CN106446718A - 一种基于事件驱动机制的文件保护方法及系统 - Google Patents
一种基于事件驱动机制的文件保护方法及系统 Download PDFInfo
- Publication number
- CN106446718A CN106446718A CN201610822477.7A CN201610822477A CN106446718A CN 106446718 A CN106446718 A CN 106446718A CN 201610822477 A CN201610822477 A CN 201610822477A CN 106446718 A CN106446718 A CN 106446718A
- Authority
- CN
- China
- Prior art keywords
- file
- protected
- agent
- backup
- protected file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1448—Management of the data involved in backup or backup restore
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于事件驱动机制的文件保护方法及系统,包括:对受保护文件进行冗余备份生成备份文件;解析系统的事件消息,判断是否存在对所述受保护文件的非法修改操作;若存在,则阻止系统的写调用;根据所述备份文件检测所述受保护文件是否被修改;若是,则根据所述备份文件恢复被修改的受保护文件;可见,通过将受保护文件进行冗余备份,同时捕获系统消息事件,通过事件分析确定要保护文件的操作,阻止所有对受保护文件的写操作,同时,通过对文件扫描与备份文件对比,实时恢复被非法修改的文件,从而达到保护文件的目的。
Description
技术领域
本发明涉及信息安全技术领域,更具体地说,涉及一种基于事件驱动机制的文件保护方法及系统。
背景技术
进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统安全已成为全社会关注的问题。而现阶段政府企业的主要防护措施是购买防火墙保护系统免受攻击。但一些网络不法分子如黑客,通过个人技术绕过防火墙潜入系统,将系统文件修改,导致系统崩溃。特别是政府、企事业单位的网站文件,这些网站本来是政府、单位对外宣传的门户,提升政府形象、企业宣传的工具,而一旦被攻击,网页被换成不良信息,对政府、企业造成不好的负面影响。
因此,如何实现对系统文件的保护,是本领域技术人员需要解决的问题。
发明内容
本发明的目的在于提供一种基于事件驱动机制的文件保护方法及系统,以实现对系统文件的保护。
为实现上述目的,本发明实施例提供了如下技术方案:
一种基于事件驱动机制的文件保护方法,包括:
对受保护文件进行冗余备份生成备份文件;
解析系统的事件消息,判断是否存在对所述受保护文件的非法修改操作;若存在,则阻止系统的写调用;
根据所述备份文件检测所述受保护文件是否被修改;若是,则根据所述备份文件恢复被修改的受保护文件。
其中,所述判断是否存在对所述受保护文件的非法修改操作,包括:
判断是否存在对所述受保护文件的新建操作、修改操作或者删除操作。
其中,还包括:
接收对所述受保护文件的修改指令;
根据所述修改指令修改所述备份文件,并根据修改后的备份文件恢复所述受保护文件。
其中,还包括:
生成日志信息;
其中,所述日志信息包括:所述受保护文件被非法修改后生成的监控告警日志信息;或者,所述受保护文件根据修改指令修改生成的备份恢复日志信息。
其中,还包括:
根据所述日志信息以预定时长为周期生成统计信息,并将所述统计信息发送至预定终端;其中,所述统计信息包括统计报表,和/或统计视图。
一种基于事件驱动机制的文件保护系统,包括:
备份模块,用于对受保护文件进行冗余备份生成备份文件;
监控模块,用于解析系统的事件消息,判断是否存在对所述受保护文件的非法修改操作;若存在,则阻止系统的写调用;
检测模块,用于根据所述备份文件检测所述受保护文件是否被修改;若是,则触发恢复模块;
所述恢复模块,用于根据所述备份文件恢复被修改的受保护文件。
其中,所述监控模块具体用于:
判断是否存在对所述受保护文件的新建操作、修改操作或者删除操作。
其中,还包括:
接收模块,用于接收对所述受保护文件的修改指令;
修改模块,用于根据所述修改指令修改所述备份文件,并触发所述恢复模块根据修改后的备份文件恢复所述受保护文件。
其中,还包括:
日志信息生成模块,用于生成日志信息;
其中,所述日志信息包括:所述受保护文件被非法修改后生成的监控告警日志信息;或者,所述受保护文件根据修改指令修改生成的备份恢复日志信息。
