CN113938305B - 一种非法外联的判定方法、系统及装置 - Google Patents

一种非法外联的判定方法、系统及装置 Download PDF

Info

Publication number
CN113938305B
CN113938305B CN202111211459.2A CN202111211459A CN113938305B CN 113938305 B CN113938305 B CN 113938305B CN 202111211459 A CN202111211459 A CN 202111211459A CN 113938305 B CN113938305 B CN 113938305B
Authority
CN
China
Prior art keywords
network connection
program
program identification
server
identification feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111211459.2A
Other languages
English (en)
Other versions
CN113938305A (zh
Inventor
彭强兵
范渊
杨勃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202111211459.2A priority Critical patent/CN113938305B/zh
Publication of CN113938305A publication Critical patent/CN113938305A/zh
Application granted granted Critical
Publication of CN113938305B publication Critical patent/CN113938305B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • H04L69/162Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种非法外联的判定方法、系统及装置。在外部程序对服务器发起或监听网络连接请求时,获取该网络连接请求的程序标识特征,然后判断网络连接的程序标识特征是否存在于预设程序标识特征库,当该程序标识特征存在于预设程序标识特征库时,判定网络连接为非法外联,能够在服务器与外部程序之间出现网络连接请求时就发现该网络连接,避免了获取网络连接请求的间隔长而不能及时发现该网络连接,且能够获取连接形式为短连接的网络连接,由于在服务器与外部程序之间建立网络连接前就获取程序标识特征,能够在黑客使用木马程序修改系统命令之前获取到该网络连接。此外,由于只需要获取该条网络连接的程序标识特征,节省了计算机存储资源。

