【技术实现步骤摘要】
基于Linux文件时间特征分组的可疑文件检测方法及系统
[0001]本专利技术涉及信息安全
,特别涉及一种基于Linux文件时间特征分组的可疑文件检测方法及系统。
技术介绍
[0002]随着Linux系统市场的快速增长,针对Linux系统的入侵行为越来越多,其中利用文件系统的各种恶意行为是一种常见的入侵技术方法。由于Linux系统上文件数量较多,文件系统的复杂程度较高,排查出可疑文件面临困难。因此,快速发现可疑文件是Linux系统使用者的迫切需要。
[0003]目前的基于主机的可疑文件检测方法有两大类:特征检测技术和行为监控技术。特征检测技术主要包括基于文件特征码的检测技术、文件启发式、文件行为检测法等。行为监控技术主要包括关键目录监控、进程检测、挂钩函数检测以及执行路径分析。
[0004]特征检测技术面对数量巨大的文件系统需要很长时间的检测分析,无法实现快速定位可疑文件,还会占用大量系统资源,并且依赖已知的威胁特征,无法检测未知威胁文件。
[0005]行为监控技术需要在内核态部署,无法在用户态...
【技术保护点】
【技术特征摘要】
1.一种基于Linux文件时间特征分组的可疑文件检测方法,其特征在于,所述方法包括:对Linux文件系统全盘遍历,获取文件系统中所有文件的数据,所述数据至少包括文件的更新时间以及文件路径;根据文件的更新时间对文件系统中所有文件进行分组,将更新时间处于同一时间区间内的文件划分为同一组文件;遍历文件系统中所有分组,筛选出文件数量少于第一阈值的目标分组,并将所述目标分组中各个文件路径所对应的文件标记为可疑文件,用于后续深度检测。2.根据权利要求1所述的方法,其特征在于,所述根据文件的更新时间对文件系统中所有文件进行分组,包括:设置每个分组的分组信息,所述分组信息包括每个分组的起始时间、结束时间、文件数量以及文件路径。3.根据权利要求2所述的方法,其特征在于,在将更新时间处于同一时间区间内的文件划分为同一组文件之前,所述方法还包括:设置时间区间的起始时间与结束时间。4.根据权利要求3所述的方法,其特征在于,在将更新时间处于同一时间区间内的文件划分为同一组文件之后,所述方法还包括:将各个分组所对应的时间区间进行查重。5.根据权利要求4所述的方法,其特征在于,所述将各个分组所对应的时间区间进行查重具体包括:通过确定相邻分组的起始时间与结束时间,得到相邻分组是否存在时间重复区间;...
【专利技术属性】
技术研发人员:刘庆林,陈天,刘正伟,魏海宇,谢辉,高鹏,吴小勇,李小琼,康柏荣,王鲲,
申请(专利权)人:北京中睿天下信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。