用于检测文件的完整性的系统和方法
用于检测文件的完整性的系统和方法
【专利摘要】本发明提供了一种用于检测文件的完整性的系统,包括:配置单元,被配置为选择需要检测的文件以及定义检测策略;检测单元,被配置为对需要检测的文件进行完整性检测,以及对需要检测的文件进行备份;以及存储单元,被配置为存储完整性检测的结果。本发明还提供了一种用于检测文件的完整性的方法。本发明改善了对文件完整性检查的鲁棒性,提高了文件检测的有效性。
【专利说明】用于检测文件的完整性的系统和方法
【技术领域】
[0001]本发明涉及移动通信领域。更具体地,本发明涉及一种用于检测文件的完整性的系统和方法。
【背景技术】
[0002]目前,基于移动终端无论是从系统级别还是应用级别来判断文件是否正常的依据,往往是判断系统或应用是否能够正常加载系统启动或初始化所需的文件。如果没有问题,则会认为系统或应用需要的文件是完整的,是可以被正常加载的。
[0003]然而,通过系统或应用是否能否正常加载来判断文件完整性的方法往往会忽略潜在的安全风险。从安全性角度来说,该文件在满足可以被加载的情况下,可能会存在被非文件属主进行篡改的恶意行为。针对这种状况,现有方法则无能为力。直接结果就是,当某些文件被恶意修改后,即使能被正常加载或运行,但该文件原始完整性的安全要素已被破坏,导致该文件处在较高安全风险状态。
【发明内容】
[0004]为了解决上述问题,本发明提出了一种用于检测文件的完整性的系统和方法。本发明通过检测文件发生的变化来发现文件被篡改的恶意行为,并通过备份手段将被篡改的文件恢复至最新正常状态,从而能实现对系统或应用文件的完整性检测。
[0005]具体地,根据本发明的第一方案,提供了一种用于检测文件的完整性的系统,包括:配置单元,被配置为选择需要检测的文件以及定义检测策略;检测单元,被配置为对需要检测的文件进行完整性检测,以及对需要检测的文件进行备份;以及存储单元,被配置为存储完整性检测的结果。
[0006]在一个实施例中,所述检测单元以需要检测的文件的文件名作为关键字,将该文件的属性信息保存到所述存储单元中,所述属性信息包括以下一个或更多个:该文件的哈希值(例如SHAl值)、文件大小、访问权限、创建日期、修改日期、所属组信息和文件路径。
[0007]在一个实施例中,所述检测单元将需要检测的文件的备份保存在指定位置。
[0008]在一个实施例中,所述检测单元周期性地执行文件的完整性检测。
[0009]在一个实施例中,所述检测单元采用映射表的方式将当前的完整性检测的结果与先前的完整性检测的结果进行比较,以确定文件的完整性是否被破坏。
[0010]在一个实施例中,所述检测单元将完整性被破坏的文件的信息记录到结果文件中,并向所述配置单元返回所述结果文件。
[0011]在一个实施例中,所述配置单元向用户展示结果文件,接收用户的选择以确定是否接受对文件的更改,并将用户的选择返回所述检测单元。
[0012]在一个实施例中,如果用户选择接受对文件的更改,则所述检测单元接受更改的文件信息,将其更新到所述存储单元中,并将该文件存储到指定位置。
[0013]在一个实施例中,如果用户选择不接受对文件的更改,则所述检测单元从指定位置获取该文件的备份,并以该备份替换发生更改的文件。
[0014]根据本发明的第二方案,提供了一种用于检测文件的完整性的方法,包括:选择需要检测的文件以及定义检测策略;对需要检测的文件进行完整性检测,以及对需要检测的文件进行备份;以及存储完整性检测的结果。
[0015]在一个实施例中,对需要检测的文件进行完整性检测包括:以需要检测的文件的文件名作为关键字,保存该文件的属性信息,所述属性信息包括以下一个或更多个:该文件的哈希值、文件大小、访问权限、创建日期、修改日期、所属组信息和文件路径。
[0016]在一个实施例中,将需要检测的文件的备份保存在指定位置。
[0017]在一个实施例中,周期性地执行文件的完整性检测。
[0018]在一个实施例中,对需要检测的文件进行完整性检测包括:采用映射表的方式将当前的完整性检测的结果与先前的完整性检测的结果进行比较,以确定文件的完整性是否被破坏。
[0019]在一个实施例中,该方法还包括:将完整性被破坏的文件的信息记录到结果文件中,并返回所述结果文件。
[0020]在一个实施例中,该方法还包括:向用户展示结果文件,接收用户的选择以确定是否接受对文件的更改,并返回用户的选择。
[0021]在一个实施例中,如果用户选择接受对文件的更改,则接受更改的文件信息,将其进行更新,并将该文件存储到指定位置。
[0022]在一个实施例中,如果用户选择不接受对文件的更改,则从指定位置获取该文件的备份,并以该备份替换发生更改的文件。
[0023]本发明通过检测文件发生的变化,判断系统或应用文件是否存在被篡改行为,及时地帮助用户发现文件被篡改的恶意行为,并可通过有效备份手段将被篡改的文件恢复至最新正常状态。本发明改善了对文件完整性检查的鲁棒性,提高了文件检测的有效性。
【专利附图】
【附图说明】
[0024]通过下面结合【专利附图】
【附图说明】本发明的优选实施例,将使本发明的上述及其它目的、特征和优点更加清楚,其中:
[0025]图1是示出了根据本发明一个实施例的用于检测文件的完整性的系统的框图。
[0026]图2是示出了根据本发明一个实施例的用于检测文件的完整性的方法的流程图。
[0027]在本发明的所有附图中,相同或相似的结构均以相同或相似的附图标记来标识。
【具体实施方式】
[0028]下面参照附图对本发明的优选实施例进行详细说明,在描述过程中省略了对于本发明来说是不必要的细节和功能,以防止对本发明的理解造成混淆。
[0029]图1是示出了根据本发明一个实施例的用于检测文件的完整性的系统的框图。如图1所示,系统10包括配置单元110、检测单元120和存储单元130。下面,对图1所示的系统10的各个组件进行详细描述。
[0030]配置单元110被配置为选择需要检测的文件以及定义检测策略。例如,配置单元110可以提供配置操作界面以选择需要进行检测的文件或文件范围,并以XML文件方式采用DES加密方式进行存储。同时,配置单元110可以通过文件的哈希值、创建人、修改人和采取动作四个要素来定义完整性检测安全策略。
[0031]检测单元120被配置为对需要检测的文件进行完整性检测,以及对需要检测的文件进行备份。在一个实施例中,检测单元120可以以需要检测的文件的文件名作为关键字,将该文件的属性信息保存到所述存储单元中,所述属性信息可以包括以下一个或更多个:该文件的哈希值(例如SHAl值)、文件大小、访问权限、创建日期、修改日期、所属组信息和文件路径。;例如,该文件的属性信息可以是文件完整性基线数据库BFID信息。
[0032]另外,检测单元120还可以将需要检测的文件的备份保存在指定位置,以便在文件遭到破坏的情况下恢复该文件时使用。
[0033]在一个实施例中,检测单元120可以周期性地执行文件的完整性检测。
[0034]在一个实施例中,检测单元120采用映射表的方式将当前的完整性检测的结果与先前的完整性检测的结果进行比较,以确定文件的完整性是否被破坏。例如,检测单元120可以依据在存储器中形成临时检测文件完整性基线数据库内容T_BFID,并通过映射方式进行组织。同时,加载BFID信息,通过映射表方式以〈文件名XML结点内容 > 在存储中组织存放。
[0035]然后,检测单元120比较T_BFID与BFID,如果发现文件的属性(例如哈希值、文件大小、创建日期、更改日期、创建人、修改人)中任何一项存在不一致时,检测单元120查询检测策略以确定是否需要将该文件完整性违反事件进行记录。如果需要,检测单元120将对应的文件信息记录到完整性检测结果文件ICR中,并继续检测下一文件。如果不是,则继续检测下一文件。即,检测单元120可以将完整性被破坏的文件的信息记录到结果文件中,并向配置单元110返回结果文件ICR。
[0036]配置单元110向用户展示结果文件,接收用户的选择以确定是否接受对文件的更改,并将用户的选择返回检测单元120。如果用户选择接受对文件的更改,则检测单元120接受更改的文件信息,将其更新到所述存储单元中,并将该文件存储到指定位置。否则,如果用户选择不接受对文件的更改,则检测单元120从指定位置获取该文件的备份,并以该备份替换发生更改的文件。例如,检测单元120可以针对不允许进行更改的文件,以文件名为关键信息来获取最近的对应备份文件,从而替换发生更改的文件,并保存替换结果的日
肩、。
[0037]优选地,当系统关闭时,检测单元120会监测系统关闭消息。一旦监测到该消息,检测单元120首先接管系统关闭事件,然后进行上述检测过程。在执行了检测过程后,释放系统关闭事件接管,使得系统继续关闭操作。这样,可以在每次系统关闭时,确保文件的完整性。
[0038]存储单元130被配置为存储完整性检测的结果。例如,存储单元130可以以XML文件方式存储检测单元110检测到的文件完整性数据,并且使用DES方式将该文件存放在指定位置。
[0039]本实施例通过检测文件发生的变化,判断系统或应用文件是否存在被篡改行为,及时地帮助用户发现文件被篡改的恶意行为,并可通过有效备份手段将被篡改的文件恢复至最新正常状态。本实施例改善了对文件完整性检查的鲁棒性,提高了文件检测的有效性。
[0040]图2是示出了根据本发明一个实施例的用于检测文件的完整性的方法的流程图。如图2所示,方法20在步骤S210处开始。
[0041]在步骤S220处,选择需要检测的文件以及定义检测策略。在一个实施例中,对需要检测的文件进行完整性检测可以包括:以需要检测的文件的文件名作为关键字,保存该文件的属性信息,所述属性信息包括以下一个或更多个:该文件的哈希值、文件大小、访问权限、创建日期、修改日期、所属组信息和文件路径。优选地,将需要检测的文件的备份保存在指定位置。
[0042]在步骤S230处,对需要检测的文件进行完整性检测,以及对需要检测的文件进行备份。
[0043]在步骤S240处,存储完整性检测的结果。
[0044]在一个实施例中,可以周期性地执行步骤S220(即文件的完整性检测步骤)。
[0045]在一个实施例中,对需要检测的文件进行完整性检测的步骤S230还可以包括:采用映射表的方式将当前的完整性检测的结果与先前的完整性检测的结果进行比较,以确定文件的完整性是否被破坏。 [0046]在一个实施例中,将完整性被破坏的文件的信息记录到结果文件中,并返回所述结果文件。向用户展示结果文件,接收用户的选择以确定是否接受对文件的更改,并返回用户的选择。如果用户选择接受对文件的更改,则接受更改的文件信息,将其进行更新,并将该文件存储到指定位置。如果用户选择不接受对文件的更改,则从指定位置获取该文件的备份,并以该备份替换发生更改的文件。例如,可以针对不允许进行更改的文件,以文件名为关键信息来获取最近的对应备份文件,从而替换发生更改的文件,并保存替换结果的日
肩、。
[0047]最后,方法20在步骤S250处结束。
[0048]应该理解,本发明的上述实施例可以通过软件、硬件或者软件和硬件两者的结合来实现。例如,图1所示的系统10内的各种组件可以通过多种器件来实现,这些器件包括但不限于:模拟电路、数字电路、通用处理器、数字信号处理(DSP)电路、可编程处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、可编程逻辑器件(CPLD),等等。另外,系统10内的各种组件也可以通过硬件与软件相结合的方式来实现,或者完全以软件的形式来实现。
[0049]本领域的技术人员可以理解,本发明实施例中描述的数据可以存储在本地数据库中,也可以存储在分布式数据库中或者可以存储在远程数据库中。
[0050]此外,这里所公开的本发明的实施例可以在计算机程序产品上实现。更具体地,该计算机程序产品是如下的一种产品:具有计算机可读介质,计算机可读介质上编码有计算机程序逻辑,当在计算设备上执行时,该计算机程序逻辑提供相关的操作以实现本发明的上述技术方案。当在计算系统的至少一个处理器上执行时,计算机程序逻辑使得处理器执行本发明实施例所述的操作(方法)。本发明的这种设置典型地提供为设置或编码在例如光介质(例如CD-ROM)、软盘或硬盘等的计算机可读介质上的软件、代码和/或其他数据结构、或者诸如一个或多个ROM或RAM或PROM芯片上的固件或微代码的其他介质、或一个或多个模块中的可下载的软件图像、共享数据库等。软件或固件或这种配置可安装在计算设备上,以使得计算设备中的一个或多个处理器执行本发明实施例所描述的技术方案。
[0051]至此已经结合优选实施例对本发明进行了描述。应该理解,本领域技术人员在不脱离本发明的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本发明的范围不局限于上述特定实施例,而应由所附权利要求所限定。
【权利要求】
1.一种用于检测文件的完整性的系统,包括: 配置单元,被配置为选择需要检测的文件以及定义检测策略; 检测单元,被配置为对需要检测的文件进行完整性检测,以及对需要检测的文件进行备份;以及 存储单元,被配置为存储完整性检测的结果。
2.根据权利要求1所述的系统,其中,所述检测单元以需要检测的文件的文件名作为关键字,将该文件的属性信息保存到所述存储单元中,所述属性信息包括以下一个或更多个:该文件的哈希值、文件大小、访问权限、创建日期、修改日期、所属组信息和文件路径。
3.根据权利要求1所述的系统,其中,所述检测单元将需要检测的文件的备份保存在指定位置。
4.根据权利要求1所述的系统,其中,所述检测单元周期性地执行文件的完整性检测。
5.根据权利要求1所述的系统,其中,所述检测单元采用映射表的方式将当前的完整性检测的结果与先前的完整性检测的结果进行比较,以确定文件的完整性是否被破坏。
6.根据权利要求5所述的系统,其中,所述检测单元将完整性被破坏的文件的信息记录到结果文件中,并向所述配置单元返回所述结果文件。
7.根据权利要求6所 述的系统,其中,所述配置单元向用户展示结果文件,接收用户的选择以确定是否接受对文件的更改,并将用户的选择返回所述检测单元。
8.根据权利要求7所述的系统,其中,如果用户选择接受对文件的更改,则所述检测单元接受更改的文件信息,将其更新到所述存储单元中,并将该文件存储到指定位置。
9.根据权利要求7所述的系统,其中,如果用户选择不接受对文件的更改,则所述检测单元从指定位置获取该文件的备份,并以该备份替换发生更改的文件。
10.一种用于检测文件的完整性的方法,包括: 选择需要检测的文件以及定义检测策略; 对需要检测的文件进行完整性检测,以及对需要检测的文件进行备份;以及 存储完整性检测的结果。
11.根据权利要求10所述的方法,其中,对需要检测的文件进行完整性检测包括:以需要检测的文件的文件名作为关键字,保存该文件的属性信息,所述属性信息包括以下一个或更多个:该文件的哈希值、文件大小、访问权限、创建日期、修改日期、所属组信息和文件路径。
12.根据权利要求10所述的方法,其中,将需要检测的文件的备份保存在指定位置。
13.根据权利要求10所述的方法,其中,周期性地执行文件的完整性检测。
14.根据权利要求10所述的方法,其中,对需要检测的文件进行完整性检测包括:采用映射表的方式将当前的完整性检测的结果与先前的完整性检测的结果进行比较,以确定文件的完整性是否被破坏。
15.根据权利要求14所述的方法,还包括:将完整性被破坏的文件的信息记录到结果文件中,并返回所述结果文件。
16.根据权利要求15所述的方法,还包括:向用户展示结果文件,接收用户的选择以确定是否接受对文件的更改,并返回用户的选择。
17.根据权利要求16所述的方法,其中,如果用户选择接受对文件的更改,则接受更改的文件信息,将其进行更新,并将该文件存储到指定位置。
18.根据权利要求16所述的方法,其中,如果用户选择不接受对文件的更改,则从指定位置获取该文 件的备份,并以该备份替换发生更改的文件。
【文档编号】G06F21/64GK103761489SQ201410054709
【公开日】2014年4月30日 申请日期:2014年2月18日 优先权日:2014年2月18日
【发明者】陈继 申请人:北京网秦天下科技有限公司
【专利摘要】本发明提供了一种用于检测文件的完整性的系统,包括:配置单元,被配置为选择需要检测的文件以及定义检测策略;检测单元,被配置为对需要检测的文件进行完整性检测,以及对需要检测的文件进行备份;以及存储单元,被配置为存储完整性检测的结果。本发明还提供了一种用于检测文件的完整性的方法。本发明改善了对文件完整性检查的鲁棒性,提高了文件检测的有效性。
【专利说明】用于检测文件的完整性的系统和方法
【技术领域】
[0001]本发明涉及移动通信领域。更具体地,本发明涉及一种用于检测文件的完整性的系统和方法。
【背景技术】
[0002]目前,基于移动终端无论是从系统级别还是应用级别来判断文件是否正常的依据,往往是判断系统或应用是否能够正常加载系统启动或初始化所需的文件。如果没有问题,则会认为系统或应用需要的文件是完整的,是可以被正常加载的。
[0003]然而,通过系统或应用是否能否正常加载来判断文件完整性的方法往往会忽略潜在的安全风险。从安全性角度来说,该文件在满足可以被加载的情况下,可能会存在被非文件属主进行篡改的恶意行为。针对这种状况,现有方法则无能为力。直接结果就是,当某些文件被恶意修改后,即使能被正常加载或运行,但该文件原始完整性的安全要素已被破坏,导致该文件处在较高安全风险状态。
【发明内容】
[0004]为了解决上述问题,本发明提出了一种用于检测文件的完整性的系统和方法。本发明通过检测文件发生的变化来发现文件被篡改的恶意行为,并通过备份手段将被篡改的文件恢复至最新正常状态,从而能实现对系统或应用文件的完整性检测。
[0005]具体地,根据本发明的第一方案,提供了一种用于检测文件的完整性的系统,包括:配置单元,被配置为选择需要检测的文件以及定义检测策略;检测单元,被配置为对需要检测的文件进行完整性检测,以及对需要检测的文件进行备份;以及存储单元,被配置为存储完整性检测的结果。
[0006]在一个实施例中,所述检测单元以需要检测的文件的文件名作为关键字,将该文件的属性信息保存到所述存储单元中,所述属性信息包括以下一个或更多个:该文件的哈希值(例如SHAl值)、文件大小、访问权限、创建日期、修改日期、所属组信息和文件路径。
[0007]在一个实施例中,所述检测单元将需要检测的文件的备份保存在指定位置。
[0008]在一个实施例中,所述检测单元周期性地执行文件的完整性检测。
[0009]在一个实施例中,所述检测单元采用映射表的方式将当前的完整性检测的结果与先前的完整性检测的结果进行比较,以确定文件的完整性是否被破坏。
[0010]在一个实施例中,所述检测单元将完整性被破坏的文件的信息记录到结果文件中,并向所述配置单元返回所述结果文件。
[0011]在一个实施例中,所述配置单元向用户展示结果文件,接收用户的选择以确定是否接受对文件的更改,并将用户的选择返回所述检测单元。
[0012]在一个实施例中,如果用户选择接受对文件的更改,则所述检测单元接受更改的文件信息,将其更新到所述存储单元中,并将该文件存储到指定位置。
[0013]在一个实施例中,如果用户选择不接受对文件的更改,则所述检测单元从指定位置获取该文件的备份,并以该备份替换发生更改的文件。
[0014]根据本发明的第二方案,提供了一种用于检测文件的完整性的方法,包括:选择需要检测的文件以及定义检测策略;对需要检测的文件进行完整性检测,以及对需要检测的文件进行备份;以及存储完整性检测的结果。
[0015]在一个实施例中,对需要检测的文件进行完整性检测包括:以需要检测的文件的文件名作为关键字,保存该文件的属性信息,所述属性信息包括以下一个或更多个:该文件的哈希值、文件大小、访问权限、创建日期、修改日期、所属组信息和文件路径。
[0016]在一个实施例中,将需要检测的文件的备份保存在指定位置。
[0017]在一个实施例中,周期性地执行文件的完整性检测。
[0018]在一个实施例中,对需要检测的文件进行完整性检测包括:采用映射表的方式将当前的完整性检测的结果与先前的完整性检测的结果进行比较,以确定文件的完整性是否被破坏。
[0019]在一个实施例中,该方法还包括:将完整性被破坏的文件的信息记录到结果文件中,并返回所述结果文件。
[0020]在一个实施例中,该方法还包括:向用户展示结果文件,接收用户的选择以确定是否接受对文件的更改,并返回用户的选择。
[0021]在一个实施例中,如果用户选择接受对文件的更改,则接受更改的文件信息,将其进行更新,并将该文件存储到指定位置。
[0022]在一个实施例中,如果用户选择不接受对文件的更改,则从指定位置获取该文件的备份,并以该备份替换发生更改的文件。
[0023]本发明通过检测文件发生的变化,判断系统或应用文件是否存在被篡改行为,及时地帮助用户发现文件被篡改的恶意行为,并可通过有效备份手段将被篡改的文件恢复至最新正常状态。本发明改善了对文件完整性检查的鲁棒性,提高了文件检测的有效性。
【专利附图】
【附图说明】
[0024]通过下面结合【专利附图】
【附图说明】本发明的优选实施例,将使本发明的上述及其它目的、特征和优点更加清楚,其中:
[0025]图1是示出了根据本发明一个实施例的用于检测文件的完整性的系统的框图。
[0026]图2是示出了根据本发明一个实施例的用于检测文件的完整性的方法的流程图。
[0027]在本发明的所有附图中,相同或相似的结构均以相同或相似的附图标记来标识。
【具体实施方式】
[0028]下面参照附图对本发明的优选实施例进行详细说明,在描述过程中省略了对于本发明来说是不必要的细节和功能,以防止对本发明的理解造成混淆。
[0029]图1是示出了根据本发明一个实施例的用于检测文件的完整性的系统的框图。如图1所示,系统10包括配置单元110、检测单元120和存储单元130。下面,对图1所示的系统10的各个组件进行详细描述。
[0030]配置单元110被配置为选择需要检测的文件以及定义检测策略。例如,配置单元110可以提供配置操作界面以选择需要进行检测的文件或文件范围,并以XML文件方式采用DES加密方式进行存储。同时,配置单元110可以通过文件的哈希值、创建人、修改人和采取动作四个要素来定义完整性检测安全策略。
[0031]检测单元120被配置为对需要检测的文件进行完整性检测,以及对需要检测的文件进行备份。在一个实施例中,检测单元120可以以需要检测的文件的文件名作为关键字,将该文件的属性信息保存到所述存储单元中,所述属性信息可以包括以下一个或更多个:该文件的哈希值(例如SHAl值)、文件大小、访问权限、创建日期、修改日期、所属组信息和文件路径。;例如,该文件的属性信息可以是文件完整性基线数据库BFID信息。
[0032]另外,检测单元120还可以将需要检测的文件的备份保存在指定位置,以便在文件遭到破坏的情况下恢复该文件时使用。
[0033]在一个实施例中,检测单元120可以周期性地执行文件的完整性检测。
[0034]在一个实施例中,检测单元120采用映射表的方式将当前的完整性检测的结果与先前的完整性检测的结果进行比较,以确定文件的完整性是否被破坏。例如,检测单元120可以依据在存储器中形成临时检测文件完整性基线数据库内容T_BFID,并通过映射方式进行组织。同时,加载BFID信息,通过映射表方式以〈文件名XML结点内容 > 在存储中组织存放。
[0035]然后,检测单元120比较T_BFID与BFID,如果发现文件的属性(例如哈希值、文件大小、创建日期、更改日期、创建人、修改人)中任何一项存在不一致时,检测单元120查询检测策略以确定是否需要将该文件完整性违反事件进行记录。如果需要,检测单元120将对应的文件信息记录到完整性检测结果文件ICR中,并继续检测下一文件。如果不是,则继续检测下一文件。即,检测单元120可以将完整性被破坏的文件的信息记录到结果文件中,并向配置单元110返回结果文件ICR。
[0036]配置单元110向用户展示结果文件,接收用户的选择以确定是否接受对文件的更改,并将用户的选择返回检测单元120。如果用户选择接受对文件的更改,则检测单元120接受更改的文件信息,将其更新到所述存储单元中,并将该文件存储到指定位置。否则,如果用户选择不接受对文件的更改,则检测单元120从指定位置获取该文件的备份,并以该备份替换发生更改的文件。例如,检测单元120可以针对不允许进行更改的文件,以文件名为关键信息来获取最近的对应备份文件,从而替换发生更改的文件,并保存替换结果的日
肩、。
[0037]优选地,当系统关闭时,检测单元120会监测系统关闭消息。一旦监测到该消息,检测单元120首先接管系统关闭事件,然后进行上述检测过程。在执行了检测过程后,释放系统关闭事件接管,使得系统继续关闭操作。这样,可以在每次系统关闭时,确保文件的完整性。
[0038]存储单元130被配置为存储完整性检测的结果。例如,存储单元130可以以XML文件方式存储检测单元110检测到的文件完整性数据,并且使用DES方式将该文件存放在指定位置。
[0039]本实施例通过检测文件发生的变化,判断系统或应用文件是否存在被篡改行为,及时地帮助用户发现文件被篡改的恶意行为,并可通过有效备份手段将被篡改的文件恢复至最新正常状态。本实施例改善了对文件完整性检查的鲁棒性,提高了文件检测的有效性。
[0040]图2是示出了根据本发明一个实施例的用于检测文件的完整性的方法的流程图。如图2所示,方法20在步骤S210处开始。
[0041]在步骤S220处,选择需要检测的文件以及定义检测策略。在一个实施例中,对需要检测的文件进行完整性检测可以包括:以需要检测的文件的文件名作为关键字,保存该文件的属性信息,所述属性信息包括以下一个或更多个:该文件的哈希值、文件大小、访问权限、创建日期、修改日期、所属组信息和文件路径。优选地,将需要检测的文件的备份保存在指定位置。
[0042]在步骤S230处,对需要检测的文件进行完整性检测,以及对需要检测的文件进行备份。
[0043]在步骤S240处,存储完整性检测的结果。
[0044]在一个实施例中,可以周期性地执行步骤S220(即文件的完整性检测步骤)。
[0045]在一个实施例中,对需要检测的文件进行完整性检测的步骤S230还可以包括:采用映射表的方式将当前的完整性检测的结果与先前的完整性检测的结果进行比较,以确定文件的完整性是否被破坏。 [0046]在一个实施例中,将完整性被破坏的文件的信息记录到结果文件中,并返回所述结果文件。向用户展示结果文件,接收用户的选择以确定是否接受对文件的更改,并返回用户的选择。如果用户选择接受对文件的更改,则接受更改的文件信息,将其进行更新,并将该文件存储到指定位置。如果用户选择不接受对文件的更改,则从指定位置获取该文件的备份,并以该备份替换发生更改的文件。例如,可以针对不允许进行更改的文件,以文件名为关键信息来获取最近的对应备份文件,从而替换发生更改的文件,并保存替换结果的日
肩、。
[0047]最后,方法20在步骤S250处结束。
[0048]应该理解,本发明的上述实施例可以通过软件、硬件或者软件和硬件两者的结合来实现。例如,图1所示的系统10内的各种组件可以通过多种器件来实现,这些器件包括但不限于:模拟电路、数字电路、通用处理器、数字信号处理(DSP)电路、可编程处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、可编程逻辑器件(CPLD),等等。另外,系统10内的各种组件也可以通过硬件与软件相结合的方式来实现,或者完全以软件的形式来实现。
[0049]本领域的技术人员可以理解,本发明实施例中描述的数据可以存储在本地数据库中,也可以存储在分布式数据库中或者可以存储在远程数据库中。
[0050]此外,这里所公开的本发明的实施例可以在计算机程序产品上实现。更具体地,该计算机程序产品是如下的一种产品:具有计算机可读介质,计算机可读介质上编码有计算机程序逻辑,当在计算设备上执行时,该计算机程序逻辑提供相关的操作以实现本发明的上述技术方案。当在计算系统的至少一个处理器上执行时,计算机程序逻辑使得处理器执行本发明实施例所述的操作(方法)。本发明的这种设置典型地提供为设置或编码在例如光介质(例如CD-ROM)、软盘或硬盘等的计算机可读介质上的软件、代码和/或其他数据结构、或者诸如一个或多个ROM或RAM或PROM芯片上的固件或微代码的其他介质、或一个或多个模块中的可下载的软件图像、共享数据库等。软件或固件或这种配置可安装在计算设备上,以使得计算设备中的一个或多个处理器执行本发明实施例所描述的技术方案。
[0051]至此已经结合优选实施例对本发明进行了描述。应该理解,本领域技术人员在不脱离本发明的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本发明的范围不局限于上述特定实施例,而应由所附权利要求所限定。
【权利要求】
1.一种用于检测文件的完整性的系统,包括: 配置单元,被配置为选择需要检测的文件以及定义检测策略; 检测单元,被配置为对需要检测的文件进行完整性检测,以及对需要检测的文件进行备份;以及 存储单元,被配置为存储完整性检测的结果。
2.根据权利要求1所述的系统,其中,所述检测单元以需要检测的文件的文件名作为关键字,将该文件的属性信息保存到所述存储单元中,所述属性信息包括以下一个或更多个:该文件的哈希值、文件大小、访问权限、创建日期、修改日期、所属组信息和文件路径。
3.根据权利要求1所述的系统,其中,所述检测单元将需要检测的文件的备份保存在指定位置。
4.根据权利要求1所述的系统,其中,所述检测单元周期性地执行文件的完整性检测。
5.根据权利要求1所述的系统,其中,所述检测单元采用映射表的方式将当前的完整性检测的结果与先前的完整性检测的结果进行比较,以确定文件的完整性是否被破坏。
6.根据权利要求5所述的系统,其中,所述检测单元将完整性被破坏的文件的信息记录到结果文件中,并向所述配置单元返回所述结果文件。
7.根据权利要求6所 述的系统,其中,所述配置单元向用户展示结果文件,接收用户的选择以确定是否接受对文件的更改,并将用户的选择返回所述检测单元。
8.根据权利要求7所述的系统,其中,如果用户选择接受对文件的更改,则所述检测单元接受更改的文件信息,将其更新到所述存储单元中,并将该文件存储到指定位置。
9.根据权利要求7所述的系统,其中,如果用户选择不接受对文件的更改,则所述检测单元从指定位置获取该文件的备份,并以该备份替换发生更改的文件。
10.一种用于检测文件的完整性的方法,包括: 选择需要检测的文件以及定义检测策略; 对需要检测的文件进行完整性检测,以及对需要检测的文件进行备份;以及 存储完整性检测的结果。
11.根据权利要求10所述的方法,其中,对需要检测的文件进行完整性检测包括:以需要检测的文件的文件名作为关键字,保存该文件的属性信息,所述属性信息包括以下一个或更多个:该文件的哈希值、文件大小、访问权限、创建日期、修改日期、所属组信息和文件路径。
12.根据权利要求10所述的方法,其中,将需要检测的文件的备份保存在指定位置。
13.根据权利要求10所述的方法,其中,周期性地执行文件的完整性检测。
14.根据权利要求10所述的方法,其中,对需要检测的文件进行完整性检测包括:采用映射表的方式将当前的完整性检测的结果与先前的完整性检测的结果进行比较,以确定文件的完整性是否被破坏。
15.根据权利要求14所述的方法,还包括:将完整性被破坏的文件的信息记录到结果文件中,并返回所述结果文件。
16.根据权利要求15所述的方法,还包括:向用户展示结果文件,接收用户的选择以确定是否接受对文件的更改,并返回用户的选择。
17.根据权利要求16所述的方法,其中,如果用户选择接受对文件的更改,则接受更改的文件信息,将其进行更新,并将该文件存储到指定位置。
18.根据权利要求16所述的方法,其中,如果用户选择不接受对文件的更改,则从指定位置获取该文 件的备份,并以该备份替换发生更改的文件。
【文档编号】G06F21/64GK103761489SQ201410054709
【公开日】2014年4月30日 申请日期:2014年2月18日 优先权日:2014年2月18日
【发明者】陈继 申请人:北京网秦天下科技有限公司
相关技术
网友询问留言
已有0条留言
- 还没有人留言评论。精彩留言会获得点赞!
1