[发明专利]一种非法外联的判定方法、系统及装置

权利要求书

1.一种非法外联的判定方法，其特征在于，包括：

在外部程序对服务器发起或监听网络连接请求时，获取所述网络连接请求中的程序标识特征；

判断所述程序标识特征是否存在于预设程序标识特征库；

若所述程序标识特征存在于所述预设程序标识特征库，则判定所述网络连接请求对应的网络连接为非法外联。

2.如权利要求1所述的非法外联的判定方法，其特征在于，获取所述网络连接中的程序标识特征，包括：

在所述外部程序对所述服务器发起或监听所述网络连接请求时，获取包含所述网络连接请求的日志信息；

获取所述日志信息中的所述程序标识特征。

3.如权利要求2所述的非法外联的判定方法，其特征在于，获取包含所述网络连接请求的日志信息，包括：

在所述外部程序对所述服务器发起所述网络连接请求时，调用所述服务器的系统调用表中的原生connect系统调用地址被修改后的第一系统调用地址；

在获取中断指令后基于所述第一系统调用地址获取包含所述网络连接请求的日志信息。

4.如权利要求2所述的非法外联的判定方法，其特征在于，获取包含所述网络连接请求的日志信息，包括：

在所述外部程序对所述服务器监听所述网络连接请求时，调用所述服务器的系统调用表中的原生accept系统调用地址被修改后的第二系统调用地址；

在获取中断指令后基于所述第二系统调用地址获取包含所述网络连接请求的日志信息。

5.如权利要求1所述的非法外联的判定方法，其特征在于，在获取所述网络连接请求中的程序标识特征之后，还包括：

若所述程序标识特征是所述外部程序对所述服务器发起所述网络连接请求时获取的所述程序标识特征，则调用所述服务器的系统调用表中的原生connect函数以使所述服务器与所述外部程序之间建立所述网络连接；

若所述程序标识特征是所述外部程序对所述服务器监听所述网络连接请求时获取的所述程序标识特征，则调用所述服务器的系统调用表中的原生accept函数以使所述服务器对所述外部程序发起等待连接请求。

6.如权利要求1所述的非法外联的判定方法，其特征在于，在所述外部程序对所述服务器发起所述网络连接请求时，所述程序标识特征为所述服务器的connect系统调用日志中的程序标识特征；

在所述外部程序对所述服务器监听所述网络连接请求时，所述程序标识特征为所述服务器的accept系统调用日志中的程序标识特征。

7.如权利要求1所述的非法外联的判定方法，其特征在于，判断所述程序标识特征是否存在于预设程序标识特征库，包括：

将所述程序标识特征由内核态程序通过Netlink套接字发送至用户态程序，以通过所述用户态程序判断所述程序标识特征是否存在于所述预设程序标识特征库。

8.如权利要求1至7任一项所述的非法外联的判定方法，其特征在于，所述程序标识特征为所述外部程序所在的外部终端对应的IP地址。

9.一种非法外联的判定系统，其特征在于，包括：

程序标识特征获取单元，用于在外部程序对服务器发起或监听网络连接请求时，获取所述网络连接请求中的程序标识特征；

程序标识特征判断单元，用于判断所述程序标识特征是否存在于预设程序标识特征库；若所述程序标识特征存在于所述预设程序标识特征库，则触发非法外联判定单元；

所述非法外联判定单元用于判定所述网络连接请求对应的网络连接为非法外联。

10.一种非法外联的判定装置，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至8任一项所述的非法外联的判定方法的步骤。