【技术实现步骤摘要】
文件异常变更的预警方法及装置
[0001]本专利技术涉及网络安全
,具体而言,涉及一种文件异常变更的预警方法及装置。
技术介绍
[0002]在当前各项业务环境中,web服务器应用广泛,以文件方式承载的各项数据时刻面临非法变动、篡改的安全风险。而针对web服务器文件异常变更的检测,普遍采用以数据完整性监控工具Tripwire。
[0003]因此,现有的文件整体性校验工具是以预编写的策略机制和预设的基准数据库为准线,当基准数据库生成时,根据策略机制相关规则读取待检文件,并同时生成该文件的数字签名记录在数据库中。后续进行文件完整性校验时,则需要继续基于该预编写的策略机制即时生成相应的数字签名并完成校验。可见,现有的文件整体性校验方法依赖于校验过程中,生成前后数字签名时的策略机制和生成算法相一致,因此,当策略机制更新后,需要及时完成更新数据库中预存的文件数字签名。
[0004]现有技术中,主要存在以下问题:
[0005]1、由于Tripwire其运行是基于预编写的策略机制,策略机制需要定期更新,因此数据...
【技术保护点】
【技术特征摘要】
1.一种文件异常变更的预警方法,其特征在于,所述方法包括:获取目标文件的变更事件对应的账户会话特征,其中,所述账户会话特征用于表示所述变更事件对应的用户信息;通过文件分类样本模型库,根据所述账户会话特征确定所述变更事件是否为异常变更,其中,所述文件分类样本模型库是根据历史变更数据建立的;若所述变更事件为异常变更,进行异常变更预警。2.根据权利要求1所述的方法,其特征在于,所述获取目标文件的变更事件对应的账户会话特征,包括:通过收集预保护web服务器系统内的目录或文件的变更事件关键信息,提取所述变更事件的事件日志表;根据所述事件日志表获取所述账户会话特征。3.根据权利要求1所述的方法,其特征在于,在所述通过文件分类样本模型库,根据所述账户会话特征确定所述变更事件是否为异常变更之前,还包括:根据预保护web服务器系统内的目录或文件的所述历史变更数据生成样本数据;根据所述样本数据建立所述文件分类样本模型库。4.根据权利要求3所述的方法,其特征在于,所述根据所述样本数据建立所述文件分类样本模型库,包括:依次根据所述样本数据对应的关联执行程序信息、系统文件变更条件进行变更异常判断,并根据所述变更异常判断的结果进行标注;依次根据合法账户白名单、用户活跃状态信息对所述样本数据中的账户信息进行变更异常判断,并根据所述变更异常判断的结果进行标注,以得到所述文件分类样本模型库。5.根据权利要求4所述的方法,其特征在于,所述依次根据所述样本数据对应的关联执行程序信息、系统文件变更条件进行变更异常判断,并根据所述变更异常判断的结果进行标注,包括:在所述样本数据中历史变更事件与文件分类样本模型库不匹配时,根据所述历史变更事件建立判断流程;将所述判断流程添加至所述文件分类样本模型库。6.一种文件异常变更的预警装置,其特征在于,所述装置包括:获取模块,用于获取目标文件的变更事件对应的账户会话特征,其中,所述账户会话特征用于表示所述变更事件对应的用户信息;判断模块,用于通过文件分类样本模型库,根据所述...
【专利技术属性】
技术研发人员:车力军,田波,田春平,徐丽,周关萍,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。