[发明专利]Linux平台上文件复制、移动、压缩、解压操作识别方法

说明书

本发明公开了Linux平台上文件复制、移动、压缩、解压操作识别方法，该方法包括捕获程序名、基本操作并存储、标记文件标签、结束标记文件、查找标记“源文件”标签的文件、分析文件是否发生了复制、移动、压缩、解压操作，该方法能够快速准确地识别出文件发生的文件操作行为，为有效保护文件数据安全，防止通过非法文件复制、移动、压缩、解压操作泄露技术秘密和重要数据提供了防范机制。

技术领域

本发明属于计算机系统安全管理技术领域，特别涉及Linux平台上文件复制、移动、压缩、解压操作识别方法。

背景技术

目前，在个人电脑上实现文件复制（移动）操作通常需要经过如下步骤：首先选中要复制（移动）的文件，右击鼠标右键，从弹出的菜单中选择“复制”（剪切），再打开目标文件目录，点击鼠标右键，从弹出的菜单中选择“粘贴”，经过以上两个步骤完成将待复制（移动）文件粘贴到目标文件目录中。为了方便用户操作，现有技术还提供了快捷方式，首先选中待复制的文件，按“CTRL+C”（CTRL+X），然后打开目标文件目录，按“CTRL+V”就可以实现文件的复制（移动）和粘贴。

实现文件压缩（解压）操作通常需要经过如下步骤：首先选中要压缩（解压）的文件，右击鼠标右键，从弹出的菜单中选择“压缩”（解压），再在弹出的菜单中选择磁盘目录位置，点击“创建”（解压缩），经过以上两个步骤完成将待压缩（解压）文件操作。

在Linux系统的文件审计功能中，需要对受保护文件进行全生命期监视，正确地识别文件复制、移动、压缩、解压操作是监视受保护文件变化的重要环节。在现有技术中，在Linux平台上识别文件操作的方法是在应用层进行API挂钩或在内核层对系统API调用表进行替换，程序捕获到API被调用时，此文件就发生了相应的操作。

然而，无论是应用层挂钩还是内核层替换，仅能够识别出打开、关闭、读取、写入、重命名、删除基本文件操作，对于复制、移动、压缩、解压操作这样的文件操作却无法准确地识别。

综上所述，在现有技术中，Linux平台文件复制、移动、压缩、解压操作识别方法存在识别准确性差、通用性差，难以对文件进行全生命周期进行审计的缺点。

发明内容

本发明是为解决上述现有技术中存在的不足之处，提供Linux平台上文件复制、移动、压缩、解压操作识别方法，以提高文件复制、移动、压缩、解压操作识别方法的识别率、可靠性、通用性，提供对文件进行全生命周期审计的能力。

本发明提供了Linux平台上文件复制、移动、压缩、解压操作识别方法，包含以下步骤：

A.捕获程序名、基本操作并存储：在内核层捕获文件的程序名、基本操作，以及基本操作携带的信息并存储在哈希表中；

所述文件的基本操作包括：打开、读取、写入、关闭、重命名、删除；

所述文件的基本操作携带的信息包括：文件路径、文件名称、扩展名、文件大小、MD5值；

B．标记文件标签：根据文件的操作周期中的基本操作，以及“删除”操作和“重命名”操作来标记文件；

所述文件的操作周期是指从文件执行“打开”操作开始，直到所述文件执行“关闭”操作结束；

在文件的操作周期中，文件仅执行过“写入”操作，且未执行过“读取”操作，将所述文件标记为“目标文件”标签；

在文件的操作周期中，文件仅执行过“读取”操作，且未执行过“写入”操作，将所述文件标记为“源文件”标签；

文件执行过“删除”操作，且所述文件已标记为“源文件”标签，给所述文件标记“已删除”子标签；

如果文件执行过“重命名”操作，将标记在原文件的标签重新标记在重命名后的新文件上；