CN113032343B - 一种文件修改时间可信度判定方法、装置和存储介质 - Google Patents
一种文件修改时间可信度判定方法、装置和存储介质 Download PDFInfo
- Publication number
- CN113032343B CN113032343B CN202110308748.8A CN202110308748A CN113032343B CN 113032343 B CN113032343 B CN 113032343B CN 202110308748 A CN202110308748 A CN 202110308748A CN 113032343 B CN113032343 B CN 113032343B
- Authority
- CN
- China
- Prior art keywords
- file
- change
- modification time
- time
- monitored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1734—Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
Abstract
本申请公开了一种文件修改时间可信度判定方法、装置、电子设备和计算机可读存储介质,该方法包括:当检测到被监测文件的文件状态改变时间发生变化时,获取被监测文件变化后的属性内容;根据属性内容中的文件状态改变时间和属性内容中的文件修改时间差值,确定被监测文件的实际修改时间;其中,文件修改时间差值为被监控文件的文件状态改变时间的变化累加差;查看当前被监控文件的文件修改时间,并判断文件修改时间与实际修改时间是否一致;若是,则判定文件修改时间可信;若否,则判定文件修改时间不可信。该方法能够准确识别文件修改时间的可信度,并提高了文件修改时间作为文件内容是否被修改依据的可信度。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种文件修改时间可信度判定方法、装置、电子设备和计算机可读存储介质。
背景技术
文件修改时间用于判定文件什么时候被修改了,恶意用户将文件内容修改后,为了隐藏痕迹,往往会将文件修改时间进行篡改,修改为其他时间。例如,黑客通过创建一个临时文件,通过将系统文件的当前文件修改时间赋值给临时文件,当篡改系统文件后,再将临时文件的文件修改时间赋值给系统文件,这样系统文件被篡改前后的文件修改时间就一致了,隐藏了系统文件被篡改的痕迹。降低了文件修改时间的可信度。
发明内容
本申请的目的是提供一种文件修改时间可信度判定方法,能够准确识别文件修改时间的可信度。其具体方案如下:
第一方面,本申请公开了一种文件修改时间可信度判定方法,包括:
当检测到被监测文件的文件状态改变时间发生变化时,获取所述被监测文件变化后的属性内容;
根据所述属性内容中的文件状态改变时间和所述属性内容中的文件修改时间差值,确定所述被监测文件的实际修改时间;其中,所述文件修改时间差值为所述被监控文件的文件状态改变时间的变化累加差;
查看当前所述被监控文件的文件修改时间,并判断所述文件修改时间与所述实际修改时间是否一致;
若是,则判定所述文件修改时间可信;若否,则判定所述文件修改时间不可信。
可选的,根据所述属性内容中的文件状态改变时间和所述属性内容中的文件修改时间差值,确定所述被监测文件的实际修改时间,包括:
根据所述属性内容,识别所述被监控文件的文件变化性质;
若所述文件变化性质为文件属性变化,获取所述被监测文件变化前的属性内容,将变化前所述属性内容中的文件修改时间差值和变化前后所述文件状态改变时间的差值进行累加,得到所述被监控文件的文件状态改变时间的变化累加差;
若所述文件变化性质为文件内容变化,则将所述文件状态改变时间的变化累加差设为0;
根据变化后所述属性内容中的文件修改时间与所述文件状态改变时间的变化累加差,得到所述被监测文件的实际修改时间。
可选的,根据所述属性内容,识别所述被监控文件的文件变化性质,包括:
若所述属性内容中的文件权限、文件的硬连接数、属主、属组中的任意一项或多项发生变化,则确定所述被监控文件的文件变化性质为所述文件属性变化;
若所述属性内容中的文件类型、文件大小、iNode编号中的任意一项或多项发生变化,则确定所述被监控文件的文件变化性质为所述文件内容变化。
可选的,所述查看当前所述被监控文件的文件修改时间,包括:
利用stat命令查看当前所述被监控文件的文件修改时间。
第二方面,本申请公开了一种文件修改时间可信度判定装置,包括:
获取模块,用于当检测到被监测文件的文件状态改变时间发生变化时,获取所述被监测文件变化后的属性内容;
