本发明专利技术涉及了一种进程访问文件的控制方法及装置,其中该方法包括:监测系统进程,并响应于监测到新建的进程,识别进程的脚本程序;将进程及其脚本程序的结构数据存入脚本执行树缓存;响应于监测到进程发起对文件的访问,在脚本执行树缓存中查询进程及其脚本程序的结构数据以确定对文件发起访问的脚本程序;根据脚本程序的预设权限控制脚本程序对文件的访问。利用根据本发明专利技术的方法实现了仅允许指定的脚本程序访问指定的文件,保护了重要的数据不被非法篡改。
A process access file control method and device
【技术实现步骤摘要】
一种进程访问文件的控制方法及装置
本专利技术涉及系统安全
本专利技术进一步涉及一种进程访问文件的控制方法及装置。
技术介绍
在Linux系统上可以通过selinux来实现主体进程对客体文件的访问控制,这里的主体进程指的是可执行的二进制文件,如果想要控制某个脚本程序对客体文件的访问控制,则无法实现。然而现在Linux服务器上有大量的业务是基于脚本运行的,所以本专利技术提出了一种方法,可以实现主体为脚本的访问控制,保护用户重要的业务数据只允许指定的脚本程序执行。因此,需要提出一种对主体进程访问客体文件进行控制,只允许指定的脚本程序进行访问的方法,来保护重要的数据不被非法篡改。
技术实现思路
一方面,本专利技术基于上述目的提出了一种进程访问文件的控制方法,其中该方法包括以下步骤:监测系统进程,并响应于监测到新建的进程,识别进程的脚本程序;将进程及其脚本程序的结构数据存入脚本执行树缓存;响应于监测到进程发起对文件的访问,在脚本执行树缓存中查询进程及其脚本程序的结构数据以确定对文件发起访问的脚本程序;根据脚本程序的预设权限控制脚本程序对文件的访问。根据本专利技术的进程访问文件的控制方法的实施例,其中监测系统进程,并响应于监测到新建的进程,识别进程的脚本程序进一步包括:判断进程是否为bash进程;响应于进程为bash进程,解析bash命令行参数以确定进程的脚本程序路径。根据本专利技术的进程访问文件的控制方法的实施例,其中将进程及其脚本程序的结构数据存入脚本执行树缓存进一步包括:根据进程ID、进程路径、脚本程序路径、子程序链表头、子程序链表节点构建进程及其脚本程序的结构数据;将结构数据存入脚本执行树缓存。根据本专利技术的进程访问文件的控制方法的实施例,其中根据进程ID、进程路径、脚本程序路径、子程序链表头、子程序链表节点构建所述进程及其脚本程序的结构数据进一步包括:在脚本执行树缓存中查找当前进程的进程ID;基于进程ID在脚本执行树缓存中查找当前进程的父进程;以父进程的脚本程序路径作为当前进程的脚本程序路径来构建当前进程的结构数据,并将当前进程的结构数据关联到父进程的子程序链表头中。根据本专利技术的进程访问文件的控制方法的实施例,其中响应于监测到进程发起对文件的访问,在脚本执行树缓存中查询进程及其脚本程序的结构数据以确定对文件发起访问的脚本程序进一步包括:响应于监测到进程发起对文件的访问,在脚本执行树缓存中查找进程的进程ID;响应于查找到进程ID,以进程ID对应的结构数据中的程序脚本路径作为发起文件的访问的当前主体路径。另一方面,本专利技术还提出了一种进程访问文件的控制装置,其中该装置包括:至少一个处理器;和存储器,该存储器存储有处理器可运行的程序指令,该程序指令在被处理器运行时执行以下步骤:监测系统进程,并响应于监测到新建的进程,识别进程的脚本程序;将进程及其脚本程序的结构数据存入脚本执行树缓存;响应于监测到进程发起对文件的访问,在脚本执行树缓存中查询进程及其脚本程序的结构数据以确定对文件发起访问的脚本程序;根据脚本程序的预设权限控制脚本程序对文件的访问。根据本专利技术的进程访问文件的控制装置的实施例,其中监测系统进程,并响应于监测到新建的进程,识别进程的脚本程序进一步包括:判断进程是否为bash进程;响应于进程为bash进程,解析bash命令行参数以确定进程的脚本程序路径。根据本专利技术的进程访问文件的控制装置的实施例,其中将进程及其脚本程序的结构数据存入脚本执行树缓存进一步包括:根据进程ID、进程路径、脚本程序路径、子程序链表头、子程序链表节点构建进程及其脚本程序的结构数据;将结构数据存入脚本执行树缓存。根据本专利技术的进程访问文件的控制装置的实施例,其中根据进程ID、进程路径、脚本程序路径、子程序链表头、子程序链表节点构建所述进程及其脚本程序的结构数据进一步包括:在脚本执行树缓存中查找当前进程的进程ID;基于进程ID在脚本执行树缓存中查找当前进程的父进程;以父进程的脚本程序路径作为当前进程的脚本程序路径来构建当前进程的结构数据,并将当前进程的结构数据关联到父进程的子程序链表头中。根据本专利技术的进程访问文件的控制装置的实施例,其中响应于监测到进程发起对文件的访问,在脚本执行树缓存中查询进程及其脚本程序的结构数据以确定对文件发起访问的脚本程序进一步包括:响应于监测到进程发起对文件的访问,在脚本执行树缓存中查找进程的进程ID;响应于查找到进程ID,以进程ID对应的结构数据中的程序脚本路径作为发起文件的访问的当前主体路径。采用上述技术方案,本专利技术至少具有如下有益效果:通过建立脚本执行树缓存并在其中存储进程及其脚本程序的结构数据将进程与相应的脚本程序对应起来,在监测到主体进程访问客体文件时就可以通过查询脚本执行树缓存来确定实际发起访问客体文件的脚本程序,由于预先为脚本程序分配了预设的权限,所以可以根据该脚本程序的权限来控制主体进程对客体文件的访问是否被允许,从而实现了仅允许指定的脚本程序访问指定的文件,保护了重要的数据不被非法篡改。本专利技术提供了实施例的各方面,不应当用于限制本专利技术的保护范围。根据在此描述的技术可设想到其它实施方式,这对于本领域普通技术人员来说在研究以下附图和具体实施方式后将是显而易见的,并且这些实施方式意图被包含在本申请的范围内。下面参考附图更详细地解释和描述了本专利技术的实施例,但它们不应理解为对于本专利技术的限制。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对现有技术和实施例描述中所需要使用的附图作简单地介绍,附图中的部件不一定按比例绘制,并且可以省略相关的元件,或者在一些情况下比例可能已经被放大,以便强调和清楚地示出本文描述的新颖特征。另外,如本领域中已知的,结构顺序可以被不同地布置。图1示出了根据本专利技术的进程访问文件的控制方法的实施例的示意性框图。具体实施方式虽然本专利技术可以以各种形式实施,但是在附图中示出并且在下文中将描述一些示例性和非限制性实施例,但应该理解的是,本公开将被认为是本专利技术的示例并不意图将本专利技术限制于所说明的具体实施例。图1示出了根据本专利技术的进程访问文件的控制方法的实施例的示意性框图。在如图所示的实施例中,该方法至少包括以下步骤:S1:监测系统进程,并响应于监测到新建的进程,识别进程的脚本程序;S2:将进程及其脚本程序的结构数据存入脚本执行树缓存;S3:响应于监测到进程发起对文件的访问,在脚本执行树缓存中查询进程及其脚本程序的结构数据以确定对文件发起访问的脚本程序;S4:根据脚本程序的预设权限控制脚本程序对文件的访问。本专利技术的实现在另一方面包括应用程序和内核驱动两部分。应用程序的主要功能包括:1)下发本文档来自技高网...
【技术保护点】
1.一种进程访问文件的控制方法,其特征在于,所述方法包括以下步骤:/n监测系统进程,并响应于监测到新建的进程,识别所述进程的脚本程序;/n将所述进程及其脚本程序的结构数据存入脚本执行树缓存;/n响应于监测到进程发起对文件的访问,在所述脚本执行树缓存中查询所述进程及其脚本程序的结构数据以确定对所述文件发起访问的脚本程序;/n根据所述脚本程序的预设权限控制所述脚本程序对所述文件的访问。/n
【技术特征摘要】
1.一种进程访问文件的控制方法,其特征在于,所述方法包括以下步骤:
监测系统进程,并响应于监测到新建的进程,识别所述进程的脚本程序;
将所述进程及其脚本程序的结构数据存入脚本执行树缓存;
响应于监测到进程发起对文件的访问,在所述脚本执行树缓存中查询所述进程及其脚本程序的结构数据以确定对所述文件发起访问的脚本程序;
根据所述脚本程序的预设权限控制所述脚本程序对所述文件的访问。
2.根据权利要求1所述的方法,其特征在于,所述监测系统进程,并响应于监测到新建的进程,识别所述进程的脚本程序进一步包括:
判断所述进程是否为bash进程;
响应于所述进程为bash进程,解析bash命令行参数以确定所述进程的脚本程序路径。
3.根据权利要求1所述的方法,其特征在于,所述将所述进程及其脚本程序的结构数据存入脚本执行树缓存进一步包括:
根据进程ID、进程路径、脚本程序路径、子程序链表头、子程序链表节点构建所述进程及其脚本程序的结构数据;
将所述结构数据存入所述脚本执行树缓存。
4.根据权利要求3所述的方法,其特征在于,所述根据进程ID、进程路径、脚本程序路径、子程序链表头、子程序链表节点构建所述进程及其脚本程序的结构数据进一步包括:
在所述脚本执行树缓存中查找当前进程的进程ID;
基于所述进程ID在所述脚本执行树缓存中查找当前进程的父进程;
以所述父进程的脚本程序路径作为所述当前进程的脚本程序路径来构建所述当前进程的结构数据,并将所述当前进程的结构数据关联到所述父进程的所述子程序链表头中。
5.根据权利要求1所述的方法,其特征在于,所述响应于监测到进程发起对文件的访问,在所述脚本执行树缓存中查询所述进程及其脚本程序的结构数据以确定对所述文件发起访问的脚本程序进一步包括:
响应于监测到进程发起对文件的访问,在所述脚本执行树缓存中查找所述进程的进程ID;
响应于查找到所述进程ID,以所述进程ID对应的结构数据中的程序脚本路径作为发起所述文件的访问的当前主体路径。
6.一种进程访问文件的控制装置,其特征在于,所...
【专利技术属性】
技术研发人员:崔士伟,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。