发明名称 | 一种分析入侵行为的溯源系统及方法 | ||
摘要 | 本发明公开了一种分析入侵行为的溯源系统,包括前端目标系统和后端存储系统,二者通过私有网络互联,前端目标系统包括溯源信息收集模块和数据发送模块,后端存储系统包括数据接收模块、溯源信息存储模块、查询模块和过滤模块,溯源信息收集模块用于拦截操作系统调用,并根据操作系统调用产生对应的溯源信息,溯源信息包括文件对象、进程对象和网络连接对象,以及三种对象之间的依赖关系,数据发送模块用于将溯源信息进行数字签名并发送到后端存储系统的数据接收模块,数据接收模块用于对前端目标系统进行验证,并在验证通过后将溯源信息转发给溯源信息存储模块,否则丢弃该溯源信息。本发明的系统能使用户发现入侵的来源,以及入侵的具体行为。 | ||
申请公布号 | CN103226675B | 申请公布日期 | 2015.07.29 |
申请号 | CN201310090041.X | 申请日期 | 2013.03.20 |
申请人 | 华中科技大学 | 发明人 | 谭支鹏;周俊哲;冯丹;谢雨来;周炜;施展 |
分类号 | G06F21/55(2013.01)I | 主分类号 | G06F21/55(2013.01)I |
代理机构 | 华中科技大学专利中心 42201 | 代理人 | 朱仁玲 |
主权项 | 一种分析入侵行为的溯源系统,其特征在于,包括前端目标系统和后端存储系统,二者通过私有网络互联;前端目标系统包括溯源信息收集模块和数据发送模块;后端存储系统包括数据接收模块、溯源信息存储模块、查询模块和过滤模块;溯源信息收集模块用于拦截操作系统调用,并根据操作系统调用产生对应的溯源信息,其中溯源信息包括文件对象、进程对象和网络连接对象,以及三种对象之间的依赖关系;数据发送模块用于将溯源信息进行数字签名并发送到后端存储系统的数据接收模块;数据接收模块用于对前端目标系统进行验证,并在验证通过后将溯源信息转发给溯源信息存储模块,否则丢弃该溯源信息;溯源信息存储模块用于将溯源信息以文件的形式存放在文件系统上,同时存放到多个数据库中;查询模块用于接收用户提供的入侵对象,在数据库的溯源信息中查询该入侵对象,并将查询结果发送给过滤模块;过滤模块用于根据默认规则对查询结果进行过滤,并以溯源图的形式将过滤后的查询结果提交给用户,默认规则包括删除溯源图中的临时对象、系统库文件对象、配置文件对象。 | ||
地址 | 430074 湖北省武汉市洪山区珞喻路1037号 |