云存储环境病毒源检测方法
【专利摘要】本发明公开了一种云存储环境病毒源检测方法,包括,收集被感染的文件类型;在本地创建相同类型的文件,同时计算出该文件的HASH值;将创建的文件复制到存储上,作为诱饵文件;在存储访问节点上遍历所有进程正在访问的文件;如发现诱饵文件被进程打开,立刻记录访问的主机的IP,并在终端将IP显示出来;计算诱饵文件的HASH值,如HASH值发生了改变则将主机IP写入指定的文本文件中;隔离IP地址的主机;恢复到原始诱饵文件,继续收集其它病毒源主机。以实现检测精准,效率高的优点。
【专利说明】云存储环境病毒源检测方法
【技术领域】
[0001]本发明涉及信息【技术领域】,具体地,涉及一种云存储环境病毒源检测方法。
【背景技术】
[0002]公司内部采取CIFS协议使用私有云存储过程中、当其中某台主机感染了具有感染特性的病毒后,会对云存储中特定的文件进行感染破坏,以便进行传播,对该事件的处理过程中首先需要定位已被感染的主机。现有定位方法为:关闭存储系统;开启存储系统日志Debug功能;启动存储系统;记录30-60分钟日志;关闭存储系统,关闭日志Debug功能;将日志文件拷贝出来;启动存储系统;对日志信息进行分析,定位可疑的读写;如无法定位,则从新关闭存储系统;对可疑读写的主机进行隔离;观察是否再有文件被感染的情况;如继续被感染重复以上步骤,找出所有感染源。该方法存在以下缺点:中断线上业务、开启DEBUG功能影响系统稳定性、日志分析耗时长且不完全可靠。
【发明内容】
[0003]本发明的目的在于,针对上述问题,提出一种云存储环境病毒源检测方法,以实现检测精准,效率高的优点。
[0004]为实现上述目的,本发明采用的技术方案是:
一种云存储环境病毒源检测方法,包括以下步骤:
步骤1、收集被感染的文件类型;
步骤2、在本地创建与上述步骤I中被感染的文件类型相同类型的文件,同时计算出该文件的HASH值;
步骤3、将上述步骤2创建的文件复制到存储上,作为诱饵文件;
步骤4、在存储访问节点上遍历所有进程正在访问的文件;
步骤5、如发现诱饵文件被进程打开,立刻记录访问的主机的IP,并在终端将IP显示出来;
步骤6、计算诱饵文件的HASH值,如HASH值发生了改变则将主机IP写入指定的文本文件中;
步骤7、隔离上述步骤5中IP地址的主机;
步骤8、恢复到步骤3中的原始诱饵文件,继续收集其它病毒源主机。
[0005]本发明的技术方案具有以下有益效果:通过创建诱饵文件,并对访问诱饵文件的进程进行监控,从而追溯到问题主机。达到了检测精准,效率高的目的。同时本发明技术方案还具有以下特点:
1、不需要暂停服务;
2、对现有存储不进行有风险的改动;
3、检测手段的时间不受限制;
4、不需要关心病毒源感染的运行周期; 5、检测精准,效率高;
6、可完全实现自动化;
7、减少了人工分析日志所需要的大量时间;
本发明的技术方案具有以下特点:
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
【专利附图】
【附图说明】
[0006]图1为本发明实施例所述的云存储环境病毒源检测方法的流程图。
【具体实施方式】
[0007]以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
[0008]如图1所示,一种云存储环境病毒源检测方法,包括以下步骤:
步骤1、收集被感染的文件类型;
步骤2、在本地创建与上述步骤I中被感染的文件类型相同类型的文件,同时计算出该文件的HASH值;
步骤3、将上述步骤2创建的文件复制到存储上,作为诱饵文件;
步骤4、在存储访问节点上遍历所有进程正在访问的文件;
步骤5、如发现诱饵文件被进程打开,立刻记录访问的主机的IP,并在终端将IP显示出来;
步骤6、计算诱饵文件的HASH值,如HASH值发生了改变则将主机IP写入指定的文本文件中;
步骤7、隔离上述步骤5中IP地址的主机;
步骤8、恢复到步骤3中的原始诱饵文件,继续收集其它病毒源主机。
[0009]HASH值即哈希值。
[0010]最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种云存储环境病毒源检测方法,其特征在于,包括以下步骤: 步骤1、收集被感染的文件类型; 步骤2、在本地创建与上述步骤I中被感染的文件类型相同类型的文件,同时计算出该文件的HASH值; 步骤3、将上述步骤2创建的文件复制到存储上,作为诱饵文件; 步骤4、在存储访问节点上遍历所有进程正在访问的文件; 步骤5、如发现诱饵文件被进程打开,立刻记录访问的主机的IP,并在终端将IP显示出来; 步骤6、计算诱饵文件的HASH值,如HASH值发生了改变则将主机IP写入指定的文本文件中; 步骤7、隔离上述步骤5中IP地址的主机; 步骤8、恢复到步骤3中的原始诱饵文件,继续收集其它病毒源主机。
【文档编号】G06F21/56GK104484605SQ201410748109
【公开日】2015年4月1日 申请日期:2014年12月10日 优先权日:2014年12月10日
【发明者】徐帆, 熊智辉 申请人:央视国际网络无锡有限公司