本發明公開了一種文件監控的方法及裝置，解決現有技術中的文件監控的方法存在監測遺漏，全面監控系統開銷較大、嚴重影響系統性能的技術問題。本發明的文件監控的方法及裝置，采用共享存儲空間機制，利用用戶空間組件、內核監測組件和內核交互組件監控文件。用戶空間組件，用于將內核監測組件裝載到內核。內核監測組件是字節碼程序，由內核解釋執行，所述字節碼程序是由計算機編譯得到；裝載過程中會對內核監測組件進行程序安全性檢查，將內核監測組件掛載到內核的跟蹤點，設置事件回調函數，循環監聽事件；當得到事件內容時，輸出到終端、或日志文件；可應用于信息安全技術領域。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種文件監控的方法及裝置。

背景技術

文件監控主要用于檢測惡意軟件的行為。惡意軟件通過下載額外的攻擊程序，或者創建駐留文件，或者修改敏感文件配置，以達到攻擊者的意圖。而通過文件監控，可以及時發現敏感文件的訪問、惡意軟件下載等危險行為。雖然操作系統中已有相關的文件監控得到應用，如inotify，但是這種文件監控方式存在著性能瓶頸。特別是當監測服務器端大量文件時，就需要有高性能的文件監控方法。

目前常用的文件監控方法主要有以下幾種：一是通過文件防護策略的方式。將文件防護策略與文件列表建立對應關系。通過對列表中的文件進行掃描來判斷文件是否被修改。二是通過inotify?API進行監控。inotify是一個文件更改通知系統，屬于內核的一個功能，它允許應用程序根據事件列表請求監視一組文件。當事件發生時，應用程序會收到通知。

以上文件監控的方法存在以下問題：第一，文件防護策略的方式，雖然減少了監測量，避免了大量的系統開銷，但是存在監測遺漏的情況。如果惡意軟件修改的文件不在列表中，那么就無法監測到。第二，inotify方式，是通過攔截系統調用進行監控，監控全面，但是在監控記錄輸出時系統開銷較大。如果惡意軟件進行大量文件的創建和修改，那么會嚴重影響系統性能。

因此，需要設計一種高效的文件監控方法及裝置來跟蹤軟件對文件的訪問。

發明內容

本發明提供一種文件監控的方法及裝置，可有效記錄系統中文件的訪問情況，并可高效運行，降低系統性能開銷。

為了實現上述目的，本發明采用的技術方案如下：

本發明提供一種文件監控的方法，采用用戶空間與內核空間的共享存儲空間機制，提高監測性能，涉及的組件包括用戶空間組件、內核監測組件和內核交互組件。用戶空間組件是用戶態程序，通過內核交互組件控制內核監測組件。內核交互組件是用戶態程序與內核態程序交互的接口，提供相關函數給用戶空間組件調用，以控制內核監測組件。內核監測組件是內核態程序，在內核處獲取文件監控的相關信息，存入共享存儲空間。內核交互組件從共享存儲空間取出文件監控信息傳遞給用戶空間組件，用戶空間組件處理后形成文件監控記錄輸出。

優選的，方法包括以下幾個步驟：

在步驟S101中，用戶空間組件，將內核監測組件裝載到內核，內核監測組件是字節碼程序，由內核解釋執行，所述字節碼程序是由計算機編譯得到；裝載字節碼程序過程中會對內核監測組件進行程序安全性檢查；

在步驟S102中，用戶空間組件，將內核監測組件掛載到內核的跟蹤點；跟蹤點是內核提供的一種掛鉤函數；

在步驟S103中，用戶空間組件，設置事件回調函數；當共享存儲空間有事件數據時，會觸發用戶空間程序的回調函數；

在步驟S104中，用戶空間組件，循環監聽事件；

在步驟S105中，內核監測組件，由用戶空間組件掛載到open、openat系統調用函數的入口處；

在步驟S106中，內核監測組件，獲取當前進程id號，該進程id號作為數據存儲的索引值，存儲到特定的共享存儲空間；