CN103902855B - 一种文件篡改检测及修复的方法和*** - Google Patents

一种文件篡改检测及修复的方法和*** Download PDF

Info

Publication number
CN103902855B
CN103902855B CN201310689374.4A CN201310689374A CN103902855B CN 103902855 B CN103902855 B CN 103902855B CN 201310689374 A CN201310689374 A CN 201310689374A CN 103902855 B CN103902855 B CN 103902855B
Authority
CN
China
Prior art keywords
file
normality
newly
hash
increased
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310689374.4A
Other languages
English (en)
Other versions
CN103902855A (zh
Inventor
任洪伟
刘佳男
李柏松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Co Ltd filed Critical Harbin Antiy Technology Co Ltd
Priority to CN201310689374.4A priority Critical patent/CN103902855B/zh
Publication of CN103902855A publication Critical patent/CN103902855A/zh
Application granted granted Critical
Publication of CN103902855B publication Critical patent/CN103902855B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1435Saving, restoring, recovering or retrying at system level using file system or storage system metadata

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Library & Information Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明提供了一种文件篡改检测及修复的方法及***,所述方法为:扫描获得***中所有可信文件的HASH值及文件路径,并进行存储;监控***中的所有文件,与HASH库对比,判断是否有异常文件或新增文件,则根据常态规则库及常态模型进行匹配,如果常态模型匹配成功,则将匹配结果的规则添加到常态规则库中,否则提示用户进行处理。通过本发明的方法,能够有效识别***中被篡改的文件或新增文件,并且常态规则库及常态模型的组合,能够对实时改变的文件或目录及时加入常态规则库,实现常态规则的自学习,减少用户操作。

