本發明提供了一種基于sysdig系統監控獲取溯源信息的方法，屬于網絡安全領域，本發明中在sysdig監測到accept或connect系統調用時，獲取與系統調用相關的溯源信息，如IP地址、端口號和進程等，并將獲取的溯源信息存儲到map1，當監測到除accept或connect以外的其他如open，execve等系統調用時，先在map2中查詢，查詢不到時，再去map1中查詢，并將從map1查詢到的結果存儲到map2，供監測到除accept或connect以外的其他調用時查詢。本發明利用sysdig系統監控，自建映射表，可以使任何系統調用都可以獲取到IP地址等溯源信息。

技術領域

本發明涉及網絡安全領域，尤其涉及一種基于sysdig系統監控獲取溯源信息的方法。

背景技術

Linux是一個多，用戶、多任務、支持多線程和多CPU(中央處理器)的免費使用和自由傳播的類Unix操作系統。Linux是開源軟件，系統性能穩定，其核心防火墻組件性能高效、配置簡單、功能強大，被廣泛地使用在很多企業網絡中。

sysdig是sysdig cloud出品的主要基于Lua語言開發的一個超強工具，Sysdig是開源的、系統級探測：它可以從運行的Linux實例捕獲系統狀態和行為，然后進行保存、過濾和分析。Sysdig是一個超級系統工具，可以認為它是strace、tcpdump與lsof的集合，甚至比strace、tcpdump與lsof的集合還要強大。使用Lua語言開發的sysdig，提供命令行接口以及強大的交互界面。

Sysdig通過在Linux內核的driver模塊注冊系統調用的鉤子hook，這樣當有系統調用發生和完成的時候，它會把系統調用信息拷貝到特定的buffer，然后用戶模塊的組件對這些信息進行解壓、解析和過濾等處理，并最終通過Sysdig命令行與用戶進行交互。也可以寫Chisels做更細致的數據分析。Chisels為Lua腳本編寫的硬件語言，其關系圖如圖1所示。

Linux系統中，所有的操作都是對文件進行操作，而對文件的操作是利用文件描述符fd來實現的。每一個進程在內核中都對應有一個“打開文件”數組，存放指向文件對象的指針，而fd就是這個數組的下標。對文件進行操作時，系統調用將fd傳入內核，內核通過fd找到文件并對文件進行操作。Fd可以是文件、進程、網絡、管道等。大部分系統調用與fd相關聯，如accept、connect、open和execve等。

在現有技術中，sysdig監控只有發生accept和connet系統調用時，才會保存IP地址等溯源信息，獲取IP地址等溯源信息的方法如下步驟:

1.內核層監控到accept或connect系統調用時，通過參數獲取到IP地址和端口號，并發送到應用層進行關聯。

2.應用層Lua通過系統調用可以獲取到與fd關聯的IP地址和端口號等溯源信息。

如果fd沒有在sysdig用戶層存儲關聯，當發生除accept和connect以外的系統調用時，通過上面的步驟2是獲取不到IP地址和端口號的。如圖2所示，當監控到open系統調用時，從對應的fd3無法獲取IP地址。