[发明专利]基于Linux平台的恶意样本检测收集方法及系统、存储介质、设备

说明书

本发明提供一种基于L i nux平台的恶意样本检测收集方法及系统、终端设备、存储介质，该方法包括内核层模块获取若干路径上的埋点数据；内核层模块对所述埋点数据进行数据处理并判断所述埋点数据是否存在异常情况；当判断所述埋点数据存在异常情况时，所述内核层模块收集存在异常的所述埋点数据、与异常的所述埋点数据对应的进程可执行程序及对应的路径并上报云端服务器。该方法通过在L i nux平台上的若干关键流程上埋入埋点的方式发现和定位恶意样本可执行文件，并将捕获恶意程序样本通过守护进程的方式上报给云端服务器，实现收集捕获本地提权攻击样本，降低网络攻击造成的不良影响。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种基于Linux平台的恶意样本检测收集方法。

背景技术

网络安全技术经过多年演进，无论是防御技术还是攻击技术相比于以往都有很大的发展。虽然现在网络安全防御技术已经非常先进，但事实上安全事故仍然层出不穷。所以无论安全防御技术有多先进，入侵者仍可能对网络实现进攻。网络安全具有很强的隐蔽性，当我们的设备被攻击时，如果没有监测机制，我们会对这些攻击行为和攻击细节一无所知。因此，如何捕获这些攻击行为和攻击细节是我们急需要解决的。

发明内容

有鉴于此，本申请提供一种基于Linux平台的恶意样本检测收集方法及系统，通过在Linux平台的内添加若干埋点，以发现和定位恶意样本可执行文件并进行上报，以解决上述问题。

为解决上述技术问题，本申请采用以下技术方案：

根据本发明实施例提供一种基于Linux平台的恶意样本检测收集方法，所述方法包括：

内核层模块获取若干路径上的埋点数据；

所述内核层模块对所述埋点数据进行数据处理并判断所述埋点数据是否存在异常情况；

当判断所述埋点数据存在异常情况时，所述内核层模块收集存在异常的所述埋点数据、与异常的所述埋点数据对应的进程可执行程序及对应的路径并上报云端服务器。

优选地，内核层模块获取若干路径上的埋点数据，包括：

所述内核层模块结合LSM框架，在所述路径上埋入通过自定义检查判断的埋点，以获取不同类型的所述埋点数据。

优选地，所述内核层模块对所述埋点数据进行数据处理并判断所述埋点数据是否存在异常情况，包括：

所述内核层模块对所述埋点数据中的进程进行用户凭证检查时，获取当前所述进程的权限等级，若当前所述进程权限等级为非特权进程，则将所述进程标记为非特权进程；

所述内核层模块获取所述进程进行访问操作或执行所述进程的子进程时的所述标记与当前所述进程的权限等级；若所述标记为非特权进程且所述权限等级为特权等级，则判断所述埋点数据存在异常情况。

优选地，所述内核层模块对所述埋点数据进行数据处理并判断所述埋点数据是否存在异常情况，包括：

所述内核层模块结合强制访问控制方案，当所述内核层模块获取到所述埋点数据中的进程对设备节点的非预期访问时，则判断所述埋点数据存在异常情况。

优选地，当判断所述埋点数据存在异常情况时，所述内核层模块收集存在异常的所述埋点数据、与异常的所述埋点数据对应的进程可执行程序及对应的路径并上报云端服务器，包括：

所述内核层模块将收集的存在异常的所述埋点数据、与异常的所述埋点数据对应的进程可执行程序及对应的路径输出至用户态进程，所述用户态进程通过proc文件系统监测所述内核层模块输出的数据信息并上报所述云端服务器。

本发明还提供一种基于Linux平台的恶意样本检测收集系统，包括：

获取模块，所述获取模块被配置用于内核层模块获取若干路径上的埋点数据；