[发明专利]基于黑客行为的Linux系统入侵排查方法

说明书

本发明涉及信息安全技术领域，公开了一种基于黑客行为的Linux系统入侵排查方法，包括步骤S1，对服务器自身进行安全性检查，确定是否存在自身安全隐患；步骤S2，通过脚本执行命令分析、文件分析和日志分析从而确定是否存在黑客定点打击行为；步骤S3，通过脚本执行进程分析、工具分析和网络地址分析从而确定是否存在黑客横向打击行为；根据步骤S1至步骤S3中获取的自身安全隐患信息、黑客定点打击行为信息和黑客横向打击行为信息生成黑客行为排查报告。应用本发明，可以高效、准确、深入、全面排查出可能的黑客入侵行为。

技术领域

本发明涉及信息安全测试技术领域，尤其涉及一种基于黑客行为的Linux系统入侵排查方法。

背景技术

在互联网蓬勃发展的同时，非法黑客组织也试图通过攻击业务系统服务器，控制业务系统服务器达到不可告人的目的。黑客攻击行为会在不知不觉的情况下窃取私密信息或者造成服务器宕机、网络瘫痪、信息丢失等损失。

现有技术中，业务系统服务器针对黑客入侵痕迹的发现分为主动方式和被动方式两种。被动的黑客入侵行为发现方式，主要包括：网页页面被篡改或者被挂暗链；监管机构监测该服务器与境外恶意主机进行通讯；因挖矿等导致服务器运行不畅；数据泄露，导致数据在境外或暗网传播；对内网其他机器攻击，被安全设备发现告警。主动的黑客入侵行为发现方式，主要包括：通过安全运维发现存在以asp、php、jsp等网页文件形式存在的网页后门(webshell)；通过安全运维发现内网出现内网穿透代理服务器（NPS）或反向代理应用（FRP）的转发；通过安全运维发现蜜罐、APT等内网设备出现攻击痕迹。

目前针对黑客行为的检测方法缺乏系统性及有效性，无法有效发现隐藏较深的黑客入侵，导致服务器长期被控。

发明内容

本发明的一个目的是解决至少上述问题，并提供至少后面将说明的优点。

本发明还有一个目的是提供一种基于黑客行为的Linux系统入侵排查方法，从而达到及时、有效、全面、完备发现黑客入侵行为的目的。

为实现上述目的和一些其他的目的，本发明采用如下技术方案：

本发明提供的一种基于黑客行为的Linux系统入侵排查方法，包括以下步骤：

步骤S1，对服务器自身进行安全性检查，确定是否存在自身安全隐患；

步骤S2，通过脚本执行命令分析、文件分析和日志分析从而确定是否存在黑客定点打击行为；

步骤S3，通过脚本执行进程分析、工具分析和网络地址分析从而确定是否存在黑客横向打击行为；

步骤S4，根据步骤S1至步骤S3中获取的自身安全隐患信息、黑客定点打击行为信息和黑客横向打击行为信息生成黑客行为排查报告。

进一步地，所述步骤S1中对服务器自身进行安全性检查，包括但不限于以下任一项或它们的组合：端口排查、root权限账户排查、空口令账户排查、sudoers文件用户权限排查、各账户下登录公钥排查、账户密码文件权限排查、DNS配置排查、Iptables防火墙配置排查、hosts配置排查、Web系统漏洞检测。

进一步地，所述步骤S2中所述执行命令分析、文件分析和日志分析的步骤，采用串行方式依次执行命令分析、文件分析和日志分析，或者采用并行方式同步执行命令分析、文件分析和日志分析。

优选地，所述命令分析具体是通过对涉及文件相关操作命令的历史记录进行时间区间或命令条数区间内的频次分析，若频次超过告警阈值且涉及敏感文件或文件路径则确定存在黑客定点打击行为。

优选地，所述文件分析具体包括：通过对存在网页后门的网页文件、重要文件完成性、启动项和SSH后门进行检测，确定是否存在黑客长期控制服务器的后门脚本或攻击程序。