本發明提供了一種Linux系統調用事件采集和緩存裝置及方法，屬于計算機安全領域，本發明基于sysdig項目的sysdig?probe內核驅動模塊，增加了sysdig?probe過濾模塊和sysdig?probe事件序列化模塊，用于采集系統調用事件信息，并采用Linux內存映射技術，Sysdig?userspace層與sysdig?probe內核驅動模塊共享內存，Sysdig?userspace層讀取共享內存數據，并通過高性能、實時的Sqlite c API接口，將系統調用事件信息存入Sqlite緩存庫存儲。本發明實時進行系統調用事件采集及存儲，實現了Linux系統調用事件監控的線上部署。

技術領域

本發明涉及計算機安全領域，尤其涉及一種Linux系統調用事件采集和緩存裝置及方法。

背景技術

Linux，是一套免費使用和自由傳播的類Unix操作系統，是一個多用戶、多任務、支持多線程和多CPU(中央處理器)的操作系統。Linux是系統性能穩定的開源軟件，其核心防火墻組件性能高效、配置簡單，使其越來越被廣泛地使用在很多企業網絡中。Linux不僅僅是被網絡運維人員當作服務器使用，又可以當作網絡防火墻。

Linux內核開發調試或日常運維分析，需要對Linux系統行為進行監控，是開發和運維人員特別關注的問題。目前Linux系統行為監控大部分是基于Linux系統調用(syscall)的跟蹤點(tracepoint)技術對大部分系統調用、網絡連接、磁盤文件操作、網絡讀寫、進程行為、shell命令操作等進行監控。如以下常用工具：strace、ftrace、tcpdump、lsof、htop、iftop、systemTap以及其他工具。

現有Linux系統行為監控主要采用以下方法：

1.采用Linux kprobes調試技術

kprobes調試技術是內核開發者們專門為了便于跟蹤內核函數執行狀態所設計的一種輕量級內核調試技術。利用kprobes技術，內核開發人員可以在內核的絕大多數指定函數中動態地插入探測點來收集所需的調試狀態信息，這樣開發人員就知道調用了哪些系統調用、何時被調用、執行是否正確以及函數的入參和返回值是什么等，并將這些信息屏幕輸出或轉儲日志文件。

2.采用Linux內核的syscall(系統調用)的tracepoints(跟蹤點)技術

按照內核中syscall的tracepoint注冊一個鉤子來調用用戶的probe函數，在probe函數中記錄相關信息，并將這些信息屏幕輸出或轉儲日志文件，從而達到監控目的。

在中國專利申請文獻CN104008337B中，公開了采用鉤子Hook監測Linux內核的系統調用，當監測到設置了Hook的系統調用被用戶態進程調用時，判斷所述用戶態進程是否存在于白名單中；當所述用戶態進程存在于所述白名單中時，允許所述用戶態進程調用所述系統調用；當所述用戶態進程不存在于所述白名單中時，禁止所述用戶態進程調用所述系統調用；其中，所述白名單包括一個或多個允許執行系統調用的用戶態進程。

現有技術至少存在以下不足：

1.需要內核編譯時開啟相應的編譯項，如果沒有開啟，將無法正常使用，須重新編譯相應內核。

2.只適用于內核開發人員調試用或是運維人員現場開啟使用，各工具的特點不一，無法滿足系統全面監控的需求。

3.沒有提供行為數據的良好存儲能力，只提供簡單的輸出或是日志存儲。由于沒有數據緩存功能，容易造成行為數據的丟包，不能很好地支撐事后數據回放或分析。

4.不能線上實時部署，只能事后或事中開啟，無法滿足運維或安全監控的自動化要求。在高吞吐、高并發的服務器上，增加了服務器運行的負擔。

發明內容