CN103902855A - 一种文件篡改检测及修复的方法和系统 - Google Patents
一种文件篡改检测及修复的方法和系统 Download PDFInfo
- Publication number
- CN103902855A CN103902855A CN201310689374.4A CN201310689374A CN103902855A CN 103902855 A CN103902855 A CN 103902855A CN 201310689374 A CN201310689374 A CN 201310689374A CN 103902855 A CN103902855 A CN 103902855A
- Authority
- CN
- China
- Prior art keywords
- file
- newly
- normality
- hash
- increased
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 230000002159 abnormal effect Effects 0.000 claims abstract description 48
- 238000012544 monitoring process Methods 0.000 claims abstract description 20
- 230000008569 process Effects 0.000 claims description 26
- 230000008439 repair process Effects 0.000 claims description 21
- 238000001514 detection method Methods 0.000 claims description 10
- 238000012098 association analyses Methods 0.000 claims description 9
- 230000008878 coupling Effects 0.000 claims description 8
- 238000010168 coupling process Methods 0.000 claims description 8
- 238000005859 coupling reaction Methods 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 8
- 230000003993 interaction Effects 0.000 claims description 6
- 238000012986 modification Methods 0.000 claims description 6
- 230000004048 modification Effects 0.000 claims description 6
- 241000700605 Viruses Species 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 208000015181 infectious disease Diseases 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 239000003292 glue Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
- G06F11/1435—Saving, restoring, recovering or retrying at system level using file system or storage system metadata
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Library & Information Science (AREA)
- General Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供了一种文件篡改检测及修复的方法及系统,所述方法为:扫描获得系统中所有可信文件的HASH值及文件路径,并进行存储;监控系统中的所有文件,与HASH库对比,判断是否有异常文件或新增文件,则根据常态规则库及常态模型进行匹配,如果常态模型匹配成功,则将匹配结果的规则添加到常态规则库中,否则提示用户进行处理。通过本发明的方法,能够有效识别系统中被篡改的文件或新增文件,并且常态规则库及常态模型的组合,能够对实时改变的文件或目录及时加入常态规则库,实现常态规则的自学习,减少用户操作。
Description
技术领域
本发明涉及计算机安全领域,特别涉及一种文件篡改检测及修复的方法和系统。
背景技术
随着互联网技术的发展,计算机越发普及,一些存储于个人计算机或企业计算机、服务器中的重要文件越来越多,同时计算机病毒也在不断发展,如何保证存储文件的安全,是当前需要关注的问题。现在的一些感染式病毒或入侵者,尝尝会破坏或篡改计算机中的文件,而现有技术公知的方法中,对文件修复的方案,只针对系统文件进行修复,而对于大多数用户来说,存储于计算机上的个人文件或企业文件更加重要,而现有方法中,都是通过已知系统文件的备份来对系统文件进行检测及修复,无法识别个人文件等,因此更加需要一种能够针对计算机中任何文件进行监控和修改的方法。
发明内容
本发明提供了一种文件篡改检测及修复的方法和系统,解决了现有文件检测只针对系统文件,无法检测及修复用户存储的文件的问题,能够防范感染式病毒等对文件的修改,并实时监控及修复。
本发明提供了一种文件篡改检测及修复的方法,包括:
对当前系统全盘扫描,获取全部文件HASH及文件路径,并构建本地HASH库;即本地HASH对照表;
根据HASH库中的文件路径,检测所有文件,将判定为恶意的文件清除,并删除HASH库中对应的文件HASH及文件路径;检测文件可以通过利用已知的恶意代码检测方法和模块来实现;
将修改后的HASH库中的所有对应文件,生成本地系统镜像文件存储;
监控当前系统中所有文件的HASH,并与HASH库比对,判断是否有异常文件或新增文件,如果是,则将所述异常文件或新增文件发送到常态规则库检测,否则继续监控;
常态规则库根据预先存储的已知常规规则与异常文件或新增文件匹配,如果匹配成功,则系统放行,否则将所述异常文件或新增文件进行常态模型匹配;
获取所述异常文件或新增文件的事件属性,并与常态模型关联匹配,如果匹配成功,则将关联匹配后的规则添加到常态规则库中,并将所述异常文件或新增文件更新到本地系统镜像文件中;否则,提示用户进行处理。
所述的方法中,还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
所述的方法中,所述常态规则库中预先存储的已知常规规则为,根据用户或系统的正常操作或经常使用的已知常规操作提取的规则。当然还包括用户经常使用的第三方软件的常规操作。
所述的方法中,所述的常态模型,通过对所有文件常态监控,并对系统中所有修改或新增文件事件进行日志记录,及修改或新增文件过程中的元属性信息,进行关联分析得出常态模型。
所述的修改或新增文件过程中的元属性信息至少包括:系统IP、系统用户、修改或新增文件时间、文件目录及文件格式。
所述的方法中,所述提示用户进行处理还包括:提示用户选择进行文件修复,或添加到HASH库,或添加到常态规则库。
所述的方法中,如果用户选择进行文件修复,则从存储的本地系统镜像文件中或云端服务器中更新;如果用户选择添加到HASH库,则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中;如果用户选择添加到常态规则库,则需要用户手动录入规则,并将所述规则添加到常态规则库。
本发明还提供一种文件篡改检测及修复的系统,包括:
扫描模块,用于对当前系统全盘扫描,获取全部文件HASH及文件路径,并构建本地HASH库;
检测模块,用于根据HASH库中的文件路径,检测所有文件,将判定为恶意的文件清除,并删除HASH库中对应的文件HASH及文件路径;
备份模块,用于将修改后的HASH库中的所有对应文件,生成本地系统镜像文件存储;
监控模块,用于监控当前系统中所有文件的HASH,并与HASH库比对,判断是否有异常文件或新增文件,如果是,则将所述异常文件或新增文件发送到常态规则库检测,否则继续监控;
常态规则检查模块,用于常态规则库根据预先存储的已知常规规则与异常文件或新增文件匹配,如果匹配成功,则系统放行,否则将所述异常文件或新增文件进行常态模型匹配;
常态模型匹配模块,用于获取所述异常文件或新增文件的事件属性,并与常态模型关联匹配,如果匹配成功,则将关联匹配后的规则添加到常态规则库中,并将所述异常文件或新增文件更新到本地系统镜像文件中;否则,提示用户进行处理。
所述的系统中,还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
所述的系统中,所述常态规则库中预先存储的已知常规规则为,根据用户或系统的正常操作或经常使用的已知常规操作提取的规则。
所述的系统中,所述的常态模型,为根据系统中所有修改或新增文件的事件记录,及修改或新增文件过程中的元属性信息,进行关联分析得出。
所述的系统中,所述修改或新增文件过程中的元属性信息至少包括:系统IP、系统用户、修改或新增文件时间、文件目录及文件格式。
所述的系统中,所述提示用户进行处理还包括:提示用户选择进行文件修复,或添加到HASH库,或添加到常态规则库。
所述的系统中,如果用户选择进行文件修复,则从存储的本地系统镜像文件中或云端服务器中更新;如果用户选择添加到HASH库,则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中;如果用户选择添加到常态规则库,则需要用户手动录入规则,并将所述规则添加到常态规则库。
本发明的优势在于,能够对系统中所有的文件进行监控,并对被判定为篡改的文件进行修复;根据系统或用户常规操作提取规则,形成常态规则库,能够对系统中被修改过或新增文件进行判定,在常态规则库无法判定时,还可以通过常态模型进行关联分析,来判定异常文件或新增文件是否可疑;同时常态模型还能够将匹配后新增的规则反馈到常态规则库中,试常态规则库能够主动学习更新。
