[发明专利]基于黑客行为的Linux系统入侵排查方法

权利要求书

1.一种基于黑客行为的Linux系统入侵排查方法，其特征在于，包括以下步骤：

步骤S1，对服务器自身进行安全性检查，确定是否存在自身安全隐患；

步骤S2，通过脚本执行命令分析、文件分析和日志分析从而确定是否存在黑客定点打击行为；

步骤S3，通过脚本执行进程分析、工具分析和网络地址分析从而确定是否存在黑客横向打击行为；

步骤S4，根据步骤S1至步骤S3中获取的自身安全隐患信息、黑客定点打击行为信息和黑客横向打击行为信息生成黑客行为排查报告。

2.如权利要求1所述基于黑客行为的Linux系统入侵排查方法，其特征在于，

所述步骤S1中对服务器自身进行安全性检查，包括但不限于以下任一项或它们的组合：端口排查、root权限账户排查、空口令账户排查、sudoers文件用户权限排查、各账户下登录公钥排查、账户密码文件权限排查、DNS配置排查、Iptables防火墙配置排查、hosts配置排查、Web系统漏洞检测。

3.如权利要求1所述基于黑客行为的Linux系统入侵排查方法，其特征在于，

所述步骤S2中所述执行命令分析、文件分析和日志分析的步骤，采用串行方式依次执行命令分析、文件分析和日志分析，或者采用并行方式同步执行命令分析、文件分析和日志分析。

4.如权利要求1或3所述基于黑客行为的Linux系统入侵排查方法，其特征在于，

所述命令分析具体是通过对涉及文件相关操作命令的历史记录进行时间区间或命令条数区间内的频次分析，若频次超过告警阈值且涉及敏感文件或文件路径则确定存在黑客定点打击行为。

5.如权利要求1或3所述基于黑客行为的Linux系统入侵排查方法，其特征在于，

所述文件分析具体包括：通过对存在网页后门的网页文件、重要文件完成性、启动项和SSH后门进行检测，确定是否存在黑客长期控制服务器的后门脚本或攻击程序。

6.如权利要求1或3所述基于黑客行为的Linux系统入侵排查方法，其特征在于，

所述日志分析的步骤具体包括：通过对 secure登录日志、计划任务、web日志、wtmp登录日志、utmp登录日志和lastlog登录日志进行分析，确定是否存在黑客执行的转发登录或攻击扫描操作。

7.如权利要求1所述基于黑客行为的Linux系统入侵排查方法，其特征在于，

所述步骤S3中所述执行进程分析、工具分析和网络地址分析的步骤，采用串行方式依次执行进程分析、工具分析和网络地址分析，或者采用并行方式同步执行进程分析、工具分析和网络地址分析。

8.如权利要求1或7所述基于黑客行为的Linux系统入侵排查方法，其特征在于，

所述进程分析的步骤具体包括：通过对CPU和内存使用异常进程排查、隐藏进程排查、反弹shell类排查、NPS/FRP代理转发类排查、恶意进程信息排查、进程对应脚本或可执行文件进行检查，确定是否存在涉及内存进程的横向入侵行为。

9.如权利要求1或7所述基于黑客行为的Linux系统入侵排查方法，其特征在于，

所述工具分析具体包括：通过对涉及后门类、转发类、端口探测类、rootkit、漏洞扫描类和/或挖矿勒索病毒类的渗透工具进行分析，确定是否存在黑客横向入侵行为，若存在则确定入侵目的。

10.如权利要求1或7所述基于黑客行为的Linux系统入侵排查方法，其特征在于，

所述网络地址分析具体包括：通过对服务器中出现的境外IP、反弹shell和建立通讯中出现的境外IP进行有效分析，从而确定是否存在黑客横向入侵行为。