CN109871359A - 文件监控系统及方法 - Google Patents
文件监控系统及方法 Download PDFInfo
- Publication number
- CN109871359A CN109871359A CN201910215480.6A CN201910215480A CN109871359A CN 109871359 A CN109871359 A CN 109871359A CN 201910215480 A CN201910215480 A CN 201910215480A CN 109871359 A CN109871359 A CN 109871359A
- Authority
- CN
- China
- Prior art keywords
- file
- characteristic value
- value
- demarcating
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 14
- 239000003755 preservative agent Substances 0.000 claims abstract description 4
- 230000002335 preservative effect Effects 0.000 claims abstract description 4
- 238000012986 modification Methods 0.000 claims description 14
- 230000004048 modification Effects 0.000 claims description 14
- 238000012544 monitoring process Methods 0.000 abstract description 9
- 230000008030 elimination Effects 0.000 abstract description 3
- 238000003379 elimination reaction Methods 0.000 abstract description 3
- 230000002708 enhancing effect Effects 0.000 abstract description 3
- 230000007257 malfunction Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Measuring And Recording Apparatus For Diagnosis (AREA)
Abstract
本发明提出一种文件监控系统及方法,包括:标定待监控文件的标定模块、提取标定文件特征值的特征值模块、储存特征值的特征值数据库、比对同一标定文件不同时刻提取的特征值的比对模块、控制所述比对模块触发间隔时间的定时模块、以及对特征值异常启动告警的告警模块。本发明具有以下突出优点:通过对指定文件的监控,可以极大的提高监控数据颗粒度、增强采集告警精度。可及时发现系统重要文件的文件是否被修改,减少系统故障率,提升系统故障排查时的效率。
Description
技术领域
本发明属于信息安全和运营维护领域,尤其涉及一种计算机系统的文件监控系统及方法。
背景技术
在传统的系统安全运维手段里,偏向于对文件尤其重要配置文件的备份,当出现系统异常或服务不可用时,管理员通过逐级排查,最终发现系统的重要配置文件被人误删或者误修改,导致系统不可用。此时,通过备份文件将系统的配置文件恢复出来。该方法存在一定的滞后性,往往是故障已经发生了,通过大量的定位才能找到故障的缘由。
发明内容
本发明提出一种文件监控的系统和方法,能够快速发现系统的重要配置文件是否被异常修改。当出现文件被修改时,产生告警通知。通过发明方案可以监控用户指定的重要文件是否被打开、修改、执行,并报告给用户;采用指定的文件特征值计算方法,可以计算出被监控的文件的特征值库,若发现文件的2次特征值不一致时,即说明文件被修改过或访问过。本发明可以动态的监测重要文件的状态,避免重要配置文件被人恶意修改,导致服务异常。或者私密文件被人窃取,导致财产损失。
本发明具体采用以下技术方案:
一种文件监控系统,其特征在于,包括:标定待监控文件的标定模块、提取标定文件特征值的特征值模块、储存特征值的特征值数据库、比对同一标定文件不同时刻提取的特征值的比对模块、控制所述比对模块触发间隔时间的定时模块、以及对特征值异常启动告警的告警模块。
优选地,所述特征值包括文件的SHA值和/或MD5值、最后修改时间、最后访问时间、最初创建时间。
优选地,在所述特征值数据库中,对于每一标定文件:SHA值和/或MD5值为可修改值,最初创建时间为不可修改值,最后修改时间随SHA值和/或MD5值的修改而修改。
一种文件监控方法,其特征在于,包括以下步骤:
步骤S1:选择需要监控的文件进行标定,并获取标定文件的路径和特征值信息;
步骤S2:将标定文件的特征值存储在特征值数据库;
步骤S3:以预设的间隔时间向标定文件的路径发出特征值获取请求;
步骤S4:将步骤S3获取的特征值与特征值数据库中的特征值进行比对,如一致,则返回步骤S3,如不一致则发出告警。
优选地,在步骤S4中,当接收到告警后,用户确认文件的修改成立后,该标定文件存储在特征值数据库中的特征值更新为最近一次获取的特征值。
本发明具有以下突出优点:通过对指定文件的监控,可以极大的提高监控数据颗粒度、增强采集告警精度。可及时发现系统重要文件的文件是否被修改,减少系统故障率,提升系统故障排查时的效率。
附图说明
下面结合附图和具体实施方式对本发明进一步详细的说明:
图1是本发明实施例整体流程示意图。
具体实施方式
为让本专利的特征和优点能更明显易懂,下文特举实施例,作详细说明如下:
如图1所示,本实施例提供以下文件监控方法,包括以下步骤:
步骤S1:选择需要监控的文件进行标定,并获取标定文件的路径和特征值信息;
步骤S2:将标定文件的特征值存储在特征值数据库;
步骤S3:以预设的间隔时间向标定文件的路径发出特征值获取请求;
步骤S4:将步骤S3获取的特征值与特征值数据库中的特征值进行比对,如一致,则返回步骤S3,如不一致则发出告警。
其中,在步骤S4中,当接收到告警后,用户确认文件的修改成立后,该标定文件存储在特征值数据库中的特征值更新为最近一次获取的特征值。
与之相对应地,提出了一种与上述方法相适配的文件监控系统,包括:标定待监控文件的标定模块、提取标定文件特征值的特征值模块、储存特征值的特征值数据库、比对同一标定文件不同时刻提取的特征值的比对模块、控制比对模块触发间隔时间的定时模块、以及对特征值异常启动告警的告警模块。
其中,特征值包括文件的SHA值和/或MD5值、最后修改时间、最后访问时间、最初创建时间,当文件发生改动时,其SHA值或MD5值一定会发生变化,从而被系统有效地监控。在特征值数据库中,对于每一标定文件:SHA值和/或MD5值为可修改值,最初创建时间为不可修改值,最后修改时间随SHA值和/或MD5值的修改而修改。
本实施例的基本要旨在于:
1、建立被监控文件的文件特征值,并入库保存;
2、定期检查被监控文件的特征值是否与特征库里的一致,若发生变化,则说明文件已被修改;
3、当文件被修改后,产生告警通知用户。
其提供的监控分析模块可运行于windows、linux、unix、arm等多个系统平台上,对标定的文件进行实时监控。当被监测文件两次特征值不一致时,即判断文件被修改,即触发告警模块,通知用户查看核实。
本实施例通过对指定文件的监控,可以极大的提高监控数据颗粒度、增强采集告警精度。可及时发现系统重要文件的文件是否被修改,减少系统故障率,提升系统故障排查时的效率。最终实现以下目标:
1)提高文件系统监控颗粒度;
2)提升监控频率,基本可以达到故障的实时监控;
3)降低故障时的排查故障时间,提升信息化运维的自动化水平。
本专利不局限于上述最佳实施方式,任何人在本专利的启示下都可以得出其它各种形式的文件监控系统及方法,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本专利的涵盖范围。
Claims (5)
1.一种文件监控系统,其特征在于,包括:标定待监控文件的标定模块、提取标定文件特征值的特征值模块、储存特征值的特征值数据库、比对同一标定文件不同时刻提取的特征值的比对模块、控制所述比对模块触发间隔时间的定时模块、以及对特征值异常启动告警的告警模块。
2.根据权利要求1所述的文件监控系统,其特征在于:所述特征值包括文件的SHA值和/或MD5值、最后修改时间、最后访问时间、最初创建时间。
3.根据权利要求2所述的文件监控系统,其特征在于:在所述特征值数据库中,对于每一标定文件:SHA值和/或MD5值为可修改值,最初创建时间为不可修改值,最后修改时间随SHA值和/或MD5值的修改而修改。
4.一种文件监控方法,其特征在于,包括以下步骤:
步骤S1:选择需要监控的文件进行标定,并获取标定文件的路径和特征值信息;
步骤S2:将标定文件的特征值存储在特征值数据库;
步骤S3:以预设的间隔时间向标定文件的路径发出特征值获取请求;
步骤S4:将步骤S3获取的特征值与特征值数据库中的特征值进行比对,如一致,则返回步骤S3,如不一致则发出告警。
5.根据权利要求4所述的文件监控方法,其特征在于:在步骤S4中,当接收到告警后,用户确认文件的修改成立后,该标定文件存储在特征值数据库中的特征值更新为最近一次获取的特征值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910215480.6A CN109871359A (zh) | 2019-03-21 | 2019-03-21 | 文件监控系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910215480.6A CN109871359A (zh) | 2019-03-21 | 2019-03-21 | 文件监控系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109871359A true CN109871359A (zh) | 2019-06-11 |
Family
ID=66920936
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910215480.6A Pending CN109871359A (zh) | 2019-03-21 | 2019-03-21 | 文件监控系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109871359A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113672997A (zh) * | 2021-10-21 | 2021-11-19 | 统信软件技术有限公司 | 一种文件保护方法、计算设备及存储介质 |
| CN114201370A (zh) * | 2022-02-21 | 2022-03-18 | 山东捷瑞数字科技股份有限公司 | 一种网页文件监控方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104036157A (zh) * | 2014-06-05 | 2014-09-10 | 蓝盾信息安全技术有限公司 | 一种基于综合特征值检测文件被篡改的方法 |
| CN104461830A (zh) * | 2014-12-19 | 2015-03-25 | 北京奇虎科技有限公司 | 监控进程的方法和装置 |
| WO2015039562A1 (zh) * | 2013-09-17 | 2015-03-26 | 中兴通讯股份有限公司 | 账号信息处理方法及装置 |
