CN105488390B - 一种Linux下的可疑文件发现方法及系统 - Google Patents
一种Linux下的可疑文件发现方法及系统 Download PDFInfo
- Publication number
- CN105488390B CN105488390B CN201410761534.6A CN201410761534A CN105488390B CN 105488390 B CN105488390 B CN 105488390B CN 201410761534 A CN201410761534 A CN 201410761534A CN 105488390 B CN105488390 B CN 105488390B
- Authority
- CN
- China
- Prior art keywords
- file
- time
- apocrypha
- characteristic
- characteristic time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 14
- 230000004048 modification Effects 0.000 claims abstract description 32
- 238000012986 modification Methods 0.000 claims abstract description 32
- 230000002123 temporal effect Effects 0.000 claims abstract description 26
- 238000001514 detection method Methods 0.000 claims abstract description 22
- 241000239290 Araneae Species 0.000 claims description 3
- 230000003542 behavioural effect Effects 0.000 description 8
- 230000009286 beneficial effect Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
Abstract
本发明公开了一种Linux下的可疑文件发现方法,包括:遍历特定目录下的所有文件,并获取所有文件的时间信息,包括:访问时间、修改时间和特性时间;比较所有文件的特性时间,获取具备最新特性时间的文件的时间信息;判断所述文件的特性时间是否晚于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。本发明同时还公开了一种Linux下的可疑文件发现系统。本发明所述方案能够帮助普通用户发现可疑文件,保证系统安全使用。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种Linux下的可疑文件发现方法及系统。
背景技术
信息时代的来临,数据的存储成了必要,文件作为数据存储的方式之一,也成了大众关注的焦点。其中不乏针对文件的各种恶意行为,因此发现恶意文件,也成为计算机使用者的职责。
目前的基于主机的恶意文件检测方法有两大类:特征检测技术和行为监控技术。前者主要包括基于文件特征码的检测技术、文件启发式、文件行为检测法等。后者主要包括进程隐藏检测、挂钩函数检测以及执行路径分析。目前恶意文件的检测技术必须具有特征,只有符合特征码的恶意文件才可以被检测出来,这在一定程度上存在局限性,可能存在大量的漏报。
发明内容
针对上述技术问题,本发明提供了一种Linux下的可疑文件发现方法及系统,通过对特定目录下的所有文件的时间信息进行收集和比较,通过每个文件自身的时间信息比较,确定是否是可疑文件,本发明所述技术方案简单实用,能够有效发现特定目录下的可疑文件。
Linux环境下,存在一种储存文件特性信息的区域,叫做"索引节点",包含以下内容:文件的字节数,文件拥有者的用户标识,文件的组标识,文件的读、写、执行权限,链接数,文件数据所在块的位置以及文件的时间信息。其中文件的时间信息共有三项:访问时间,修改时间和特性时间。该发明便是基于时间信息进行可疑文件的判断。
其中,所述访问时间为access time,当文件被用户打开、读取或者执行时,访问时间会随之更新,是用户可操作更改的;所述修改时间为modify time,当文件内容被用户添加、删除或者修改时,修改时间会随之更新,是用户可操作更改的;所述特性时间为changetime,当文件的属性,例如文件权限、用户组标识或者用户标识等信息发生更改时,特性时间会随之更新,是用户无法操作更改的,由系统更新。
本发明所述的技术方案是通过对可疑文件的行为特征进行分析后提出的。通常情况下,恶意代码感染主机后,会在系统中释放恶意文件,所述恶意文件在创建之初,会被初始化时间信息,即访问时间、修改时间和特性时间。而初期这三个时间都是最新的,但是恶意文件被写入内容后,其访问时间和修改时间会参照目录下的其他正常文件进行修改,从而隐藏自己的真实时间信息,进行痕迹隐藏。此后,访问时间和修改时间基本不变。随后因为修改权限,恶意文件的特性时间会被系统修改,普通用户是无法操作的,这是可疑文件的行为特征之一。
恶意文件具有非用户干预的自启动功能,所以其访问时间在特定启动时间内可能发生更新,这是可疑文件的行为特征之二。
针对上述恶意文件的行为特征,本发明采用如下方法发现可疑文件:一种Linux下的可疑文件发现方法,包括:
遍历特定目录下的所有文件,并获取所有文件的时间信息,包括:访问时间、修改时间和特性时间;
比较所有文件的特性时间,获取具备最新特性时间的文件的时间信息;
判断所述文件的特性时间是否晚于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
进一步地,若所述具备最新特性时间的文件多于一个,则查找在特定启动时间内访问时间发生更改的文件,并获取所述文件的时间信息,判断所述文件的特性时间是否晚于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
本发明采用如下系统来发现可疑文件:一种Linux下的可疑文件发现系统,包括:
遍历模块,用于遍历特定目录下的所有文件,并获取所有文件的时间信息,包括:访问时间、修改时间和特性时间;