其中,还包括:
统计信息生成模块,用于根据所述日志信息以预定时长为周期生成统计信息,并将所述统计信息发送至预定终端;其中,所述统计信息包括统计报表,和/或统计视图。
通过以上方案可知,本发明实施例提供的一种基于事件驱动机制的文件保护方法及系统,包括:对受保护文件进行冗余备份生成备份文件;解析系统的事件消息,判断是否存在对所述受保护文件的非法修改操作;若存在,则阻止系统的写调用;根据所述备份文件检测所述受保护文件是否被修改;若是,则根据所述备份文件恢复被修改的受保护文件;
可见,通过将受保护文件进行冗余备份,同时捕获系统消息事件,通过事件分析确定要保护文件的操作,阻止所有对受保护文件的写操作,同时,通过对文件扫描与备份文件对比,实时恢复被非法修改的文件,从而达到保护文件的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种基于事件驱动机制的文件保护方法流程示意图;
图2为本发明实施例公开的一种基于事件驱动机制的文件保护系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种基于事件驱动机制的文件保护方法及系统,以实现对系统文件的保护。
参见图1,本发明实施例提供的一种基于事件驱动机制的文件保护方法,包括:
S101、对受保护文件进行冗余备份生成备份文件;
具体的,在本方案中,通过对系统文件类型和文件变化情况进行分析,确定所要受保护的文件以及受保护的文件所在文件夹位置;其中,本方案中受保护文件具有如下特点:
1)文件对于系统和单位个人重要的文件;
2)文件不随系统自动变化,如日志文件等;
3)文件集中在一个或几个文件夹下,如网站文件、系统配置文件等。
可以看出,在本方案中通过对系统文件进行分析汇总,选择重要的需要保护的文件作为受保护文件,该文件具有重要性、不自动变化的特点,例如一些配置好的系统文件或者静态网站文件等。
具体的,为了保障备份文件的安全性,在本实施例中选择局域网服务器作为备份服务器,将文件备份至局域网服务器指定位置。
S102、解析系统的事件消息,判断是否存在对所述受保护文件的非法修改操作;若存在,则阻止系统的写调用;
基于上述技术方案,所述判断是否存在对所述受保护文件的非法修改操作,包括:
判断是否存在对所述受保护文件的新建操作、修改操作或者删除操作。
具体的,在本方案中通过捕获系统的事件消息,分析对受保护文件夹的操作,确认是否对受保护文件进行非法修改,该非法修改操作包括可能导致受保护文件受损的新建、修改、删除等操作;如果导致受保护文件受损,则阻止系统写调用,从而达到保护文件的目的,同时扫描受保护文件,对比备份文件,确认文件是否修改;如果对比之后发现受保护文件有变化,则将文件被非法修改消息发送给恢复模块,触发文件同步恢复事件,并生成监控告警日志。
S103、根据所述备份文件检测所述受保护文件是否被修改;若是,则根据所述备份文件恢复被修改的受保护文件。
具体的,在本方案中,需要事先将受保护的文件进行冗余备份,在检测到文件被非法修改的消息后,触发同步功能,通过备份文件实时同步恢复被非法修改的文件,从而保障受保护的文件不受变化。
基于上述技术方案,还包括:
接收对所述受保护文件的修改指令;
根据所述修改指令修改所述备份文件,并根据修改后的备份文件恢复所述受保护文件。
具体的,由于受保护文件不能被修改,所以若管理员想要修改受保护文件,则可以通过对备份文件的修改,将修改后的备份文件实时同步替换受保护的文件,从而完成对受保护文件的修改,并且可以生成备份恢复日志。
基于上述技术方案,还包括:
生成日志信息;
其中,所述日志信息包括:所述受保护文件被非法修改后生成的监控告警日志信息;或者,所述受保护文件根据修改指令修改生成的备份恢复日志信息;
根据所述日志信息以预定时长为周期生成统计信息,并将所述统计信息发送至预定终端;其中,所述统计信息包括统计报表,和/或统计视图。
具体的,在本实施例中,无论是在监控受保护文件的过程中生成的监控告警日志,或者是恢复受保护文件时生成的备份恢复日志,都可以以报表、视图等直观的形式显示给系统管理员,和/或,通过配置邮件、短信等方式发给系统管理员。
传统的系统安全防护是通过增加防火墙,减少系统对外访问的端口来实现的。防火墙的方式是通过设置规则来实现的,同时,一些系统上运行的应用总有端口是对外访问的,所以单纯的防护是不够的,因此,在本方案中,当不法分子进入系统后,可以防护系统重要文件被非法修改。基于事件驱动机制的文件保护方法,可以防护系统文件被非法修改,同时,当文件被非法修改后还能实时恢复,从而达到事前防御、事中恢复的作用,该方法不仅保护了系统重要文件免受非法修改,而且整个过程由消息事件触发自动完成,不需要人为干预,该方法既是对传统防护方式的补充,减少了系统文件被修改导致系统宕机的概率。同时很多政府、企事业单位的门户宣传网站文件大都以静态页面的形式存在,通过对这些网站文件的保护也达到保护网站被放入不良信息,导致政府、企事业形象受损的风险。
下面对本发明实施例提供的文件保护系统进行介绍,下文描述的文件保护系统与上文描述的文件保护方法可以相互参照。
参见图2,本发明实施例提供的一种基于事件驱动机制的文件保护系统,包括:
备份模块100,用于对受保护文件进行冗余备份生成备份文件;
监控模块200,用于解析系统的事件消息,判断是否存在对所述受保护文件的非法修改操作;若存在,则阻止系统的写调用;
检测模块300,用于根据所述备份文件检测所述受保护文件是否被修改;若是,则触发恢复模块400;
所述恢复模块400,用于根据所述备份文件恢复被修改的受保护文件。
基于上述技术方案,所述监控模块具体用于:
判断是否存在对所述受保护文件的新建操作、修改操作或者删除操作。
基于上述技术方案,还包括:
接收模块,用于接收对所述受保护文件的修改指令;
修改模块,用于根据所述修改指令修改所述备份文件,并触发所述恢复模块根据修改后的备份文件恢复所述受保护文件。
基于上述技术方案,还包括:
日志信息生成模块,用于生成日志信息;
其中,所述日志信息包括:所述受保护文件被非法修改后生成的监控告警日志信息;或者,所述受保护文件根据修改指令修改生成的备份恢复日志信息。
基于上述技术方案,还包括:
统计信息生成模块,用于根据所述日志信息以预定时长为周期生成统计信息,并将所述统计信息发送至预定终端;其中,所述统计信息包括统计报表,和/或统计视图。
本发明实施例提供的一种基于事件驱动机制的文件保护方法及系统,包括:对受保护文件进行冗余备份生成备份文件;解析系统的事件消息,判断是否存在对所述受保护文件的非法修改操作;若存在,则阻止系统的写调用;根据所述备份文件检测所述受保护文件是否被修改;若是,则根据所述备份文件恢复被修改的受保护文件;
可见,通过将受保护文件进行冗余备份,同时捕获系统消息事件,通过事件分析确定要保护文件的操作,阻止所有对受保护文件的写操作,同时,通过对文件扫描与备份文件对比,实时恢复被非法修改的文件,从而达到保护文件的目的。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种基于事件驱动机制的文件保护方法,其特征在于,包括:
对受保护文件进行冗余备份生成备份文件;
解析系统的事件消息,判断是否存在对所述受保护文件的非法修改操作;若存在,则阻止系统的写调用;
根据所述备份文件检测所述受保护文件是否被修改;若是,则根据所述备份文件恢复被修改的受保护文件。
2.根据权利要求1所述的文件保护方法,其特征在于,所述判断是否存在对所述受保护文件的非法修改操作,包括:
判断是否存在对所述受保护文件的新建操作、修改操作或者删除操作。
3.根据权利要求1或2所述的文件保护方法,其特征在于,还包括:
接收对所述受保护文件的修改指令;
根据所述修改指令修改所述备份文件,并根据修改后的备份文件恢复所述受保护文件。
4.根据权利要求3所述的文件保护方法,其特征在于,还包括:
生成日志信息;
其中,所述日志信息包括:所述受保护文件被非法修改后生成的监控告警日志信息;或者,所述受保护文件根据修改指令修改生成的备份恢复日志信息。
5.根据权利要求4所述的文件保护方法,其特征在于,还包括:
根据所述日志信息以预定时长为周期生成统计信息,并将所述统计信息发送至预定终端;其中,所述统计信息包括统计报表,和/或统计视图。
6.一种基于事件驱动机制的文件保护系统,其特征在于,包括:
备份模块,用于对受保护文件进行冗余备份生成备份文件;
监控模块,用于解析系统的事件消息,判断是否存在对所述受保护文件的非法修改操作;若存在,则阻止系统的写调用;
检测模块,用于根据所述备份文件检测所述受保护文件是否被修改;若是,则触发恢复模块;
所述恢复模块,用于根据所述备份文件恢复被修改的受保护文件。
7.根据权利要求6所述的文件保护系统,其特征在于,所述监控模块具体用于:
判断是否存在对所述受保护文件的新建操作、修改操作或者删除操作。
8.根据权利要求6或7所述的文件保护系统,其特征在于,还包括:
接收模块,用于接收对所述受保护文件的修改指令;
修改模块,用于根据所述修改指令修改所述备份文件,并触发所述恢复模块根据修改后的备份文件恢复所述受保护文件。
9.根据权利要求8所述的文件保护系统,其特征在于,还包括:
日志信息生成模块,用于生成日志信息;
其中,所述日志信息包括:所述受保护文件被非法修改后生成的监控告警日志信息;或者,所述受保护文件根据修改指令修改生成的备份恢复日志信息。
10.根据权利要求9所述的文件保护系统,其特征在于,还包括:
统计信息生成模块,用于根据所述日志信息以预定时长为周期生成统计信息,并将所述统计信息发送至预定终端;其中,所述统计信息包括统计报表,和/或统计视图。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610822477.7A CN106446718A (zh) | 2016-09-13 | 2016-09-13 | 一种基于事件驱动机制的文件保护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610822477.7A CN106446718A (zh) | 2016-09-13 | 2016-09-13 | 一种基于事件驱动机制的文件保护方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106446718A true CN106446718A (zh) | 2017-02-22 |
Family
ID=58167792
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610822477.7A Pending CN106446718A (zh) | 2016-09-13 | 2016-09-13 | 一种基于事件驱动机制的文件保护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106446718A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106971120A (zh) * | 2017-03-24 | 2017-07-21 | 北京奇虎科技有限公司 | 一种实现文件保护的方法、装置和计算设备 |
| CN107634968A (zh) * | 2017-10-19 | 2018-01-26 | 杭州安恒信息技术有限公司 | 基于Rsync的篡改恢复方法及系统 |
| CN108108630A (zh) * | 2017-11-29 | 2018-06-01 | 安徽四创电子股份有限公司 | 一种对违规操作涉密电子文档的管控方法 |
| CN108959951A (zh) * | 2017-05-19 | 2018-12-07 | 北京瑞星网安技术股份有限公司 | 文档安全防护的方法、装置、设备及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002207623A (ja) * | 2001-01-09 | 2002-07-26 | Gia:Kk | ホームページ改竄防止システム |
| CN101231682A (zh) * | 2007-01-26 | 2008-07-30 | 李贵林 | 计算机信息安全的方法 |
| CN101370305A (zh) * | 2008-09-23 | 2009-02-18 | 中兴通讯股份有限公司 | 一种保护数据业务安全的方法和系统 |
| CN101388033A (zh) * | 2008-11-05 | 2009-03-18 | 山东中创软件工程股份有限公司 | 基于Windows系统文件变更事件的文件保护技术 |
| CN101853363A (zh) * | 2010-05-07 | 2010-10-06 | 北京飞天诚信科技有限公司 | 一种文件保护方法及系统 |
-
2016
- 2016-09-13 CN CN201610822477.7A patent/CN106446718A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002207623A (ja) * | 2001-01-09 | 2002-07-26 | Gia:Kk | ホームページ改竄防止システム |
| CN101231682A (zh) * | 2007-01-26 | 2008-07-30 | 李贵林 | 计算机信息安全的方法 |
| CN101370305A (zh) * | 2008-09-23 | 2009-02-18 | 中兴通讯股份有限公司 | 一种保护数据业务安全的方法和系统 |
| CN101388033A (zh) * | 2008-11-05 | 2009-03-18 | 山东中创软件工程股份有限公司 | 基于Windows系统文件变更事件的文件保护技术 |
| CN101853363A (zh) * | 2010-05-07 | 2010-10-06 | 北京飞天诚信科技有限公司 | 一种文件保护方法及系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106971120A (zh) * | 2017-03-24 | 2017-07-21 | 北京奇虎科技有限公司 | 一种实现文件保护的方法、装置和计算设备 |
| CN106971120B (zh) * | 2017-03-24 | 2020-11-03 | 北京奇虎科技有限公司 | 一种实现文件保护的方法、装置和计算设备 |
| CN108959951A (zh) * | 2017-05-19 | 2018-12-07 | 北京瑞星网安技术股份有限公司 | 文档安全防护的方法、装置、设备及可读存储介质 |
| CN107634968A (zh) * | 2017-10-19 | 2018-01-26 | 杭州安恒信息技术有限公司 | 基于Rsync的篡改恢复方法及系统 |
| CN108108630A (zh) * | 2017-11-29 | 2018-06-01 | 安徽四创电子股份有限公司 | 一种对违规操作涉密电子文档的管控方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI776796B (zh) | 金融終端安全防護系統以及金融終端安全防護方法 | |
| CN102902928B (zh) | 一种网页防篡改方法及装置 | |
| CN103391216B (zh) | 一种违规外联报警及阻断方法 | |
| CN106446718A (zh) | 一种基于事件驱动机制的文件保护方法及系统 | |
| CN102222194A (zh) | Linux主机计算环境安全保护的模块及方法 | |
| TW201901514A (zh) | 程式異動監控與應變系統及方法 | |
| US11750623B2 (en) | System and method for conducting a detailed computerized surveillance in a computerized environment | |
| CN105426137A (zh) | 一种基于面部识别的安全打印审计系统 | |
| CN103718170A (zh) | 用于事件的分布式基于规则的相关的系统和方法 | |
| CN108270716A (zh) | 一种基于云计算的信息安全审计方法 | |
| CN104778423B (zh) | 基于文件驱动的水印对比的网页防篡改方法 | |
| KR100788256B1 (ko) | 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법 | |
| US9380064B2 (en) | System and method for improving the resiliency of websites and web services | |
| CN102779245A (zh) | 基于图像处理技术的网页异常检测方法 | |
| Signorini et al. | Advise: anomaly detection tool for blockchain systems | |
| CN104038466A (zh) | 用于云计算环境的入侵检测系统、方法及设备 | |
| JP2001142764A (ja) | ログ・ファイル保護システム | |
| CN110022305A (zh) | 网站安全防护系统和方法 | |
| CN110008392A (zh) | 一种基于网络爬虫技术的网页篡改检测方法 | |
| CN109784055A (zh) | 一种快速检测和防范恶意软件的方法和系统 | |
| Shrivastava et al. | Network forensics: Today and tomorrow | |
| US9774627B2 (en) | Detecting memory-scraping malware | |
| US20140245454A1 (en) | Method and apparatus for protecting flight data | |
| Lamis | A forensic approach to incident response | |
| EP2911362B1 (en) | Method and system for detecting intrusion in networks and systems based on business-process specification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170222 |