有限公司 | 自动确定恶意网络进程的方法、装置及网络入侵检测系统 |
| CN109150860A (zh) * | 2018-08-02 | 2019-01-04 | 郑州云海信息技术有限公司 | 一种在OpenStack环境下实现网络微隔离的方法与系统 |
| US10700972B2 (en) * | 2018-08-29 | 2020-06-30 | ColorTokens, Inc. | Computer implemented system and method for preserving mapping information in IP-options |
-
2020
- 2020-06-23 CN CN202010583037.7A patent/CN111800490B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110096363A (zh) * | 2019-04-29 | 2019-08-06 | 亚信科技(成都)有限公司 | 一种网络事件与进程的关联方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111800490A (zh) | 2020-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111800490B (zh) | 获取网络行为数据的方法、装置及终端设备 | |
| EP3232359B1 (en) | Identification device, identification method, and identification program | |
| US20170005858A1 (en) | Log processing method and client | |
| CN105808399A (zh) | 一种远程调试的方法和装置 | |
| CN110413432B (zh) | 一种信息处理方法、电子设备及存储介质 | |
| CN112818307B (zh) | 用户操作处理方法、系统、设备及计算机可读存储介质 | |
| CN112272186A (zh) | 一种网络流量检测框架、方法及电子设备和存储介质 | |
| CN106997313B (zh) | 一种应用程序的信号处理方法、系统及终端设备 | |
| CN110096363A (zh) | 一种网络事件与进程的关联方法及装置 | |
| US20090271171A1 (en) | Emulator device, and a method for testing a test target device | |
| CN105589764A (zh) | Cpu异常处理方法及装置 | |
| CN110928720A (zh) | 基于Linux系统的core dump文件生成方法及装置 | |
| WO2017084402A1 (zh) | 一种多应用程序的调试系统和方法 | |
| CN111858020B (zh) | 用户资源限制方法、装置及计算机存储介质 | |
| CN101924677B (zh) | 一种网络设备的唯一识别方法和设备 | |
| CN113792299B (zh) | 一种基于ftrace技术的Linux系统保护方法 | |
| KR102212664B1 (ko) | 로그 데이터의 무결성을 보장하는 장치 및 방법 | |
| CN113535580A (zh) | 一种cts测试方法、装置及测试设备 | |
| CN110909349A (zh) | docker容器内反弹shell的检测方法和系统 | |
| CN116414722B (zh) | 模糊测试处理方法、装置、模糊测试系统及存储介质 | |
| CN115038089B (zh) | 一种基于信息抽取的多端数据监听采集方法 | |
| WO2024066622A1 (zh) | 云系统的测试方法及装置 | |
| WO2021245944A1 (ja) | 情報処理プログラム、情報処理方法および情報処理装置 | |
| US20220269520A1 (en) | Factor identification method and information processing device | |
| CN114722018A (zh) | 日志信息处理方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |