[发明专利]一种Timestomp类攻击的检测方法、装置和介质在审
| 申请号: | 202110442774.X | 申请日: | 2021-04-23 |
| 公开(公告)号: | CN113515740A | 公开(公告)日: | 2021-10-19 |
| 发明(设计)人: | 郑云超;范渊;黄进 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55 |
| 代理公司: | 北京集佳知识产权代理有限公司 11227 | 代理人: | 豆贝贝 |
| 地址: | 310000 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 timestomp 攻击 检测 方法 装置 介质 | ||
1.一种Timestomp类攻击的检测方法,其特征在于,包括:
获取文件修改行为前后的目标函数值和文件修改时间;所述目标函数值用于判断所述文件修改行为是否为文件内容的修改;
判断所述文件修改行为前后的目标函数值是否相同;
若是,则判断所述文件修改行为前后的文件修改时间是否相同;若所述文件修改行为前后的文件修改时间不相同,则检测到所述Timestomp类攻击。
2.根据权利要求1所述的Timestomp类攻击的检测方法,其特征在于,所述获取文件修改行为前后的目标函数值和文件修改时间,包括:
当检测到所述文件修改行为时,拦截所述文件修改行为,并记录当前的目标函数值和文件修改时间,得到所述文件修改行为前的目标函数值和文件修改时间;
当记录结束后,放行所述文件修改行为;
当所述文件修改行为被执行后,记录所述文件修改行为后的目标函数值和文件修改时间,得到所述文件修改行为后的目标函数值和文件修改时间。
3.根据权利要求1所述的Timestomp类攻击的检测方法,其特征在于,所述获取文件修改行为前后的目标函数值和文件修改时间,包括:
获取所述文件修改行为前后的哈希值和所述文件修改时间,并将所述哈希值作为所述目标函数值。
4.根据权利要求1所述的Timestomp类攻击的检测方法,其特征在于,在获取文件修改行为前后的目标函数值和文件修改时间之前,还包括:
接收防护中心下发的检测指定目录的配置信息;
根据所述配置信息中的指定目录,对所述指定目录下的文件修改行为进行检测。
5.根据权利要求1至4任一项所述的Timestomp类攻击的检测方法,其特征在于,在检测到所述Timestomp类攻击之后,还包括:
生成告警数据信息,并将所述告警数据信息发送至所述防护中心,以使所述防护中心根据所述告警数据信息确定所述文件修改行为发生的真实修改时间。
6.一种Timestomp类攻击的检测装置,其特征在于,包括:
获取模块,用于获取文件修改行为前后的目标函数值和文件修改时间;所述目标函数值用于判断所述文件修改行为是否为文件内容的修改;
第一判断模块,用于判断所述文件修改行为前后的目标函数值是否相同;
第二判断模块,用于若是,则判断所述文件修改行为前后的文件修改时间是否相同;
第一检测结果模块,用于若所述文件修改行为前后的文件修改时间不相同,则检测到所述Timestomp类攻击。
7.一种Timestomp类攻击的检测系统,其特征在于,包括:
防护终端,用于执行如权利要求1至5任一项所述Timestomp类攻击的检测方法的步骤。
8.根据权利要求7所述的Timestomp类攻击的检测系统,其特征在于,还包括:
防护中心,用于发生检测指定目录的配置信息至所述防护终端,以及接收并显示所述防护终端生成的告警数据信息。
9.一种防护终端,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述Timestomp类攻击的检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述Timestomp类攻击的检测方法的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110442774.X/1.html,转载请声明来源钻瓜专利网。
