检测文件篡改的方法、装置、电子设备及可读存储介质制造方法及图纸

本公开涉及计算机安全技术领域，具体涉及一种检测文件篡改的方法、装置、电子设备及可读存储介质，该方法包括：根据每个登录用户已执行的历史命令、历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件；若检测到与目标文件对应的目标操作事件，则获取目标操作时间；若检测到目标历史命令文件中的目标历史命令与目标操作事件匹配、且目标历史命令的执行时间与目标操作时间匹配，则获取目标历史命令文件对应登录用户的目标用户登录信息。该方案能够检测敏感文件、业务文件等其他文件是否被篡改，在获取到目标用户登录信息之后，可以知晓是哪个用户对文件进行了篡改，解决了无法对被篡改文件进行溯源的问题。题。题。

【技术实现步骤摘要】
检测文件篡改的方法、装置、电子设备及可读存储介质


[0001]本公开涉及计算机安全
，具体涉及一种检测文件篡改的方法、装置、电子设备及可读存储介质。

技术介绍

[0002]随着通信技术的发展，计算机在人们的日常工作、生活中扮演着越来越重要的角色。为了确保计算机的安全性，监控计算机中的敏感文件、重要文件等是否被篡改显得尤为重要。
[0003]在相关技术中，在监控文件被篡改时，技术人员需要在计算机的系统中建立一个哈希hash库，该hash库用于存储全部监控文件的初始hash值；通过计算机程序计算被监控文件的hash值，并将该被监控文件的hash值与hash库中的初始hash值比较，如果两个hash值不同，那么可以确定该监控文件已经被篡改。
[0004]在上述技术方案中，虽然可以监控文件是否被篡改，但是无法对被篡改文件进行溯源。

技术实现思路

[0005]为了解决相关技术中的问题，本公开实施例提供一种检测文件篡改的方法、装置、电子设备及可读存储介质。
[0006]第一方面，本公开实施例中提供了一种检测文件篡改的方法，包括：根据每个登录用户已执行的历史命令、历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件；若检测到与目标文件对应的目标操作事件，则获取目标操作时间，目标操作时间为导致发生目标操作事件的目标历史命令的执行时间；若检测到目标历史命令文件中的目标历史命令与目标操作事件匹配、且目标历史命令的执行时间与目标操作时间匹配，则获取目标历史命令文件对应登录用户的目标用户登录信息。
[0007]结合第一方面，本公开在第一方面的第一种实现方式中，每个历史命令文件的名称包括用户登录信息，每个历史命令文件包括对应登录用户的已执行的历史命令和历史命令的执行时间信息。
[0008]结合第一方面，本公开在第一方面的第二种实现方式中，所述根据每个登录用户已执行的历史命令、历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件之前，所述方法还包括：运行记录历史命令脚本，以获取每个登录用户已执行的历史命令和历史命令的执行时间信息。
[0009]结合第一方面的第一种实现方式，本公开在第一方面的第三种实现方式中，所述运行记录历史命令脚本，以获取每个登录用户已执行的历史命令和历史命令的执行时间信息之前，所述方法还包括：在每个登录用户满足第一预设条件的情况下，执行第一系统文件；
其中，第一系统文件包括调用记录历史命令脚本的命令行，记录历史命令脚本用于将历史命令和历史命令的执行时间信息分别保存在对应登录用户的历史命令文件中。
[0010]结合第一方面的第二种实现方式，本公开在第一方面的第四种实现方式中，登录用户满足第一预设条件，包括：登录用户执行操作系统登录命令、su命令以及sudo命令中至少一项。
[0011]结合第一方面，本公开在第一方面的第五种实现方式中，所述若检测到目标历史命令文件中的目标历史命令与目标操作事件匹配、且目标历史命令的执行时间与目标操作时间匹配，则获取目标历史命令文件对应登录用户的目标用户登录信息之前，所述方法还包括：当系统登录日志被更新时，获取系统登录日志，系统登录日志用于记录每个登录用户的用户登录信息；对系统登录日志进行解析，得到至少一个用户登录信息。
[0012]第二方面，本公开实施例中提供了一种检测文件篡改的装置，包括：第一获取模块，被配置为根据每个登录用户已执行的历史命令、历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件；第二获取模块，被配置为若检测到与目标文件对应的目标操作事件，则获取目标操作时间，目标操作时间为导致发生目标操作事件的目标历史命令的执行时间；第三获取模块，被配置为若检测到目标历史命令文件中的目标历史命令与目标操作事件匹配、且目标历史命令的执行时间与目标操作时间匹配，则获取目标历史命令文件对应登录用户的目标用户登录信息。
[0013]结合第二方面，本公开在第二方面的第一种实现方式中，每个历史命令文件的名称包括对应登录用户的用户登录信息，每个历史命令文件包括对应登录用户的已执行的历史命令和历史命令的执行时间信息。
[0014]结合第二方面，本公开在第二方面的第二种实现方式中，所述装置还包括：第一执行模块，被配置为运行记录历史命令脚本，以获取每个登录用户已执行的历史命令和历史命令的执行时间信息。
[0015]结合第二方面，本公开在第二方面的第三种实现方式中，所述装置还包括：第二执行模块，被配置为在每个登录用户满足第一预设条件的情况下，执行第一系统文件；其中，第一系统文件包括调用记录历史命令脚本的命令行，记录历史命令脚本用于将历史命令和历史命令的执行时间信息分别保存在对应登录用户的历史命令文件中。
[0016]结合第二方面的第三种实现方式，本公开在第二方面的第四种实现方式中，登录用户满足第一预设条件，包括：登录用户执行操作系统登录命令、su命令以及sudo命令中至少一项。
[0017]结合第二方面，本公开在第二方面的第五种实现方式中，所述装置还包括：第四获取模块，被配置为当系统登录日志被更新时，获取系统登录日志，系统登录日志用于记录每个登录用户的用户登录信息；解析模块，被配置为对系统登录日志进行解析，得到至少一个用户登录信息。
[0018]第三方面，本公开实施例提供了一种电子设备，包括存储器和处理器，其中，所述
存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器执行以实现如第一方面和第一方面的任一种可能实现方式所述的方法。
[0019]第四方面，本公开实施例中提供了一种计算机可读存储介质，其上存储有计算机指令，该计算机指令被处理器执行时实现如第一方面和第一方面的任一种可能实现方式所述的方法。
[0020]根据本公开实施例提供的技术方案，通过根据每个登录用户已执行的历史命令、历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件；若检测到与目标文件对应的目标操作事件，则获取目标操作时间，目标操作时间为导致发生目标操作事件的目标历史命令的执行时间；若检测到目标历史命令文件中的目标历史命令与目标操作事件匹配、且目标历史命令的执行时间与目标操作时间匹配，则获取目标历史命令文件对应登录用户的目标用户登录信息。通过该技术方案，能够检测敏感文件、业务文件等其他文件是否被篡改，在获取到目标用户登录信息之后，可以知晓是哪个用户对文件进行了篡改，从而实现对被篡改文件进行溯源分析。
[0021]应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
附图说明
[0022]结合附图，通过以下非限制性实施方式的详细描述，本公开的其它特征、目的和优点将变得更加明显。在附图中。
[0023]图1示出根据本公开实施例提供的检测文件篡改的方法的流程图。
[0024]图2出根据本公开实施例提供的检测文件篡改的装置的结构框图。
[0025]图本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种检测文件篡改的方法，其特征在于，包括：根据每个登录用户已执行的历史命令、所述历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件；若检测到与目标文件对应的目标操作事件，则获取目标操作时间，所述目标操作时间为导致发生所述目标操作事件的目标历史命令的执行时间；若检测到目标历史命令文件中的所述目标历史命令与所述目标操作事件匹配、且所述目标历史命令的执行时间与所述目标操作时间匹配，则获取所述目标历史命令文件对应登录用户的目标用户登录信息。2.根据权利要求1所述的方法，其特征在于，每个历史命令文件的名称包括对应登录用户的用户登录信息，每个所述历史命令文件包括对应登录用户的已执行的历史命令和所述历史命令的执行时间信息。3.根据权利要求1所述的方法，其特征在于，所述根据每个登录用户已执行的历史命令、所述历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件之前，所述方法还包括：运行记录历史命令脚本，以获取每个登录用户已执行的历史命令和所述历史命令的执行时间信息。4.根据权利要求3所述的方法，其特征在于，所述运行记录历史命令脚本，以获取每个登录用户已执行的历史命令和所述历史命令的执行时间信息之前，所述方法还包括：在每个登录用户满足第一预设条件的情况下，执行第一系统文件；其中，所述第一系统文件包括调用所述记录历史命令脚本的命令行，所述记录历史命令脚本用于将历史命令和所述历史命令的执行时间信息分别保存在对应登录用户的历史命令文件中。5.根据权利要求4所述的方法，其特征在于，登录用户满足第一预设条件，包括：登录用户执行操作系统登录命令、su命令以及sudo命令中至少一项。6.根据权利要求1所述的方法，其特征在于，所述若检测到目标历史命令文件中的目标历史命令与所述目标操作事件匹配、且所述目标历史命令的执行时间与所述目标操作时间匹配，则获取所述目标历史命令文件对应登录用户的目标用户登录信息之前，所述方法还包括：当系统登录日志被更新时，获取所述系统登录日志，所述系统登录日志用于记录每个登录用户的用户登录信息；对所述系统登录日志进行解析，得到至少一个用户登录信息。7.一种检测文件篡改的装置，其特征在于，所述装置包括：第...

【专利技术属性】
技术研发人员：王喆，李德建，王慧，张喆，杨宇宁，
申请(专利权)人：国网山东省电力公司国家电网有限公司，
类型：发明
国别省市：