本发明提供了一种文件篡改检测及修复的方法及系统,所述方法为:扫描获得系统中所有可信文件的HASH值及文件路径,并进行存储;监控系统中的所有文件,与HASH库对比,判断是否有异常文件或新增文件,则根据常态规则库及常态模型进行匹配,如果常态模型匹配成功,则将匹配结果的规则添加到常态规则库中,否则提示用户进行处理。通过本发明的方法,能够有效识别系统中被篡改的文件或新增文件,并且常态规则库及常态模型的组合,能够对实时改变的文件或目录及时加入常态规则库,实现常态规则的自学习,减少用户操作。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明文件篡改检测及修复的方法流程图;
图2为本发明文件篡改检测及修复的系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供了一种文件篡改检测及修复的方法和系统,解决了现有文件检测只针对系统文件,无法检测及修复用户存储的文件的问题,能够防范感染式病毒等对文件的修改,并实时监控及修复。
本发明提供了一种文件篡改检测及修复的方法,如图1所示,包括:
S101:对当前系统全盘扫描,获取全部文件HASH及文件路径,并构建本地HASH库;即本地HASH对照表;
S102:根据HASH库中的文件路径,检测所有文件,将判定为恶意的文件清除,并删除HASH库中对应的文件HASH及文件路径;
检测文件可以通过利用已知的恶意代码检测方法和模块来实现,现在对于恶意代码检测的方法比较成熟,方式也很多,通过进行恶意代码检测,能够对全盘所有文件进行初步定性,对于检出的恶意文件,进行删除,并更新本地HASH库,能够保证本地HASH库中的文件全部为可信文件;
S103:将修改后的HASH库中的所有对应文件,生成本地系统镜像文件存储;同时还可以将文件上传到云端服务器备份;
S104:监控当前系统中所有文件的HASH,并与HASH库比对,判断是否有异常文件或新增文件,如果是,则将所述异常文件或新增文件发送到常态规则库检测,否则继续监控;
根据得到的文件计算文件HASH和获得文件路径,使用HASH库进行检测,如果存在且两者完全一样则认为此文件未被修改,如果文件HASH或文件路径有一个不匹配,则认为当前文件为异常文件或新增文件;
S105:常态规则库根据预先存储的已知常规规则与异常文件或新增文件匹配,如果匹配成功,则系统放行,否则将所述异常文件或新增文件进行常态模型匹配;
所述常态规则库中预先存储的已知常规规则为,根据用户或系统的正常操作或经常使用的已知常规操作提取的规则。当然还包括用户经常使用的第三方软件的常规操作。如第三方软件都会有一个固定文件夹存储所产生的或下载文件;
常态规则库主要是在初始化时通过前期的收集整理,用户设定和系统设定的规则,比如系统日志文件或目录、系统临时文件或目录、系统补丁更新文件或目录、可信第三方软件的相关文件或目录、用户自己制定的文件或目录等。对于此类目录,认为是可信的,并根据文件或目录的形态,以正则表达式的方式提取相关规则,并组成初始的常态规则库。同时常态规则库还能够根据常态模型进行学习补充。
对于常态规则库中的规则提取,以下举例说明:
1.对于文件,在同一目录下,文件HASH不同,但文件名类似,根据文件名提取同一规则,例如:
C:/第三方软件A/log/134785269.txt;
C:/第三方软件A/log/135386569.txt;
C:/第三方软件A/log/234.txt;
C:/第三方软件A/log/135895269.jpg;
在以上文件形态中,认为前两种格式为可信文件,后两种为不可信文件,则提取规则为:C:/第三方软件A/log/ \d{10}.txt。
2.对于目录来说,对指定目录下的文件,认为可以不属于监控范围,并根据文件路径提取规则,比如系统的临时目录,每访问一次浏览器,都会将页面上的所有媒体文件、cookie信息文件等保存到该目录下,因此将此目录设定到常态规则库中,例如:
C:/Users/用户名/AppData/Local/Microsoft/Windows/Temporary Internet Files/;
对于以上目录提取的规则如下:
C:/Users/用户名/AppData/Local/Microsoft/Windows/Temporary Internet Files/*。
3.对于非指定文件和文件目录的情况,基于对文件和目录整体的形态进行提取规则。例如:
D:/work/2013-10-01/test.txt;
D:/work/2013-10-02/test2.txt;
D:/work/2013-10-01/test.exe;
D:/work/abc/test.txt;
比如以上文件和目录形态中,仅对前两类形态认为是可信的,而对其他认为是不可信的,则可提取规则如下:D:/work/[19|20]\d{3}-\d{2}-\d{2}/.+.txt。
S106:获取所述异常文件或新增文件的事件属性,并与常态模型关联匹配,如果匹配成功,则将关联匹配后的规则添加到常态规则库中,并将所述异常文件或新增文件更新到本地系统镜像文件中;否则,提示用户进行处理。
常态模型,主要是针对系统中所有文件的监控,基于系统及用户习惯,记录文件修改或新增的记录日志,从中统计得出规律,是对系统中日志的长期记录对于后续的每一次修改,都增加到常态模型统计记录中。根据常态模型,识别常态规则库中未能识别的文件,如果属于常态模型范围内,则认为可信,并将得到的规则添加到常态规则库中,以达到常态规则库自更新学习的目的。
对于常态模型的关联统计识别范围举例如下:
海量的修改文件或新增文件事件库;
海量的修改文件或新增文件事件库;
根据记录的事件元属性,对指定文件或目录修改/新增的频率TOP 统计;
