[发明专利]一种文件监控的方法及装置

说明书

本发明公开了一种文件监控的方法及装置，解决现有技术中的文件监控的方法存在监测遗漏，全面监控系统开销较大、严重影响系统性能的技术问题。本发明的文件监控的方法及装置，采用共享存储空间机制，利用用户空间组件、内核监测组件和内核交互组件监控文件。用户空间组件，用于将内核监测组件装载到内核。内核监测组件是字节码程序，由内核解释执行，所述字节码程序是由计算机编译得到；装载过程中会对内核监测组件进行程序安全性检查，将内核监测组件挂载到内核的跟踪点，设置事件回调函数，循环监听事件；当得到事件内容时，输出到终端、或日志文件；可应用于信息安全技术领域。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种文件监控的方法及装置。

背景技术

文件监控主要用于检测恶意软件的行为。恶意软件通过下载额外的攻击程序，或者创建驻留文件，或者修改敏感文件配置，以达到攻击者的意图。而通过文件监控，可以及时发现敏感文件的访问、恶意软件下载等危险行为。虽然操作系统中已有相关的文件监控得到应用，如inotify，但是这种文件监控方式存在着性能瓶颈。特别是当监测服务器端大量文件时，就需要有高性能的文件监控方法。

目前常用的文件监控方法主要有以下几种：一是通过文件防护策略的方式。将文件防护策略与文件列表建立对应关系。通过对列表中的文件进行扫描来判断文件是否被修改。二是通过inotify API进行监控。inotify是一个文件更改通知系统，属于内核的一个功能，它允许应用程序根据事件列表请求监视一组文件。当事件发生时，应用程序会收到通知。

以上文件监控的方法存在以下问题：第一，文件防护策略的方式，虽然减少了监测量，避免了大量的系统开销，但是存在监测遗漏的情况。如果恶意软件修改的文件不在列表中，那么就无法监测到。第二，inotify方式，是通过拦截系统调用进行监控，监控全面，但是在监控记录输出时系统开销较大。如果恶意软件进行大量文件的创建和修改，那么会严重影响系统性能。

因此，需要设计一种高效的文件监控方法及装置来跟踪软件对文件的访问。

发明内容

本发明提供一种文件监控的方法及装置，可有效记录系统中文件的访问情况，并可高效运行，降低系统性能开销。

为了实现上述目的，本发明采用的技术方案如下：

本发明提供一种文件监控的方法，采用用户空间与内核空间的共享存储空间机制，提高监测性能，涉及的组件包括用户空间组件、内核监测组件和内核交互组件。用户空间组件是用户态程序，通过内核交互组件控制内核监测组件。内核交互组件是用户态程序与内核态程序交互的接口，提供相关函数给用户空间组件调用，以控制内核监测组件。内核监测组件是内核态程序，在内核处获取文件监控的相关信息，存入共享存储空间。内核交互组件从共享存储空间取出文件监控信息传递给用户空间组件，用户空间组件处理后形成文件监控记录输出。

优选的，方法包括以下几个步骤：

在步骤S101中，用户空间组件，将内核监测组件装载到内核，内核监测组件是字节码程序，由内核解释执行，所述字节码程序是由计算机编译得到；装载字节码程序过程中会对内核监测组件进行程序安全性检查；

在步骤S102中，用户空间组件，将内核监测组件挂载到内核的跟踪点；跟踪点是内核提供的一种挂钩函数；

在步骤S103中，用户空间组件，设置事件回调函数；当共享存储空间有事件数据时，会触发用户空间程序的回调函数；

在步骤S104中，用户空间组件，循环监听事件；

在步骤S105中，内核监测组件，由用户空间组件挂载到open、openat系统调用函数的入口处；

在步骤S106中，内核监测组件，获取当前进程id号，该进程id号作为数据存储的索引值，存储到特定的共享存储空间；