Description

一种文件篡改检测及修复的方法和***
技术领域
本发明涉及计算机安全领域,特别涉及一种文件篡改检测及修复的方法和***。
背景技术
随着互联网技术的发展,计算机越发普及,一些存储于个人计算机或企业计算机、服务器中的重要文件越来越多,同时计算机病毒也在不断发展,如何保证存储文件的安全,是当前需要关注的问题。现在的一些感染式病毒或入侵者,尝尝会破坏或篡改计算机中的文件,而现有技术公知的方法中,对文件修复的方案,只针对***文件进行修复,而对于大多数用户来说,存储于计算机上的个人文件或企业文件更加重要,而现有方法中,都是通过已知***文件的备份来对***文件进行检测及修复,无法识别个人文件等,因此更加需要一种能够针对计算机中任何文件进行监控和修改的方法。
发明内容
本发明提供了一种文件篡改检测及修复的方法和***,解决了现有文件检测只针对***文件,无法检测及修复用户存储的文件的问题,能够防范感染式病毒等对文件的修改,并实时监控及修复。
本发明提供了一种文件篡改检测及修复的方法,包括:
对当前***全盘扫描,获取全部文件HASH及文件路径,并构建本地HASH库;即本地HASH对照表;
根据HASH库中的文件路径,检测所有文件,将判定为恶意的文件清除,并删除HASH库中对应的文件HASH及文件路径;检测文件可以通过利用已知的恶意代码检测方法和模块来实现;
将修改后的HASH库中的所有对应文件,生成本地***镜像文件存储;
监控当前***中所有文件的HASH,并与HASH库比对,判断是否有异常文件或新增文件,如果是,则将所述异常文件或新增文件发送到常态规则库检测,否则继续监控;
常态规则库根据预先存储的已知常规规则与异常文件或新增文件匹配,如果匹配成功,则***放行,否则将所述异常文件或新增文件进行常态模型匹配;
获取所述异常文件或新增文件的事件属性,并与常态模型关联匹配,如果匹配成功,则将关联匹配后的规则添加到常态规则库中,并将所述异常文件或新增文件更新到本地***镜像文件中;否则,提示用户进行处理。
所述的方法中,还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
所述的方法中,所述常态规则库中预先存储的已知常规规则为,根据用户或***的正常操作或经常使用的已知常规操作提取的规则。当然还包括用户经常使用的第三方软件的常规操作。
所述的方法中,所述的常态模型,通过对所有文件常态监控,并对***中所有修改或新增文件事件进行日志记录,及修改或新增文件过程中的元属性信息,进行关联分析得出常态模型。
所述的修改或新增文件过程中的元属性信息至少包括:***IP、***用户、修改或新增文件时间、文件目录及文件格式。
所述的方法中,所述提示用户进行处理还包括:提示用户选择进行文件修复,或添加到HASH库,或添加到常态规则库。
所述的方法中,如果用户选择进行文件修复,则从存储的本地***镜像文件中或云端服务器中更新;如果用户选择添加到HASH库,则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中;如果用户选择添加到常态规则库,则需要用户手动录入规则,并将所述规则添加到常态规则库。
本发明还提供一种文件篡改检测及修复的***,包括:
扫描模块,用于对当前***全盘扫描,获取全部文件HASH及文件路径,并构建本地HASH库;
检测模块,用于根据HASH库中的文件路径,检测所有文件,将判定为恶意的文件清除,并删除HASH库中对应的文件HASH及文件路径;
备份模块,用于将修改后的HASH库中的所有对应文件,生成本地***镜像文件存储;
监控模块,用于监控当前***中所有文件的HASH,并与HASH库比对,判断是否有异常文件或新增文件,如果是,则将所述异常文件或新增文件发送到常态规则库检测,否则继续监控;
常态规则库,用于根据预先存储的已知常规规则与异常文件或新增文件匹配,如果匹配成功,则***放行,否则将所述异常文件或新增文件进行常态模型匹配;
常态模型匹配模块,用于获取所述异常文件或新增文件的事件属性,并与常态模型关联匹配,如果匹配成功,则将关联匹配后的规则添加到常态规则库中,并将所述异常文件或新增文件更新到本地***镜像文件中;否则,提示用户进行处理。
所述的***中,还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
所述的***中,所述常态规则库中预先存储的已知常规规则为,根据用户或***的正常操作或经常使用的已知常规操作提取的规则。
所述的***中,所述的常态模型,为根据***中所有修改或新增文件的事件记录,及修改或新增文件过程中的元属性信息,进行关联分析得出。
所述的***中,所述修改或新增文件过程中的元属性信息至少包括:***IP、***用户、修改或新增文件时间、文件目录及文件格式。
所述的***中,所述提示用户进行处理还包括:提示用户选择进行文件修复,或添加到HASH库,或添加到常态规则库。
所述的***中,如果用户选择进行文件修复,则从存储的本地***镜像文件中或云端服务器中更新;如果用户选择添加到HASH库,则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中;如果用户选择添加到常态规则库,则需要用户手动录入规则,并将所述规则添加到常态规则库。
本发明的优势在于,能够对***中所有的文件进行监控,并对被判定为篡改的文件进行修复;根据***或用户常规操作提取规则,形成常态规则库,能够对***中被修改过或新增文件进行判定,在常态规则库无法判定时,还可以通过常态模型进行关联分析,来判定异常文件或新增文件是否可疑;同时常态模型还能够将匹配后新增的规则反馈到常态规则库中,试常态规则库能够主动学习更新。
