技術領域

本發明涉及計算機安全技術領域，特別涉及一種入侵檢測方法及裝置。

背景技術

隨著Linux系統越來越多的被用于企業服務器，如何提高Linux系統的安全性成為一個值得重視的問題。

為了給Linux系統提供實時防護，一般采用主機入侵檢測技術，通過收集和分析系統日志以及用戶態的配置文件、庫文件和系統指令等信息，檢測系統中是否有入侵事件發生。

在實現本發明的過程中，發明人發現現有技術至少存在以下問題：

Linux系統將自身劃分為用戶態和內核態兩部分。目前基于Linux系統的主機入侵檢測技術中收集和分析的信息均屬于用戶態的信息，無法對Linux系統內核進行檢測，因此無法檢測到對Linux系統內核態的入侵事件。

發明內容

為了解決現有技術的問題，本發明實施例提供了一種入侵檢測方法及裝置。該技術方案如下：

一方面，提供了一種入侵檢測方法，該方法包括：

獲取系統調用鏈表；

從該系統調用鏈表中導出系統調用指針；

對該系統調用指針用指紋算法進行處理，得到系統調用指針指紋數據；

將當前獲取的該系統調用指針指紋數據與本端預存的系統調用指針指紋數據進行比對；

當確定當前獲取的該系統調用指針指紋數據與本端預存的系統調用指針指紋數據不一致時，確定本端發生入侵事件。

可選地，該獲取系統調用鏈表包括：

獲取系統調用處理程序入口；

根據該系統調用處理程序入口，獲取該系統調用鏈表指針，該系統調用鏈表指針指向該系統調用鏈表的首地址；

根據該系統調用鏈表指針，獲取系統調用鏈表。

可選地，該獲取系統調用處理程序入口包括：

執行SIDT匯編指令，將IDTR寄存器中的中斷描述符表的基地址和長度值復制到內存中；

根據該中斷描述符表的基地址和長度值獲取中斷描述符表；

將該中斷描述符表存儲到內存中；

根據中斷描述符表，獲取系統調用對應的門描述符；

根據該門描述符，轉到系統調用處理程序入口。

可選地，該根據該系統調用處理程序入口，獲取該系統調用鏈表指針包括：

在內存中查找第一個Call匯編指令；

執行該Call匯編指令；

該Call匯編指令根據該系統調用處理程序入口，獲取該系統調用鏈表指針。

可選地，獲取系統調用鏈表之前，該方法還包括：

在初始化階段，獲取初始化階段的系統調用指針指紋數據；

將該初始化階段的系統調用指針指紋數據存儲在本端。

可選地，在初始化階段，獲取初始化階段的系統調用指針指紋數據之后，該方法還包括：

將該初始化階段的系統調用指針指紋數據存儲到服務器。

可選地，將該初始化階段的系統調用指針指紋數據存儲到服務器之后，該方法還包括：

將當前獲取的該系統調用指針指紋數據與服務器預存的系統調用指針指紋數據進行比對；

當確定當前獲取的該系統調用指針指紋數據與該服務器預存的系統調用指針指紋數據不一致時，確定本端發生入侵事件。

可選地，將該初始化階段的系統調用指針指紋數據存儲到服務器之后，該方法還包括：

將該本端預存的系統調用指針指紋數據與該服務器預存的系統調用指針指紋數據進行比對；

當確定本端預存的系統調用指針指紋數據與服務器預存的系統調用指針指紋數據不一致時，確定本端發生入侵事件。

可選地，獲取系統調用鏈表之后，該方法還包括：

獲取系統調用地址文件，該系統調用地址文件用于存儲該系統調用指針；

將該系統調用地址文件與該系統調用鏈表進行比對；

當確定該系統調用地址文件與該系統調用鏈表不一致時，確定本端發生入侵事件。

可選地，確定本端發生入侵事件之后，該方法還包括：

根據該入侵事件，輸出警報信息。

另一方面，提供了一種入侵檢測裝置，該裝置包括：

第一獲取模塊，用于獲取系統調用鏈表；

導出模塊，用于從該系統調用鏈表中導出系統調用指針；

指紋算法處理模塊，用于對該系統調用指針用指紋算法進行處理，得到系統調用指針指紋數據；

第一比對模塊，用于將當前獲取的該系統調用指針指紋數據與本端預存的系統調用指針指紋數據進行比對；