比较模块,用于比较所有文件的特性时间,获取具备最新特性时间的文件的时间信息;
判断模块,用于判断所述文件的特性时间是否晚于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
进一步地,若比较模块发现所述具备最新特性时间的文件多于一个,则判断模块进行如下操作:查找在特定启动时间内访问时间发生更改的文件,并获取所述文件的时间信息,判断所述文件的特性时间是否晚于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
综上所述,本发明所述的技术方案通过分析恶意文件的行为特征,并基于行为特征对于文件时间信息的影响,来发现特定目录下的可疑文件。通过遍历特定目录下的所有文件,并收集所有文件的时间信息,找出具备最新特性时间的文件,并比较该文件的修改时间和特性时间,若特性时间晚于修改时间,则说明该文件具备恶意文件的行为特征,是可疑文件。
本发明的有益效果为:本发明所述的方案不需要进行特征匹配,只需要获取文件的时间信息,并进行比较即可确定是否是可疑文件。本发明所述的技术方案操作简单并且有效。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种Linux下的可疑文件发现方法实施例流程图;
图2为本发明提供的一种Linux下的可疑文件发现系统实施例结构图。
具体实施方式
本发明给出了一种Linux下的可疑文件发现方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种Linux下的可疑文件发现方法实施例,如图1所示,包括:
S101遍历特定目录下的所有文件,并获取所有文件的时间信息,包括:访问时间、修改时间和特性时间;
S102比较所有文件的特性时间,获取具备最新特性时间的文件的时间信息;
S103判断所述文件的特性时间是否晚于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
进一步地,若所述具备最新特性时间的文件多于一个,则查找在特定启动时间内访问时间发生更改的文件,并获取所述文件的时间信息,判断所述文件的特性时间是否晚于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
其中,所述特定启动时间是,恶意文件的自启动时间或恶意载体的间隔性访问时间,该特定启动时间需要进行一段时间的观察确定。
本发明其次提供了一种Linux下的可疑文件发现系统实施例,如图2所示,包括:
遍历模块201,用于遍历特定目录下的所有文件,并获取所有文件的时间信息,包括:访问时间、修改时间和特性时间;
比较模块202,用于比较所有文件的特性时间,获取具备最新特性时间的文件的时间信息;
判断模块203,用于判断所述文件的特性时间是否晚于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
进一步地,若比较模块发现所述具备最新特性时间的文件多于一个,则判断模块进行如下操作:查找在特定启动时间内访问时间发生更改的文件,并获取所述文件的时间信息,判断所述文件的特性时间是否晚于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
综上所述,本发明公开的方法及系统实施例,通过对恶意文件本身的行为特征进行分析,并通过定时查看特定目录下的所有文件,通过获取所有文件的时间信息,找到具备最新特性时间的文件的时间信息;若该文件的特性时间晚于修改时间,则认为该文件为可疑文件,因为其具备恶意文件的行为特征。本发明所述的技术方案较比传统方案更加简单易用,其检测效果也更好,当发现可疑文件后,可以根据需要进行更进一步的检测和处理。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (4)
1.一种Linux下的可疑文件发现方法,其特征在于,包括:
遍历特定目录下的所有文件,并获取所有文件的时间信息,包括:访问时间、修改时间和特性时间;
比较所有文件的特性时间,获取具备最新特性时间的文件的时间信息;
判断所述文件的特性时间是否晚于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
2.如权利要求1所述的方法,其特征在于,若所述具备最新特性时间的文件多于一个,则查找在特定启动时间内访问时间发生更改的文件,并获取所述文件的时间信息,判断所述文件的特性时间是否晚于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
3.一种Linux下的可疑文件发现系统,其特征在于,包括:
遍历模块,用于遍历特定目录下的所有文件,并获取所有文件的时间信息,包括:访问时间、修改时间和特性时间;
比较模块,用于比较所有文件的特性时间,获取具备最新特性时间的文件的时间信息;
判断模块,用于判断所述文件的特性时间是否晚于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
4.如权利要求3所述的系统,其特征在于,若比较模块发现所述具备最新特性时间的文件多于一个,则判断模块进行如下操作:查找在特定启动时间内访问时间发生更改的文件,并获取所述文件的时间信息,判断所述文件的特性时间是否晚于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410761534.6A CN105488390B (zh) | 2014-12-13 | 2014-12-13 | 一种Linux下的可疑文件发现方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410761534.6A CN105488390B (zh) | 2014-12-13 | 2014-12-13 | 一种Linux下的可疑文件发现方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105488390A CN105488390A (zh) | 2016-04-13 |
| CN105488390B true CN105488390B (zh) | 2018-05-25 |
Family
ID=55675364
