[发明专利]基于Rsync的篡改恢复方法及系统

说明书

技术领域

本发明涉及网络安全的技术领域，尤其是涉及一种基于Rsync的篡改恢复方法及系统。

背景技术

Rsync是一款开源的，快速的，多功能的，可实现全量及增量的本地或远程数据同步备份的工具。

现有技术中，基于Rsync的防篡改方案包括以下两种：1、定时轮询对保护跟路径进行定期全量同步；2、使用inotify这类文件监控程序对保护路径端文件进行监控，如果保护路径端文件改变则从备份端拉取文件。现有技术中，基于驱动层文件监听防篡改方案是指，先指定可以修改文件的进程白名单，通过驱动层监听文件修改事件，然后对白名单外的进程进行阻断，属于篡改前阻止。

Rsync直接对保护路径执行同步存在以下问题：对于包含文件数量多，或文件比较大的文件夹同步，消耗时间比较长。比如，100G网站同步单个文件可能耗时超过10分钟，Rsync同步前需要对被保护的文件夹进行整体的文件比对和效验，来定位需要同步的文件，从而造成篡改文件恢复速度过慢，导致错误文件长期存在于被保护路径中。

通过inotify这类仅监听文件修改事件的监控程序，每次监听到文件修改事件，则触发一次同步，存在以下问题：Rsync在同步文件过程中，会先将远端的文件同步到本地的临时文件中，待同步完成之后，则将临时文件覆盖本地被修改的文件，覆盖完成后，会删除临时文件。每一次同步文件，都将产生新的同步事件，这会对监控程序照成严重的干扰，甚至会出现同步死循环。驱动层文件监听依据白名单进行阻断来实现防篡改，存在以下问题：该方案存在安全隐患，白名单进程可能被攻击者利用，从而导致文件被篡改后，无法恢复，该情形已在用户使用中出现过。

发明内容

有鉴于此，本发明的目的在于提供一种基于Rsync的篡改恢复方法及系统，以缓解了现有技术中存在的在对大量数据进行恢复时，恢复效率较低的技术问题。

第一方面，本发明实施例提供了一种基于Rsync的篡改恢复方法，包括：监控端监听目标操作事件，其中，所述目标操作事件为待监控的操作系统中的文件被执行相关操作的事件；所述监控端基于监听到的所述目标操作事件，获取文件篡改日志，其中，所述文件篡改日志中包括以下至少之一：被修改文件的名称，对所述被修改文件进行修改的进程，所述进程的父进程；所述监控端基于所述文件篡改日志生成Rsync指令，以使备份端根据所述Rsync指令对所述被修改文件进行恢复。

进一步地，所述监控端基于所述文件篡改日志生成Rsync指令，以使备份端根据所述Rsync指令对所述被修改文件进行恢复包括：在所述文件篡改日志中过滤得到目标日志，其中，所述目标日志中包含以下至少之一：被修改的目标文件的名称，对所述目标文件进行修改的目标进程，所述目标进程的父进程，所述目标进程的父进程不是所述监控端的保护程序；基于所述目标日志生成所述Rsync指令。

进一步地，基于所述目标日志生成所述Rsync指令包括：在所述目标日志中提取所述目标文件的名称；根据所述目标文件的名称和所述目标文件的操作类型生成所述Rsync指令，其中，所述操作类型包括以下至少之一：新增，删除，修改和重命名。

进一步地，监控端监听目标操作事件包括：所述监控端对保护路径进行监听，以监听所述保护路径下的文件是否发生了变化，其中，如果监听到发生了变化，则确定监听到所述目标操作事件。

进一步地，所述监控端监听目标操作事件还包括：所述监控端通过钩子函数监听所述目标操作事件，其中，所述钩子函数为预先添加在所述操作系统的文件系统过滤驱动的应用层的函数。

第二方面，本发明实施例还提供一种基于Rsync的篡改恢复系统，包括：中心端，监控端和备份端，其中，所述中心端，所述监控端和所述备份端两两连接；所述中心端用于分别对所述监控端和所述备份端进行相关配置；所述监控端用于监听目标操作事件，其中，所述目标操作事件为待监控的操作系统中的文件被执行相关操作的事件；并基于监听到的所述目标操作事件，获取文件篡改日志，其中，所述文件篡改日志中包括以下至少之一：被修改文件的名称，对所述被修改文件进行修改的进程，所述进程的父进程；以及基于所述文件篡改日志生成Rsync指令；所述备份端用于根据所述Rsync指令对所述被修改文件进行恢复。