文件監(jiān)控方法及裝置制造方法
【專利摘要】一種文件監(jiān)控方法及裝置�����,所述方法包括:收集操作系統(tǒng)的審計單元對所述文件的審計記錄��;使用所收集的審計記錄生成事件,并放入事件列表中���;讀取所述事件列表中的事件���,并采用預(yù)設(shè)的事件識別規(guī)則識別所述事件列表中的用戶所選取的類型的事件,并將所識別出的用戶所選取的類型的事件放入動作事件列表中�����;讀取所述動作事件列表中的事件��,并根據(jù)預(yù)設(shè)的動作規(guī)則執(zhí)行相應(yīng)的動作�。上述的方案使得文件的變更通知更加靈活,可以滿足用戶的多樣化需求�。
【專利說明】文件監(jiān)控方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】,特別是涉及一種文件監(jiān)控方法及裝置�。
【背景技術(shù)】
[0002]隨著科技的不斷進(jìn)步和發(fā)展,計算機科學(xué)與技術(shù)也取得了突飛猛進(jìn)的進(jìn)展�。計算機系統(tǒng)安全技術(shù)是網(wǎng)絡(luò)信息系統(tǒng)發(fā)展的重點。傳統(tǒng)的計算機安全模式�,采用嚴(yán)格的訪問授權(quán)控制和數(shù)據(jù)加密等手段,建立起計算機的安全保護(hù)層���。但是���,這種方式并不涉及對數(shù)據(jù)的完整性進(jìn)行監(jiān)控�。
[0003]現(xiàn)有技術(shù)中也存在著對計算機系統(tǒng)的文件的完整性進(jìn)行監(jiān)控的機制�����,例如���,Linux系統(tǒng)提供的文件變更通知機制�����,其利用Inotify對文件進(jìn)行監(jiān)控,當(dāng)被監(jiān)控文件發(fā)生變更時�,文件變更通知機制中的Cron系統(tǒng)的Incron便會發(fā)出相應(yīng)的文件變更消息,并根據(jù)預(yù)設(shè)的規(guī)則執(zhí)行相應(yīng)的動作��,例如���,文件恢復(fù)和消息通知等���。
[0004]但是,上述的文件完整性監(jiān)控方法����,存在著監(jiān)控靈活性差的問題��,無法滿足用戶的多樣化需求���。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實施例解決的問題是提高文件監(jiān)控的靈活性,滿足用戶的多樣化需求��。
[0006]為解決上述問題�����,本發(fā)明實施例提供了一種文件監(jiān)控方法�����,所述方法包括:
[0007]收集操作系統(tǒng)的審計單元對所述文件的審計記錄��;
[0008]使用所收集的審計記錄生成事件�,并放入事件列表中;
[0009]讀取所述事件列表中的事件����,并采用預(yù)設(shè)的事件識別規(guī)則識別所述事件列表中的用戶所選取的類型的事件,并將所識別出的用戶所選取的類型的事件放入動作事件列表中;
[0010]讀取所述動作事件列表中的事件��,并根據(jù)預(yù)設(shè)的動作規(guī)則執(zhí)行相應(yīng)的動作����。
[0011]可選地,所述操作系統(tǒng)的審計單元包括Linux操作系統(tǒng)的audit審計單元。
[0012]可選地���,所述事件識別規(guī)則包括多個事件識別規(guī)則項����,所述事件識別規(guī)則項包括:名稱規(guī)則項���、顯示規(guī)則項和審計記錄規(guī)則項�,其中:
[0013]所述名稱規(guī)則項����,用于表示待識別事件的名稱��;
[0014]所述顯示規(guī)則項��,用于表示待識別事件的顯示方式���;
[0015]所述審計記錄規(guī)則項����,用于表示待識別事件對應(yīng)的審計記錄的類型。
[0016]可選地����,所述預(yù)設(shè)的動作規(guī)則包括多個動作規(guī)則項,所述動作規(guī)則項包括:事件名稱規(guī)則項和動作執(zhí)行規(guī)則項�,其中:
[0017]所述事件名稱規(guī)則項,用于表示觸發(fā)所述相應(yīng)的動作的事件的名稱���,所述名稱與識別出所述事件的事件識別規(guī)則中名稱規(guī)則項中的名稱相同���;
[0018]所述動作執(zhí)行規(guī)則項,用于表示當(dāng)所述事件發(fā)生時所執(zhí)行的相應(yīng)的動作的信息�。
[0019]可選地,所述方法還包括:將所述事件識別規(guī)則存放在規(guī)則列表中��,并將所述事件識別規(guī)則所識別出的用戶選取的類型的事件中的第一條審計記錄的類型作為所述事件識別規(guī)則的索引�����。
[0020]可選地��,所述方法還包括:對文件節(jié)點列表進(jìn)行維護(hù),所述文件節(jié)點列表中包括所述文件的文件節(jié)點的標(biāo)識和絕對路徑的信息����。
[0021]可選地,所述對文件節(jié)點列表進(jìn)行維護(hù)�����,包括:對所述文件節(jié)點列表中的所述指定文件的文件節(jié)點的標(biāo)識和絕對路徑的信息進(jìn)行添加����、修改或者刪除操作。
[0022]可選地��,所述事件識別規(guī)則還包括列表維護(hù)規(guī)則項��,用于記錄對于所述文件節(jié)點列表的維護(hù)操作����。
[0023]本發(fā)明實施例還提供了一種文件監(jiān)控裝置,所述裝置包括:
[0024]收集單元,適于收集操作系統(tǒng)的審計單元對所述文件的審計記錄�����;
[0025]生成單元,適于使用所收集的審計記錄生成事件,并放入事件列表中���;
[0026]識別單元��,適于讀取所述事件列表中的事件����,并采用預(yù)設(shè)的事件識別規(guī)則識別所述事件列表中的用戶所選取的類型的事件���,并將所識別出的用戶所選取的類型的事件放入動作事件列表中��;
[0027]執(zhí)行單元�,適于讀取所述動作事件列表中的事件�,并根據(jù)預(yù)設(shè)的動作規(guī)則執(zhí)行相應(yīng)的動作。
[0028]可選地,所述操作系統(tǒng)的審計單元包括Linux操作系統(tǒng)的audit審計單元�����。
[0029]可選地��,所述事件識別規(guī)則包括多個事件識別規(guī)則項���,所述事件識別規(guī)則項包括:名稱規(guī)則項����、顯示規(guī)則項和審計記錄規(guī)則項,其中:
[0030]所述名稱規(guī)則項���,用于表示待識別事件的名稱����;
[0031]所述顯示規(guī)則項����,用于表示待識別事件的顯示方式;
[0032]所述審計記錄規(guī)則項���,用于表示待識別事件對應(yīng)的審計記錄的類型�。
[0033]可選地��,所述預(yù)設(shè)的動作規(guī)則包括多個動作規(guī)則項��,所述動作規(guī)則項包括:事件名稱規(guī)則項和動作執(zhí)行規(guī)則項��,其中:
[0034]所述事件名稱規(guī)則項�����,用于表示觸發(fā)所述相應(yīng)的動作的事件的名稱����,所述名稱與所述事件識別規(guī)則中名稱規(guī)則項所設(shè)定的名稱相同;
[0035]所述動作執(zhí)行規(guī)則項�����,用于表示當(dāng)所述事件發(fā)生時所執(zhí)行的相應(yīng)的動作的信息��。
[0036]可選地��,所述裝置還包括:存放單元�,適于將所述事件識別規(guī)則存放在規(guī)則列表中,并將所述事件識別規(guī)則所識別出的用戶選取的類型的事件中的第一條審計記錄的類型作為所述事件識別規(guī)則的索引��。
[0037]可選地����,所述裝置還包括:維護(hù)單元,適于對文件節(jié)點列表進(jìn)行維護(hù)��,所述文件節(jié)點列表中包括所述文件的文件節(jié)點的標(biāo)識和絕對路徑的信息�����。
[0038]可選地�����,所述對文件節(jié)點列表進(jìn)行維護(hù),包括:對所述文件節(jié)點列表中的所述指定文件的文件節(jié)點的標(biāo)識和絕對路徑的信息進(jìn)行添加�����、修改或者刪除操作�。
[0039]可選地,所述事件識別規(guī)則還包括列表維護(hù)規(guī)則項�����,用于記錄對于所述文件節(jié)點列表的維護(hù)操作�����。
[0040]與現(xiàn)有技術(shù)相比��,本發(fā)明的技術(shù)方案具有以下的優(yōu)點:
[0041]通過使用操作系統(tǒng)提供的審計機制對文件進(jìn)行監(jiān)控��,將審計記錄打包形成事件���,并可以根據(jù)用戶預(yù)設(shè)的事件識別規(guī)則識別出用戶所選取的類型的事件���,執(zhí)行相應(yīng)的動作���,使得文件的變更通知更加靈活多樣,可以滿足用戶的多樣化需求��。
[0042]進(jìn)一步地�����,由于將所述事件識別規(guī)則存放在規(guī)則列表中���,并將所述事件識別規(guī)則中的第一條規(guī)則條目作為所述事件識別規(guī)則的索引,可以快速地將事件與事件識別規(guī)則進(jìn)行匹配��,從而可以提高事件的識別效率�����,進(jìn)而提高文件監(jiān)控的效率����。
[0043]進(jìn)一步地,由于所述文件節(jié)點列表中包括所述指定文件的文件節(jié)點的標(biāo)識信息和絕對路徑的信息�,當(dāng)在文件節(jié)點列表中添加新的指定文件的信息時,可以快速識別出文件創(chuàng)建事件和獲取文件的絕對路徑。
【專利附圖】
【附圖說明】
[0044]圖1是本發(fā)明實施例中的一種文件監(jiān)控方法的流程圖��;
[0045]圖2是本發(fā)明實施例中的另一種文件監(jiān)控方法的流程圖���;
[0046]圖3是本發(fā)明實施例中的一種文件監(jiān)控裝置的結(jié)構(gòu)示意圖�。
【具體實施方式】
[0047]現(xiàn)有技術(shù)中�,Linux操作系統(tǒng)利用文件變更通知機制(Inotify)對文件進(jìn)行監(jiān)控。當(dāng)被監(jiān)控文件發(fā)生變更時��,Inotify便會發(fā)出文件變更通知消息���,文件變更通知機制中的計劃任務(wù)(Cron)系統(tǒng)的Incron會接收相應(yīng)的文件變更通知消息����,并執(zhí)行預(yù)先配置好的操作�����,例如����,文件恢復(fù)和消息通知等。
[0048]但是����,這種文件監(jiān)控機制的重點在于監(jiān)控文件變更的動作�,包括修改�、打開、創(chuàng)建����、刪除等,而不提供任何與文件變更事件本身有關(guān)的信息�����。并且�,Incron的文件變更事件都是被預(yù)先定義好的���,用戶不能進(jìn)行自定義�,且同時Incron不支持對文件變更事件相關(guān)的信息的任何引用����,因此,存在著監(jiān)控靈活性差的問題��。
[0049]為解決現(xiàn)有技術(shù)中存在的上述問題���,本發(fā)明實施例通過使用操作系統(tǒng)提供的審計單元對文件進(jìn)行監(jiān)控�����,將審計記錄打包形成事件�,并可以根據(jù)用戶預(yù)設(shè)的事件識別規(guī)則識別出用戶所選取的類型的事件,執(zhí)行相應(yīng)的動作�,使得文件的變更通知更加靈活多樣,可以滿足用戶的多樣化需求��。
[0050]為使本發(fā)明的上述目的�、特征和優(yōu)點能夠更為明顯易懂,下面結(jié)合附圖對本發(fā)明的具體實施例做詳細(xì)的說明�����。
[0051]圖1示出了本發(fā)明實施例中的一種文件監(jiān)控方法的流程圖��。如圖1所示文件監(jiān)控方法���,可以包括:
[0052]步驟Sll:收集操作系統(tǒng)的審計單元對所述文件的審計記錄�����。
[0053]在具體實施中���,所述操作系統(tǒng)的審計單元可以對文件進(jìn)行監(jiān)控����,并形成審計記錄�����。
[0054]步驟S12:使用所收集的審計記錄生成事件,并放入事件列表中��。
[0055]在具體實施中����,所述事件中包括至少一條審計記錄。
[0056]步驟S13:讀取所述事件列表中的事件���,并采用預(yù)設(shè)的事件識別規(guī)則識別所述事件列表中的用戶所選取的類型的事件,并將所識別出的用戶所選取的類型的事件放入動作事件列表中��。
[0057]在具體實施中����,所述事件識別規(guī)則可以由用戶根據(jù)自身的需求進(jìn)行設(shè)定。
[0058]步驟S14:讀取所述動作事件列表中的事件�����,并根據(jù)預(yù)設(shè)的動作規(guī)則執(zhí)行相應(yīng)的動作。
[0059]在具體實施中�����,所述預(yù)設(shè)的動作規(guī)則可以由用戶根據(jù)自身的需求進(jìn)行設(shè)定�����。
[0060]圖2示出了本發(fā)明實施例中的另一種文件監(jiān)控方法的流程圖��。如圖2所示文件監(jiān)控方法��,可以包括:
[0061]步驟S21:收集Linux操作系統(tǒng)的audit審計單元對所述文件的審計記錄��。
[0062]在具體實施中����,Linux操作系統(tǒng)的audit審計單元對所述文件的審計記錄中可以包括文件變更事件的用戶標(biāo)識信息(UID)、調(diào)用程序所產(chǎn)生的進(jìn)程的標(biāo)識(PID)信息�、系統(tǒng)調(diào)用信息等多項與文件變更事件相關(guān)的信息。
[0063]步驟S22:使用所收集的審計記錄生成事件��,并放入事件列表中����。
[0064]在具體實施中�����,用戶可以根據(jù)自己的需求��,使用所收集的審計記錄生成相應(yīng)的事件�。所述事件中可以包括一條以上的審計記錄����,且每條審計記錄中可以包括多項與所述文件變更相關(guān)的信息,例如�����,文件變更發(fā)生的時間��、序列以及所述審計記錄所屬的類型等��。
