[发明专利]一种系统关键文件完整性的监控保护方法及装置

说明书

本发明公开了一种系统关键文件完整性的监控保护方法，包括以下步骤：应用层启动时更新监控规则；内核层根据监控规则实时监控系统关键文件的完整性变化；应用层收集内核层监控保护输出；应用层更新关键文件的完整性基线。本发明还公开了一种系统关键文件完整性的监控保护装置。本方法是在操作系统上增加内核驱动模块和扫描脚本，扫描脚本生成内核规则文件、安装内核驱动、监控与保护结果呈现、更新关键文件基线，内核驱动模块实时拦截关键文件的破坏性动作、根据规则判断动作是否允许、记录监控和保护结果，二者结合既发挥了脚本的轻便和灵活，又发挥了内核驱动的实时、隐蔽和不可绕过，有效的保证了关键系统文件的完整性。

技术领域

本发明涉及计算机操作系统安全领域，尤其是一种系统关键文件完整性的监控保护方法及装置。

背景技术

随着云计算、大数据等新型技术的发展，对云主机、服务器和终端的安全性要求越来越高。完整性是安全三要素之一，是安全性的重要组成部分。各类系统中的关键文件经常遭到病毒和其它恶意程序的破坏，造成系统功能障碍和稳定性无法保证，所以如何及时有效地发现系统中关键文件的完整性变化，并在关键文件被篡改及非故意损坏的情况下进行保护，就显得非常重要了。

对于系统关键文件的完整性，目前流行的做法是编写完整性检测应用程序，例如：Unix系统著名的Tripwire完整性软件。完整性检测应用程序在启动时收集系统关键文件的基线，基线中包含每个关键文件的哈希值，利用定时器定时扫描或人工手动扫描每个关键文件的哈希值是否变化，如有变化记录日志并通知系统管理员，同时用新的哈希值更新对应关键文件的基线数据。完整性检测应用程序能够起到一定的监控系统关键文件完整性的作用，但它也有以下缺点。一、完整性检测应用程序无法在关键文件遭到破坏时进行保护；二、完整性检测应用程序的实时性低，只有定时周期到了或人工手动执行时，才能发现关键文件有了变化；三、完整性检测应用程序占用系统资源较大，影响系统上其它程序的运行；四、完整性检测应用程序造成了系统管理员的维护负担，如果因一些原因，完整性检测应用程序没有被启动，则关键文件的完整性便无从谈起；五、完整性检测应用程序的修改、升级较慢，采用编译型语言(例如：C++)编写的完整性检测应用程序修改、升级往往需要修改代码、编译通过、重新发布，才能在系统上生效。

发明内容

本发明的目的是提供一种系统关键文件完整性的监控保护方法及装置，解决目前完整性检测应用程序无法提供保护、实时性低、占用资源大、增加维护负担、升级慢的缺点，同时提供监控和保护两种机制，从根本上保障了系统关键文件的完整性和足够安全。

为实现上述目的，本发明采用下述技术方案：

本发明第一方面提供了一种系统关键文件完整性的监控保护方法，包括以下步骤：

应用层启动时更新监控规则；

内核层根据监控规则实时监控系统关键文件的完整性变化；

应用层收集内核层监控保护输出；

应用层更新关键文件的完整性基线。

结合第一方面，在第一方面第一种可能的实现方式中，所述应用层启动时更新监控规则，具体包括：

应用层启动时，根据当前预设配置文件，形成内核层需要的规则文件。

结合第一方面，在第一方面第二种可能的实现方式中，所述内核层根据监控规则实时监控系统关键文件的完整性变化，具体包括：

内核层判断被访问文件是否属于监控规则列表，如果否，执行文件操作；如果是，判断被访问文件是否允许破坏性动作，如果否，拒绝执行文件操作；如果是，执行文件操作。

结合第一方面，在第一方面第三种可能的实现方式中，所述内核层根据监控规则实时监控系统关键文件的完整性变化，还包括：

生成保护日志和监控日志，抛给日志队列；