一種文件篡改檢測(cè)及修復(fù)的方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種文件篡改檢測(cè)及修復(fù)的方法及系統(tǒng),所述方法為:掃描獲得系統(tǒng)中所有可信文件的HASH值及文件路徑���,并進(jìn)行存儲(chǔ)��;監(jiān)控系統(tǒng)中的所有文件��,與HASH庫對(duì)比��,判斷是否有異常文件或新增文件�,則根據(jù)常態(tài)規(guī)則庫及常態(tài)模型進(jìn)行匹配,如果常態(tài)模型匹配成功���,則將匹配結(jié)果的規(guī)則添加到常態(tài)規(guī)則庫中�,否則提示用戶進(jìn)行處理���。通過本發(fā)明的方法���,能夠有效識(shí)別系統(tǒng)中被篡改的文件或新增文件,并且常態(tài)規(guī)則庫及常態(tài)模型的組合��,能夠?qū)?shí)時(shí)改變的文件或目錄及時(shí)加入常態(tài)規(guī)則庫�,實(shí)現(xiàn)常態(tài)規(guī)則的自學(xué)習(xí),減少用戶操作��。
【專利說明】一種文件篡改檢測(cè)及修復(fù)的方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)安全領(lǐng)域���,特別涉及一種文件篡改檢測(cè)及修復(fù)的方法和系統(tǒng)�����?���!颈尘凹夹g(shù)】
[0002]隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展��,計(jì)算機(jī)越發(fā)普及����,一些存儲(chǔ)于個(gè)人計(jì)算機(jī)或企業(yè)計(jì)算機(jī)、服務(wù)器中的重要文件越來越多��,同時(shí)計(jì)算機(jī)病毒也在不斷發(fā)展�,如何保證存儲(chǔ)文件的安全,是當(dāng)前需要關(guān)注的問題?���,F(xiàn)在的一些感染式病毒或入侵者,嘗嘗會(huì)破壞或篡改計(jì)算機(jī)中的文件����,而現(xiàn)有技術(shù)公知的方法中�,對(duì)文件修復(fù)的方案�,只針對(duì)系統(tǒng)文件進(jìn)行修復(fù),而對(duì)于大多數(shù)用戶來說�,存儲(chǔ)于計(jì)算機(jī)上的個(gè)人文件或企業(yè)文件更加重要,而現(xiàn)有方法中����,都是通過已知系統(tǒng)文件的備份來對(duì)系統(tǒng)文件進(jìn)行檢測(cè)及修復(fù),無法識(shí)別個(gè)人文件等�����,因此更加需要一種能夠針對(duì)計(jì)算機(jī)中任何文件進(jìn)行監(jiān)控和修改的方法�。
【發(fā)明內(nèi)容】
[0003]本發(fā)明提供了一種文件篡改檢測(cè)及修復(fù)的方法和系統(tǒng),解決了現(xiàn)有文件檢測(cè)只針對(duì)系統(tǒng)文件�,無法檢測(cè)及修復(fù)用戶存儲(chǔ)的文件的問題,能夠防范感染式病毒等對(duì)文件的修改����,并實(shí)時(shí)監(jiān)控及修復(fù)。
[0004]本發(fā)明提供了一種文件篡改檢測(cè)及修復(fù)的方法��,包括:
對(duì)當(dāng)前系統(tǒng)全盤掃描�����,獲取全部文件HASH及文件路徑,并構(gòu)建本地HASH庫����;即本地HASH對(duì)照表;
根據(jù)HASH庫中的文件路徑���,檢測(cè)所有文件����,將判定為惡意的文件清除�,并刪除HASH庫中對(duì)應(yīng)的文件HASH及文件路徑��;檢測(cè)文件可以通過利用已知的惡意代碼檢測(cè)方法和模塊來實(shí)現(xiàn)��;
將修改后的HASH庫中的所有對(duì)應(yīng)文件����,生成本地系統(tǒng)鏡像文件存儲(chǔ);
監(jiān)控當(dāng)前系統(tǒng)中所有文件的HASH�,并與HASH庫比對(duì),判斷是否有異常文件或新增文件����,如果是�����,則將所述異常文件或新增文件發(fā)送到常態(tài)規(guī)則庫檢測(cè)���,否則繼續(xù)監(jiān)控;
常態(tài)規(guī)則庫根據(jù)預(yù)先存儲(chǔ)的已知常規(guī)規(guī)則與異常文件或新增文件匹配�����,如果匹配成功��,則系統(tǒng)放行����,否則將所述異常文件或新增文件進(jìn)行常態(tài)模型匹配;
