文件监控系统及方法与流程

本发明属于信息安全和运营维护领域，尤其涉及一种计算机系统的文件监控系统及方法。

背景技术：

在传统的系统安全运维手段里，偏向于对文件尤其重要配置文件的备份，当出现系统异常或服务不可用时，管理员通过逐级排查，最终发现系统的重要配置文件被人误删或者误修改，导致系统不可用。此时，通过备份文件将系统的配置文件恢复出来。该方法存在一定的滞后性，往往是故障已经发生了，通过大量的定位才能找到故障的缘由。

技术实现要素：

本发明提出一种文件监控的系统和方法，能够快速发现系统的重要配置文件是否被异常修改。当出现文件被修改时，产生告警通知。通过发明方案可以监控用户指定的重要文件是否被打开、修改、执行，并报告给用户；采用指定的文件特征值计算方法，可以计算出被监控的文件的特征值库，若发现文件的2次特征值不一致时，即说明文件被修改过或访问过。本发明可以动态的监测重要文件的状态，避免重要配置文件被人恶意修改，导致服务异常。或者私密文件被人窃取，导致财产损失。

本发明具体采用以下技术方案：

一种文件监控系统，其特征在于，包括：标定待监控文件的标定模块、提取标定文件特征值的特征值模块、储存特征值的特征值数据库、比对同一标定文件不同时刻提取的特征值的比对模块、控制所述比对模块触发间隔时间的定时模块、以及对特征值异常启动告警的告警模块。

优选地，所述特征值包括文件的sha值和/或md5值、最后修改时间、最后访问时间、最初创建时间。

优选地，在所述特征值数据库中，对于每一标定文件：sha值和/或md5值为可修改值，最初创建时间为不可修改值，最后修改时间随sha值和/或md5值的修改而修改。

一种文件监控方法，其特征在于，包括以下步骤：

步骤s1：选择需要监控的文件进行标定，并获取标定文件的路径和特征值信息；

步骤s2：将标定文件的特征值存储在特征值数据库；

步骤s3：以预设的间隔时间向标定文件的路径发出特征值获取请求；

步骤s4：将步骤s3获取的特征值与特征值数据库中的特征值进行比对，如一致，则返回步骤s3，如不一致则发出告警。

优选地，在步骤s4中，当接收到告警后，用户确认文件的修改成立后，该标定文件存储在特征值数据库中的特征值更新为最近一次获取的特征值。

本发明具有以下突出优点：通过对指定文件的监控，可以极大的提高监控数据颗粒度、增强采集告警精度。可及时发现系统重要文件的文件是否被修改，减少系统故障率，提升系统故障排查时的效率。

附图说明

下面结合附图和具体实施方式对本发明进一步详细的说明：

图1是本发明实施例整体流程示意图。

具体实施方式

为让本专利的特征和优点能更明显易懂，下文特举实施例，作详细说明如下：

如图1所示，本实施例提供以下文件监控方法，包括以下步骤：

步骤s1：选择需要监控的文件进行标定，并获取标定文件的路径和特征值信息；

步骤s2：将标定文件的特征值存储在特征值数据库；

步骤s3：以预设的间隔时间向标定文件的路径发出特征值获取请求；

步骤s4：将步骤s3获取的特征值与特征值数据库中的特征值进行比对，如一致，则返回步骤s3，如不一致则发出告警。

其中，在步骤s4中，当接收到告警后，用户确认文件的修改成立后，该标定文件存储在特征值数据库中的特征值更新为最近一次获取的特征值。

与之相对应地，提出了一种与上述方法相适配的文件监控系统，包括：标定待监控文件的标定模块、提取标定文件特征值的特征值模块、储存特征值的特征值数据库、比对同一标定文件不同时刻提取的特征值的比对模块、控制比对模块触发间隔时间的定时模块、以及对特征值异常启动告警的告警模块。

其中，特征值包括文件的sha值和/或md5值、最后修改时间、最后访问时间、最初创建时间，当文件发生改动时，其sha值或md5值一定会发生变化，从而被系统有效地监控。在特征值数据库中，对于每一标定文件：sha值和/或md5值为可修改值，最初创建时间为不可修改值，最后修改时间随sha值和/或md5值的修改而修改。

本实施例的基本要旨在于：

1、建立被监控文件的文件特征值，并入库保存；

2、定期检查被监控文件的特征值是否与特征库里的一致，若发生变化，则说明文件已被修改；

3、当文件被修改后，产生告警通知用户。

其提供的监控分析模块可运行于windows、linux、unix、arm等多个系统平台上，对标定的文件进行实时监控。当被监测文件两次特征值不一致时，即判断文件被修改，即触发告警模块，通知用户查看核实。

本实施例通过对指定文件的监控，可以极大的提高监控数据颗粒度、增强采集告警精度。可及时发现系统重要文件的文件是否被修改，减少系统故障率，提升系统故障排查时的效率。最终实现以下目标：

1）提高文件系统监控颗粒度；

2）提升监控频率，基本可以达到故障的实时监控；

3）降低故障时的排查故障时间，提升信息化运维的自动化水平。

本专利不局限于上述最佳实施方式，任何人在本专利的启示下都可以得出其它各种形式的文件监控系统及方法，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本专利的涵盖范围。

技术特征：

技术总结
本发明提出一种文件监控系统及方法，包括：标定待监控文件的标定模块、提取标定文件特征值的特征值模块、储存特征值的特征值数据库、比对同一标定文件不同时刻提取的特征值的比对模块、控制所述比对模块触发间隔时间的定时模块、以及对特征值异常启动告警的告警模块。本发明具有以下突出优点：通过对指定文件的监控，可以极大的提高监控数据颗粒度、增强采集告警精度。可及时发现系统重要文件的文件是否被修改，减少系统故障率，提升系统故障排查时的效率。

技术研发人员：陈其泽;陈少钦;吴树霖;肖传奇;孔美美;郭蔡炜;叶赓
受保护的技术使用者：国网福建省电力有限公司;国网福建省电力有限公司信息通信分公司
技术研发日：2019.03.21
技术公布日：2019.06.11