[发明专利]基于进程粒度和打开文件集合的PASS起源信息收集方法

权利要求书

1.一种基于进程粒度和打开文件集合的PASS起源信息收集方法，其特征在于：感知起源系统PASS是自动收集系统中存储对象起源信息的存储系统，起源信息是指：一个文件对象的完整历史数据，包括产生数据时的命令及参数，产生数据时系统的环境参数，操作系统的版本信息，对象之间的关系；采用基于进程粒度的PASS信息收集算法，对每一个进程进行跟踪，为每个进程维护三个文件集合：一个集合是被读文件的集合，一个集合是被写文件的集合，最后为被映射文件集合；当有文件被写时，我们将被读文件的集合中的文件统一记录为被写文件的前驱者，当有文件被映射时，将被读文件的集合中的文件统一记录为被写文件的前驱者。

2、根据权利要求1所述的基于进程粒度和打开文件集合的PASS起源信息收集方法，其特征在于：采用基于进程粒度的PASS信息收集算法，其过程包括：

(1)通过修改操作系统、插入模块或者加入钩子方法加入系统监控代码，监控进程创建和结束系统调用；

(2)通过修改操作系统、插入模块或者加入钩子等方法在操作系统的文件系统界面加入文件系统操作监控代码，监控文件open，read，write，mmap，close；

(3)当系统检测到进程创建时，在进程PCB或者其他内存管理区域中维护两个文件集合：被读文件集合，被写文件集合，被映射文件接合；

(4)当系统检测到文件打开时，如果为新创建文件，则：

a)将进程中的被读文件集合记录为此新创建文件的前驱者；

b)将进程信息记录于文件的起源信息中；

(5)当系统检测到文件读时，则：

a)将文件记录在进程打开文件集合中；

b)在读、写文件集合中检测环；

(6)当系统检测到文件写时，则：

a)将进程中的当前读文件集合记录为被写文件的前驱者；

b)将前驱者信息记录于特定的日志区域中；

c)将文件记录于进程写文件集合中；

d)在读、写文件集合中检测环；

(7)当系统检测到文件映射时，则：

a)将文件记录于进程读文件集合中；

b)在读、写文件集合中检测环；

(8)定期将日志中的信息写入永久存储，成功时将相应日志删除；

(9)当检测到文件关闭时，则将前驱信息日志写入永久存储，成功时将相应的日志删除；

(10)当系统检测到进程关闭时，将两个集合中文件的为刷新的日志信息写入永久存储，成功时将相应的日志删除；

(11)工具软件扫描特定的日志区域，如果有未刷新的日志信息，则将信息日志写入永久存储，成功时将相应的日志删除。

3、根据权利要求2所述的基于进程粒度和打开文件集合的PASS起源信息收集方法，其特征在于：所述永久存储为硬盘和数据库。