用于识别主机设备中数据篡改的系统和方法技术方案

公开了一种用于识别主机设备中数据篡改的系统和方法。所述方法包括：在几个顺序时间点接收备份系统中主机设备的备份；从所述接收到的所述主机设备的备份中提取数据；将所述接收到的备份的所述提取数据存储在所述备份系统的事件数据库中；扫描所述接收到的备份的所述存储数据，以检测所述主机设备中的所述数据篡改的事件；发出所述检测到的事件的指示。发出所述检测到的事件的指示。发出所述检测到的事件的指示。

【技术实现步骤摘要】
【国外来华专利技术】用于识别主机设备中数据篡改的系统和方法


[0001]本专利技术大体上涉及计算机安全领域；更具体地，涉及用于识别主机设备中数据篡改的方法和系统。

技术介绍

[0002]随着信息技术的发展，对计算机设备的依赖与日俱增。与此同时，计算机设备正在变得易受攻击，从而需要受到保护，免受如病毒、特洛伊木马、蠕虫、间谍软件和其它类型的恶意软件等恶意攻击。通常，攻击者可能会试图更改主机设备中操作系统的系统文件(即篡改数据)。在主机设备中，在攻击期间，攻击者通常可能希望加固所做的更改，使得这些更改在重新启动期间持续存在。此外，攻击者可能会尝试删除与攻击本身和攻击期间执行的操作相关的任何日志。例如，此类操作可能包括加固在注册表中对操作系统所做的更改。
[0003]用于检测设备中数据篡改的传统技术依赖于设备的操作系统。例如，在某些操作系统上钝性(blunt)修改事件日志会生成事件指示，例如清除事件日志、修改系统时间或提升权限。这些修改可通过内置在大多数操作系统中的事件日志审计查看，或通过第三方获取。在这种情况下，通常，安全研究人员和系统管理员可以识别事件ID不在序列内，或包含无效信息，从而指示修改。但是也有一些可用工具，如“DanderSpritz”，可以对事件日志进行无痕修改。此外，在事件仍然存在于磁盘上的情况下，甚至有工具可以恢复该事件。但是，需要说明的是，此类审计工具在主机操作系统上运行，这使它们容易受到攻击者的攻击，即除了实际更改之外，还可以修改或“欺骗”审计机制，以使其注意不到更改。
[0004]例如，操作系统内置有事件日志和注册表的审计工具，这些审计工具可以识别钝性事件，如清除事件日志或修改系统时间，但可以删除单个事件的各类工具可以绕过这些审计工具。在操作系统上，可以使用文件属性保护系统日志。如果在Linux系统的启动脚本内使用名为“lcap”的工具，甚至可以使这些属性不可变。这种方法的问题是，它对篡改底层存储很敏感，即对识别系统日志的物理位置，并对存储执行更改很敏感。
[0005]已知一些其它工具，如“Tiny Watcher”和“MJ Registry Watcher”，这些工具可以监控并在更改注册表时警报。但是，这些工具也有缺点，因为在注册表更改时，这些工具依赖操作系统调用它们，这意味着它们容易受到攻击者干扰其操作，例如损坏第三方工具可执行文件，使这些工具无法正常工作，或修改Windows事件日志或事件记录器以隐藏对更改的审计。此外，Fox
‑
IT(www.fox
‑
it.com)利用当前工具只修改指向事件的元数据，而不修改事件本身这一事实提供了一种用于恢复事件的工具。但是，如果攻击将事件完全从主机设备的存储中删除，该工具可能就无法起作用。
[0006]通常，由于上述所有工具都驻留在被攻击的系统上，所以攻击者可以绕过这些工具。因此，根据上文论述，需要克服与用于识别数据篡改的传统技术和方法相关联的上述缺点。

技术实现思路

[0007]本专利技术寻求提供一类用于识别主机设备中数据篡改的方法、设备和计算机程序产品。本专利技术寻求提供一种工具的现有问题的解决方案，这些工具依赖于作用于系统当前存储的工具来恢复或审计系统日志、事件日志和Windows注册表。本专利技术的目的是提供一种至少部分解决现有技术中遇到的问题的解决方案，该解决方案改进了使用备份服务来识别对操作系统修改和日志记录的修改和修改恢复的方法和系统，在系统内不容易绕过。
[0008]本专利技术的目的是通过所附独立权利要求书中提供的解决方案实现的。本专利技术的有利实现方式在从属权利要求中进一步定义。
[0009]在第一方面，本专利技术提供了一种用于识别主机设备中数据篡改的方法，其中，所述方法包括：在几个顺序时间点接收备份系统中主机设备的备份；从所述接收到的所述主机设备的备份中提取数据；将所述接收到的备份的所述提取数据存储在所述备份系统的事件数据库中；扫描所述接收到的备份的所述存储数据，以检测所述主机设备中的所述数据篡改的事件；发出所述检测到的事件的指示。
[0010]第一方面的方法提供：备份系统以规律的时间间隔从主机设备获取备份，以便具有主机设备的可跟踪视图，以便检测由主机设备上的威胁引起的任何更改。一旦检测到威胁，备份系统就会通知主机设备并将其恢复到最后的健康状态。这样一来，备份系统就能够对威胁进行根本原因分析，以确保相同的威胁不会在主机设备中再次发生。
[0011]在第一方面的一种实现方式中，所述数据的提取通过以下方式进行：激活所述主机设备的作为虚拟机的所述接收到的备份，并从所述激活的虚拟机中提取所述数据。
[0012]虚拟机提供单独的系统来独立执行扫描，以检测主机设备中的数据篡改。虚拟机上的执行不容易受到主机设备上被篡改数据的影响。因此，虚拟机提供了一个在系统内不容易绕过的安全环境。
[0013]在第一方面的一种实现方式中，提取所述数据包括提取所述主机设备的事件日志的副本和所述主机设备的注册表的副本。
[0014]需要说明的是，主机设备的事件日志和注册表作为主机系统中所做更改的记录。对事件日志和/或注册表的任何未经授权的更改都是数据篡改的指示，因此，主机设备的事件日志的副本和主机设备的注册表的副本可用于识别数据篡改。
[0015]在第一方面的一种实现方式中，检测所述事件通过以下方式进行：比较在所述几个顺序时间点中的一个时间点所述备份的所述存储数据的扫描结果与在所述一个时间点之前的某个时间点所述备份的所述存储数据的扫描结果之间的备份差异。
[0016]通过比较在一个时间点备份的存储数据的扫描结果与在所述一个时间点之前的某个时间点备份的存储数据的扫描结果之间的备份差异，检测主机设备的事件日志和/或注册表的任何未经授权的更改，继而可用于识别主机设备中的数据篡改。此外，备份差异的比较可以确定主机设备在数据篡改事件之前的最后健康状态，并且该信息可用于将主机设备恢复到数据篡改事件之前的状态。
[0017]在第一方面的一种实现方式中，检测所述事件通过以下方式进行：比较在第一两个顺序时间点第一对所述备份的所述存储数据的扫描结果之间的第一差异，并比较在第二两个顺序时间点第二对所述备份的所述存储数据的扫描结果之间的第二差异。
[0018]比较备份的第一差异和第二差异可以识别攻击模式，并提供与每个时间点攻击对
主机设备所做的更改相关的附加信息。
[0019]在第一方面的一种实现方式中，所述方法还包括：使用所述第一差异检测所述主机设备的注册表中攻击的加固，并使用所述第二差异检测所述主机设备的所述注册表中所述攻击的隐藏。
[0020]通常，在网络攻击期间，攻击者会尝试加固所做的更改，以便这些更改在重新启动期间持续存在，此外，还可能会尝试删除提供攻击本身以及攻击期间执行的操作的证据的任何日志。通过顺序比较，可以通过比较主机设备的注册表和事件日志中的更改来识别此类事件在主机设备中发生的时间。
[0021]在第一方面的一种实现方式中，检测所述事件包括检测以下本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于识别主机设备(402)中数据篡改的方法(200)，其特征在于，所述方法包括：在几个顺序时间点接收备份系统(400)中主机设备的备份(408A
‑
408N)；从所述接收到的所述主机设备的备份中提取数据；将所述接收到的备份的所述提取数据存储在所述备份系统的事件数据库(114)中；扫描所述接收到的备份的所述存储数据，以检测所述主机设备中的所述数据篡改的事件；发出所述检测到的事件的指示。2.根据权利要求1所述的方法(200)，其特征在于，提取所述数据通过以下方式进行：激活所述主机设备(402)的作为虚拟机的所述接收到的备份(408A
‑
408N)；从所述激活的虚拟机中提取所述数据。3.根据权利要求1或2所述的方法(200)，其特征在于，提取所述数据包括提取所述主机设备(402)的事件日志的副本；所述主机设备的注册表的副本。4.根据权利要求1至3中任一项所述的方法(200)，其特征在于，检测所述事件通过以下方式进行：比较在所述几个顺序时间点中的一个时间点所述备份(408A
‑
408N)的所述存储数据的扫描结果与在所述一个时间点之前的某个时间点所述备份的所述存储数据的扫描结果之间的备份差异。5.根据权利要求1至3中任一项所述的方法(200)，其特征在于，检测所述事件通过以下方式进行：比较在第一两个顺序时间点第一对所述备份(408A
‑
408N)的所述存储数据的扫描结果之间的第一差异，并比较在第二两个顺序时间点第二对所述备份(408A
‑
408N)的所述存储数据的扫描结果之间的第二差异。6.根据权利要求5所述的方法(200)，其特征在于，所述方法还包括：使用所述第一差异检测所述主机设备(402)的注册表中攻击的加固，并使用所述第二差异检测所述主机设备的所述注册表中所述攻击的隐藏。7.根据上述权利要求中任一项所述的方法(200)，其特征在于，检测所述事件包括检测所述主机设备(402)的操作系统注册表的更改；所述主机设备的事件日志的更改；所述主机设备中事件的更改；所述主机设备的系统时间的修改；指向所述主机设备中所述事件的元数据的修改；所述主机设备中的恶意软件；所述主机设备中的恶意活动；所述主机设备的...

【专利技术属性】
技术研发人员：沙哈尔，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：