根据记录的事件元属性,对指定文件或目录修改/新增的时间段TOP 统计;
根据记录的事件元属性,对指定文件或目录修改/新增的系统IP主机TOP统计;
根据记录的事件元属性,对指定文件或目录修改/新增的系统用户TOP统计;
根据记录的事件元属性,对指定文件的文件格式的TOP统计;
根据记录的事件元属性,统计分析出指定文件的目录的TOP统计。
基于以上数据的关联分析,从中得到系统或用户修改、新增文件或目录的常态习惯,得到常态模型,用以进行检测。
所述的方法中,还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
所述的方法中,所述的常态模型,通过对所有文件常态监控,并对系统中所有修改或新增文件事件进行日志记录,及修改或新增文件过程中的元属性信息,进行关联分析得出常态模型。
所述的修改或新增文件过程中的元属性信息至少包括:系统IP、系统用户、修改或新增文件时间、文件目录及文件格式。
所述的方法中,所述提示用户进行处理还包括:提示用户选择进行文件修复,或添加到HASH库,或添加到常态规则库。
所述的方法中,如果用户选择进行文件修复,则从存储的本地系统镜像文件中或云端服务器中更新,当然还可以通过P2P的方式,从其他设备系统上查找相同文件恢复;如果用户选择添加到HASH库,则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中;由于已知的常态规则库或常态模型中都未能匹配到当前文件名及文件目录,即为不常修改或添加的文件或目录,系统认为是可疑的事件,需要用户自行判断,有可能是用户临时需要操作的文件或目录,也可能是用户认为此文件或目录为可信的,因此当用户认为文件可信时,则可以手动增加到HASH库中;如果用户选择添加到常态规则库,则需要用户手动录入规则,并将所述规则添加到常态规则库。
本发明还提供一种文件篡改检测及修复的系统,如图2所示,包括:
扫描模块201,用于对当前系统全盘扫描,获取全部文件HASH及文件路径,并构建本地HASH库;
检测模块202,用于根据HASH库中的文件路径,检测所有文件,将判定为恶意的文件清除,并删除HASH库中对应的文件HASH及文件路径;
备份模块203,用于将修改后的HASH库中的所有对应文件,生成本地系统镜像文件存储;
监控模块204,用于监控当前系统中所有文件的HASH,并与HASH库比对,判断是否有异常文件或新增文件,如果是,则将所述异常文件或新增文件发送到常态规则库检测,否则继续监控;
常态规则检查模块205,用于常态规则库根据预先存储的已知常规规则与异常文件或新增文件匹配,如果匹配成功,则系统放行,否则将所述异常文件或新增文件进行常态模型匹配;
常态模型匹配模块206,用于获取所述异常文件或新增文件的事件属性,并与常态模型关联匹配,如果匹配成功,则将关联匹配后的规则添加到常态规则库中,并将所述异常文件或新增文件更新到本地系统镜像文件中;否则,提示用户进行处理。
所述的系统中,还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
所述的系统中,所述常态规则库中预先存储的已知常规规则为,根据用户或系统的正常操作或经常使用的已知常规操作提取的规则。
所述的系统中,所述的常态模型,为根据系统中所有修改或新增文件的事件记录,及修改或新增文件过程中的元属性信息,进行关联分析得出。
所述的系统中,所述修改或新增文件过程中的元属性信息至少包括:系统IP、系统用户、修改或新增文件时间、文件目录及文件格式。
所述的系统中,所述提示用户进行处理还包括:提示用户选择进行文件修复,或添加到HASH库,或添加到常态规则库。
所述的系统中,如果用户选择进行文件修复,则从存储的本地系统镜像文件中或云端服务器中更新;如果用户选择添加到HASH库,则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中;如果用户选择添加到常态规则库,则需要用户手动录入规则,并将所述规则添加到常态规则库。
本发明的优势在于,能够对系统中所有的文件进行监控,并对被判定为篡改的文件进行修复;根据系统或用户常规操作提取规则,形成常态规则库,能够对系统中被修改过或新增文件进行判定,在常态规则库无法判定时,还可以通过常态模型进行关联分析,来判定异常文件或新增文件是否可疑;同时常态模型还能够将匹配后新增的规则反馈到常态规则库中,试常态规则库能够主动学习更新。
本发明提供了一种文件篡改检测及修复的方法及系统,所述方法为:扫描获得系统中所有可信文件的HASH值及文件路径,并进行存储;监控系统中的所有文件,与HASH库对比,判断是否有异常文件或新增文件,则根据常态规则库及常态模型进行匹配,如果常态模型匹配成功,则将匹配结果的规则添加到常态规则库中,否则提示用户进行处理。通过本发明的方法,能够有效识别系统中被篡改的文件或新增文件,并且常态规则库及常态模型的组合,能够对实时改变的文件或目录及时加入常态规则库,实现常态规则的自学习,减少用户操作。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (14)
1.一种文件篡改检测及修复的方法,其特征在于,包括:
对当前系统全盘扫描,获取全部文件HASH及文件路径,并构建本地HASH库;
根据HASH库中的文件路径,检测所有文件,将判定为恶意的文件清除,并删除HASH库中对应的文件HASH及文件路径;
