安全检测方法与装置制造方法及图纸

本发明专利技术实施例提供了一种安全检测方法与装置，该方法包括：根据主机的历史文件变更记录，学习得到主机各目录的变化规律数据；基于每一目录的变化规律数据和预设的选择策略，建立各目录的文件变更放行规则；选择策略为默认选择策略或自定义选择策略；采集当前的文件变更记录；使用当前的文件变更记录与各文件变更放行规则进行匹配；其中，若匹配成功，表征当前的文件变更记录正常，若与所有文件变更放行规则均不匹配，表征当前的文件变更记录异常；在不匹配时进行报警。在本发明专利技术实施例中，可分析任意目录下的变化规则数据，得到文件变更放行规则。这样，不仅仅提高了检测范围的覆盖，同时还有效的降低了误报率。

【技术实现步骤摘要】
安全检测方法与装置
本专利技术涉及网络
，特别涉及安全检测方法与装置。
技术介绍
当今网络安全攻击的种类多样，但绝大部分真实攻击成功后都会引起一系列的文件变化。以挖矿病毒等为例，其利用任意可获取系统权限漏洞获取执行权限后，一方面拉取挖矿恶意程序进行挖矿，此时主机文件系统上已经新增了挖矿的恶意文件；另一方面，挖矿恶意程序还会尝试通过替换系统命令、修改Crontab、修改启动项等方式来实现持久化，此时也会产生一系列的主机文件变化。因此，检测并及时发现主机上的异常文件变化对于识别攻击行为是一种非常重要的手段。传统的安全检测技术大多是通过配置指定目录，例如/etc等，然后监控该目录下的所有文件变化来直接产生告警。上述检测技术本质上认为所有文件变更都属于异常，因此只能配置监控一些关键目录，不能有效得覆盖各个目录。同时，目录下如果有log文件等日常变更的文件，会触发大量的误报。这样会导致传统的安全检测方式在覆盖率和误报率上都存在需改进的方面。
技术实现思路
有鉴于此，本专利技术实施例提供安全检测方法与装置，以提高安全检测的覆盖率，降低误报率。为实现上述目的，本专利技术实施例提供如下技术方案：本申请第一方面提供一种安全检测方法，包括：根据主机的历史文件变更记录，学习得到主机各目录的变化规律数据；其中，每一历史文件变更记录至少包括：变更文件路径；任一目录的变化规律数据至少包括：预设的各文件变化类型在所述任一目录下所对应的文件列表；基于所述每一目录的变化规律数据和预设的选择策略，建立各目录的文件变更放行规则；其中，任一文件变更放行规则包括：目录名，以及，目录名下被放行的文件列表；所述选择策略为默认选择策略或自定义选择策略；采集当前的文件变更记录；当前的文件变更记录至少包括：变更文件路径；使用所述当前的文件变更记录与各文件变更放行规则进行匹配；其中，若匹配成功，表征所述当前的文件变更记录正常，若与所有文件变更放行规则均不匹配，表征所述当前的文件变更记录异常；在不匹配时进行报警。可选的，所述预设的各文件变化类型包括：相似变化类型，以及，N个频率变化等级类型；N为正整数；所述被放行的文件列表包括：相似文件列表和频率变化文件列表；其中，所述相似文件列表与所述相似变化类型相对应；所述频率变化文件列表包括与所述N个步骤变化等级类型中至少一种类型相对应的文件列表。可选的，所述根据主机的历史文件变更记录，学习得到主机各目录的变化规律数据包括：获取基线周期内的历史文件变更记录；每一历史文件变更记录至少还包括变更时间；解析每一历史文件变更记录，得到发生文件变更的目录和发生变更的文件名；根据所述历史文件变更记录中的变更时间，计算每一发生变更的文件名在所述基线周期内的文件变更频率；根据文件变更频率，从所述N个频率变化等级类型中，确定每一发生变更的文件名对应的频率变化等级类型；将同一目录下频率变化等级类型相同的文件名，划分为属于同一文件列表，得到所述同一目录下，每一频率变化等级类型相对应的文件列表；根据属于同一目录的历史文件变更记录中的变更时间，计算所述同一目录下所有发生变更的文件在所述基线周期内的文件变更频率，作为所述同一目录的目录变更频率；其中，目录变更频率高于预设阈值的目录为高频变化目录；对高频变化目录下发生变更的文件名进行相似度匹配；所述相似度匹配包括：若所述高频变化目录下任意两文件名的相似度大于相似度阈值，将所述任意两文件名划分为属于同一相似文件列表。可选的，所述基于所述每一目录的变化规律数据和预设的选择策略，建立各目录的文件变更放行规则包括：针对任一目录，根据所述预设的选择策略选择所述任一目录加入白名单，或者，选择所述任一目录下部分或全部文件变化类型所对应的文件列表加入白名单；根据所述白名单建立各目录的文件变更放行规则。可选的，所述使用所述当前的文件变更记录与各文件变更放行规则进行匹配包括：解析当前的文件变更记录，得到目标目录和目标文件名；将目标目录依次与各文件变更放行规则中目录名相匹配；若不匹配，则与所有文件变更放行规则均不匹配；若匹配，判断相匹配的目录名所对应的文件变更放行规则中各文件列表是否存在数据；任一存在数据的文件列表为目标文件列表；若否，则匹配成功；若是，匹配目标文件名与目标文件列表中的数据是否一致；若一致，则匹配成功；若均不一致，则与所有文件变更放行规则均不匹配。可选的，所述目标文件列表包括相似文件列表；所述匹配所述目标文件名与目标文件列表中的数据是否一致包括：匹配所述目标文件名与相似文件列表中的文件名是否相似，若相似，则一致，若不相似，则不一致。可选的，任一发生变更的文件名在所述基线周期内的文件变更频率通过如下方式计算得到：将所述任一发生变更的文件名在所述基线周期内的变更天数，与所述基线周期的比值作为文件变更频率；任一目录在所述基线周期内的目录变更频率通过如下方式计算得到：将所述任一目录下所有发生变更的文件名在所述基线周期内的变更总天数，与所述基线周期的比值作为目录变更频率。本申请第二方面提供一种安全检测装置，包括：基线维护单元，用于：根据主机的历史文件变更记录，学习得到主机各目录的变化规律数据；其中，每一历史文件变更记录至少包括：变更文件路径；任一目录的变化规律数据至少包括：预设的各文件变化类型在所述任一目录下所对应的文件列表；基于所述每一目录的变化规律数据和预设的选择策略，建立各目录的文件变更放行规则；其中，任一文件变更放行规则包括：目录名，以及，目录名下被放行的文件列表；所述选择策略为默认选择策略或自定义选择策略；采集单元，用于：采集当前的文件变更记录；当前的文件变更记录至少包括：变更文件路径；检测单元，用于：使用所述当前的文件变更记录与各文件变更放行规则进行匹配；其中，若匹配成功，表征所述当前的文件变更记录正常，若与所有文件变更放行规则均不匹配，表征所述当前的文件变更记录异常；在不匹配时进行报警。可选的，所述预设的各文件变化类型包括：相似变化类型，以及，N个频率变化等级类型；N为正整数；所述被放行的文件列表包括：相似文件列表和频率变化文件列表；其中，所述相似文件列表与所述相似变化类型相对应；所述频率变化文件列表包括与所述N个步骤变化等级类型中至少一种类型相对应的文件列表。可选的，所述根据主机的历史文件变更记录，学习得到主机各目录的变化规律数据包括：获取基线周期内的历史文件变更记录；每一历史文件变更记录至少还包括变更时间；解析每一历史文件变更记录，得到发生文件变更的目录和发生变更的文件名；根据所述历史文件变更记录中的变更时间，计算每一发生变更的文件名在所述基线周期内的文件变更频率；本文档来自技高网...

【技术保护点】
1.一种安全检测方法，其特征在于，包括：/n根据主机的历史文件变更记录，学习得到主机各目录的变化规律数据；其中，每一历史文件变更记录至少包括：变更文件路径；任一目录的变化规律数据至少包括：预设的各文件变化类型在所述任一目录下所对应的文件列表；/n基于所述每一目录的变化规律数据和预设的选择策略，建立各目录的文件变更放行规则；其中，任一文件变更放行规则包括：目录名，以及，目录名下被放行的文件列表；所述选择策略为默认选择策略或自定义选择策略；/n采集当前的文件变更记录；当前的文件变更记录至少包括：变更文件路径；/n使用所述当前的文件变更记录与各文件变更放行规则进行匹配；其中，若匹配成功，表征所述当前的文件变更记录正常，若与所有文件变更放行规则均不匹配，表征所述当前的文件变更记录异常；/n在不匹配时进行报警。/n

【技术特征摘要】
1.一种安全检测方法，其特征在于，包括：
根据主机的历史文件变更记录，学习得到主机各目录的变化规律数据；其中，每一历史文件变更记录至少包括：变更文件路径；任一目录的变化规律数据至少包括：预设的各文件变化类型在所述任一目录下所对应的文件列表；
基于所述每一目录的变化规律数据和预设的选择策略，建立各目录的文件变更放行规则；其中，任一文件变更放行规则包括：目录名，以及，目录名下被放行的文件列表；所述选择策略为默认选择策略或自定义选择策略；
采集当前的文件变更记录；当前的文件变更记录至少包括：变更文件路径；
使用所述当前的文件变更记录与各文件变更放行规则进行匹配；其中，若匹配成功，表征所述当前的文件变更记录正常，若与所有文件变更放行规则均不匹配，表征所述当前的文件变更记录异常；
在不匹配时进行报警。


2.如权利要求1所述的方法，其特征在于，
所述预设的各文件变化类型包括：相似变化类型，以及，N个频率变化等级类型；N为正整数；
所述被放行的文件列表包括：相似文件列表和频率变化文件列表；
其中，所述相似文件列表与所述相似变化类型相对应；
所述频率变化文件列表包括与所述N个步骤变化等级类型中至少一种类型相对应的文件列表。


3.如权利要求2所述的方法，其特征在于，所述根据主机的历史文件变更记录，学习得到主机各目录的变化规律数据包括：
获取基线周期内的历史文件变更记录；每一历史文件变更记录至少还包括变更时间；
解析每一历史文件变更记录，得到发生文件变更的目录和发生变更的文件名；
根据所述历史文件变更记录中的变更时间，计算每一发生变更的文件名在所述基线周期内的文件变更频率；
根据文件变更频率，从所述N个频率变化等级类型中，确定每一发生变更的文件名对应的频率变化等级类型；
将同一目录下频率变化等级类型相同的文件名，划分为属于同一文件列表，得到所述同一目录下，每一频率变化等级类型相对应的文件列表；
根据属于同一目录的历史文件变更记录中的变更时间，计算所述同一目录下所有发生变更的文件在所述基线周期内的文件变更频率，作为所述同一目录的目录变更频率；其中，目录变更频率高于预设阈值的目录为高频变化目录；
对高频变化目录下发生变更的文件名进行相似度匹配；
所述相似度匹配包括：
若所述高频变化目录下任意两文件名的相似度大于相似度阈值，将所述任意两文件名划分为属于同一相似文件列表。


4.如权利要求3所述的方法，其特征在于，所述基于所述每一目录的变化规律数据和预设的选择策略，建立各目录的文件变更放行规则包括：
针对任一目录，根据所述预设的选择策略选择所述任一目录加入白名单，或者，选择所述任一目录下部分或全部文件变化类型所对应的文件列表加入白名单；
根据所述白名单建立各目录的文件变更放行规则。


5.如权利要求3或4所述的方法，其特征在于，
所述使用所述当前的...

【专利技术属性】
技术研发人员：许祥，
申请(专利权)人：杭州数梦工场科技有限公司，
类型：发明
国别省市：浙江;33