CN112380170A - 一种文件更新操作的关联方法、装置及计算机设备 - Google Patents
一种文件更新操作的关联方法、装置及计算机设备 Download PDFInfo
- Publication number
- CN112380170A CN112380170A CN202011340341.5A CN202011340341A CN112380170A CN 112380170 A CN112380170 A CN 112380170A CN 202011340341 A CN202011340341 A CN 202011340341A CN 112380170 A CN112380170 A CN 112380170A
- Authority
- CN
- China
- Prior art keywords
- file
- update
- target
- controlled terminal
- acquiring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 277
- 230000008569 process Effects 0.000 claims abstract description 209
- 230000015654 memory Effects 0.000 claims description 19
- 238000011900 installation process Methods 0.000 claims description 16
- 238000004364 calculation method Methods 0.000 claims description 2
- 238000004590 computer program Methods 0.000 claims description 2
- 238000001914 filtration Methods 0.000 claims description 2
- 238000009434 installation Methods 0.000 abstract description 16
- 238000012423 maintenance Methods 0.000 abstract description 5
- 238000012544 monitoring process Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000036632 reaction speed Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
- G06F16/148—File search processing
- G06F16/152—File search processing using file content signatures, e.g. hash values
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Library & Information Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种文件更新操作的关联方法、装置及计算机设备,其中,该关联方法包括:获取受控终端执行目标文件创建的进程,将进程标注为目标进程;获取并记录执行目标进程产生的更新文件;计算更新文件的哈希值并确定更新文件的路径信息;将更新文件、更新文件的路径信息及哈希值与目标文件及目标进程进行关联。通过实施本发明,解决了现有技术中存在的基于文件记录无法判断未知可执行文件是否为安装程序所更新的文件,导致无法判断文件记录中文件的安全性的问题,实现对安装更新操作的自动判定,构建具有关联关系的文件更新记录,实现对安装程序的文件更新行为的后台自动化追踪,有效降低管理人员的运维负担。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种文件更新操作的关联方法、装置及计算机设备。
背景技术
随着信息安全技术的快速发展,基于白名单技术的主机安全防护产品已经在工控主机中广泛应用。但是,在启用“白名单”防护产品的主机上,伴随着应用软件的更新,很多文件会被替换,直接影响了白名单的有效性。
相关技术中,在人工标记安装更新程序的基础上,可以实现对更新文件的捕获,但无法识别用户双击运行安装程序的行为。其他现有的白名单控制软件,在应用软件的更新过程中,会记录所有被加载的未知可执行程序。运行一个安装程序,一般会更新几十甚至上百个文件,形成上百个文件更新记录,基于文件记录无法判断未知可执行文件是否为安装程序所更新的文件,导致无法判断文件记录中文件的安全性,进而无法确定是否需要将文件记录对应的未知程序添加到白名单,导致无法保证文件的安全性。
