一種文件操作IP溯源方法和系統(tǒng)

基本信息

申請(qǐng)?zhí)?/td> CN202110731912.6 申請(qǐng)日 -
公開(公告)號(hào) CN113407416A 公開(公告)日 2021-09-17
申請(qǐng)公布號(hào) CN113407416A 申請(qǐng)公布日 2021-09-17
分類號(hào) G06F11/30(2006.01)I;G06F16/16(2019.01)I 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 王嘉雄 申請(qǐng)(專利權(quán))人 杭州默安科技有限公司
代理機(jī)構(gòu) 杭州裕陽聯(lián)合專利代理有限公司 代理人 田金霞
地址 311100浙江省杭州市余杭區(qū)倉前街道文一西路1378號(hào)1幢E座10層
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種文件操作IP溯源方法和系統(tǒng),所述方法包括如下步驟:建立內(nèi)核調(diào)試模塊,在所述內(nèi)核調(diào)試模塊掛載至少兩個(gè)不同關(guān)鍵函數(shù);獲取執(zhí)行所述關(guān)鍵函數(shù)進(jìn)程的PID字典和socketfd字典;建立文件監(jiān)控模塊,記錄文件操作進(jìn)程的PID和文件操作行為;在所述內(nèi)核調(diào)試模塊中掛載execve函數(shù),記錄函數(shù)調(diào)用過程,獲取并返回進(jìn)程樹;將文件操作進(jìn)程的PID和返回的進(jìn)程樹對(duì)比,查找所述文件操作進(jìn)程的PID所在的進(jìn)程樹,并根據(jù)所述進(jìn)程樹獲取祖先進(jìn)程;將所述祖先進(jìn)程的PID和所述PID字典、socketfd字典對(duì)比,獲取祖先進(jìn)程對(duì)應(yīng)的socketfd,并解析祖先進(jìn)程socketfd中的IP。所述方法和系統(tǒng)通過祖先進(jìn)程獲取的套接字鏈條來追溯文件操作者IP,無視IP地址的偽裝,因此可以有效地識(shí)別真實(shí)IP。