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410761534.6A Active CN105488390B (zh) | 2014-12-13 | 2014-12-13 | 一种Linux下的可疑文件发现方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105488390B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105956468B (zh) * | 2016-04-22 | 2018-12-28 | 中国科学院信息工程研究所 | 一种基于文件访问动态监控的Android恶意应用检测方法及系统 |
| WO2021243716A1 (zh) * | 2020-06-05 | 2021-12-09 | 西门子股份公司 | 一种可疑软件检测方法、装置和计算机可读介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102043840A (zh) * | 2010-12-13 | 2011-05-04 | 北京安天电子设备有限公司 | 检测追踪cookie缓存文件的方法和系统 |
| CN102194071A (zh) * | 2011-05-20 | 2011-09-21 | 嘉兴云歌信息科技有限公司 | 基于时域的数据取证及交叉分析方法 |
| CN102404331A (zh) * | 2011-12-01 | 2012-04-04 | 江苏仕德伟网络科技股份有限公司 | 一种判断网站是否被恶意篡改的方法 |
| CN102768717A (zh) * | 2012-06-29 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 恶意文件检测的方法及装置 |
| CN102811213A (zh) * | 2011-11-23 | 2012-12-05 | 北京安天电子设备有限公司 | 基于模糊哈希算法的恶意代码检测系统及方法 |
| CN102819713A (zh) * | 2012-06-29 | 2012-12-12 | 北京奇虎科技有限公司 | 一种检测弹窗安全性的方法和系统 |
| CN103268449A (zh) * | 2012-12-28 | 2013-08-28 | 武汉安天信息技术有限责任公司 | 一种手机恶意代码的高速检测方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9092623B2 (en) * | 2011-11-09 | 2015-07-28 | Kaprica Security, Inc. | System and method for bidirectional trust between downloaded applications and mobile devices including a secure charger and malware scanner |
-
2014
- 2014-12-13 CN CN201410761534.6A patent/CN105488390B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102043840A (zh) * | 2010-12-13 | 2011-05-04 | 北京安天电子设备有限公司 | 检测追踪cookie缓存文件的方法和系统 |
| CN102194071A (zh) * | 2011-05-20 | 2011-09-21 | 嘉兴云歌信息科技有限公司 | 基于时域的数据取证及交叉分析方法 |
| CN102811213A (zh) * | 2011-11-23 | 2012-12-05 | 北京安天电子设备有限公司 | 基于模糊哈希算法的恶意代码检测系统及方法 |
| CN102404331A (zh) * | 2011-12-01 | 2012-04-04 | 江苏仕德伟网络科技股份有限公司 | 一种判断网站是否被恶意篡改的方法 |
| CN102768717A (zh) * | 2012-06-29 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 恶意文件检测的方法及装置 |
| CN102819713A (zh) * | 2012-06-29 | 2012-12-12 | 北京奇虎科技有限公司 | 一种检测弹窗安全性的方法和系统 |
| CN103268449A (zh) * | 2012-12-28 | 2013-08-28 | 武汉安天信息技术有限责任公司 | 一种手机恶意代码的高速检测方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105488390A (zh) | 2016-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Moonsamy et al. | Mining permission patterns for contrasting clean and malicious android applications | |
| CN108229181B (zh) | 非交互式模型中的差分隐私和孤立点检测 | |
| Sokolova et al. | Android application classification and anomaly detection with graph-based permission patterns | |
| Li et al. | On challenges in evaluating malware clustering | |
| CN101924761B (zh) | 一种依据白名单进行恶意程序检测的方法 | |
| CN112564988B (zh) | 告警处理方法、装置及电子设备 | |
| US9544726B2 (en) | Adding location names using private frequent location data | |
| KR101260028B1 (ko) | 악성코드 그룹 및 변종 자동 관리 시스템 | |
| US8434126B1 (en) | Methods and systems for aiding parental control policy decisions | |
| CN104252592B (zh) | 外挂应用程序的识别方法及装置 | |
| CN107810504A (zh) | 基于用户行为确定恶意下载风险的系统和方法 | |
| US9224067B1 (en) | System and methods for digital artifact genetic modeling and forensic analysis | |
| Sharma et al. | Mitigation and risk factor analysis of android applications | |
| CN107783762A (zh) | 界面生成方法、装置、存储介质和计算机设备 | |
| Sandeep | Static analysis of android malware detection using deep learning | |
| CN104036157A (zh) | 一种基于综合特征值检测文件被篡改的方法 | |
| CN111159697B (zh) | 一种密钥检测方法、装置及电子设备 | |
| CN110324273A (zh) | 一种基于dns请求行为与域名构成特征相结合的僵尸网络检测法 | |
| US20170244595A1 (en) | Dynamic data collection profile configuration | |
| Prabhu | Fog computing, deep learning and big data analytics-research directions | |
| WO2016197814A1 (zh) | 垃圾文件识别及管理方法、识别装置、管理装置和终端 | |
| US11880462B2 (en) | Identify malicious software | |
| CN105488390B (zh) | 一种Linux下的可疑文件发现方法及系统 | |
| Qian et al. | Mining logical clones in software: Revealing high-level business and programming rules | |
| Xiong et al. | ShenZhen transportation system (SZTS): a novel big data benchmark suite |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 150010 Heilongjiang science and technology innovation city, Harbin new and high tech Industrial Development Zone, No. 7 building, innovation and entrepreneurship Plaza, 838 Patentee after: Harbin antiy Technology Group Limited by Share Ltd Address before: 150090 room 506, Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang, China, 162 Patentee before: Harbin Antiy Technology Co., Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Suspicious file discovery method and system under Linux Effective date of registration: 20190718 Granted publication date: 20180525 Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch Pledgor: Harbin antiy Technology Group Limited by Share Ltd Registration number: 2019230000007 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 150010 Heilongjiang science and technology innovation city, Harbin new and high tech Industrial Development Zone, No. 7 building, innovation and entrepreneurship Plaza, 838 Patentee after: Antan Technology Group Co.,Ltd. Address before: 150010 Heilongjiang science and technology innovation city, Harbin new and high tech Industrial Development Zone, No. 7 building, innovation and entrepreneurship Plaza, 838 Patentee before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20211119 Granted publication date: 20180525 Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch Pledgor: Harbin Antian Science and Technology Group Co.,Ltd. Registration number: 2019230000007 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |