【技术实现步骤摘要】
一种基于Linux安全模块的文件审计、防护方法
本专利技术涉及Linux下的文件审计及防护
,具体涉及一种基于Linux安全模块的文件审计、防护方法。
技术介绍
Linux下的文件审计和防护功能,目前实现的方法主要有iNotify和InlineHook等,但这些方法都存在一些问题:iNotify是一个检测文件系统变化的工具,用这个工具可以实现文件审计的功能,但文件防护(如文件防删、防修改、文件隐藏等)功能无法做到,而且它能监控的文件个数有个上限,超出这个阈值的文件不会被监控。InlineHook是一种钩取(hook)系统函数的技术,通过替换目标函数头部指令实现在函数执行之前跳转到其他的指令区域,执行完毕跳转回到原来的函数,跳转到的指令区域通常是我们自己编写的函数,来完成根据安全策略实现文件审计和防护的功能,由于这种技术需要做指令修改和跳转等操作,所以在稳定性和系统版本兼容等方面存在不足。
技术实现思路
为了克服上述现有技术中的不足,本专利技术提供一种基于Linux安全模块的文件审计、防护方法,以解决上述技术问题。本专利技术的技术方案是:一种基于Linux安全模块...
【技术保护点】
1.一种基于Linux安全模块的文件审计、防护方法,其特征在于,包括如下步骤:安全模块定义文件操作相关的钩子函数;将钩子函数注册到LSM框架中;编译成内核ko模块,以Linux内核ko模块的形式来实现安全访问控制。
【技术特征摘要】
1.一种基于Linux安全模块的文件审计、防护方法,其特征在于,包括如下步骤:安全模块定义文件操作相关的钩子函数;将钩子函数注册到LSM框架中;编译成内核ko模块,以Linux内核ko模块的形式来实现安全访问控制。2.根据权利要求1所述的一种基于Linux安全模块的文件审计、防护方法,其特征在于,步骤安全模块定义文件操作相关的钩子函数,包括:定义全局表并在其中指定要实现的钩子函数列表;在指定的钩子函数中,进行文件操作审计;设置钩子函数的返回值来实现文件防护。3.根据权利要求2所述的一种基于Linux安全模块的文件审计、防护方法,其特征在于,步骤定义全局表并在其中指定要实现的钩子函数列表中,定义security_operations结构的全局表,指定的钩子函数包括:文件复制/创建判断函数、文件删除判断函数、目录复制/创建判断函数、目录删除判断函数、文件操作判断函数、文件复制判断函数、文件打开函数、文件修改判断函数。4.根据权利要求3所述的一种基于Linux安全模块的文件审计、防护方法,其特征在于,步骤定义全局表并在其中指定要实现的钩子函数列表中,定义security_operations结构的全局表;设定,文件复制/创建判断函数为inode_create函数;文件删除判断函数为inode_unlink函数;目录复制/创建判断函数为inode_mkdir函数;目录删除判断函数为inode_rmdir函数;文件操作判断函数为inode_rename函数;文件复制判断函数-inode_setattr函数;文件打开函数为file_open函数;文件修改判断函数为file_permission函数。5.根据权利要求4所述的一种基于Linux安全模块的文件审计、防护方法,其特征在于,步骤在指定的钩子函数中,进行文件操作审计,包括:通过函数参数获取被操作文件的完整名称;通过钩子函数类型识别文件操作类型。6.根据权利要求5所述的一种基于Linux安全模块的文件审计、防护方法,其特征在于,文件操作类型识别过程包括:inode_create钩子函数中判断文件复制操作和文件创建操作;其中,当进程名为指定的第一名称或第二名称且由相同的进程先调用了file_open函数时,是文件复制操作;否则是文件创建操作;inode_mkdir钩子函数中判断目录复制操作和目录创建操作;其中,当进程名为指定的第一名称或第二名称且由相同的进程先调用了file_op...
【专利技术属性】
技术研发人员:张雷,袁浩,苗功勋,
申请(专利权)人:山东中孚安全技术有限公司,中孚信息股份有限公司,北京中孚泰和科技发展股份有限公司,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。