一种基于内核的文件操作行为监控方法及装置制造方法及图纸

本发明专利技术提供一种基于内核的文件操作行为监控方法及装置，通过对文件系统的目录进行监控，结合文件操作行为系统调用监控组成对文件操作行为的监控装置。包括对指定路径的监控、移动应用程序的文件操作行为监控两个模块；以app作为输入，可以从内核中监控app的采取的文件操作行为并输入日志；以文件路径作为输入可以监控该目录下的文件改动。本发明专利技术可用于对恶意app文件操作行为的监控。

A Kernel-based Method and Device for Monitoring File Operating Behavior

The invention provides a method and device for monitoring the file operation behavior based on the kernel. By monitoring the directory of the file system and combining the call and monitoring of the file operation behavior system, a monitoring device for the file operation behavior is formed. It includes two modules: monitoring the specified path and monitoring the file operation behavior of mobile applications; using app as input, we can monitor the file operation behavior of app from the kernel and input the log; using file path as input, we can monitor the file changes in the directory. The invention can be used for monitoring the operation behavior of malicious app files.

【技术实现步骤摘要】
一种基于内核的文件操作行为监控方法及装置
本专利技术属于Android应用程序监控
，特别涉及一种基于内核的文件操作行为监控方法及装置。
技术介绍
当时是一个移动设备不可或缺的时代，因为移动设备的方便，人们生活中的许多行为都在移动设备上完成，比如支付，聊天，写备忘录等。根据IDC公司的分析报告，截止到2016年第三季度，Android操作系统占智能手机市场份额的86.8％。由于Android系统的开源特性，Android的开发比其他操作系统的门槛要低很多，这使其具有庞大的市场占有量，也是正因为这一点，由于开发者的良莠不齐，导致各个厂商的Android设备中存在许多漏洞。Android的开源特性和开发普遍性，给了安全攻防的双方更多的研究空间。Android系统上的安全攻防从来没有停止过。由于Android采用的Linux内核，现阶段关于Linux内核在Android上安全的研究已经渐渐开始，比如对内核里Rootkit的研究、对Android系统中文件访问控制的研究，这些研究的方向是指出现有的Android系统的缺陷并提出一些改正方案，没有提出一种有效的对恶意软件行为的监控和防御手本文档来自技高网...

【技术保护点】
1.一种基于内核的文件操作行为监控方法，其特征在于，包括如下步骤：S1，启动监控装置；S2，指定需要被监控的应用程序；S3，指定需要被监控的文件路径；S4，操作被监控的应用程序，触发该应用程序的功能；S5，在内核中记录被监控应用程序的文件操作行为，生成监控日志；S6，关闭监控装置，将日志输出到文件中。

【技术特征摘要】
1.一种基于内核的文件操作行为监控方法，其特征在于，包括如下步骤：S1，启动监控装置；S2，指定需要被监控的应用程序；S3，指定需要被监控的文件路径；S4，操作被监控的应用程序，触发该应用程序的功能；S5，在内核中记录被监控应用程序的文件操作行为，生成监控日志；S6，关闭监控装置，将日志输出到文件中。2.根据权利要求1所述基于内核的文件操作行为监控方法，其特征在于，所述需要被监控的文件路径指系统路径或者用户自定义的路径，其监控结果与应用程序的监控结果相互补充，从而更加全面地监控到软件的恶意行为，所述文件操作行为包括：打开文件操作、关闭文件操作、文件读写操作、IO通道操作、删除文件操作、重命名文件操作和改变文件权限，所述监控装置使用linux驱动程序来提供交互接口，被监控应用程序通过uid来唯一指定。3.根据权利要求1所述基于内核的文件操作行为监控方法，其特征在于，所述S5中，在内核层，系统调用监控与系统目录监控相结合，具体包括：S51，在内核层，根据不同的的系统调用函数，编写对应的监控函数；S52，用监控函数的地址替换系统调用表中原系统调用函数的函数地址；S53，根据判断条件执行监控函数；S54，返回原系统调用，不影响系统的正常运行；S55，对指定的文件路径中发生的文件操作行为进行监控。4.根据权利要求1所述基于内核的文件操作行为监控方法，其特征在于，所述S6，在内核中将监控结果以文件的形式输出出来，采用循环双缓冲的方式：将日志先写到内存缓冲区中，当日志填满缓冲区一半时，打开日志文件，将前半段缓冲区日志写入到文件中，同时，把新日志记录到缓冲区后半段；当后半段缓冲区满时，打开日志文件，将后半段缓冲区日志写入到文件中，同时，把新日志记录到缓冲区前半段。5.根据权利要求1所述基于内核的文件操作行为监控方法，其特征在于，指定系统中任意的文件路径进行监控，监控范围包括该文件路径下的所有子目录和子文件；对指定文件路径下的监控方法是：在系统目录下监控文件操作行为，监控到恶意软件将系统文件修改后，系统再次执行此文件时会躲过uid的监控，指定文件路径的文件操作行为监控模块，对指定路径的文件操作进行监控包括打开文...

【专利技术属性】
技术研发人员：陶敬，王平辉，韩婷，栾庆鑫，王铮，李佳璇，郑宁，白云鹏，孙立远，柳哲，林杰，
申请(专利权)人：西安交通大学，
类型：发明
国别省市：陕西,61