CN104484605A - 云存储环境病毒源检测方法 - Google Patents
云存储环境病毒源检测方法 Download PDFInfo
- Publication number
- CN104484605A CN104484605A CN201410748109.3A CN201410748109A CN104484605A CN 104484605 A CN104484605 A CN 104484605A CN 201410748109 A CN201410748109 A CN 201410748109A CN 104484605 A CN104484605 A CN 104484605A
- Authority
- CN
- China
- Prior art keywords
- file
- hash value
- address
- lure
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
本发明公开了一种云存储环境病毒源检测方法,包括,收集被感染的文件类型;在本地创建相同类型的文件,同时计算出该文件的HASH值;将创建的文件复制到存储上,作为诱饵文件;在存储访问节点上遍历所有进程正在访问的文件;如发现诱饵文件被进程打开,立刻记录访问的主机的IP,并在终端将IP显示出来;计算诱饵文件的HASH值,如HASH值发生了改变则将主机IP写入指定的文本文件中;隔离IP地址的主机;恢复到原始诱饵文件,继续收集其它病毒源主机。以实现检测精准,效率高的优点。
Description
技术领域
本发明涉及信息技术领域,具体地,涉及一种云存储环境病毒源检测方法。
背景技术
公司内部采取CIFS协议使用私有云存储过程中、当其中某台主机感染了具有感染特性的病毒后,会对云存储中特定的文件进行感染破坏,以便进行传播,对该事件的处理过程中首先需要定位已被感染的主机。现有定位方法为: 关闭存储系统;开启存储系统日志Debug功能;启动存储系统;记录30-60分钟日志;关闭存储系统,关闭日志Debug功能; 将日志文件拷贝出来;启动存储系统;对日志信息进行分析,定位可疑的读写;如无法定位,则从新关闭存储系统;对可疑读写的主机进行隔离; 观察是否再有文件被感染的情况; 如继续被感染重复以上步骤,找出所有感染源。该方法存在以下缺点:中断线上业务、开启DEBUG功能影响系统稳定性、日志分析耗时长且不完全可靠。
发明内容
本发明的目的在于,针对上述问题,提出一种云存储环境病毒源检测方法,以实现检测精准,效率高的优点。
为实现上述目的,本发明采用的技术方案是:
一种云存储环境病毒源检测方法,包括以下步骤:
步骤1、收集被感染的文件类型;
步骤2、在本地创建与上述步骤1中被感染的文件类型相同类型的文件,同时计算出该文件的HASH值;
步骤3、将上述步骤2创建的文件复制到存储上,作为诱饵文件;
步骤4、在存储访问节点上遍历所有进程正在访问的文件;
步骤5、如发现诱饵文件被进程打开,立刻记录访问的主机的IP,并在终端将IP显示出来;
步骤6、计算诱饵文件的HASH值,如HASH值发生了改变则将主机IP写入指定的文本文件中;
步骤7 、隔离上述步骤5中IP地址的主机;
步骤8、恢复到步骤3中的原始诱饵文件,继续收集其它病毒源主机。
本发明的技术方案具有以下有益效果:通过创建诱饵文件,并对访问诱饵文件的进程进行监控,从而追溯到问题主机。达到了检测精准,效率高的目的。同时本发明技术方案还具有以下特点:
1、 不需要暂停服务;
2、对现有存储不进行有风险的改动;
3、 检测手段的时间不受限制;
4、不需要关心病毒源感染的运行周期;
5、检测精准,效率高;
6、 可完全实现自动化;
7、 减少了人工分析日志所需要的大量时间;
本发明的技术方案具有以下特点:
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明实施例所述的云存储环境病毒源检测方法的流程图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
如图1所示,一种云存储环境病毒源检测方法,包括以下步骤:
步骤1、收集被感染的文件类型;
步骤2、在本地创建与上述步骤1中被感染的文件类型相同类型的文件,同时计算出该文件的HASH值;
步骤3、将上述步骤2创建的文件复制到存储上,作为诱饵文件;
步骤4、在存储访问节点上遍历所有进程正在访问的文件;
步骤5、如发现诱饵文件被进程打开,立刻记录访问的主机的IP,并在终端将IP显示出来;
步骤6、计算诱饵文件的HASH值,如HASH值发生了改变则将主机IP写入指定的文本文件中;
步骤7 、隔离上述步骤5中IP地址的主机;
步骤8、恢复到步骤3中的原始诱饵文件,继续收集其它病毒源主机。
HASH值即哈希值。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (1)
1.一种云存储环境病毒源检测方法,其特征在于,包括以下步骤:
步骤1、收集被感染的文件类型;
步骤2、在本地创建与上述步骤1中被感染的文件类型相同类型的文件,同时计算出该文件的HASH值;
步骤3、将上述步骤2创建的文件复制到存储上,作为诱饵文件;
步骤4、在存储访问节点上遍历所有进程正在访问的文件;
步骤5、如发现诱饵文件被进程打开,立刻记录访问的主机的IP,并在终端将IP显示出来;
步骤6、计算诱饵文件的HASH值,如HASH值发生了改变则将主机IP写入指定的文本文件中;
步骤7 、隔离上述步骤5中IP地址的主机;
步骤8、恢复到步骤3中的原始诱饵文件,继续收集其它病毒源主机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410748109.3A CN104484605A (zh) | 2014-12-10 | 2014-12-10 | 云存储环境病毒源检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410748109.3A CN104484605A (zh) | 2014-12-10 | 2014-12-10 | 云存储环境病毒源检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104484605A true CN104484605A (zh) | 2015-04-01 |
Family
ID=52759146
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410748109.3A Pending CN104484605A (zh) | 2014-12-10 | 2014-12-10 | 云存储环境病毒源检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104484605A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107480527A (zh) * | 2017-08-03 | 2017-12-15 | 深圳市联软科技股份有限公司 | 勒索软件的防范方法及系统 |
| CN109145599A (zh) * | 2017-06-27 | 2019-01-04 | 关隆股份有限公司 | 恶意病毒的防护方法 |
| CN109359467A (zh) * | 2018-10-10 | 2019-02-19 | 杭州安恒信息技术股份有限公司 | 针对未知勒索病毒的精准识别与全网联动防御方法和系统 |
| CN109684831A (zh) * | 2018-06-26 | 2019-04-26 | 北京微步在线科技有限公司 | 一种检测计算机网络病毒的方法和装置 |
| CN110602104A (zh) * | 2019-09-17 | 2019-12-20 | 北京丁牛科技有限公司 | 一种防止公有云盘被僵尸网络恶意利用的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1314638A (zh) * | 2001-04-29 | 2001-09-26 | 北京瑞星科技股份有限公司 | 检测和清除已知及未知计算机病毒的方法、系统和介质 |
| US20020147915A1 (en) * | 2001-04-10 | 2002-10-10 | International Business Machines Corporation | Method and apparatus for the detection, notification, and elimination of certain computer viruses on a network using a promiscuous system as bait |
| CN1761939A (zh) * | 2003-03-17 | 2006-04-19 | 精工爱普生株式会社 | 阻止病毒感染的方法及系统 |
| CN103294950A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 |
-
2014
- 2014-12-10 CN CN201410748109.3A patent/CN104484605A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020147915A1 (en) * | 2001-04-10 | 2002-10-10 | International Business Machines Corporation | Method and apparatus for the detection, notification, and elimination of certain computer viruses on a network using a promiscuous system as bait |
| CN1314638A (zh) * | 2001-04-29 | 2001-09-26 | 北京瑞星科技股份有限公司 | 检测和清除已知及未知计算机病毒的方法、系统和介质 |
| CN1761939A (zh) * | 2003-03-17 | 2006-04-19 | 精工爱普生株式会社 | 阻止病毒感染的方法及系统 |
| CN103294950A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109145599A (zh) * | 2017-06-27 | 2019-01-04 | 关隆股份有限公司 | 恶意病毒的防护方法 |
| CN109145599B (zh) * | 2017-06-27 | 2022-01-07 | 关隆股份有限公司 | 恶意病毒的防护方法 |
| CN107480527A (zh) * | 2017-08-03 | 2017-12-15 | 深圳市联软科技股份有限公司 | 勒索软件的防范方法及系统 |
| CN107480527B (zh) * | 2017-08-03 | 2021-07-30 | 深圳市联软科技股份有限公司 | 勒索软件的防范方法及系统 |
