[發明專利]一種Linux系統調用事件采集和緩存裝置及方法有效
| 申請號: | 202010420465.8 | 申請日: | 2020-05-18 |
| 公開(公告)號: | CN111597089B | 公開(公告)日: | 2020-12-18 |
| 發明(設計)人: | 吳建亮;胡鵬;王建榮 | 申請(專利權)人: | 廣州錦行網絡科技有限公司 |
| 主分類號: | G06F11/30 | 分類號: | G06F11/30;G06F11/14;G06F16/2455 |
| 代理公司: | 北京精金石知識產權代理有限公司 11470 | 代理人: | 劉廣南 |
| 地址: | 510095 廣東省廣州*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 linux 系統 調用 事件 采集 緩存 裝置 方法 | ||
1.一種Linux系統調用事件采集裝置,其特征在于,所述裝置包括:
系統調用事件采集模塊,用于系統調用事件信息采集及處理,包括sysdig-probe內核驅動模塊;
所述sysdig-probe內核驅動模塊,用于系統調用事件信息的采集及處理,包括sysdig-probe過濾模塊和sysdig-probe事件序列化模塊;
所述sysdig-probe過濾模塊,用于系統調用事件信息的分析過濾,根據過濾規則過濾指定的系統調用事件相關信息,并根據系統調用中文件描述符類型對sysdig-probe過濾模塊過濾后的系統調用事件信息進行分類;
所述sysdig-probe事件序列化模塊,用于系統調用事件信息的序列化,根據系統調用事件信息所屬類型及輸入輸出參數對系統調用事件信息進行二進制式序列化,將序列化后的系統調用事件信息填充到sysdig-probe內核驅動模塊與sysdig-userspace層共享的內存中。
2.根據權利要求1所述的裝置,其特征在于,所述sysdig-probe過濾模塊的過濾規則為:根據指定的系統調用身份標識syscall ID、進程ID和進程名以及Linux系統進程ID對系統調用相關信息進行過濾。
3.根據權利要求1所述的裝置,其特征在于,所述文件描述符類型包括:進程、文件和socket,所述輸入輸出參數包括:源IP地址、源端口、目的IP地址和目的端口。
4.一種Linux系統調用事件緩存裝置,其特征在于,所述裝置包括:系統調用事件緩存模塊,所述系統調用事件緩存模塊包括sysdig-userspace層,所述sysdig-userspace層包括Sqlite文件數據庫;
所述sysdig-userspace層,用于讀取權利要求1-3中任一項所述的采集裝置采集到的系統調用事件信息,并將該系統調用事件信息處理后存儲到Sqlite文件數據庫中,sysdig-userspace層從與sysdig-probe內核驅動模塊共享的內存中讀取二進制式的系統調用事件信息,根據系統調用中的文件描述符類型對二進制系統調用事件信息進行分類,然后將二進制式的系統調用事件信息根據其所屬類型序列化并分發到Lua業務處理腳本中;由Lua業務處理腳本按照具體業務要求進行分類和過濾,最終將過濾后的系統調用事件信息存入Sqlite文件數據庫中。
5.根據權利要求4所述的裝置,其特征在于,Sqlite文件數據庫通過HTTP REST API輸出系統調用事件。
6.一種使用權利要求1-3中任一項所述的采集裝置的Linux系統調用事件采集方法,其特征在于,包括如下步驟:
S51:通過shell腳本自動掛載sysdig-probe內核驅動模塊;
S52:啟動sysdig-userspace層,完成sysdig-probe內核驅動模塊與sysdig-userspace層共享內存的映射;
S53:Linux內核層接收到系統調用事件,通過注冊的跟蹤點調用sysdig-probe內核驅動模塊中的所述sysdig-probe過濾模塊,對系統調用事件進行過濾,并根據系統調用中文件描述符類型對sysdig-probe過濾模塊過濾后的系統調用事件信息進行分類;
S54:調用sysdig-probe內核驅動模塊中的sysdig-probe事件序列化模塊,根據該系統調用事件信息所屬類型及輸入輸出參數生成二進制式序列化的系統調用事件信息;
S55:將步驟S54中所述的二進制式序列化的系統調用事件信息寫入sysdig-probe內核驅動模塊與sysdig-userspace層的共享內存中。
7.根據權利要求6所述的方法,其特征在于,步驟S53中通過Linux內核提供的tracepoint_probe_register,系統api函數注冊syscall_enter和syscall_exit系統調用probe函數的跟蹤點。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于廣州錦行網絡科技有限公司,未經廣州錦行網絡科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010420465.8/1.html,轉載請聲明來源鉆瓜專利網。
