[发明专利]一种文件操作IP溯源方法和系统

说明书

本发明公开了一种文件操作IP溯源方法和系统，所述方法包括如下步骤：建立内核调试模块，在所述内核调试模块挂载至少两个不同关键函数；获取执行所述关键函数进程的PID字典和socketfd字典；建立文件监控模块，记录文件操作进程的PID和文件操作行为；在所述内核调试模块中挂载execve函数，记录函数调用过程，获取并返回进程树；将文件操作进程的PID和返回的进程树对比，查找所述文件操作进程的PID所在的进程树，并根据所述进程树获取祖先进程；将所述祖先进程的PID和所述PID字典、socketfd字典对比，获取祖先进程对应的socketfd，并解析祖先进程socketfd中的IP。所述方法和系统通过祖先进程获取的套接字链条来追溯文件操作者IP，无视IP地址的伪装，因此可以有效地识别真实IP。

技术领域

本发明涉及网络安全领域，特别涉及一种文件操作IP溯源方法和系统。

背景技术

文件监控是一种广泛应用的部署于linux服务器上的安全监测机制。目前在linux上有多种技术方案可以对文件的读取、写入、删除、执行进行监控，但是现有的所有的文件操作监控技术方案都存在一个相同的弊端，即只能确定当前操作文件的进程是哪个，而无法确定该操作行为是哪位访问者(文件操作者)产生的，无法追溯到访问者的网络地理位置(IP地址)。

发明内容

本发明其中一个发明目的在于提供一种文件操作IP溯源方法和系统，所述方法和系统通过文件操作的进程链条和套接字链条，根据文件操作的所处的进程树追溯到祖先进程，通过祖先进程获取的套接字链条来追溯文件操作者IP，无视IP地址的伪装，因此可以有效地识别真实IP。

本发明另一个发明目的在于提供一种文件操作IP溯源方法和系统，所述方法和系统通过关键函数获取执行该关键函数的PID字典，socketfd字典，用于后续文件操作溯源PID的对比，用于获取真实的IP。

本发明另一个发明目的在于提供一种文件操作IP溯源方法和系统，所述方法和系统在溯源根据祖先进程过程中将socketfd转化为Sock结构体，进而在Sock结构体中解析出真实的IP，由于祖先进程的Sock结构体中的五元组无法被篡改，因此可以解析出文件操作的真实IP。

为了实现至少一个上述发明目的，本发明进一步提供一种文件操作IP溯源方法，所述方法包括如下步骤：

建立内核调试模块，在所述内核调试模块挂载至少两个不同关键函数；

获取执行所述关键函数进程的PID字典和socketfd字典；

建立文件监控模块，记录文件操作进程的PID和文件操作行为；

在所述内核调试模块中挂载execve函数，记录函数调用过程，获取并返回进程树；

将文件操作的进程PID和返回的进程树对比，查找所述文件操作进程PID所在的进程树，并根据所述进程树获取祖先进程；

将所述祖先进程的PID和所述PID字典、socketfd字典对比，获取祖先进程对应的socketfd，并解析祖先进程socketfd中的IP。

根据本发明其中一个较佳实施例，解析祖先进程获取socketfd中的IP方法包括：在内核中调用原生函数sockfd_lookup函数，通过所述sockfd_lookup函数将追溯祖先进程获取的socketfd转化为sock结构体，从所述sock结构体中解析出真实IP。

根据本发明另一个较佳实施例，所述内核调试模块包括Linux系统中kprobe模块和所述kprobe模块派生的kretprobe模块，所述内核调试模块跟踪记录内核函数的执行状态。