密文进程监控方法、装置、设备及计算机可读存储介质制造方法及图纸

本发明专利技术公开了一种密文进程监控方法、装置、设备及计算机可读存储介质，所述密文进程监控方法包括：获取密文进程的配置策略，在ftrace机制中配置配置策略；获取当前进程，若当前进程为密文进程，则根据ftrace机制中的配置策略对当前进程中的文件执行对应的操作。本发明专利技术利用linux自带的ftrace机制对密文配置策略进行配置，实现对linux系统中的密文进程进行监控，不存在传统hook技术上直接修改系统调用表的方法中，需要绕过内存写保护机制的问题，消除了传统直接修改系统调用表方法中对安全稳定性的不良影响，大大提升了系统的稳定性能。能。能。

【技术实现步骤摘要】
密文进程监控方法、装置、设备及计算机可读存储介质


[0001]本专利技术涉及信息安全
，尤其涉及一种密文进程监控方法、装置、设备及计算机可读存储介质。

技术介绍

[0002]Linux系统是一套开源的类Unix操作系统，在信息安全领域，通常需要对操作系统上运行的软件进行监控，为实现对操作系统上运行的软件进行监控，可以通过hook技术对软件程序进行行为拦截，内核层hook只需要对Linux内核中的系统调用表进行hook，在对Linux系统中的透明加密产品进行监控时，一般要求密文进程打开的文件保存后要以密文形式保存，而利用传统的内核层hook方式实现上述目的，一般是通过直接修改系统调用表，但系统调用表所在的内存区域是有写保护的，需要先去掉写保护，再进行修改。采用hook对密文进程进行监控的方式较为复杂，频繁修改对系统的安全稳定性存在不良影响。
[0003]上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术。

技术实现思路

[0004]本专利技术的主要目的在于提供一种密文进程监控方法、装置、设备及计算机可读存储介质，旨在解决直接修改Linux系统中系统调用表，导致系统的安全稳定性较低的技术问题。
[0005]为实现上述目的，本专利技术提供一种密文进程监控方法，所述密文进程监控方法包括：
[0006]获取密文进程的配置策略，在ftrace机制中配置所述配置策略；
[0007]获取当前进程，判断所述当前进程是否为密文进程；
[0008]若所述当前进程为密文进程，则根据所述ftrace机制中的配置策略对所述当前进程中的文件执行对应的操作。
[0009]可选地，所述在ftrace机制中配置所述配置策略的步骤包括：
[0010]确定系统调用表中所述配置策略对应的目标函数；
[0011]获取所述目标函数的名称，根据所述目标函数的名称确定所述目标函数的地址；
[0012]将所述目标函数的地址输入至所述ftrace机制中。
[0013]可选地，所述将所述目标函数的地址输入至所述ftrace机制中的步骤包括：
[0014]在所述ftrace机制的构造字段中输入所述目标函数的地址；
[0015]在所述ftrace机制中对所述目标函数进行替换，得到指定函数。
[0016]可选地，所述根据所述ftrace机制对所述当前进程中的文件执行对应的操作的步骤包括：
[0017]获取所述当前进程中的密文文件，调用所述指定函数对所述密文文件执行对应的操作。
[0018]可选地，所述调用所述指定函数对所述当前进程中的文件执行对应的操作的步骤包括：
[0019]若所述目标函数为关闭函数，则调用所述指定函数对所述当前进程中的文件进行加密；
[0020]并根据所述指定函数关闭加密后的文件，并关闭所述ftrace机制。
[0021]可选地，所述判断所述当前进程是否为密文进程的步骤之后，包括：
[0022]若所述当前进程不为密文进程，则调用所述配置策略对应的目标函数；
[0023]根据所述目标函数对所述当前进程中的明文文件执行对应的操作。
[0024]可选地，所述根据所述目标函数对所述当前进程中的明文文件执行对应的操作的步骤包括：
[0025]若所述目标函数为关闭函数，则调用所述关闭函数关闭所述明文文件。
[0026]此外，为实现上述目的，本专利技术还提供一种密文进程监控装置，所述密文进程监控装置包括：
[0027]策略配置模块，用于获取密文进程的配置策略，在ftrace机制中配置所述配置策略；
[0028]进程判断模块，用于获取当前进程，判断所述当前进程是否为密文进程；
[0029]进程执行模块，若所述当前进程为密文进程，则根据所述ftrace机制中的配置策略对所述当前进程中的文件执行对应的操作。
[0030]此外，为实现上述目的，本专利技术还提供一种密文进程监控设备，所述密文进程监控设备包括存储器、处理器、以及存储在所述存储器上并可在所述处理器上运行的密文进程监控程序，所述密文进程监控程序被处理器执行时实现如上述的密文进程监控方法的步骤。
[0031]此外，为实现上述目的，本专利技术还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有密文进程监控程序，所述密文进程监控程序被处理器执行时实现如上述的密文进程监控方法的步骤。
[0032]本专利技术提供一种密文进程监控方法、装置、设备及计算机可读存储介质，通过获取密文进程的配置策略，在ftrace机制中配置该密文进程的配置策略，获取当前进程，判断当前进程是否为密文进程，在当前进程为密文进程时，根据ftrace机制中的配置策略对当前进程中的文件执行对应的操作，上述方式利用linux自带的ftrace机制，通过ftrace机制对linux系统中的密文进程进行监控，对密文配置策略进行配置，在当前进程为密文进程时，可通过在ftrace机制中配置好的密文配置策略实现对当前进程中的文件执行相应的操作，不存在传统hook技术上直接修改系统调用表的方法中，需要绕过内存写保护机制的问题，消除了传统直接修改系统调用表方法中对安全稳定性的不良影响，大大提升了系统的稳定性能。
附图说明
[0033]图1是本专利技术实施例方案涉及的硬件运行环境的设备的结构示意图；
[0034]图2为本专利技术密文进程监控方法的第一实施例的流程示意图；
[0035]图3为本专利技术实施例方案涉及的一应用场景的流程示意图；
[0036]图4为本专利技术密文进程监控装置的装置结构示意图。
[0037]本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
[0038]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术的一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0039]应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。
[0040]参照图1，图1为本专利技术实施例方案涉及的硬件运行环境的设备结构示意图。
[0041]本专利技术实施例设备可以为PC(personal computer，个人计算机)、便携计算机、服务器等终端设备。
[0042]如图1所示，该密文进程监控设备可以包括：处理器1001，例如CPU(Central Processing Unit，中央处理器)，通信总线1002，用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard)，可选的用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种密文进程监控方法，其特征在于，所述密文进程监控方法包括步骤：获取密文进程的配置策略，在ftrace机制中配置所述配置策略；获取当前进程，判断所述当前进程是否为密文进程；若所述当前进程为密文进程，则根据所述ftrace机制中的配置策略对所述当前进程中的文件执行对应的操作。2.如权利要求1所述的密文进程监控方法，其特征在于，所述在ftrace机制中配置所述配置策略的步骤包括：确定系统调用表中所述配置策略对应的目标函数；获取所述目标函数的名称，根据所述目标函数的名称确定所述目标函数的地址；将所述目标函数的地址输入至所述ftrace机制中。3.如权利要求2所述的密文进程监控方法，其特征在于，所述将所述目标函数的地址输入至所述ftrace机制中的步骤包括：在所述ftrace机制的构造字段中输入所述目标函数的地址；在所述ftrace机制中对所述目标函数进行替换，得到指定函数。4.如权利要求3所述的密文进程监控方法，其特征在于，所述根据所述ftrace机制对所述当前进程中的文件执行对应的操作的步骤包括：获取所述当前进程中的密文文件，调用所述指定函数对所述密文文件执行对应的操作。5.如权利要求4所述的密文进程监控方法，其特征在于，所述调用所述指定函数对所述密文文件执行对应的操作的步骤包括：若所述目标函数为关闭函数，则调用所述指定函数对所述密文文件进行加密；根据所述指定函数关闭加密后的文件...

【专利技术属性】
技术研发人员：朱贺军，杨博华，
申请(专利权)人：北京亿赛通科技发展有限责任公司，
类型：发明
国别省市：