linux黑客监控,干货 | linux系统行为新型实时监控技术

最新推荐文章于 2021-12-15 22:34:38 发布
最新推荐文章于 2021-12-15 22:34:38 发布
阅读量195 收藏
点赞数

现有系统行为监控的实现技术主要采用以下方法:

1.Linux Kprobes调试技术

Kprobes调试技术是一种专为Linux内核跟踪和调试而设计的特定API。Kprobes允许内核开发人员为任何内核指令以及函数入口和函数返回处理程序安装预处理程序和后处理程序,这些处理程序可以访问并更改寄存器。这样一来,内核开发者们就可以监控系统调用相关工作流程并簿记。利用Kprobes技术,内核开发人员可以在内核的绝大多数指定函数中动态地插入探测点来收集所需的调试状态信息;关于“调用了哪些系统”、“系统何时被调用”、“执行是否正确以及函数的入参和返回值是什么”等疑惑都可以轻松解决。此外,还能将这些信息屏幕输出或转储日志文件。

2.Linux内核的tracepoints(跟踪点)技术

内核的tracepoint是一种轻量级的hooks技术,使用高效的系统调用行为跟踪及相关性能计算,对系统本身的性能只有微小的时间损失和空间损失。通过注册syscall_enter_probe等定制的probe函数,在发生系统调用相关行为后,内核找到probe函数,并将参数等信息传递给probe函数。只要将probe函数中记录的相关行为信息输出,即可达到监控目的。

在现有的Linux系统行为监控工具中,采用Linux Kprobes调试技术、Linux内核的tracepoints(跟踪点)技术的工具有:strace、ftrace、tcpdump、lsof、htop、iftop、systemTap、perf……

以上的工具通常只能作为日常内核开发调试或日常运维分析工具来使用,主要用于开发调试或问题定位等简单的信息输出。然而,这些工具存在一些使用缺陷,可以总结为以下几点:

1、仅适用于内核开发人员调试使用或是运维人员在现场开启使用,各工具特点不一,难以满足系统全面监控的需求。

2、没有提供行为数据的良好存储能力,只提供简单的输出或是日志存储。由于没有数据缓存功能,容易造成行为数据的丢包,不能很好地支撑事后数据回放或分析。

3、不能进行线上运行的实时部署,只能在事后或事中开启,无法满足运维或安全监控的自动化要求。在高吞吐、高并发的服务器上,增加了服务器运行的负担。

蘅阳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux 基础黑客技术 攻防
03-19
网络信息安全 攻防技术指导 攻防linux 系统linux系统基础 黑客技术知识
linux应用程序行为跟踪工具,Linux性能监控工具 - ManageEngine Applications Manager
weixin_30407555的博客
05-02 624
Linux性能监控为什么Linux性能监控很重要?Linux系统为企业中的几个关键业务应用程序提供了支持,范围从web服务器到ERP系统Linux服务器中的任何减速或故障都可能直接影响组织的生产力和服务质量。Linux服务器性能监控如果能有效地完成,将极大地提高组织的生产力。但是,对系统管理员来说,监控和调试Linux性能问题是一项艰巨的工作。通过对系统中运行的所有进程提供完整的可见性,应用程序...
linux安全-用户行为监控
星空的专栏
09-24 6661
linux下面有好多shell,常见的有 /bin/bash、/bin/sh、/bin/csh、/bin/tcsh、/bin/ksh,而我们最常用bash,因为它提供了history功能,帮助我们更好的与系统交互。但本文主要讲解的是如何更加熟悉的了解别的用户包括黑客都在你的系统上做了什么操作,通常(bash)这些操作默认都会保存到~/.bash_history 文件中,但如果这些用户不想给你留下操
干货 | linux系统行为新型实时监控技术
Jeeseen123的博客
03-30 317
万物互联和大数据技术的发展,让我们的生活更加活色生香,其背后离不开安全、稳定可靠的服务器系统。 为了保障服务器系统资源能被用户正常使用,避免被恶意行为劫持,我们需要记录服务器系统资源的使用情况、系统行为事件信息和I/O流量等信息,为服务器系统的运维和安全保障工作提供可靠的数据支撑。 这里我们主要是从系统日常行为安全的角度分享一种能满足线上部署、能够将进程或文件创建、网络连接、网络I/O、文件I/O、shell操作、数据库操作、telnet操作、http访问、系统调用(syscall)和系统资源信息等系统相关
Linux下用户操作监控
翼向天开
06-02 2128
Linux下用户操作监控
基于系统调用监控Linux入侵检测模型设计.pdf
09-07
1. 系统调用监控:通过监控系统调用来检测出入侵行为。 2. 异常检测:通过检测系统调用中的异常行为来检测出入侵行为。 3. 规则库:通过规则库来存储已知的入侵行为模式。 4. 响应机制:通过响应机制来对入侵行为...
海采监控中心Linux操作系统的安全防护.pdf
09-07
【描述】:本文主要探讨了在深海采矿系统中,如何保障基于Linux操作系统监控中心的安全性,通过采用LIDS和LSM等技术来防范和增强系统的安全性。 【标签】:Linux操作系统系统开发、参考文献、专业指导 【正文...
Linux系统易受网络黑客袭击原因分析.pdf
09-06
Linux系统易受网络黑客袭击原因分析.pdf
如何防止黑客利用telnet或rlogin攻击Linux系统.pdf
09-07
如何防止黑客利用telnet或rlogin攻击Linux系统.pdf
linux环境下监控用户的行为一个小脚本
banbi520的博客
08-03 974
!/bin/bash 描述:监控某个登录用户的行为 作者:肖海涛 联系方式:1657819923@qq.com TEL:156******** 版本:V1.0 while [ 1 -lt 2 ] do read -p "输入要监控的用户名称:" name id $name 1>/dev/null 2>&1 if [ $?...
黑客——linux系统
鬼惊天
01-20 808
操作系统一般分为windows和linux Windows特点:兼容性高(能运行99%的软件和游戏) 安全性较低 Linux特点:只支持1%的游戏(可转换)。 安全性较强。 黑客所编译的程序一般攻击性较强,破坏力大,考虑到宿主本身电脑的安全,所以会采用Linux系统Linux系统满足以下几点: 1.Linux的安全性极高,一般情况下是不用安装安全软件。同时,很多高级黑客工具是...
Linux环境下黑客常用嗅探器分析
08-03 843
linsniffer是一个简单实用的嗅探器。它主要的功能特点是用来捕捉用户名和密码,它在这方面非常出色。 作者:Mike Edulla 条件: C和IP头文件 配置文件:无 位置: http://agape.trilidun.org/hack/network-sniffers/linsnifferc 安全历史: 无 注: 易于使用。但是lnsniffer需要完整的IP头文件,包括常常存储在/usr
Linux黑客基础
m0_50947684的博客
12-15 3661
Kali Linux了解及有关说明
10 大黑客专用的 Linux 操作系统
cainiao_python的博客
09-10 371
公众号关注“菜鸟学Python”设为 “星标”,带你挖掘更多开发神器!来自:民工哥技术之路今天列出一些最常用、最受欢迎的Linux发行版来学习黑客和渗透测试!Kali LinuxKal...
Linux黑客入侵检测的排查思路(全)
weixin_46622350的博客
06-25 906
前文介绍过一个文件共享协议,即Sun设计的NFS。理论上NFS可以应用在任何操作系统上,但是因为历史原因,现实中只在Linux/UNIX上流行。那Windows上一般使用什么共享协议呢?它就是微软维护的SMB协议,也叫Common Internet File System(CIFS)。CIFS协议有三个版本:SMB,SMB2和SMB3,目前SMB和SMB2比较普遍。 在Windows上创建CIFS共享非常简单,只要在一个目录上右键单击,在弹出的菜单中选择属性->共享,再配置一下权限就可以...
linux查看日志及拷贝,Linux下的系统日志管理
weixin_26854475的博客
05-05 384
##1.rsyslog 此服务是用来采集和分类系统日志的,它不产生日志,只是起到采集的作用####2.日志管理服务rsyslog####系统日志默认分类##/var/log/messages ##系统服务及日志,包括服务的信息,报错等等/var/log/secure ##系统登陆日志(系统认证信息日志)/var/log/cron ##系统定时任务...
linux进程管理与监控,详解Linux监控重要进程的实现方法
weixin_34697150的博客
04-28 333
不管后台服务程序写的多么健壮,还是可能会出现core dump等程序异常退出的情况,但是一般情况下需要在无人为干预情况下,能够自动重新启动,保证服务进程能够服务用户。这时就需要一个监控程序来实现能够让服务进程自动重新启动。查阅相关资料及尝试一些方法之后,总结linux系统监控重要进程的实现方法:脚本检测和子进程替换。1、脚本检测(1) 基本思路: 通过shell命令(ps -e | grep "$...
linux下三种网络监控工具
zjc801的专栏
01-19 895
dunp   tcpdump     iptraf
Linux操作系统C语言编程基础教程
"该资源是一本关于Linux操作系统下C语言编程的入门教程,由007xiong根据Hoyt等人的原著进行整理,旨在帮助读者掌握在Linux环境下进行C语言编程的基本技能。" 在深入Linux操作系统下C语言编程之前,首先需要了解一些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值