本公开提供了一种Linux系统下文件复制行为识别方法及系统,包括:步骤(1):实时监测进行管道创建的进程,并缓存其进程信息及所创建管道信息;步骤(2):获取当前进程中涉及数据读写的动作,并根据其动作行为,对管道与源文件及目的文件之间的文件描述符进行关联;步骤(3):若步骤(2)中的关联动作均已执行,将源文件的读取描述符和目的文件的写入描述符进行关联;否则,继续执行步骤(2),直至源文件读取结束;步骤(4):检测源文件读取描述符和目的文件写入描述符的关联情况,若已经关联,则判定为发生复制行为。为发生复制行为。为发生复制行为。
【技术实现步骤摘要】
一种Linux系统下文件复制行为识别方法及系统
[0001]本公开属于计算机系统安全管理
,尤其涉及一种Linux系统下文件复制行为识别方法及系统。
技术介绍
[0002]本部分的陈述仅仅是提供了与本公开相关的
技术介绍
信息,不必然构成在先技术。
[0003]Linux系统下文件审计场景中,存在需要对文件复制行为进行审计的需求,进而要求对文件复制行为进行检测和识别。专利技术人发现,在Windows系统下,可以直接对相关的系统函数进行监控,即可实现文件复制事件的检测;但在Linux下没有这样的文件复制函数可以直接监控,特别是针对文件复制时读、写缓存由内核管道提供的特定场景,现有方法无法实现该场景下的文件复制行为的识别。
技术实现思路
[0004]本公开为了解决上述问题,提供了一种Linux系统下文件复制行为识别方法及系统,所述方案基于进程中的动作行为,对管道与源文件及目的文件之间的文件描述符进行关联分析,对文件复制行为能够进行精准的检测和识别。
[0005]根据本公开实施例的第一个方面,提供了一种Linux系统下文件复制行为识别方法,包括:
[0006]步骤(1):实时监测进行管道创建的进程,并缓存其进程信息及所创建管道信息;
[0007]步骤(2):获取当前进程中涉及数据读写的动作,并根据其动作行为,对管道与源文件及目的文件之间的文件描述符进行关联;
[0008]步骤(3):若步骤(2)中的关联动作均已执行,将源文件的读取描述符和目的文件的写入描述符进行关联;否则,继续执行步骤(2),直至源文件读取结束;
[0009]步骤(4):检测源文件读取描述符和目的文件写入描述符的关联情况,若已经关联,则判定为发生复制行为。
[0010]进一步的,所述获取当前进程中涉及数据读写的动作,具体为:通过监控当前进程所有的splice动作进行获取,其中,所述splice为linux系统中用于数据读写的函数接口。
[0011]进一步的,所述根据其动作行为,对管道与源文件及目的文件之间的文件描述符进行关联,具体为:若当前动作行为是从源文件描述符读取数据到管道写入端描述符,则缓存源文件描述符,并关联源文件描述符与管道写入端描述符;若当前动作行为是从管道读取端描述符写入数据到目的文件描述符,则缓存目的文件描述符并关联管道读取端描述符。
[0012]根据本公开实施例的第二个方面,提供了一种Linux系统下文件复制行为识别系统,包括:
[0013]进程检测模块,其用于实时监测进行管道创建的进程,并缓存其进程信息及所创
建管道信息;
[0014]描述符关联模块,其用于获取当前进程中涉及数据读写的动作,并根据其动作行为,对管道与源文件及目的文件之间的文件描述符进行关联;
[0015]判别模块,其用于若描述符关联模块中的关联动作均已执行,将源文件的读取描述符和目的文件的写入描述符进行关联;否则,继续执行描述符关联模块中的步骤,直至源文件读取结束;
[0016]复制行为识别模块,其用于检测源文件读取描述符和目的文件写入描述符的关联情况,若已经关联,则判定为发生复制行为。
[0017]根据本公开实施例的第三个方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上运行的计算机程序,所述处理器执行所述程序时实现所述的一种Linux系统下文件复制行为识别方法。
[0018]根据本公开实施例的第四个方面,提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现所述的一种Linux系统下文件复制行为识别方法。
[0019]与现有技术相比,本公开的有益效果是:
[0020]本公开所述方案提供了一种Linux系统下文件复制行为识别方法及系统,通过对Linux环境下的文件复制的操作行为进行分析,基于进程中的动作行为,对管道与源文件及目的文件之间的文件描述符进行关联分析,给出了一种针对文件复制时读、写缓存由内核管道提供的特定场景的文件复制行为识别方法,有效解决了现有Linux系统下文件审计场景中,存在需要对文件复制行为进行审计的需求问题,对文件复制行为能够进行精准的检测和识别。
[0021]本公开附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本公开的实践了解到。
附图说明
[0022]构成本公开的一部分的说明书附图用来提供对本公开的进一步理解,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。
[0023]图1为本公开实施例一中所述的一种Linux系统下文件复制行为识别方法流程图。
具体实施方式
[0024]下面结合附图与实施例对本公开做进一步说明。
[0025]应该指出,以下详细说明都是示例性的,旨在对本公开提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本公开所属
的普通技术人员通常理解的相同含义。
[0026]需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本公开的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
[0027]在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。
[0028]实施例一:
[0029]本实施例的目的是提供一种Linux系统下文件复制行为识别方法。
[0030]一种Linux系统下文件复制行为识别方法,包括:
[0031]步骤(1):实时监测进行管道创建的进程,并缓存其进程信息及所创建管道信息;
[0032]步骤(2):获取当前进程中涉及数据读写的动作,并根据其动作行为,对管道与源文件及目的文件之间的文件描述符进行关联;
[0033]步骤(3):若步骤(2)中的关联动作均已执行,将源文件的读取描述符和目的文件的写入描述符进行关联;否则,继续执行步骤(2),直至源文件读取结束;
[0034]步骤(4):检测源文件读取描述符和目的文件写入描述符的关联情况,若已经关联,则判定为发生复制行为。
[0035]进一步的,所述获取当前进程中涉及数据读写的动作,具体为:通过监控当前进程所有的splice动作进行获取,其中,所述splice为linux系统中用于数据读写的函数接口;具体的,splice用于在两个文件描述符之间的数据移动,即零拷贝;所述splice函数中fd_in参数是待输入描述符,如果它是一个管道文件描述符,则off_in必须设置为NULL;否则off_in表示从输入数据流的何处开始读取,此时若为NULL,则从输入数据流的当前偏移位置读入;所述零拷贝指的是splice过程中,存在较大可能实现上不需要进行任何的内存拷贝情况。
[0036]进一步的,所述根据其动作行为,对管本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种Linux系统下文件复制行为识别方法,其特征在于,包括:步骤(1):实时监测进行管道创建的进程,并缓存其进程信息及所创建管道信息;步骤(2):获取当前进程中涉及数据读写的动作,并根据其动作行为,对管道与源文件及目的文件之间的文件描述符进行关联;步骤(3):若步骤(2)中的关联动作均已执行,将源文件的读取描述符和目的文件的写入描述符进行关联;否则,继续执行步骤(2),直至源文件读取结束;步骤(4):检测源文件读取描述符和目的文件写入描述符的关联情况,若已经关联,则判定为发生复制行为。2.如权利要求1所述的一种Linux系统下文件复制行为识别方法,其特征在于,所述获取当前进程中涉及数据读写的动作,具体为:通过监控当前进程所有的splice动作进行获取,其中,所述splice为linux系统中用于数据读写的函数接口。3.如权利要求1所述的一种Linux系统下文件复制行为识别方法,其特征在于,所述根据其动作行为,对管道与源文件及目的文件之间的文件描述符进行关联,具体为:若当前动作行为是从源文件描述符读取数据到管道写入端描述符,则缓存源文件描述符,并关联源文件描述符与管道写入端描述符;若当前动作行为是从管道读取端描述符写入数据到目的文件描述符,则缓存目的文件描述符并关联管道读取端描述符。4.如权利要求1所述的一种Linux系统下文件复制行为识别方法,其特征在于,所述若步骤(2)中的关联动作均已执行,具体为:所述源文件描述符与管道写入端描述符之间的关联以及管道读取端描述符与目的文件描述符之间的关联均产生。5.如权利要求1所述...
【专利技术属性】
技术研发人员:袁浩,苗功勋,崔新安,刘晓萌,李言非,
申请(专利权)人:中孚安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。