【技术实现步骤摘要】
本专利技术涉及信息安全
,具体涉及一种监测单元及方法、以及防止文件被篡改的系统及方法。
技术介绍
随着计算机和网络技术的不断发展,越来越多的应用基于网络来提供,网络应用的安全性日益重要。越来越多的黑客看中了网络应用的市场价值而力图侵入网络应用服务器来获取各种信息,从而从中获利。网络应用服务器中的文件安全性也日益重要,很多黑客会篡改服务器中的文件,·在文件中写入非法信息、植入木马等等,从而使得利用服务器应用的用户受到损失。如何保护网络应用服务器中的文件安全是信息安全领域重要的挑战。现有的对网络应用服务器中的文件系统的访问控制主要是通过设置文件权限来实现,例如仅仅具有某个权限的用户才可以修改文件。但是,如果黑客获取了最高(root)权限,则通过该方法限制文件访问就会失效。另外,还有一种防止文件被篡改的方式,其通过定期来监控目标文件或者目录,如果发现目标文件或者目录被黑客修改或者删除,就利用事前备份好的文件和目录来恢复所修改的内容,这样即使文件和目录被修改了,也可以及时恢复。但是这种方式存在如下缺点总是需要为要保护的内容做备份,在发生篡改行为时总是需要做以恢复为目的的内...
【技术保护点】
一种防止文件被篡改的系统,其安置在计算设备中,该计算设备具有操作系统,该操作系统包括提供核心操作的内核空间和提供各种应用的用户空间,该防止文件被篡改的系统包括:位于内核空间中的监测单元;位于用户空间中的监测客户端和多个应用,其中所述监测客户端适于与所述监测单元进行通信;以及位于用户空间和内核空间之间的系统调用接口,位于用户空间中的所述多个应用分别通过该系统调用接口与所述监测单元连接;其中,位于用户空间中的多个应用分别通过系统调用接口向内核空间的核操作发起系统调用请求,所述监测单元监测所述系统调用请求,以及该监测单元包括:截获模块,适于在与系统调用相对应的核心操作被执行之前截...
【技术特征摘要】
1.一种防止文件被篡改的系统,其安置在计算设备中,该计算设备具有操作系统,该操作系统包括提供核心操作的内核空间和提供各种应用的用户空间,该防止文件被篡改的系统包括 位于内核空间中的监测单元; 位于用户空间中的监测客户端和多个应用,其中所述监测客户端适于与所述监测单元进行通信;以及 位于用户空间和内核空间之间的系统调用接口,位于用户空间中的所述多个应用分别通过该系统调用接口与所述监测单元连接; 其中,位于用户空间中的多个应用分别通过系统调用接口向内核空间的核操作发起系统调用请求,所述监测单元监测所述系统调用请求,以及该监测单元包括 截获模块,适于在与系统调用相对应的核心操作被执行之前截获所述系统调用; 判断模块,适于判断所述系统调用是否合法; 告警模块,在所述判断模块判断该系统调用非法时,拒绝该系统调用并生成告警信息;以及 恢复模块,在所述判断模块判断该系统调用合法时,允许该系统调用,恢复该系统调用的执行, 其中,所述核心操作为各种与文件相关的操作,以及所述系统调用为各种与文件操作相关的系统调用。2.根据权利要求I所述的系统,其中, 所述判断模块包括配置信息,所述配置信息包括一个或者多个配置项,每个配置项包括所述系统调用涉及的文件的文件信息和/或发起该系统调用的应用的应用信息, 其中所述判断模块根据所述配置信息来判断该系统调用是否合法。3.根据权利要求2所述的系统,其中所述文件信息包括文件的路径信息和/或名称,所述应用信息包括所述应用在操作系统中的唯一标识号。4.根据权利要求2或3所述的系统,其中在所述配置信息中的每个配置项包括文件的文件信息和应用的唯一标识号的情形下,当所述系统调用涉及的文件的文件信息以及发起该系统调用的应用的唯一标识号不存在于所述配置信息的任一个配置项中时,所述判断模块判断该系统调用为非法。5.根据权利要求4所述的系统,其中每个配置项还包括操作权限; 当所述系统调用涉及的文件的文件信息以及发起该系统调用的应用的唯一标识号存在于所述配置信息的配置项中,但是该系统调用所需要的文件操作权限和所述配置项中的操作权限不匹配时,所述判断模块判断该系统调用为非法。6.根据权利要求4或5所述的系统,其中监测单元还包括 通信模块,其与所述用户空间的监测客户端进行通信,读取所述监测客户端中的配置信息并将其传送给判断模块,以及将告警模块生成的告警信息传送至所述监测客户端。7.根据权利要求1-6中任一个所述的系统,其中, 所述监测客户端通过对所述监测单元做定时心跳检测而检测所述监测单元是否正常工作。8.根据权利要求1-7...
【专利技术属性】
技术研发人员:冯顾,李涵,刘浩,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。