一种在Linux系统下审计USB设备历史使用情况的方法技术方案

本发明专利技术涉及一种在Linux系统下审计USB设备历史使用情况的方法，包括如下步骤：S1：编写udev规则，udev通过定义udev规则产生匹配设备属性的设备文件；S2：udev加载所编写的udev规则；S3：udev收到内核事件，并匹配对应的udev规则；S4：udev执行udev规则，匹配USB事件，根据事件动作判断所述USB事件是插入事件还是拔出事件，并获取设备的相关信息；S5：根据所获取的设备信息进行字段处理；S6：将所获取的信息与USB时间的发生时间一起记录至本地日志中。本发明专利技术提供的在Linux系统下审计USB设备历史使用情况的方法，能够审计在Linux系统下所有usb设备的插入/拔出事件，包括usb存贮设备、usb打印机以及usb扫描仪等。

A method of auditing the history of USB devices under the Linux system

The present invention relates to a method in the Linux system audit USB equipment historical usage, which comprises the following steps: S1: preparation of udev rules, udev, attributes of the device the device file defined by the udev rules; loading S2:udev prepared by the udev rules; S3:udev received kernel event, and match the corresponding udev rules; S4:udev udev the rules, the USB event according to the event action whether the USB event is inserted into the event or pull out the event, the relevant information and access to the equipment; S5: according to the field processing equipment information; S6: USB time information and time will get together to log in local records. The invention provides a method for auditing the historical use of USB devices under the Linux system. It can audit all USB devices' insertion / pull events under the Linux system, including USB storage devices, USB printers and USB scanners.

【技术实现步骤摘要】
一种在Linux系统下审计USB设备历史使用情况的方法
本专利技术涉及计算机审计
，具体涉及一种在Linux系统下审计USB设备历史使用情况的方法。
技术介绍
如今，在linux系统中，对于USB设备的插入拔出事件，系统自身是不带有审计功能的，这使得普通用户无法得知当前的系统被哪些USB设备访问过，如果用户想查看USB的历史使用情况，便无从下手。
技术实现思路
为解决现有技术的不足，使Linux系统的使用者也能方便地了解USB设备的历史使用情况，本专利技术提供了一种在Linux系统下审计USB设备历史使用情况的方法，包括如下步骤：S1：编写udev规则，udev通过定义udev规则产生匹配设备属性的设备文件；S2：udev加载所编写的udev规则；S3：udev收到内核事件，并匹配对应的udev规则；S4：udev执行udev规则，匹配USB事件，根据事件动作判断所述USB事件是插入事件还是拔出事件，并获取设备的相关信息；S5：根据所获取的设备信息进行字段处理；S6：将所获取的信息与USB时间的发生时间一起记录至本地日志中。其中，所述步骤S1中，所述设备属性包括内核设备名称、总线路径、厂商名称、型号、序列号及磁盘大小。其中，所述步骤S1中，所产生的设备文件放入/etc/udev/rules.d/目录下。其中，所述步骤S2中，可通过如下命令加载udev规则：udevadmcontrol--reload或者重启udev服务。其中，所述步骤S4中，所获取的设备的相关信息包括设备productID、VendorID、设备序列号、设备厂商及设备Interface。其中，所述步骤S5还包括：根据Interface来判定USB设备类型。其中，在判断USB设备类型时，存贮类设备对应0x08，而hub对应0x09。本专利技术提供的在Linux系统下审计USB设备历史使用情况的方法，能够审计在Linux系统下所有usb设备的插入/拔出事件，包括usb存贮设备、usb打印机以及usb扫描仪等。附图说明图1为本专利技术的在Linux系统下审计USB设备历史使用情况的方法的操作流程图。具体实施方式为了对本专利技术的技术方案及有益效果有更进一步的了解，下面配合附图详细说明本专利技术的技术方案及其产生的有益效果。图1为本专利技术的在Linux系统下审计USB设备历史使用情况的方法的操作流程图，如图所示，本专利技术提供的在Linux系统下审计USB设备历史使用情况的方法，包括如下步骤：S1：编写udev规则，udev通过定义udev规则产生匹配设备属性的设备文件；S2：udev加载所编写的udev规则；S3：udev收到内核事件，并匹配对应的udev规则；S4：udev执行udev规则，匹配USB事件，根据事件动作判断所述USB事件是插入事件还是拔出事件，并获取设备的相关信息；S5：根据所获取的设备信息进行字段处理；S6：将所获取的信息与USB时间的发生时间一起记录至本地日志中。较优的，所述步骤S1中，所述设备属性包括内核设备名称、总线路径、厂商名称、型号、序列号及磁盘大小。较优的，所述步骤S1中，所产生的设备文件放入/etc/udev/rules.d/目录下。较优的，所述步骤S2中，可通过如下命令加载udev规则：udevadmcontrol--reload或者重启udev服务。较优的，所述步骤S4中，所获取的设备的相关信息包括设备productID、VendorID、设备序列号、设备厂商及设备Interface。较优的，所述步骤S5还包括：根据Interface来判定USB设备类型。较优的，在判断USB设备类型时，存贮类设备对应0x08，而hub对应0x09。本专利技术中，所谓的Udev，指的是一种Linux系统2.6内核以上的设备管理器。本专利技术中，所谓的“udevadm”，是指udev提供的自带工具；所谓的“Interface”，是指USB接口描述符。本专利技术提供的在Linux系统下审计USB设备历史使用情况的方法，在具体实施时，专利技术人提供了以下两个具体的实施例：实施例1在linux桌面操作系统中，插入一个u盘，并拔出，系统中并无详细的信息记录，本实施例对于审计该usb设备的具体步骤为：(1)编写udev规则，对其规则匹配键使用操作符进行判断，当事件的总线为usb，并且环境变量DEVTYPE为usb_device时，则在RUN+＝中指定处理usb设备信息的脚本程序。将udev信息中的环境变量{ID_VENDOR_ID}，{ID_MODEL_ID}，{ID_VENDOR}，{ID_SERIAL_SHORT}，{ID_MODEL}，{ID_USB_INTERFACES}，{ID_VENDOR_FROM_DATABASE}，{ID_MODEL_FROM_DATABASE}作为参数传入。具体内容如下：ACTION＝＝"add",SUBSYSTEM＝＝"usb",ENV{DEVTYPE}＝＝"usb_device",RUN+＝"/usr/bin/usb_logaddVID＝％E{ID_VENDOR_ID}PID＝％E{ID_MODEL_ID}'％E{ID_VENDOR}''％E{ID_SERIAL_SHORT}''％E{ID_MODEL}'interface＝％E{ID_USB_INTERFACES}'％E{ID_VENDOR_FROM_DATABASE}''％E{ID_MODEL_FROM_DATABASE}'"ACTION＝＝"remove",SUBSYSTEM＝＝"usb",ENV{DEVTYPE}＝＝"usb_device",RUN+＝"/usr/bin/usb_logremoveVID＝％E{ID_VENDOR_ID}PID＝％E{ID_MODEL_ID}'％E{ID_VENDOR}''％E{ID_SERIAL_SHORT}''％E{ID_MODEL}'interface＝％E{ID_USB_INTERFACES}'％E{ID_VENDOR_FROM_DATABASE}''％E{ID_MODEL_FROM_DATABASE}'"(2)编写脚本/usr/bin/usb_log,脚本内容为处理传入的参数，判断设备类型，并记录信息到本地。(3)重启系统或在终端下运行udevadmcontrol--reload命令加载该条规则。(4)插入一个U盘，查看本地日志中关于插入该U盘信息的日志，内容包含时间、事件类型、VID、PID、设备厂商、设备序列号、设备名称、设备类型。(5)拔出U盘，查看本地日志中关于该U盘拔出信息的日志，内容包含同步骤(4)。实施例2在linux桌面操作系统中，插入一个usb打印机，并拔出，系统中并无详细的信息记录，本实施例对于审计该usb设备的具体步骤为：(1)编写udev规则，对其规则匹配键使用操作符进行判断，当事件的总线为usb，并且环境变量DEVTYPE为usb_device时，则在RUN+＝中指定处理usb设备信息的脚本程序。将udev信息中的环境变量{ID_VENDOR_ID}，{ID_MODEL_ID}，{ID_VENDOR}，{ID_SERIAL_SHORT}，{ID_MODEL}，{ID_USB_INTERFACES}，本文档来自技高网...

【技术保护点】
一种在Linux系统下审计USB设备历史使用情况的方法，其特征在于，包括如下步骤：S1：编写udev规则，udev通过定义udev规则产生匹配设备属性的设备文件；S2：udev加载所编写的udev规则；S3：udev收到内核事件，并匹配对应的udev规则；S4：udev执行udev规则，匹配USB事件，根据事件动作判断所述USB事件是插入事件还是拔出事件，并获取设备的相关信息；S5：根据所获取的设备信息进行字段处理；S6：将所获取的信息与USB事件的发生时间一起记录至本地日志中。

【技术特征摘要】
1.一种在Linux系统下审计USB设备历史使用情况的方法，其特征在于，包括如下步骤：S1：编写udev规则，udev通过定义udev规则产生匹配设备属性的设备文件；S2：udev加载所编写的udev规则；S3：udev收到内核事件，并匹配对应的udev规则；S4：udev执行udev规则，匹配USB事件，根据事件动作判断所述USB事件是插入事件还是拔出事件，并获取设备的相关信息；S5：根据所获取的设备信息进行字段处理；S6：将所获取的信息与USB事件的发生时间一起记录至本地日志中。2.如权利要求1所述的在Linux系统下审计USB设备历史使用情况的方法，其特征在于：所述步骤S1中，所述设备属性包括内核设备名称、总线路径、厂商名称、型号、序列号及磁盘大小。3.如权利要求2所述的在Linux系统下审计USB设备历史使用情况的方法，其特征在于：所述步骤S1中，所产生的设...

【专利技术属性】
技术研发人员：曹健，何曌君，李文辉，申利飞，万淑珍，
申请(专利权)人：中标软件有限公司，
类型：发明
国别省市：上海,31