Description

一种非法外联的判定方法、系统及装置
技术领域
本发明涉及网络连接检测领域,特别是涉及一种非法外联的判定方法、系统及装置。
背景技术
黑客为了能够盗取服务器内的数据信息,需要先使程序与服务器之间建立起网络连接,以便后续进行盗窃活动,现有技术通过netstat–anp命令以周期性获取服务器与所有其他外部程序之间建立的网络连接的日志信息,然后将这些日志信息传送至预设网络连接信息库以判断网络连接的安全性,但周期性获取存在如下缺点:
1、通常无法及时获取到新建的网络连接,可能会在黑客成功盗取数据信息后才能获取到该网络连接。
2、在服务器与外部程序之间的网络连接是短连接时,由于短连接在数据发送完成后会断开,若该短连接的建立至断开的时间小于相邻两个周期的间隔时间,则无法获取该网络连接。
3、黑客会使用木马程序修改系统命令使得用户无法发现黑客的网络连接,例如,黑客可以使用rootkit hook(木马挂钩)技术覆盖或修改netstat命令,使得netstat–anp命令无法获取黑客与服务器之间的网络连接。
4、由于每次获取到的网络连接的数量很多,且大部分为上个周期已有的网络连接,会消耗大量的计算机存储资源。
发明内容
本发明的目的是提供一种非法外联的判定方法、系统及装置,能够获取形式为短连接的网络连接,且不会因为周期性获取的周期间隔长而不能及时发现该网络连接,能够在黑客使用木马程序修改系统命令之前获取到该网络连接,还节省了计算机存储资源。
为解决上述技术问题,本发明提供了一种非法外联的判定方法,包括:
在外部程序对服务器发起或监听网络连接请求时,获取所述网络连接请求中的程序标识特征;
判断所述程序标识特征是否存在于预设程序标识特征库;
若所述程序标识特征存在于所述预设程序标识特征库,则判定所述网络连接请求对应的网络连接为非法外联。
优选的,获取所述网络连接中的程序标识特征,包括:
在所述外部程序对所述服务器发起或监听所述网络连接请求时,获取包含所述网络连接请求的日志信息;
获取所述日志信息中的所述程序标识特征。
优选的,获取包含所述网络连接请求的日志信息,包括:
在所述外部程序对所述服务器发起所述网络连接请求时,调用所述服务器的系统调用表中的原生connect系统调用地址被修改后的第一系统调用地址;
在获取中断指令后基于所述第一调用地址获取包含所述网络连接请求的日志信息。
优选的,获取包含所述网络连接请求的日志信息,包括:
在所述外部程序对所述服务器监听所述网络连接请求时,调用所述服务器的系统调用表中的原生accept系统调用地址被修改后的第二系统调用地址;
在获取中断指令后基于所述第二系统调用地址获取包含所述网络连接请求的日志信息。
优选的,在获取所述网络连接请求中的程序标识特征之后,还包括:
若所述程序标识特征是所述外部程序对所述服务器发起所述网络连接请求时获取的所述程序标识特征,则调用所述服务器的系统调用表中的原生connect函数以使所述服务器与所述外部程序之间建立所述网络连接;
若所述程序标识特征是所述外部程序对所述服务器监听所述网络连接请求时获取的所述程序标识特征,则调用所述服务器的系统调用表中的原生accept函数以使所述服务器对所述外部程序发起等待连接请求。
优选的,在所述外部程序对所述服务器发起所述网络连接请求时,所述程序标识特征为所述服务器的connect系统调用日志中的程序标识特征;
在所述外部程序对所述服务器监听所述网络连接请求时,所述程序标识特征为所述服务器的accept系统调用日志中的程序标识特征。
优选的,判断所述程序标识特征是否存在于预设程序标识特征库,包括:
将所述程序标识特征由内核态程序通过Netlink套接字发送至用户态程序,以通过所述用户态程序判断所述程序标识特征是否存在于所述预设程序标识特征库。
优选的,所述程序标识特征为所述外部程序所在的外部终端对应的IP地址。
本发明还提供了一种非法外联的判定系统,包括:
程序标识特征获取单元,用于在外部程序对服务器发起或监听网络连接请求时,获取所述网络连接请求中的程序标识特征;
程序标识特征判断单元,用于判断所述程序标识特征是否存在于预设程序标识特征库;若所述程序标识特征存在于所述预设程序标识特征库,则触发非法外联判定单元;
所述非法外联判定单元用于判定所述网络连接请求对应的网络连接为非法外联。
本发明还提供了一种非法外联的判定装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述所述的非法外联的判定方法的步骤。
本发明提供了一种非法外联的判定方法、系统及装置。在外部程序对服务器发起或监听网络连接请求时,获取该网络连接请求的程序标识特征,然后判断网络连接的程序标识特征是否存在于预设程序标识特征库,当该程序标识特征存在于预设程序标识特征库时,判定网络连接为非法外联,能够在服务器与外部程序之间出现网络连接请求时就发现该网络连接,避免了获取网络连接请求的间隔长而不能及时发现该网络连接,且能够获取连接形式为短连接的网络连接,由于在服务器与外部程序之间建立网络连接前就获取程序标识特征,能够在黑客使用木马程序修改系统命令之前获取到该网络连接。此外,由于只需要获取该条网络连接的程序标识特征,节省了计算机存储资源。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种非法外联的判定方法的流程图;
图2为本发明提供的一种非法外联的判定系统的结构示意图;
图3为本发明提供的一种非法外联的判定装置的结构示意图。
具体实施方式
本发明的核心是提供一种非法外联的判定方法、系统及装置,能够获取形式为短连接的网络连接,且不会因为周期性获取的周期间隔长而不能及时发现该网络连接,能够在黑客使用木马程序修改系统命令之前获取到该网络连接,还节省了计算机存储资源。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参照图1,图1为本发明提供的一种非法外联的判定方法的流程图,包括:
在外部程序对服务器发起或监听网络连接请求时,获取网络连接请求中的程序标识特征;
判断程序标识特征是否存在于预设程序标识特征库;
若程序标识特征存在于预设程序标识特征库,则判定网络连接请求对应的网络连接为非法外联。
考虑到周期性获取网络连接信息来判定网络连接是否为非法外联的方式有不够实时、不能检测到短连接、会被黑客使用Rootkit hook技术绕过以及会获取重复的网络连接信息的问题,为了能够获取所有的网络连接信息,本实施例中,在外部程序对服务器发起或监听网络连接请求时,获取网络连接请求中的程序标识特征,然后判断程序标识特征是否存在于预设程序标识特征库,当程序标识特征存在于预设程序标识特征库时,判定网络连接请求对应的网络连接为非法外联。
具体的,在外部程序给服务器发送网络连接请求时,由于网络连接请求中包含双方的程序标识特征,服务器在接收到网络连接请求时,就会知道外部程序的程序标识特征;在外部程序向服务器监听网络连接请求时,服务器在向外部程序发起网络连接请求之前,需要先知道外部程序的程序标识特征才能向外部程序发送网络连接请求,且服务器本身的程序标识特征对于服务器是已知的。基于此,当服务器发起或接收网络连接请求时均可获取到网络连接请求中双方的程序标识特征,在获取到程序标识特征后,判断网络连接的程序标识特征是否存在于预设程序标识特征库中,预设程序标识特征库中预先存放了各种恶意程序的程序标识特征,当该网络连接的程序标识特征存在于预设程序标识特征库中时,说明该外部程序是恶意程序,此时判定该网络连接为非法外联。
综上所述,在外部程序对服务器发起或监听网络连接请求时,获取该网络连接请求的程序标识特征,然后判断网络连接的程序标识特征是否存在于预设程序标识特征库,当该程序标识特征存在于预设程序标识特征库时,判定网络连接为非法外联,能够在服务器与外部程序之间出现网络连接请求时就发现该网络连接,避免了获取网络连接请求的间隔长而不能及时发现该网络连接,且能够获取连接形式为短连接的网络连接,由于在服务器与外部程序之间建立网络连接前就获取程序标识特征,能够在黑客使用木马程序修改系统命令之前获取到该网络连接。此外,由于只需要获取该条网络连接的程序标识特征,节省了计算机存储资源。
在上述实施例的基础上:
作为一种优选的实施例,获取网络连接中的程序标识特征,包括:
在外部程序对服务器发起或监听网络连接请求时,获取包含网络连接请求的日志信息;
获取日志信息中的程序标识特征。
考虑到工作人员难以观测到外部程序对服务器发起或接收网络连接请求的过程,不利于根据网络连接请求中的内容改善未来的工作,为了能够让工作人员简单地观测到该网络连接请求,本实施例中,在外部程序对服务器发起或监听网络连接请求时,首先获取包含网络连接请求的日志信息,再获取日志信息中的程序标识特征,由于日志信息中的内容不会随着网络连接请求的消失而消失,便于工作人员查看。
作为一种优选的实施例,获取包含网络连接请求的日志信息,包括:
在外部程序对服务器发起网络连接请求时,调用服务器的系统调用表中的connect系统调用地址被修改后的第一系统调用地址;
在获取中断指令后基于第一系统调用地址获取包含网络连接请求的日志信息。
为了能够简单地获取外部程序对服务器发起网络连接请求时的包含网络连接请求的日志信息,本实施例中,预先将服务器的系统调用表中connect系统调用地址修改为第一系统调用地址,在第一系统调用地址中将connect系统调用地址原生的sys_fork指令修改为hook_fork指令,由于hook_fork指令在实现sys_fork功能的同时,能够生成网络连接请求的日志信息,所以在外部程序对服务器发起网络连接请求,获取到中断指令0x80时,能够获取到hook_fork指令生成的网络连接请求的日志信息。
综上所述,在第一系统调用地址中将connect系统调用地址原来的sys_fork指令修改为hook_fork指令,能够简单地获取包含网络连接请求的日志信息。
作为一种优选的实施例,获取包含网络连接请求的日志信息,包括:
在外部程序对服务器监听网络连接请求时,调用服务器的系统调用表中的原生accept系统调用地址被修改后的第二系统调用地址;
在获取中断指令后基于第二系统调用地址获取包含网络连接请求的日志信息。
为了能够简单地获取外部程序对服务器监听网络连接请求时的包含网络连接请求的日志信息,本实施例中,预先将服务器的系统调用表中accept系统调用地址修改为第二系统调用地址,在第二系统调用地址中将accept系统调用地址中原生的sys_fork指令修改为hook_fork指令,由于hook_fork指令在实现sys_fork功能的同时,能够生成网络连接请求的日志信息,所以在外部程序对服务器发起网络连接请求,获取到中断指令0x80时,能够获取到hook_fork指令生成的网络连接请求的日志信息。
综上所述,在第二系统调用地址中将accept系统调用地址中原生的sys_fork指令修改为hook_fork指令,能够简单地获取外部程序对服务器监听网络连接请求时的包含网络连接请求的日志信息。
作为一种优选的实施例,在获取网络连接请求中的程序标识特征之后,还包括:
若程序标识特征是外部程序对服务器发起网络连接请求时获取的程序标识特征,则调用服务器的系统调用表中的原生connect函数以使服务器与外部程序之间建立网络连接;
若程序标识特征是外部程序对服务器监听网络连接请求时获取的程序标识特征,则调用服务器的系统调用表中的原生accept函数以使服务器对外部程序发起等待连接请求。
考虑到在外部程序对服务器发起或监听网络连接请求时,需要让外部程序与服务器之间建立起网络连接,以便记录该外部程序的其他信息,为了让外部程序与服务器之间建立起网络连接,本实施例中,在获取了网络连接请求中的程序标识特征后,若本次网络连接是外部程序发起的,则调用服务器的系统调用表中的原生connect函数,网络连接请求通过sys_fork指令,进行后续的三次握手过程,以便外部程序与服务器之间建立起网络连接;若本次网络连接是外部程序监听的,则调用服务器的系统调用表中的原生accept函数,网络连接请求通过sys_fork指令,进行后续的三次握手过程,以便外部程序与服务器之间建立起网络连接。
综上所述,在外部程序对服务器发起网络连接请求,获取了程序标识特征后,调用系统调用表中的原生connect函数,以及在外部程序对服务器监听网络连接请求,获取了程序标识特征后,调用系统调用表中的原生accept函数,能够让外部程序与服务器之间建立起网络连接。
作为一种优选的实施例,在外部程序对服务器发起网络连接请求时,程序标识特征为服务器的connect系统调用日志中的程序标识特征;
在外部程序对服务器监听网络连接请求时,程序标识特征为服务器的accept系统调用日志中的程序标识特征。
考虑到外部程序对服务器发起或监听网络连接是两种情况,对应的网络连接请求所在的位置不同,所以网络连接请求的程序标识特征所在的位置也不同,为了能准确地获取到网络连接请求中的程序标识特征,本实施例中,在外部程序对服务器发起网络连接请求时,会使用到connect系统调用地址以及connect函数,而connect系统调用日志中包含了connect系统调用地址和connect函数的日志信息,所以connect系统调用日志中的程序标识特征就是外部程序对服务器发起的网络连接请求的程序标识特征;同理,在外部程序对服务器监听网络连接请求时,会使用到accept系统调用地址以及accept函数,而accept系统调用日志中包含了accept系统调用地址和aceept函数的日志信息,所以accept系统调用日志中的程序标识特征就是外部程序对服务器监听网络连接请求的程序标识特征。
综上所述,在外部程序对服务器发起网络连接请求时获取connect系统调用日志中的程序标识特征,在外部程序对服务器监听网络连接请求时获取accept系统调用日志中的程序标识特征,能够准确地获取到外部程序与服务器之间的网络连接请求的程序标识特征。
作为一种优选的实施例,判断程序标识特征是否存在于预设程序标识特征库,包括:
将程序标识特征由内核态程序通过Netlink套接字发送至用户态程序,以通过用户态程序判断程序标识特征是否存在于预设程序标识特征库。
考虑到用户较难修改内核态程序的功能,为了能够简单地实现判断程序标识特征是否存在于预设程序标识特征库,本实施例中,将存在于内核态程序中的程序标识特征通过Netlink套接字传送到用户态程序,首先内核态程序使用Netlink套接字发起会话,在用户态程序接收会话后,内核态程序使用socketAPI函数生成程序标识特征的API(Application Programming Interface,应用程序接口)文件并发送给用户态程序,以便用户态程序基于该API文件来判断程序标识特征是否存在于预设程序标识特征库。因为用户态程序容易编写和修改,以及Netlink使用的socketAPI函数简单,能够简单地实现判断程序标识特征是否存在于预设程序标识特征库。
作为一种优选的实施例,程序标识特征为外部程序所在的外部终端对应的IP地址。
为了能够准确地通过程序标识特征判断程序标识特征对应的网络连接是否是非法外联,本实施例中,将外部程序所在的外部终端对应的IP(Internet Protocol,网际互连协议)地址定义为程序标识特征,由于每个终端对应的IP地址是唯一的,且IP地址无法被修改,所以一个IP地址能够代表同一网络中的所有终端以及这些终端中的所有程序,能够准确地判断出网络连接是否是非法外联。例如,当网络连接请求中的程序标识特征,即IP地址存在于预设网络标识特征库中时,说明该IP地址存在恶意,当该IP地址的使用者使用终端内的程序向服务器发起网络连接请求时,不管使用任何一台终端以及任何一个程序,只要属于同一个网络,就能够判断出本次连接是非法外联。
请参照图2,图2为本发明提供的一种非法外联的判定系统的结构示意图,包括:
程序标识特征获取单元,用于在外部程序对服务器发起或监听网络连接请求时,获取网络连接请求中的程序标识特征;
程序标识特征判断单元,用于判断程序标识特征是否存在于预设程序标识特征库;若程序标识特征存在于预设程序标识特征库,则触发非法外联判定单元;
非法外联判定单元用于判定网络连接请求对应的网络连接为非法外联。
对于本申请提供的一种非法外联的判定系统的详细介绍,请参照上述非法外联的判定方法的实施例,本申请在此不再赘述。
请参照图3,图3为本发明提供的一种非法外联的判定装置的结构示意图,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的非法外联的判定方法的步骤。
对于本申请提供的一种非法外联的判定装置的详细介绍,请参照上述非法外联的判定方法的实施例,本申请在此不再赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (9)

1.一种非法外联的判定方法,其特征在于,包括:
在外部程序对服务器发起或监听网络连接请求时,获取所述网络连接请求中的程序标识特征;
判断所述程序标识特征是否存在于预设程序标识特征库;
若所述程序标识特征存在于所述预设程序标识特征库,则判定所述网络连接请求对应的网络连接为非法外联;
其中,在所述外部程序对所述服务器发起所述网络连接请求时,所述程序标识特征为所述服务器的connect系统调用日志中的程序标识特征;
在所述外部程序对所述服务器监听所述网络连接请求时,所述程序标识特征为所述服务器的accept系统调用日志中的程序标识特征。
2.如权利要求1所述的非法外联的判定方法,其特征在于,获取所述网络连接中的程序标识特征,包括:
在所述外部程序对所述服务器发起或监听所述网络连接请求时,获取包含所述网络连接请求的日志信息;
获取所述日志信息中的所述程序标识特征。
3.如权利要求2所述的非法外联的判定方法,其特征在于,获取包含所述网络连接请求的日志信息,包括:
在所述外部程序对所述服务器发起所述网络连接请求时,调用所述服务器的系统调用表中的原生connect系统调用地址被修改后的第一系统调用地址;
在获取中断指令后基于所述第一系统调用地址获取包含所述网络连接请求的日志信息。
4.如权利要求2所述的非法外联的判定方法,其特征在于,获取包含所述网络连接请求的日志信息,包括:
在所述外部程序对所述服务器监听所述网络连接请求时,调用所述服务器的系统调用表中的原生accept系统调用地址被修改后的第二系统调用地址;
在获取中断指令后基于所述第二系统调用地址获取包含所述网络连接请求的日志信息。
5.如权利要求1所述的非法外联的判定方法,其特征在于,在获取所述网络连接请求中的程序标识特征之后,还包括:
若所述程序标识特征是所述外部程序对所述服务器发起所述网络连接请求时获取的所述程序标识特征,则调用所述服务器的系统调用表中的原生connect函数以使所述服务器与所述外部程序之间建立所述网络连接;
若所述程序标识特征是所述外部程序对所述服务器监听所述网络连接请求时获取的所述程序标识特征,则调用所述服务器的系统调用表中的原生accept函数以使所述服务器对所述外部程序发起等待连接请求。
6.如权利要求1所述的非法外联的判定方法,其特征在于,判断所述程序标识特征是否存在于预设程序标识特征库,包括:
将所述程序标识特征由内核态程序通过Netlink套接字发送至用户态程序,以通过所述用户态程序判断所述程序标识特征是否存在于所述预设程序标识特征库。
7.如权利要求1至6任一项所述的非法外联的判定方法,其特征在于,所述程序标识特征为所述外部程序所在的外部终端对应的IP地址。
8.一种非法外联的判定系统,其特征在于,包括:
程序标识特征获取单元,用于在外部程序对服务器发起或监听网络连接请求时,获取所述网络连接请求中的程序标识特征;
程序标识特征判断单元,用于判断所述程序标识特征是否存在于预设程序标识特征库;若所述程序标识特征存在于所述预设程序标识特征库,则触发非法外联判定单元;
所述非法外联判定单元用于判定所述网络连接请求对应的网络连接为非法外联;
其中,在所述外部程序对所述服务器发起所述网络连接请求时,所述程序标识特征为所述服务器的connect系统调用日志中的程序标识特征;
在所述外部程序对所述服务器监听所述网络连接请求时,所述程序标识特征为所述服务器的accept系统调用日志中的程序标识特征。
9.一种非法外联的判定装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的非法外联的判定方法的步骤。
CN202111211459.2A 2021-10-18 2021-10-18 一种非法外联的判定方法、系统及装置 Active CN113938305B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111211459.2A CN113938305B (zh) 2021-10-18 2021-10-18 一种非法外联的判定方法、系统及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111211459.2A CN113938305B (zh) 2021-10-18 2021-10-18 一种非法外联的判定方法、系统及装置

Publications (2)

Publication Number Publication Date
CN113938305A CN113938305A (zh) 2022-01-14
CN113938305B true CN113938305B (zh) 2024-04-26

Family

ID=79280036

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111211459.2A Active CN113938305B (zh) 2021-10-18 2021-10-18 一种非法外联的判定方法、系统及装置

Country Status (1)

Country Link
CN (1) CN113938305B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103391216A (zh) * 2013-07-15 2013-11-13 中国科学院信息工程研究所 一种违规外联报警及阻断方法
CN104935557A (zh) * 2014-03-20 2015-09-23 中兴通讯股份有限公司 本地网络访问的控制方法及装置
CN107426208A (zh) * 2017-07-24 2017-12-01 郑州云海信息技术有限公司 一种监控网络非法外联的方法
CN110191102A (zh) * 2019-05-09 2019-08-30 黄志英 一种非法外联综合监控系统及其方法
CN110365793A (zh) * 2019-07-30 2019-10-22 北京华赛在线科技有限公司 违规外联监测方法、装置、系统及存储介质
CN111818075A (zh) * 2020-07-20 2020-10-23 北京华赛在线科技有限公司 违规外联检测方法、装置、设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006320024A (ja) * 2006-08-16 2006-11-24 Intelligent Wave Inc 不正接続検知システム
CN112383417B (zh) * 2020-11-02 2022-08-23 杭州安恒信息安全技术有限公司 一种终端安全外联检测方法、系统、设备及可读存储介质
CN113179280B (zh) * 2021-05-21 2022-11-22 深圳安天网络安全技术有限公司 基于恶意代码外联行为的欺骗防御方法及装置、电子设备
CN114900377B (zh) * 2022-07-15 2022-09-30 广州世安信息技术股份有限公司 一种基于诱导数据包的违规外联监测方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103391216A (zh) * 2013-07-15 2013-11-13 中国科学院信息工程研究所 一种违规外联报警及阻断方法
CN104935557A (zh) * 2014-03-20 2015-09-23 中兴通讯股份有限公司 本地网络访问的控制方法及装置
CN107426208A (zh) * 2017-07-24 2017-12-01 郑州云海信息技术有限公司 一种监控网络非法外联的方法
CN110191102A (zh) * 2019-05-09 2019-08-30 黄志英 一种非法外联综合监控系统及其方法
CN110365793A (zh) * 2019-07-30 2019-10-22 北京华赛在线科技有限公司 违规外联监测方法、装置、系统及存储介质
CN111818075A (zh) * 2020-07-20 2020-10-23 北京华赛在线科技有限公司 违规外联检测方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN113938305A (zh) 2022-01-14

Similar Documents

Publication Publication Date Title
WO2017185952A1 (zh) 一种硬件设备的访问管理方法及系统
US8943579B2 (en) Trusted communications with child processes
US20160277496A1 (en) Method, server and system for application synchronization
WO2019227427A1 (zh) 文件下载方法、装置及设备/终端/服务器
US10489311B1 (en) Managing webUSB support for local and redirected USB devices
WO2022062869A1 (zh) 数据处理方法、装置、计算机设备及存储介质
CN106775952B (zh) 一种安卓应用的进程管理方法和装置
WO2021189257A1 (zh) 恶意进程的检测方法、装置、电子设备及存储介质
CN106843644B (zh) 一种建立桌面图标的方法和装置
WO2019000790A1 (zh) 一种以同步方式进行远程过程调用的方法及装置
CN111338829B (zh) 远程过程调用服务的调用方法及装置
CN105874773A (zh) 任务处理装置、智能设备、任务处理方法及基带处理器
WO2020135131A1 (zh) 网络热点的切换方法、智能终端及计算机可读存储介质
WO2022105365A1 (zh) 设备控制的方法及系统、电子设备、及存储介质
WO2018103404A1 (zh) 无线保真Wi-Fi扫描方法及相关产品
WO2019037521A1 (zh) 安全检测的方法、装置、系统以及服务器
CN113938305B (zh) 一种非法外联的判定方法、系统及装置
US6775828B2 (en) Delayed uploading of user registration data
CN109218338B (zh) 信息处理系统、方法和装置
CN113452770A (zh) 数据同步方法、装置、计算机设备及存储介质
CN110365839B (zh) 关机方法、装置、介质及电子设备
CN116886749A (zh) 连接方法、连接装置及电子设备
CN111930542A (zh) 数据采集方法、装置、电子设备及计算机可读存储介质
WO2020168666A1 (zh) 一种基于dht网络的数据部署方法、节点设备、数据部署系统及存储介质
CN110995817A (zh) 请求回调方法、装置及客户端设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant