一种Linux下的可疑文件发现方法及系统的制作方法
【技术领域】
[0001]本发明涉及信息安全技术领域,尤其涉及一种Linux下的可疑文件发现方法及系统。
【背景技术】
[0002]信息时代的来临,数据的存储成了必要,文件作为数据存储的方式之一,也成了大众关注的焦点。其中不乏针对文件的各种恶意行为,因此发现恶意文件,也成为计算机使用者的职责。
[0003]目前的基于主机的恶意文件检测方法有两大类:特征检测技术和行为监控技术。前者主要包括基于文件特征码的检测技术、文件启发式、文件行为检测法等。后者主要包括进程隐藏检测、挂钩函数检测以及执行路径分析。目前恶意文件的检测技术必须具有特征,只有符合特征码的恶意文件才可以被检测出来,这在一定程度上存在局限性,可能存在大量的漏报。
【发明内容】
[0004]针对上述技术问题,本发明提供了一种Linux下的可疑文件发现方法及系统,通过对特定目录下的所有文件的时间信息进行收集和比较,通过每个文件自身的时间信息比较,确定是否是可疑文件,本发明所述技术方案简单实用,能够有效发现特定目录下的可疑文件。
[0005]Linux环境下,存在一种储存文件特性信息的区域,叫做〃索引节点〃,包含以下内容:文件的字节数,文件拥有者的用户标识,文件的组标识,文件的读、写、执行权限,链接数,文件数据所在块的位置以及文件的时间信息。其中文件的时间信息共有三项:访问时间,修改时间和特性时间。该发明便是基于时间信息进行可疑文件的判断。
[0006]其中,所述访问时间为access time,当文件被用户打开、读取或者执行时,访问时间会随之更新,是用户可操作更改的;所述修改时间为modify time,当文件内容被用户添加、删除或者修改时,修改时间会随之更新,是用户可操作更改的;所述特性时间为changetime,当文件的属性,例如文件权限、用户组标识或者用户标识等信息发生更改时,特性时间会随之更新,是用户无法操作更改的,由系统更新。
[0007]本发明所述的技术方案是通过对可疑文件的行为特征进行分析后提出的。通常情况下,恶意代码感染主机后,会在系统中释放恶意文件,所述恶意文件在创建之初,会被初始化时间信息,即访问时间、修改时间和特性时间。而初期这三个时间都是最新的,但是恶意文件被写入内容后,其访问时间和修改时间会参照目录下的其他正常文件进行修改,从而隐藏自己的真实时间信息,进行痕迹隐藏。此后,访问时间和修改时间基本不变。随后因为修改权限,恶意文件的特性时间会被系统修改,普通用户是无法操作的,这是可疑文件的行为特征之一。
[0008]恶意文件具有非用户干预的自启动功能,所以其访问时间在特定启动时间内可能发生更新,这是可疑文件的行为特征之二。
[0009]针对上述恶意文件的行为特征,本发明采用如下方法发现可疑文件:一种Linux下的可疑文件发现方法,包括:
遍历特定目录下的所有文件,并获取所有文件的时间信息,包括:访问时间、修改时间和特性时间;
比较所有文件的特性时间,获取具备最新特性时间的文件的时间信息;
判断所述文件的特性时间是否大于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
[0010]进一步地,若所述具备最新特性时间的文件多于一个,则查找在特定启动时间内访问时间发生更改的文件,并获取所述文件的时间信息,判断所述文件的特性时间是否大于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
[0011]本发明采用如下系统来发现可疑文件:一种Linux下的可疑文件发现系统,包括: 遍历模块,用于遍历特定目录下的所有文件,并获取所有文件的时间信息,包括:访问时间、修改时间和特性时间;
比较模块,用于比较所有文件的特性时间,获取具备最新特性时间的文件的时间信息;
判断模块,用于判断所述文件的特性时间是否大于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
[0012]进一步地,若比较模块发现所述具备最新特性时间的文件多于一个,则判断模块进行如下操作:查找在特定启动时间内访问时间发生更改的文件,并获取所述文件的时间信息,判断所述文件的特性时间是否大于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
[0013]综上所述,本发明所述的技术方案通过分析恶意文件的行为特征,并基于行为特征对于文件时间信息的影响,来发现特定目录下的可疑文件。通过遍历特定目录下的所有文件,并收集所有文件的时间信息,找出具备最新特性时间的文件,并比较该文件的修改时间和特性时间,若特性时间大于修改时间,则说明该文件具备恶意文件的行为特征,是可疑文件。
[0014]本发明的有益效果为:本发明所述的方案不需要进行特征匹配,只需要获取文件的时间信息,并进行比较即可确定是否是可疑文件。本发明所述的技术方案操作简单并且有效。
【附图说明】
[0015]为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0016]图1为本发明提供的一种Linux下的可疑文件发现方法实施例流程图;
图2为本发明提供的一种Linux下的可疑文件发现系统实施例结构图。
【具体实施方式】
[0017]本发明给出了一种Linux下的可疑文件发现方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种Linux下的可疑文件发现方法实施例,如图1所示,包括:
S101遍历特定目录下的所有文件,并获取所有文件的时间信息,包括:访问时间、修改时间和特性时间;
S102比较所有文件的特性时间,获取具备最新特性时间的文件的时间信息;
S103判断所述文件的特性时间是否大于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
[0018]进一步地,若所述具备最新特性时间的文件多于一个,则查找在特定启动时间内访问时间发生更改的文件,并获取所述文件的时间信息,判断所述文件的特性时间是否大于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
[0019]其中,所述特定启动时间是,恶意文件的自启动时间或恶意载体的间隔性访问时间,该特定启动时间需要进行一段时间的观察确定。
[0020]本发明其次提供了一种Linux下的可疑文件发现系统实施例,如图2所示,包括: 遍历模块201,用于遍历特定目录下的所有文件,并获取所有文件的时间信息,包括:
访问时间、修改时间和特性时间;
比较模块202,用于比较所有文件的特性时间,获取具备最新特性时间的文件的时间信息;
判断模块203,用于判断所述文件的特性时间是否大于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
[0021]进一步地,若比较模块发现所述具备最新特性时间的文件多于一个,则判断模块进行如下操作:查找在特定启动时间内访问时间发生更改的文件,并获取所述文件的时间信息,判断所述文件的特性时间是否大于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
[0022]综上所述,本发明公开的方法及系统实施例,通过对恶意文件本身的行为特征进行分析,并通过定时查看特定目录下的所有文件,通过获取所有文件的时间信息,找到具备最新特性时间的文件的时间信息;若该文件的特性时间大于修改时间,则认为该文件为可疑文件,因为其具备恶意文件的行为特征。本发明所述的技术方案较比传统方案更加简单易用,其检测效果也更好,当发现可疑文件后,可以根据需要进行更进一步的检测和处理。
[0023]以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
【主权项】
1.一种Linux下的可疑文件发现方法,其特征在于,包括: 遍历特定目录下的所有文件,并获取所有文件的时间信息,包括:访问时间、修改时间和特性时间; 比较所有文件的特性时间,获取具备最新特性时间的文件的时间信息; 判断所述文件的特性时间是否大于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。2.如权利要求1所述的方法,其特征在于,若所述具备最新特性时间的文件多于一个,则查找在特定启动时间内访问时间发生更改的文件,并获取所述文件的时间信息,判断所述文件的特性时间是否大于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。3.—种Linux下的可疑文件发现系统,其特征在于,包括: 遍历模块,用于遍历特定目录下的所有文件,并获取所有文件的时间信息,包括:访问时间、修改时间和特性时间; 比较模块,用于比较所有文件的特性时间,获取具备最新特性时间的文件的时间信息; 判断模块,用于判断所述文件的特性时间是否大于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。4.如权利要求3所述的系统,其特征在于,若比较模块发现所述具备最新特性时间的文件多于一个,则判断模块进行如下操作:查找在特定启动时间内访问时间发生更改的文件,并获取所述文件的时间信息,判断所述文件的特性时间是否大于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。
【专利摘要】本发明公开了一种Linux下的可疑文件发现方法,包括:遍历特定目录下的所有文件,并获取所有文件的时间信息,包括:访问时间、修改时间和特性时间;比较所有文件的特性时间,获取具备最新特性时间的文件的时间信息;判断所述文件的特性时间是否大于修改时间,若是,则所述文件为可疑文件,进行后续检测,否则所述文件为安全文件。本发明同时还公开了一种Linux下的可疑文件发现系统。本发明所述方案能够帮助普通用户发现可疑文件,保证系统安全使用。
【IPC分类】G06F21/55
【公开号】CN105488390
【申请号】CN201410761534
【发明人】汤洪飞, 张念念, 李柏松
【申请人】哈尔滨安天科技股份有限公司
【公开日】2016年4月13日
【申请日】2014年12月13日