[发明专利]一种监测文件篡改的方法、系统及电子设备

说明书

本申请提供了一种监测文件篡改的方法、系统及电子设备，该方法包括：获取操作系统文件对应的目标跟踪点，通过信息层接收文件保护规则以及设定进程，并传输到文件内核态程序；确定原始文件涉及的进程不包含设定进程，获取目标跟踪点对应的文件内容信息，并传输到文件用户态程序；调取文件内核态程序中的文件保护规则，通过文件用户态程序将目标跟踪点对应的文件内容信息遍历对比文件保护规则，判断原始文件是否被篡改；若是，确定原始文件被篡改。通过本申请实施例提供的技术方案，避免了内核区域重复编译，提高了文件篡改监测效率；同时监控和记录了哪个进程进行了文件篡改，使得文件篡改可以实时监控和记录。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种监测文件篡改的方法、系统及电子设备。

背景技术

随着信息技术的迅猛发展，计算机应用于日常生产和生活，计算机带来群众生活便利的同时，也因为频发的计算机文件泄露被篡改而备受争议，给用户带来了巨大的经济损失。因此，为防止文件被篡改的文件防篡改技术具有重要的现实意义。

目前，现有的文件防篡改技术是基于内核驱动的方式来防篡改。当更新代码时，需要经常编译和部署一次性的内核驱动，拖慢了开发和迭代速度，耗费时间，降低了开发效率。此外，内核驱动是与内核绑定，每次用户现场使用不同的内核，就需要重新编译以此对应内核版本的内核驱动，才可以加载对应内核的驱动。一旦编码有问题，很容易导致内核崩溃。对此，基于inotify的用户态文件防篡改由于用户态程序适用于大部分linux内核，可以避免内核驱动重复编译。

然而，基于inotify用户态的防篡改技术中的inotify事件中缺少进程信息，对于哪个进程进行了文件篡改缺少监控和记录，导致对文件篡改无法监控和记录。

发明内容

本申请提供了一种监测文件篡改的方法、系统及电子设备，用以解决对于哪个进程进行了文件篡改缺少监控和记录，导致对文件篡改无法监控和记录的问题。具体实现方案如下：

第一方面，本申请提供了一种监测文件篡改的方法，所述方法包括：

获取操作系统文件对应的目标跟踪点，通过信息层接收文件保护规则以及设定进程，并传输到文件内核态程序；

确定原始文件涉及的进程不包含所述设定进程，获取所述目标跟踪点对应的文件内容信息，并传输到文件用户态程序；

调取所述文件内核态程序中的所述文件保护规则，通过所述文件用户态程序将所述目标跟踪点对应的文件内容信息遍历对比所述文件保护规则，判断所述原始文件是否被篡改；

若否，放过所述原始文件，并生成记录日志；

若是，确定所述原始文件被篡改。

通过文件用户态程序和文件内核态程序对跟踪点的处理，避免了内核区域重复编译，加快了开发和迭代速度，节省了时间，提高了文件篡改监测效率；同时监控和记录了哪个进程进行了文件篡改，使得文件篡改可以实时监控和记录。

在一种可能的设计中，所述确定原始文件涉及的进程不包含所述设定进程，包括：

调取所述文件内核态程序中的信任进程以及恢复进程；

通过所述文件内核态程序判定所述原始文件涉及的进程是否包含所述信任进程以及恢复进程；

若是，放过所述原始文件，并生成第一记录日志；

若否，确定所述原始文件涉及的进程不包含所述信任进程以及恢复进程。

通过文件内核态程序对原始文件涉及的进程是否包含恢复进程的判断，避免了程序进入无限循环；同时通过文件内核态程序对原始文件涉及的进程是否包含信任进程的判断排除了程序信任的文件，节约了系统资源。

在一种可能的设计中，所述调取所述文件内核态程序中的所述文件保护规则，包括：