[0065]在具體實施中�,每當(dāng)生成新事件時�����,所生成的新事件均可以存放在事件列表中,以待進(jìn)一步的處理��。
[0066]步驟S23:將預(yù)設(shè)的事件識別規(guī)則存放在規(guī)則列表中��。
[0067]在具體實施中���,所述事件識別規(guī)則可以包括多個事件識別規(guī)則項�����,所述事件識別規(guī)則項可以包括:名稱規(guī)則項�����、顯示規(guī)則項和審計記錄規(guī)則項��,其中:所述名稱規(guī)則項�����,用于表示待識別事件的名稱�;所述顯示規(guī)則項��,用于表示待識別事件的顯示方式���;所述審計記錄規(guī)則項���,用于表示待識別事件對應(yīng)的審計記錄的類型�。
[0068]例如����,在本發(fā)明的一實施例中,所述事件識別規(guī)則可以采用如下的方式:
[0069]% %
[0070]ACT10N:modif y_b y_human
[0071]DISPLAY: % user% at % cwd% used % exe% to % act1n % % name% with% tty %
[0072]INODE: modify
[0073]SYSCALL: syscalI = ('2 | 257$), tty = (?! \(none\)$).*
[0074]% %
[0075]其中����,“ % % ”為事件識別規(guī)則的標(biāo)識,兩個“ % % ”之間的部分為所述事件識別規(guī)則�����。
[0076]“ACT1N:modify_by_human”為名稱規(guī)則項���,其中的“ACT1N: ”為所述名稱規(guī)則項的標(biāo)識�����,“modify_by_human (人為修改)”表示所述事件識別規(guī)則所識別出的事件的名稱���。
[0077]“DISPLAY: % user % at % cwd% used % exe% to % act1n% % name%with % tty為顯示規(guī)則項,其中:
[0078]“DISPLAY: ” 為所述顯不規(guī)則項的標(biāo)識,“ % user % at % cwd% used % exe%to% act1n% % name% with% tty 表示具體的顯示規(guī)則�,% user %表示發(fā)起所述事件的用戶,% cwd%表示所述用戶所在的目錄��,% exe%表示所述用戶所調(diào)用的程序����,%act1n%表示所述用戶執(zhí)行的動作的名稱,% name %表示所述文件的絕對路徑�����,%syscall %表示被調(diào)用的系統(tǒng)調(diào)用名�,% tty %表示操作系統(tǒng)所提供的虛擬終端的標(biāo)識。
[0079]“IN0DE:modify”為文件節(jié)點(inode)列表維護(hù)規(guī)則項���,其中的“IN0DE: ”為所述文件節(jié)點列表維護(hù)規(guī)則項的標(biāo)識����,所述“modify”表示對于所述文件的文件節(jié)點列表的維護(hù)操作為修改操作�����。
[0080]“SYSCALL: syscall = (~2 | 257$), tty = ( ?! \ (none\) $).*”為系統(tǒng)調(diào)用規(guī)則項,其中的“SYSCALL: ”為所述系統(tǒng)調(diào)用規(guī)則項的標(biāo)識����,“syscall = (~2 | 257$) ”表示所述事件中包括的審計記錄中的syscall的值為2或者257,也即是,tty的值為非��。
[0081 ] 在具體實施中��,所述事件識別規(guī)則可以用于對所述事件列表中的事件進(jìn)行識別�。
[0082]在具體實施中,為了提高事件識別規(guī)則與事件的匹配速度���,可以在將事件識別規(guī)則存放在所述規(guī)則列表中時��,可以將所述事件識別規(guī)則可識別出的用戶所選取的類型的事件中的第一條審計記錄的類型��,作為所述事件識別規(guī)則的索引�。這樣�,當(dāng)事件識別規(guī)則的索引與事件列表中的事件中的第一條記錄的類型匹配時,便可以確定所述事件是所述事件識別規(guī)則可以識別出的特定類型的事件���,因此�,可以提高事件識別的效率�。
[0083]步驟S24:讀取所述事件列表中的事件���,并采用所述事件識別規(guī)則識別所述事件列表中的用戶所選取的類型的事件,并將所識別出的用戶所選取的類型的事件放入動作事件列表中���。
[0084]在具體實施中,當(dāng)使用存放在所述規(guī)則列表中的事件識別規(guī)則對所述事件列表中的事件進(jìn)行識別時���,可以通過所述事件識別規(guī)則中的第一條事件識別規(guī)則項檢索出對應(yīng)的事件識別規(guī)則���,并讀取所述事件列表中的事件,將所讀取的事件與檢索出的事件識別規(guī)則進(jìn)行匹配����,當(dāng)所述事件列表中的事件與所述規(guī)則列表中的事件識別規(guī)則匹配成功時,可以將所識別出的事件放入動作事件列表中存放��,以待進(jìn)一步的處理��。
[0085]步驟S25:對文件節(jié)點列表進(jìn)行維護(hù)���。
[0086]在具體實施中�,所述文件節(jié)點列表中包括所述文件的文件節(jié)點的標(biāo)識和絕對路徑的信息�����。
[0087]其中,文件節(jié)點(inode)�,用于存儲文件的元信息,包括:文件大小�����、屬主�����、歸屬的用戶組���、讀寫權(quán)限等���。文件節(jié)點為每個文件進(jìn)行信息索引,所以就有了文件節(jié)點的數(shù)值����。操作系統(tǒng)根據(jù)指令,可以能通過文件節(jié)點的數(shù)值快速地找到對應(yīng)的文件��。
[0088]但是���,為了安全考慮����,操作系統(tǒng)不允許用戶利用inode的標(biāo)識直接索引文件。此時�����,只能通過文件路徑才可以查找到對應(yīng)的文件����。同時,在Linux操作系統(tǒng)的audit審計單元對于文件的審計記錄中�����,僅可以獲取所述文件的inode標(biāo)識��,而沒有所述文件的絕對路徑的信息��。因此�����,在本發(fā)明的一實施例中�����,在文件節(jié)點列表中存儲所述文件的inode標(biāo)識和絕對路徑以及二者之間的對應(yīng)關(guān)系的信息,獲取文件的絕對路徑的信息時����,通過獲取審計記錄中的inode標(biāo)識,再查找所述文件節(jié)點列表��,便可以快速地獲取文件的絕對路徑的信息����。因此,為了快速地識別出所述文件的創(chuàng)建事件和根據(jù)所述文件的文件節(jié)點快速地獲取所述文件的絕對路徑����,本發(fā)明實施例中的文件監(jiān)控方法,還可以包括對文件節(jié)點列表進(jìn)行維護(hù)的操作����。
[0089]在具體實施中,所述對文件節(jié)點列表進(jìn)行維護(hù)��,包括:對所述文件節(jié)點列表中的所述指定文件的文件節(jié)點的標(biāo)識和絕對路徑的信息進(jìn)行添加�����、修改或者刪除操作。
[0090]這里需要指出的是���,當(dāng)對于所述文件的審計記錄中包括對于文件節(jié)點列表進(jìn)行維護(hù)操作的信息時�,所述事件識別規(guī)則中還可以包括列表維護(hù)規(guī)則項����,所述列表維護(hù)規(guī)則項用于記錄對于所述文件節(jié)點列表的維護(hù)操作。
[0091]步驟S26:讀取所述動作事件列表中的事件�,并根據(jù)預(yù)設(shè)的動作規(guī)則執(zhí)行相應(yīng)的動作。
[0092]在具體實施中�����,所述預(yù)設(shè)的動作規(guī)則可以包括多個動作規(guī)則項����,所述動作規(guī)則項可以包括:事件名稱規(guī)則項和動作執(zhí)行規(guī)則項�����,其中:所述事件名稱規(guī)則項�,用于表示觸發(fā)所述相應(yīng)的動作的事件的名稱,所述名稱與識別出所述事件的事件識別規(guī)則中名稱規(guī)則項中的名稱相同��;所述動作執(zhí)行規(guī)則項,用于表示當(dāng)所述事件發(fā)生時所執(zhí)行的相應(yīng)的動作的信息����。
[0093]在具體實施中,動作規(guī)則項的事件名稱規(guī)則項可以與所述事件識別規(guī)則項中的名稱規(guī)則項的名稱相同��,也即動作規(guī)則項可以引用觸發(fā)相應(yīng)的動作的事件��。這樣�,當(dāng)所述動作規(guī)則項中的事件名稱規(guī)則項與所述事件識別規(guī)則中的名稱項相同時,所述事件便可以觸發(fā)所述動作執(zhí)行規(guī)則項中相應(yīng)的動作的執(zhí)行�����。
[0094]例如�����,在本發(fā)明的一實施例中��,所述動作規(guī)則可以采用如下的方式:
[0095]% %
[0096]ACT 10N:modif y_b y—human
[0097]COMMAND: cp % name%.backup % name% Msendsms—message=’ % user%modified % name% and the file has been recovered automatically.’
[0098]% %
[0099]上述的動作執(zhí)行規(guī)則以“ %%”作為標(biāo)識�,兩個“%%”之間的部分為所述的動作執(zhí)行規(guī)則的內(nèi)容。其中:
[0100]“ACT1N:modify_by_human”為事件名稱規(guī)則項��,其中的“ACT1N: ”為所述事件名稱規(guī)則項的標(biāo)識,“modify_by_human(人為修改)”表示所述事件識別規(guī)則所識別出的事件的名稱���。
[0101]“C0MMAND:cp % name%.backup % name% Msendsms —message =’ % user %modified % name% and the file has been recovered automatically.��,�,��,為動作執(zhí)行規(guī)則項����,其中:
[0102]“COMMAND: ” 為所述動作執(zhí)行規(guī)則項的標(biāo)識,“cp % name %.backup % name %為所述動作執(zhí)行規(guī)則項中待執(zhí)行的第一個動作,表示將“ % name%.backup”復(fù)制到“ %name%"(即進(jìn)行文件恢復(fù))�����,“cp”表示復(fù)制操作��,“ % name%"表示所述文件的名稱���,“ %name%.backup”表示所述文件的備份文件。
[0103]“&&����,,為相鄰兩個動作之間的連接標(biāo)識�����,
[0104]“sendsms—message =’ % user % modified % name % and the file hasbeen recovered automatically.’”為所述動作執(zhí)行規(guī)則項中的待執(zhí)行的第二個動作“sendsms—message =: ”表示執(zhí)行發(fā)送短信的動作和短信的內(nèi)容,% user%表示發(fā)起所述事件的用戶�,% name %表示所述文件的絕對路徑。
[0105]當(dāng)“ % name 的值為 “/etc/ssh/sshd_config”���,% user % 的值為“張三”時�,上述的動作執(zhí)行規(guī)則表示:
[0106]當(dāng)發(fā)生名稱為modify_by_human 的事件時����,將文件 “/etc/ssh/sshd_config.backup” 復(fù)制到 “/etc/ssh/sshd_config” (即還原 /etc/ssh/sshd_config 文件),并發(fā)送短信至相關(guān)人員,短信內(nèi)容為:“張三修改了文件/etc/ssh/sshd_config,所述文件已經(jīng)自動恢復(fù)”���。
[0107]圖3示出了本發(fā)明實施例中的一種文件監(jiān)控裝置的結(jié)構(gòu)示意圖���。如圖3所示的文件監(jiān)控裝置30,可以包括收集單元31����、生成單元32、識別單元33和執(zhí)行單元34�����,其中:
[0108]所述收集單元31,適于收集操作系統(tǒng)的審計單元對所述文件的審計記錄�。
[0109]在具體實施中,所述操作系統(tǒng)的審計單元包括Linux操作系統(tǒng)的audit審計單元。
[0110]所述生成單元32�,適于使用所收集的審計記錄生成事件,并放入事件列表中����。
[0111]所述識別單元33,適于讀取所述事件列表中的事件���,并采用預(yù)設(shè)的事件識別規(guī)則識別所述事件列表中的用戶所選取的類型的事件��,并將所識別出的用戶所選取的類型的事件放入動作事件列表中�。
[0112]在具體實施中���,所述事件識別規(guī)則可以包括多個事件識別規(guī)則項���,所述事件識別規(guī)則項包括:名稱規(guī)則項、顯示規(guī)則項和審計記錄規(guī)則項���,其中:
[0113]所述名稱規(guī)則項,用于表示待識別事件的名稱。
[0114]所述顯示規(guī)則項���,用于表示待識別事件的顯示方式���。
[0115]所述審計記錄規(guī)則項,用于表示待識別事件對應(yīng)的審計記錄的類型����。
[0116]所述執(zhí)行單元34,適于讀取所述動作事件列表中的事件���,并根據(jù)預(yù)設(shè)的動作規(guī)則執(zhí)行相應(yīng)的動作�。
[0117]在具體實施中��,所述預(yù)設(shè)的動作規(guī)則可以包括多個動作規(guī)則項���,所述動作規(guī)則項包括:事件名稱規(guī)則項和動作執(zhí)行規(guī)則項�����,其中:
[0118]所述事件名稱規(guī)則項�����,用于表示觸發(fā)所述相應(yīng)的動作的事件的名稱�,所述名稱與識別出所述事件的事件識別規(guī)則中名稱規(guī)則項中的名稱相同。
[0119]所述動作執(zhí)行規(guī)則項�����,用于表示當(dāng)所述事件發(fā)生時所執(zhí)行的相應(yīng)的動作的信息�����。
[0120]在具體實施中�����,如圖3所示的文件監(jiān)控裝置30��,還可以包括:存放單元35����,適于將所述事件識別規(guī)則存放在規(guī)則列表中,并將所述事件識別規(guī)則所識別出的用戶選取的類型的事件中的第一條審計記錄的類型作為所述事件識別規(guī)則的索引��。
[0121]在具體實施中����,如圖3所示的文件監(jiān)控裝置30�����,還可以包括:維護(hù)單元36,適于對文件節(jié)點列表進(jìn)行維護(hù)��,所述文件節(jié)點列表中包括所述文件的文件節(jié)點的標(biāo)識和絕對路徑的信息�。
[0122]在具體實施中,所述對文件節(jié)點列表進(jìn)行維護(hù)����,包括:對所述文件節(jié)點列表中的所述指定文件的文件節(jié)點的標(biāo)識和絕對路徑的信息進(jìn)行添加、修改或者刪除操作��。
[0123]在具體實施中��,當(dāng)對所述文件的審計記錄中包括對于文件節(jié)點列表的維護(hù)操作時����,所述事件識別規(guī)則還可以包括列表維護(hù)規(guī)則項。
[0124]所述列表維護(hù)規(guī)則項�����,用于記錄對于所述文件節(jié)點列表的維護(hù)操作���。
[0125]本領(lǐng)域普通技術(shù)人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成���,該程序可以存儲于計算機可讀存儲介質(zhì)中��,存儲介質(zhì)可以包括:ROM�����、RAM����、磁盤或光盤等�����。
[0126]以上對本發(fā)明實施例的方法及系統(tǒng)做了詳細(xì)的介紹�����,本發(fā)明并不限于此��。任何本領(lǐng)域技術(shù)人員����,在不脫離本發(fā)明的精神和范圍內(nèi)���,均可作各種更動與修改,因此本發(fā)明的保護(hù)范圍應(yīng)當(dāng)以權(quán)利要求所限定的范圍為準(zhǔn)���。
【權(quán)利要求】
1.一種文件監(jiān)控方法,其特征在于�,包括: 收集操作系統(tǒng)的審計單元對所述文件的審計記錄; 使用所收集的審計記錄生成事件��,并放入事件列表中�����; 讀取所述事件列表中的事件�,并采用預(yù)設(shè)的事件識別規(guī)則識別所述事件列表中的用戶所選取的類型的事件,并將所識別出的用戶所選取的類型的事件放入動作事件列表中�����;讀取所述動作事件列表中的事件���,并根據(jù)預(yù)設(shè)的動作規(guī)則執(zhí)行相應(yīng)的動作�。
2.根據(jù)權(quán)利要求1所述的文件監(jiān)控方法����,其特征在于�,所述操作系統(tǒng)的審計單元包括Linux操作系統(tǒng)的audit審計單元���。
3.根據(jù)權(quán)利要求1所述的文件監(jiān)控方法����,其特征在于�,所述事件識別規(guī)則包括多個事件識別規(guī)則項��,所述事件識別規(guī)則項包括:名稱規(guī)則項、顯示規(guī)則項和審計記錄規(guī)則項�����,其中: 所述名稱規(guī)則項�����,用于表示待識別事件的名稱�����; 所述顯示規(guī)則項,用于表示待識別事件的顯示方式�; 所述審計記錄規(guī)則項��,用于表示待識別事件對應(yīng)的審計記錄的類型����。
4.根據(jù)權(quán)利要求3所述的文件監(jiān)控方法,其特征在于�,所述預(yù)設(shè)的動作規(guī)則包括多個動作規(guī)則項�����,所述動作規(guī)則項包括:事件名稱規(guī)則項和動作執(zhí)行規(guī)則項��,其中: 所述事件名稱規(guī)則項����,用于表示觸發(fā)所述相應(yīng)的動作的事件的名稱���,所述名稱與識別出所述事件的事件識別規(guī)則中名稱規(guī)則項中的名稱相同���; 所述動作執(zhí)行規(guī)則項�,用于表示當(dāng)所述事件發(fā)生時所執(zhí)行的相應(yīng)的動作的信息�。
5.根據(jù)權(quán)利要求3所述的文件監(jiān)控方法,其特征在于����,還包括:將所述事件識別規(guī)則存放在規(guī)則列表中�,并將所述事件識別規(guī)則所識別出的用戶選取的類型的事件中的第一條審計記錄的類型作為所述事件識別規(guī)則的索引�����。
6.根據(jù)權(quán)利要求1-5任一項所述的文件監(jiān)控方法�����,其特征在于,還包括:對文件節(jié)點列表進(jìn)行維護(hù)��,所述文件節(jié)點列表中包括所述文件的文件節(jié)點的標(biāo)識和絕對路徑的信息�����。
7.根據(jù)權(quán)利要求6所述的文件監(jiān)控方法����,其特征在于��,所述對文件節(jié)點列表進(jìn)行維護(hù),包括:對所述文件節(jié)點列表中的所述文件的文件節(jié)點的標(biāo)識和絕對路徑的信息進(jìn)行添加����、修改或者刪除操作。
8.根據(jù)權(quán)利要求7所述的文件監(jiān)控方法���,其特征在于���,所述事件識別規(guī)則還包括列表維護(hù)規(guī)則項,用于記錄對于所述文件節(jié)點列表的維護(hù)操作����。
9.一種文件監(jiān)控裝置,其特征在于�,包括: 收集單元,適于收集操作系統(tǒng)的審計單元對所述文件的審計記錄�; 生成單元,適于使用所收集的審計記錄生成事件�����,并放入事件列表中�; 識別單元,適于讀取所述事件列表中的事件��,并采用預(yù)設(shè)的事件識別規(guī)則識別所述事件列表中的用戶所選取的類型的事件,并將所識別出的用戶所選取的類型的事件放入動作事件列表中����; 執(zhí)行單元,適于讀取所述動作事件列表中的事件��,并根據(jù)預(yù)設(shè)的動作規(guī)則執(zhí)行相應(yīng)的動作�。
10.根據(jù)權(quán)利要求9所述的文件監(jiān)控裝置,其特征在于����,所述操作系統(tǒng)的審計單元包括Linux操作系統(tǒng)的audit審計單元。
11.根據(jù)權(quán)利要求9所述的文件監(jiān)控裝置���,其特征在于���,所述事件識別規(guī)則包括多個事件識別規(guī)則項,所述事件識別規(guī)則項包括:名稱規(guī)則項��、顯示規(guī)則項和審計記錄規(guī)則項��,其中: 所述名稱規(guī)則項����,用于表示待識別事件的名稱; 所述顯示規(guī)則項���,用于表示待識別事件的顯示方式���; 所述審計記錄規(guī)則項,用于表示待識別事件對應(yīng)的審計記錄的類型���。
12.根據(jù)權(quán)利要求11所述的文件監(jiān)控裝置�����,其特征在于�����,所述預(yù)設(shè)的動作規(guī)則包括多個動作規(guī)則項��,所述動作規(guī)則項包括:事件名稱規(guī)則項和動作執(zhí)行規(guī)則項����,其中: 所述事件名稱規(guī)則項��,用于表示觸發(fā)所述相應(yīng)的動作的事件的名稱�,所述名稱與識別出所述事件的事件識別規(guī)則中的名稱規(guī)則項中的名稱相同���; 所述動作執(zhí)行規(guī)則項,用于表示當(dāng)所述事件發(fā)生時所執(zhí)行的相應(yīng)的動作的信息����。
13.根據(jù)權(quán)利要求11所述的文件監(jiān)控裝置,其特征在于���,還包括:存放單元�����,適于將所述事件識別規(guī)則存放在規(guī)則列表中����,并將所述事件識別規(guī)則所識別出的用戶選取的類型的事件中的第一條審計記錄的類型作為所述事件識別規(guī)則的索引�。
14.根據(jù)權(quán)利要求9-13任一項所述的文件監(jiān)控裝置,其特征在于����,還包括:維護(hù)單元,適于對文件節(jié)點列表進(jìn)行維護(hù)�,所述文件節(jié)點列表中包括所述文件的文件節(jié)點的標(biāo)識和絕對路徑的信息����。
15.根據(jù)權(quán)利要求14所述的文件監(jiān)控裝置���,其特征在于,所述對文件節(jié)點列表進(jìn)行維護(hù)�,包括:對所述文件節(jié)點列表中的所述指定文件的文件節(jié)點的標(biāo)識和絕對路徑的信息進(jìn)行添加、修改或者刪除操作��。
16.根據(jù)權(quán)利要求15所述的文件監(jiān)控裝置����,其特征在于,所述事件識別規(guī)則還包括列表維護(hù)規(guī)則項����,用于記錄對于所述文件節(jié)點列表的維護(hù)操作。
【文檔編號】G06F17/30GK104239478SQ201410448557
【公開日】2014年12月24日 申請日期:2014年9月4日 優(yōu)先權(quán)日:2014年9月4日
【發(fā)明者】張景逸 申請人:上海帝聯(lián)信息科技股份有限公司