System.ArgumentOutOfRangeException: 索引和長度必須引用該字符串內的位置。 參數名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 亚洲精品无码永久在线观看你懂的,一本大道无码日韩精品影视,国产AV无码专区亚洲AVJULIA 
  • 

  • 
<ul id="o6k0g"></ul>
    <ul id="o6k0g"></ul>
    

    

    
    
      
    
          
          
    
            
    
                
    
                    
    
                        
    
                            
    文件系統的保護方法、裝置、系統、存儲介質和產品制造方法及圖紙
    
                            
    技術編號:44199871 閱讀:16 留言:0更新日期:2025-02-06 18:36
    
                        
    
                        
    
                            
                            本申請公開了一種文件系統的保護方法、裝置、設備、存儲介質和產品。該方法包括:在內核態運行模式下,文件隔離器響應于鉤子觸發指示信息,獲取進程的特征信息;基于特征信息和隔離策略庫,確定進程的隔離策略,隔離策略庫包括各特征信息與各隔離策略的對應關系,隔離策略包括重定向規則;基于重定向規則,將進程的文件操作請求重定向至虛擬文件系統;其中,隔離策略庫由隔離控制器在文件系統處于用戶態運行模式下,生成并下發至文件隔離器,鉤子觸發指示信息響應于進程針對文件系統的調用請求生成。如此,通過引入用戶態的隔離控制器與內核態的文件隔離器的文件保護機制,不僅允許實現高度精確的訪問控制,還具有更好的性能。
    
                            
                            
    


    
                            

                            
    【技術實現步驟摘要】
    
                                
    本申請涉及信息安全領域,尤其涉及一種文件系統的保護方法、裝置、系統、存儲介質和產品。

    技術介紹
    1、隨著信息技術的高速發展和信息設備的廣泛普及,存儲在這些設備中的數據安全問題日益受到公司和個人的關注。在這個背景下,根文件系統隔離應運而生,這項技術為保護存儲在設備中的敏感信息提供了一種有效手段,旨在解決數據安全方面的挑戰。在進行文件操作的過程中,隔離能夠提供額外的層級保護,確保數據不受未經授權的訪問,為用戶和組織提供更高的安全性。
    2、目前,linux類操作系統可以借助namespace、cgroup技術實現先進的文件系統隔離機制,可以使得進程看到的文件系統是獨立于主機文件系統的,進程無法訪問真實文件系統。但是對于其他類型的操作系統來說,并沒有設置這種機制,例如:macos等系統。這些系統僅提供了一些端點安全框架,如:kauth、endpoint?security和macf等。
    3、通過這些框架也可以滿足進程對文件操作的審計和授權的需求,例如:限制進程對某個文件的讀取、寫入和執行權限,但是難以實現細粒度的根文件系統隔離機制,例如:將進程根文件系統限制在某個隔離目錄,使其訪問某個文件時實際上訪問的是該隔離目錄下的文件,并限制其他進程訪問該隔離目錄。這種機制的缺乏使得進程操作的文件和真實文件之間的隔離變得困難,從而在該類操作系統上難以實現沙箱類的應用。
    4、目前,針對上述操作系統的解決方案,主要采用hook應用層的系統調用加底層驅動保護實現,這種方案需要采用一些手段將動態庫注入進程內,然后對系統調用進行hook,并在進程執行系統調用時,獲取要操作的文件并對文件操作進行重定向,然后使用端點安全框架對重定向后的隔離目錄加以保護。
    5、但是采用該方案,會導致下列問題:(1)hook的系統調用數量過多;(2)注入動態庫存在被進程檢測到的問題,透明度不足,可能存在注入失敗的問題;(3)應用層的hook不存在優先級,hook容易被惡意進程繞過;(4)需要在hook中增加額外的線程同步機制,存在穩定性不佳、性能較差的問題。

    技術實現思路
    1、有鑒于此,本申請實施例提供了一種文件系統的保護方法、裝置、系統、存儲介質和產品,旨在于提升文件系統的安全性和性能。
    2、本申請實施例的技術方案是這樣實現的:
    3、第一方面,本申請實施例提供了一種文件系統的保護方法,所述方法包括:
    4、在內核態運行模式下,文件隔離器響應于鉤子觸發指示信息,獲取進程的特征信息;
    5、基于所述特征信息和隔離策略庫,確定所述進程的隔離策略,所述隔離策略庫包括各特征信息與各隔離策略的對應關系,所述隔離策略包括重定向規則;
    6、基于所述重定向規則,將所述進程的文件操作請求重定向至虛擬文件系統;
    7、其中,所述隔離策略庫由隔離控制器在所述文件系統處于用戶態運行模式下,生成并下發至所述文件隔離器,所述鉤子觸發指示信息響應于所述進程針對文件系統的調用請求生成。
    8、在一些實施例中,所述虛擬文件系統包括多個隔離域,所述隔離策略還包括:目標隔離域的目標標識信息,所述基于所述重定向規則,將所述進程的文件操作請求重定向至虛擬文件系統,包括:
    9、基于所述重定向規則和所述目標標識信息,將所述文件操作請求重定向至所述目標隔離域,所述目標隔離域為所述多個隔離域中的一個。
    10、在一些實施例中,所述方法還包括:
    11、響應于所述進程針對文件系統的文件操作請求,生成對所述文件系統的調用請求;
    12、基于虛擬文件系統操作接口響應于所述調用請求,所述文件系統進入內核態運行模式,并確定所述調用請求的鉤子是否觸發;
    13、若是,則生成鉤子觸發指示信息至所述文件隔離器。
    14、在一些實施例中,所述隔離策略還包括:所述目標隔離域對應的第一隔離規則,所述方法還包括:
    15、確定將所述文件操作請求重定向至所述目標隔離域,則基于所述第一隔離規則,對所述文件操作請求進行隔離。
    16、在一些實施例中,所述基于所述第一隔離規則,對所述文件操作請求進行隔離,包括:
    17、獲取所述文件操作請求對應的操作目錄信息;
    18、基于所述操作目錄信息,確定所述操作目錄信息對應的操作目錄類型;
    19、若所述操作目錄類型為根目錄,則過濾所述文件操作請求,以對所述文件操作請求進行隔離。
    20、在一些實施例中,所述第一隔離規則包括標識信息集合,所述基于所述第一隔離規則,對所述文件操作請求進行隔離,包括:
    21、確定所述目標標識信息是否屬于標識信息集合,若否,則確定所述進程的進程類型為非隔離進程;
    22、確定所述目標標識信息是否大于或者等于第一標識信息,若否,則過濾所述文件操作請求,以對所述文件操作請求進行隔離;
    23、其中,所述標識信息集合為隔離進程類型的隔離域對應的標識信息集合,所述第一標識信息為所述文件操作請求對應的隔離域的標識信息。
    24、在一些實施例中,所述虛擬文件系統包括多個隔離域,所述方法還包括:
    25、在用戶態運行模式下,所述文件隔離控制器基于所述多個隔離域的數量和預設的隔離域命名規則,確定各隔離域對應的標識信息;
    26、針對每一標識信息,確定每一標識信息對應的進程特征信息和每一標識信息對應的隔離策略;
    27、基于各所述標識信息和各所述進程特征信息,生成第一映射關系,所述第一映射關系包括各隔離域標識信息和各進程特征信息的對應關系;
    28、基于各所述標識信息和各所述隔離策略,生成第二映射關系;
    29、基于第一映射關系和第二映射關系,生成所述隔離策略庫。
    30、在一些實施例中,所述方法還包括:
    31、響應于所述文件操作請求,確定所述文件操作請求對應的vnode事件;
    32、若所述vnode事件滿足映射關系,則確定所述調用請求的鉤子是否觸發,所述映射關系用于表征各vnode事件和各hook函數的對應關系。
    33、在一些實施例中,所述虛擬文件系統包括多個隔離域,所述方法還包括:
    34、若所述特征信息在所述隔離策略庫中無對應的隔離策略,則基于所述特征信息,確定所述進程的進程類型;
    35、基于所述進程類型和所述文件操作請求對應的隔離域,確定是否對所述文件操作請求進行隔離。
    36、第二方面,本申請實施例還提供了一種文件系統的保護裝置,所述裝置包括:
    37、獲取模塊,用于在內核態運行模式下,文件隔離器響應于進程針對文件系統的文件操作請求,獲取所述進程的特征信息;
    38、確定模塊,用于基于所述特征信息和隔離策略庫,確定目標隔離策略,所述隔離策略庫包括各特征信息與各隔離策略的對應關系,所述目標隔離策略包括重定向規則;
    39、重定向模塊,用于基于所述重本文檔來自技高網...
                            
    
                            
    【技術保護點】
    
                                
    1.一種文件系統的保護方法,其特征在于,所述方法包括:
    2.根據權利要求1所述的方法,其特征在于,所述虛擬文件系統包括多個隔離域,所述隔離策略還包括:目標隔離域的目標標識信息,所述基于所述重定向規則,將所述進程的文件操作請求重定向至虛擬文件系統,包括:
    3.根據權利要求1所述的方法,其特征在于,所述方法還包括:
    4.根據權利要求2所述的方法,其特征在于,所述隔離策略還包括:所述目標隔離域對應的第一隔離規則,所述方法還包括:
    5.根據權利要求4所述的方法,其特征在于,所述基于所述第一隔離規則,對所述文件操作請求進行隔離,包括:
    6.根據權利要求4所述的方法,其特征在于,所述第一隔離規則包括標識信息集合,所述基于所述第一隔離規則,對所述文件操作請求進行隔離,包括:
    7.根據權利要求1所述的方法,其特征在于,所述虛擬文件系統包括多個隔離域,所述方法還包括:
    8.根據權利要求3所述的方法,其特征在于,所述方法還包括:
    9.根據權利要求1所述的方法,其特征在于,所述虛擬文件系統包括多個隔離域,所述方法還包括:
    10.一種文件系統的保護裝置,其特征在于,所述裝置包括:
    11.一種文件保護系統,其特征在于,包括:隔離控制器和文件隔離器,所述隔離控制器和文件隔離器配置為執行權利要求1至9任一項所述方法的步驟。
    12.根據權利要求11所述的文件保護系統,所述隔離控制器包括:第一通信模塊和隔離器管理模塊,所述文件隔離器包括:第二通信模塊、策略決策模塊和文件重定向模塊;其中,
    13.根據權利要求12所述的文件保護系統,其特征在于,所述文件隔離器還包括文件過濾模塊,所述文件過濾模塊用于獲取所述文件操作請求對應的操作目錄信息;基于所述操作目錄信息,確定所述操作目錄信息對應的操作目錄類型;若所述操作目錄類型為根目錄,則確定所述操作目錄信息不滿足所述目錄隔離規則,并過濾所述文件操作請求,以對所述文件操作請求進行隔離。
    14.一種計算機存儲介質,所述存儲介質上存儲有計算機程序,其特征在于,所述計算機程序被處理器執行時,實現權利要求1至9任一項所述方法的步驟。
    15.一種計算機程序產品,包括計算機程序,其特征在于,所述計算機程序在被處理器執行時,實現權利要求1至9任一項所述的方法的步驟。
    ...
                            
    
                            
    【技術特征摘要】
    
                                
    1.一種文件系統的保護方法,其特征在于,所述方法包括:
    2.根據權利要求1所述的方法,其特征在于,所述虛擬文件系統包括多個隔離域,所述隔離策略還包括:目標隔離域的目標標識信息,所述基于所述重定向規則,將所述進程的文件操作請求重定向至虛擬文件系統,包括:
    3.根據權利要求1所述的方法,其特征在于,所述方法還包括:
    4.根據權利要求2所述的方法,其特征在于,所述隔離策略還包括:所述目標隔離域對應的第一隔離規則,所述方法還包括:
    5.根據權利要求4所述的方法,其特征在于,所述基于所述第一隔離規則,對所述文件操作請求進行隔離,包括:
    6.根據權利要求4所述的方法,其特征在于,所述第一隔離規則包括標識信息集合,所述基于所述第一隔離規則,對所述文件操作請求進行隔離,包括:
    7.根據權利要求1所述的方法,其特征在于,所述虛擬文件系統包括多個隔離域,所述方法還包括:
    8.根據權利要求3所述的方法,其特征在于,所述方法還包括:
    9.根據權利要求1所述的方法,其特征在于,所述虛擬文件系統包括多個隔離域,所述方法還包括:
    10....
                            
    
                            
    【專利技術屬性】
    
                                技術研發人員:劉玉琪吳東洋
    
        申請(專利權)人:深信服科技股份有限公司
    
        類型:發明
    
        國別省市:
    
                            
    
                            
                        
    
                    
    
                    
                    
                     
                
    
                
                
    
                    
    
                        網友詢問留言
                        已有0條評論
                    
    
                    
    
                        
    
                            
      
                                
    • 
                                
						

      還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。
      


                              
                            
    
                            
    
                                 1 

                            
    
                        
    
                        
                        
    
                            
    
                              
                            
    
                            
                        
    
                    
    
                
    
            
    
              
             
          
    
      
    
    
    

    
    
    




  


主站蜘蛛池模板:
精品无码人妻夜人多侵犯18|
中文无码日韩欧免费视频|
亚洲午夜国产精品无码老牛影视
|
亚洲AV无码不卡无码|
亚洲午夜无码久久久久软件|
性色av极品无码专区亚洲|
亚洲国产无套无码av电影|
色综合久久久无码网中文|
人妻无码一区二区三区AV|
最新亚洲人成无码网站|
50岁人妻丰满熟妇αv无码区
|
日韩精品无码永久免费网站
|
亚洲精品无码久久久久牙蜜区|
中文字幕无码日韩专区|
国产成人A亚洲精V品无码|
亚洲AV无码一区二区三区久久精品|
中文字幕有码无码AV|
国产仑乱无码内谢|
不卡无码人妻一区三区音频|
亚洲成a∧人片在线观看无码|
亚洲中文久久精品无码ww16|
亚洲AV无码专区日韩|
一本一道av中文字幕无码|
内射无码专区久久亚洲|
无码国模国产在线观看免费|
亚洲精品无码一区二区|
中日韩亚洲人成无码网站|
久久久久久亚洲Av无码精品专口|
中文字幕丰满乱孑伦无码专区|
无码中文人妻在线一区二区三区
|
久久久久久久久无码精品亚洲日韩|
久久AV无码精品人妻出轨|
无码精品人妻一区二区三区影院
|
久久久人妻精品无码一区|
无码不卡亚洲成?人片|
无码国模国产在线无码精品国产自在久国产
|
亚洲AV日韩AV永久无码免下载|
精品无码一区二区三区爱欲九九
|
亚洲AV色吊丝无码|
国产怡春院无码一区二区|
亚洲av无码专区在线观看亚|