[发明专利]一种审计信息处理方法及电子设备

说明书

本发明实施例提供了一种审计信息处理方法及电子设备，包括：获得调用系统调用函数的事件记录信息；对所述事件记录信息基于预设的第一处理策略进行第一过滤处理，得到第一事件记录信息；对所述第一事件记录信息进行漏洞分析处理，得到满足威胁条件的分析结果；基于所述分析结果确定第二处理策略；基于所述第二处理策略对所述事件记录信息进行第二过滤处理，得到第二事件记录信息。本发明的审计信息处理方法能够快速高效进行信息审计，且有效降低系统的审计处理负荷。

技术领域

本发明实施例涉及智能设备领域，特别涉及一种审计信息处理方法及电子设备。

背景技术

Linux内核层：安全性、内存管理、进程管理、网络协议栈和驱动模型等都依赖于该内核。Linux内核同时也作为硬件和软件栈之间的抽象层。Linux内核层提供了几乎所有手机、平板电脑相关设备的驱动程序，提供内存管理、系统进程管理、文件系统管理、电源管理、USB管理等

Linux应用层：负责应用程序间沟通，如超文本传输(HTTP)、简单电子邮件传输(SMTP)、文件传输协议(FTP)、网络远程访问协议(Telnet)等.，它是在我们整个网络结构体系的最上层，所以传输上来的数据已经是我们需要的数据了，而传送下去的数据，一定是我们最初始的数据。而网络编程也就是主要针对应用层，因为我们写的程序本质上就是进程。

Linux内核系统调用函数：Linux内核系统调用是指所有的操作系统在其内核里都有一些内建的函数，这些函数可以用来完成一些系统级别的功能。Linux系统使用的这样的函数。

Kauditd：内核审计守护线程服务。记录内核系统调用函数的调用情况。

目前，系统在基于系统调用函数来审计安全漏洞时，会调取全部的审计日志进行详细分析，实现安全审核。其中，该审计日志通常由Kauditd记录生成，其包括调用的系统调用函数，以及该函数执行的具体任务，如哪个程序调用了该函数，写入了那些信息，开启了哪些文件等。而由于审计日志记载了大量信息，故在进行安全审核时会由于信息量过大，而导致CPU的负载急剧升高，部分信息遗漏，安全审核效果较差。

发明内容

本发明提供了一种能够快速高效地进行信息审计，且有效降低系统的审计处理负荷的审计信息处理方法及应用该方法的电子设备。

为了解决上述技术问题，本发明实施例提供了一种审计信息处理方法，包括：

获得调用系统调用函数的事件记录信息；

对所述事件记录信息基于预设的第一处理策略进行第一过滤处理，得到第一事件记录信息；

对所述第一事件记录信息进行漏洞分析处理，得到满足威胁条件的分析结果；

基于所述分析结果确定第二处理策略；

基于所述第二处理策略对所述事件记录信息进行第二过滤处理，得到第二事件记录信息。

作为优选，还包括：

基于所述第二事件记录信息对所述满足威胁条件的分析结果进行分析处理，得到威胁事件信息。

作为优选，还包括：

基于具有安全漏洞的历史事件记录信息确定产生安全漏洞行为的频率满足预设阈值的第一系统调用函数；

基于所述第一系统调用函数形成用于过滤所述事件记录信息的第一过滤条件。

作为优选，所述对所述事件记录信息基于预设的第一处理策略进行第一过滤处理，得到第一事件记录信息，包括：

基于所述第一过滤条件对所述事件记录信息进行第一过滤处理，得到调用了所述第一系统调用函数的第一事件记录信息。