一种文件篡改检测及修复的方法和系统的制作方法

一种文件篡改检测及修复的方法和系统的制作方法
【专利摘要】本发明提供了一种文件篡改检测及修复的方法及系统，所述方法为：扫描获得系统中所有可信文件的HASH值及文件路径，并进行存储；监控系统中的所有文件，与HASH库对比，判断是否有异常文件或新增文件，则根据常态规则库及常态模型进行匹配，如果常态模型匹配成功，则将匹配结果的规则添加到常态规则库中，否则提示用户进行处理。通过本发明的方法，能够有效识别系统中被篡改的文件或新增文件，并且常态规则库及常态模型的组合，能够对实时改变的文件或目录及时加入常态规则库，实现常态规则的自学习，减少用户操作。
【专利说明】一种文件篡改检测及修复的方法和系统
【技术领域】
[0001]本发明涉及计算机安全领域，特别涉及一种文件篡改检测及修复的方法和系统。【背景技术】
[0002]随着互联网技术的发展，计算机越发普及，一些存储于个人计算机或企业计算机、服务器中的重要文件越来越多，同时计算机病毒也在不断发展，如何保证存储文件的安全，是当前需要关注的问题。现在的一些感染式病毒或入侵者，尝尝会破坏或篡改计算机中的文件，而现有技术公知的方法中，对文件修复的方案，只针对系统文件进行修复，而对于大多数用户来说，存储于计算机上的个人文件或企业文件更加重要，而现有方法中，都是通过已知系统文件的备份来对系统文件进行检测及修复，无法识别个人文件等，因此更加需要一种能够针对计算机中任何文件进行监控和修改的方法。

【发明内容】

[0003]本发明提供了一种文件篡改检测及修复的方法和系统，解决了现有文件检测只针对系统文件，无法检测及修复用户存储的文件的问题，能够防范感染式病毒等对文件的修改，并实时监控及修复。
[0004]本发明提供了一种文件篡改检测及修复的方法，包括:
对当前系统全盘扫描，获取全部文件HASH及文件路径，并构建本地HASH库；即本地HASH对照表；
根据HASH库中的文件路径，检测所有文件，将判定为恶意的文件清除，并删除HASH库中对应的文件HASH及文件路径；检测文件可以通过利用已知的恶意代码检测方法和模块来实现；
将修改后的HASH库中的所有对应文件，生成本地系统镜像文件存储；
监控当前系统中所有文件的HASH，并与HASH库比对，判断是否有异常文件或新增文件，如果是，则将所述异常文件或新增文件发送到常态规则库检测，否则继续监控；
常态规则库根据预先存储的已知常规规则与异常文件或新增文件匹配，如果匹配成功，则系统放行，否则将所述异常文件或新增文件进行常态模型匹配；
获取所述异常文件或新增文件的事件属性，并与常态模型关联匹配，如果匹配成功，则将关联匹配后的规则添加到常态规则库中，并将所述异常文件或新增文件更新到本地系统镜像文件中；否则，提示用户进行处理。
[0005]所述的方法中，还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
[0006]所述的方法中，所述常态规则库中预先存储的已知常规规则为，根据用户或系统的正常操作或经常使用的已知常规操作提取的规则。当然还包括用户经常使用的第三方软件的常规操作。
[0007]所述的方法中，所述的常态模型，通过对所有文件常态监控，并对系统中所有修改或新增文件事件进行日志记录，及修改或新增文件过程中的元属性信息，进行关联分析得出常态模型。
[0008]所述的修改或新增文件过程中的元属性信息至少包括:系统IP、系统用户、修改或新增文件时间、文件目录及文件格式。
[0009]所述的方法中，所述提示用户进行处理还包括:提示用户选择进行文件修复，或添加到HASH库，或添加到常态规则库。
[0010]所述的方法中，如果用户选择进行文件修复，则从存储的本地系统镜像文件中或云端服务器中更新；如果用户选择添加到HASH库，则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中；如果用户选择添加到常态规则库，则需要用户手动录入规则，并将所述规则添加到常态规则库。
[0011]本发明还提供一种文件篡改检测及修复的系统，包括:
扫描模块，用于对当前系统全盘扫描，获取全部文件HASH及文件路径，并构建本地HASH 库；
检测模块，用于根据HASH库中的文件路径，检测所有文件，将判定为恶意的文件清除，并删除HASH库中对应的文件HASH及文件路径；
备份模块，用于将修改后的HASH库中的所有对应文件，生成本地系统镜像文件存储；监控模块，用于监控当前系统中所有文件的HASH，并与HASH库比对，判断是否有异常文件或新增文件，如果是，则将所述异常文件或新增文件发送到常态规则库检测，否则继续监控；
常态规则检查模块，用于常态规则库根据预先存储的已知常规规则与异常文件或新增文件匹配，如果匹配成功，则系统放行，否则将所述异常文件或新增文件进行常态模型匹配；
常态模型匹配模块，用于获取所述异常文件或新增文件的事件属性，并与常态模型关联匹配，如果匹配成功，则将关联匹配后的规则添加到常态规则库中，并将所述异常文件或新增文件更新到本地系统镜像文件中；否则，提示用户进行处理。
[0012]所述的系统中，还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
[0013]所述的系统中，所述常态规则库中预先存储的已知常规规则为，根据用户或系统的正常操作或经常使用的已知常规操作提取的规则。
[0014]所述的系统中，所述的常态模型，为根据系统中所有修改或新增文件的事件记录，及修改或新增文件过程中的元属性信息，进行关联分析得出。
[0015]所述的系统中，所述修改或新增文件过程中的元属性信息至少包括:系统IP、系统用户、修改或新增文件时间、文件目录及文件格式。
[0016]所述的系统中，所述提示用户进行处理还包括:提示用户选择进行文件修复，或添加到HASH库，或添加到常态规则库。
[0017]所述的系统中，如果用户选择进行文件修复，则从存储的本地系统镜像文件中或云端服务器中更新；如果用户选择添加到HASH库，则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中；如果用户选择添加到常态规则库，则需要用户手动录入规则，并将所述规则添加到常态规则库。[0018]本发明的优势在于，能够对系统中所有的文件进行监控，并对被判定为篡改的文件进行修复；根据系统或用户常规操作提取规则，形成常态规则库，能够对系统中被修改过或新增文件进行判定，在常态规则库无法判定时，还可以通过常态模型进行关联分析，来判定异常文件或新增文件是否可疑；同时常态模型还能够将匹配后新增的规则反馈到常态规则库中，试常态规则库能够主动学习更新。
[0019]本发明提供了一种文件篡改检测及修复的方法及系统，所述方法为:扫描获得系统中所有可信文件的HASH值及文件路径，并进行存储；监控系统中的所有文件，与HASH库对比，判断是否有异常文件或新增文件，则根据常态规则库及常态模型进行匹配，如果常态模型匹配成功，则将匹配结果的规则添加到常态规则库中，否则提示用户进行处理。通过本发明的方法，能够有效识别系统中被篡改的文件或新增文件，并且常态规则库及常态模型的组合，能够对实时改变的文件或目录及时加入常态规则库，实现常态规则的自学习，减少用户操作。
【专利附图】

【附图说明】
[0020]为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0021]图1为本发明文件篡改检测及修复的方法流程图；
图2为本发明文件篡改检测及修复的系统结构示意图。
【具体实施方式】
[0022]为了使本【技术领域】的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。
[0023]本发明提供了一种文件篡改检测及修复的方法和系统，解决了现有文件检测只针对系统文件，无法检测及修复用户存储的文件的问题，能够防范感染式病毒等对文件的修改，并实时监控及修复。
[0024]本发明提供了一种文件篡改检测及修复的方法，如图1所示，包括:
SlOl:对当前系统全盘扫描，获取全部文件HASH及文件路径，并构建本地HASH库；gp本地HASH对照表；
S102:根据HASH库中的文件路径，检测所有文件，将判定为恶意的文件清除，并删除HASH库中对应的文件HASH及文件路径；
检测文件可以通过利用已知的恶意代码检测方法和模块来实现，现在对于恶意代码检测的方法比较成熟，方式也很多，通过进行恶意代码检测，能够对全盘所有文件进行初步定性,对于检出的恶意文件,进行删除,并更新本地HASH库，能够保证本地HASH库中的文件全部为可信文件；
S103:将修改后的HASH库中的所有对应文件，生成本地系统镜像文件存储；同时还可以将文件上传到云端服务器备份；5104:监控当前系统中所有文件的HASH，并与HASH库比对，判断是否有异常文件或新增文件，如果是，则将所述异常文件或新增文件发送到常态规则库检测，否则继续监控；
根据得到的文件计算文件HASH和获得文件路径，使用HASH库进行检测，如果存在且两者完全一样则认为此文件未被修改，如果文件HASH或文件路径有一个不匹配，则认为当前文件为异常文件或新增文件；
5105:常态规则库根据预先存储的已知常规规则与异常文件或新增文件匹配，如果匹配成功，则系统放行，否则将所述异常文件或新增文件进行常态模型匹配；
所述常态规则库中预先存储的已知常规规则为，根据用户或系统的正常操作或经常使用的已知常规操作提取的规则。当然还包括用户经常使用的第三方软件的常规操作。如第三方软件都会有一个固定文件夹存储所产生的或下载文件； 常态规则库主要是在初始化时通过前期的收集整理，用户设定和系统设定的规则，t匕如系统日志文件或目录、系统临时文件或目录、系统补丁更新文件或目录、可信第三方软件的相关文件或目录、用户自己制定的文件或目录等。对于此类目录，认为是可信的，并根据文件或目录的形态，以正则表达式的方式提取相关规则，并组成初始的常态规则库。同时常态规则库还能够根据常态模型进行学习补充。
[0025]对于常态规则库中的规则提取，以下举例说明:
1.对于文件，在同一目录下，文件HASH不同，但文件名类似，根据文件名提取同一规贝IJ，例如:
C:/第三方软件 A/log/134785269.txt ；
C:/第三方软件 A/log/135386569.txt ；
C:/ 第三方软件 A/log/234.txt ；
C:/第三方软件 A/log/135895269.jpg ；
在以上文件形态中，认为前两种格式为可信文件，后两种为不可信文件，则提取规则为:C:/ 第三方软件 A/log/ \d{10}.txt。
[0026]2.对于目录来说，对指定目录下的文件，认为可以不属于监控范围，并根据文件路径提取规则，比如系统的临时目录，每访问一次浏览器，都会将页面上的所有媒体文件、cookie信息文件等保存到该目录下，因此将此目录设定到常态规则库中，例如:
C:/Users/ 用户名 /AppData/Local/Microsoft/ffindows/Temporary InternetFiles/ ；
对于以上目录提取的规则如下:
C:/Users/ 用户名 /AppData/Local/Microsoft/ffindows/Temporary InternetFiles/氺。
[0027]3.对于非指定文件和文件目录的情况，基于对文件和目录整体的形态进行提取规贝1J。例如:
D:/work/2013-10-01/test.txt ；
D:/work/2013-10-02/test2.txt ；
D:/work/2013-10-01/test, exe ；
D:/work/abc/test, txt ；
比如以上文件和目录形态中，仅对前两类形态认为是可信的，而对其他认为是不可信的，贝1J可提取规则如下:D:/work/[19|20]\d{3}-\d{2}-\d{2}/.+.txt。
[0028]S106:获取所述异常文件或新增文件的事件属性，并与常态模型关联匹配，如果匹配成功，则将关联匹配后的规则添加到常态规则库中，并将所述异常文件或新增文件更新到本地系统镜像文件中；否则，提示用户进行处理。
[0029]常态模型，主要是针对系统中所有文件的监控，基于系统及用户习惯，记录文件修改或新增的记录日志，从中统计得出规律，是对系统中日志的长期记录对于后续的每一次修改，都增加到常态模型统计记录中。根据常态模型，识别常态规则库中未能识别的文件，如果属于常态模型范围内，则认为可信，并将得到的规则添加到常态规则库中，以达到常态规则库自更新学习的目的。
[0030]对于常态模型的关联统计识别范围举例如下:
海量的修改文件或新增文件事件库；
海量的修改文件或新增文件事件库；
根据记录的事件元属性，对指定文件或目录修改/新增的频率TOP统计；
根据记录的事件元属性，对指定文件或目录修改/新增的时间段TOP统计；
根据记录的事件元属性，对指定文件或目录修改/新增的系统IP主机TOP统计；
根据记录的事件元属性，对指定文件或目录修改/新增的系统用户TOP统计；
根据记录的事件元属性，对指定文件的文件格式的TOP统计；
根据记录的事件元属性，统计分析出指定文件的目录的TOP统计。
[0031]基于以上数据的关联分析，从中得到系统或用户修改、新增文件或目录的常态习惯，得到常态模型，用以进行检测。
[0032]所述的方法中，还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
[0033]所述的方法中，所述的常态模型，通过对所有文件常态监控，并对系统中所有修改或新增文件事件进行日志记录，及修改或新增文件过程中的元属性信息，进行关联分析得出常态模型。
[0034]所述的修改或新增文件过程中的元属性信息至少包括:系统IP、系统用户、修改或新增文件时间、文件目录及文件格式。
[0035]所述的方法中，所述提示用户进行处理还包括:提示用户选择进行文件修复，或添加到HASH库，或添加到常态规则库。
[0036]所述的方法中，如果用户选择进行文件修复，则从存储的本地系统镜像文件中或云端服务器中更新，当然还可以通过P2P的方式，从其他设备系统上查找相同文件恢复；如果用户选择添加到HASH库，则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中；由于已知的常态规则库或常态模型中都未能匹配到当前文件名及文件目录，即为不常修改或添加的文件或目录，系统认为是可疑的事件，需要用户自行判断，有可能是用户临时需要操作的文件或目录，也可能是用户认为此文件或目录为可信的，因此当用户认为文件可信时，则可以手动增加到HASH库中；如果用户选择添加到常态规则库，则需要用户手动录入规则，并将所述规则添加到常态规则库。
[0037]本发明还提供一种文件篡改检测及修复的系统，如图2所示，包括:
扫描模块201，用于对当前系统全盘扫描，获取全部文件HASH及文件路径，并构建本地HASH 库；
检测模块202，用于根据HASH库中的文件路径，检测所有文件，将判定为恶意的文件清除，并删除HASH库中对应的文件HASH及文件路径；
备份模块203，用于将修改后的HASH库中的所有对应文件，生成本地系统镜像文件存
储；
监控模块204，用于监控当前系统中所有文件的HASH，并与HASH库比对，判断是否有异常文件或新增文件，如果是，则将所述异常文件或新增文件发送到常态规则库检测，否则继续监控；
常态规则检查模块205，用于常态规则库根据预先存储的已知常规规则与异常文件或新增文件匹配，如果匹配成功，则系统放行，否则将所述异常文件或新增文件进行常态模型匹配；
常态模型匹配模块206，用于获取所述异常文件或新增文件的事件属性，并与常态模型关联匹配，如果匹配成功，则将关联匹配后的规则添加到常态规则库中，并将所述异常文件或新增文件更新到本地系统镜像文件中；否则，提示用户进行处理。
[0038]所述的系统中，还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
[0039]所述的系统中，所述常态规则库中预先存储的已知常规规则为，根据用户或系统的正常操作或经常使用的已知常规操作提取的规则。
[0040]所述的系统中，所述的常态模型，为根据系统中所有修改或新增文件的事件记录，及修改或新增文件过程中的元属性信息，进行关联分析得出。
[0041]所述的系统中，所述修改或新增文件过程中的元属性信息至少包括:系统IP、系统用户、修改或新增文件时间、文件目录及文件格式。
[0042]所述的系统中，所述提示用户进行处理还包括:提示用户选择进行文件修复，或添加到HASH库，或添加到常态规则库。
[0043]所述的系统中，如果用户选择进行文件修复，则从存储的本地系统镜像文件中或云端服务器中更新；如果用户选择添加到HASH库，则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中；如果用户选择添加到常态规则库，则需要用户手动录入规则，并将所述规则添加到常态规则库。
[0044]本发明的优势在于，能够对系统中所有的文件进行监控，并对被判定为篡改的文件进行修复；根据系统或用户常规操作提取规则，形成常态规则库，能够对系统中被修改过或新增文件进行判定，在常态规则库无法判定时，还可以通过常态模型进行关联分析，来判定异常文件或新增文件是否可疑；同时常态模型还能够将匹配后新增的规则反馈到常态规则库中，试常态规则库能够主动学习更新。
[0045]本发明提供了一种文件篡改检测及修复的方法及系统，所述方法为:扫描获得系统中所有可信文件的HASH值及文件路径，并进行存储；监控系统中的所有文件，与HASH库对比，判断是否有异常文件或新增文件，则根据常态规则库及常态模型进行匹配，如果常态模型匹配成功，则将匹配结果的规则添加到常态规则库中，否则提示用户进行处理。通过本发明的方法，能够有效识别系统中被篡改的文件或新增文件，并且常态规则库及常态模型的组合，能够对实时改变的文件或目录及时加入常态规则库，实现常态规则的自学习，减少用户操作。
[0046]虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【权利要求】
1.一种文件篡改检测及修复的方法，其特征在于，包括: 对当前系统全盘扫描，获取全部文件HASH及文件路径，并构建本地HASH库； 根据HASH库中的文件路径，检测所有文件，将判定为恶意的文件清除，并删除HASH库中对应的文件HASH及文件路径； 将修改后的HASH库中的所有对应文件，生成本地系统镜像文件存储； 监控当前系统中所有文件的HASH，并与HASH库比对，判断是否有异常文件或新增文件，如果是，则将所述异常文件或新增文件发送到常态规则库检测，否则继续监控； 常态规则库根据预先存储的已知常规规则与异常文件或新增文件匹配，如果匹配成功，则系统放行，否则将所述异常文件或新增文件进行常态模型匹配； 获取所述异常文件或新增文件的事件属性，并与常态模型关联匹配，如果匹配成功，则将关联匹配后的规则添加到常态规则库中，并将所述异常文件或新增文件更新到本地系统镜像文件中；否则，提示用户进行处理。
2.如权利要求1所述的方法，其特征在于，还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
3.如权利要求1所述 的方法，其特征在于，所述常态规则库中预先存储的已知常规规则为，根据用户或系统的正常操作或经常使用的已知常规操作提取的规则。
4.如权利要求1所述的方法，其特征在于，所述的常态模型，为根据系统中所有修改或新增文件的事件记录，及修改或新增文件过程中的元属性信息，进行关联分析得出。
5.如权利要求4所述的方法，其特征在于，所述修改或新增文件过程中的元属性信息至少包括:系统IP、系统用户、修改或新增文件时间、文件目录及文件格式。
6.如权利要求1所述的方法，其特征在于，所述提示用户进行处理还包括:提示用户选择进行文件修复，或添加到HASH库，或添加到常态规则库。
7.如权利要求6所述的方法，其特征在于，如果用户选择进行文件修复，则从存储的本地系统镜像文件中或云端服务器中更新；如果用户选择添加到HASH库，则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中；如果用户选择添加到常态规则库，则需要用户手动录入规则，并将所述规则添加到常态规则库。
8.一种文件篡改检测及修复的系统，其特征在于，包括: 扫描模块，用于对当前系统全盘扫描，获取全部文件HASH及文件路径，并构建本地HASH 库； 检测模块，用于根据HASH库中的文件路径，检测所有文件，将判定为恶意的文件清除，并删除HASH库中对应的文件HASH及文件路径； 备份模块，用于将修改后的HASH库中的所有对应文件，生成本地系统镜像文件存储；监控模块，用于监控当前系统中所有文件的HASH，并与HASH库比对，判断是否有异常文件或新增文件，如果是，则将所述异常文件或新增文件发送到常态规则库检测，否则继续监控； 常态规则检查模块，用于常态规则库根据预先存储的已知常规规则与异常文件或新增文件匹配，如果匹配成功，则系统放行，否则将所述异常文件或新增文件进行常态模型匹配； 常态模型匹配模块，用于获取所述异常文件或新增文件的事件属性，并与常态模型关联匹配，如果匹配成功，则将关联匹配后的规则添加到常态规则库中，并将所述异常文件或新增文件更新到本地系统镜像文件中；否则，提示用户进行处理。
9.如权利要求8所述的系统， 其特征在于，还包括:将修改后的HASH库中的所有对应文件上传到云端服务器存储。
10.如权利要求8所述的系统，其特征在于，所述常态规则库中预先存储的已知常规规则为，根据用户或系统的正常操作或经常使用的已知常规操作提取的规则。
11.如权利要求8所述的系统，其特征在于，所述的常态模型，为根据系统中所有修改或新增文件的事件记录，及修改或新增文件过程中的元属性信息，进行关联分析得出。
12.如权利要求11所述的系统，其特征在于，所述修改或新增文件过程中的元属性信息至少包括:系统IP、系统用户、修改或新增文件时间、文件目录及文件格式。
13.如权利要求8所述的系统，其特征在于，所述提示用户进行处理还包括:提示用户选择进行文件修复，或添加到HASH库，或添加到常态规则库。
14.如权利要求13所述的系统，其特征在于，如果用户选择进行文件修复，则从存储的本地系统镜像文件中或云端服务器中更新；如果用户选择添加到HASH库，则将所述异常文件或新增文件的HASH及文件路径添加到HASH库中；如果用户选择添加到常态规则库，则需要用户手动录入规则，并将所述规则添加到常态规则库。
【文档编号】G06F21/10GK103902855SQ201310689374
【公开日】2014年7月2日 申请日期:2013年12月17日 优先权日:2013年12月17日
【发明者】任洪伟, 刘佳男, 李柏松 申请人:哈尔滨安天科技股份有限公司