[发明专利]基于Linux内核的无文件攻击的检测方法及装置有效
申请号: | 202310086642.7 | 申请日: | 2023-01-19 |
公开(公告)号: | CN116028929B | 公开(公告)日: | 2023-08-22 |
发明(设计)人: | 赵克奉;姚纪卫;姜向前 | 申请(专利权)人: | 安芯网盾(北京)科技有限公司 |
主分类号: | G06F21/55 | 分类号: | G06F21/55;G06F21/57 |
代理公司: | 北京中创云知识产权代理事务所(普通合伙) 11837 | 代理人: | 肖佳 |
地址: | 100085 北京市*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | 本发明实施例涉及一种基于Linux内核的无文件攻击的检测方法及装置,所述方法包括:向LSM的挂钩点注册回调函数;在回调函数中,根据第一结构体的第一字段,获取所述可执行程序的文件属性;根据文件属性,检测所述可执行程序所在的文件系统的类型是否是内存文件系统,据此获得检测结果;根据检测结果执行阻断逻辑。本发明实施例提供的技术方案,采用LSM hook对execve函数执行路径的关键点挂钩,可以实时获取可执行程序的文件属性,根据文件属性判断可执行程序是否位于内存文件系统,则可判定是否为无文件攻击,该检测方法针对Linux内核中的无文件攻击检测具有较高的实时性,并且可以针对各种情形的检测,通用性较高。 | ||
搜索关键词: | 基于 linux 内核 文件 攻击 检测 方法 装置 | ||
【主权项】:
暂无信息
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于安芯网盾(北京)科技有限公司,未经安芯网盾(北京)科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/202310086642.7/,转载请声明来源钻瓜专利网。