确定模块,用于根据所述属性内容中的文件状态改变时间和所述属性内容中的文件修改时间差值,确定所述被监测文件的实际修改时间;其中,所述文件修改时间差值为所述被监控文件的文件状态改变时间的变化累加差;
判断模块,用于查看当前所述被监控文件的文件修改时间,并判断所述文件修改时间与所述实际修改时间是否一致;
第一判定结果模块,用于若是,则判定所述文件修改时间可信;
第二判定结果模块,用于若否,则判定所述文件修改时间不可信。
可选的,所述确定模块,包括:
识别单元,用于根据所述属性内容,识别所述被监控文件的文件变化性质;
累加单元,用于若所述文件变化性质为文件属性变化,获取所述被监测文件变化前的属性内容,将变化前所述属性内容中的文件修改时间差值和变化前后所述文件状态改变时间的差值进行累加,得到所述被监控文件的文件状态改变时间的变化累加差;
设置单元,用于若所述文件变化性质为文件内容变化,则将所述文件状态改变时间的变化累加差设为0;
确定单元,用于根据变化后所述属性内容中的文件修改时间与所述文件状态改变时间的变化累加差,得到所述被监测文件的实际修改时间。
可选的,所述识别单元,包括:
第一确定子单元,用于若所述属性内容中的文件权限、文件的硬连接数、属主、属组中的任意一项或多项发生变化,则确定所述被监控文件的文件变化性质为所述文件属性变化;
第二确定子单元,用于若所述属性内容中的文件类型、文件大小、iNode编号中的任意一项或多项发生变化,则确定所述被监控文件的文件变化性质为所述文件内容变化。
可选的,所述判断模块,包括:
查看单元,用于利用stat命令查看当前所述被监控文件的文件修改时间。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述的文件修改时间可信度判定方法的步骤。
第四方面,本申请公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述的文件修改时间可信度判定方法的步骤。
本申请提供一种文件修改时间可信度判定方法,包括:当检测到被监测文件的文件状态改变时间发生变化时,获取所述被监测文件变化后的属性内容;根据所述属性内容中的文件状态改变时间和所述属性内容中的文件修改时间差值,确定所述被监测文件的实际修改时间;其中,所述文件修改时间差值为所述被监控文件的文件状态改变时间的变化累加差;查看当前所述被监控文件的文件修改时间,并判断所述文件修改时间与所述实际修改时间是否一致;若是,则判定所述文件修改时间可信;若否,则判定所述文件修改时间不可信。
可见,本申请由于被监测文件的任意属性发生变化,均会触发文件状态改变时间发生变化,且文件状态改变时间无法被直接修改,真实可靠,所以本申请将被监控文件的文件状态改变时间存储于文件属性中,并将每次文件状态改变时间产生的变化累加差存储于属性内容中,以根据文件状态改变时间和文件状态改变时间的变化累加差即文件修改时间差值,确定被监控文件的实际修改时间,再将该实际修改时间与被监控文件的真实的文件修改时间与相匹配,最终产生可信度信息,能够准确识别文件修改时间的可信度,提高了判别文件修改时间可信的准确性,避免了相关技术中恶意用户可通过修改文件修改时间来隐藏修改文件内容的痕迹,导致仅根据文件修改时间来确定文件是否被恶意用户篡改不准确,恶意行为不易被发现的缺点,本申请能够准确识别文件修改时间的可信度,并提高了文件修改时间作为文件内容是否被修改依据的可信度。本申请同时还提供了一种文件修改时间可信度判定装置、一种电子设备和计算机可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种文件修改时间可信度判定方法的流程图;
图2为本申请实施例所提供的文件修改时间可信度判定系统的模块示意图;
图3为本申请实施例所提供的系统内各个模块工作流程示意图;
图4为本申请实施例所提供的系统内时间分析模块的工作流程示意图;
图5为本申请实施例所提供的系统内修改时间判定模块的工作流程示意图;
图6为本申请实施例提供的一种文件修改时间可信度判定装置的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
当前,文件修改时间为文件内容最后一次被修改的时间,ls-l列出的就是这个时间,可以被黑客任意修改,因此,文件修改时间的可信度不高。举例说明,相关技术中通过文件精度去判定时间是否可信,存在被绕过的风险,因为文件时间既可以被直接赋予精度不高的时间,也可以被赋予其他文件的时间。touch-d"2008-07-11 01:11:10"1.txt,该命令可以将2008-07-11 01:11:10赋予1.txt,确实存在精度问题。touch-acmr server.crt1.txt该命令可以将server.crt的文件修改时间赋予1.txt,则不存在精度问题。黑客可能会先创建一个临时文件,将临时文件赋予源文件的时间,等将源文件修改完成之后,再将临时文件的时间赋予修改后的文件,这样就保证了文件修改前后两个文件的修改时间保证一致。隐藏了文件内容被修改的时间。在该情况下查看到的文件修改时间就不可信。
基于上述技术问题,本实施例提供一种文件修改时间可信度判定方法,能够准确识别文件修改时间的可信度,提高了判别文件修改时间可信的准确性,具体请参考图1,图1为本申请实施例所提供的一种文件修改时间可信度判定方法的流程图,具体包括:
S101、当检测到被监测文件的文件状态改变时间发生变化时,获取被监测文件变化后的属性内容。
本实施例并不限定被监测文件的具体内容、大小,可根据实际情况而定。同时,本实施例也不限定被监控文件的文件类型,可根据实际需求进行设定。可以理解的是,文件状态改变时间是该文件的inode属性内容最后一次被修改的时间,通过chmod、chown命令修改一次文件属性,这个时间就会更新。如果主动篡改文件修改时间,文件状态改变时间就会被置为当前系统的时间。这个值无法被直接修改,比较真实可靠。本实施例中当检测到被监控文件的文件状态时间发生变化时,获取该被监控文件的属性内容。本实施例并不限定被监测文件属性内容的具体内容,可以包括文件的类型文件权限,其他人的权限,属主、属组、文件的硬连接数、文件大小、iNode编号、文件状态改变时间、文件修改时间差值,也可以包括其他内容。可以理解的是,由于文件修改时间存在被单独篡改的问题,所以本实施例中文件修改时间将不作为文件属性存储于属性内容中。
S102、根据属性内容中的文件状态改变时间和属性内容中的文件修改时间差值,确定被监测文件的实际修改时间;其中,文件修改时间差值为被监控文件的文件状态改变时间的变化累加差。
本实施例中通过属性内容中的文件状态改变时间和文件修改时间差值,即可确定被监测文件的实际修改时间。需要说明的是,被监控文件的属性内容中包括文件状态改变时间和文件修改时间差值,其中,文件修改时间差值为被监控文件的文件状态改变时间的变化累加差。可以理解的是,当被监控文件的属性内容的任意项发生变化时,文件状态改变时间均会变化,当检测到文件状态时间发生变化,获取变化后的被监控文件的属性内容,可以查看到变化前后文件状态改变时间,确定文件状态改变时间的差值,可设为x;通过查看变化前的属性内容得到文件修改时间差值,设为a,那么当前即变化后属性内容中的文件修改时间差值即为a+x,即该差值会随着每次变化而累加。
本实施例并不限定根据属性内容中的文件状态改变时间和文件修改时间差值,确定被监测文件的实际修改时间的具体过程。在一种具体的实施例中,根据属性内容中的文件状态改变时间和属性内容中的文件修改时间差值,确定被监测文件的实际修改时间,可以包括:
根据属性内容,识别被监控文件的文件变化性质;
若文件变化性质为文件属性变化,获取被监测文件变化前的属性内容,将变化前属性内容中的文件修改时间差值和变化前后文件状态改变时间的差值进行累加,得到被监控文件的文件状态改变时间的变化累加差;
若文件变化性质为文件内容变化,则将文件状态改变时间的变化累加差设为0;
根据变化后属性内容中的文件修改时间与文件状态改变时间的变化累加差,得到被监测文件的实际修改时间。
即本实施例中通过根据属性内容,识别被监控文件的文件变化性质。本实施例并不限定根据属性内容识别文件变化性质的具体过程,可以是当属性内容中的文件权限、文件的硬连接数、属主、属组中的任意一项或多项发生变化时,确定属于文件属性变化;当属性内容中的文件类型、文件大小、iNode编号中的任意一项或多项发生变化,确定属于文件内容变化。当属于文件属性变化时,获取变化前被监控文件的属性内容,将变化后的文件状态改变时间减去变化前被监控文件的文件状态改变时间,得到变化前后文件状态改变时间的差值,再将变化前属性内容中的文件修改时间差值加上得到的变化前后文件状态改变时间的差值,就可以得到文件状态改变时间的变化累加差。当本次修改属于文件内容变化时,可以理解的是,文件状态改变时间就被置为当前系统的时间,所以将文件状态改变时间的变化累加差设为0,那么文件状态改变时间减去变化累加差,得到实际修改时间,那么实际修改时间也就是当前系统时间。
本实施例并不限定根据被监控文件的属性内容,识别文件变化性质的具体过程。在一种具体的实施例中,根据属性内容,识别被监控文件的文件变化性质,可以包括:
若属性内容中的文件权限、文件的硬连接数、属主、属组中的任意一项或多项发生变化,则确定被监控文件的文件变化性质为文件属性变化;
若属性内容中的文件类型、文件大小、iNode编号中的任意一项或多项发生变化,则确定被监控文件的文件变化性质为文件内容变化。
