CN111026702B - 一种windows或linux主机文件的快速巡检方法及装置 - Google Patents
一种windows或linux主机文件的快速巡检方法及装置 Download PDFInfo
- Publication number
- CN111026702B CN111026702B CN201911152666.8A CN201911152666A CN111026702B CN 111026702 B CN111026702 B CN 111026702B CN 201911152666 A CN201911152666 A CN 201911152666A CN 111026702 B CN111026702 B CN 111026702B
- Authority
- CN
- China
- Prior art keywords
- file
- inspection
- files
- scanning
- outputting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/11—File system administration, e.g. details of archiving or snapshots
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/13—File access structures, e.g. distributed indices
- G06F16/137—Hash-based
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Virology (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种windows或linux主机文件的快速巡检方法及装置,属于文件安全管理技术领域,快速巡检方法包括配置快速巡检参数,其中所述快速巡检参数包括扫描频率、巡检范围和巡检文件类型筛选;根据上述参数配置,全盘扫描主机磁盘上的所有文件,获取文件的创建时间、修改时间,并将符合设定条件的文件加入检查队列;对所述检查队列中的文件执行安全检查;输出所述安全检查的结果,使用上述快速巡检方法的装置包括快速巡检配置模块、全盘文件扫描模块和数据存储模块。通过配置巡检的频率和范围以及筛选文件类型选出待检查的文件,再通过对检查队列的文件进行扫描,无需全盘扫描,提高了巡检的效率。
Description
技术领域
本发明涉及文件安全管理技术领域,特别涉及一种windows或linux主机文件的快速巡检方法及装置。
背景技术
文件管理是操作系统的五大职能之一,主要涉及文件的逻辑组织和物理组织,目录的结构和管理。所谓文件管理,就是操作系统中实现文件统一管理的一组软件、被管理的文件以及为实施文件管理所需要的一些数据结构的总称(是操作系统中负责存取和管理文件信息的机构)从系统角度来看,文件系统是对文件存储器的存储空间进行组织,分配和回收,负责文件的存储,检索,共享和保护。在现代计算机系统中,用户的程序和数据,操作系统自身的程序和数据,甚至各种输出输入设备,都是以文件形式出现的。
文件的安全扫描是维护主机系统正常运作所必须的操作,可以防止病毒或者恶意软件通过文件方式入侵主机系统,对系统进行破坏,但是传统的文件安全扫描方法一般采用病毒扫描程序或者规则对主机的全磁盘进行扫描,这样原本存在磁盘中的文件也需要被扫描,导致扫描效率低下,也增加了处理器的工作压力,并且扫描大多为主动方式,操作不方便,容易出现遗忘扫描的情况,不能及时的发现病毒文件,安全性较差。
发明内容
本发明的目的就在于为了解决上述传统的文件巡检方法采用病毒扫描程序全盘扫描磁盘中的文件工作效率低下给处理造成负荷,人为主动操作系统进行文件扫描使用起来不方便,安全性较差的问题提出一种windows或linux主机文件的快速巡检方法及装置,具有配置自动扫描频率和范围筛选待检查的文件队列,通过对文件队列进行病毒扫描,提高病毒扫描效率,且操作方便更加安全的优点。
本发明通过以下技术方案来实现上述目的,一种windows或linux主机文件的快速巡检方法,包括:
配置快速巡检参数,其中所述快速巡检参数包括扫描频率、巡检范围和巡检文件类型筛选;
根据上述参数配置,全盘扫描主机磁盘上的所有文件,获取文件的创建时间、修改时间,并将符合设定条件的文件加入检查队列;
对所述检查队列中的文件执行安全检查;
输出所述安全检查的结果;
所述扫描频率为一天一次,巡检范围为24小时之内新增或变更的文件,巡检文件类型筛选出的符合条件的文件为可执行文件、脚本语言文件和其它文件;
所述可执行文件在windows系统环境下的安全检查例程包括:
获取文件详细信息,输出信息结果;
获取数字签名信息,如果存在数字签名信息,验证数字签名有否有效,输出信息结果;
匹配安装程序信息,输出信息结果;
所述可执行文件在windows或linux系统环境下的通用安全检查例程包括:
计算文件的hash值,通过hash值匹配白名单、黑名单数据库,并输出hash值匹配结果;
引入恶意文件扫描引擎/规则,对文件内容进行扫描,并输出扫描结果;
所述脚本语言文件和其它文件在在windows或linux系统环境下的通用安全检查例程包括:
计算文件的hash值,通过hash值匹配白名单、黑名单数据库,并输出hash值匹配结果;
引入Webshell扫描引擎/规则,对文件内容进行扫描,并输出扫描结果。
一种windows或linux主机文件的快速巡检装置,包括:
快速巡检配置模块,用于用户对主机系统的巡检参数进行配置;
全盘文件扫描模块,用于对主机磁盘上的所有文件进行扫描,扫描出属于检查队列的文件;
数据存储模块,用于保存安全检查后的结果。
文件变化历史模块,用于连续多次巡检后,形成文件变化一览表;
其中,所述巡检参数包括扫描频率、巡检范围和巡检文件类型筛选;
所述扫描频率为一天一次,巡检范围为24小时之内新增或变更的文件,巡检文件类型筛选出的符合条件的文件为可执行文件、脚本语言文件和其它文件;