本发明提供了一种文件篡改检测及修复的方法及***,所述方法为:扫描获得***中所有可信文件的HASH值及文件路径,并进行存储;监控***中的所有文件,与HASH库对比,判断是否有异常文件或新增文件,则根据常态规则库及常态模型进行匹配,如果常态模型匹配成功,则将匹配结果的规则添加到常态规则库中,否则提示用户进行处理。通过本发明的方法,能够有效识别***中被篡改的文件或新增文件,并且常态规则库及常态模型的组合,能够对实时改变的文件或目录及时加入常态规则库,实现常态规则的自学习,减少用户操作。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明文件篡改检测及修复的方法流程图;
图2为本发明文件篡改检测及修复的***结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供了一种文件篡改检测及修复的方法和***,解决了现有文件检测只针对***文件,无法检测及修复用户存储的文件的问题,能够防范感染式病毒等对文件的修改,并实时监控及修复。
本发明提供了一种文件篡改检测及修复的方法,如图1所示,包括:
S101:对当前***全盘扫描,获取全部文件HASH及文件路径,并构建本地HASH库;即本地HASH对照表;
S102:根据HASH库中的文件路径,检测所有文件,将判定为恶意的文件清除,并删除HASH库中对应的文件HASH及文件路径;
检测文件可以通过利用已知的恶意代码检测方法和模块来实现,现在对于恶意代码检测的方法比较成熟,方式也很多,通过进行恶意代码检测,能够对全盘所有文件进行初步定性,对于检出的恶意文件,进行删除,并更新本地HASH库,能够保证本地HASH库中的文件全部为可信文件;
S103:将修改后的HASH库中的所有对应文件,生成本地***镜像文件存储;同时还可以将文件上传到云端服务器备份;
S104:监控当前***中所有文件的HASH,并与HASH库比对,判断是否有异常文件或新增文件,如果是,则将所述异常文件或新增文件发送到常态规则库检测,否则继续监控;
根据得到的文件计算文件HASH和获得文件路径,使用HASH库进行检测,如果存在且两者完全一样则认为此文件未被修改,如果文件HASH或文件路径有一个不匹配,则认为当前文件为异常文件或新增文件;
S105:常态规则库根据预先存储的已知常规规则与异常文件或新增文件匹配,如果匹配成功,则***放行,否则将所述异常文件或新增文件进行常态模型匹配;
所述常态规则库中预先存储的已知常规规则为,根据用户或***的正常操作或经常使用的已知常规操作提取的规则。当然还包括用户经常使用的第三方软件的常规操作。如第三方软件都会有一个固定文件夹存储所产生的或下载文件;
常态规则库主要是在初始化时通过前期的收集整理,用户设定和***设定的规则,比如***日志文件或目录、***临时文件或目录、***补丁更新文件或目录、可信第三方软件的相关文件或目录、用户自己制定的文件或目录等。对于此类目录,认为是可信的,并根据文件或目录的形态,以正则表达式的方式提取相关规则,并组成初始的常态规则库。同时常态规则库还能够根据常态模型进行学习补充。
对于常态规则库中的规则提取,以下举例说明:
1.对于文件,在同一目录下,文件HASH不同,但文件名类似,根据文件名提取同一规则,例如:
C:/第三方软件A/log/134785269.txt;
C:/第三方软件A/log/135386569.txt;
C:/第三方软件A/log/234.txt;
C:/第三方软件A/log/135895269.jpg;
在以上文件形态中,认为前两种格式为可信文件,后两种为不可信文件,则提取规则为:C:/第三方软件A/log/ \d{10}.txt。
2.对于目录来说,对指定目录下的文件,认为可以不属于监控范围,并根据文件路径提取规则,比如***的临时目录,每访问一次浏览器,都会将页面上的所有媒体文件、cookie信息文件等保存到该目录下,因此将此目录设定到常态规则库中,例如:
C:/Users/用户名/AppData/Local/Microsoft/Windows/Temporary Internet Files/;
对于以上目录提取的规则如下:
C:/Users/用户名/AppData/Local/Microsoft/Windows/Temporary Internet Files/*。
3.对于非指定文件和文件目录的情况,基于对文件和目录整体的形态进行提取规则。例如:
D:/work/2013-10-01/test.txt;
D:/work/2013-10-02/test2.txt;
D:/work/2013-10-01/test.exe;
D:/work/abc/test.txt;
比如以上文件和目录形态中,仅对前两类形态认为是可信的,而对其他认为是不可信的,则可提取规则如下:D:/work/[19|20]\d{3}-\d{2}-\d{2}/.+.txt。
S106:获取所述异常文件或新增文件的事件属性,并与常态模型关联匹配,如果匹配成功,则将关联匹配后的规则添加到常态规则库中,并将所述异常文件或新增文件更新到本地***镜像文件中;否则,提示用户进行处理。
常态模型,主要是针对***中所有文件的监控,基于***及用户习惯,记录文件修改或新增的记录日志,从中统计得出规律,是对***中日志的长期记录对于后续的每一次修改,都增加到常态模型统计记录中。根据常态模型,识别常态规则库中未能识别的文件,如果属于常态模型范围内,则认为可信,并将得到的规则添加到常态规则库中,以达到常态规则库自更新学习的目的。
对于常态模型的关联统计识别范围举例如下:
海量的修改文件或新增文件事件库;
海量的修改文件或新增文件事件库;
根据记录的事件元属性,对指定文件或目录修改/新增的频率TOP 统计;
根据记录的事件元属性,对指定文件或目录修改/新增的时间段TOP 统计;
根据记录的事件元属性,对指定文件或目录修改/新增的***IP主机TOP统计;
根据记录的事件元属性,对指定文件或目录修改/新增的***用户TOP统计;
根据记录的事件元属性,对指定文件的文件格式的TOP统计;
根据记录的事件元属性,统计分析出指定文件的目录的TOP统计。
基于以上数据的关联分析,从中得到***或用户修改、新增文件或目录的常态习惯,得到常态模型,用以进行检测。
所述的方法中,还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
所述的方法中,所述的常态模型,通过对所有文件常态监控,并对***中所有修改或新增文件事件进行日志记录,及修改或新增文件过程中的元属性信息,进行关联分析得出常态模型。
所述的修改或新增文件过程中的元属性信息至少包括:***IP、***用户、修改或新增文件时间、文件目录及文件格式。
所述的方法中,所述提示用户进行处理还包括:提示用户选择进行文件修复,或添加到HASH库,或添加到常态规则库。
所述的方法中,如果用户选择进行文件修复,则从存储的本地***镜像文件中或云端服务器中更新,当然还可以通过P2P的方式,从其他设备***上查找相同文件恢复;如果用户选择添加到HASH库,则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中;由于已知的常态规则库或常态模型中都未能匹配到当前文件名及文件目录,即为不常修改或添加的文件或目录,***认为是可疑的事件,需要用户自行判断,有可能是用户临时需要操作的文件或目录,也可能是用户认为此文件或目录为可信的,因此当用户认为文件可信时,则可以手动增加到HASH库中;如果用户选择添加到常态规则库,则需要用户手动录入规则,并将所述规则添加到常态规则库。
本发明还提供一种文件篡改检测及修复的***,如图2所示,包括:
扫描模块201,用于对当前***全盘扫描,获取全部文件HASH及文件路径,并构建本地HASH库;
检测模块202,用于根据HASH库中的文件路径,检测所有文件,将判定为恶意的文件清除,并删除HASH库中对应的文件HASH及文件路径;
备份模块203,用于将修改后的HASH库中的所有对应文件,生成本地***镜像文件存储;
监控模块204,用于监控当前***中所有文件的HASH,并与HASH库比对,判断是否有异常文件或新增文件,如果是,则将所述异常文件或新增文件发送到常态规则库检测,否则继续监控;
常态规则库205,用于根据预先存储的已知常规规则与异常文件或新增文件匹配,如果匹配成功,则***放行,否则将所述异常文件或新增文件进行常态模型匹配;
常态模型匹配模块206,用于获取所述异常文件或新增文件的事件属性,并与常态模型关联匹配,如果匹配成功,则将关联匹配后的规则添加到常态规则库中,并将所述异常文件或新增文件更新到本地***镜像文件中;否则,提示用户进行处理。
所述的***中,还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
所述的***中,所述常态规则库中预先存储的已知常规规则为,根据用户或***的正常操作或经常使用的已知常规操作提取的规则。
所述的***中,所述的常态模型,为根据***中所有修改或新增文件的事件记录,及修改或新增文件过程中的元属性信息,进行关联分析得出。
所述的***中,所述修改或新增文件过程中的元属性信息至少包括:***IP、***用户、修改或新增文件时间、文件目录及文件格式。
所述的***中,所述提示用户进行处理还包括:提示用户选择进行文件修复,或添加到HASH库,或添加到常态规则库。
所述的***中,如果用户选择进行文件修复,则从存储的本地***镜像文件中或云端服务器中更新;如果用户选择添加到HASH库,则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中;如果用户选择添加到常态规则库,则需要用户手动录入规则,并将所述规则添加到常态规则库。
本发明的优势在于,能够对***中所有的文件进行监控,并对被判定为篡改的文件进行修复;根据***或用户常规操作提取规则,形成常态规则库,能够对***中被修改过或新增文件进行判定,在常态规则库无法判定时,还可以通过常态模型进行关联分析,来判定异常文件或新增文件是否可疑;同时常态模型还能够将匹配后新增的规则反馈到常态规则库中,试常态规则库能够主动学习更新。
本发明提供了一种文件篡改检测及修复的方法及***,所述方法为:扫描获得***中所有可信文件的HASH值及文件路径,并进行存储;监控***中的所有文件,与HASH库对比,判断是否有异常文件或新增文件,则根据常态规则库及常态模型进行匹配,如果常态模型匹配成功,则将匹配结果的规则添加到常态规则库中,否则提示用户进行处理。通过本发明的方法,能够有效识别***中被篡改的文件或新增文件,并且常态规则库及常态模型的组合,能够对实时改变的文件或目录及时加入常态规则库,实现常态规则的自学习,减少用户操作。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (14)