本实施例中当文件权限、文件的硬连接数、属主、属组中的任意一项或多项发生变化时,这种变化属于文件属性变化;当文件类型、文件大小、iNode编号中的任意一项或多项发生变化时,将该变化设为文件内容变化。
S103、查看当前被监控文件的文件修改时间,并判断文件修改时间与实际修改时间是否一致。
本实施例中通过查看当前被监控文件的文件修改时间,将步骤S102得到的实际修改时间与查看到的文件修改时间进行是否一致的判断。本实施例并不限定查看被监控文件的文件修改时间的具体方式。在一种具体的实施例中,查看当前被监控文件的文件修改时间,可以包括:
利用stat命令查看当前被监控文件的文件修改时间。
即本实施例通过stat命令查看当前被监控文件的文件修改时间。可以是通过【stat文件名】的方式查看属性内容,进而查看文件修改时间。
S104、若是,则判定文件修改时间可信;若否,则判定文件修改时间不可信。
即当查看到的被监控文件的文件修改时间与得到的实际修改时间一致时,说明文件修改时间是可信的,当不一致时,说明文件修改时间不可信。
基于上述技术方案,本实施例由于被监测文件的任意属性发生变化,均会触发文件状态改变时间发生变化,且文件状态改变时间无法被直接修改,真实可靠,所以本申请将被监控文件的文件状态改变时间存储于文件属性中,并将每次文件状态改变时间产生的变化累加差存储于属性内容中,以根据文件状态改变时间和文件状态改变时间的变化累加差即文件修改时间差值,确定被监控文件的实际修改时间,再将该实际修改时间与被监控文件的真实的文件修改时间与相匹配,最终产生可信度信息,能够准确识别文件修改时间的可信度,提高了判别文件修改时间可信的准确性。
下面提供一种文件修改时间可信度判定系统,以下为提供的一种具体的实施例。包括三个模块,文件属性监控模块,时间分析模块,修改时间判定模块,如图2所示为文件修改时间可信度判定系统的模块示意图。图3为系统内各个模块工作流程示意图。具体如下:
文件属性监控模块,用于监控文件状态改变时间的变化以及记录被监控文件的属性内容到文件属性集合中;当系统第一次运行,先记录下被监控文件的属性内容,当文件状态改变时间发生变化时,将变化前的属性内容以及变化后的属性内容发送给时间分析模块,由于文件修改时间存在被单独篡改的问题,那么文件修改时间将不作为文件属性进行存储,也不作为后续属性变化的判断依据。
时间分析模块,接收到变化前后两份被监控文件的属性内容,首先进行文件变化性质分析,属性内容中是否仅发生了文件权限信息、属主、属组等信息的改变;若是,那么本次文件修改为文件属性变化,那么就计算修改前后文件状态改变时间的差值,设为x,上次计算的差值结果为a,那么新的差值结果为a+x,并将该值以及最新的被监控文件的属性内容存储到文件属性集合中,即此时属性内容中的文件修改时间差值为a+x;若不是,那么本次文件修改为文件内容变化,将新的差值结果置为0,同理将该值以及最新的属性内容存储到文件属性集合中,此时属性内容中的文件修改时间差值为0。图4为本实施例提供的系统内时间分析模块的工作流程示意图。
修改时间判定模块,提取文件属性集合中待判定的文件的属性内容,将属性内容中的文件状态改变时间减去文件修改时间差值,计算得出实际修改时间A,再将时间A与查看到的当前的文件修改时间B进行比较,如果两者相同,则文件修改时间可信,反之,不可信。图5为本实施例提供的系统内修改时间判定模块的工作流程示意图。
基于上述技术方案,本实施例通过监控linux系统文件即被监控文件的属性内容,计算出每次连续的非文件内容变化仅文件属性变化而导致的文件状态改变时间的变化差值,当前文件状态改变时间减去该变化差值就是文件修改时间的真实值即实际修改时间,通过将实际修改时间与当前查看到的文件修改时间进行比对,如果不一致,则文件修改时间不可信;如果一致,则可信,能够准确识别文件修改时间的可信度。
下面对本申请实施例提供的一种文件修改时间可信度判定装置进行介绍,下文描述的文件修改时间可信度判定装置与上文描述的文件修改时间可信度判定方法可相互对应参照,相关模块均设置于中,参考图6,图6为本申请实施例所提供的一种文件修改时间可信度判定装置的结构示意图,包括:
在一些具体的实施例中,具体包括:
获取模块601,用于当检测到被监测文件的文件状态改变时间发生变化时,获取被监测文件变化后的属性内容;
确定模块602,用于根据属性内容中的文件状态改变时间和属性内容中的文件修改时间差值,确定被监测文件的实际修改时间;其中,文件修改时间差值为被监控文件的文件状态改变时间的变化累加差;
判断模块603,用于查看当前被监控文件的文件修改时间,并判断文件修改时间与实际修改时间是否一致;
第一判定结果模块604,用于若是,则判定文件修改时间可信;
第二判定结果模块605,用于若否,则判定文件修改时间不可信。
在一些具体的实施例中,确定模块602,包括:
识别单元,用于根据属性内容,识别被监控文件的文件变化性质;
累加单元,用于若文件变化性质为文件属性变化,获取被监测文件变化前的属性内容,将变化前属性内容中的文件修改时间差值和变化前后文件状态改变时间的差值进行累加,得到被监控文件的文件状态改变时间的变化累加差;
设置单元,用于若文件变化性质为文件内容变化,则将文件状态改变时间的变化累加差设为0;
确定单元,用于根据变化后属性内容中的文件修改时间与文件状态改变时间的变化累加差,得到被监测文件的实际修改时间。
在一些具体的实施例中,识别单元,包括:
第一确定子单元,用于若属性内容中的文件权限、文件的硬连接数、属主、属组中的任意一项或多项发生变化,则确定被监控文件的文件变化性质为文件属性变化;
第二确定子单元,用于若属性内容中的文件类型、文件大小、iNode编号中的任意一项或多项发生变化,则确定被监控文件的文件变化性质为文件内容变化。
在一些具体的实施例中,判断模块603,包括:
查看单元,用于利用stat命令查看当前被监控文件的文件修改时间。
由于文件修改时间可信度判定装置部分的实施例与文件修改时间可信度判定方法部分的实施例相互对应,因此文件修改时间可信度判定装置部分的实施例请参见文件修改时间可信度判定方法部分的实施例的描述,这里暂不赘述。
下面对本申请实施例提供的一种电子设备进行介绍,下文描述的电子设备与上文描述的文件修改时间可信度判定方法可相互对应参照。
本申请公开一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的文件修改时间可信度判定方法的步骤。
由于电子设备部分的实施例与文件修改时间可信度判定方法部分的实施例相互对应,因此电子设备部分的实施例请参见文件修改时间可信度判定方法部分的实施例的描述,这里暂不赘述。
下面对本申请实施例提供的一种计算机可读存储介质进行介绍,下文描述的计算机可读存储介质与上文描述的文件修改时间可信度判定方法可相互对应参照。
本申请公开一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的文件修改时间可信度判定方法的步骤。
由于计算机可读存储介质部分的实施例与文件修改时间可信度判定方法部分的实施例相互对应,因此计算机可读存储介质部分的实施例请参见文件修改时间可信度判定方法部分的实施例的描述,这里暂不赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种文件修改时间可信度判定方法、装置、电子设备及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (8)
1.一种文件修改时间可信度判定方法,其特征在于,包括:
当检测到被监控文件的文件状态改变时间发生变化时,获取所述被监控文件变化后的属性内容;
根据所述属性内容中的文件状态改变时间和所述属性内容中的文件修改时间差值,确定所述被监控文件的实际修改时间;其中,所述文件修改时间差值为所述被监控文件的文件状态改变时间的变化累加差;
查看当前所述被监控文件的文件修改时间,并判断所述文件修改时间与所述实际修改时间是否一致;
若是,则判定所述文件修改时间可信;若否,则判定所述文件修改时间不可信;
根据所述属性内容中的文件状态改变时间和所述属性内容中的文件修改时间差值,确定所述被监控文件的实际修改时间具体包括:
根据所述属性内容,识别所述被监控文件的文件变化性质;
若所述文件变化性质为文件属性变化,获取所述被监控文件变化前的属性内容,将变化前所述属性内容中的文件修改时间差值和变化前后所述文件状态改变时间的差值进行累加,得到所述被监控文件的文件状态改变时间的变化累加差;
若所述文件变化性质为文件内容变化,则将所述文件状态改变时间的变化累加差设为0;
根据变化后所述属性内容中的文件修改时间与所述文件状态改变时间的变化累加差,得到所述被监控文件的实际修改时间。
2.根据权利要求1所述的文件修改时间可信度判定方法,其特征在于,根据所述属性内容,识别所述被监控文件的文件变化性质,包括:
若所述属性内容中的文件权限、文件的硬连接数、属主、属组中的任意一项或多项发生变化,则确定所述被监控文件的文件变化性质为所述文件属性变化;
若所述属性内容中的文件类型、文件大小、iNode编号中的任意一项或多项发生变化,则确定所述被监控文件的文件变化性质为所述文件内容变化。
3.根据权利要求1所述的文件修改时间可信度判定方法,其特征在于,所述查看当前所述被监控文件的文件修改时间,包括:
利用stat命令查看当前所述被监控文件的文件修改时间。
4.一种文件修改时间可信度判定装置,其特征在于,包括:
获取模块,用于当检测到被监控文件的文件状态改变时间发生变化时,获取所述被监控文件变化后的属性内容;
