RAID设备和LVM设备的防篡改方法、设备及介质

技术领域

本发明涉及计算机存储领域的数据保护技术，尤其是涉及一种RAID设备和LVM设备的防篡改方法、设备及介质。

背景技术

随着计算机与网络技术的迅猛发展，如今绝大部分企业都在使用计算机和网络来运作自己的核心业务，由此产生的数据成为了企业的核心资产。任何核心数据的丢失、破坏、泄露，都会给企业带来严重的负面影响。

近几年，勒索病毒层出不穷、防不胜防，一旦感染勒索病毒，基本无解，要么给赎金换回数据，要么数据找不回或者被公开。当前的勒索病毒查杀功能一般是通过识别勒索病毒特征值以及行为来进行查杀，存在病毒特征库更新速度乏力、识别率不高、误杀等局限性。此外，反病毒厂商的解决方案在于保护生产系统的过程安全，无法对数据安全负责。

此外由于人为恶意或者误操作(rm-rf等)导致备份系统上的数据被破坏的情况也时常发生，这类情况无法通过现有的数据保护方案进行防护。

现有技术提供了一些数据保护方法来保护企业系统不受恶意程序和人为破坏的侵害。但目前RAID设备和LVM设备是非常常用的磁盘阵列技术，而现有的数据保护方法并不能有效解决对RAID设备和LVM设备的保护。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种使数据保护更加全面的RAID设备和LVM设备的防篡改方法、设备及介质，可以有效防护人为破坏和勒索病毒等恶意程序的侵害。

本发明的目的可以通过以下技术方案来实现：

一种RAID设备和LVM设备的防篡改方法，该方法通过存储的进程白名单列表对数据访问指令进行校验，包括以下步骤：

实时监听系统调用，根据系统调用的内容信息执行相应操作，具体地：

当监听到的系统调用为创建RAID设备的软链接时，对该系统调用设置屏蔽解除标签，在系统重启时，使带有所述屏蔽解除标签的系统调用保持有效；

当监听到的系统调用为创建lvmetad服务进程时，将所述lvmetad服务进程加入所述进程白名单列表中；

当监听到的系统调用为创建与系统删除命令相关的进程时，产生进程创建失败反馈。

进一步地，将所述lvmetad服务进程加入所述进程白名单列表中的同时，对所述lvmetad服务进程设置对应的进程权限。

进一步地，所述进程权限包括读权限。

进一步地，所述系统删除命令包括storcli命令或lvremove命令。

本发明还提供一种RAID设备和LVM设备的防篡改装置，包括：

进程白名单存储模块，用于存储进程白名单列表，基于该进程白名单列表对数据访问指令进行校验；

系统调用监听模块，用于实时监听系统调用，根据系统调用的内容信息执行相应操作，具体地：

当监听到的系统调用为创建RAID设备的软链接时，对该系统调用设置屏蔽解除标签，在系统重启时，使带有所述屏蔽解除标签的系统调用保持有效；

当监听到的系统调用为创建lvmetad服务进程时，将所述lvmetad服务进程加入所述进程白名单列表中；

当监听到的系统调用为创建与系统删除命令相关的进程时，产生进程创建失败反馈。

进一步地，将所述lvmetad服务进程加入所述进程白名单列表中的同时，对所述lvmetad服务进程设置对应的进程权限。

进一步地，所述进程权限包括读权限。

进一步地，所述系统删除命令包括storcli命令或lvremove命令。

本发明还提供一种电子设备，包括：

一个或多个处理器；

存储器；和

被存储在存储器中的一个或多个程序，所述一个或多个程序包括用于执行如上所述RAID设备和LVM设备的防篡改方法的指令。

本发明还提供一种计算机可读存储介质，包括供电子设备的一个或多个处理器执行的一个或多个程序，所述一个或多个程序包括用于执行如上所述RAID设备和LVM设备的防篡改方法的指令。

与现有技术相比，本发明具有以下有益效果：

1、本发明对系统调用进行创新性改进，使得RAID设备和LVM设备能够得到更全面的保护，有效防止RAID设备和LVM设备受到人为破坏和勒索病毒等恶意程序的侵害。

2、本发明将创建RAID设备软连接的系统调用解除屏蔽，将lvmetad服务添加到进程白名单中，并为创建的进程进行是否同系统删除命令相关的判断，能够有效防止RAID设备和LVM设备重启后盘符丢失、被人为执行命令删除等问题的发生。

附图说明

图1为本发明应用系统的结构图；

图2为本发明创建进程的流程图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

实施例1

本实施例提供一种RAID设备和LVM设备的防篡改方法，该方法通过存储的进程白名单列表对数据访问指令进行校验，包括以下步骤：

实时监听系统调用，根据系统调用的内容信息执行相应操作，具体地：当监听到的系统调用为创建RAID设备的软链接时，对该系统调用设置屏蔽解除标签，在系统重启时，使带有所述屏蔽解除标签的系统调用保持有效；当监听到的系统调用为创建lvmetad服务进程时，将所述lvmetad服务进程加入所述进程白名单列表中；当监听到的系统调用为创建与系统删除命令相关的进程时，产生进程创建失败反馈，系统删除命令包括storcli命令或lvremove命令。通过上述方法，能够有效防止RAID设备和LVM设备重启后盘符丢失、被人为执行命令删除等问题的发生。

上述方法为在原有的防篡改的数据保护方法的基础上的改进，实现防篡改的数据保护方法的数据保护系统的结构如图1所示，包括属于用户态的配置模块1、参数校验模块2和用户态交互模块3以及属于内核态的系统调用校验驱动模块4，通过各模块的协作实现保护路径白名单注册流程、进程白名单注册流程以及系统调用合法性检测流程。

上述防篡改的数据保护方法的防篡改流程具体包括：

1、保护路径注册流程：将需要保护的文件、目录或者设备的绝对路径传递给配置模块，配置模块调用参数校验模块生成接口校验码，如果接口校验码生成成功，则将受保护的路径和接口校验码传递给用户态交互模块，交互模块调用参数校验模块对接口校验码进行校验，校验成功后，调用参数校验模块生成注册校验码，如果注册校验码生成成功，则将受保护的路径和注册校验码注册到系统调用校验驱动模块中；系统调用校验驱动模块拿到注册信息后，先进行注册校验码的校验，校验成功后，再将相关的保护路径加入到保护路径白名单中。

2、白名单进程注册流程：用户态程序调用参数校验模块生成接口校验码，如果接口校验码生成成功，则将进程pid、进程名称以及接口校验码传递给用户态交互模块，交互模块调用参数校验模块对接口校验码进行验证，验证通过后，调用参数校验模块生成注册校验码，如果注册校验码生成成功，则将进程pid、进程名称以及注册校验码注册到系统调用校验驱动模块中；系统调用校验驱动模块拿到注册信息后，先进行注册校验码的校验，校验成功后，再将相关的进程pid、进程名称加入到进程白名单中。

3、系统调用合法性检测流程：用户态程序在访问某个文件的时候，会调用操作系统提供的系统调用，将文件的路径、进程pid等信息传入到系统内核中，这些信息会首先传递给系统调用校验驱动模块，系统调用校验驱动模块会检测传递的文件路径是否在保护路径列表及其子路径下，如果在，则还需要检测当前访问进程的进程pid和进程名称是否在进程白名单列表中，如果不在，则拒绝该系统调用，直接返回错误码给用户态程序。如果传递的文件路径不在保护范围内或者当前进程在进程白名单列表中，则允许其调用真正的系统功能。

而在实际的应用中，通过上述防篡改的数据保护方法实现对RAID设备和LVM设备的保护时，还会存在一些问题：1、RAID设备和LVM设备在系统重启以后盘符丢失；2、通过执行storcli和lvmremove等系统命令可以将盘符删除掉。本发明的上述RAID设备和LVM设备的防篡改方法能够有效解决上述两个问题。具体地，对于问题一，对于RAID设备，将创建软连接的系统调用解除屏蔽；至于LVM设备，首先需要对创建进程的系统调用进行更改，当检测到是lvmetad服务时，需要将该进程添加到进程白名单中，并且赋予该进程读权限，这样在系统重启以后，lvmetad服务就能读取出所有盘中的数据，这样就能加载所有的lvm设备。对于问题二，需要更改创建进程的系统调用，在创建进程时根据进程信息判断是否同storcli和lvremove命令相关，如果相关，进程创建失败，如果不相关，进程创建成功。

如图2所示，基于本发明方法的创建进程的流程包括以下步骤：

S1、执行进程创建进行的系统调用；

S2、判断进程是否为lvmetad服务，若是，则执行步骤S3，若否，则执行步骤S4；

S3、将进程添加到进程白名单列表中，并赋予读权限，执行步骤S5；

S4、判断进程是否为storcli或lvremove等相关命令，若是，则执行步骤S6，若否，则执行步骤S5；

S5、执行真正创建进程的系统调用；

S6、进程创建失败。

上述方法如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

实施例2

本实施例提供一种RAID设备和LVM设备的防篡改装置，包括：

进程白名单存储模块，用于存储进程白名单列表，基于该进程白名单列表对数据访问指令进行校验；

系统调用监听模块，用于实时监听系统调用，根据系统调用的内容信息执行相应操作，具体地：

当监听到的系统调用为创建RAID设备的软链接时，对该系统调用设置屏蔽解除标签，在系统重启时，使带有所述屏蔽解除标签的系统调用保持有效；

当监听到的系统调用为创建lvmetad服务进程时，将所述lvmetad服务进程加入所述进程白名单列表中；

当监听到的系统调用为创建与系统删除命令相关的进程时，产生进程创建失败反馈。

其余同实施例1。

实施例3

本实施例提供一种电子设备，包括一个或多个处理器、存储器和被存储在存储器中的一个或多个程序，所述一个或多个程序包括用于执行如实施例1所述的RAID设备和LVM设备的防篡改方法的指令。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。