獲取所述異常文件或新增文件的事件屬性���,并與常態(tài)模型關(guān)聯(lián)匹配����,如果匹配成功�,則將關(guān)聯(lián)匹配后的規(guī)則添加到常態(tài)規(guī)則庫中,并將所述異常文件或新增文件更新到本地系統(tǒng)鏡像文件中����;否則�����,提示用戶進(jìn)行處理�。
[0005]所述的方法中����,還包括:將修改后的HASH庫中的所有對(duì)應(yīng)文件上傳到云端服務(wù)器存儲(chǔ)。
[0006]所述的方法中�,所述常態(tài)規(guī)則庫中預(yù)先存儲(chǔ)的已知常規(guī)規(guī)則為,根據(jù)用戶或系統(tǒng)的正常操作或經(jīng)常使用的已知常規(guī)操作提取的規(guī)則�����。當(dāng)然還包括用戶經(jīng)常使用的第三方軟件的常規(guī)操作�。
[0007]所述的方法中����,所述的常態(tài)模型,通過對(duì)所有文件常態(tài)監(jiān)控��,并對(duì)系統(tǒng)中所有修改或新增文件事件進(jìn)行日志記錄�����,及修改或新增文件過程中的元屬性信息,進(jìn)行關(guān)聯(lián)分析得出常態(tài)模型�。
[0008]所述的修改或新增文件過程中的元屬性信息至少包括:系統(tǒng)IP、系統(tǒng)用戶��、修改或新增文件時(shí)間���、文件目錄及文件格式����。
[0009]所述的方法中�,所述提示用戶進(jìn)行處理還包括:提示用戶選擇進(jìn)行文件修復(fù),或添加到HASH庫���,或添加到常態(tài)規(guī)則庫��。
[0010]所述的方法中���,如果用戶選擇進(jìn)行文件修復(fù),則從存儲(chǔ)的本地系統(tǒng)鏡像文件中或云端服務(wù)器中更新�;如果用戶選擇添加到HASH庫,則將所述異常文件或新增文件的HASH及文件路徑添加到HASH庫中;如果用戶選擇添加到常態(tài)規(guī)則庫����,則需要用戶手動(dòng)錄入規(guī)則,并將所述規(guī)則添加到常態(tài)規(guī)則庫���。
[0011]本發(fā)明還提供一種文件篡改檢測(cè)及修復(fù)的系統(tǒng)��,包括:
掃描模塊��,用于對(duì)當(dāng)前系統(tǒng)全盤掃描��,獲取全部文件HASH及文件路徑���,并構(gòu)建本地HASH 庫;
檢測(cè)模塊���,用于根據(jù)HASH庫中的文件路徑�,檢測(cè)所有文件���,將判定為惡意的文件清除,并刪除HASH庫中對(duì)應(yīng)的文件HASH及文件路徑���;
備份模塊��,用于將修改后的HASH庫中的所有對(duì)應(yīng)文件�����,生成本地系統(tǒng)鏡像文件存儲(chǔ)��;監(jiān)控模塊��,用于監(jiān)控當(dāng)前系統(tǒng)中所有文件的HASH����,并與HASH庫比對(duì),判斷是否有異常文件或新增文件�,如果是,則將所述異常文件或新增文件發(fā)送到常態(tài)規(guī)則庫檢測(cè)�,否則繼續(xù)監(jiān)控;
常態(tài)規(guī)則檢查模塊�,用于常態(tài)規(guī)則庫根據(jù)預(yù)先存儲(chǔ)的已知常規(guī)規(guī)則與異常文件或新增文件匹配,如果匹配成功�����,則系統(tǒng)放行����,否則將所述異常文件或新增文件進(jìn)行常態(tài)模型匹配����;
常態(tài)模型匹配模塊�,用于獲取所述異常文件或新增文件的事件屬性,并與常態(tài)模型關(guān)聯(lián)匹配���,如果匹配成功�����,則將關(guān)聯(lián)匹配后的規(guī)則添加到常態(tài)規(guī)則庫中�,并將所述異常文件或新增文件更新到本地系統(tǒng)鏡像文件中��;否則���,提示用戶進(jìn)行處理�����。
[0012]所述的系統(tǒng)中����,還包括:將修改后的HASH庫中的所有對(duì)應(yīng)文件上傳到云端服務(wù)器存儲(chǔ)�����。
[0013]所述的系統(tǒng)中��,所述常態(tài)規(guī)則庫中預(yù)先存儲(chǔ)的已知常規(guī)規(guī)則為���,根據(jù)用戶或系統(tǒng)的正常操作或經(jīng)常使用的已知常規(guī)操作提取的規(guī)則�����。
[0014]所述的系統(tǒng)中���,所述的常態(tài)模型,為根據(jù)系統(tǒng)中所有修改或新增文件的事件記錄���,及修改或新增文件過程中的元屬性信息����,進(jìn)行關(guān)聯(lián)分析得出����。
