[发明专利]一种内核级的文件防护方法及系统

说明书

技术领域

本发明涉及系统安全技术领域，特别是一种内核级的文件防护方法及系统。

背景技术

文件防护是系统安全、入侵检测、网页防篡改等产品中常用的技术，其功能是保护特定的目录或文件，使其不被非法篡改。从机制上来说，文件防护大致分为两大类：一种是实时阻断类，即在篡改发生前即阻止；另一种是事后恢复类，即在篡改发生后及时发现并进行恢复。

而内核级的文件防护机制作为一种实时阻断的文件防护机制被很多Linux用户所使用。目前，Linux下常用的一种内核级的文件防护机制是劫持与文件操作相关的系统调用（如open、write、rename、unlink等），在自定义的系统调用实现函数中进行合法性检查。其工作原理是：Linux系统调用表的每个表项都存储着某个系统调用的实现函数的地址。Linux在执行系统调用中断例程时，会以系统调用号为索引查找系统调用表，确定系统调用实现函数的地址。通过修改系统调用表的全部或部分表项，可以使其指向自定义的处理函数，从而实现对系统调用的劫持。

但是，这种内核级的文件防护机制中存在的问题为：与文件操作相关的系统调用多达几十个，且随着Linux内核版本的更新而不断增加，全部劫持与文件操作相关的系统调用对原来的系统影响很大，而只劫持部分系统调用又会导致防护上的漏洞，并且对系统调用全部劫持的话，将会影响整个操作系统中所有文件的操作。

发明内容

本发明提供一种内核级的文件防护方法及系统，以解决现有技术中全部劫持对文件操作相关的系统调用时，会造成整个操作系统的稳定性差并且对整个操作系统影响大的问题。

具体技术方案如下：

一种内核级的文件防护方法，所述方法包括：

接收内核级的文件防护请求；

获取所述内核级的文件的文件操作表和索引节点操作表；

分别修改所述文件操作表和索引节点操作表中的参数，得到指向结果，依据所述指向结果得到规则检查函数；

通过所述规则检查函数判断所述内核级的文件操作是否符合预设防护规则，如果是，则阻止所述内核级的文件操作，如果否，则完成所述内核级的文件操作。

优选地，所述通过所述规则检查函数判断所述内核级的文件操作是否符合预设防护规则的过程包括：

通过所述规则检查函数判断所述内核级的文件操作是否有禁止进程对所述内核级的文件进行更改的操作，如果是，则阻止所述内核文件操作，如果否，则完成所述内核级的文件操作。

优选地，所述通过所述规则检查函数判断所述内核级的文件操作是否符合预设防护规则的过程包括：

通过所述规则检查函数判断所述内核级的文件操作是否有禁止用户对所述内核级的文件进行更改的操作，如果是，则阻止所述内核级的文件操作，如果否，则完成所述内核级的文件操作。

优选地，所述通过所述规则检查函数判断所述内核级的文件操作是否符合预设防护规则的过程包括：

通过所述规则检查函数判断所述内核级的文件操作是否有禁止进程对所述内核级的文件进行更改和禁止用户对所述内核级的文件进行更改的操作，如果是，则阻止所述内核级的文件操作，如果否，则完成所述内核级的文件操作。

优选地，在获取所述内核级的文件的文件操作表和索引节点操作表之后，在修改所述文件操作表和索引节点操作表中的参数之前，还包括：

将所述文件操作表和索引节点操作表进行备份。

一种内核级的文件防护系统，所述系统包括：接收模块、获取模块、修改模块和判断模块；

其中，所述接收模块用于，接收内核级的文件防护请求；

所述获取模块用于，获取所述内核级的文件的文件操作表和索引节点操作表；

所述修改模块用于，分别修改所述内核级的文件操作表和索引节点操作表中的参数，得到指向结果，依据所述指向结果得到规则检查函数；

所述判断模块用于，通过所述规则检查函数判断所述内核级的文件操作是否符合预设防护规则，如果是，则阻止所述内核级的文件操作，如果否，则完成所述内核级的文件操作。

优选地，所述判断模块用于，通过所述规则检查函数判断所述内核级的文件操作是否有禁止进程对所述内核级的文件进行更改的操作，如果是，则阻止所述内核文件操作，如果否，则完成所述内核级的文件操作。

优选地，所述判断模块用于，通过所述规则检查函数判断所述内核级的文件操作是否有禁止用户对所述内核级的文件进行更改的操作，如果是，则阻止所述内核级的文件操作，如果否，则完成所述内核级的文件操作。