[发明专利]一种记录网络攻击IP和命令执行回显的方法和系统

权利要求书

1.一种记录网络攻击IP和命令执行回显的方法，其特征在于，所方法包括如下步骤：

建立内核调试模块，所述内核调试模块包括kprobe模块和其派生模块kretprobe，在所述内核调试模块中挂载至少一个关键函数；

通过上述关键函数获取PID字典、socketfd字典和IP对应的字典；

在内核中挂载execve函数，根据所述execve函数记录执行当前execve函数PID的调用过程，获取并返回进程树；

建立暗记模块，记录Bash当前的PID，执行内容和执行回显，根据所述进程树获取祖先进程；

将所述祖先进程PID和获取的PID字典、socketfd字典、IP字典对比，获取攻击者IP。

2.根据权利要求1所述的一种记录网络攻击IP和命令执行回显的方法，其特征在于，在内核中调用sockfd_lookup函数，根据挂载的关键函数获取socketfd，通过所述sockfd_lookup函数将所述socketfd转化为sock结构体，并解析sock结构体中的IP。

3.根据权利要求1所述的一种记录网络攻击IP和命令执行回显的方法，其特征在于，当所述Bash启动时，在Bash-i和Bash-c两个关键节点对应的执行命令入口处插入暗记函数，用于暗记两个关键点的执行指令。

4.根据权利要求1所述的一种记录网络攻击IP和命令执行回显的方法，其特征在于，所述暗记模块在Bash启动时，构建两个伪终端，两个伪终端用于获取并执行攻击者命令，并输出执行结果给攻击者；所述两个伪终端包括主设备和从设备，其中所述主设备和从设备构成一对字符设备对，所述主设备用于读取从设备的数据，所述从设备用于读取主设备数据。

5.根据权利要求4所述的一种记录网络攻击IP和命令执行回显的方法，其特征在于，当任意关键函数进程打开所述字符设备对时，在/dev/ptmx文件下获取一个master 文件描述符，并在/dev/pts文件中创建一个slave文件。

6.根据权利要求4所述的一种记录网络攻击IP和命令执行回显的方法，其特征在于，根据所述主设备和从设备创建父进程和子进程，其中所述父进程支持所述主设备，子进程支持所述从设备，所述子进程接收攻击者输入，并记录该输入的相关数据，子进程记录输入后退出暗记函数，并自动回显输出到从设备。

7.根据权利要求6所述的一种记录网络攻击IP和命令执行回显的方法，其特征在于，所述父进程循环监听主设备的可读状态，若主设备可读，则子进程记录回显输出，并将输出返回给攻击者，若主设备不可读，则循环监听主设备。

8.根据权利要求7所述的一种记录网络攻击IP和命令执行回显的方法，其特征在于，若主设备处于可读状态，则判断读取的字节数，若所述主设备读取的字节数大于等于零，则所述主设备将执行结果输出给攻击者。

9.一种记录网络攻击IP和命令执行回显的系统，其特征在于，所述系统执行上述权利要求1-8中任意一项所述的一种记录网络攻击IP和命令执行回显的方法。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序可被处理器执行上述权利要求1-8中任意一项所述的一种记录网络攻击IP和命令执行回显的方法。