确定模块,用于根据所述属性内容中的文件状态改变时间和所述属性内容中的文件修改时间差值,确定所述被监控文件的实际修改时间;其中,所述文件修改时间差值为所述被监控文件的文件状态改变时间的变化累加差;
判断模块,用于查看当前所述被监控文件的文件修改时间,并判断所述文件修改时间与所述实际修改时间是否一致;
第一判定结果模块,用于若是,则判定所述文件修改时间可信;
第二判定结果模块,用于若否,则判定所述文件修改时间不可信;
所述确定模块,包括:
识别单元,用于根据所述属性内容,识别所述被监控文件的文件变化性质;
累加单元,用于若所述文件变化性质为文件属性变化,获取所述被监控文件变化前的属性内容,将变化前所述属性内容中的文件修改时间差值和变化前后所述文件状态改变时间的差值进行累加,得到所述被监控文件的文件状态改变时间的变化累加差;
设置单元,用于若所述文件变化性质为文件内容变化,则将所述文件状态改变时间的变化累加差设为0;
确定单元,用于根据变化后所述属性内容中的文件修改时间与所述文件状态改变时间的变化累加差,得到所述被监控文件的实际修改时间。
5.根据权利要求4所述的文件修改时间可信度判定装置,其特征在于,所述识别单元,包括:
第一确定子单元,用于若所述属性内容中的文件权限、文件的硬连接数、属主、属组中的任意一项或多项发生变化,则确定所述被监控文件的文件变化性质为所述文件属性变化;
第二确定子单元,用于若所述属性内容中的文件类型、文件大小、iNode编号中的任意一项或多项发生变化,则确定所述被监控文件的文件变化性质为所述文件内容变化。
6.根据权利要求4所述的文件修改时间可信度判定装置,其特征在于,所述判断模块,包括:
查看单元,用于利用stat命令查看当前所述被监控文件的文件修改时间。
7.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至3任一项所述的文件修改时间可信度判定方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3任一项所述的文件修改时间可信度判定方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110308748.8A CN113032343B (zh) | 2021-03-23 | 2021-03-23 | 一种文件修改时间可信度判定方法、装置和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110308748.8A CN113032343B (zh) | 2021-03-23 | 2021-03-23 | 一种文件修改时间可信度判定方法、装置和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113032343A CN113032343A (zh) | 2021-06-25 |
| CN113032343B true CN113032343B (zh) | 2022-08-16 |
Family
ID=76472944
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110308748.8A Active CN113032343B (zh) | 2021-03-23 | 2021-03-23 | 一种文件修改时间可信度判定方法、装置和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113032343B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104036157A (zh) * | 2014-06-05 | 2014-09-10 | 蓝盾信息安全技术有限公司 | 一种基于综合特征值检测文件被篡改的方法 |
| CN109344579A (zh) * | 2018-11-01 | 2019-02-15 | 厦门市美亚柏科信息股份有限公司 | 一种时间可信度的判定方法及装置 |
| CN109388617A (zh) * | 2018-10-31 | 2019-02-26 | 厦门市美亚柏科信息股份有限公司 | 一种文件时间戳可信度的判定方法及装置 |
| CN111400263A (zh) * | 2020-03-16 | 2020-07-10 | 上海英方软件股份有限公司 | 一种基于文件变化的监控回切方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3946057B2 (ja) * | 2002-03-01 | 2007-07-18 | 富士通株式会社 | 整合性検査支援方法および整合性検査支援システム |
| US9465937B1 (en) * | 2008-05-30 | 2016-10-11 | Symantec Corporation | Methods and systems for securely managing file-attribute information for files in a file system |
-
2021
- 2021-03-23 CN CN202110308748.8A patent/CN113032343B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104036157A (zh) * | 2014-06-05 | 2014-09-10 | 蓝盾信息安全技术有限公司 | 一种基于综合特征值检测文件被篡改的方法 |
| CN109388617A (zh) * | 2018-10-31 | 2019-02-26 | 厦门市美亚柏科信息股份有限公司 | 一种文件时间戳可信度的判定方法及装置 |
| CN109344579A (zh) * | 2018-11-01 | 2019-02-15 | 厦门市美亚柏科信息股份有限公司 | 一种时间可信度的判定方法及装置 |
| CN111400263A (zh) * | 2020-03-16 | 2020-07-10 | 上海英方软件股份有限公司 | 一种基于文件变化的监控回切方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113032343A (zh) | 2021-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109063969B (zh) | 一种账户风险评估的方法及装置 | |
| US8893283B2 (en) | Performing an automated compliance audit by vulnerabilities | |
| CN110800312B (zh) | 用于证明内容呈现的媒体信道监视 | |
| CN106126741B (zh) | 一种基于大数据的电网信息安全可信工作系统 | |
| CN107016298B (zh) | 一种网页篡改监测方法及装置 | |
| CN108537243B (zh) | 一种违规告警方法及装置 | |
| CN110855703A (zh) | 智能风险识别系统、方法和电子设备 | |
| CN110088744A (zh) | 一种数据库维护方法及其系统 | |
| CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
| CN111885086A (zh) | 恶意软件心跳检测方法、装置、设备及可读存储介质 | |
| CN112580047A (zh) | 工业恶意代码标记方法、设备、存储介质及装置 | |
| CN113032343B (zh) | 一种文件修改时间可信度判定方法、装置和存储介质 | |
| CN111490870B (zh) | 一种基于区块链的印章注册方法、验证方法及防伪系统 | |
| CN105095709A (zh) | 在线签字的鉴定方法及系统 | |
| CN112613893A (zh) | 一种用户恶意注册识别方法、系统、设备及介质 | |
| CN112052337A (zh) | 基于时空关联的目标关系探测方法、系统及存储介质 | |
| US20220027342A1 (en) | Methods for providing and checking data provenance | |
| CN106446687B (zh) | 恶意样本的检测方法及装置 | |
| CN115544571A (zh) | 一种基于访问权限的数据安全系统 | |
| CN110413930B (zh) | 一种数据分析方法、装置、设备及可读存储介质 | |
| CN106934276A (zh) | 一种检测移动终端系统安全性的方法、装置及移动终端 | |
| CN107203718B (zh) | 一种sql命令注入的检测方法及系统 | |
| CN103763320A (zh) | 一种流量记录的合并方法和合并系统 | |
| CN111949363A (zh) | 业务访问的管理方法、计算机设备、存储介质及系统 | |
| CN111756739B (zh) | 一种域名解析方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |