本發明提供一種基于內核的文件操作行為監控方法及裝置，通過對文件系統的目錄進行監控，結合文件操作行為系統調用監控組成對文件操作行為的監控裝置。包括對指定路徑的監控、移動應用程序的文件操作行為監控兩個模塊；以app作為輸入，可以從內核中監控app的采取的文件操作行為并輸入日志；以文件路徑作為輸入可以監控該目錄下的文件改動。本發明可用于對惡意app文件操作行為的監控。

技術領域

本發明屬于Android應用程序監控技術領域，特別涉及一種基于內核的文件操作行為監控方法及裝置。

背景技術

當時是一個移動設備不可或缺的時代，因為移動設備的方便，人們生活中的許多行為都在移動設備上完成，比如支付，聊天，寫備忘錄等。根據IDC公司的分析報告，截止到2016年第三季度，Android操作系統占智能手機市場份額的86.8％。由于Android系統的開源特性，Android的開發比其他操作系統的門檻要低很多，這使其具有龐大的市場占有量，也是正因為這一點，由于開發者的良莠不齊，導致各個廠商的Android設備中存在許多漏洞。Android的開源特性和開發普遍性，給了安全攻防的雙方更多的研究空間。Android系統上的安全攻防從來沒有停止過。

由于Android采用的Linux內核，現階段關于Linux內核在Android上安全的研究已經漸漸開始，比如對內核里Rootkit的研究、對Android系統中文件訪問控制的研究，這些研究的方向是指出現有的Android系統的缺陷并提出一些改正方案，沒有提出一種有效的對惡意軟件行為的監控和防御手段。

因為要發現惡意軟件的執行邏輯最方便的辦法就是對文件操作行為進行監控。根據已有的對提權、支付漏洞或者勒索等安全問題的調研，目前的安全分析方面迫切需要一個能夠對Root級的用戶進行監控的系統。基于這樣的背景本發明提出了一個基于Android內核的文件操作行為監控裝置。

以360安全為代表的眾多安全廠商為了保障用戶使用手機的安全，常常會對惡意軟件的行為進行監控，從而分析其執行邏輯，找到防御的方法。其中最常見的對惡意軟件行為進行分析的方法為沙箱技術，沙箱將運行程序的行為重定向到一個文件夾下，在其內部運行的程序不能對真正系統產生影響。通常沙箱用來測試不受信任的應用程序或上網行為。但是隨著以下兩種技術的成熟，傳統的沙箱已經不能完成對惡意軟件進行監控和分析的任務。

1)逃逸技術，惡意軟件會檢測自己的運行環境，當發現自己被調試或者處于沙箱中時會停止自己的惡意行為，只表現出友好的行為。沙箱系統對這種惡意軟件束手無策。基于這種情況，必須要在真機上對惡意軟件進行監控。

2)底層攻擊，對于當前許多惡意軟件其惡意行為發生在NativeUserspace的層級，可以繞過傳統沙箱的監控，因此在內核層級下建立一個監控裝置是十分有必要的。

發明內容

基于目前惡意軟件的發展趨勢，為了克服上述現有技術的缺點，本發明的目的在于提供一種基于內核的文件操作行為監控方法及裝置，使用位于Android內核系統調用的Hook技術和基于inotify的指定文件路徑監控技術，實現了一個更底層的無法被惡意軟件發現的文件操作監控裝置來對惡意軟件進行監控。根據現有對惡意軟件行為的統計，選擇監控：設備通道管理操作、文件的打開、關閉、隨機訪問、刪除、文件屬性修改、文件擁有者修改、創建文件或文件夾、創建文件鏈接操作來實現對惡意軟件行為的記錄。對監控日志進行分析可以快速的定位惡意軟件的位置和出現漏洞的設備，可以幫助安全分析人員發現惡意軟件的運行邏輯進而提取惡意軟件的特征碼，對安全分析與定位設備漏洞具有重要的意義。同時，由于部分惡意軟件會將惡意代碼寫入系統文件借助系統進程來執行自己的惡意代碼，所以監控裝置還需要一個對指定文件路徑監控的監控方式。

為了實現上述目的，本發明采用的技術方案是：

一種基于內核的文件操作行為監控方法，包括如下步驟：

S1，啟動監控裝置；