【技术实现步骤摘要】
一种Linux系统下文件复制行为识别方法及系统
[0001]本公开属于计算机系统安全管理
,尤其涉及一种Linux系统下文件复制行为识别方法及系统。
技术介绍
[0002]本部分的陈述仅仅是提供了与本公开相关的
技术介绍
信息,不必然构成在先技术。
[0003]Linux系统下文件审计场景中,存在需要对文件复制行为进行审计的需求,进而要求对文件复制行为进行检测和识别。专利技术人发现,在Windows系统下,可以直接对相关的系统函数进行监控,即可实现文件复制事件的检测;但在Linux下没有这样的文件复制函数可以直接监控,特别是针对文件复制时读、写缓存由内核管道提供的特定场景,现有方法无法实现该场景下的文件复制行为的识别。
技术实现思路
[0004]本公开为了解决上述问题,提供了一种Linux系统下文件复制行为识别方法及系统,所述方案基于进程中的动作行为,对管道与源文件及目的文件之间的文件描述符进行关联分析,对文件复制行为能够进行精准的检测和识别。
[0005]根据本公开实施例的第一个方面,提供...
【技术保护点】
【技术特征摘要】
1.一种Linux系统下文件复制行为识别方法,其特征在于,包括:步骤(1):实时监测进行管道创建的进程,并缓存其进程信息及所创建管道信息;步骤(2):获取当前进程中涉及数据读写的动作,并根据其动作行为,对管道与源文件及目的文件之间的文件描述符进行关联;步骤(3):若步骤(2)中的关联动作均已执行,将源文件的读取描述符和目的文件的写入描述符进行关联;否则,继续执行步骤(2),直至源文件读取结束;步骤(4):检测源文件读取描述符和目的文件写入描述符的关联情况,若已经关联,则判定为发生复制行为。2.如权利要求1所述的一种Linux系统下文件复制行为识别方法,其特征在于,所述获取当前进程中涉及数据读写的动作,具体为:通过监控当前进程所有的splice动作进行获取,其中,所述splice为linux系统中用于数据读写的函数接口。3.如权利要求1所述的一种Linux系统下文件复制行为识别方法,其特征在于,所述根据其动作行为,对管道与源文件及目的文件之间的文件描述符进行关联,具体为:若当前动作行为是从源文件描述符读取数据到管道写入端描述符,则缓存源文件描述符,并关联源文件描述符与管道写入端描述符;若当前动作行为是从管道读取端描述符写入数据到目的文件描述符,则缓存目的文件描述符并关联管道读取端描述符。4.如权利要求1所述的一种Linux系统下文件复制行为识别方法,其特征在于,所述若步骤(2)中的关联动作均已执行,具体为:所述源文件描述符与管道写入端描述符之间的关联以及管道读取端描述符与目的文件描述符之间的关联均产生。5.如权利要求1所述...
【专利技术属性】
技术研发人员:袁浩,苗功勋,崔新安,刘晓萌,李言非,
申请(专利权)人:中孚安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。