| CN107609411A (zh) * | 2017-09-15 | 2018-01-19 | 郑州云海信息技术有限公司 | 一种智能监控保密文件的系统和方法 |
| CN108334788A (zh) * | 2017-01-20 | 2018-07-27 | 腾讯科技(深圳)有限公司 | 文件防篡改方法及装置 |
-
2019
- 2019-03-21 CN CN201910215480.6A patent/CN109871359A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015039562A1 (zh) * | 2013-09-17 | 2015-03-26 | 中兴通讯股份有限公司 | 账号信息处理方法及装置 |
| CN104036157A (zh) * | 2014-06-05 | 2014-09-10 | 蓝盾信息安全技术有限公司 | 一种基于综合特征值检测文件被篡改的方法 |
| CN104461830A (zh) * | 2014-12-19 | 2015-03-25 | 北京奇虎科技有限公司 | 监控进程的方法和装置 |
| CN108334788A (zh) * | 2017-01-20 | 2018-07-27 | 腾讯科技(深圳)有限公司 | 文件防篡改方法及装置 |
| CN107609411A (zh) * | 2017-09-15 | 2018-01-19 | 郑州云海信息技术有限公司 | 一种智能监控保密文件的系统和方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113672997A (zh) * | 2021-10-21 | 2021-11-19 | 统信软件技术有限公司 | 一种文件保护方法、计算设备及存储介质 |
| CN114201370A (zh) * | 2022-02-21 | 2022-03-18 | 山东捷瑞数字科技股份有限公司 | 一种网页文件监控方法及系统 |
| CN114201370B (zh) * | 2022-02-21 | 2022-06-03 | 山东捷瑞数字科技股份有限公司 | 一种网页文件监控方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6347374B1 (en) | Event detection | |
| US9110898B1 (en) | Method and apparatus for automatically detecting replication performance degradation | |
| TWI528177B (zh) | 偵測異常的資訊存取行為之系統與方法 | |
| US8631081B2 (en) | System and method for information risk management | |
| CN104484474A (zh) | 数据库安全审计方法 | |
| US10169595B2 (en) | Detecting malicious data access in a distributed environment | |
| CN103124293A (zh) | 一种基于多Agent的云数据安全审计方法 | |
| US10776487B2 (en) | Systems and methods for detecting obfuscated malware in obfuscated just-in-time (JIT) compiled code | |
| CN105656698A (zh) | 一种网络应用系统智能监控结构与方法 | |
| CN109871359A (zh) | 文件监控系统及方法 | |
| CN106339629A (zh) | 一种应用程序管理方法及装置 | |
| CN109274761A (zh) | 一种nas集群节点、系统以及数据访问方法 | |
| US11151087B2 (en) | Tracking file movement in a network environment | |
| US20110161364A1 (en) | System and method for providing a normal file database | |
| US20240111870A1 (en) | Systems and Methods For Protecting Against Malware Attacks | |
| CN105302697A (zh) | 一种密集数据模型数据库的运行状态监控方法及系统 | |
| CN110874291A (zh) | 一种异常容器实时检测方法 | |
| CN113938306B (zh) | 一种基于数据清洗规则的可信认证方法及系统 | |
| CN103916376A (zh) | 具攻击防护机制的云端系统及其防护方法 | |
| CN112258137A (zh) | 一种邮件阻断方法及装置 | |
| CN112867995A (zh) | 云和时间序列数据库中物联网系统的分层取证 | |
| KR102311997B1 (ko) | 인공지능 행위분석 기반의 edr 장치 및 방법 | |
| CN113312320A (zh) | 一种获取用户操作数据库行为的方法和系统 | |
| CN103150512B (zh) | 一种蜜罐系统和运用该系统检测木马的方法 | |
| CN112799880A (zh) | 一种用于防止数据泄露的防护系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190611 |
|
| RJ01 | Rejection of invention patent application after publication |