【技术实现步骤摘要】
监控Linux全量目录文件落地的方法、系统、设备及储存介质
[0001]本专利技术涉及文件监控
,特别是涉及一种监控Linux全量目录文件落地的方法、系统、设备及储存介质。
技术介绍
[0002]随着电子信息化的快速发展,终端安全问题也更加突出,部分安全机构为了降低安全加固的技术难度,直接基于Linux内核进行防护,但同时带来兼容性的问题,无法做到在不同Linux发行版上通用的能力,而基于inotify监控方案则无法做到全量监控的目的。
[0003]传统的解决方式是基于内核文件系统的Hook接口或者仅仅是基于inotify检测方案。现有技术方案是基于内核“文件系统Hook”接口进行文件行为的捕获,具体构建方法如下:
[0004]1.安装内核防护驱动,其内部将注册文件系统的Hook的回调接口;
[0005]2.当本地有新增文件时,则会调用“文件系统”的Hook,从而通知内核防护驱动;
[0006]3.内核防护驱动则将相关“文件事件”通知到用户态的“业务层(文件监控系统)”。
[00...
【技术保护点】
【技术特征摘要】
1.一种监控Linux全量目录文件落地的方法,其特征在于,所述方法包括以下步骤:初始化fanotify;基于fanotify监听系统中的文件系统对文件进行监听;当首次发生写事件时,fanotify上报文件修改事件;将所述文件修改事件的路径记录到缓存区,并记录超时时间。2.根据权利要求1所述的监控Linux全量目录文件落地的方法,其特征在于,所述方法还包括:判断缓存区的所述文件修改事件是否超过上限;其中,当缓存区的所述文件修改事件未超过上限时,将fanotify上报的所述文件修改事件的路径记录到缓存区,并记录超时时间;当缓存区的所述文件修改事件超过上限时,对所述缓存区的文件修改事件进行处理。3.根据权利要求2所述的监控Linux全量目录文件落地的方法,其特征在于,所述对所述缓存区的文件修改事件进行处理,包括以下步骤:周期性遍历缓存区的事件队列并获取超时的文件修改事件;将所述超时的文件修改事件推送给杀毒引擎提取有效的特征行为,并恢复对所述超时的文件修改事件的监听,同时从缓存区删除所述超时的文件修改事件信息。4.根据权利要求3所述的监控Linux全量目录文件落地的方法,其特征在于,所述对所述缓存区的文件修改事件进行处理,还包括以下步骤:立即遍历缓存区的事件队列并获取超时的文件修改事件;将所述超时的文件修改事件推送给杀毒引擎提取有效的特征行为,并恢复对所述超时的文件修改事件的监听,同时从缓存区删除所述超时的文件修改事件信息。5.根据权利要求1所述的监控Linux全量目录文件落地的方法,其特征在于,所述方法还包括:通过fanotify上报文件修改事...
【专利技术属性】
技术研发人员:郭昌盛,金云山,王磊,吴飞跃,姜昱西,
申请(专利权)人:北京江民新科技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。