[0015]所述的系統(tǒng)中���,所述修改或新增文件過程中的元屬性信息至少包括:系統(tǒng)IP、系統(tǒng)用戶����、修改或新增文件時(shí)間、文件目錄及文件格式���。
[0016]所述的系統(tǒng)中�����,所述提示用戶進(jìn)行處理還包括:提示用戶選擇進(jìn)行文件修復(fù)�,或添加到HASH庫�,或添加到常態(tài)規(guī)則庫。
[0017]所述的系統(tǒng)中�,如果用戶選擇進(jìn)行文件修復(fù),則從存儲(chǔ)的本地系統(tǒng)鏡像文件中或云端服務(wù)器中更新���;如果用戶選擇添加到HASH庫����,則將所述異常文件或新增文件的HASH及文件路徑添加到HASH庫中���;如果用戶選擇添加到常態(tài)規(guī)則庫����,則需要用戶手動(dòng)錄入規(guī)則����,并將所述規(guī)則添加到常態(tài)規(guī)則庫。[0018]本發(fā)明的優(yōu)勢(shì)在于����,能夠?qū)ο到y(tǒng)中所有的文件進(jìn)行監(jiān)控,并對(duì)被判定為篡改的文件進(jìn)行修復(fù)���;根據(jù)系統(tǒng)或用戶常規(guī)操作提取規(guī)則�,形成常態(tài)規(guī)則庫��,能夠?qū)ο到y(tǒng)中被修改過或新增文件進(jìn)行判定�����,在常態(tài)規(guī)則庫無法判定時(shí)�����,還可以通過常態(tài)模型進(jìn)行關(guān)聯(lián)分析,來判定異常文件或新增文件是否可疑�;同時(shí)常態(tài)模型還能夠?qū)⑵ヅ浜笮略龅囊?guī)則反饋到常態(tài)規(guī)則庫中,試常態(tài)規(guī)則庫能夠主動(dòng)學(xué)習(xí)更新�。
[0019]本發(fā)明提供了一種文件篡改檢測(cè)及修復(fù)的方法及系統(tǒng),所述方法為:掃描獲得系統(tǒng)中所有可信文件的HASH值及文件路徑���,并進(jìn)行存儲(chǔ)��;監(jiān)控系統(tǒng)中的所有文件����,與HASH庫對(duì)比�����,判斷是否有異常文件或新增文件��,則根據(jù)常態(tài)規(guī)則庫及常態(tài)模型進(jìn)行匹配�,如果常態(tài)模型匹配成功,則將匹配結(jié)果的規(guī)則添加到常態(tài)規(guī)則庫中��,否則提示用戶進(jìn)行處理���。通過本發(fā)明的方法�,能夠有效識(shí)別系統(tǒng)中被篡改的文件或新增文件,并且常態(tài)規(guī)則庫及常態(tài)模型的組合���,能夠?qū)?shí)時(shí)改變的文件或目錄及時(shí)加入常態(tài)規(guī)則庫��,實(shí)現(xiàn)常態(tài)規(guī)則的自學(xué)習(xí)��,減少用戶操作��。
【專利附圖】
【附圖說明】
[0020]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹���,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動(dòng)的前提下����,還可以根據(jù)這些附圖獲得其他的附圖。
[0021]圖1為本發(fā)明文件篡改檢測(cè)及修復(fù)的方法流程圖���;
圖2為本發(fā)明文件篡改檢測(cè)及修復(fù)的系統(tǒng)結(jié)構(gòu)示意圖�����。
【具體實(shí)施方式】
[0022]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案�����,并使本發(fā)明的上述目的�、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明���。
[0023]本發(fā)明提供了一種文件篡改檢測(cè)及修復(fù)的方法和系統(tǒng)�,解決了現(xiàn)有文件檢測(cè)只針對(duì)系統(tǒng)文件����,無法檢測(cè)及修復(fù)用戶存儲(chǔ)的文件的問題,能夠防范感染式病毒等對(duì)文件的修改�����,并實(shí)時(shí)監(jiān)控及修復(fù)����。
[0024]本發(fā)明提供了一種文件篡改檢測(cè)及修復(fù)的方法,如圖1所示,包括:
SlOl:對(duì)當(dāng)前系統(tǒng)全盤掃描����,獲取全部文件HASH及文件路徑,并構(gòu)建本地HASH庫�;gp本地HASH對(duì)照表;
S102:根據(jù)HASH庫中的文件路徑����,檢測(cè)所有文件,將判定為惡意的文件清除�,并刪除HASH庫中對(duì)應(yīng)的文件HASH及文件路徑;
檢測(cè)文件可以通過利用已知的惡意代碼檢測(cè)方法和模塊來實(shí)現(xiàn)�,現(xiàn)在對(duì)于惡意代碼檢測(cè)的方法比較成熟�����,方式也很多����,通過進(jìn)行惡意代碼檢測(cè),能夠?qū)θP所有文件進(jìn)行初步定性,對(duì)于檢出的惡意文件,進(jìn)行刪除,并更新本地HASH庫�,能夠保證本地HASH庫中的文件全部為可信文件;
S103:將修改后的HASH庫中的所有對(duì)應(yīng)文件��,生成本地系統(tǒng)鏡像文件存儲(chǔ);同時(shí)還可以將文件上傳到云端服務(wù)器備份���;5104:監(jiān)控當(dāng)前系統(tǒng)中所有文件的HASH���,并與HASH庫比對(duì),判斷是否有異常文件或新增文件����,如果是,則將所述異常文件或新增文件發(fā)送到常態(tài)規(guī)則庫檢測(cè)���,否則繼續(xù)監(jiān)控�����;
根據(jù)得到的文件計(jì)算文件HASH和獲得文件路徑����,使用HASH庫進(jìn)行檢測(cè)����,如果存在且兩者完全一樣則認(rèn)為此文件未被修改,如果文件HASH或文件路徑有一個(gè)不匹配����,則認(rèn)為當(dāng)前文件為異常文件或新增文件���;
5105:常態(tài)規(guī)則庫根據(jù)預(yù)先存儲(chǔ)的已知常規(guī)規(guī)則與異常文件或新增文件匹配,如果匹配成功�,則系統(tǒng)放行,否則將所述異常文件或新增文件進(jìn)行常態(tài)模型匹配���;
所述常態(tài)規(guī)則庫中預(yù)先存儲(chǔ)的已知常規(guī)規(guī)則為��,根據(jù)用戶或系統(tǒng)的正常操作或經(jīng)常使用的已知常規(guī)操作提取的規(guī)則�����。當(dāng)然還包括用戶經(jīng)常使用的第三方軟件的常規(guī)操作����。如第三方軟件都會(huì)有一個(gè)固定文件夾存儲(chǔ)所產(chǎn)生的或下載文件�����; 常態(tài)規(guī)則庫主要是在初始化時(shí)通過前期的收集整理�����,用戶設(shè)定和系統(tǒng)設(shè)定的規(guī)則����,t匕如系統(tǒng)日志文件或目錄、系統(tǒng)臨時(shí)文件或目錄�、系統(tǒng)補(bǔ)丁更新文件或目錄、可信第三方軟件的相關(guān)文件或目錄�����、用戶自己制定的文件或目錄等��。對(duì)于此類目錄�,認(rèn)為是可信的,并根據(jù)文件或目錄的形態(tài)����,以正則表達(dá)式的方式提取相關(guān)規(guī)則,并組成初始的常態(tài)規(guī)則庫���。同時(shí)常態(tài)規(guī)則庫還能夠根據(jù)常態(tài)模型進(jìn)行學(xué)習(xí)補(bǔ)充�����。
[0025]對(duì)于常態(tài)規(guī)則庫中的規(guī)則提取�����,以下舉例說明:
1.對(duì)于文件�,在同一目錄下,文件HASH不同���,但文件名類似�,根據(jù)文件名提取同一規(guī)貝IJ����,例如:
C:/第三方軟件 A/log/134785269.txt ;
C:/第三方軟件 A/log/135386569.txt ����;
C:/ 第三方軟件 A/log/234.txt ;
C:/第三方軟件 A/log/135895269.jpg �;
在以上文件形態(tài)中,認(rèn)為前兩種格式為可信文件����,后兩種為不可信文件,則提取規(guī)則為:C:/ 第三方軟件 A/log/ \d{10}.txt�����。
[0026]2.對(duì)于目錄來說��,對(duì)指定目錄下的文件��,認(rèn)為可以不屬于監(jiān)控范圍��,并根據(jù)文件路徑提取規(guī)則����,比如系統(tǒng)的臨時(shí)目錄,每訪問一次瀏覽器���,都會(huì)將頁面上的所有媒體文件�、cookie信息文件等保存到該目錄下����,因此將此目錄設(shè)定到常態(tài)規(guī)則庫中,例如:
C:/Users/ 用戶名 /AppData/Local/Microsoft/ffindows/Temporary InternetFiles/ �;
對(duì)于以上目錄提取的規(guī)則如下:
C:/Users/ 用戶名 /AppData/Local/Microsoft/ffindows/Temporary InternetFiles/氺。
[0027]3.對(duì)于非指定文件和文件目錄的情況�����,基于對(duì)文件和目錄整體的形態(tài)進(jìn)行提取規(guī)貝1J��。例如:
D:/work/2013-10-01/test.txt ;
D:/work/2013-10-02/test2.txt ��;
D:/work/2013-10-01/test, exe ���;
D:/work/abc/test, txt �����;
比如以上文件和目錄形態(tài)中��,僅對(duì)前兩類形態(tài)認(rèn)為是可信的�����,而對(duì)其他認(rèn)為是不可信的���,貝1J可提取規(guī)則如下:D:/work/[19|20]\d{3}-\d{2}-\d{2}/.+.txt。
[0028]S106:獲取所述異常文件或新增文件的事件屬性���,并與常態(tài)模型關(guān)聯(lián)匹配�����,如果匹配成功�����,則將關(guān)聯(lián)匹配后的規(guī)則添加到常態(tài)規(guī)則庫中��,并將所述異常文件或新增文件更新到本地系統(tǒng)鏡像文件中�����;否則���,提示用戶進(jìn)行處理。
[0029]常態(tài)模型�����,主要是針對(duì)系統(tǒng)中所有文件的監(jiān)控�����,基于系統(tǒng)及用戶習(xí)慣���,記錄文件修改或新增的記錄日志�����,從中統(tǒng)計(jì)得出規(guī)律����,是對(duì)系統(tǒng)中日志的長(zhǎng)期記錄對(duì)于后續(xù)的每一次修改,都增加到常態(tài)模型統(tǒng)計(jì)記錄中���。根據(jù)常態(tài)模型���,識(shí)別常態(tài)規(guī)則庫中未能識(shí)別的文件,如果屬于常態(tài)模型范圍內(nèi)�,則認(rèn)為可信,并將得到的規(guī)則添加到常態(tài)規(guī)則庫中����,以達(dá)到常態(tài)規(guī)則庫自更新學(xué)習(xí)的目的。
[0030]對(duì)于常態(tài)模型的關(guān)聯(lián)統(tǒng)計(jì)識(shí)別范圍舉例如下:
海量的修改文件或新增文件事件庫�;
海量的修改文件或新增文件事件庫;
根據(jù)記錄的事件元屬性�����,對(duì)指定文件或目錄修改/新增的頻率TOP統(tǒng)計(jì)�����;
根據(jù)記錄的事件元屬性,對(duì)指定文件或目錄修改/新增的時(shí)間段TOP統(tǒng)計(jì)���;
根據(jù)記錄的事件元屬性�,對(duì)指定文件或目錄修改/新增的系統(tǒng)IP主機(jī)TOP統(tǒng)計(jì)�;
根據(jù)記錄的事件元屬性�����,對(duì)指定文件或目錄修改/新增的系統(tǒng)用戶TOP統(tǒng)計(jì)��;
根據(jù)記錄的事件元屬性����,對(duì)指定文件的文件格式的TOP統(tǒng)計(jì);
根據(jù)記錄的事件元屬性��,統(tǒng)計(jì)分析出指定文件的目錄的TOP統(tǒng)計(jì)�����。
[0031]基于以上數(shù)據(jù)的關(guān)聯(lián)分析�,從中得到系統(tǒng)或用戶修改、新增文件或目錄的常態(tài)習(xí)慣,得到常態(tài)模型�����,用以進(jìn)行檢測(cè)�����。
[0032]所述的方法中����,還包括:將修改后的HASH庫中的所有對(duì)應(yīng)文件上傳到云端服務(wù)器存儲(chǔ)。
[0033]所述的方法中�����,所述的常態(tài)模型�����,通過對(duì)所有文件常態(tài)監(jiān)控�,并對(duì)系統(tǒng)中所有修改或新增文件事件進(jìn)行日志記錄,及修改或新增文件過程中的元屬性信息���,進(jìn)行關(guān)聯(lián)分析得出常態(tài)模型��。
[0034]所述的修改或新增文件過程中的元屬性信息至少包括:系統(tǒng)IP����、系統(tǒng)用戶、修改或新增文件時(shí)間��、文件目錄及文件格式���。
[0035]所述的方法中�����,所述提示用戶進(jìn)行處理還包括:提示用戶選擇進(jìn)行文件修復(fù),或添加到HASH庫�,或添加到常態(tài)規(guī)則庫。
[0036]所述的方法中��,如果用戶選擇進(jìn)行文件修復(fù)��,則從存儲(chǔ)的本地系統(tǒng)鏡像文件中或云端服務(wù)器中更新�����,當(dāng)然還可以通過P2P的方式�,從其他設(shè)備系統(tǒng)上查找相同文件恢復(fù)���;如果用戶選擇添加到HASH庫,則將所述異常文件或新增文件的HASH及文件路徑添加到HASH庫中�����;由于已知的常態(tài)規(guī)則庫或常態(tài)模型中都未能匹配到當(dāng)前文件名及文件目錄���,即為不常修改或添加的文件或目錄���,系統(tǒng)認(rèn)為是可疑的事件,需要用戶自行判斷�����,有可能是用戶臨時(shí)需要操作的文件或目錄���,也可能是用戶認(rèn)為此文件或目錄為可信的��,因此當(dāng)用戶認(rèn)為文件可信時(shí)��,則可以手動(dòng)增加到HASH庫中����;如果用戶選擇添加到常態(tài)規(guī)則庫,則需要用戶手動(dòng)錄入規(guī)則���,并將所述規(guī)則添加到常態(tài)規(guī)則庫���。
[0037]本發(fā)明還提供一種文件篡改檢測(cè)及修復(fù)的系統(tǒng),如圖2所示��,包括:
掃描模塊201���,用于對(duì)當(dāng)前系統(tǒng)全盤掃描�����,獲取全部文件HASH及文件路徑,并構(gòu)建本地HASH 庫�;
檢測(cè)模塊202,用于根據(jù)HASH庫中的文件路徑���,檢測(cè)所有文件��,將判定為惡意的文件清除��,并刪除HASH庫中對(duì)應(yīng)的文件HASH及文件路徑����;
備份模塊203,用于將修改后的HASH庫中的所有對(duì)應(yīng)文件�����,生成本地系統(tǒng)鏡像文件存
儲(chǔ)��;
監(jiān)控模塊204��,用于監(jiān)控當(dāng)前系統(tǒng)中所有文件的HASH���,并與HASH庫比對(duì)�,判斷是否有異常文件或新增文件����,如果是,則將所述異常文件或新增文件發(fā)送到常態(tài)規(guī)則庫檢測(cè)����,否則繼續(xù)監(jiān)控;
常態(tài)規(guī)則檢查模塊205�����,用于常態(tài)規(guī)則庫根據(jù)預(yù)先存儲(chǔ)的已知常規(guī)規(guī)則與異常文件或新增文件匹配,如果匹配成功�����,則系統(tǒng)放行��,否則將所述異常文件或新增文件進(jìn)行常態(tài)模型匹配���;
常態(tài)模型匹配模塊206�,用于獲取所述異常文件或新增文件的事件屬性���,并與常態(tài)模型關(guān)聯(lián)匹配��,如果匹配成功����,則將關(guān)聯(lián)匹配后的規(guī)則添加到常態(tài)規(guī)則庫中���,并將所述異常文件或新增文件更新到本地系統(tǒng)鏡像文件中;否則����,提示用戶進(jìn)行處理�����。
[0038]所述的系統(tǒng)中�����,還包括:將修改后的HASH庫中的所有對(duì)應(yīng)文件上傳到云端服務(wù)器存儲(chǔ)����。
[0039]所述的系統(tǒng)中��,所述常態(tài)規(guī)則庫中預(yù)先存儲(chǔ)的已知常規(guī)規(guī)則為�����,根據(jù)用戶或系統(tǒng)的正常操作或經(jīng)常使用的已知常規(guī)操作提取的規(guī)則���。
[0040]所述的系統(tǒng)中���,所述的常態(tài)模型,為根據(jù)系統(tǒng)中所有修改或新增文件的事件記錄�,及修改或新增文件過程中的元屬性信息,進(jìn)行關(guān)聯(lián)分析得出。
[0041]所述的系統(tǒng)中����,所述修改或新增文件過程中的元屬性信息至少包括:系統(tǒng)IP、系統(tǒng)用戶�、修改或新增文件時(shí)間、文件目錄及文件格式��。
[0042]所述的系統(tǒng)中��,所述提示用戶進(jìn)行處理還包括:提示用戶選擇進(jìn)行文件修復(fù)�����,或添加到HASH庫��,或添加到常態(tài)規(guī)則庫����。
[0043]所述的系統(tǒng)中,如果用戶選擇進(jìn)行文件修復(fù)���,則從存儲(chǔ)的本地系統(tǒng)鏡像文件中或云端服務(wù)器中更新�;如果用戶選擇添加到HASH庫��,則將所述異常文件或新增文件的HASH及文件路徑添加到HASH庫中���;如果用戶選擇添加到常態(tài)規(guī)則庫����,則需要用戶手動(dòng)錄入規(guī)則����,并將所述規(guī)則添加到常態(tài)規(guī)則庫。
[0044]本發(fā)明的優(yōu)勢(shì)在于��,能夠?qū)ο到y(tǒng)中所有的文件進(jìn)行監(jiān)控�����,并對(duì)被判定為篡改的文件進(jìn)行修復(fù)���;根據(jù)系統(tǒng)或用戶常規(guī)操作提取規(guī)則���,形成常態(tài)規(guī)則庫,能夠?qū)ο到y(tǒng)中被修改過或新增文件進(jìn)行判定��,在常態(tài)規(guī)則庫無法判定時(shí)��,還可以通過常態(tài)模型進(jìn)行關(guān)聯(lián)分析,來判定異常文件或新增文件是否可疑��;同時(shí)常態(tài)模型還能夠?qū)⑵ヅ浜笮略龅囊?guī)則反饋到常態(tài)規(guī)則庫中���,試常態(tài)規(guī)則庫能夠主動(dòng)學(xué)習(xí)更新��。
[0045]本發(fā)明提供了一種文件篡改檢測(cè)及修復(fù)的方法及系統(tǒng)����,所述方法為:掃描獲得系統(tǒng)中所有可信文件的HASH值及文件路徑���,并進(jìn)行存儲(chǔ)����;監(jiān)控系統(tǒng)中的所有文件���,與HASH庫對(duì)比�,判斷是否有異常文件或新增文件�,則根據(jù)常態(tài)規(guī)則庫及常態(tài)模型進(jìn)行匹配,如果常態(tài)模型匹配成功�����,則將匹配結(jié)果的規(guī)則添加到常態(tài)規(guī)則庫中,否則提示用戶進(jìn)行處理�。通過本發(fā)明的方法,能夠有效識(shí)別系統(tǒng)中被篡改的文件或新增文件�,并且常態(tài)規(guī)則庫及常態(tài)模型的組合�����,能夠?qū)?shí)時(shí)改變的文件或目錄及時(shí)加入常態(tài)規(guī)則庫�����,實(shí)現(xiàn)常態(tài)規(guī)則的自學(xué)習(xí)���,減少用戶操作��。
[0046]雖然通過實(shí)施例描繪了本發(fā)明����,本領(lǐng)域普通技術(shù)人員知道�����,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神��,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神。
【權(quán)利要求】
1.一種文件篡改檢測(cè)及修復(fù)的方法�,其特征在于,包括: 對(duì)當(dāng)前系統(tǒng)全盤掃描�����,獲取全部文件HASH及文件路徑�,并構(gòu)建本地HASH庫; 根據(jù)HASH庫中的文件路徑����,檢測(cè)所有文件,將判定為惡意的文件清除���,并刪除HASH庫中對(duì)應(yīng)的文件HASH及文件路徑�����; 將修改后的HASH庫中的所有對(duì)應(yīng)文件�,生成本地系統(tǒng)鏡像文件存儲(chǔ)���; 監(jiān)控當(dāng)前系統(tǒng)中所有文件的HASH��,并與HASH庫比對(duì)����,判斷是否有異常文件或新增文件,如果是��,則將所述異常文件或新增文件發(fā)送到常態(tài)規(guī)則庫檢測(cè)����,否則繼續(xù)監(jiān)控�����; 常態(tài)規(guī)則庫根據(jù)預(yù)先存儲(chǔ)的已知常規(guī)規(guī)則與異常文件或新增文件匹配����,如果匹配成功,則系統(tǒng)放行���,否則將所述異常文件或新增文件進(jìn)行常態(tài)模型匹配�����; 獲取所述異常文件或新增文件的事件屬性��,并與常態(tài)模型關(guān)聯(lián)匹配�����,如果匹配成功�����,則將關(guān)聯(lián)匹配后的規(guī)則添加到常態(tài)規(guī)則庫中����,并將所述異常文件或新增文件更新到本地系統(tǒng)鏡像文件中;否則�����,提示用戶進(jìn)行處理�����。
2.如權(quán)利要求1所述的方法���,其特征在于����,還包括:將修改后的HASH庫中的所有對(duì)應(yīng)文件上傳到云端服務(wù)器存儲(chǔ)。
3.如權(quán)利要求1所述 的方法����,其特征在于,所述常態(tài)規(guī)則庫中預(yù)先存儲(chǔ)的已知常規(guī)規(guī)則為���,根據(jù)用戶或系統(tǒng)的正常操作或經(jīng)常使用的已知常規(guī)操作提取的規(guī)則�。
4.如權(quán)利要求1所述的方法���,其特征在于��,所述的常態(tài)模型,為根據(jù)系統(tǒng)中所有修改或新增文件的事件記錄�,及修改或新增文件過程中的元屬性信息,進(jìn)行關(guān)聯(lián)分析得出�����。
5.如權(quán)利要求4所述的方法��,其特征在于���,所述修改或新增文件過程中的元屬性信息至少包括:系統(tǒng)IP�、系統(tǒng)用戶�、修改或新增文件時(shí)間���、文件目錄及文件格式。
6.如權(quán)利要求1所述的方法��,其特征在于��,所述提示用戶進(jìn)行處理還包括:提示用戶選擇進(jìn)行文件修復(fù)���,或添加到HASH庫�,或添加到常態(tài)規(guī)則庫��。
7.如權(quán)利要求6所述的方法�����,其特征在于��,如果用戶選擇進(jìn)行文件修復(fù)�,則從存儲(chǔ)的本地系統(tǒng)鏡像文件中或云端服務(wù)器中更新;如果用戶選擇添加到HASH庫����,則將所述異常文件或新增文件的HASH及文件路徑添加到HASH庫中;如果用戶選擇添加到常態(tài)規(guī)則庫,則需要用戶手動(dòng)錄入規(guī)則���,并將所述規(guī)則添加到常態(tài)規(guī)則庫�����。
8.一種文件篡改檢測(cè)及修復(fù)的系統(tǒng)���,其特征在于,包括: 掃描模塊���,用于對(duì)當(dāng)前系統(tǒng)全盤掃描��,獲取全部文件HASH及文件路徑���,并構(gòu)建本地HASH 庫�����; 檢測(cè)模塊����,用于根據(jù)HASH庫中的文件路徑,檢測(cè)所有文件,將判定為惡意的文件清除��,并刪除HASH庫中對(duì)應(yīng)的文件HASH及文件路徑�����; 備份模塊��,用于將修改后的HASH庫中的所有對(duì)應(yīng)文件��,生成本地系統(tǒng)鏡像文件存儲(chǔ)��;監(jiān)控模塊���,用于監(jiān)控當(dāng)前系統(tǒng)中所有文件的HASH��,并與HASH庫比對(duì)��,判斷是否有異常文件或新增文件����,如果是���,則將所述異常文件或新增文件發(fā)送到常態(tài)規(guī)則庫檢測(cè)�����,否則繼續(xù)監(jiān)控�; 常態(tài)規(guī)則檢查模塊,用于常態(tài)規(guī)則庫根據(jù)預(yù)先存儲(chǔ)的已知常規(guī)規(guī)則與異常文件或新增文件匹配�����,如果匹配成功����,則系統(tǒng)放行,否則將所述異常文件或新增文件進(jìn)行常態(tài)模型匹配���; 常態(tài)模型匹配模塊����,用于獲取所述異常文件或新增文件的事件屬性��,并與常態(tài)模型關(guān)聯(lián)匹配��,如果匹配成功�,則將關(guān)聯(lián)匹配后的規(guī)則添加到常態(tài)規(guī)則庫中��,并將所述異常文件或新增文件更新到本地系統(tǒng)鏡像文件中;否則���,提示用戶進(jìn)行處理��。
9.如權(quán)利要求8所述的系統(tǒng)���, 其特征在于,還包括:將修改后的HASH庫中的所有對(duì)應(yīng)文件上傳到云端服務(wù)器存儲(chǔ)�����。
10.如權(quán)利要求8所述的系統(tǒng)���,其特征在于��,所述常態(tài)規(guī)則庫中預(yù)先存儲(chǔ)的已知常規(guī)規(guī)則為���,根據(jù)用戶或系統(tǒng)的正常操作或經(jīng)常使用的已知常規(guī)操作提取的規(guī)則。
11.如權(quán)利要求8所述的系統(tǒng)����,其特征在于,所述的常態(tài)模型�,為根據(jù)系統(tǒng)中所有修改或新增文件的事件記錄�����,及修改或新增文件過程中的元屬性信息���,進(jìn)行關(guān)聯(lián)分析得出。
12.如權(quán)利要求11所述的系統(tǒng)�����,其特征在于�����,所述修改或新增文件過程中的元屬性信息至少包括:系統(tǒng)IP����、系統(tǒng)用戶、修改或新增文件時(shí)間����、文件目錄及文件格式。
13.如權(quán)利要求8所述的系統(tǒng)�,其特征在于,所述提示用戶進(jìn)行處理還包括:提示用戶選擇進(jìn)行文件修復(fù)�,或添加到HASH庫,或添加到常態(tài)規(guī)則庫�����。
14.如權(quán)利要求13所述的系統(tǒng)���,其特征在于�,如果用戶選擇進(jìn)行文件修復(fù)��,則從存儲(chǔ)的本地系統(tǒng)鏡像文件中或云端服務(wù)器中更新�;如果用戶選擇添加到HASH庫,則將所述異常文件或新增文件的HASH及文件路徑添加到HASH庫中�;如果用戶選擇添加到常態(tài)規(guī)則庫,則需要用戶手動(dòng)錄入規(guī)則�,并將所述規(guī)則添加到常態(tài)規(guī)則庫。
【文檔編號(hào)】G06F21/10GK103902855SQ201310689374
【公開日】2014年7月2日 申請(qǐng)日期:2013年12月17日 優(yōu)先權(quán)日:2013年12月17日
【發(fā)明者】任洪偉, 劉佳男, 李柏松 申請(qǐng)人:哈爾濱安天科技股份有限公司