[发明专利]一种发现Linux隐藏端口的方法

说明书

本发明公开了一种发现Linux隐藏端口的方法，属于操作系统安全检测技术领域，在内核层面发现隐藏的木马，通过内核插入模块发现系统隐藏进程，进而找到每个进程开放的所有端口。本发明通过在内核插入模块的方式，查找系统隐藏进程、端口等系统主要信息，可以从根本上找到隐藏在系统中的木马，使木马无处藏身，提高Linux操作系统的安全性。

技术领域

本发明涉及操作系统安全检测技术领域，具体涉及一种发现Linux隐藏端口的方法。

背景技术

随着科技的发展，网络安全成为人们日益关注的问题。Linux系统一直以高稳定性，高可用性著称，服务器部署有大量的Linux系统，但是没有完美的没有漏洞的系统，只要系统有一个漏洞，就有可能被入侵，进而植入后门。查找隐藏在系统的中的病毒是个重要的工作。

一般在Linux中使用netstat命令查看系统开发的所有端口，Netstat命令是主要是解析内核/proc系统中 /proc/net/tcp 文件内容，所以黑客一般会从内核层面隐藏 /proc/net/tcp 相应行，来达到隐藏端口的目的，黑客入侵后一般会通过各种手段隐藏hack 这一行，逃过管理员的审查，于是管理员再通过同样的命令查看系统开放端口时，已经找不到病毒程序了。

发明内容

本发明的技术任务是提供一种发现Linux隐藏端口的方法，在内核层面发现系统隐藏的进程、端口等系统主要信息，使木马无处藏身。

本发明解决其技术问题所采用的技术方案是：

一种发现Linux隐藏端口的方法，在内核层面发现隐藏的木马，通过内核插入模块发现系统隐藏进程，进而找到每个进程开放的所有端口。

进一步的，Linux内核提供一个全局变量current,current永远指向当前运行的进程的task_struct机构体，而进程的主要信息都包含在这个名为task_struct的机构体中，遍历系统中所有的task_struct就可找到系统中真实运行的所有进程号（pid）。

进一步的，找到网络socket，每个socket在内核都有一个对应的inet_sock结构体，来记录每一个IP连接的四元组信息，把找到的所有端口与netstat -ntap 命令结果做比对，即可知道隐藏的端口信息。

进一步的，所述IP连接的四元组信息为：源IP：源端口->目的IP：目的端口。

本发明的一种发现Linux隐藏端口的方法与现有技术相比，具有以下有益效果：

通过在内核插入模块的方式，查找系统隐藏进程、端口 等系统主要信息，可以从根本上找到隐藏在系统中的木马，使木马无处藏身，提高Linux操作系统的安全性。

附图说明

图1是实施例一中的进程-文件-网络三者的关系示意图。

具体实施方式

下面结合具体实施例对本发明作进一步说明。

一种发现Linux隐藏端口的方法，在内核层面发现隐藏的木马，通过内核插入模块发现系统隐藏进程，进而找到每个进程开放的所有端口。

Linux内核提供一个全局变量current,current永远指向当前运行的进程的task_struct机构体，而进程的主要信息都包含在这个名为task_struct的机构体中，遍历系统中所有的task_struct就可找到系统中真实运行的所有进程号（pid）。