1.一种文件篡改检测及修复的方法,其特征在于,包括:
对当前***全盘扫描,获取全部文件HASH及文件路径,并构建本地HASH库;
根据HASH库中的文件路径,检测所有文件,将判定为恶意的文件清除,并删除HASH库中对应的文件HASH及文件路径;
将修改后的HASH库中的所有对应文件,生成本地***镜像文件存储;
监控当前***中所有文件的HASH,并与HASH库比对,判断是否有异常文件或新增文件,如果是,则将所述异常文件或新增文件发送到常态规则库检测,否则继续监控;
常态规则库根据预先存储的已知常规规则与异常文件或新增文件匹配,如果匹配成功,则***放行,否则将所述异常文件或新增文件进行常态模型匹配;
获取所述异常文件或新增文件的事件属性,并与常态模型关联匹配,如果匹配成功,则将关联匹配后的规则添加到常态规则库中,并将所述异常文件或新增文件更新到本地***镜像文件中;否则,提示用户进行处理。
2.如权利要求1所述的方法,其特征在于,还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
3.如权利要求1所述的方法,其特征在于,所述常态规则库中预先存储的已知常规规则为,根据用户或***的正常操作或经常使用的已知常规操作提取的规则。
4.如权利要求1所述的方法,其特征在于,所述的常态模型,为根据***中所有修改或新增文件的事件记录,及修改或新增文件过程中的元属性信息,进行关联分析得出。
5.如权利要求4所述的方法,其特征在于,所述修改或新增文件过程中的元属性信息至少包括:***IP、***用户、修改或新增文件时间、文件目录及文件格式。
6.如权利要求1所述的方法,其特征在于,所述提示用户进行处理还包括:提示用户选择进行文件修复,或添加到HASH库,或添加到常态规则库。
7.如权利要求6所述的方法,其特征在于,如果用户选择进行文件修复,则从存储的本地***镜像文件中或云端服务器中更新;如果用户选择添加到HASH库,则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中;如果用户选择添加到常态规则库,则需要用户手动录入规则,并将所述规则添加到常态规则库。
8.一种文件篡改检测及修复的***,其特征在于,包括:
扫描模块,用于对当前***全盘扫描,获取全部文件HASH及文件路径,并构建本地HASH库;
检测模块,用于根据HASH库中的文件路径,检测所有文件,将判定为恶意的文件清除,并删除HASH库中对应的文件HASH及文件路径;
备份模块,用于将修改后的HASH库中的所有对应文件,生成本地***镜像文件存储;
监控模块,用于监控当前***中所有文件的HASH,并与HASH库比对,判断是否有异常文件或新增文件,如果是,则将所述异常文件或新增文件发送到常态规则库检测,否则继续监控;
常态规则库,用于根据预先存储的已知常规规则与异常文件或新增文件匹配,如果匹配成功,则***放行,否则将所述异常文件或新增文件进行常态模型匹配;
常态模型匹配模块,用于获取所述异常文件或新增文件的事件属性,并与常态模型关联匹配,如果匹配成功,则将关联匹配后的规则添加到常态规则库中,并将所述异常文件或新增文件更新到本地***镜像文件中;否则,提示用户进行处理。
9.如权利要求8所述的***,其特征在于,还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
10.如权利要求8所述的***,其特征在于,所述常态规则库中预先存储的已知常规规则为,根据用户或***的正常操作或经常使用的已知常规操作提取的规则。
11.如权利要求8所述的***,其特征在于,所述的常态模型,为根据***中所有修改或新增文件的事件记录,及修改或新增文件过程中的元属性信息,进行关联分析得出。
12.如权利要求11所述的***,其特征在于,所述修改或新增文件过程中的元属性信息至少包括:***IP、***用户、修改或新增文件时间、文件目录及文件格式。
13.如权利要求8所述的***,其特征在于,所述提示用户进行处理还包括:提示用户选择进行文件修复,或添加到HASH库,或添加到常态规则库。
14.如权利要求13所述的***,其特征在于,如果用户选择进行文件修复,则从存储的本地***镜像文件中或云端服务器中更新;如果用户选择添加到HASH库,则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中;如果用户选择添加到常态规则库,则需要用户手动录入规则,并将所述规则添加到常态规则库。
CN201310689374.4A 2013-12-17 2013-12-17 一种文件篡改检测及修复的方法和*** Active CN103902855B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310689374.4A CN103902855B (zh) 2013-12-17 2013-12-17 一种文件篡改检测及修复的方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310689374.4A CN103902855B (zh) 2013-12-17 2013-12-17 一种文件篡改检测及修复的方法和***

Publications (2)

Publication Number Publication Date
CN103902855A CN103902855A (zh) 2014-07-02
CN103902855B true CN103902855B (zh) 2017-03-08

Family

ID=50994172

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310689374.4A Active CN103902855B (zh) 2013-12-17 2013-12-17 一种文件篡改检测及修复的方法和***

Country Status (1)

Country Link
CN (1) CN103902855B (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105488402A (zh) * 2014-12-23 2016-04-13 哈尔滨安天科技股份有限公司 一种暗链的检测方法及***
CN105117650B (zh) * 2015-09-08 2018-05-04 北京元心科技有限公司 一种移动终端***安全的保护方法及装置
CN107122552A (zh) * 2017-05-02 2017-09-01 上海华力微电子有限公司 一种自动审查设计规则检查结果的方法
CN107196929A (zh) * 2017-05-11 2017-09-22 国网山东省电力公司信息通信公司 适用于高频次网络攻防环境下的智能防护方法及其***
CN108182363B (zh) * 2017-12-25 2022-01-07 安天科技集团股份有限公司 嵌入式office文档的检测方法、***及存储介质
CN108459927B (zh) * 2018-02-28 2021-11-26 北京奇艺世纪科技有限公司 一种数据备份方法、装置和服务器
CN109040080B (zh) * 2018-08-10 2020-12-15 中央电视台 文件篡改处理方法、装置、云服务平台及存储介质
CN109284607A (zh) * 2018-09-20 2019-01-29 沈文策 一种非法文件的检测方法、装置、设备及存储介质
CN112579330B (zh) * 2019-09-30 2024-02-06 奇安信安全技术(珠海)有限公司 操作***异常数据的处理方法、装置及设备
CN112612756A (zh) * 2020-12-21 2021-04-06 北京鸿腾智能科技有限公司 异常文件的修复方法、装置、设备及存储介质
CN113158185B (zh) * 2021-03-05 2023-04-07 杭州数梦工场科技有限公司 安全检测方法与装置
CN114201370B (zh) * 2022-02-21 2022-06-03 山东捷瑞数字科技股份有限公司 一种网页文件监控方法及***
CN117272392B (zh) * 2023-11-21 2024-03-15 国网四川省电力公司信息通信公司 用于终端的数据安全保护与备份控制方法和***

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101359353A (zh) * 2008-09-05 2009-02-04 成都市华为赛门铁克科技有限公司 一种文件保护方法及装置
CN103150511A (zh) * 2013-03-18 2013-06-12 珠海市君天电子科技有限公司 一种安全防护***
CN103368926A (zh) * 2012-04-10 2013-10-23 北京四维图新科技股份有限公司 一种防止文件篡改的方法和防止文件篡改的装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101359353A (zh) * 2008-09-05 2009-02-04 成都市华为赛门铁克科技有限公司 一种文件保护方法及装置
CN103368926A (zh) * 2012-04-10 2013-10-23 北京四维图新科技股份有限公司 一种防止文件篡改的方法和防止文件篡改的装置
CN103150511A (zh) * 2013-03-18 2013-06-12 珠海市君天电子科技有限公司 一种安全防护***

Also Published As

Publication number Publication date
CN103902855A (zh) 2014-07-02

Similar Documents

Publication Publication Date Title
CN103902855B (zh) 一种文件篡改检测及修复的方法和***
JP5572763B2 (ja) ウェブサイトスキャン装置及びその方法
JP6919569B2 (ja) ログ分析システム、方法、及び記録媒体
US20150047034A1 (en) Composite analysis of executable content across enterprise network
US20150172303A1 (en) Malware Detection and Identification
RU2601148C1 (ru) Система и способ выявления аномалий при подключении устройств
US20170054745A1 (en) Method and device for processing network threat
US20230113375A1 (en) Augmented threat detection using an attack matrix and data lake queries
JP2015535115A (ja) マルウェア定義パッケージサイズを縮小するためのテレメトリの使用
US20120311709A1 (en) Automatic management system for group and mutant information of malicious codes
US10776487B2 (en) Systems and methods for detecting obfuscated malware in obfuscated just-in-time (JIT) compiled code
CN107395650B (zh) 基于沙箱检测文件识别木马回连方法及装置
CN102243699A (zh) 一种恶意代码检测方法及***
US9792436B1 (en) Techniques for remediating an infected file
CN201477598U (zh) 终端木马监测装置
US20170277887A1 (en) Information processing apparatus, information processing method, and computer readable medium
KR20150124020A (ko) 악성코드 식별 태그 설정 시스템 및 방법, 및 악성코드 식별 태그를 이용한 악성코드 검색 시스템
WO2018143097A1 (ja) 判定装置、判定方法、および、判定プログラム
US9391935B1 (en) Techniques for file classification information retention
US20150012622A1 (en) Information system management apparatus, information system management method, and program
WO2023064007A1 (en) Augmented threat investigation
US20200372085A1 (en) Classification apparatus, classification method, and classification program
CN107800673A (zh) 一种白名单的维护方法及装置
KR20100069135A (ko) 악성코드 분류 시스템
RU2583712C2 (ru) Система и способ обнаружения вредоносных файлов определенного типа

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: File tamper detecting and repairing method and system

Effective date of registration: 20170621

Granted publication date: 20170308

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin Antiy Technology Co., Ltd.

Registration number: 2017110000004

PE01 Entry into force of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20190614

Granted publication date: 20170308

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin Antiy Technology Co., Ltd.

Registration number: 2017110000004

CP03 Change of name, title or address

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Patentee after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 150090 room 506, Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang, China, 162

Patentee before: Harbin Antiy Technology Co., Ltd.

CP03 Change of name, title or address
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: File tamper detecting and repairing method and system

Effective date of registration: 20190828

Granted publication date: 20170308

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin antiy Technology Group Limited by Share Ltd

Registration number: Y2019230000002

PE01 Entry into force of the registration of the contract for pledge of patent right
CP01 Change in the name or title of a patent holder

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Patentee after: Antan Technology Group Co.,Ltd.

Address before: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Patentee before: Harbin Antian Science and Technology Group Co.,Ltd.

CP01 Change in the name or title of a patent holder
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20211119

Granted publication date: 20170308

Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch

Pledgor: Harbin Antian Science and Technology Group Co.,Ltd.

Registration number: Y2019230000002

PC01 Cancellation of the registration of the contract for pledge of patent right