CN111310188A - 一种终端文件系统敏感信息检查方法及装置 - Google Patents

Abstract

本发明提供了一种终端文件系统敏感信息检查方法及装置，应用于检测装置，其中，该方法包括：与目标终端建立连接；提取所述目标终端的文件系统中的文件；断根据所述文件的类型是否提取到所述文件中的敏感信息；如果根据所述文件的类型提取到所述文件中的敏感信息，则判定所述目标终端的文件系统存在风险。通过实施本发明，检查过程不会占用目标终端的资源，不会影响目标终端的运行。

Description

一种终端文件系统敏感信息检查方法及装置

技术领域

本发明涉及嵌入式终端文件系统领域，具体涉及一种终端文件系统敏感信息检查方法及装置。

背景技术

由于开发过程中的不规范，导致很多私钥，甚至是连接服务器的账号、密码等都被硬编码到电力系统的固件或配置文件中，导致敏感信息泄漏。甚至于厂商恶意设置的后门账户也往往会采用硬编码方式实现。因此为了保障用户信息的安全，以及防止后门账户的出现，在对嵌入式终端渗透测试中，如何快速有效的发现嵌入式终端文件系统中的敏感信息，是迫切需要解决的一个问题。当前对电力嵌入式设备的安全检查方法，大多采用远程扫描或人工分析的方式对嵌入式终端文件系统进行检查，但是，人工分析的方式效率较低；对于远程扫描的方式，由于嵌入式设备软硬件资源相对有限，而远程扫描需要在嵌入式设备中通过大量探测包进行检测，占用嵌入式设备的资源，影响嵌入式终端系统的稳定性，对生产造成重大安全隐患。

发明内容

因此，本发明要解决的技术问题在于克服现有技术中对嵌入式终端系统中的文件检查时效率低、难以发现深层次敏感信息、检查过程对嵌入式中段系统产生影响的缺陷，从而提供一种终端文件系统敏感信息检查方法及装置。

本发明第一方面提供了一种终端文件系统敏感信息检查方法，应用于检测装置，包括：与目标终端建立连接；提取目标终端的文件系统中的文件；判断根据文件的类型是否提取到文件中的敏感信息；如果根据文件的类型提取到文件中的敏感信息，则判定目标终端的文件系统存在风险。

可选地，文件的类型为二进制文件，根据文件的类型提取文件中的敏感信息，包括：通过第一预设命令提取二进制文件中的字符串；根据第二预设命令和预设关键字检查字符串；将含有预设关键字的字符串判定为二进制文件中的敏感信息。

可选地，文件的类型为文本文件，根据文件的类型提取文件中的敏感信息，包括：根据预设正则表达式检索文本文件；将文本文件中与正则表达式相匹配的信息判定为文本文件中的敏感信息。

可选地，本发明提供的终端文件系统敏感信息检查方法还包括：对敏感信息进行标准化处理并输出。

本发明第二方面提供了一种终端文件系统敏感信息检查装置，应用于检测装置，包括：设备连接模块，用于与目标终端建立连接；文件提取模块，用于提取目标终端的文件系统中的文件；敏感信息提取模块，用于判断根据文件的类型是否提取到文件中的敏感信息；风险判定模块，如果根据文件的类型提取到文件中的敏感信息，风险判定模块用于判定目标终端的文件系统存在风险。

可选地，文件的类型为二进制文件，敏感信息提取模块包括：字符串提取子模块，用于通过第一预设命令提取二进制文件中的字符串；字符串检查子模块，用于根据第二预设命令和预设关键字检查字符串；第一敏感信息判定子模块，用于将含有预设关键字的字符串判定为二进制文件中的敏感信息。

可选地，文件的类型为文本文件，敏感信息提取模块包括：文件检索模块，用于根据预设正则表达式检索文本文件；第二敏感信息判定子模块，用于将文本文件中与正则表达式相匹配的信息判定为文本文件中的敏感信息。

可选地，本发明提供的终端文件系统敏感信息检查装置，还包括：敏感信息输出模块，用于对敏感信息进行标准化处理并输出。

本发明第三方面提供了一种计算机设备，包括：至少一个处理器；以及与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，从而执行如本发明第一方面提供的终端文件系统敏感信息检查方法。

本发明第四方面提供了一种计算机可读存储介质，其特征在于，计算机可读存储介质存储有计算机指令，计算机指令用于使计算机执行如本发明第一方面提供的终端文件系统敏感信息检查方法。

本发明技术方案，具有如下优点：

1.本发明提供的终端文件系统敏感信息检查方法，在对目标终端的文件系统中的文件进行检查时，先与目标终端建立连接，然后将目标终端的文件系统中的文件提取到检测装置，在检测装置中对文件进行检查，由于本发明提供的终端文件系统敏感信息检查方法对文件进行检查时，是在检测装置中进行的，而不是在目标终端中进行，因此检查过程不会占用目标终端的资源，不会影响目标终端的运行。

2.本发明提供的终端文件系统敏感信息检查装置，在对目标终端的文件系统中的文件进行检查时，先与目标终端建立连接，然后将目标终端的文件系统中的文件提取到检测装置，在检测装置中对文件进行检查，由于本发明提供的终端文件系统敏感信息检查装置对文件进行检查时，是在检测装置中进行的，而不是在目标终端中进行，因此检查过程不会占用目标终端的资源，不会影响目标终端的运行。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1-图4为本发明实施例中终端文件系统敏感信息检查方法的具体示例的流程图；

图5-图8为本发明实施例中终端文件系统敏感信息检查装置的具体示例的原理框图；

图9为本发明实施例中计算机设备的原理框图。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。

此外，下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。

实施例1

电力系统终端包括配电终端、源网荷终端、集中器、智能配变终端等，此类终端自身负载性能不足，通过传统的远程扫描方式对此类终端的系统中的文件进行检查时，会占用终端资源，导致电力系统的不稳定。

本发明实施例提供了一种终端文件系统敏感信息检查方法，应用于检测装置，如图1所示，包括：

步骤S10：与目标终端建立连接。本发明实施例中所述的目标终端可以是电力系统中的配电终端、源网荷终端、集中器、智能配变终端等，检测装置为区别于目标终端，且不与目标终端共用资源的设备。

步骤S20：提取目标终端的文件系统中的文件到检测装置。在一具体实施例中，与目标终端建立连接并将目标终端的文件系统中的文件提取到检测装置，可以使用通过普通ssh连接来挂载和与远程服务器或工作站上的目录和文件交互的文件系统客户端(SSHFilesystem，SSHFS)，或网络文件系统(Network File System，NFS)等技术实现。

步骤S30：在检测装置中，判断根据文件的类型是否提取到文件中的敏感信息。在一具体实施例中，文件中的敏感信息包含但不仅限于后门账号、密码、密钥、身份证号、电话号等信息。

步骤S40：如果根据文件的类型提取到文件中的敏感信息，则判定目标终端的文件系统存在风险。若文件中存在敏感信息，则存在敏感信息泄露的风险，需要提供工作人员进行维护。

本发明提供的终端文件系统敏感信息检查方法，在对目标终端的文件系统中的文件进行检查时，先与目标终端建立连接，然后将目标终端的文件系统中的文件提取到检测装置，在检测装置中对文件进行检查，由于本发明提供的终端文件系统敏感信息检查方法对文件进行检查时，是在检测装置中进行的，而不是在目标终端中进行，因此检查过程不会占用目标终端的资源，不会影响目标终端的运行。

在一可选实施例中，目标终端的文件系统是由一组定义的系统目录和文件组成，这些目录和文件按照特定的布局存储在硬盘或其它存储介质上，且文件系统中的文件有很多种类型，不同类型的文件需要通过不同的方式进行检查，区分文件类型时，可以通过文件后缀进行区分，也可以通过文件所在目录进行区分，其中，文件类型主要包括文本文件和二进制文件两大类。

对于二进制文件，如图2所示，根据文件的类型提取文件中的敏感信息，包括：

步骤S31：通过第一预设命令提取二进制文件中的字符串，在一具体实施例中，可以通过Strings命令打印出二进制文件中所用的ASCII字符串。

步骤S32：根据第二预设命令和预设关键字检查字符串。示例性地，可以通过命令“|grep“root””对字符串进行检查，表示先通过管道符“|”将字符串传给第二预设命令“grep”，“grep”命令将字符串与预设关键字“root”进行匹配，将含有“root”的字符串判定为敏感信息。以上仅为举例说明，在实际应用中，第二预设命令和预设关键字可以根据实际需求进行调整。

