CN114185615A - 一种基于审计系统的功能扩展方法及装置 - Google Patents

一种基于审计系统的功能扩展方法及装置 Download PDF

Info

Publication number
CN114185615A
CN114185615A CN202111490846.4A CN202111490846A CN114185615A CN 114185615 A CN114185615 A CN 114185615A CN 202111490846 A CN202111490846 A CN 202111490846A CN 114185615 A CN114185615 A CN 114185615A
Authority
CN
China
Prior art keywords
program
auditing system
network card
data packet
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111490846.4A
Other languages
English (en)
Inventor
陈阳
刘勇
路会园
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111490846.4A priority Critical patent/CN114185615A/zh
Publication of CN114185615A publication Critical patent/CN114185615A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45562Creating, deleting, cloning virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45579I/O management, e.g. providing access to device drivers or storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/815Virtual
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/865Monitoring of software

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Quality & Reliability (AREA)
  • Stored Programmes (AREA)

Abstract

本申请提供一种基于审计系统的功能扩展方法及装置,该基于审计系统的功能扩展方法包括:通过审计系统中的虚拟网卡捕获审计系统发送的数据包;对接收到的功能扩展包进行解压,得到应用程序和程序依赖组件;根据程序依赖组件,构建程序运行环境;在程序运行环境中启动应用程序,以使应用程序对捕获到的数据包进行分析处理。可见,实施这种实施方式,能够快速、稳定地扩展审计系统的功能,并且能够避免现有方法中不稳定因素出现。

Description

一种基于审计系统的功能扩展方法及装置
技术领域
本申请涉及数据处理技术领域,具体而言,涉及一种基于审计系统的功能扩展方法及装置。
背景技术
目前,审计系统在增加新功能时,往往需要经历产品功能开发、版本打包、升级灌装、版本测试以及版本发布等过程。在现有的方法中,该些过程通常会放置到系统沙箱当中进行运行,以使审计系统可以在正常工作的同时进行新功能的增加。然而,在实践中发现,沙箱环境往往存在较多安全隐患,同时还存在进程逃逸风险,从而为新功能的添加带来极大的不稳定因素。
发明内容
本申请实施例的目的在于提供一种基于审计系统的功能扩展方法及装置,能够快速、稳定地扩展审计系统的功能,并且能够避免现有方法中不稳定因素出现。
本申请实施例第一方面提供了一种基于审计系统的功能扩展方法,包括:
通过所述审计系统中的虚拟网卡捕获所述审计系统发送的数据包;
对接收到的功能扩展包进行解压,得到应用程序和程序依赖组件;
根据所述程序依赖组件,构建程序运行环境;
在所述程序运行环境中启动所述应用程序,以使所述应用程序对捕获到的所述数据包进行分析处理。
在上述实现过程中,该方法可以在审计系统中构建一个独立的程序运行环境,以使应用程序在该程序运行环境之内进行独立的运行;同时,该应用程序通过虚拟网卡复制审计系统的流量包,避免了对流量包的直接捕获和处理。可见,实施这种实施方式,能够相对独立地扩展审计系统的功能,杜绝进程逃逸的风险,并提高功能扩展的效率与效果;同时,基于审计系统的内部功能扩建方法不会造成数据的阻断,能够保证功能扩展的稳定性。
进一步地,所述通过所述审计系统中的虚拟网卡捕获所述审计系统发送的数据包的步骤之前,所述方法还包括:
通过TUN/TAP在所述审计系统中创建虚拟网卡;
所述通过所述审计系统中的虚拟网卡捕获所述审计系统发送的数据包的步骤包括:
通过物理网卡捕获流量包;
对所述流量包进行复制,得到数据包;
转发所述数据包至所述虚拟网卡。
进一步地,所述对接收到的功能扩展包进行解压,得到应用程序和程序依赖组件的步骤包括:
根据des加密算法对接收到的功能扩展包进行解压解密,得到应用程序和程序依赖组件。
进一步地,所述根据所述程序依赖组件,构建程序运行环境的步骤包括:
在所述审计系统中创建镜像文件;
对所述镜像文件进行格式化,得到镜像空间;
将所述镜像空间挂载到所述审计系统中的mnt目录下;
在所述镜像空间中挂载所述审计系统的系统文件,并在所述镜像空间中根据所述程序依赖组件构建程序运行环境。
进一步地,所述在所述程序运行环境中启动所述应用程序,以使所述应用程序对捕获到的所述数据包进行分析处理的步骤包括:
使用chroot命令在所述程序运行环境中启动所述应用程序,以使所述应用程序对捕获到的所述数据包进行存储、转发或分析处理。
进一步地,所述在所述程序运行环境中启动所述应用程序,以使所述应用程序对捕获到的所述数据包进行分析处理的步骤之后,所述方法还包括:
通过所述审计系统中的监控程序,监控所述应用程序的CPU使用情况、内存使用情况和磁盘空间使用情况。
本申请实施例第二方面提供了一种基于审计系统的功能扩展装置,所述基于审计系统的功能扩展装置包括:
捕获单元,用于通过所述审计系统中的虚拟网卡捕获所述审计系统发送的数据包;
解压单元,用于对接收到的功能扩展包进行解压,得到应用程序和程序依赖组件;
构建单元,用于根据所述程序依赖组件,构建程序运行环境;
运行单元,用于在所述程序运行环境中启动所述应用程序,以使所述应用程序对捕获到的所述数据包进行分析处理。
在上述实现过程中,该装置能够自动地构建程序运行环境,以使应用程序在程序运行环境中进行独立运行,从而实现在审计系统中相对独立的功能扩展,进而有利于提高审计系统功能扩展的安全性、稳定性和效率。
进一步地,所述功能扩展装置还包括:
创建单元,用于通过TUN/TAP在所述审计系统中创建虚拟网卡;
所述捕获单元,用于通过物理网卡捕获流量包;
所述捕获单元,还用于对所述流量包进行复制,得到数据包;
所述捕获单元,还用于转发所述数据包至所述虚拟网卡。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的基于审计系统的功能扩展方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的基于审计系统的功能扩展方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种基于审计系统的功能扩展方法的流程示意图;
图2为本申请实施例提供的一种基于审计系统的功能扩展装置的结构示意图;
图3为本申请实施例提供的一种基于审计系统的系统框架示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种基于审计系统的功能扩展方法的流程示意图。其中,该基于审计系统的功能扩展方法包括:
S101、通过TUN/TAP在审计系统中创建虚拟网卡。
本实施例中,审计系统启动时创建虚拟网卡。
本实施例中,审计系统为网络审计系统。
在本实施例中,网络审计系统可以使用TUN/TAP库函数或TUN/TAP管理工具创建虚拟网卡。
S102、通过物理网卡捕获流量包。
本实施例中,虚拟网卡和物理网卡具有相同的功能和性能,同样支持流量包的收发。
S103、对流量包进行复制,得到数据包。
本实施例中,审计系统复制流量包得到数据包。
在本实施例中,流量包和数据包是同样的内容,此处只是称呼不同,以便该方法对其区分。
S104、转发数据包至虚拟网卡。
本实施例中,虚拟网卡可以通过这种方式获取到数据包,从而使得虚拟网卡具有一份与物理网卡相同的流量数据。
S105、根据des加密算法对接收到的功能扩展包进行解压解密,得到应用程序和程序依赖组件。
本实施例中,该方法可以使用协商好的des加密算法对程序扩展包进行解密,从而保障信息系统的安全性,防止任意代码执行。
作为一种可选的实施方式,根据des加密算法对接收到的功能扩展包进行解压解密,得到应用程序和程序依赖组件的步骤之前,该方法还包括:
从web界面或者上级设备下载功能扩展包。
本实施例中,web界面与审计系统可以通过加密信道传输功能扩展包,该功能扩展包包括能够实现扩展功能的应用程序和该应用程序的程序依赖组件。
在本实施例中,该方法可以根据用户的点击操作在web界面中选择需要导入的功能扩展包,以使web界面发送加密后的功能扩展包。
S106、在审计系统中创建镜像文件。
本实施例中,该方法可以在审计系统中使用dd命令创建img镜像文件,该镜像文件的大小要大于功能扩展包中应用程序的程序依赖组件占有的空间,并且预留足够的潜在使用空间。
S107、对镜像文件进行格式化,得到镜像空间。
本实施例中,该方法可以使用ext4命令格式化上述的镜像文件。
S108、将镜像空间挂载到审计系统中的mnt目录下。
本实施例中,该方法可以在审计系统的mnt目录下创建用于挂载镜像文件的目录,并挂载上述镜像文件到该目录下。
S109、在镜像空间中挂载审计系统的系统文件,并在镜像空间中根据程序依赖组件构建程序运行环境。
本实施例中,该方法可以拷贝功能扩展包中的应用程序依赖组件到上述的挂载目录中。
在本实施例中,该方法在上述的挂载目录中,继续创建名称为proc、sys、dev、tmp、var的目录,使用mount-t proc proc和mount-t sysfs sys命令挂载审计系统的系统文件到上述的proc目录和sys目录中。同时,在上述的dev目录中使用touch命令创建null和zero两个空文件。
在本实施例中,该方法还需要清理审计系统的缓存。具体的,可以使用echo 3>/proc/sys/vm/drop_caches命令实现上述效果。
本实施例中,程序运行环境是一个相对隔离且独立的运行环境,是应用程序运行的隔离环境。
S110、使用chroot命令在程序运行环境中启动应用程序,以使应用程序对捕获到的数据包进行存储、转发或分析处理。
本实施例中,chroot命令可以改变应用程序的根目录到指定的位置,使应用程序只能使用chroot指定的新根目录以及子目录,实现了应用程序的运行环境隔离,这样做增加了系统的安全性,限制了扩展包中应用程序的权利,建立了一个与审计系统隔离的运行环境以及与审计系统隔离的新的根目录结构。
在本实施例中,使用chroot命令在上述程序运行环境中启动扩展包中应用程序,该应用程序获取虚拟网卡捕获的数据包,该应用程序可以保存数据包,也可以转发数据包,也可以根据数据包中的会话特征检测特定协议的数据包。具体的,如果数据包中的会话是HTTP,那么可以根据特定五元组、特定URL、特定HOST等保存数据包,或转发数据包,或记录该会话的详细信息。
实施这种实施方式,能够在与审计系统隔离的程序运行环境中执行上述操作,从而实现了审计系统的功能快速扩展(扩展的功能由功能扩展包中的应用程序实现)。
S111、通过审计系统中的监控程序,监控应用程序的CPU使用情况、内存使用情况和磁盘空间使用情况。
本实施例中,监控程序可以监控应用程序的CPU、内存、磁盘空间的使用情况。
在本实施例中,程序运行环境中运行的应用程序,需要被审计系统监控,以免程序消耗过多的系统资源,并且系统也需要实时了解程序扩展包中的应用程序的运行动态。从而确保程序扩展包中的应用程序的CPU、内存、磁盘空间的使用情况在合理的范围内。
在本实施例中,该监控程序可以运行在宿主审计系统中,也可以使用chroot在程序运行环境中运行。
在本实施例中,该方法优选监控程序在审计系统中运行的方式。
请参阅图3,图3示出了一种基于审计系统的系统框架示意图。其中,网络审计系统(宿主环境)SYS0为本申请中的审计系统,功能扩展程序P03为本申请中的应用程序,功能扩展程序的运行环境E0为本申请中的程序运行环境,虚拟网卡创建程序P01为本申请中的虚拟网卡对应的创建程序,系统功能扩展监控程序P02为本申请中的监控程序。
实施这种实施方式,能够快速扩展网络审计系统的功能,从而解决审计系统需要新功能扩展时,需要经历产品功能开发、版本打包、升级灌装、版本测试、版本发布等繁琐且周期漫长的问题。
另外,现有技术中使用沙箱软件,存在进程逃逸风险,从而对宿主系统造成威胁。具体的,缺陷原因是沙箱中的进程可能存在逃逸风险,进程逃逸后,进程的行为未知,极有可能对宿主机造成严重威胁。举例来说,DCOM服务(DCOM服务是Microsoft的分布式COM技术,能够支持以太网中不同计算机之间的通信)启动的子进程就会逃逸出沙箱。
同时,沙箱软件还会对沙箱中运行的进程与宿主系统交互造成了一定障碍。具体的,缺陷原因是沙箱软件构建的沙箱与宿主机之间完全隔离了网络接口等资源,从而使得沙箱中运行的程序与宿主机交互造成了障碍。
本申请实施例中,该方法的执行主体可以为计算机、服务器等计算装置,对此本实施例中不作任何限定。
在本申请实施例中,该方法的执行主体还可以为智能手机、平板电脑等智能设备,对此本实施例中不作任何限定。
可见,实施本实施例所描述的基于审计系统的功能扩展方法,能够通过虚拟网卡进行抓包,以便于抓取到的数据包可以被转发与分析,避免物理网卡直接获取的数据包不便转发或分析的问题出现。同时,该方法还能够使用chroot在构建的程序运行环境中运行应用程序,使得功能扩展的过程更加安全可靠,而且可控;该方法还能够仅使用构建程序应用环境所必需的程序依赖组件,从而降低对系统的资源消耗;该方法还能够实时监控和控制扩展应用程序的CPU、内存、磁盘空间的使用状态,从而使得该方法能够完全掌握扩展应用程序的运行动态,有效防止进程逃逸的情况出现;该方法还能够使用chroot在构建的程序运行环境中启动扩展应用程序,以使扩展应用程序可以使用宿主审计系统的虚拟网卡资源以及物理网卡资源,从而使得审计系统和扩展应用程序可以交互遍历,并能够保证宿主系统的安全。
实施例2
请参看图2,图2为本申请实施例提供的一种基于审计系统的功能扩展装置的结构示意图。如图2所示,该基于审计系统的功能扩展装置包括:
捕获单元210,用于通过审计系统中的虚拟网卡捕获审计系统发送的数据包;
解压单元220,用于对接收到的功能扩展包进行解压,得到应用程序和程序依赖组件;
构建单元230,用于根据程序依赖组件,构建程序运行环境;
运行单元240,用于在程序运行环境中启动应用程序,以使应用程序对捕获到的数据包进行分析处理。
作为一种可选的实施方式,功能扩展装置还包括:
创建单元250,用于通过TUN/TAP在审计系统中创建虚拟网卡;
捕获单元210,用于通过物理网卡捕获流量包;
捕获单元210,还用于对流量包进行复制,得到数据包;
捕获单元210,还用于转发数据包至虚拟网卡。
作为一种可选的实施方式,解压单元220具体用于根据des加密算法对接收到的功能扩展包进行解压解密,得到应用程序和程序依赖组件。
作为一种可选的实施方式,构建单元230包括:
创建子单元231,用于在审计系统中创建镜像文件;
格式化子单元232,用于对镜像文件进行格式化,得到镜像空间;
挂载子单元233,用于将镜像空间挂载到审计系统中的mnt目录下;
构建子单元234,用于在镜像空间中挂载审计系统的系统文件,并在镜像空间中根据程序依赖组件构建程序运行环境。
作为一种可选的实施方式,运行单元240具体用于使用chroot命令在程序运行环境中启动应用程序,以使应用程序对捕获到的数据包进行存储、转发或分析处理。
作为一种可选的实施方式,基于审计系统的功能扩展装置还包括:
监控单元260,用于通过审计系统中的监控程序,监控应用程序的CPU使用情况、内存使用情况和磁盘空间使用情况。
本申请实施例中,对于基于审计系统的功能扩展装置的解释说明可以参照实施例1中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的基于审计系统的功能扩展装置,能够。
本申请实施例提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1中的基于审计系统的功能扩展方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例1中的基于审计系统的功能扩展方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (10)

1.一种基于审计系统的功能扩展方法,其特征在于,包括:
通过所述审计系统中的虚拟网卡捕获所述审计系统发送的数据包;
对接收到的功能扩展包进行解压,得到应用程序和程序依赖组件;
根据所述程序依赖组件,构建程序运行环境;
在所述程序运行环境中启动所述应用程序,以使所述应用程序对捕获到的所述数据包进行分析处理。
2.根据权利要求1所述的基于审计系统的功能扩展方法,其特征在于,所述通过所述审计系统中的虚拟网卡捕获所述审计系统发送的数据包的步骤之前,所述方法还包括:
通过TUN/TAP在所述审计系统中创建虚拟网卡;
所述通过所述审计系统中的虚拟网卡捕获所述审计系统发送的数据包的步骤包括:
通过物理网卡捕获流量包;
对所述流量包进行复制,得到数据包;
转发所述数据包至所述虚拟网卡。
3.根据权利要求1所述的基于审计系统的功能扩展方法,其特征在于,所述对接收到的功能扩展包进行解压,得到应用程序和程序依赖组件的步骤包括:
根据des加密算法对接收到的功能扩展包进行解压解密,得到应用程序和程序依赖组件。
4.根据权利要求1所述的基于审计系统的功能扩展方法,其特征在于,所述根据所述程序依赖组件,构建程序运行环境的步骤包括:
在所述审计系统中创建镜像文件;
对所述镜像文件进行格式化,得到镜像空间;
将所述镜像空间挂载到所述审计系统中的mnt目录下;
在所述镜像空间中挂载所述审计系统的系统文件,并在所述镜像空间中根据所述程序依赖组件构建程序运行环境。
5.根据权利要求1所述的基于审计系统的功能扩展方法,其特征在于,所述在所述程序运行环境中启动所述应用程序,以使所述应用程序对捕获到的所述数据包进行分析处理的步骤包括:
使用chroot命令在所述程序运行环境中启动所述应用程序,以使所述应用程序对捕获到的所述数据包进行存储、转发或分析处理。
6.根据权利要求1所述的基于审计系统的功能扩展方法,其特征在于,所述在所述程序运行环境中启动所述应用程序,以使所述应用程序对捕获到的所述数据包进行分析处理的步骤之后,所述方法还包括:
通过所述审计系统中的监控程序,监控所述应用程序的CPU使用情况、内存使用情况和磁盘空间使用情况。
7.一种基于审计系统的功能扩展装置,其特征在于,所述功能扩展装置包括:
捕获单元,用于通过所述审计系统中的虚拟网卡捕获所述审计系统发送的数据包;
解压单元,用于对接收到的功能扩展包进行解压,得到应用程序和程序依赖组件;
构建单元,用于根据所述程序依赖组件,构建程序运行环境;
运行单元,用于在所述程序运行环境中启动所述应用程序,以使所述应用程序对捕获到的所述数据包进行分析处理。
8.根据权利要求7所述的基于审计系统的功能扩展装置,其特征在于,所述功能扩展装置还包括:
创建单元,用于通过TUN/TAP在所述审计系统中创建虚拟网卡;
所述捕获单元,用于通过物理网卡捕获流量包;
所述捕获单元,还用于对所述流量包进行复制,得到数据包;
所述捕获单元,还用于转发所述数据包至所述虚拟网卡。
9.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至6中任一项所述的基于审计系统的功能扩展方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至6任一项所述的基于审计系统的功能扩展方法。
CN202111490846.4A 2021-12-08 2021-12-08 一种基于审计系统的功能扩展方法及装置 Pending CN114185615A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111490846.4A CN114185615A (zh) 2021-12-08 2021-12-08 一种基于审计系统的功能扩展方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111490846.4A CN114185615A (zh) 2021-12-08 2021-12-08 一种基于审计系统的功能扩展方法及装置

Publications (1)

Publication Number Publication Date
CN114185615A true CN114185615A (zh) 2022-03-15

Family

ID=80542709

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111490846.4A Pending CN114185615A (zh) 2021-12-08 2021-12-08 一种基于审计系统的功能扩展方法及装置

Country Status (1)

Country Link
CN (1) CN114185615A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106775924A (zh) * 2016-11-07 2017-05-31 北京百度网讯科技有限公司 虚拟机启动方法和装置
CN108809748A (zh) * 2018-03-26 2018-11-13 北京天融信网络安全技术有限公司 网络审计数据采集方法及相应装置、设备和存储介质
CN108985086A (zh) * 2018-07-18 2018-12-11 中软信息系统工程有限公司 应用程序权限控制方法、装置及电子设备
CN110362384A (zh) * 2019-07-16 2019-10-22 北京奇艺世纪科技有限公司 一种资源分配方法、装置、电子设备及存储介质
CN112579113A (zh) * 2019-09-27 2021-03-30 中兴通讯股份有限公司 应用程序的升级方法、装置、存储介质及终端
CN113438273A (zh) * 2021-05-21 2021-09-24 中国科学院信息工程研究所 一种物联网设备中应用程序的用户级仿真方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106775924A (zh) * 2016-11-07 2017-05-31 北京百度网讯科技有限公司 虚拟机启动方法和装置
CN108809748A (zh) * 2018-03-26 2018-11-13 北京天融信网络安全技术有限公司 网络审计数据采集方法及相应装置、设备和存储介质
CN108985086A (zh) * 2018-07-18 2018-12-11 中软信息系统工程有限公司 应用程序权限控制方法、装置及电子设备
CN110362384A (zh) * 2019-07-16 2019-10-22 北京奇艺世纪科技有限公司 一种资源分配方法、装置、电子设备及存储介质
CN112579113A (zh) * 2019-09-27 2021-03-30 中兴通讯股份有限公司 应用程序的升级方法、装置、存储介质及终端
CN113438273A (zh) * 2021-05-21 2021-09-24 中国科学院信息工程研究所 一种物联网设备中应用程序的用户级仿真方法及装置

Similar Documents

Publication Publication Date Title
CN109743315B (zh) 针对网站的行为识别方法、装置、设备及可读存储介质
KR101074624B1 (ko) 브라우저 기반 어뷰징 방지 방법 및 시스템
EP3155551B1 (fr) Procédé de supervision de la sécurité d'une machine virtuelle dans une architecture d'informatique dans le nuage
US9875353B2 (en) Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium
JP5446167B2 (ja) ウイルス対策方法、コンピュータ、及びプログラム
CN109672580B (zh) 全链路监控方法、装置、终端设备及存储介质
WO2016057994A1 (en) Differential dependency tracking for attack forensics
US20170019415A1 (en) Identification apparatus, control method therefor, and storage medium
US20160224329A1 (en) Automated software configuration management
US9912522B2 (en) Automatic task tracking
US10216601B2 (en) Agent dynamic service
EP3229403B1 (en) Samba configuration management method for network device and system
US10404568B2 (en) Agent manager for distributed transaction monitoring system
CN101657793A (zh) 用于配置防火墙的方法、系统和计算机程序
JP6050162B2 (ja) 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム
CN113347269A (zh) 一种工业系统的数据更新方法、电子设备和存储介质
US20170147483A1 (en) Tracking asynchronous entry points for an application
CN105975302A (zh) 一种应用安装方法及终端
JP2005165874A (ja) クライアント装置のシステム環境規約違反検出方法
CN109218338B (zh) 信息处理系统、方法和装置
CN112416698B (zh) 监控系统的扩展方法及装置、存储介质及电子设备
CN114185615A (zh) 一种基于审计系统的功能扩展方法及装置
CN114244610A (zh) 一种文件传输方法、装置,网络安全设备及存储介质
CN113778826A (zh) 一种日志处理方法及装置
CN106371873A (zh) 应用程序启动请求处理方法、服务器及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20220315