发明内容
有鉴于此,本发明实施例提供了一种文件更新操作的关联方法、装置及计算机设备,以解决相关技术中存在无法根据现有记录判断文件的安全性的问题。
根据第一方面,本发明实施例提供了一种文件更新操作的关联方法,包括:获取受控终端执行目标文件创建的进程,将所述进程标注为目标进程;获取并记录执行所述目标进程产生的更新文件;计算所述更新文件的哈希值并确定所述更新文件的路径信息;将更新文件、更新文件的路径信息及哈希值与所述目标文件及目标进程进行关联。
结合第一方面,在第一方面第一实施方式中,在获取受控终端执行目标文件创建的进程的步骤之前,该关联方法还包括:获取受控终端发送的进程创建通知,所述进程创建通知是由受控终端根据程序启动操作生成的;根据所述进程创建通知,获取受控终端执行目标文件创建的进程。
结合第一方面,在第一方面第二实施方式中,该关联方法还包括:根据所述目标进程、更新文件、更新文件的路径信息及哈希值,生成文件更新信息清单。根据所述文件更新信息清单以及预设决策规则,生成待追加更新文件列表;将所述待追加更新文件列表发送至所述受控终端。
结合第一方面,在第一方面第三实施方式中,根据所述更新文件的路径信息,过滤预设临时路径中的更新文件,生成过滤后的更新文件。
结合第一方面,在第一方面第四实施方式中,所述获取受控终端执行目标文件创建的进程的步骤,包括:当根据预设白名单数据库,确定所述进程对应的程序为未知程序时,判断所述进程的创建者是否为资源管理器程序;当确定所述进程的创建者为资源管理器程序时,获取所述目标文件的资源属性信息,以及获取进程身份标识信息,根据所述进程身份标识信息,确定所述目标文件的第二文件路径信息;当确定所述目标文件的资源属性信息属于预设文件格式且所述第二文件路径信息属于预设目标文件路径时,确定所述目标文件对应的进程为安装进程,所述安装进程为所述受控终端执行目标文件创建的进程。
结合第一方面第四实施方式,在第一方面第五实施方式中,所述获取受控终端执行目标文件创建的进程,将所述进程标注为目标进程的步骤,包括:将所述受控终端创建的进程标注为目标进程;或当所述受控终端创建的进程生成多个子进程时,将所述受控终端创建的进程以及多个子进程,标注为目标进程。
结合第一方面第五实施方式,在第一方面第六实施方式中,确定所述进程的创建者为资源管理器程序的步骤,包括:获取所述进程的创建者身份标识信息以及所述进程身份标识信息;根据所述创建者身份标识信息,确定第一文件路径信息;当确定所述第一文件路径信息属于预设资源管理器程序路径时,确定所述进程的创建者为资源管理器程序。
根据第二方面,本发明实施例提供了一种文件更新操作的关联装置,包括:进程获取模块,用于获取受控终端执行目标文件创建的进程,将所述进程标注为目标进程;记录模块,用于获取并记录执行所述目标进程产生的更新文件;计算模块,用于计算所述更新文件的哈希值并确定所述更新文件的路径信息;关联模块,用于将更新文件、更新文件的路径信息及哈希值与所述目标文件及目标进程进行关联。
根据第三方面,本发明实施例提供了一种计算机设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行第一方面或者第一方面的任意一种实施方式中所述的文件更新操作的关联的方法。
根据第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第二方面或者第二方面的任意一种实施方式中所述的文件更新操作的关联方法的步骤。
本发明技术方案,具有如下优点:
本发明提供的一种文件更新操作的关联方法、装置及计算机设备,其中,该关联方法包括:获取受控终端执行目标文件创建的进程,将进程标注为目标进程;获取并记录执行目标进程产生的更新文件;计算更新文件的哈希值并确定更新文件的路径信息;将更新文件、更新文件的路径信息及哈希值与目标文件及目标进程进行关联。结合将更新文件、更新文件的路径信息及哈希值与目标文件及目标进程进行关联,实现对生成的多个更新文件的操作的记录,继而实现对安装更新操作的自动判定,构建具有关联关系的文件更新记录,实现对安装程序的文件更新行为的后台自动化追踪,有效降低管理人员的运维负担。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中文件更新操作的关联方法的一个具体示例的流程图;
图2为本发明实施例中文件更新操作的关联方法中获取目标进程的一个具体示例的流程图;
图3为本发明实施例中文件更新操作的关联方法的中确定受控终端创建进程的一个具体示例的流程图;
图4为本发明实施例中文件更新操作的关联方法的中确定进程创建者的一个具体示例的流程图;
图5为本发明实施例中文件更新操作的关联装置的一个具体示例的原理框图;
图6为本发明实施例中计算机设备的一个具体示例图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
在工业控制***网络安全实践中,由于受保护的工控***软件和设备更新频率低,其上的进程、通讯以及数据相对单一、稳定,加之工控控制***对业务的可靠性以及连续性有严格要求,因此“白名单”不失为一种行之有效的保护方案。
“白名单”机制相对“黑名单”而言较适用于工业控制现场,这是由于工业控制现场处于比较封闭隔离的状态,无法进行联网更新病毒库。在***一旦建设完成后,很长一段时间不会再进行升级或改造,“白名单”形成后也较稳定,有利于工业现场的保护。因此白名单技术的主机安全防护产品工在工业主机防护中广泛应用。
为了解决白名单类安全管控软件在实际使用过程中的更新难题,本发明通过引入安装程序自动识别机制,结合基于进程树的文件更新追踪技术,实现对安装更新行为的自动判定,构建具有关联关系的文件更新记录,生成可以直观展示更新操作之间关联关系的文件更新信息清单。
本发明实施例提供了一种文件更新操作的关联方法,如图1所示,包括:
步骤S11:获取受控终端执行目标文件创建的进程,将进程标注为目标进程;在本实施例中,受控终端可以是工业控制网络中的工业设备,也可以是计算机设备等,受控终端可以是与服务器相连接,而服务器内设置有文件***监控模块,用于执行本实施例中所述的文件更新操作的关联方法;目标文件可以是程序的安装文件,即为更新文件,更新文件可以是可执行文件;进程可以是在接收到用户的点击操作后,***加载文件并执行的过程,用户的点击操作可以是通过鼠标双击目标文件的操作;具体的执行过程可以是,文件***监控模块获取受控终端执行目标文件进而产生的进程,并将此进程标注为目标进程,进而开启对目标进程的监控。
步骤S12:获取并记录执行目标进程产生的更新文件;在本实施例中,更新文件可以是进程在加载中产生的文件,可以是安装文件,具体地,确定目标进程对应的目标程序,继而确定该目标程序对应的多个更新文件。
步骤S13:计算更新文件的哈希值并确定更新文件的路径信息;在本实施例中,哈希值是根据文件中的内容,通过逻辑运算得到的数值,不同的文件得到的哈希值是不同的,哈希值在以工控主机中具备唯一性,可以作为更新文件的标识信息;更新文件的路径信息即为更新文件在工控设备中的存储位置信息。具体地,对于每一个更新文件。文件监控***模块均会计算各更新文件的哈希值以及记录各更新文件的存储位置信息。
步骤S14:将更新文件、更新文件的路径信息及哈希值与目标文件及目标进程进行关联。在本实施例中,将各个更新文件、各个更新文件的路径信息以及各个更新文件的哈希值相互关联。具体地,当通过用户对安装程序的双击操作,使安装进程开始被加载,此时安装进程对应的安装文件、安装文件存储的路径信息、安装文件的哈希值以及安装进程之间被关联。
本发明提供的一种文件更新操作的关联方法,包括:获取受控终端执行目标文件创建的进程,将进程标注为目标进程;获取并记录执行目标进程产生的更新文件;计算更新文件的哈希值并确定更新文件的路径信息;将更新文件、更新文件的路径信息及哈希值与目标文件及目标进程进行关联。结合将更新文件、更新文件的路径信息及哈希值与目标文件及目标进程进行关联,实现对生成的多个更新文件的操作的记录,继而实现对安装更新操作的自动判定,构建具有关联关系的文件更新记录,实现对安装程序的文件更新行为的后台自动化追踪,有效降低管理人员的运维负担。
作为本发明的一个可选实施方式,如图2所示,在步骤S11:获取受控终端执行目标文件创建的进程的步骤之前,该关联方法还包括:
步骤S101:获取受控终端发送的进程创建通知,进程创建通知是由受控终端根据程序启动操作生成的;在本实施例中,进程创建通知是受控终端发送至文件***监控模块的,文件***监控模块在受控终端预先注册进程回调函数,上述进程回调函数用于监测受控终端中的进程创建情况,当受控终端中有新进程被创建或者是被加载时,进程回调函数基于新进程生成进程创建通知,并发送至文件***监控模块;受控终端的启动操作可以是用户输入的对安装程序的双击加载操作。当文件***监控模块接收进程创建通知时,说明受控终端中有进程正在被加载,具体的执行过程可以是:用户对安装程序输入双击操作,根据双击操作,受控终端内的资源管理器开始加载安装进程,与此同时,受控终端中的进程回调函数生成进程创建通知,并将所述进程创建通知发送至文件***监控模块。
步骤S102:根据进程创建通知,获取受控终端执行目标文件创建的进程。在本实施例中,文件***监控模块根据接收到的进程创建通知,确定相应的进程。具体地,当用户双击启动安装程序时,此时相应的进程为安装进程,安装进程对应的文件即为安装文件,也就是目标文件。
本发明实施例提供一种文件更新操作的关联方法,结合文件***监控模块预先在受控终端内注册的进程回调函数,可以实时监控受控终端内进程的加载情况,提高反应速度以及处理效率。
作为本发明的一个可选实施方式,该关联方法还包括:
首先,根据目标进程、更新文件、更新文件的路径信息及哈希值,生成文件更新信息清单。在本实施例中,文件更新信息清单可以是安装程序启动时,生成的多个更新文件的记录清单,其中包括各个更新文件的名称、进程、各个更新文件的哈希值,可以是如下表1所示:
表1
| 创建者 | 进程 | 文件名称 | 文件哈希值 | 安装者 |
| 资源管理器 | 启动安装程序 | 安装程序X | 文件X哈希值 | 安装程序X |
| 安装程序X | 创建文件 | 文件A.exe | 文件A哈希值 | 安装程序X |
| 文件A.exe | 创建文件 | 文件1.exe | 文件1哈希值 | 安装程序X |
| 文件A.exe | 创建文件 | 文件2.dll | 文件2哈希值 | 安装程序X |
| 文件A.exe | 创建文件 | 文件3.dll | 文件3哈希值 | 安装程序X |
其次,根据文件更新信息清单以及预设决策规则,生成待追加更新文件列表;在本实施例中,可以是将文件更新信息清单发送至管理服务器,管理服务器根据文件更新信息清单以及预设决策规则,生成待追加更新文件列表。具体地,预设决策规则可以是当判断安装程序值得信赖时,此时,与此安装程序相关联的更新文件可以加入到白名单中。具体地,当判断安装程序X安全性高,且可靠性高时,可以根据文件更新清单信息确定与安装程序X相关联的多个更新文件,并将其加入至预设白名单数据库中。与安装程序相关联的更新文件可以是安装程序在安装时新产生的文件,例如,当安装程序X被加载时,首先生成文件A,而文件A可以是可执行文件,此时,在文件A被加载执行时,生成多个更新文件,包括:文件1、文件2以及文件3;此时,文件A、文件1、文件2以及文件3均为与安装程序X相关联的更新文件。
其次,将待追加更新文件列表发送至受控终端。在本实施例中,管理服务器生成待追加更新文件列表,并首先将上述待追加更新文件列表发送至受控终端,受控终端根据接收到的待追加更新文件列表,将对应的更新文件存储至预设白名单数据库中,完成预设白名单数据库的更新。
本发明实施例提供的一种文件更新操作的关联方法,结合文件更新信息清单信息,可以使管理人员根据带有关联记录信息的文件更新清单,高效地判定一批未知程序的合法性,从而判断是否将其追加到白名单库中,生成的带有安装程序信息的文件更新清单,可以辅助管理人员的决策,有效降低管理人员的运维负担。
作为本发明的一个可选实施方式,该关联方法还包括:根据更新文件的路径信息,过滤预设临时路径中的更新文件,生成过滤后的更新文件。在本实施例中,当文件***监控模块确定安装进程结束时,也就是安装程序安装完成时,判断各个更新文件的路径信息是否在预设临时路径下,当确定此更新文件属于操作***中的固定位置的临时路径时,将此位置的更新文件过滤,也就是过滤安装程序时生成临时二进制文件,例如,上述实施例中的更新文件A。
本发明实施例提供的一种文件更新操作的关联方法,结合在操作***中临时文件的预设固定位置,可以自动删除程序的安装过程产生的多个临时二进制文件;通过自动识别机制,可以自动过滤掉临时二进制文件,从而避免产生无效的白名单信息。
作为本发明的一个可选实施方式,上述步骤S11中获取受控终端执行目标文件创建的进程的过程,如图3所示,包括:
步骤S21:当根据预设白名单数据库,确定进程对应的程序为未知程序时,判断进程的创建者是否为资源管理器程序;在本实施例中,当在本地的白名单数据库中并未查找到进程对应的程序时,确定该程序为未知程序;继而判断当前进程是否属于资源管理器程序。具体地,用户的双击启动程序的操作,都是由资源管理器来处理的,资源管理器为操作***本身携带的名为Explorer.exe的程序,存放在固定目录。
步骤S22:当确定进程的创建者为资源管理器程序时,获取目标文件的资源属性信息,以及获取进程身份标识信息,根据进程身份标识信息,确定目标文件的第二文件路径信息;在本实施例中,当确定此进程是由资源管理器程序创建时,获取目标文件的资源属性信息,资源属性信息可以包括文件描述、产品名称、原始文件名称等;还需要获取此进程对应的进程身份标识信息,根据进程身份标识信息,确定目标文件在设备的存储路径信息,即第二文件路径信息;进程身份标识信息可以是被创建的进程ID消息,根据被创建的进程ID,查找目标文件的路径信息。
步骤S23:当确定目标文件的资源属性信息属于预设文件格式且第二文件路径信息属于预设目标文件路径时,确定目标文件对应的进程为安装进程,安装进程为受控终端执行目标文件创建的进程。在本实施例中,当根据目标文件的资源属性信息中的存储类别信息,判断属于预设文件格式,以及确定第二文件路径信息为预设目标文件路径时,即可确定此目标文件为安装文件,此文件对应的进程为安装进程,此进程为用户启动安装程序时,资源管理器加载的安装进程。具体地,可以是判断目标文件的后缀为预设文件格式,例如,(.exe);以及第二文件路径信息与预先设置的存储安装文件的路径信息相符合。
作为本发明的一个可选实施方式,上述步骤S11中确定受控终端执行目标文件创建的进程,将进程标注为目标进程的执行过程,包括:
将受控终端创建的进程标注为目标进程;
或,当受控终端创建的进程生成多个子进程时,将受控终端创建的进程以及多个子进程,标注为目标进程。
在本实施例中,确定受控终端执行目标文件创建的进程,将此进程标注为目标进程的执行过程,可以包括两种情况:
第一:受控终端启动安装程序X,此时创建进程a,生成更新文件A,文件A可以是可执行文件;当文件A被加载执行时,创建进程a的子进程aa,生成文件1;创建进程a的子进程ab,生成文件2;创建进程a的子进程ac,生成文件3;此时,将进程a、子进程aa、子进程ab以及子进程ac均为目标进程,各目标进程被创建时生成的多个更新文件均被记录。文件1、文件2以及文件3可以是可执行文件,也可以是不可执行文件,当文件1为可执行文件时,在执行文件1时,生成子子进程aaa,此时,进程a、子进程aa、子进程ab、子进程ac以及子子进程aaa均被标注为目标进程。
第二:受控终端启动安装程序X,此时创建进程a,生成更新文件A,文件A可以是不可执行文件,此时,将进程a标注为目标进程。
本发明实施例提供的一种文件更新操作的关联方法,结合将进程、子进程以及子子进程标注为目标进程,可以将安装程序在安装中生成的多层进程以及对应的更新文件相互关联,实现了文件更新操作的自动追踪,即实现了对用户手动安装程序的自动化追踪。
作为本发明的一个可选实施方式,上述确定进程的创建者为资源管理器程序的步骤,如图4所示,包括:
步骤S31:获取进程的创建者身份标识信息;在本实施例中,获取进程创建者的进程ID信息。
步骤S32:根据创建者身份标识信息,确定第一文件路径信息;在本实施例中,查找创建者进程的具体文件路径信息。
步骤S33:当第一文件路径信息属于预设资源管理器程序路径时,确定进程的创建者为资源管理器程序。在本实施例中,当确定创建者进程的具体文件路径信息在预设资源管理器程序对应的存储位置时,可以确定进程的创建者为***的资源管理器程序。
本发明实施还提供了一种文件更新操作的关联装置,如图5所示,包括:
进程获取模块41,用于获取受控终端执行目标文件创建的进程,将所述进程标注为目标进程;详细实施内容可参见上述方法实施例中步骤S11的相关描述。
记录模块42,用于获取并记录执行所述目标进程产生的更新文件;详细实施内容可参见上述方法实施例中步骤S12的相关描述。
计算模块43,用于计算所述更新文件的哈希值并确定所述更新文件的路径信息;详细实施内容可参见上述方法实施例中步骤S13的相关描述。
关联模块44,用于将更新文件、更新文件的路径信息及哈希值与所述目标文件及目标进程进行关联。详细实施内容可参见上述方法实施例中步骤S14的相关描述。
本发明提供的一种文件更新操作的关联装置,包括:进程获取模块41,用于获取受控终端执行目标文件创建的进程,将进程标注为目标进程;记录模块42,用于获取并记录执行目标进程产生的更新文件;计算模块43,用于计算更新文件的哈希值并确定更新文件的路径信息;关联模块44,用于将更新文件、更新文件的路径信息及哈希值与目标文件及目标进程进行关联。结合将更新文件、更新文件的路径信息及哈希值与目标文件及目标进程进行关联,实现对生成的多个更新文件的操作的记录,继而实现对安装更新操作的自动判定,构建具有关联关系的文件更新记录,实现对安装程序的文件更新行为的后台自动化追踪,有效降低管理人员的运维负担。
本发明实施例还提供了一种计算机设备,如图6所示,该计算机设备可以包括处理器51和存储器52,其中处理器51和存储器52可以通过总线50或者其他方式连接,图6中以通过总线50连接为例。
处理器51可以为中央处理器(Central Processing Unit,CPU)。处理器51还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器52作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的文件更新操作的关联方法对应的程序指令/模块。处理器51通过运行存储在存储器52中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的文件更新操作的关联方法。
存储器52可以包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需要的应用程序;存储数据区可存储处理器51所创建的数据等。此外,存储器52可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器52可选包括相对于处理器51远程设置的存储器,这些远程存储器可以通过网络连接至处理器51。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器52中,当被所述处理器51执行时,执行如图1所示实施例中的文件更新操作的关联方法。
上述计算机设备具体细节可以对应参阅图1所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
本发明实施例还提供了一种非暂态计算机可读介质,非暂态计算机可读存储介质存储计算机指令,计算机指令用于使计算机执行如上述实施例中任意一项描述的文件更新操作的关联方法,其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (10)
1.一种文件更新操作的关联方法,其特征在于,包括:
获取受控终端执行目标文件创建的进程,将所述进程标注为目标进程;
获取并记录执行所述目标进程产生的更新文件;
计算所述更新文件的哈希值并确定所述更新文件的路径信息;
将更新文件、更新文件的路径信息及哈希值与所述目标文件及目标进程进行关联。
2.根据权利要求1所述的方法,其特征在于,在获取受控终端执行目标文件创建的进程的步骤之前,还包括:
获取受控终端发送的进程创建通知,所述进程创建通知是由受控终端根据程序启动操作生成的;
根据所述进程创建通知,获取受控终端执行目标文件创建的进程。
3.根据权利要求1所述的方法,其特征在于,还包括:
根据所述目标进程、更新文件、更新文件的路径信息及哈希值,生成文件更新信息清单;
根据所述文件更新信息清单以及预设决策规则,生成待追加更新文件列表;
将所述待追加更新文件列表发送至所述受控终端。
4.根据权利要求1所述的方法,其特征在于,还包括:
根据所述更新文件的路径信息,过滤预设临时路径中的更新文件,生成过滤后的更新文件。
5.根据权利要求1所述的方法,其特征在于,所述获取受控终端执行目标文件创建的进程的步骤,包括:
当根据预设白名单数据库,确定所述进程对应的程序为未知程序时,判断所述进程的创建者是否为资源管理器程序;
当确定所述进程的创建者为资源管理器程序时,获取所述目标文件的资源属性信息,以及获取进程身份标识信息,根据所述进程身份标识信息,确定所述目标文件的第二文件路径信息;
当确定所述目标文件的资源属性信息属于预设文件格式且所述第二文件路径信息属于预设目标文件路径时,确定所述目标文件对应的进程为安装进程,所述安装进程为所述受控终端执行目标文件创建的进程。
6.根据权利要求5所述的方法,其特征在于,所述获取受控终端执行目标文件创建的进程,将所述进程标注为目标进程的步骤,包括:
将所述受控终端创建的进程标注为目标进程;或
当所述受控终端创建的进程生成多个子进程时,将所述受控终端创建的进程以及多个子进程,标注为目标进程。
7.根据权利要求6所述的方法,其特征在于,确定所述进程的创建者为资源管理器程序的步骤,包括:
获取所述进程的创建者身份标识信息以及所述进程身份标识信息;
根据所述创建者身份标识信息,确定第一文件路径信息;
当确定所述第一文件路径信息属于预设资源管理器程序路径时,确定所述进程的创建者为资源管理器程序。
8.一种文件更新操作的关联装置,其特征在于,包括:
进程获取模块,用于获取受控终端执行目标文件创建的进程,将所述进程标注为目标进程;
记录模块,用于获取并记录执行所述目标进程产生的更新文件;
计算模块,用于计算所述更新文件的哈希值并确定所述更新文件的路径信息;
关联模块,用于将更新文件、更新文件的路径信息及哈希值与所述目标文件及目标进程进行关联。
9.一种计算机设备,其特征在于,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行权利要求1-7中任一项所述的文件更新操作的关联方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的文件更新操作的关联方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011340341.5A CN112380170A (zh) | 2020-11-25 | 2020-11-25 | 一种文件更新操作的关联方法、装置及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011340341.5A CN112380170A (zh) | 2020-11-25 | 2020-11-25 | 一种文件更新操作的关联方法、装置及计算机设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112380170A true CN112380170A (zh) | 2021-02-19 |
Family
ID=74587869
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011340341.5A Pending CN112380170A (zh) | 2020-11-25 | 2020-11-25 | 一种文件更新操作的关联方法、装置及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112380170A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113625968A (zh) * | 2021-08-12 | 2021-11-09 | 网易(杭州)网络有限公司 | 文件权限的管理方法、装置、计算机设备及存储介质 |
| CN114416133A (zh) * | 2021-12-30 | 2022-04-29 | 武汉卓目科技有限公司 | 一种嵌入式文件数据更新方法及*** |
| CN114816447A (zh) * | 2022-03-08 | 2022-07-29 | 北京圣博润高新技术股份有限公司 | 基于白名单动态部署软件安装方法、装置、电子设备和介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105183504A (zh) * | 2015-08-12 | 2015-12-23 | 北京威努特技术有限公司 | 基于软件服务器的进程白名单更新方法 |
| JP2016181074A (ja) * | 2015-03-24 | 2016-10-13 | 東芝情報システム株式会社 | コンピュータ端末及びそのプログラム、コンピュータシステム |
| CN109145532A (zh) * | 2018-08-20 | 2019-01-04 | 北京广成同泰科技有限公司 | 一种支持软件在线升级的程序白名单管理方法及*** |
| JP2019096271A (ja) * | 2017-11-28 | 2019-06-20 | 株式会社東芝 | プログラム実行装置、プログラムおよびプログラム実行方法 |
| CN110197064A (zh) * | 2019-02-18 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 进程处理方法和装置、存储介质及电子装置 |
-
2020
- 2020-11-25 CN CN202011340341.5A patent/CN112380170A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016181074A (ja) * | 2015-03-24 | 2016-10-13 | 東芝情報システム株式会社 | コンピュータ端末及びそのプログラム、コンピュータシステム |
| CN105183504A (zh) * | 2015-08-12 | 2015-12-23 | 北京威努特技术有限公司 | 基于软件服务器的进程白名单更新方法 |
| JP2019096271A (ja) * | 2017-11-28 | 2019-06-20 | 株式会社東芝 | プログラム実行装置、プログラムおよびプログラム実行方法 |
| CN109145532A (zh) * | 2018-08-20 | 2019-01-04 | 北京广成同泰科技有限公司 | 一种支持软件在线升级的程序白名单管理方法及*** |
| CN110197064A (zh) * | 2019-02-18 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 进程处理方法和装置、存储介质及电子装置 |
Non-Patent Citations (1)
| Title |
|---|
| 任江春;王志英;戴葵;: "一种新的进程可信保护方法", 武汉大学学报(理学版), no. 05 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113625968A (zh) * | 2021-08-12 | 2021-11-09 | 网易(杭州)网络有限公司 | 文件权限的管理方法、装置、计算机设备及存储介质 |
| CN113625968B (zh) * | 2021-08-12 | 2024-03-01 | 网易(杭州)网络有限公司 | 文件权限的管理方法、装置、计算机设备及存储介质 |
| CN114416133A (zh) * | 2021-12-30 | 2022-04-29 | 武汉卓目科技有限公司 | 一种嵌入式文件数据更新方法及*** |
| CN114816447A (zh) * | 2022-03-08 | 2022-07-29 | 北京圣博润高新技术股份有限公司 | 基于白名单动态部署软件安装方法、装置、电子设备和介质 |
| CN114816447B (zh) * | 2022-03-08 | 2024-04-26 | 北京圣博润高新技术股份有限公司 | 基于白名单动态部署软件安装方法、装置、电子设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109039740B (zh) | 一种处理运维监控告警的方法及设备 | |
| CN107451040B (zh) | 故障原因的定位方法、装置及计算机可读存储介质 | |
| CN110661658B (zh) | 一种区块链网络的节点管理方法、装置及计算机存储介质 | |
| CN109918285B (zh) | 一种开源软件的安全识别方法及装置 | |
| CN112380170A (zh) | 一种文件更新操作的关联方法、装置及计算机设备 | |
| WO2021203848A1 (zh) | 设备状态标识方法、装置及智能终端 | |
| CN105631745A (zh) | 一种资产视图构建方法及装置 | |
| CN112835808A (zh) | 接口测试方法、装置、计算机设备及存储介质 | |
| CN115543429A (zh) | 项目环境的搭建方法、电子设备及计算机可读存储介质 | |
| US11327740B2 (en) | Method and device for managing aircraft equipment software configurations | |
| CN109784035B (zh) | 一种安装进程的追踪处理方法及装置 | |
| CN111651235A (zh) | 一种虚拟机组任务管理方法及装置 | |
| CN115296979B (zh) | 一种故障处理方法、装置、设备及存储介质 | |
| CN116450176A (zh) | 版本更新方法、装置、电子设备及存储介质 | |
| CN116150711A (zh) | 一种软件处理方法、装置、电子设备及存储介质 | |
| CN113297583B (zh) | 漏洞风险分析方法、装置、设备及存储介质 | |
| CN114115933A (zh) | 软件升级的方法、***、装置、电子设备及介质 | |
| CN111381932A (zh) | 触发应用程序更改的方法、装置、电子设备及存储介质 | |
| CN112416385A (zh) | 采集组件管理方法和*** | |
| TW202113644A (zh) | 偵測系統、偵測方法、及藉由使用偵測方法所執行的更新驗證方法 | |
| CN111179097B (zh) | 保单批改的方法、装置、电子设备和存储介质 | |
| CN112565015B (zh) | 一种物联网通信方法、装置、计算机设备和存储介质 | |
| CN111614675B (zh) | 请求执行方法、设备、***及介质 | |
| US20230308478A1 (en) | Determination device, determination method, and determination program | |
| CN109996228B (zh) | 一种信息处理方法及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |