CN116185785A - 文件异常变更的预警方法及装置 - Google Patents
文件异常变更的预警方法及装置 Download PDFInfo
- Publication number
- CN116185785A CN116185785A CN202211712287.1A CN202211712287A CN116185785A CN 116185785 A CN116185785 A CN 116185785A CN 202211712287 A CN202211712287 A CN 202211712287A CN 116185785 A CN116185785 A CN 116185785A
- Authority
- CN
- China
- Prior art keywords
- change
- file
- event
- model library
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
Abstract
本发明公开了一种文件异常变更的预警方法及装置。其中,该方法包括:获取目标文件的变更事件对应的账户会话特征,其中,账户会话特征用于表示变更事件对应的用户信息;通过文件分类样本模型库,根据账户会话特征确定变更事件是否为异常变更,其中,文件分类样本模型库是根据历史变更数据建立的;若变更事件为异常变更,进行异常变更预警。本发明解决了由于相关技术中文件异常变更的检测方法依赖于人工介入检测,而导致异常变更判断效率低以及准确率低的技术问题。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种文件异常变更的预警方法及装置。
背景技术
在当前各项业务环境中,web服务器应用广泛,以文件方式承载的各项数据时刻面临非法变动、篡改的安全风险。而针对web服务器文件异常变更的检测,普遍采用以数据完整性监控工具Tripwire。
因此,现有的文件整体性校验工具是以预编写的策略机制和预设的基准数据库为准线,当基准数据库生成时,根据策略机制相关规则读取待检文件,并同时生成该文件的数字签名记录在数据库中。后续进行文件完整性校验时,则需要继续基于该预编写的策略机制即时生成相应的数字签名并完成校验。可见,现有的文件整体性校验方法依赖于校验过程中,生成前后数字签名时的策略机制和生成算法相一致,因此,当策略机制更新后,需要及时完成更新数据库中预存的文件数字签名。
现有技术中,主要存在以下问题:
1、由于Tripwire其运行是基于预编写的策略机制,策略机制需要定期更新,因此数据库中的大量在先数字签名也需要相应完成及时更新。因此,不仅在策略机制更新时依赖于研判人员经验策略编制,存在大量人工投入开销,同时还需要消耗大量系统资源完成对数据库中的在先数字签名更新。
2、当前针对web服务器文件异常变更的检测方法,主要是笼统关注文件是否发生变化,未排除正常业务操作引起文件变化的情况,导致告警误报多(误报过多就失去报警价值)、人工研判耗时多、文件被校验工具还原浪费大量人力物力等问题。
可见,相关技术中针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种文件异常变更的预警方法及装置,以至少解决由于相关技术中文件异常变更的检测方法依赖于人工介入检测,而导致异常变更判断效率低以及准确率低的技术问题。
根据本发明实施例的第一方面,提供了一种文件异常变更的预警方法,所述方法包括:获取目标文件的变更事件对应的账户会话特征,其中,所述账户会话特征用于表示所述变更事件对应的用户信息;通过文件分类样本模型库,根据所述账户会话特征确定所述变更事件是否为异常变更,其中,所述文件分类样本模型库是根据历史变更数据建立的;若所述变更事件为异常变更,进行异常变更预警。
进一步地,所述获取目标文件的变更事件对应的账户会话特征,包括:通过收集预保护web服务器系统内的目录或文件的变更事件关键信息,提取所述变更事件的事件日志表;根据所述事件日志表获取所述账户会话特征。
进一步地,在所述通过文件分类样本模型库,根据所述账户会话特征确定所述变更事件是否为异常变更之前,还包括:根据预保护web服务器系统内的目录或文件的所述历史变更数据生成样本数据;根据所述样本数据建立所述文件分类样本模型库。
进一步地,所述根据所述样本数据建立所述文件分类样本模型库,包括:依次根据所述样本数据对应的关联执行程序信息、系统文件变更条件进行变更异常判断,并根据所述变更异常判断的结果进行标注;依次根据合法账户白名单、用户活跃状态信息对所述样本数据中的账户信息进行变更异常判断,并根据所述变更异常判断的结果进行标注,以得到所述文件分类样本模型库。
进一步地,所述依次根据所述样本数据对应的关联执行程序信息、系统文件变更条件进行变更异常判断,并根据所述变更异常判断的结果进行标注,包括:在所述样本数据中历史变更事件与文件分类样本模型库不匹配时,根据所述历史变更事件建立判断流程;将所述判断流程添加至所述文件分类样本模型库。
根据本发明实施例的第二方面,还提供了一种文件异常变更的预警装置,所述装置包括:获取模块,用于获取目标文件的变更事件对应的账户会话特征,其中,所述账户会话特征用于表示所述变更事件对应的用户信息;判断模块,用于通过文件分类样本模型库,根据所述账户会话特征确定所述变更事件是否为异常变更,其中,所述文件分类样本模型库是根据历史变更数据建立的;预警模块,用于若所述变更事件为异常变更,进行异常变更预警。
进一步地,所述获取模块包括:监测子模块,用于通过收集预保护web服务器系统内的目录或文件的变更事件关键信息,提取所述变更事件的事件日志表;获取子模块,用于根据所述事件日志表获取所述账户会话特征。
进一步地,所述装置还包括:处理模块,用于在所述通过文件分类样本模型库,根据所述账户会话特征确定所述变更事件是否为异常变更之前,根据预保护web服务器系统内的目录或文件的所述历史变更数据生成样本数据;建模模块,用于根据所述样本数据建立所述文件分类样本模型库。
进一步地,所述建模模块包括:第一判断子模块,用于依次根据所述样本数据对应的关联执行程序信息、系统文件变更条件进行变更异常判断,并根据所述变更异常判断的结果进行标注;第二判断子模块,用于依次根据合法账户白名单、用户活跃状态信息对所述样本数据中的账户信息进行变更异常判断,并根据所述变更异常判断的结果进行标注,以得到所述文件分类样本模型库。
进一步地,所述第一判断子模块包括:第一处理单元,用于在所述样本数据中历史变更事件与文件分类样本模型库不匹配时,根据所述历史变更事件建立判断流程;第二处理单元,用于将所述判断流程添加至所述文件分类样本模型库。
根据本发明实施例的第三方面,还提供了一种电子设备,包括处理器,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如上第一方面所述的虚拟世界认证证书同步方法的步骤。
根据本发明实施例的第四方面,还提供了一种可读存储介质,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如上第一方面所述的虚拟世界认证证书同步方法的步骤。
在本发明实施例中,获取目标文件的变更事件对应的账户会话特征,其中,账户会话特征用于表示变更事件对应的用户信息;通过文件分类样本模型库,根据账户会话特征确定变更事件是否为异常变更,其中,文件分类样本模型库是根据历史变更数据建立的;若变更事件为异常变更,进行异常变更预警。通过由历史变更数据建立的分类样本模型库,根据变更时间对应的账户会话特征判断变更时间是否为异常变更,通过分类样本模型库实现了AI自动判断,避免了人工介入问题,提升判断效率和准确率,进而解决了由于相关技术中文件异常变更的检测方法依赖于人工介入检测,而导致异常变更判断效率低以及准确率低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的文件异常变更的预警方法的流程示意图;
图2是根据本发明实施例的一种可选的变更事件的异常变更判断的流程示意图;
图3是根据本发明实施例的另一种可选的文件异常变更的预警装置的框架示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本发明实施例,提供了一种文件异常变更的预警方法,如图1所示,该方法具体包括以下步骤:
S102,获取目标文件的变更事件对应的账户会话特征,其中,账户会话特征用于表示变更事件对应的用户信息;
S104,通过文件分类样本模型库,根据账户会话特征确定变更事件是否为异常变更,其中,文件分类样本模型库是根据历史变更数据建立的;
S106,若变更事件为异常变更,进行异常变更预警。
在本实施例中,变更事件包括但不限于对目标文件的内容修改、删除、复制、移动以及创建等操作。目标文件包括但不限于web服务器系统中内预保护文件目录及目录下文件夹或单个文件。
账户会话特征包括但不限于变更事件对应的用户信息,例如用户权限、用户登录状态以及用户活跃状态等。通过用户信息可以确定变更时间对应的用户在执行变更事件时的状态。
具体地,文件分类样本模型库为AI决策系统,通过FastText算法机制对历史变更数据进行分类,作为建立文件分类样本模型库的原始数据来源。历史变更数据为web服务器系统的历史变更事件赢的相关数据。
文件分类样本模型库的决策系统为一个树状决策系统,依次对变更事件的对应的账户会话特征进行判断。
在一个例子中,假定账户会话特征包括用户权限、用户登录状态以及用户活跃状态。通过文件分类样本模型库的决策系统,根据账户会话特征对变更事件进行异常变更判断的步骤为:首先判断用户权限是否符合预设权限级别,然后判断用户登录状态是否符合预设登录状态,最后判断用户活跃状态是否符合预设活跃状态。在用户权限、用户登录状态以及用户活跃状态均符合预设正常变更的条件时,则确定变更事件为正常变更;否则,确定变更事件为异常变更。
在确定变更事件为异常变更的情况下,触发文件异常变更告警,并执行预设文件保护措施。接着,调取预设查杀工具对目标系统或应用进行病毒检测,根据检测结果确定该次文件变更是否为正常变更操作。
通过本发明实施例,获取目标文件的变更事件对应的账户会话特征,其中,账户会话特征用于表示变更事件对应的用户信息;通过文件分类样本模型库,根据账户会话特征确定变更事件是否为异常变更,其中,文件分类样本模型库是根据历史变更数据建立的;若变更事件为异常变更,进行异常变更预警。通过由历史变更数据建立的分类样本模型库,根据变更时间对应的账户会话特征判断变更时间是否为异常变更,通过分类样本模型库实现了AI自动判断,避免了人工介入问题,提升判断效率和准确率,进而解决了由于相关技术中文件异常变更的检测方法依赖于人工介入检测,而导致异常变更判断效率低以及准确率低的技术问题。
可选地,在本实施例中,获取目标文件的变更事件对应的账户会话特征,包括但不限于:通过收集预保护web服务器系统内的目录或文件的变更事件关键信息,提取变更事件的事件日志表;根据事件日志表获取账户会话特征。
具体地,变更事件关键信息的采集流程为:首先为预设监测程序配置账密,同时建立与web服务器系统的调取权限合法关系,在合法授权下监测程序获得对web服务器系统内预保护文件目录及目录下文件夹或单个文件的监控权限。
作为一种优选地实施例,预设监测程序通过调取web服务器系统中能实现文件系统监控机制的API(Linux环境下API函数可以是Inotify、dnotify等;Windows环境下API函数可以是FindFirstChangeNotification、ReadDirectoryChangesW等),对预保护目标目录或文件的新建、删除、修改、重命名等动作事件实施侦听。
当有如上事件发生时,在事件发生时间节点触发预设监测程序的前端页面监控操作生成行为特征,包括记录鼠标移动、点击、键盘输入以及相关时间点等信息状态,作为用户活跃状态凭证记录在该事件的日志表中。
同时,提取如文件变化大小、属性、最近写入时间和最近访问时间等方面的关键信息并生成关键字,通过关键字快速查找调取服务器系统自带的系统日志记录,从日志记录中获取该事件更多的属性,如变更文件名、文件夹名、文件路径、创建时间、创建者、变更时间、执行账户名、账户登录时间、账户登出时间、进程请求与访问信息、事件动作等内容,以结构化数据的方式记录在该事件日志表中,并发送至文件分类样本模型库对应的AI决策系统。
若目标服务器系统的事件日志表内无新事件的生成,则代表无变更发生。
利用系统监控机制的API函数调用和系统自带日志相结合方式,可提高目标事件信息采集效率。可将目录或文件变更事件所获得的变更文件名、文件夹名、文件路径、创建时间、创建者、变更时间、执行账户名、账户登录时间、账户登出时间、进程请求与访问信息、事件动作、用户活跃状态等日志内容,综合作为下一步异常变更的判断依据。
可选地,在本实施例中,在通过文件分类样本模型库,根据账户会话特征确定变更事件是否为异常变更之前,还包括但不限于:根据预保护web服务器系统内的目录或文件的历史变更数据生成样本数据;根据样本数据建立文件分类样本模型库。
具体地,在本实施例中,根据预保护web服务器系统内的目录或文件的历史变更数据生成原始数据,通过FastText算法机制对原始数据进行分类,作为建立文件分类样本模型库的样本数据,得到初步的样本数据的数据集。在AI决策系统中通过文本分类算法对该数据集进行深度学习训练,生成一个多分类模型,以得到文件分类样本模型库。