步骤S33：将含有预设关键字的字符串判定为二进制文件中的敏感信息。

通过执行上述步骤S31-步骤S33可以提取到二进制文件中的敏感信息，在实际应用中，也可通过别的方法对二进制文件中的敏感信息进行检查。

对于文本文件，如图3所示，根据文件的类型提取文件中的敏感信息，包括：

步骤S34：根据预设正则表达式检索文本文件。在一具体实施例中，对于不同类型的敏感信息可以选择通过不同的正则表达式进行检索，例如：

对于邮箱地址，可以通过正则表达式

“EMAIL_REGEX＝[\w！#$％&'*+/＝？^_`{|}～-]+(？:\.[\w！#$％&'*+/＝？^_`{|}～-]+)*@(？:[\w](？:[\w-]*[\w])？\.)+[\w](？:[\w-]*[\w])？”进行检索；

对于手机号，可以通过正则表达式

“PHONE_REGEX＝0？(13|14|15|17|18|19)[0-9]{9}”进行检索；对于身份证号可以通过正则表达式“IDCARD＝\d{17}[\d|x]|\d{15}”进行检索。

步骤S35：将文本文件中与正则表达式相匹配的信息判定为文本文件中的敏感信息。

通过执行上述步骤S34-步骤S35可以提取到可读文本文件中的敏感信息，在实际应用中，也可通过别的方法对文本文件中的敏感信息进行检查。

在一可选实施例中，如图4所示，本发明实施例提供的终端文件系统敏感信息检查方法，还包括：

步骤S50：对敏感信息进行标准化处理并输出。在一具体实施例中，对敏感信息进行标准化处理主要为对敏感数据进行去重，然后将敏感信息的以及敏感信息的风险等级、风险路径等信息输出给用户。

实施例2

本发明实施例提供了一种终端文件系统敏感信息检查装置，应用于检测装置，如图5所示，包括：

设备连接模块10，用于与目标终端建立连接，详细描述见上述实施例1中对步骤S10的描述。

文件提取模块20，用于提取目标终端的文件系统中的文件，详细描述见上述实施例1中对步骤S20的描述。

敏感信息提取模块30，用于判断根据文件的类型是否提取到文件中的敏感信息，详细描述见上述实施例1中对步骤S30的描述。

风险判定模块40，如果根据文件的类型提取到文件中的敏感信息，风险判定模块40用于判定目标终端的文件系统存在风，详细描述见上述实施例1中对步骤S40的描述。

本发明提供的终端文件系统敏感信息检查装置，在对目标终端的文件系统中的文件进行检查时，先与目标终端建立连接，然后将目标终端的文件系统中的文件提取到检测装置，在检测装置中对文件进行检查，由于本发明提供的终端文件系统敏感信息检查装置对文件进行检查时，是在检测装置中进行的，而不是在目标终端中进行，因此检查过程不会占用目标终端的资源，不会影响目标终端的运行。

在一可选实施例中，若文件类型为二进制文件，如图6所示，敏感信息提取模块30包括：

字符串提取子模块31，用于通过第一预设命令提取二进制文件中的字符串，详细描述见上述实施例1中对步骤S31的描述。

字符串检查子模块32，用于根据第二预设命令和预设关键字检查字符串，详细描述见上述实施例1中对步骤S32的描述。

第一敏感信息判定子模块33，用于将含有预设关键字的字符串判定为二进制文件中的敏感信息，详细描述见上述实施例1中对步骤S33的描述。

在一可选实施例中，若文件类型为文本文件，如图7所示，敏感信息提取模块30包括：

文件检索模块34，用于根据预设正则表达式检索文本文件，详细描述见上述实施例1中对步骤S34的描述。

第二敏感信息判定子模块35，用于将文本文件中与正则表达式相匹配的信息判定为文本文件中的敏感信息，详细描述见上述实施例1中对步骤S35的描述。

在一可选实施例中，如图8所示，终端文件系统敏感信息检查装置还包括：

敏感信息输出模块50，用于对敏感信息进行标准化处理并输出，详细描述见上述实施例1中对步骤S50的描述。

实施例3

本发明实施例提供一种计算机设备，如图9所示，该计算机设备主要包括一个或多个处理器61以及存储器62，图9中以一个处理器61为例。

该计算机设备还可以包括：输入装置63和输出装置64。

处理器61、存储器62、输入装置63和输出装置64可以通过总线或者其他方式连接，图9中以通过总线连接为例。

处理器61可以为中央处理器(Central Processing Unit，CPU)。处理器61还可以为其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。存储器62可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据终端文件系统敏感信息检查装置的使用所创建的数据等。此外，存储器62可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器62可选包括相对于处理器61远程设置的存储器，这些远程存储器可以通过网络连接至终端文件系统敏感信息检查装置。输入装置63可接收用户输入的计算请求(或其他数字或字符信息)，以及产生与终端文件系统敏感信息检查装置有关的键信号输入。输出装置64可包括显示屏等显示设备，用以输出计算结果。

实施例4

本发明实施例提供一种计算机可读存储介质，该计算机可读存储介质存储计算机指令，计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的终端文件系统敏感信息检查方法。其中，存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)、随机存储记忆体(Random Access Memory，RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive，缩写：HDD)或固态硬盘(Solid-StateDrive，SSD)等；存储介质还可以包括上述种类的存储器的组合。

显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。

Claims (10)

1.一种终端文件系统敏感信息检查方法，应用于检测装置，其特征在于，包括：

与目标终端建立连接；

提取所述目标终端的文件系统中的文件；

判断根据所述文件的类型是否提取到所述文件中的敏感信息；

如果根据所述文件的类型提取到所述文件中的敏感信息，则判定所述目标终端的文件系统存在风险。

2.根据权利要求1所述的终端文件系统敏感信息检查方法，其特征在于，所述文件的类型为二进制文件，

根据所述文件的类型提取所述文件中的敏感信息，包括：

通过第一预设命令提取所述二进制文件中的字符串；

根据第二预设命令和预设关键字检查所述字符串；

将含有所述预设关键字的字符串判定为所述二进制文件中的敏感信息。

3.根据权利要求1所述的终端文件系统敏感信息检查方法，其特征在于，所述文件的类型为所述文本文件，

根据所述文件的类型提取所述文件中的敏感信息，包括：

根据预设正则表达式检索所述文本文件；

将所述文本文件中与所述正则表达式相匹配的信息判定为所述文本文件中的敏感信息。

4.根据权利要求1所述的终端文件系统敏感信息检查方法，其特征在于，还包括：

对所述敏感信息进行标准化处理并输出。

5.一种终端文件系统敏感信息检查装置，应用于检测装置，其特征在于，包括：

设备连接模块，用于与目标终端建立连接；

文件提取模块，用于提取所述目标终端的文件系统中的文件；

敏感信息提取模块，用于判断根据所述文件的类型是否提取到所述文件中的敏感信息；

风险判定模块，如果根据所述文件的类型提取到所述文件中的敏感信息，所述风险判定模块用于判定所述目标终端的文件系统存在风险。

6.根据权利要求5所述的终端文件系统敏感信息检查装置，其特征在于，所述文件的类型为二进制文件，所述敏感信息提取模块包括：

字符串提取子模块，用于通过第一预设命令提取所述二进制文件中的字符串；

字符串检查子模块，用于根据第二预设命令和预设关键字检查所述字符串；

第一敏感信息判定子模块，用于将含有所述预设关键字的字符串判定为所述二进制文件中的敏感信息。

7.根据权利要求5所述的终端文件系统敏感信息检查装置，其特征在于，所述文件的类型为所述文本文件，所述敏感信息提取模块包括：

文件检索模块，用于根据预设正则表达式检索所述文本文件；

第二敏感信息判定子模块，用于将所述文本文件中与所述正则表达式相匹配的信息判定为所述文本文件中的敏感信息。

8.根据权利要求5所述的终端文件系统敏感信息检查装置，其特征在于，还包括：

敏感信息输出模块，用于对所述敏感信息进行标准化处理并输出。

9.一种计算机设备，其特征在于，包括：

至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，从而执行如权利要求1-4中任一项所述的终端文件系统敏感信息检查方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行如权利要求1-4中任一项所述的终端文件系统敏感信息检查方法。

Images