将修改后的HASH库中的所有对应文件,生成本地系统镜像文件存储;
监控当前系统中所有文件的HASH,并与HASH库比对,判断是否有异常文件或新增文件,如果是,则将所述异常文件或新增文件发送到常态规则库检测,否则继续监控;
常态规则库根据预先存储的已知常规规则与异常文件或新增文件匹配,如果匹配成功,则系统放行,否则将所述异常文件或新增文件进行常态模型匹配;
获取所述异常文件或新增文件的事件属性,并与常态模型关联匹配,如果匹配成功,则将关联匹配后的规则添加到常态规则库中,并将所述异常文件或新增文件更新到本地系统镜像文件中;否则,提示用户进行处理。
2.如权利要求1所述的方法,其特征在于,还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
3.如权利要求1所述的方法,其特征在于,所述常态规则库中预先存储的已知常规规则为,根据用户或系统的正常操作或经常使用的已知常规操作提取的规则。
4.如权利要求1所述的方法,其特征在于,所述的常态模型,为根据系统中所有修改或新增文件的事件记录,及修改或新增文件过程中的元属性信息,进行关联分析得出。
5.如权利要求4所述的方法,其特征在于,所述修改或新增文件过程中的元属性信息至少包括:系统IP、系统用户、修改或新增文件时间、文件目录及文件格式。
6.如权利要求1所述的方法,其特征在于,所述提示用户进行处理还包括:提示用户选择进行文件修复,或添加到HASH库,或添加到常态规则库。
7.如权利要求6所述的方法,其特征在于,如果用户选择进行文件修复,则从存储的本地系统镜像文件中或云端服务器中更新;如果用户选择添加到HASH库,则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中;如果用户选择添加到常态规则库,则需要用户手动录入规则,并将所述规则添加到常态规则库。
8.一种文件篡改检测及修复的系统,其特征在于,包括:
扫描模块,用于对当前系统全盘扫描,获取全部文件HASH及文件路径,并构建本地HASH库;
检测模块,用于根据HASH库中的文件路径,检测所有文件,将判定为恶意的文件清除,并删除HASH库中对应的文件HASH及文件路径;
备份模块,用于将修改后的HASH库中的所有对应文件,生成本地系统镜像文件存储;
监控模块,用于监控当前系统中所有文件的HASH,并与HASH库比对,判断是否有异常文件或新增文件,如果是,则将所述异常文件或新增文件发送到常态规则库检测,否则继续监控;
常态规则检查模块,用于常态规则库根据预先存储的已知常规规则与异常文件或新增文件匹配,如果匹配成功,则系统放行,否则将所述异常文件或新增文件进行常态模型匹配;
常态模型匹配模块,用于获取所述异常文件或新增文件的事件属性,并与常态模型关联匹配,如果匹配成功,则将关联匹配后的规则添加到常态规则库中,并将所述异常文件或新增文件更新到本地系统镜像文件中;否则,提示用户进行处理。
9.如权利要求8所述的系统,其特征在于,还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
10.如权利要求8所述的系统,其特征在于,所述常态规则库中预先存储的已知常规规则为,根据用户或系统的正常操作或经常使用的已知常规操作提取的规则。
11.如权利要求8所述的系统,其特征在于,所述的常态模型,为根据系统中所有修改或新增文件的事件记录,及修改或新增文件过程中的元属性信息,进行关联分析得出。
12.如权利要求11所述的系统,其特征在于,所述修改或新增文件过程中的元属性信息至少包括:系统IP、系统用户、修改或新增文件时间、文件目录及文件格式。
13.如权利要求8所述的系统,其特征在于,所述提示用户进行处理还包括:提示用户选择进行文件修复,或添加到HASH库,或添加到常态规则库。
14.如权利要求13所述的系统,其特征在于,如果用户选择进行文件修复,则从存储的本地系统镜像文件中或云端服务器中更新;如果用户选择添加到HASH库,则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中;如果用户选择添加到常态规则库,则需要用户手动录入规则,并将所述规则添加到常态规则库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310689374.4A CN103902855B (zh) | 2013-12-17 | 2013-12-17 | 一种文件篡改检测及修复的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310689374.4A CN103902855B (zh) | 2013-12-17 | 2013-12-17 | 一种文件篡改检测及修复的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103902855A true CN103902855A (zh) | 2014-07-02 |
| CN103902855B CN103902855B (zh) | 2017-03-08 |
Family
ID=50994172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310689374.4A Active CN103902855B (zh) | 2013-12-17 | 2013-12-17 | 一种文件篡改检测及修复的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103902855B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105117650A (zh) * | 2015-09-08 | 2015-12-02 | 北京元心科技有限公司 | 一种移动终端系统安全的保护方法及装置 |
| CN105488402A (zh) * | 2014-12-23 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种暗链的检测方法及系统 |
| CN107122552A (zh) * | 2017-05-02 | 2017-09-01 | 上海华力微电子有限公司 | 一种自动审查设计规则检查结果的方法 |
| CN107196929A (zh) * | 2017-05-11 | 2017-09-22 | 国网山东省电力公司信息通信公司 | 适用于高频次网络攻防环境下的智能防护方法及其系统 |
| CN108182363A (zh) * | 2017-12-25 | 2018-06-19 | 哈尔滨安天科技股份有限公司 | 嵌入式office文档的检测方法、系统及存储介质 |
| CN108459927A (zh) * | 2018-02-28 | 2018-08-28 | 北京奇艺世纪科技有限公司 | 一种数据备份方法、装置和服务器 |
| CN109040080A (zh) * | 2018-08-10 | 2018-12-18 | 中央电视台 | 文件篡改处理方法、装置、云服务平台及存储介质 |
| CN109284607A (zh) * | 2018-09-20 | 2019-01-29 | 沈文策 | 一种非法文件的检测方法、装置、设备及存储介质 |
| CN112579330A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 操作系统异常数据的处理方法、装置及设备 |
| CN112612756A (zh) * | 2020-12-21 | 2021-04-06 | 北京鸿腾智能科技有限公司 | 异常文件的修复方法、装置、设备及存储介质 |
| CN113158185A (zh) * | 2021-03-05 | 2021-07-23 | 杭州数梦工场科技有限公司 | 安全检测方法与装置 |
| CN114201370A (zh) * | 2022-02-21 | 2022-03-18 | 山东捷瑞数字科技股份有限公司 | 一种网页文件监控方法及系统 |
| CN117272392A (zh) * | 2023-11-21 | 2023-12-22 | 国网四川省电力公司信息通信公司 | 用于终端的数据安全保护与备份控制方法和系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101359353B (zh) * | 2008-09-05 | 2011-05-18 | 成都市华为赛门铁克科技有限公司 | 一种文件保护方法及装置 |
| CN103368926A (zh) * | 2012-04-10 | 2013-10-23 | 北京四维图新科技股份有限公司 | 一种防止文件篡改的方法和防止文件篡改的装置 |
| CN103150511B (zh) * | 2013-03-18 | 2016-12-28 | 珠海市君天电子科技有限公司 | 一种安全防护系统 |
-
2013
- 2013-12-17 CN CN201310689374.4A patent/CN103902855B/zh active Active
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105488402A (zh) * | 2014-12-23 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种暗链的检测方法及系统 |
| CN105117650B (zh) * | 2015-09-08 | 2018-05-04 | 北京元心科技有限公司 | 一种移动终端系统安全的保护方法及装置 |
| CN105117650A (zh) * | 2015-09-08 | 2015-12-02 | 北京元心科技有限公司 | 一种移动终端系统安全的保护方法及装置 |
| CN107122552A (zh) * | 2017-05-02 | 2017-09-01 | 上海华力微电子有限公司 | 一种自动审查设计规则检查结果的方法 |
| CN107196929A (zh) * | 2017-05-11 | 2017-09-22 | 国网山东省电力公司信息通信公司 | 适用于高频次网络攻防环境下的智能防护方法及其系统 |
| CN108182363A (zh) * | 2017-12-25 | 2018-06-19 | 哈尔滨安天科技股份有限公司 | 嵌入式office文档的检测方法、系统及存储介质 |
| CN108459927A (zh) * | 2018-02-28 | 2018-08-28 | 北京奇艺世纪科技有限公司 | 一种数据备份方法、装置和服务器 |
| CN109040080B (zh) * | 2018-08-10 | 2020-12-15 | 中央电视台 | 文件篡改处理方法、装置、云服务平台及存储介质 |
| CN109040080A (zh) * | 2018-08-10 | 2018-12-18 | 中央电视台 | 文件篡改处理方法、装置、云服务平台及存储介质 |
| CN109284607A (zh) * | 2018-09-20 | 2019-01-29 | 沈文策 | 一种非法文件的检测方法、装置、设备及存储介质 |
| CN112579330A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 操作系统异常数据的处理方法、装置及设备 |
| CN112579330B (zh) * | 2019-09-30 | 2024-02-06 | 奇安信安全技术(珠海)有限公司 | 操作系统异常数据的处理方法、装置及设备 |
| CN112612756A (zh) * | 2020-12-21 | 2021-04-06 | 北京鸿腾智能科技有限公司 | 异常文件的修复方法、装置、设备及存储介质 |
| CN113158185A (zh) * | 2021-03-05 | 2021-07-23 | 杭州数梦工场科技有限公司 | 安全检测方法与装置 |
| CN114201370A (zh) * | 2022-02-21 | 2022-03-18 | 山东捷瑞数字科技股份有限公司 | 一种网页文件监控方法及系统 |
| CN114201370B (zh) * | 2022-02-21 | 2022-06-03 | 山东捷瑞数字科技股份有限公司 | 一种网页文件监控方法及系统 |
| CN117272392A (zh) * | 2023-11-21 | 2023-12-22 | 国网四川省电力公司信息通信公司 | 用于终端的数据安全保护与备份控制方法和系统 |
| CN117272392B (zh) * | 2023-11-21 | 2024-03-15 | 国网四川省电力公司信息通信公司 | 用于终端的数据安全保护与备份控制方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103902855B (zh) | 2017-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103902855A (zh) | 一种文件篡改检测及修复的方法和系统 | |
| JP6919569B2 (ja) | ログ分析システム、方法、及び記録媒体 | |
| US10230742B2 (en) | Space and time efficient threat detection | |
| US8788583B2 (en) | Sharing form training result utilizing a social network | |
| JP5572763B2 (ja) | ウェブサイトスキャン装置及びその方法 | |
| US20150207811A1 (en) | Vulnerability vector information analysis | |
| US20150172303A1 (en) | Malware Detection and Identification | |
| US11418534B2 (en) | Threat analysis system and threat analysis method | |
| US20150047034A1 (en) | Composite analysis of executable content across enterprise network | |
| US11514188B1 (en) | System and method for serving subject access requests | |
| CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
| US9792436B1 (en) | Techniques for remediating an infected file | |
| US11036479B2 (en) | Devices, systems, and methods of program identification, isolation, and profile attachment | |
| US20170116189A1 (en) | Search method and apparatus and storage medium | |
| WO2023064007A1 (en) | Augmented threat investigation | |
| JPWO2019123757A1 (ja) | 分類装置、分類方法、および、分類プログラム | |
| JP6579995B2 (ja) | 静観候補特定装置、静観候補特定方法及び静観候補特定プログラム | |
| EP3361405B1 (en) | Enhancement of intrusion detection systems | |
| CN109033831A (zh) | 一种病毒检测方法、装置、电子设备及存储介质 | |
| JP2013235408A (ja) | ログ管理システム、ログ管理サーバ及びプログラム | |
| CN115001724A (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| US10353902B2 (en) | Non-transitory computer-readable recording medium, retrieval support device, and retrieval support method | |
| US11194841B2 (en) | Value classification by contextual classification of similar values in additional documents | |
| US20230297703A1 (en) | System and method for detecting a harmful script based on a set of hash codes | |
| Jain et al. | Automated methods for identity resolution across online social networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: File tamper detecting and repairing method and system Effective date of registration: 20170621 Granted publication date: 20170308 Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch Pledgor: Harbin Antiy Technology Co., Ltd. Registration number: 2017110000004 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20190614 Granted publication date: 20170308 Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch Pledgor: Harbin Antiy Technology Co., Ltd. Registration number: 2017110000004 |
|
| CP03 | Change of name, title or address |
Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road) Patentee after: Harbin antiy Technology Group Limited by Share Ltd Address before: 150090 room 506, Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang, China, 162 Patentee before: Harbin Antiy Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: File tamper detecting and repairing method and system Effective date of registration: 20190828 Granted publication date: 20170308 Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch Pledgor: Harbin antiy Technology Group Limited by Share Ltd Registration number: Y2019230000002 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road) Patentee after: Antan Technology Group Co.,Ltd. Address before: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road) Patentee before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20211119 Granted publication date: 20170308 Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch Pledgor: Harbin Antian Science and Technology Group Co.,Ltd. Registration number: Y2019230000002 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |