一種基于Linux主機(jī)的入侵檢測方法及裝置

基本信息

申請(qǐng)?zhí)?/td> CN201911363006.4 申請(qǐng)日 -
公開(公告)號(hào) CN111090855A 公開(公告)日 2020-05-01
申請(qǐng)公布號(hào) CN111090855A 申請(qǐng)公布日 2020-05-01
分類號(hào) G06F21/55 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 王彥杰;胡建勛;肖樹根 申請(qǐng)(專利權(quán))人 中科信息安全共性技術(shù)國家工程研究中心有限公司
代理機(jī)構(gòu) - 代理人 -
地址 100080 北京市海淀區(qū)中關(guān)村大街19號(hào)新中關(guān)大廈B座北翼16層
法律狀態(tài) -

摘要

摘要 一種基于Linux主機(jī)的入侵檢測方法時(shí)在Linux內(nèi)核層啟動(dòng)三個(gè)HOOK監(jiān)視器,分別是網(wǎng)絡(luò)HOOK監(jiān)視器、進(jìn)程HOOK監(jiān)視器、文件HOOK監(jiān)視器;并分別發(fā)現(xiàn)來自網(wǎng)絡(luò)層的入侵、發(fā)現(xiàn)基于進(jìn)程執(zhí)行的入侵、分析匹配文件惡意行為。同時(shí)當(dāng)特征匹配模塊在網(wǎng)絡(luò)、進(jìn)程、文件的任意一種匹配上行為特征庫,即視為入侵行為,上報(bào)給入侵檢測管理中心。有益效果在于:該方法及裝置的應(yīng)用解決了基于主機(jī)檢測存在的及時(shí)性不夠且敏感度不高的技術(shù)缺陷,有效提高了基于主機(jī)檢測的及時(shí)性和敏感性。