| CN109684831A (zh) * | 2018-06-26 | 2019-04-26 | 北京微步在线科技有限公司 | 一种检测计算机网络病毒的方法和装置 |
| CN109359467A (zh) * | 2018-10-10 | 2019-02-19 | 杭州安恒信息技术股份有限公司 | 针对未知勒索病毒的精准识别与全网联动防御方法和系统 |
| CN109359467B (zh) * | 2018-10-10 | 2020-11-20 | 杭州安恒信息技术股份有限公司 | 针对未知勒索病毒的精准识别与全网联动防御方法和系统 |
| CN110602104A (zh) * | 2019-09-17 | 2019-12-20 | 北京丁牛科技有限公司 | 一种防止公有云盘被僵尸网络恶意利用的方法及装置 |
| CN110602104B (zh) * | 2019-09-17 | 2022-02-18 | 北京丁牛科技有限公司 | 一种防止公有云盘被僵尸网络恶意利用的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104484605A (zh) | 云存储环境病毒源检测方法 | |
| JP5049341B2 (ja) | ウィルスチェックと複製フィルタの組合せ | |
| US9853941B2 (en) | Security information and event management | |
| US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
| US8495037B1 (en) | Efficient isolation of backup versions of data objects affected by malicious software | |
| US8290994B2 (en) | Obtaining file system view in block-level data storage systems | |
| CN109858243B (zh) | 追踪病毒来源的方法和装置 | |
| US10397267B2 (en) | Threat intelligence system and method | |
| CN106302404B (zh) | 一种收集网络溯源信息的方法及系统 | |
| WO2015149629A1 (zh) | Dns行为的处理方法、装置及系统 | |
| KR101602881B1 (ko) | 분석 회피형 악성 코드 탐지 시스템 및 방법 | |
| US9245132B1 (en) | Systems and methods for data loss prevention | |
| JP6978662B2 (ja) | 出力プログラム、情報処理装置、及び出力方法 | |
| US10102204B2 (en) | Maintaining access control lists in non-identity-preserving replicated data repositories | |
| CN104504338A (zh) | 标识、采集、统计病毒传播途径的方法及装置 | |
| US11086994B2 (en) | Priority scanning of files written by malicious users in a data storage system | |
| CN111563256A (zh) | 一种安全的大数据收集存放方法 | |
| US9692773B1 (en) | Systems and methods for identifying detection-evasion behaviors of files undergoing malware analyses | |
| US20230229717A1 (en) | Optimized real-time streaming graph queries in a distributed digital security system | |
| EP3800567B1 (en) | Systems and methods for countering removal of digital forensics information by malicious software | |
| US10530809B1 (en) | Systems and methods for remediating computer stability issues | |
| CN111917660B (zh) | 网关设备策略的优化方法及装置 | |
| US9116905B1 (en) | System and method for cataloging data | |
| JPH11282673A (ja) | コンピュータウィルスの感染経路検出方法とその方法に用いるトレースウィルスを記録する記録媒体 | |
| US10997292B2 (en) | Multiplexed—proactive resiliency system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150401 |
|
| RJ01 | Rejection of invention patent application after publication |