文件防护方法及装置、电子设备和计算机可读存储介质制造方法及图纸

本申请提出了一种文件防护方法及装置、电子设备和计算机可读存储介质，该方法包括：响应于系统发出文件修改操作，采用eBPF方式在内核层对所述文件修改操作所针对的目标文件进行插桩，所述插桩用于执行预定的文件监控策略；若所述插桩成功，获取所述目标文件的关联信息；监控所述关联信息是否满足预定的文件防护条件；若所述文件修改操作的关联信息满足所述预定的文件防护条件，调用eBPF辅助函数拦截所述文件修改操作。本申请的技术方案，利用Linux系统自带的eBPF，针对系统的每次文件修改操作进行插桩来实现对系统内核层的文件修改操作的监控和防护，可以有效拦截来自内核层的攻击。的攻击。的攻击。

【技术实现步骤摘要】
文件防护方法及装置、电子设备和计算机可读存储介质


[0001]本申请涉及信息安全
，尤其涉及一种文件防护方法及装置、电子设备和计算机可读存储介质。

技术介绍

[0002]传统的文件防护手段往往着重于防护来自用户层的攻击，而对于针对内核层的攻击，如rootkit或者lkm内核模块对文件实行攻击，则缺乏相应的防护措施。
[0003]因此，如何有效应对内核层对文件的攻击，成为目前亟待解决的技术问题。

技术实现思路

[0004]本申请实施例提供了一种文件防护方法及装置、电子设备和计算机可读存储介质，旨在解决相关技术中防护来自用户层的攻击的现有防护手段无法满足防护来自内核层的攻击的需求的技术问题。
[0005]第一方面，本申请实施例提供了一种文件防护方法，包括：响应于系统发出文件修改操作，采用eBPF方式在内核层对所述文件修改操作所针对的目标文件进行插桩，所述插桩用于执行预定的文件监控策略；若所述插桩成功，获取所述目标文件的关联信息；监控所述关联信息是否满足预定的文件防护条件；若所述文件修改操作的关联信息满足所述预定的文件防护条件，调用eBPF辅助函数拦截所述文件修改操作。
[0006]在一种可能的设计中，所述采用eBPF方式在内核层对所述文件修改操作所针对的目标文件进行插桩，包括：验证由eBPF的字节码编译所得的中间文件是否满足系统内的预定启用规则；若所述中间文件满足所述预定启用规则，在内核层对所述文件修改操作所针对的目标文件进行eBPF可执行程序的插桩，其中，所述eBPF可执行程序用于反映预定的文件监控策略。
[0007]在一种可能的设计中，所述调用eBPF辅助函数拦截所述文件修改操作，包括：调用eBPF辅助函数阻止所述文件修改操作将缓冲区的文件修改信息写入系统内存。
[0008]在一种可能的设计中，还包括：在拦截所述文件修改操作后，生成防护结果反馈信息；以所述防护结果反馈信息覆盖系统中针对所述文件修改操作的修改结果反馈信息。
[0009]在一种可能的设计中，还包括：若所述插桩失败，生成第一告警信息；以及若以所述防护结果反馈信息覆盖所述修改结果反馈信息失败，生成第二告警信息。
[0010]在一种可能的设计中，所述获取所述目标文件的关联信息，包括：获取所述目标文件的文件路径和文件类型；所述监控所述关联信息是否满足预定的文件防护条件，包括：若所述关联信息与预定白名单中的预定关联信息不匹配，在所述文件修改操作超出所述目标文件的预定修改权限范围的情况下，确定所述文件修改操作的关联信息满足所述预定的文件防护条件。
[0011]在一种可能的设计中，还包括：若所述关联信息与所述预定白名单中的所述预定关联信息匹配，允许所述文件修改操作被执行；以及若所述关联信息与预定白名单中的预
定关联信息不匹配，当所述文件修改操作处于所述目标文件的所述预定修改权限范围内时，允许所述文件修改操作被执行。
[0012]第二方面，本申请实施例提供了一种文件防护装置，包括：动态插桩单元，用于响应于系统发出文件修改操作，采用eBPF方式在内核层对所述文件修改操作所针对的目标文件进行插桩，所述插桩用于执行预定的文件监控策略；关联信息获取单元，用于若所述插桩成功，获取所述目标文件的关联信息；防护监控单元，用于监控所述关联信息是否满足预定的文件防护条件；修改操作拦截单元，用于若所述文件修改操作的关联信息满足所述预定的文件防护条件，调用eBPF辅助函数拦截所述文件修改操作。
[0013]在一种可能的设计中，所述动态插桩单元用于：验证由eBPF的字节码编译所得的中间文件是否满足系统内的预定启用规则；若所述中间文件满足所述预定启用规则，在内核层对所述文件修改操作所针对的目标文件进行eBPF可执行程序的插桩，其中，所述eBPF可执行程序用于反映预定的文件监控策略。
[0014]在一种可能的设计中，所述修改操作拦截单元用于：调用eBPF辅助函数阻止所述文件修改操作将缓冲区的文件修改信息写入系统内存。
[0015]在一种可能的设计中，所述文件防护装置还包括：反馈信息生成单元，用于在拦截所述文件修改操作后，生成防护结果反馈信息；反馈信息覆盖单元，用于以所述防护结果反馈信息覆盖系统中针对所述文件修改操作的修改结果反馈信息。
[0016]在一种可能的设计中，所述文件防护装置还包括：第一告警单元，用于若所述插桩失败，生成第一告警信息；第二告警单元，用于若以所述防护结果反馈信息覆盖所述修改结果反馈信息失败，生成第二告警信息。
[0017]在一种可能的设计中，所述关联信息获取单元用于：获取所述目标文件的文件路径和文件类型；所述防护监控单元用于：若所述关联信息与预定白名单中的预定关联信息不匹配，在所述文件修改操作超出所述目标文件的预定修改权限范围的情况下，确定所述文件修改操作的关联信息满足所述预定的文件防护条件。
[0018]在一种可能的设计中，所述文件防护装置还包括：第一执行单元，用于若所述关联信息与所述预定白名单中的所述预定关联信息匹配，允许所述文件修改操作被执行；第二执行单元，用于若所述关联信息与预定白名单中的预定关联信息不匹配，当所述文件修改操作处于所述目标文件的所述预定修改权限范围内时，允许所述文件修改操作被执行。
[0019]第三方面，本申请实施例提供了一种电子设备，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被设置为用于执行上述第一方面所述的方法。
[0020]第四方面，本申请实施例提供了一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行上述第一方面所述的方法流程。
[0021]以上技术方案，针对相关技术中防护来自用户层的攻击的现有防护手段无法满足防护来自内核层的攻击的需求的技术问题，首先，一旦系统对文件发出文件修改操作，就会触发基于eBPF方式的插桩。在本申请中，插桩具体指对文件修改操作所针对的目标文件引入预定的文件监控策略，这里，引入的预定的文件监控策略即一则可执行程序。
[0022]换言之，每检测到文件修改操作都可以实时触发插桩操作，通过插桩操作可实现对文件修改操作所针对的目标文件的监控。由此，可实现动态监控系统内核层的所有文件
修改操作，有助于应对内核层对文件的攻击。
[0023]接下来，若所述插桩成功，则对目标文件执行预定的文件监控策略，该预定的文件监控策略中，首先要获取目标文件的关联信息。目标文件的关联信息用于反映目标文件本身的特性，而这一特性可用于判断是否具有为该目标文件防护该文件修改操作的必要。
[0024]然后，监控所述关联信息是否满足预定的文件防护条件，若所述文件修改操作的关联信息满足所述预定的文件防护条件，调用eBPF辅助函数拦截所述文件修改操作。
[0025]预定的文件防护条件指的是需要为该目标文件防护该文件修改操作时目标文件的关联信息所应当达到的要求，若所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种文件防护方法，其特征在于，包括：响应于系统发出文件修改操作，采用eBPF方式在内核层对所述文件修改操作所针对的目标文件进行插桩，所述插桩用于执行预定的文件监控策略；若所述插桩成功，获取所述目标文件的关联信息；监控所述关联信息是否满足预定的文件防护条件；若所述文件修改操作的关联信息满足所述预定的文件防护条件，调用eBPF辅助函数拦截所述文件修改操作。2.根据权利要求1所述的文件防护方法，其特征在于，所述采用eBPF方式在内核层对所述文件修改操作所针对的目标文件进行插桩，包括：验证由eBPF的字节码编译所得的中间文件是否满足系统内的预定启用规则；若所述中间文件满足所述预定启用规则，在内核层对所述文件修改操作所针对的目标文件进行eBPF可执行程序的插桩，其中，所述eBPF可执行程序用于反映预定的文件监控策略。3.根据权利要求1所述的文件防护方法，其特征在于，所述调用eBPF辅助函数拦截所述文件修改操作，包括：调用eBPF辅助函数阻止所述文件修改操作将缓冲区的文件修改信息写入系统内存。4.根据权利要求3所述的文件防护方法，其特征在于，还包括：在拦截所述文件修改操作后，生成防护结果反馈信息；以所述防护结果反馈信息覆盖系统中针对所述文件修改操作的修改结果反馈信息。5.根据权利要求4所述的文件防护方法，其特征在于，还包括：若所述插桩失败，生成第一告警信息；以及若以所述防护结果反馈信息覆盖所述修改结果反馈信息失败，生成第二告警信息。6.根据权利要求1至5中任一项所述的文件防护方法，其特征在于，所述获取所述目标文件的关联信息，包括：获取所述...

【专利技术属性】
技术研发人员：姜承凯，盛颖，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：