[发明专利]一种系统关键文件完整性的监控保护方法及装置在审
| 申请号: | 201910683279.0 | 申请日: | 2019-07-26 |
| 公开(公告)号: | CN110502930A | 公开(公告)日: | 2019-11-26 |
| 发明(设计)人: | 邢希双 | 申请(专利权)人: | 苏州浪潮智能科技有限公司 |
| 主分类号: | G06F21/64 | 分类号: | G06F21/64 |
| 代理公司: | 37105 济南诚智商标专利事务所有限公司 | 代理人: | 王申雨<国际申请>=<国际公布>=<进入 |
| 地址: | 215100 江苏省苏州市吴*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 关键文件 应用层 内核驱动模块 系统关键文件 监控保护 监控规则 内核驱动 内核层 脚本 基线 更新 扫描 监控保护装置 实时监控系统 破坏性动作 关键系统 规则判断 规则文件 记录监控 脚本生成 结果呈现 启动时 轻便 内核 绕过 操作系统 拦截 隐蔽 输出 监控 灵活 保证 | ||
1.一种系统关键文件完整性的监控保护方法,其特征是,包括以下步骤:
应用层启动时更新监控规则;
内核层根据监控规则实时监控系统关键文件的完整性变化;
应用层收集内核层监控保护输出;
应用层更新关键文件的完整性基线。
2.如权利要求1所述的系统关键文件完整性的监控保护方法,其特征是,所述应用层启动时更新监控规则,具体包括:
应用层启动时,根据当前预设配置文件,形成内核层需要的规则文件。
3.如权利要求2所述的系统关键文件完整性的监控保护方法,其特征是,所述内核层根据监控规则实时监控系统关键文件的完整性变化,具体包括:
内核层判断被访问文件是否属于监控规则列表,如果否,执行文件操作;如果是,判断被访问文件是否允许破坏性动作,如果否,拒绝执行文件操作;如果是,执行文件操作。
4.如权利要求3所述的系统关键文件完整性的监控保护方法,其特征是,所述内核层根据监控规则实时监控系统关键文件的完整性变化,还包括:
生成保护日志和监控日志,抛给日志队列;
内核层监控日志队列,将日志信息写入文件系统中。
5.如权利要求4所述的系统关键文件完整性的监控保护方法,其特征是,所述应用层收集内核层监控保护输出,具体包括:
应用层定时在指定目录下扫描内核层的保护日志和监控日志输出;
应用层将保护日志和监控日志输出标准化,并在命令行界面显示。
6.如权利要求5所述的系统关键文件完整性的监控保护方法,其特征是,所述应用层更新关键文件的完整性基线,具体包括:
应用层根据内核层输出日志信息判断关键文件完整性发生变化,应用层重新计算关键文件哈希值,更新关键文件完整性基线。
7.如权利要求6所述的系统关键文件完整性的监控保护方法,其特征是,所述应用层更新关键文件的完整性基线步骤之后,还包括:
应用层判断系统不需要完整性监控和保护时,卸载内核层对应文件。
8.一种系统关键文件完整性的监控保护装置,其特征是,包括:
监控规则更新模块,应用层启动时更新监控规则;
完整性判断模块,内核层根据监控规则实时监控系统关键文件的完整性变化;
日志输出模块,应用层收集内核层监控保护输出;
更新模块,应用层更新关键文件的完整性基线。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于苏州浪潮智能科技有限公司,未经苏州浪潮智能科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910683279.0/1.html,转载请声明来源钻瓜专利网。
