[发明专利]一种Linux系统调用事件采集和缓存装置及方法

说明书

本发明提供了一种Linux系统调用事件采集和缓存装置及方法，属于计算机安全领域，本发明基于sysdig项目的sysdig‑probe内核驱动模块，增加了sysdig‑probe过滤模块和sysdig‑probe事件序列化模块，用于采集系统调用事件信息，并采用Linux内存映射技术，Sysdig‑userspace层与sysdig‑probe内核驱动模块共享内存，Sysdig‑userspace层读取共享内存数据，并通过高性能、实时的Sqlite c API接口，将系统调用事件信息存入Sqlite缓存库存储。本发明实时进行系统调用事件采集及存储，实现了Linux系统调用事件监控的线上部署。

技术领域

本发明涉及计算机安全领域，尤其涉及一种Linux系统调用事件采集和缓存装置及方法。

背景技术

Linux，是一套免费使用和自由传播的类Unix操作系统，是一个多用户、多任务、支持多线程和多CPU(中央处理器)的操作系统。Linux是系统性能稳定的开源软件，其核心防火墙组件性能高效、配置简单，使其越来越被广泛地使用在很多企业网络中。Linux不仅仅是被网络运维人员当作服务器使用，又可以当作网络防火墙。

Linux内核开发调试或日常运维分析，需要对Linux系统行为进行监控，是开发和运维人员特别关注的问题。目前Linux系统行为监控大部分是基于Linux系统调用(syscall)的跟踪点(tracepoint)技术对大部分系统调用、网络连接、磁盘文件操作、网络读写、进程行为、shell命令操作等进行监控。如以下常用工具：strace、ftrace、tcpdump、lsof、htop、iftop、systemTap以及其他工具。

现有Linux系统行为监控主要采用以下方法：

1.采用Linux kprobes调试技术

kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术，内核开发人员可以在内核的绝大多数指定函数中动态地插入探测点来收集所需的调试状态信息，这样开发人员就知道调用了哪些系统调用、何时被调用、执行是否正确以及函数的入参和返回值是什么等，并将这些信息屏幕输出或转储日志文件。

2.采用Linux内核的syscall(系统调用)的tracepoints(跟踪点)技术

按照内核中syscall的tracepoint注册一个钩子来调用用户的probe函数，在probe函数中记录相关信息，并将这些信息屏幕输出或转储日志文件，从而达到监控目的。

在中国专利申请文献CN104008337B中，公开了采用钩子Hook监测Linux内核的系统调用，当监测到设置了Hook的系统调用被用户态进程调用时，判断所述用户态进程是否存在于白名单中；当所述用户态进程存在于所述白名单中时，允许所述用户态进程调用所述系统调用；当所述用户态进程不存在于所述白名单中时，禁止所述用户态进程调用所述系统调用；其中，所述白名单包括一个或多个允许执行系统调用的用户态进程。

现有技术至少存在以下不足：

1.需要内核编译时开启相应的编译项，如果没有开启，将无法正常使用，须重新编译相应内核。

2.只适用于内核开发人员调试用或是运维人员现场开启使用，各工具的特点不一，无法满足系统全面监控的需求。

3.没有提供行为数据的良好存储能力，只提供简单的输出或是日志存储。由于没有数据缓存功能，容易造成行为数据的丢包，不能很好地支撑事后数据回放或分析。

4.不能线上实时部署，只能事后或事中开启，无法满足运维或安全监控的自动化要求。在高吞吐、高并发的服务器上，增加了服务器运行的负担。

发明内容