所述可执行文件在windows系统环境下的安全检查例程包括:
获取文件详细信息,输出信息结果;
获取数字签名信息,如果存在数字签名信息,验证数字签名有否有效,输出信息结果;
匹配安装程序信息,输出信息结果;
所述可执行文件在windows或linux系统环境下的通用安全检查例程包括:
计算文件的hash值,通过hash值匹配白名单、黑名单数据库,并输出hash值匹配结果;
引入恶意文件扫描引擎/规则,对文件内容进行扫描,并输出扫描结果;
所述脚本语言文件和其它文件在在windows或linux系统环境下的通用安全检查例程包括:
计算文件的hash值,通过hash值匹配白名单、黑名单数据库,并输出hash值匹配结果;
引入Webshell扫描引擎/规则,对文件内容进行扫描,并输出扫描结果。
优选的,所述数据存储模块还包括有数据加密模块以及图表展示模块,用于对文件巡检后的结果进行加密和可视化展示。
优选的,文件变化历史模块为体现主机文件基线变化,每次巡检结果中都会保存本次新增或变更的文件信息,持续多次巡检后,可形成文件变化一览表,分三页展示:可执行文件变化表,脚本语言文件变化表,其它文件变化表。
与现有技术相比,本发明的有益效果是:
1、通过配置巡检的频率和范围以及筛选文件类型选出待检查的文件,再通过对检查队列的文件进行扫描,无需全盘扫描,提高了巡检的效率,配置可以自定义,如选择巡检频率一天一次,巡检范围24小时内新增或者更改的文件,这样可以方便巡检操作及时扫描主机磁盘中的文件,也减轻主机的劳动强度。
2、通过将检查队列中的文件分为三种类型,可执行文件、脚本语言文件和其它文件,其中可执行文件为单独一种的巡检方法,脚本语言文件和其它文件为一种巡检方法,这样可以更加准确的对文件进行巡检,不容易出现错误。
3、通过多次连续巡检形成的文件变化一览表,一方面便于用户一目了然地掌握主机文件变化情况,为主机文件基线检查提供历史数据;另一方面便于专业用户进一步手动分析文件,以免前面阐述的文件扫描和Webshell引擎/规则出现纰漏。
附图说明
图1为本发明的文件快速巡检方法流程图。
图2为本发明的检查队列文件在通用系统下的安全检查流程图。
图3为本发明的可执行文件在Windows系统下的安全检查流程图。
图4为本发明的文件快速巡检装置内部模块连接结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-2所示,一种windows或linux主机文件的快速巡检方法,包括:
配置快速巡检参数,其中所述快速巡检参数包括扫描频率、巡检范围和巡检文件类型筛选;
根据上述参数配置,全盘扫描主机磁盘上的所有文件,获取文件的创建时间、修改时间,并将符合设定条件的文件加入检查队列;
对所述检查队列中的文件执行安全检查;
输出所述安全检查的结果。
所述扫描频率为一天一次,巡检范围为24小时之内新增或变更的文件,巡检文件类型筛选出的符合条件的文件为可执行文件、脚本语言文件和其它文件,一天一次的扫描频率可以保证主机磁盘每天都可以扫描,而24小时之内新增或变更的文件可以不需要主机将磁盘中的每个文件都扫描一遍,检查队列中的文件需要符合三种条件:可执行文件、脚本语言文件和其它文件,将符合三种条件的文件作为检查队列,只需对检查队列中的文件进行安全扫描,无需对整个磁盘中的文件进行扫描,可以提高安全检查的效率。
所述可执行文件在windows或linux系统环境下的通用安全检查例程包括:
计算文件的hash值,通过hash值匹配白名单、黑名单数据库,并输出hash值匹配结果;
引入恶意文件扫描引擎/规则,对文件内容进行扫描,并输出扫描结果。
优选的,所述脚本语言文件和其它文件在在windows或linux系统环境下的通用安全检查例程包括:
计算文件的hash值,通过hash值匹配白名单、黑名单数据库,并输出hash值匹配结果;
引入Webshell扫描引擎/规则,对文件内容进行扫描,并输出扫描结果。
如图3所示,可执行文件在windows系统环境下的安全检查例程包括:
获取文件详细信息,输出信息结果;
获取数字签名信息,如果存在数字签名信息,验证数字签名有否有效,输出信息结果;
匹配安装程序信息,输出信息结果。
这一步是用于判断可执行文件是否为三无产品(无产品信息、无数字签名信息、无安装程序信息)。
如图4所示,一种windows或linux主机文件的快速巡检装置,包括:
快速巡检配置模块,用于用户对主机系统的巡检参数进行配置;
全盘文件扫描模块,用于对主机磁盘上的所有文件进行扫描,扫描出属于检查队列的文件;
数据存储模块,用于保存安全检查后的结果。
所述数据存储模块还包括有数据加密模块以及图表展示模块,用于对文件巡检后的结果进行加密和可视化展示,文件变化历史模块为体现主机文件基线变化,每次巡检结果中都会保存本次新增或变更的文件信息,持续多次巡检后,可形成文件变化一览表,分三页展示:可执行文件变化表,脚本语言文件变化表,其它文件变化表。
本发明通过配置巡检的频率和范围以及筛选文件类型选出待检查的文件,再通过对检查队列的文件进行扫描,无需全盘扫描,提高了巡检的效率,配置可以自定义,如选择巡检频率一天一次,巡检范围24小时内新增或者更改的文件,这样可以方便巡检操作及时扫描主机磁盘中的文件,也减轻主机的劳动强度;通过将检查队列中的文件分为三种类型,可执行文件、脚本语言文件和其它文件,其中可执行文件为单独一种的巡检方法,脚本语言文件和其它文件为一种巡检方法,这样可以更加准确的对文件进行巡检,不容易出现错误。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (4)
1.一种windows或linux主机文件的快速巡检方法,其特征在于,包括:
配置快速巡检参数,其中所述快速巡检参数包括扫描频率、巡检范围和巡检文件类型筛选;
根据上述参数配置,全盘扫描主机磁盘上的所有文件,获取文件的创建时间、修改时间,并将符合设定条件的文件加入检查队列;
对所述检查队列中的文件执行安全检查;
输出所述安全检查的结果;
所述扫描频率为一天一次,巡检范围为24小时之内新增或变更的文件,巡检文件类型筛选出的符合条件的文件为可执行文件、脚本语言文件和其它文件;
所述可执行文件在windows系统环境下的安全检查例程包括:
获取文件详细信息,输出信息结果;
获取数字签名信息,如果存在数字签名信息,验证数字签名有否有效,输出信息结果;
匹配安装程序信息,输出信息结果;
所述可执行文件在windows或linux系统环境下的通用安全检查例程包括:
计算文件的hash值,通过hash值匹配白名单、黑名单数据库,并输出hash值匹配结果;
引入恶意文件扫描引擎/规则,对文件内容进行扫描,并输出扫描结果;
所述脚本语言文件和其它文件在在windows或linux系统环境下的通用安全检查例程包括:
计算文件的hash值,通过hash值匹配白名单、黑名单数据库,并输出hash值匹配结果;
引入Webshell扫描引擎/规则,对文件内容进行扫描,并输出扫描结果。
2.一种windows或linux主机文件的快速巡检装置,其特征在于,包括:
快速巡检配置模块,用于用户对主机系统的巡检参数进行配置;
全盘文件扫描模块,用于对主机磁盘上的所有文件进行扫描,扫描出属于检查队列的文件;
数据存储模块,用于保存安全检查后的结果;
文件变化历史模块,用于连续多次巡检后,形成文件变化一览表;
其中,所述巡检参数包括扫描频率、巡检范围和巡检文件类型筛选;
所述扫描频率为一天一次,巡检范围为24小时之内新增或变更的文件,巡检文件类型筛选出的符合条件的文件为可执行文件、脚本语言文件和其它文件;
所述可执行文件在windows系统环境下的安全检查例程包括:
获取文件详细信息,输出信息结果;
获取数字签名信息,如果存在数字签名信息,验证数字签名有否有效,输出信息结果;
匹配安装程序信息,输出信息结果;
所述可执行文件在windows或linux系统环境下的通用安全检查例程包括:
计算文件的hash值,通过hash值匹配白名单、黑名单数据库,并输出hash值匹配结果;
引入恶意文件扫描引擎/规则,对文件内容进行扫描,并输出扫描结果;
所述脚本语言文件和其它文件在在windows或linux系统环境下的通用安全检查例程包括:
计算文件的hash值,通过hash值匹配白名单、黑名单数据库,并输出hash值匹配结果;
引入Webshell扫描引擎/规则,对文件内容进行扫描,并输出扫描结果。
3.根据权利要求2所述的一种windows或linux主机文件的快速巡检装置,其特征在于:所述数据存储模块还包括有数据加密模块以及图表展示模块,用于对文件巡检后的结果进行加密和可视化展示。
4.根据权利要求2所述的一种windows或linux主机文件的快速巡检装置,其特征在于:文件变化历史模块为体现主机文件基线变化,每次巡检结果中都会保存本次新增或变更的文件信息,持续多次巡检后,可形成文件变化一览表,分三页展示:可执行文件变化表,脚本语言文件变化表,其它文件变化表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911152666.8A CN111026702B (zh) | 2019-11-22 | 2019-11-22 | 一种windows或linux主机文件的快速巡检方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911152666.8A CN111026702B (zh) | 2019-11-22 | 2019-11-22 | 一种windows或linux主机文件的快速巡检方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111026702A CN111026702A (zh) | 2020-04-17 |
| CN111026702B true CN111026702B (zh) | 2023-05-16 |
Family
ID=70202129
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911152666.8A Active CN111026702B (zh) | 2019-11-22 | 2019-11-22 | 一种windows或linux主机文件的快速巡检方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111026702B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101216797A (zh) * | 2008-01-11 | 2008-07-09 | 中国移动通信集团四川有限公司 | 大型数据中心it系统基础软硬件平台的深度巡检系统和方法 |
| CN102571396A (zh) * | 2010-12-28 | 2012-07-11 | 中兴通讯股份有限公司 | 一种通讯网络系统及通讯设备的巡检子系统和巡检方法 |
| CN103684900A (zh) * | 2012-09-19 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 业务巡检方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013041016A1 (zh) * | 2011-09-19 | 2013-03-28 | 北京奇虎科技有限公司 | 处理计算机病毒的方法和装置 |
-
2019
- 2019-11-22 CN CN201911152666.8A patent/CN111026702B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101216797A (zh) * | 2008-01-11 | 2008-07-09 | 中国移动通信集团四川有限公司 | 大型数据中心it系统基础软硬件平台的深度巡检系统和方法 |
| CN102571396A (zh) * | 2010-12-28 | 2012-07-11 | 中兴通讯股份有限公司 | 一种通讯网络系统及通讯设备的巡检子系统和巡检方法 |
| CN103684900A (zh) * | 2012-09-19 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 业务巡检方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 李锁雷 ; 刘艳 ; 陈思 ; .公安内网敏感信息监测系统技术研究.警察技术.2017,(03),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111026702A (zh) | 2020-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8959115B2 (en) | Permission tracking systems and methods | |
| US11734427B2 (en) | Systems, methods and devices for memory analysis and visualization | |
| US9076072B2 (en) | System and method for web page rendering test automation suite | |
| CN103559443B (zh) | 多核设备的病毒扫描方法和装置 | |
| US8825606B1 (en) | Community based restore of computer files | |
| US11093461B2 (en) | Method for computing distinct values in analytical databases | |
| US10102389B2 (en) | Access permissions management system and method | |
| US10521423B2 (en) | Apparatus and methods for scanning data in a cloud storage service | |
| US10311053B2 (en) | Efficient processing of data extents | |
| US20070203884A1 (en) | System and method for obtaining file information and data locations | |
| US11144643B1 (en) | Functional language source code vulnerability scanner | |
| US20120173498A1 (en) | Verifying Correctness of a Database System | |
| US10331670B2 (en) | Value range synopsis in column-organized analytical databases | |
| US9971789B2 (en) | Selective disk volume cloning for virtual disk creation | |
| CN114556317A (zh) | 通过版本散列链接图形的文档跟踪 | |
| US20030115446A1 (en) | System and method for verifying database security across multiple platforms | |
| CN109460363B (zh) | 自动化测试方法、装置、电子设备及计算机可读介质 | |
| US20200201853A1 (en) | Collecting query metadata for application tracing | |
| CN111538495B (zh) | 识别项目中引用Python开源组件的方法及系统、设备 | |
| CN111026702B (zh) | 一种windows或linux主机文件的快速巡检方法及装置 | |
| WO2016029441A1 (zh) | 一种文件扫描方法及装置 | |
| US9734195B1 (en) | Automated data flow tracking | |
| EP4113339A1 (en) | Malware detection quality control | |
| US9569061B2 (en) | System and method for organizing field data obtained through a plurality of devices | |
| US9613035B2 (en) | Active archive bridge |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230802 Address after: 6/F, Building F2, Xingmengyuan Scientific Research, No. 198 Mingzhu Road, High tech Zone, Hefei City, Anhui Province, 230000 Patentee after: ANHUI SAN SHI SOFTWARE TECHNOLOGY Co.,Ltd. Address before: 230000 room 406, zone B, entrepreneurship incubation center, National University Science Park, high tech Zone, Hefei, Anhui Province Patentee before: ANHUI SANSHI INFORMATION TECHNOLOGY SERVICE CO.,LTD. |
|
| TR01 | Transfer of patent right |