可选地,在本实施例中,根据样本数据建立文件分类样本模型库,包括但不限于:依次根据样本数据对应的关联执行程序信息、系统文件变更条件进行变更异常判断,并根据变更异常判断的结果进行标注;依次根据合法账户白名单、用户活跃状态信息对样本数据中的账户信息进行变更异常判断,并根据变更异常判断的结果进行标注,以得到文件分类样本模型库。
具体地,当AI决策系统接收到监测程序发送来的含有表征某一目录或文件发生变更的日志表时,如图2所示的变更事件的异常变更判断的流程示意图,决策系统会分别进行下述步骤S1和步骤S2的判断流程,避免因系统自动维护或权限用户自主操作进行的文件变更操作被误检为异常操作,以至于被系统自动进行原始文件保留造成资源浪费的情况。
S1,系统自动变更判断;
具体地,在文件分类样本模型库对应的AI决策系统接收到监测程序发送来的含有表征某一目录或文件发生变更的日志表时,根据日志表中的信息进行变更事件的异常变更判断。
首先从收到的日志表中提取事件的关联执行程序信息,如“关联的变更文件名、文件路径、变更时间、变更执行账户名、变更执行账户登录登出时间、进程请求与访问信息、事件动作、用户活跃状态”等,并同时将获取到的关联变更文件事件的属性信息发送到AI决策系统,通过FastText算法机制进行分类,作为建立文件分类样本模型库的原始数据来源,为下一步建立文件分类样本模型库提供依据。
将以上分类样本模型的原始数据,得到初步的样本数据的数据集。在AI决策系统中通过文本分类算法对该数据集进行深度学习训练,生成一个多分类模型。当目标变更文件所涉及的文件名命名规则(如:创建时间、创建者、创建格式、关联执行程序等)、文件所在目录、文件变更时间、文件最后执行变更者信息(如:执行程序关联账户名)等符合系统文件变更条件时,可判定当次文件变更事件为正常并标注为“system”,并完善文件分类样本模型。
当目标变更文件所涉及的文件最后执行变更者信息(如:执行程序关联账户名)为已知非系统用户时,可判定为“有权限账户自主变更“并标注为user,并同时完善文件分类样本模型。
S2,有权限账户自主变更判断;
接下来,通过日志表中事件关联执行程序的“账户名、账户登录时间、账户登出时间、进程请求与访问信息、事件动作、用户活跃状态”等信息,定位事件的执行关联账户。通过与预先设立的合法账户白名单做比对,判断账户是否为已登记合法用户所执行的操作。
如果是,需通过日志表内“用户活跃状态、进程请求与访问信息、事件动作、变更时间、执行账户名”等信息做进一步判别,通过事件相关动作时间与步骤一所记录用户活跃状态特征时间对比。若未出现时间点偏,则确定该次文件变更为正常变更操作。
通过上述示例,依次根据样本数据对应的关联执行程序信息、系统文件变更条件,然后依次根据合法账户白名单、用户活跃状态信息对样本数据中的账户信息进行变更异常判断,根据判断结果进行标注,以建立文件分类样本模型库,使得得到的文件分类样本模型库分类更加准确。
可选地,在本实施例中,依次根据样本数据对应的关联执行程序信息、系统文件变更条件进行变更异常判断,并根据变更异常判断的结果进行标注,包括但不限于:在样本数据中历史变更事件与文件分类样本模型库不匹配时,根据历史变更事件建立判断流程;将判断流程添加至文件分类样本模型库。
具体地,通过已建立的文件分类样本模型库,为后期判别变更事件提供快速参照基准,当变更事件不能穷尽匹配文件分类样本模型库时,则作为新的变更事件通过执行上述步骤S1重新判定并建立system、user种类的数据集的文件分类样本模型库。
因此通过AI决策系统不断完善system、user种类的数据集的文件分类样本模型库,可提高下次变更事件的异常变更判断的效率和精准性。
通过本发明实施例,获取目标文件的变更事件对应的账户会话特征,其中,账户会话特征用于表示变更事件对应的用户信息;通过文件分类样本模型库,根据账户会话特征确定变更事件是否为异常变更,其中,文件分类样本模型库是根据历史变更数据建立的;若变更事件为异常变更,进行异常变更预警。通过由历史变更数据建立的分类样本模型库,根据变更时间对应的账户会话特征判断变更时间是否为异常变更,通过分类样本模型库实现了AI自动判断,避免了人工介入问题,提升判断效率和准确率,进而解决了由于相关技术中文件异常变更的检测方法依赖于人工介入检测,而导致异常变更判断效率低以及准确率低的技术问题。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实文件异常变更的预警方法的文件异常变更的预警装置,如图3所示,该装置包括:
获取模块30,用于获取目标文件的变更事件对应的账户会话特征,其中,所述账户会话特征用于表示所述变更事件对应的用户信息;
判断模块32,用于通过文件分类样本模型库,根据所述账户会话特征确定所述变更事件是否为异常变更,其中,所述文件分类样本模型库是根据历史变更数据建立的;
预警模块34,用于若所述变更事件为异常变更,进行异常变更预警。
可选地,在本实施例中,所述获取模块30包括:
监测子模块,用于通过收集预保护web服务器系统内的目录或文件的变更事件关键信息,提取所述变更事件的事件日志表;
获取子模块,用于根据所述事件日志表获取所述账户会话特征。
可选地,在本实施例中,所述装置还包括:
处理模块,用于在所述通过文件分类样本模型库,根据所述账户会话特征确定所述变更事件是否为异常变更之前,根据预保护web服务器系统内的目录或文件的所述历史变更数据生成样本数据;
建模模块,用于根据所述样本数据建立所述文件分类样本模型库。
可选地,在本实施例中,所述建模模块包括:
第一判断子模块,用于依次根据所述样本数据对应的关联执行程序信息、系统文件变更条件进行变更异常判断,并根据所述变更异常判断的结果进行标注;
第二判断子模块,用于依次根据合法账户白名单、用户活跃状态信息对所述样本数据中的账户信息进行变更异常判断,并根据所述变更异常判断的结果进行标注,以得到所述文件分类样本模型库。
可选地,在本实施例中,所述第一判断子模块包括:
第一处理单元,用于在所述样本数据中历史变更事件与文件分类样本模型库不匹配时,根据所述历史变更事件建立判断流程;
第二处理单元,用于将所述判断流程添加至所述文件分类样本模型库。
通过本实施例,获取目标文件的变更事件对应的账户会话特征,其中,账户会话特征用于表示变更事件对应的用户信息;通过文件分类样本模型库,根据账户会话特征确定变更事件是否为异常变更,其中,文件分类样本模型库是根据历史变更数据建立的;若变更事件为异常变更,进行异常变更预警。通过由历史变更数据建立的分类样本模型库,根据变更时间对应的账户会话特征判断变更时间是否为异常变更,通过分类样本模型库实现了AI自动判断,避免了人工介入问题,提升判断效率和准确率,进而解决了由于相关技术中文件异常变更的检测方法依赖于人工介入检测,而导致异常变更判断效率低以及准确率低的技术问题。
实施例3
根据本发明实施例,还提供了一种电子设备,包括处理器,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如上所述的文件异常变更的预警方法的步骤。
可选地,在本实施例中,存储器被设置为存储用于执行以下步骤的程序代码:
S1,获取目标文件的变更事件对应的账户会话特征,其中,所述账户会话特征用于表示所述变更事件对应的用户信息;
S2,通过文件分类样本模型库,根据所述账户会话特征确定所述变更事件是否为异常变更,其中,所述文件分类样本模型库是根据历史变更数据建立的;
S3,若所述变更事件为异常变更,进行异常变更预警。
可选地,本实施例中的具体示例可以参考上述实施例1中所描述的示例,本实施例在此不再赘述。
实施例4
本发明的实施例还提供了一种可读存储介质,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如上所述的文件异常变更的预警方法的步骤。
可选地,在本实施例中,可读存储介质被设置为存储用于执行以下步骤的程序代码:
S1,获取目标文件的变更事件对应的账户会话特征,其中,所述账户会话特征用于表示所述变更事件对应的用户信息;
S2,通过文件分类样本模型库,根据所述账户会话特征确定所述变更事件是否为异常变更,其中,所述文件分类样本模型库是根据历史变更数据建立的;
S3,若所述变更事件为异常变更,进行异常变更预警。
可选地,可读存储介质还被设置为存储用于执行上述实施例1中的方法中所包括的步骤的程序代码,本实施例中对此不再赘述。
可选地,在本实施例中,上述可读存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,本实施例中的具体示例可以参考上述实施例1中所描述的示例,本实施例在此不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种文件异常变更的预警方法,其特征在于,所述方法包括:
获取目标文件的变更事件对应的账户会话特征,其中,所述账户会话特征用于表示所述变更事件对应的用户信息;
通过文件分类样本模型库,根据所述账户会话特征确定所述变更事件是否为异常变更,其中,所述文件分类样本模型库是根据历史变更数据建立的;
若所述变更事件为异常变更,进行异常变更预警。
2.根据权利要求1所述的方法,其特征在于,所述获取目标文件的变更事件对应的账户会话特征,包括:
通过收集预保护web服务器系统内的目录或文件的变更事件关键信息,提取所述变更事件的事件日志表;
根据所述事件日志表获取所述账户会话特征。
3.根据权利要求1所述的方法,其特征在于,在所述通过文件分类样本模型库,根据所述账户会话特征确定所述变更事件是否为异常变更之前,还包括:
根据预保护web服务器系统内的目录或文件的所述历史变更数据生成样本数据;
根据所述样本数据建立所述文件分类样本模型库。
4.根据权利要求3所述的方法,其特征在于,所述根据所述样本数据建立所述文件分类样本模型库,包括:
依次根据所述样本数据对应的关联执行程序信息、系统文件变更条件进行变更异常判断,并根据所述变更异常判断的结果进行标注;
依次根据合法账户白名单、用户活跃状态信息对所述样本数据中的账户信息进行变更异常判断,并根据所述变更异常判断的结果进行标注,以得到所述文件分类样本模型库。
5.根据权利要求4所述的方法,其特征在于,所述依次根据所述样本数据对应的关联执行程序信息、系统文件变更条件进行变更异常判断,并根据所述变更异常判断的结果进行标注,包括:
在所述样本数据中历史变更事件与文件分类样本模型库不匹配时,根据所述历史变更事件建立判断流程;
将所述判断流程添加至所述文件分类样本模型库。
6.一种文件异常变更的预警装置,其特征在于,所述装置包括:
获取模块,用于获取目标文件的变更事件对应的账户会话特征,其中,所述账户会话特征用于表示所述变更事件对应的用户信息;
判断模块,用于通过文件分类样本模型库,根据所述账户会话特征确定所述变更事件是否为异常变更,其中,所述文件分类样本模型库是根据历史变更数据建立的;
预警模块,用于若所述变更事件为异常变更,进行异常变更预警。
7.根据权利要求6所述的装置,其特征在于,所述获取模块包括:
监测子模块,用于通过收集预保护web服务器系统内的目录或文件的变更事件关键信息,提取所述变更事件的事件日志表;
获取子模块,用于根据所述事件日志表获取所述账户会话特征。
8.根据权利要求6所述的装置,其特征在于,还包括:
处理模块,用于在所述通过文件分类样本模型库,根据所述账户会话特征确定所述变更事件是否为异常变更之前,根据预保护web服务器系统内的目录或文件的所述历史变更数据生成样本数据;
建模模块,用于根据所述样本数据建立所述文件分类样本模型库。
9.根据权利要求8所述的装置,其特征在于,所述建模模块包括:
第一判断子模块,用于依次根据所述样本数据对应的关联执行程序信息、系统文件变更条件进行变更异常判断,并根据所述变更异常判断的结果进行标注;
第二判断子模块,用于依次根据合法账户白名单、用户活跃状态信息对所述样本数据中的账户信息进行变更异常判断,并根据所述变更异常判断的结果进行标注,以得到所述文件分类样本模型库。
10.根据权利要求9所述的装置,其特征在于,所述第一判断子模块包括:
第一处理单元,用于在所述样本数据中历史变更事件与文件分类样本模型库不匹配时,根据所述历史变更事件建立判断流程;
第二处理单元,用于将所述判断流程添加至所述文件分类样本模型库。
11.一种电子设备,其特征在于,包括处理器,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求1-5所述的文件异常变更的预警方法的步骤。
12.一种可读存储介质,其特征在于,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如权利要求1-5所述的文件异常变更的预警法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211712287.1A CN116185785A (zh) | 2022-12-29 | 2022-12-29 | 文件异常变更的预警方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211712287.1A CN116185785A (zh) | 2022-12-29 | 2022-12-29 | 文件异常变更的预警方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116185785A true CN116185785A (zh) | 2023-05-30 |
Family
ID=86439545
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211712287.1A Pending CN116185785A (zh) | 2022-12-29 | 2022-12-29 | 文件异常变更的预警方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116185785A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117272392A (zh) * | 2023-11-21 | 2023-12-22 | 国网四川省电力公司信息通信公司 | 用于终端的数据安全保护与备份控制方法和系统 |
-
2022
- 2022-12-29 CN CN202211712287.1A patent/CN116185785A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117272392A (zh) * | 2023-11-21 | 2023-12-22 | 国网四川省电力公司信息通信公司 | 用于终端的数据安全保护与备份控制方法和系统 |
| CN117272392B (zh) * | 2023-11-21 | 2024-03-15 | 国网四川省电力公司信息通信公司 | 用于终端的数据安全保护与备份控制方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110399925B (zh) | 账号的风险识别方法、装置及存储介质 | |
| JP4152108B2 (ja) | 脆弱点監視方法及びシステム | |
| CN108268354A (zh) | 数据安全监控方法、后台服务器、终端及系统 | |
| CN107454103B (zh) | 基于时间线的网络安全事件过程分析方法及系统 | |
| US10652255B2 (en) | Forensic analysis | |
| CN107786551B (zh) | 访问内网服务器的方法及控制访问内网服务器的装置 | |
| JP6282217B2 (ja) | 不正プログラム対策システムおよび不正プログラム対策方法 | |
| EP3196798A1 (en) | Context-sensitive copy and paste block | |
| CN104881483B (zh) | 用于Hadoop平台数据泄露攻击的自动检测取证方法 | |
| CN110088744A (zh) | 一种数据库维护方法及其系统 | |
| CN109582504A (zh) | 一种用于苹果设备的数据恢复方法和装置 | |
| CN116185785A (zh) | 文件异常变更的预警方法及装置 | |
| CN110191097B (zh) | 登录页面安全性的检测方法、系统、设备及存储介质 | |
| CN110941632A (zh) | 一种数据库审计方法、装置及设备 | |
| CN110012000A (zh) | 命令检测方法、装置、计算机设备以及存储介质 | |
| CN111988327B (zh) | 威胁行为检测和模型建立方法、装置、电子设备及存储介质 | |
| CN107766737B (zh) | 一种数据库审计方法 | |
| CN109145536A (zh) | 一种网页防篡改方法及装置 | |
| CN108494797B (zh) | 基于虚拟化技术的数据监管方法、系统、设备及存储介质 | |
| CN115242436B (zh) | 一种基于命令行特征的恶意流量检测方法及系统 | |
| CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
| CN111241547A (zh) | 一种越权漏洞的检测方法、装置及系统 | |
| CN115242434A (zh) | 应用程序接口api的识别方法及装置 | |
| US10068094B2 (en) | System and method for tracing data access and detecting abnormality in the same | |
| CN114297657A (zh) | 文件行为检测基线确定及文件行为异常检测方法、装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |