[发明专利]基于Linux内核的无文件攻击的检测方法及装置

说明书

本发明实施例涉及一种基于Linux内核的无文件攻击的检测方法及装置，所述方法包括：向LSM的挂钩点注册回调函数；在回调函数中，根据第一结构体的第一字段，获取所述可执行程序的文件属性；根据文件属性，检测所述可执行程序所在的文件系统的类型是否是内存文件系统，据此获得检测结果；根据检测结果执行阻断逻辑。本发明实施例提供的技术方案，采用LSM hook对execve函数执行路径的关键点挂钩，可以实时获取可执行程序的文件属性，根据文件属性判断可执行程序是否位于内存文件系统，则可判定是否为无文件攻击，该检测方法针对Linux内核中的无文件攻击检测具有较高的实时性，并且可以针对各种情形的检测，通用性较高。

技术领域

本发明实施例涉及隐私数据处理技术领域，尤其涉及一种基于Linux内核的无文件攻击的检测方法及装置。

背景技术

研究发现，无文件攻击技术正在成为一种流行的攻击方式，攻击者在利用无文件攻击技术实施攻击时，不会在目标主机的磁盘上写入任何的恶意ELF文件，而是通过将恶意代码写入内存的方式实现攻击。因此此种攻击方式可以绕过现有技术中常见的基于磁盘扫描方式的防御软件。

发明内容

基于现有技术的上述情况，本发明实施例的目的在于提供一种基于Linux内核的无文件攻击的检测方法及装置，可以实时检测进程是否基于无文件启动，以及对该进程执行阻断操作。

为达到上述目的，根据本发明的第一个方面，提供了一种基于Linux内核的无文件攻击的检测方法，包括：

安装可执行程序的驱动时，向LSM的挂钩点注册回调函数；

在所述回调函数中，根据第一结构体的第一字段，获取所述可执行程序的文件属性，所述文件属性包括该可执行程序文件所在的文件系统类型；

根据所述文件属性，检测所述可执行程序所在的文件系统的magic标识是否是内存文件系统标识，据此获得检测结果，并根据检测结果执行阻断逻辑。

进一步的，根据所述文件属性，检测所述可执行程序所在的文件系统的magic标识是否是内存文件系统标识，并据此获得检测结果，包括：

根据回调函数的输入参数中的上下文环境对象，获取可执行程序的文件对象；

根据所述文件对象，获取该文件对应的目录对象；

根据所述目录对象，获取该文件所在文件系统的系统信息对象；

根据文件系统信息对象获取该文件所在文件系统的magic标识；

判断magic标识是否为TMPFS_MAGIC，若是，说明该可执行程序位于内存文件系统内存中，则判断为存在无文件攻击行为，并上报无文件攻击行为；若否，则判断为不存在无文件攻击行为。

进一步的，所述方法还包括：

当判断为存在无文件攻击行为时，查询用户设置的控制策略。

进一步的，所述方法还包括：

查询用户设置的控制策略，所述控制策略包括对该可执行程序允许执行或者禁止执行；

如果存在控制策略，且禁止程序执行，则阻断程序继续执行，返回错误码；否则返回0。

进一步的，所述方法还包括：

卸载所述可执行程序的驱动，并解注册LSM的回调函数。

根据本发明的另一个方面，提供了一种基于Linux内核的无文件攻击的检测装置，包括：

注册模块，用于安装可执行程序的驱动时，向LSM的挂钩点注册回调函数；