【技术实现步骤摘要】
【国外来华专利技术】用于识别主机设备中数据篡改的系统和方法
[0001]本专利技术大体上涉及计算机安全领域;更具体地,涉及用于识别主机设备中数据篡改的方法和系统。
技术介绍
[0002]随着信息技术的发展,对计算机设备的依赖与日俱增。与此同时,计算机设备正在变得易受攻击,从而需要受到保护,免受如病毒、特洛伊木马、蠕虫、间谍软件和其它类型的恶意软件等恶意攻击。通常,攻击者可能会试图更改主机设备中操作系统的系统文件(即篡改数据)。在主机设备中,在攻击期间,攻击者通常可能希望加固所做的更改,使得这些更改在重新启动期间持续存在。此外,攻击者可能会尝试删除与攻击本身和攻击期间执行的操作相关的任何日志。例如,此类操作可能包括加固在注册表中对操作系统所做的更改。
[0003]用于检测设备中数据篡改的传统技术依赖于设备的操作系统。例如,在某些操作系统上钝性(blunt)修改事件日志会生成事件指示,例如清除事件日志、修改系统时间或提升权限。这些修改可通过内置在大多数操作系统中的事件日志审计查看,或通过第三方获取。在这种情况下,通常,安全研究人员和系统管理...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于识别主机设备(402)中数据篡改的方法(200),其特征在于,所述方法包括:在几个顺序时间点接收备份系统(400)中主机设备的备份(408A
‑
408N);从所述接收到的所述主机设备的备份中提取数据;将所述接收到的备份的所述提取数据存储在所述备份系统的事件数据库(114)中;扫描所述接收到的备份的所述存储数据,以检测所述主机设备中的所述数据篡改的事件;发出所述检测到的事件的指示。2.根据权利要求1所述的方法(200),其特征在于,提取所述数据通过以下方式进行:激活所述主机设备(402)的作为虚拟机的所述接收到的备份(408A
‑
408N);从所述激活的虚拟机中提取所述数据。3.根据权利要求1或2所述的方法(200),其特征在于,提取所述数据包括提取所述主机设备(402)的事件日志的副本;所述主机设备的注册表的副本。4.根据权利要求1至3中任一项所述的方法(200),其特征在于,检测所述事件通过以下方式进行:比较在所述几个顺序时间点中的一个时间点所述备份(408A
‑
408N)的所述存储数据的扫描结果与在所述一个时间点之前的某个时间点所述备份的所述存储数据的扫描结果之间的备份差异。5.根据权利要求1至3中任一项所述的方法(200),其特征在于,检测所述事件通过以下方式进行:比较在第一两个顺序时间点第一对所述备份(408A
‑
408N)的所述存储数据的扫描结果之间的第一差异,并比较在第二两个顺序时间点第二对所述备份(408A
‑
408N)的所述存储数据的扫描结果之间的第二差异。6.根据权利要求5所述的方法(200),其特征在于,所述方法还包括:使用所述第一差异检测所述主机设备(402)的注册表中攻击的加固,并使用所述第二差异检测所述主机设备的所述注册表中所述攻击的隐藏。7.根据上述权利要求中任一项所述的方法(200),其特征在于,检测所述事件包括检测所述主机设备(402)的操作系统注册表的更改;所述主机设备的事件日志的更改;所述主机设备中事件的更改;所述主机设备的系统时间的修改;指向所述主机设备中所述事件的元数据的修改;所述主机设备中的恶意软件;所述主机设备中的恶意活动;所述主机设备的...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。