本发明专利技术公开了一种操作系统的监测单元,其加载于操作系统的内核空间中,包括截获模块,适于在与系统调用相对应的核心操作被执行之前截获所述系统调用;判断模块,适于判断所述系统调用是否合法;告警模块,其在所述判断模块判断该系统调用非法时,拒绝该系统调用并生成告警信息;恢复模块,其在所述判断模块判断该系统调用合法时,允许该系统调用,恢复该系统调用的执行。其中,所述核心操作为各种与文件相关的操作,以及所述系统调用为各种与文件操作相关的系统调用。另外,本发明专利技术还公开了一种操作系统的监测方法。利用本发明专利技术,即使在黑客获取了最高权限的情况下,也能防止其对文件和目录进行篡改。
【技术实现步骤摘要】
本专利技术涉及信息安全
,具体涉及一种监测操作系统的监测单元及方法、以及防止文件被篡改的系统及方法。
技术介绍
随着计算机和网络技术的不断发展,越来越多的应用基于网络来提供,网络应用的安全性日益重要。越来越多的黑客看中了网络应用的市场价值而力图侵入网络应用服务器来获取各种信息,从而从中获利。网络应用服务器中的文件安全性也日益重要,很多黑客会篡改服务器中的文件,在文件中写入非法信息、植入木马等等,从而使得利用服务器应用的用户受到损失。如何保护网络应用服务器中的文件安全是信息安全领域重要的挑战。现有的对网络应用服务器中的文件系统的访问控制主要是通过设置文件权限来实现,例如仅仅具有某个权限的用户才可以修改文件。但是,如果黑客获取了最高(root)权限,则通过该方法限制文件访问就会失效。另外,还有一种防止文件被篡改的方式,其通过定期来监控目标文件或者目录,如果发现目标文件或者目录被黑客修改或者删除,就利用事前备份好的文件和目录来恢复所修改的内容,这样即使文件和目录被修改了,也可以及时恢复。但是这种方式存在如下缺点总是需要为要保护的内容做备份,在发生篡改行为时总是需要做以恢复为目的的内容同步,并且如果监控不及时,会存在被篡改内容暂时未被恢复的情况。这时,如果用户访问了被篡改内容的文件或目录,就会得到一些恶意的内容,从而导致用户受到损失。另外,如果采用不间断地轮询服务器上的文件,如果被保护的文件数量巨大,势必会影响硬件设备的性能,造成网络应用服务器的访问速度降低。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的监测操作系统的监测单元及方法、以及防止文件被篡改的系统及方法。依据本专利技术的一个方面,提供了一种监测单元,其加载于操作系统的内核空间中,包括截获模块,适于在与系统调用相对应的核心操作被执行之前截获所述系统调用;判断模块,适于判断所述系统调用是否合法;告警模块,其在所述判断模块判断该系统调用非法时,拒绝该系统调用并生成告警信息;恢复模块,其在所述判断模块判断该系统调用合法时,允许该系统调用,恢复该系统调用的执行。其中,所述核心操作为各种与文件相关的操作,以及所述系统调用为各种与文件操作相关的系统调用。可选地,所述判断模块包括配置信息,所述配置信息包括一个或者多个配置项,每个配置项包括所述系统调用涉及的文件的文件信息和/或发起该系统调用的应用的应用信息。其中所述判断模块根据所述配置信息来判断该系统调用是否合法。可选地,所述文件信息包括文件的路径信息和/或名称,所述应用信息包括所述应用在操作系统中的唯一标识号。根据本专利技术的另一方面,提供了一种防止文件被篡改的系统,其安置在计算设备中,该计算设备具有操作系统,该操作系统包括提供核心操作的内核空间和提供各种应用的用户空间,该防止文件被篡改的系统包括位于内核空间中的如前所述的监测单元;位于用户空间中的监测客户端和多个应用,其中所述监测客户端适于与所述监测单元进行通信;以及位于用户空间和内核空间之间的系统调用接口,位于用户空间中的所述多个应用分别通过该系统调用接口与所述监测单元连接。其中,位于用户空间中的多个应用分别通过系统调用接口向内核空间的核操作发起系统调用请求,所述监测单元监测所述系统调用请求。可选地,本专利技术的防止文件被篡改的系统还包括虚拟模块,其设置于内核空间中,加载于监测单元之后,在表示模块加载的单向链表中其指针指向监测单元的下一个模块,而不指向所述监测单元,从而使监测单元在单向链表中不可见。根据本专利技术的又一方面,提供了监测操作系统的监测方法,其中所述操作系统包括提供核心操作的内核空间和提供各种应用的用户空间,所述用户空间中的应用通过发起系统调用来调用内核空间中提供的相应核心操作,所述核心操作为各种与文件相关的操作,以及所述系统调用为各种与文件操作相关的系统调用。所述监测方法包括在与系统调用相对应的核心操作被执行之前截获所述系统调用;判断所述系统调用是否合法,当其合法时允许该系统调用,否则拒绝该系统调用。根据本专利技术的再一方面,提供一种防止文件被篡改的方法,其在计算设备中执行,该计算设备具有操作系统,该操作系统包括提供核心操作的内核空间和提供各种应用的用户空间,该方法包括接收用户空间中的应用通过系统调用而对内核空间中提供的相应核心操作的调用;以及前面所述的监测方法中的步骤。可选地,在本专利技术的防止文件被篡改的方法中,在前面所述的监测方法中的步骤之后还包括步骤执行一虚拟操作,以使得在表示各操作加载的单向链表中该虚拟操作的指针指向前面所述监测方法执行的监测操作的下一个操作,而不指向所述监测操作,从而使所述监测操作在单向链表中不可见。根据本专利技术的监测单元、防止文件被篡改的系统和相应的方法可以即使在黑客获取了最高权限的情况下,也能防止其对文件和目录进行篡改,由此无需实时地轮询服务器上的文件,从而能够保证系统的性能不受影响。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中图I示出了包含根据本专利技术一个实施例的监测单元的防止文件被篡改的系统的示意框图;图2示出了根据本专利技术一个实施例的监测单元、监测客户端以及内核之间的交互关系;图3示出了根据本专利技术一个实施例的监测单元加载过程的示意图;图4示出根据本专利技术一个实施例的防止文件被篡改的系统的一个例子的示意图;以及图5示出了根据本专利技术一个实施例的监测方法的流程图。图6示出了根据本专利技术一个实施例的防止文件被篡改的方法的流程图。具体实施例方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。现代的计算机都通过配置操作系统来管理计算机系统的硬件、软件及数据资源、控制程序运行、改善人机界面、为其它应用提供支持等,使计算机系统所有资源最大限度地发挥作用,为用户提供方便、有效、友善的服务界面。操作系统位于计算机系统的底层硬件与用户之间,是两者沟通的桥梁。用户可以通过操作系统的用户界面输入命令。操作系统则对命令进行解释,驱动硬件设备,实现用户要求。操作系统的最内核最基础的构件是内核。内核提供一系列具备预定功能的多内核函数,通过一组称为系统调用的(system call)的接口呈现给用户。采用系统调用的根本原因是为了对计算机系统赖以运行的资料进行保护。操作系统运行的内存空间划分为操作系统内核运行的空间即内核空间,以及各种应用运行的空间即用户空间,它们分别运行在内核态和用户态两种运行级别中,逻辑上相互隔离。操作系统为了保护自己不被普通程序破坏,对内核空间进行了一些定义,比如访问权限、换入换出、优先级等等。也就是说,内核空间只允许内核访问,本文档来自技高网...
【技术保护点】
一种操作系统的监测单元,所述操作系统包括提供核心操作的内核空间和提供各种应用的用户空间,所述用户空间中的应用通过发起系统调用来调用内核空间中提供的相应核心操作,其中,该监测单元加载于操作系统的内核空间中,其包括:截获模块,适于在与系统调用相对应的核心操作被执行之前截获所述系统调用;判断模块,适于判断所述系统调用是否合法;告警模块,在所述判断模块判断该系统调用非法时,拒绝该系统调用并生成告警信息;以及恢复模块,在所述判断模块判断该系统调用合法时,允许该系统调用,恢复该系统调用的执行,其中,所述核心操作为各种与文件相关的操作,以及所述系统调用为各种与文件操作相关的系统调用。
【技术特征摘要】
1.一种操作系统的监测单元,所述操作系统包括提供核心操作的内核空间和提供各种应用的用户空间,所述用户空间中的应用通过发起系统调用来调用内核空间中提供的相应核心操作,其中,该监测单元加载于操作系统的内核空间中,其包括截获模块,适于在与系统调用相对应的核心操作被执行之前截获所述系统调用;判断模块,适于判断所述系统调用是否合法;告警模块,在所述判断模块判断该系统调用非法时,拒绝该系统调用并生成告警信息;以及恢复模块,在所述判断模块判断该系统调用合法时,允许该系统调用,恢复该系统调用的执行,其中,所述核心操作为各种与文件相关的操作,以及所述系统调用为各种与文件操作相关的系统调用。2.根据权利要求I所述的监测单元,其中,所述判断模块包括配置信息,所述配置信息包括一个或者多个配置项,每个配置项包括所述系统调用涉及的文件的文件信息和/或发起该系统调用的应用的应用信息,其中所述判断模块根据所述配置信息来判断该系统调用是否合法。3.根据权利要求2所述的监测单元,其中所述文件信息包括文件的路径信息和/或名称,所述应用信息包括所述应用在操作系统中的唯一标识号。4.根据权利要求2或3所述的监测单元,其中在所述配置信息中的每个配置项包括文件的文件信息和应用的唯一标识号的情形下,当所述系统调用涉及的文件的文件信息以及发起该系统调用的应用的唯一标识号不存在于所述配置信息的任一个配置项中时,所述判断模块判断该系统调用为非法。5.根据权利要求4所述的监测单元,其中每个配置项还包括操作权限;当所述系统调用涉及的文件的文件信息以及发起该系统调用的应用的唯一标识号存在于所述配置信息的配置项中,但是该系统调用所需要的文件操作权限和所述配置项中的操作权限不匹配时,所述判断模块判断该系统调用为非法。6.根据权利要求4或5所述的监测单元,还包括通信模块,其与所述用户空间的监测客户端进行通信,读取所述监测客户端中的配置信息并将其传送给判断...
【专利技术属性】
技术研发人员:冯顾,李涵,刘浩,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。