【技术实现步骤摘要】
监控Linux特定目录文件落地的方法、系统、设备及储存介质
[0001]本专利技术涉及文件监控
,特别是涉及一种监控Linux特定目录文件落地的方法、系统、设备及储存介质。
技术介绍
[0002]文件落地防护是终端防护中的一个关键功能项,主要的应用场景是监测“往本机上拷贝文件的行为”;若文件自身携带病毒行为,则会造成本地信息被窃取、本地文件被篡改等异常行为。
[0003]“文件落地检测技术”则会实时检测文件的拷贝行为,一旦检测到有文件落地行为,则将文件信息进行记录,并同时跟踪其“拷贝结束行为”,当拷贝结束以后就则通知“杀毒引擎”,对文件的合法性进行检测和处置。
[0004]传统的解决方式是基于内核文件系统的Hook接口或者仅仅是基于inotify的静态检测方案。在终端安全主动防御技术中,其中一项功能就是“实时检测落地文件”的合法性。
[0005]现有技术方案是基于内核“文件系统Hook”接口进行文件行为的捕获,因此基于该方案可以快速构建相关的监控功能,具体构建方法如下:
[0006]1....
【技术保护点】
【技术特征摘要】
1.一种监控Linux特定目录文件落地的方法,其特征在于,所述方法包括以下步骤:初始化inotify;基于inotify注册待监控的目录,并监听所述待监控的目录的事件;当发生事件时,判断其事件种类;其中,当所述事件为新增子文件事件时,通过动态延缓机制将所述新增子文件路径放置在缓存区,并设定倒计时。2.根据权利要求1所述的监控Linux特定目录文件落地的方法,其特征在于,所述通过动态延缓机制将所述新增子文件路径放置在缓存区,并设定倒计时,包括以下步骤:记录所述新增子文件的路径,并间断性判断该文件是否被其他进程打开;其中,当判断该文件被关闭时,认为完成写文件操作;当判断有一个以上的进程打开所述新增子文件时,认为完成写文件操作;当判断仅有一个进程打开所述新增子文件,并超过设定的时间周期时,认为完成写文件操作。3.根据权利要求2所述的监控Linux特定目录文件落地的方法,其特征在于,所述方法还包括:将完成写文件操作的所述新增子文件作为新增落地文件事件推送给杀毒引擎进行文件特征的提取和查杀。4.根据权利要求1所述的监控Linux特定目录文件落地的方法,其特征在于,所述待监控的目录的事件包括新增子文件事件、新增子目录事件和删除目录事件。5.根据权利要求4所述的监控Linux特定目录文件落地的方法,其特征在于,当所述待监控的目录的事件为新增子目录事件时,通过inotify对所述新增子目录进行监听;当所述待监控的目录的事件为删除目录事件时,则将被删除目录的子目录进行注销和删除。6.根据权利要求1至5中的任意一项所述的监控Linux特...
【专利技术属性】
技术研发人员:郭昌盛,金云山,王磊,吴飞跃,姜昱西,
申请(专利权)人:北京江民新科技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。