[发明专利]一种应用层命令审计方法、装置、系统及存储介质

说明书

本发明公开了一种应用层命令审计方法、装置、系统及存储介质，方法包括：对命令的二进制文件静态注入一段加载指定动态库的机器码；当命令的命令进程启动时，加载指定动态库，并在指定动态库中hook记录命令函数；确定记录命令函数被调用时，记录命令的命令信息，并通过客户端上报命令信息至服务端；即对命令的二进制文件静态注入一段加载动态库的机器码，注入机器码之后不会影响此二进制文件的正常功能，注入成功后，加载指定的动态库，在动态库中被hook的函数被调用后，相关命令信息就会被实时记录，通过客户端上报到服务端，进而可以实时收集并且上报命令信息，及时提示客户存在异常操作，支持对攻击者进行阻断，保护系统安全。

技术领域

本发明涉及计算机安全领域，尤其涉及一种应用层命令审计方法、装置、系统及存储介质。

背景技术

Linux操作系统是基于UNIX操作系统发展而来的一种克隆系统，其以性能稳定、运行高效而被各大企业广泛使用，目前系统的基础操作大多数使用命令完成，然而这些命令中会存在一些对系统安全产生威胁的行为，其中目前主要是通过获取shell命令的历史记录，来分析shell命令是否对系统存在安全风险并且记录IP来源，而通过历史记录来分析一些异常的命令和定位一些异常的IP，不能够及时的发现命令的风险。

发明内容

本发明所要解决的技术问题是针对上述现有技术的不足，提供一种应用层命令审计方法、装置、系统及存储介质，可以实时记录命令信息，并及时上报，能有效解决通过历史记录来分析一些异常的命令和定位一些异常的IP，不能够及时的发现命令的风险的技术问题。

本发明解决上述技术问题的技术方案如下：一种应用层命令审计方法，包括以下步骤：

对命令的二进制文件静态注入一段加载指定动态库的机器码；

当所述命令的命令进程启动时，加载所述指定动态库，并在所述指定动态库中hook记录命令函数；

确定所述记录命令函数被调用时，记录所述命令的命令信息，并通过客户端上报所述命令信息至服务端。

为解决上述技术问题，本发明实施例还提供一种应用层命令审计方法，包括以下步骤：

对命令的二进制文件静态注入一段加载指定动态库的机器码；

当命令进程启动时，加载所述指定动态库，并在所述指定动态库中hook记录命令函数；

确定所述记录命令函数被调用时，记录所述命令的命令信息，并通过客户端上报所述命令信息至服务端；

接收并分析所述客户端上报的所述命令信息；

当确定对所述命令信息对应的命令进行阻断时，向所述客户端下发命令阻断操作。

为解决上述技术问题，本发明实施例还提供一种应用层命令审计装置，包括静态注入模块、hook模块和上报模块；

所述静态注入模块，用于对命令的二进制文件静态注入一段加载指定动态库的机器码；

所述hook模块，用于当所述命令的命令进程启动时，加载所述指定动态库，并在所述指定动态库中hook记录命令函数；

所述上报模块，用于确定所述记录命令函数被调用时，记录所述命令的命令信息，并通过客户端上报所述命令信息至服务端。

为解决上述技术问题，本发明实施例还提供一种应用层命令审计系统，包括：根据如上所述的应用层命令审计装置、客户端和服务端；

所述应用层命令审计装置将命令信息上报给所述客户端；

所述客户端对所述命令信息进行处理后上报给所述服务端；

所述服务端对所述命令信息进行分析，当确定对所述命令信息对应的命令进行阻断时，向所述客户端下发命令阻断操作。