[发明专利]一种基于Linux安全模块的文件审计、防护方法

权利要求书

1.一种基于Linux安全模块的文件审计、防护方法，其特征在于，包括如下步骤：

安全模块定义文件操作相关的钩子函数；

将钩子函数注册到LSM框架中；

编译成内核ko模块，以Linux内核ko模块的形式来实现安全访问控制；

步骤安全模块定义文件操作相关的钩子函数，包括：

定义全局表并在其中指定要实现的钩子函数列表；

在指定的钩子函数中，进行文件操作审计；

设置钩子函数的返回值来实现文件防护；

步骤定义全局表并在其中指定要实现的钩子函数列表中，定义security_operations结构的全局表，指定的钩子函数包括：

文件复制/创建判断函数、文件删除判断函数、目录复制/创建判断函数、目录删除判断函数、文件操作判断函数、文件复制判断函数、文件打开函数、文件修改判断函数；

步骤定义全局表并在其中指定要实现的钩子函数列表中，定义security_operations结构的全局表；

设定，文件复制/创建判断函数为inode_create函数；

文件删除判断函数为inode_unlink函数；

目录复制/创建判断函数为inode_mkdir函数；

目录删除判断函数为inode_rmdir函数；

文件操作判断函数为inode_rename函数；

文件复制判断函数-inode_setattr函数；

文件打开函数为file_open函数；

文件修改判断函数为file_permission函数；

步骤设置钩子函数的返回值来实现文件防护，具体操作如下：

文件隐藏：file_permission函数中第一参数的MAY_READ位被置第一设定值时，返回第一设定值，即可隐藏文件；

文件防止修改：inode_setattr返回第二设定值，或者file_permission中第一参数的MAY_READ位被置第一设定值时，返回第二设定值，即可防止文件被修改；

文件防止删除：inode_unlink和inode_rmdir返回第二设定值，即可防止文件被删除；inode_rename的目标目录是回收站时，返回第二设定值即可防止文件被删除。

2.根据权利要求1所述的一种基于Linux安全模块的文件审计、防护方法，其特征在于，步骤在指定的钩子函数中，进行文件操作审计，包括：

通过函数参数获取被操作文件的完整名称；

通过钩子函数类型识别文件操作类型。

3.根据权利要求2所述的一种基于Linux安全模块的文件审计、防护方法，其特征在于，文件操作类型识别过程包括：

inode_create钩子函数中判断文件复制操作和文件创建操作；其中，当进程名为指定的第一名称或第二名称且由相同的进程先调用了file_open函数时，是文件复制操作；否则是文件创建操作；

inode_mkdir 钩子函数中判断目录复制操作和目录创建操作；其中，当进程名为指定的第一名称或第二名称且由相同的进程先调用了file_open函数时，是目录复制操作；否则是目录创建操作。

4.根据权利要求2所述的一种基于Linux安全模块的文件审计、防护方法，其特征在于，文件操作类型识别过程还包括：

inode_unlink 钩子函数中判断文件删除操作；

inode_rmdir 钩子函数中判断目录删除操作；

inode_setattr 钩子函数中判断文件复制操作；其中，当进程名为指定的第二名称，且由相同的进程先调用了file_open时，是文件复制操作；

file_permission 钩子函数中判断文件修改操作，其中，第一参数中可写位被置第一设定值时，是文件修改操作。