一種Linux下的可疑文件發(fā)現(xiàn)方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域,尤其涉及一種Linux下的可疑文件發(fā)現(xiàn)方法及系統(tǒng)��。
【背景技術(shù)】
[0002]信息時代的來臨�,數(shù)據(jù)的存儲成了必要,文件作為數(shù)據(jù)存儲的方式之一��,也成了大眾關(guān)注的焦點��。其中不乏針對文件的各種惡意行為���,因此發(fā)現(xiàn)惡意文件�,也成為計算機使用者的職責(zé)�����。
[0003]目前的基于主機的惡意文件檢測方法有兩大類:特征檢測技術(shù)和行為監(jiān)控技術(shù)。前者主要包括基于文件特征碼的檢測技術(shù)�����、文件啟發(fā)式����、文件行為檢測法等。后者主要包括進程隱藏檢測�����、掛鉤函數(shù)檢測以及執(zhí)行路徑分析���。目前惡意文件的檢測技術(shù)必須具有特征���,只有符合特征碼的惡意文件才可以被檢測出來,這在一定程度上存在局限性���,可能存在大量的漏報。
【發(fā)明內(nèi)容】
[0004]針對上述技術(shù)問題�,本發(fā)明提供了一種Linux下的可疑文件發(fā)現(xiàn)方法及系統(tǒng),通過對特定目錄下的所有文件的時間信息進行收集和比較��,通過每個文件自身的時間信息比較,確定是否是可疑文件�����,本發(fā)明所述技術(shù)方案簡單實用�����,能夠有效發(fā)現(xiàn)特定目錄下的可疑文件�。
[0005]Linux環(huán)境下,存在一種儲存文件特性信息的區(qū)域����,叫做〃索引節(jié)點〃,包含以下內(nèi)容:文件的字節(jié)數(shù)����,文件擁有者的用戶標識,文件的組標識�,文件的讀、寫���、執(zhí)行權(quán)限�,鏈接數(shù)�����,文件數(shù)據(jù)所在塊的位置以及文件的時間信息。其中文件的時間信息共有三項:訪問時間�����,修改時間和特性時間��。該發(fā)明便是基于時間信息進行可疑文件的判斷���。
[0006]其中����,所述訪問時間為access time,當(dāng)文件被用戶打開�、讀取或者執(zhí)行時,訪問時間會隨之更新�����,是用戶可操作更改的��;所述修改時間為modify time�,當(dāng)文件內(nèi)容被用戶添加、刪除或者修改時�,修改時間會隨之更新,是用戶可操作更改的����;所述特性時間為changetime,當(dāng)文件的屬性�����,例如文件權(quán)限�、用戶組標識或者用戶標識等信息發(fā)生更改時,特性時間會隨之更新�,是用戶無法操作更改的,由系統(tǒng)更新����。
[0007]本發(fā)明所述的技術(shù)方案是通過對可疑文件的行為特征進行分析后提出的。通常情況下�,惡意代碼感染主機后,會在系統(tǒng)中釋放惡意文件����,所述惡意文件在創(chuàng)建之初,會被初始化時間信息���,即訪問時間�、修改時間和特性時間。而初期這三個時間都是最新的�����,但是惡意文件被寫入內(nèi)容后���,其訪問時間和修改時間會參照目錄下的其他正常文件進行修改�����,從而隱藏自己的真實時間信息����,進行痕跡隱藏�����。此后�����,訪問時間和修改時間基本不變�。隨后因為修改權(quán)限,惡意文件的特性時間會被系統(tǒng)修改,普通用戶是無法操作的���,這是可疑文件的行為特征之一�����。
[0008]惡意文件具有非用戶干預(yù)的自啟動功能,所以其訪問時間在特定啟動時間內(nèi)可能發(fā)生更新���,這是可疑文件的行為特征之二�����。
[0009]針對上述惡意文件的行為特征��,本發(fā)明采用如下方法發(fā)現(xiàn)可疑文件:一種Linux下的可疑文件發(fā)現(xiàn)方法�����,包括:
遍歷特定目錄下的所有文件����,并獲取所有文件的時間信息����,包括:訪問時間���、修改時間和特性時間;
比較所有文件的特性時間����,獲取具備最新特性時間的文件的時間信息;
判斷所述文件的特性時間是否大于修改時間����,若是,則所述文件為可疑文件����,進行后續(xù)檢測,否則所述文件為安全文件�����。
[0010]進一步地����,若所述具備最新特性時間的文件多于一個,則查找在特定啟動時間內(nèi)訪問時間發(fā)生更改的文件�����,并獲取所述文件的時間信息,判斷所述文件的特性時間是否大于修改時間����,若是,則所述文件為可疑文件����,進行后續(xù)檢測����,否則所述文件為安全文件。
[0011]本發(fā)明采用如下系統(tǒng)來發(fā)現(xiàn)可疑文件:一種Linux下的可疑文件發(fā)現(xiàn)系統(tǒng)��,包括: 遍歷模塊�,用于遍歷特定目錄下的所有文件,并獲取所有文件的時間信息��,包括:訪問時間����、修改時間和特性時間;
比較模塊���,用于比較所有文件的特性時間��,獲取具備最新特性時間的文件的時間信息;
判斷模塊��,用于判斷所述文件的特性時間是否大于修改時間��,若是����,則所述文件為可疑文件,進行后續(xù)檢測��,否則所述文件為安全文件����。
[0012]進一步地,若比較模塊發(fā)現(xiàn)所述具備最新特性時間的文件多于一個�����,則判斷模塊進行如下操作:查找在特定啟動時間內(nèi)訪問時間發(fā)生更改的文件��,并獲取所述文件的時間信息����,判斷所述文件的特性時間是否大于修改時間�����,若是�,則所述文件為可疑文件��,進行后續(xù)檢測�,否則所述文件為安全文件。
[0013]綜上所述��,本發(fā)明所述的技術(shù)方案通過分析惡意文件的行為特征����,并基于行為特征對于文件時間信息的影響��,來發(fā)現(xiàn)特定目錄下的可疑文件��。通過遍歷特定目錄下的所有文件��,并收集所有文件的時間信息�����,找出具備最新特性時間的文件��,并比較該文件的修改時間和特性時間,若特性時間大于修改時間���,則說明該文件具備惡意文件的行為特征���,是可疑文件。
[0014]本發(fā)明的有益效果為:本發(fā)明所述的方案不需要進行特征匹配��,只需要獲取文件的時間信息��,并進行比較即可確定是否是可疑文件�。本發(fā)明所述的技術(shù)方案操作簡單并且有效。
【附圖說明】
[0015]為了更清楚地說明本發(fā)明的技術(shù)方案����,下面將對實施例中所需要使用的附圖作簡單地介紹,顯而易見地�����,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例�����,對于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖�����。
[0016]圖1為本發(fā)明提供的一種Linux下的可疑文件發(fā)現(xiàn)方法實施例流程圖�����;
圖2為本發(fā)明提供的一種Linux下的可疑文件發(fā)現(xiàn)系統(tǒng)實施例結(jié)構(gòu)圖�。
【具體實施方式】
[0017]本發(fā)明給出了一種Linux下的可疑文件發(fā)現(xiàn)方法及系統(tǒng),為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實施例中的技術(shù)方案����,并使本發(fā)明的上述目的�、特征和優(yōu)點能夠更加明顯易懂,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細的說明:
本發(fā)明首先提供了一種Linux下的可疑文件發(fā)現(xiàn)方法實施例�����,如圖1所示�,包括:
S101遍歷特定目錄下的所有文件��,并獲取所有文件的時間信息��,包括:訪問時間����、修改時間和特性時間�;
S102比較所有文件的特性時間,獲取具備最新特性時間的文件的時間信息����;
S103判斷所述文件的特性時間是否大于修改時間,若是�,則所述文件為可疑文件,進行后續(xù)檢測���,否則所述文件為安全文件�����。
[0018]進一步地����,若所述具備最新特性時間的文件多于一個,則查找在特定啟動時間內(nèi)訪問時間發(fā)生更改的文件���,并獲取所述文件的時間信息��,判斷所述文件的特性時間是否大于修改時間���,若是,則所述文件為可疑文件��,進行后續(xù)檢測�,否則所述文件為安全文件。
[0019]其中����,所述特定啟動時間是,惡意文件的自啟動時間或惡意載體的間隔性訪問時間�,該特定啟動時間需要進行一段時間的觀察確定。
[0020]本發(fā)明其次提供了一種Linux下的可疑文件發(fā)現(xiàn)系統(tǒng)實施例�����,如圖2所示��,包括: 遍歷模塊201���,用于遍歷特定目錄下的所有文件�,并獲取所有文件的時間信息��,包括:
訪問時間��、修改時間和特性時間�����;
比較模塊202���,用于比較所有文件的特性時間����,獲取具備最新特性時間的文件的時間信息;
判斷模塊203�����,用于判斷所述文件的特性時間是否大于修改時間��,若是�����,則所述文件為可疑文件,進行后續(xù)檢測��,否則所述文件為安全文件�����。
[0021]進一步地����,若比較模塊發(fā)現(xiàn)所述具備最新特性時間的文件多于一個,則判斷模塊進行如下操作:查找在特定啟動時間內(nèi)訪問時間發(fā)生更改的文件���,并獲取所述文件的時間信息����,判斷所述文件的特性時間是否大于修改時間��,若是�����,則所述文件為可疑文件����,進行后續(xù)檢測�,否則所述文件為安全文件�。
[0022]綜上所述���,本發(fā)明公開的方法及系統(tǒng)實施例��,通過對惡意文件本身的行為特征進行分析���,并通過定時查看特定目錄下的所有文件,通過獲取所有文件的時間信息����,找到具備最新特性時間的文件的時間信息;若該文件的特性時間大于修改時間�����,則認為該文件為可疑文件�,因為其具備惡意文件的行為特征。本發(fā)明所述的技術(shù)方案較比傳統(tǒng)方案更加簡單易用�����,其檢測效果也更好���,當(dāng)發(fā)現(xiàn)可疑文件后�����,可以根據(jù)需要進行更進一步的檢測和處理���。
[0023]以上實施例用以說明而非限制本發(fā)明的技術(shù)方案��。不脫離本發(fā)明精神和范圍的任何修改或局部替換���,均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
【主權(quán)項】
1.一種Linux下的可疑文件發(fā)現(xiàn)方法����,其特征在于,包括: 遍歷特定目錄下的所有文件�����,并獲取所有文件的時間信息���,包括:訪問時間��、修改時間和特性時間����; 比較所有文件的特性時間,獲取具備最新特性時間的文件的時間信息���; 判斷所述文件的特性時間是否大于修改時間,若是����,則所述文件為可疑文件,進行后續(xù)檢測��,否則所述文件為安全文件�����。2.如權(quán)利要求1所述的方法���,其特征在于����,若所述具備最新特性時間的文件多于一個����,則查找在特定啟動時間內(nèi)訪問時間發(fā)生更改的文件�,并獲取所述文件的時間信息���,判斷所述文件的特性時間是否大于修改時間�����,若是����,則所述文件為可疑文件����,進行后續(xù)檢測,否則所述文件為安全文件�。3.—種Linux下的可疑文件發(fā)現(xiàn)系統(tǒng),其特征在于���,包括: 遍歷模塊����,用于遍歷特定目錄下的所有文件���,并獲取所有文件的時間信息����,包括:訪問時間、修改時間和特性時間�; 比較模塊,用于比較所有文件的特性時間�����,獲取具備最新特性時間的文件的時間信息; 判斷模塊��,用于判斷所述文件的特性時間是否大于修改時間���,若是,則所述文件為可疑文件����,進行后續(xù)檢測,否則所述文件為安全文件�。4.如權(quán)利要求3所述的系統(tǒng),其特征在于�,若比較模塊發(fā)現(xiàn)所述具備最新特性時間的文件多于一個,則判斷模塊進行如下操作:查找在特定啟動時間內(nèi)訪問時間發(fā)生更改的文件���,并獲取所述文件的時間信息��,判斷所述文件的特性時間是否大于修改時間��,若是�����,則所述文件為可疑文件���,進行后續(xù)檢測���,否則所述文件為安全文件。
【專利摘要】本發(fā)明公開了一種Linux下的可疑文件發(fā)現(xiàn)方法��,包括:遍歷特定目錄下的所有文件��,并獲取所有文件的時間信息�,包括:訪問時間、修改時間和特性時間��;比較所有文件的特性時間�����,獲取具備最新特性時間的文件的時間信息;判斷所述文件的特性時間是否大于修改時間���,若是��,則所述文件為可疑文件�����,進行后續(xù)檢測�����,否則所述文件為安全文件�。本發(fā)明同時還公開了一種Linux下的可疑文件發(fā)現(xiàn)系統(tǒng)����。本發(fā)明所述方案能夠幫助普通用戶發(fā)現(xiàn)可疑文件����,保證系統(tǒng)安全使用。
【IPC分類】G06F21/55
【公開號】CN105488390
【申請?zhí)枴緾N201410761534
【發(fā)明人】湯洪飛, 張念念, 李柏松
【申請人】哈爾濱安天科技股份有限公司
【公開日】2016年4月13日
【申請日】2014年12月13日