本发明专利技术提供了一种文件篡改的检测方法及装置,方法包括:在系统内核中设置至少一个检测点,并在每一个检测点中插入钩子函数;利用二进制加密方式针对每一个检测点所对应的内核对象进行二进制加密,得到相应的二进制密文;利用编码规则对各个二进制密文分别进行编码,并存储各个编码信息;在系统内核运行到目标检测点时,利用钩子函数对目标检测点处的目标内核对象的运行请求进行拦截;利用二进制加密方式和编码规则获取目标内核对象所对应的当前编码信息;比较目标内核对象的当前编码信息与存储的编码信息,在相同时,允许目标内核对象的运行请求。根据上述方案,可以实现对内核对象是否被篡改的检测,提高系统内核的安全性。
【技术实现步骤摘要】
本专利技术涉及安全
,特别涉及一种文件篡改的检测方法及装置。
技术介绍
随着网络技术的迅速发展,衍生出了很多恶意攻击他人服务器的黑客,为了能够保护重要业务的正常运转或重要数据不被破坏,目前,在大多监控系统中,使用文件的属性信息对文件进行校验匹配,以确定文件是否被篡改的,然而,现有技术存在如下缺点:若篡改文件的同时也篡改了文件属性信息,以使篡改后的文件属性信息与篡改后的文件相对应,则会导致监控系统无法监控到文件是否被篡改。
技术实现思路
本专利技术实施例提供了一种文件篡改的检测方法及装置,以实现对篡改信息的检测。第一方面,本专利技术实施例提供了一种文件篡改的检测方法,包括:在系统内核中设置至少一个检测点,并在每一个检测点中插入钩子函数;利用二进制加密方式针对每一个检测点所对应的内核对象进行二进制加密,得到相应的二进制密文;利用编码规则对各个二进制密文分别进行编码,并存储各个编码信息;在系统内核运行到目标检测点时,利用钩子函数对所述目标检测点处的目标内核对象的运行请求进行拦截;利用所述二进制加密方式和所述编码规则获取所述目标内核对象所对应
的当前编码信息;比较所述目标内核对象的当前编码信息与存储的编码信息,在相同时,确定所述目标内核对象未被篡改,允许所述目标内核对象的运行请求。优选地,所述利用二进制加密方式针对每一个检测点所对应的内核对象进行二进制加密,得到相应的二进制密文,包括:针对每一个当前内核对象执行如下操作:获取当前内核对象所对应的目标字符串;计算所述目标字符串的MD5值,得到十六进制密文;根据所述十六进制密文的位数定义相应个数的数组;在所述十六进制密文中按第一目标顺序依次取两位字符放置到相应数组中,每个数组中包括两位十六进制字符;将每个数组中所包括的两位十六进制字符转换为八位二进制字符,并将所有数组中转换后的八位二进制字符按照所述第一目标顺序连接起来,得到二进制密文。优选地,所述利用二进制加密方式针对每一个检测点所对应的内核对象进行二进制加密,得到相应的二进制密文,包括:针对每一个当前内核对象执行如下操作:获取当前内核对象所对应的多个字符串,所述多个字符串之间按照第二目标顺序排列;将每一个字符串映射为ACSII编码中的八位二进制字符;将所有字符串分别对应的八位二进制字符按照所述第二目标顺序连接在一起,组成二进制密文。优选地,进一步包括:预先获取编码转化表;所述利用编码规则对各个二进制密文分别进行编码,包括:在所述二进制密文中按从高位到低位的顺序依次取连续的六位二进制字符;将取的六位二进制字符的高位补0,生成相应的八位二进制字符;根据所述编码转化表,将生成的每一个八位二进制字符转化为相应的编码。优选地,将下述内核对象设置为检测点:任务、程序、文件系统、Socket套接字、管道、文件、网络缓冲区、网络设备、Semaphore信号和消息中的至少一种。第二方面,本专利技术实施例还提供了一种文件篡改的检测装置,包括:配置单元,用于在系统内核中设置至少一个检测点,并在每一个检测点中插入钩子函数;二进制加密单元,用于利用二进制加密方式针对每一个检测点所对应的内核对象进行二进制加密,得到相应的二进制密文;编码单元,用于利用编码规则对各个二进制密文分别进行编码,并存储各个编码信息;拦截单元,用于在系统内核运行到目标检测点时,利用钩子函数对所述目标检测点处的目标内核对象的运行请求进行拦截;第一获取单元,用于利用所述二进制加密方式和所述编码规则获取所述目标内核对象所对应的当前编码信息;比较单元,用于比较所述目标内核对象的当前编码信息与存储的编码信息,在相同时,确定所述目标内核对象未被篡改,允许所述目标内核对象的运行请求。优选地,所述二进制加密单元,具体用于针对每一个当前内核对象执行如下操作:获取当前内核对象所对应的目标字符串;计算所述目标字符串的MD5值,得到十六进制密文;根据所述十六进制密文的位数定义相应个数的数组;在所述十六进制密文中按第一目标顺序依次取两位字符放置到相应数组中,每个数组中包括两位十六进制字符;将每个数组中所包括的两位十六进制字符转换为八位二进制字符,并将所有数组中转换后的八位二进制字符按照所述第一目标顺序连接起来,得到二进制密文。优选地,所述二进制加密单元,具体用于针对每一个当前内核对象执行如下操作:获取当前内核对象所对应的多个字符串,所述多个字符串之间按照第二目标顺序排列;将每一个字符串映射为ACSII编码中的八位二进制字符;将所有字符串分别对应的八位二进制字符按照所述第二目标顺序连接在一起,组成二进制密文。优选地,进一步包括:第二获取单元,用于获取编码转化表;所述编码单元,具体用于在所述二进制密文中按从高位到低位的顺序依次取连续的六位二进制字符;将取的六位二进制字符的高位补0,生成相应的八位二进制字符;根据所述编码转化表,将生成的每一个八位二进制字符转化为相应的编码。本专利技术实施例提供了一种文件篡改的检测方法及装置,通过钩子函数将设置的检测点处的内核对象的运行请求拦截,并利用在计算存储的每一个内核对象对应的编码信息时使用的二进制加密方式和编码规则,计算该拦截的内核对象的编码信息,并与存储的编码信息进行比较,只有在比较结果相同时,才表明该内核对象未被篡改,通过该二进制加密方式和编码规则的双重计算,可以有效防止黑客对该双重计算方式的破解,从而可以进一步保证内核对象的安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术一个实施例提供的一种文件篡改的检测方法流程图;图2是本专利技术一个实施例提供的另一种文件篡改的检测方法流程图;图3是本专利技术一个实施例提供的装置所在设备的硬件架构图;图4是本专利技术一个实施例提供的一种装置结构示意图;图5是本专利技术一个实施例提供的另一种装置结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例,基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。如图1所示,本专利技术实施例提供了一种文件篡改的检测方法,该方法可以包括以下步骤:步骤101:在系统内核中设置至少一个检测点,并在每一个检测点中插入钩子函数。步骤102:利用二进制加密方式针对每一个检测点所对应的内核对象进行二进制加密,得到相应的二进制密文;利用编码规则对各个二进制密文分别进行编码,并存储各个编码信息。步骤103:在系统内核运行到目标检测点时,利用钩子函数对所述目标检测点处的目标内核对象的运行请求进行拦截。步骤104:利用所述二进制加密方式和所述编码规则获取所述目标内核对象所对应的当前编码信息;比较所述目标内核对象的当前编码信息与存储的编码信息,在相同时,确定所述目标内核对象未被篡改,允许所述目标内核对象的运行请求。可见,通过钩子函数将设置的检测点处的内核对象的运行请求拦截本文档来自技高网...
【技术保护点】
一种文件篡改的检测方法,其特征在于,包括:在系统内核中设置至少一个检测点,并在每一个检测点中插入钩子函数;利用二进制加密方式针对每一个检测点所对应的内核对象进行二进制加密,得到相应的二进制密文;利用编码规则对各个二进制密文分别进行编码,并存储各个编码信息;在系统内核运行到目标检测点时,利用钩子函数对所述目标检测点处的目标内核对象的运行请求进行拦截;利用所述二进制加密方式和所述编码规则获取所述目标内核对象所对应的当前编码信息;比较所述目标内核对象的当前编码信息与存储的编码信息,在相同时,确定所述目标内核对象未被篡改,允许所述目标内核对象的运行请求。
【技术特征摘要】
1.一种文件篡改的检测方法,其特征在于,包括:在系统内核中设置至少一个检测点,并在每一个检测点中插入钩子函数;利用二进制加密方式针对每一个检测点所对应的内核对象进行二进制加密,得到相应的二进制密文;利用编码规则对各个二进制密文分别进行编码,并存储各个编码信息;在系统内核运行到目标检测点时,利用钩子函数对所述目标检测点处的目标内核对象的运行请求进行拦截;利用所述二进制加密方式和所述编码规则获取所述目标内核对象所对应的当前编码信息;比较所述目标内核对象的当前编码信息与存储的编码信息,在相同时,确定所述目标内核对象未被篡改,允许所述目标内核对象的运行请求。2.根据权利要求1所述的方法,其特征在于,所述利用二进制加密方式针对每一个检测点所对应的内核对象进行二进制加密,得到相应的二进制密文,包括:针对每一个当前内核对象执行如下操作:获取当前内核对象所对应的目标字符串;计算所述目标字符串的MD5值,得到十六进制密文;根据所述十六进制密文的位数定义相应个数的数组;在所述十六进制密文中按第一目标顺序依次取两位字符放置到相应数组中,每个数组中包括两位十六进制字符;将每个数组中所包括的两位十六进制字符转换为八位二进制字符,并将所有数组中转换后的八位二进制字符按照所述第一目标顺序连接起来,得到二进制密文。3.根据权利要求1所述的方法,其特征在于,所述利用二进制加密方式针对每一个检测点所对应的内核对象进行二进制加密,得到相应的二进制密
\t文,包括:针对每一个当前内核对象执行如下操作:获取当前内核对象所对应的多个字符串,所述多个字符串之间按照第二目标顺序排列;将每一个字符串映射为ACSII编码中的八位二进制字符;将所有字符串分别对应的八位二进制字符按照所述第二目标顺序连接在一起,组成二进制密文。4.根据权利要求1-3中任一所述的方法,其特征在于,进一步包括:预先获取编码转化表;所述利用编码规则对各个二进制密文分别进行编码,包括:在所述二进制密文中按从高位到低位的顺序依次取连续的六位二进制字符;将取的六位二进制字符的高位补0,生成相应的八位二进制字符;根据所述编码转化表,将生成的每一个八位二进制字符转化为相应的编码。5.根据权利要求1所述的方法,其特征在于,将下述内核对象设置为检测点:任务、程...
【专利技术属性】
技术研发人员:阚洪敏,戴鸿君,于治楼,
申请(专利权)人:浪潮集团有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。