一种Timestomp类攻击的检测方法、装置和介质与流程

一种timestomp类攻击的检测方法、装置和介质
技术领域
1.本技术涉及计算机技术领域，特别涉及一种timestomp类攻击的检测方法、装置、系统、防护终端和计算机可读存储介质。


背景技术：

2.timestomp是一种修改文件时间戳(修改，访问，创建和更改时间)的技术。该技术可以用在攻击者修改或创建的文件上，使得它们在取证调查人员或文件分析工具面前更加隐蔽。timestomp可以与文件名伪装(masquerading)结合使用来隐藏恶意软件和工具。因此，如何有效检测timestomp类攻击是亟待解决的问题。


技术实现要素：

3.本技术的目的是提供一种timestomp类攻击的检测方法，能够有效检测timestomp类攻击事件，及时发现恶意隐藏修改痕迹的行为。其具体方案如下：
4.第一方面，本技术公开了一种timestomp类攻击的检测方法，包括：
5.获取文件修改行为前后的目标函数值和文件修改时间；所述目标函数值用于判断所述文件修改行为是否为文件内容的修改；
6.判断所述文件修改行为前后的目标函数值是否相同；
7.若是，则判断所述文件修改行为前后的文件修改时间是否相同；若所述文件修改行为前后的文件修改时间不相同，则检测到所述timestomp类攻击。
8.可选的，所述获取文件修改行为前后的目标函数值和文件修改时间，包括：
9.当检测到所述文件修改行为时，拦截所述文件修改行为，并记录当前的目标函数值和文件修改时间，得到所述文件修改行为前的目标函数值和文件修改时间；
10.当记录结束后，放行所述文件修改行为；
11.当所述文件修改行为被执行后，记录所述文件修改行为后的目标函数值和文件修改时间，得到所述文件修改行为后的目标函数值和文件修改时间。
12.可选的，所述获取文件修改行为前后的目标函数值和文件修改时间，包括：
13.获取所述文件修改行为前后的哈希值和所述文件修改时间，并将所述哈希值作为所述目标函数值。
14.可选的，在获取文件修改行为前后的目标函数值和文件修改时间之前，还包括：
15.接收防护中心下发的检测指定目录的配置信息；
16.根据所述配置信息中的指定目录，对所述指定目录下的文件修改行为进行检测。
17.可选的，在检测到所述timestomp类攻击之后，还包括：
18.生成告警数据信息，并将所述告警数据信息发送至所述防护中心，以使所述防护中心根据所述告警数据信息确定所述文件修改行为发生的真实修改时间。
19.第二方面，本技术公开了一种timestomp类攻击的检测装置，包括：
20.获取模块，用于获取文件修改行为前后的目标函数值和文件修改时间；所述目标
函数值用于判断所述文件修改行为是否为文件内容的修改；
21.第一判断模块，用于判断所述文件修改行为前后的目标函数值是否相同；
22.第二判断模块，用于若是，则判断所述文件修改行为前后的文件修改时间是否相同；
23.第一检测结果模块，用于若所述文件修改行为前后的文件修改时间不相同，则检测到所述timestomp类攻击。
24.第三方面，本技术公开了一种timestomp类攻击的检测系统，包括：
25.防护终端，用于执行如上述timestomp类攻击的检测方法的步骤。
26.可选的，还包括：
27.防护中心，用于发生检测指定目录的配置信息至所述防护终端，以及接收并显示所述防护终端生成的告警数据信息。
28.第四方面，本技术公开了一种防护终端，包括：
29.存储器，用于存储计算机程序；
30.处理器，用于执行所述计算机程序时实现如上述timestomp类攻击的检测方法的步骤。
31.第五方面，本技术公开了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述timestomp类攻击的检测方法的步骤。
32.本技术提供一种timestomp类攻击的检测方法，包括：获取文件修改行为前后的目标函数值和文件修改时间；所述目标函数值用于判断所述文件修改行为是否为文件内容的修改；判断所述文件修改行为前后的目标函数值是否相同；若是，则判断所述文件修改行为前后的文件修改时间是否相同；若否，则检测到所述timestomp类攻击。
33.可见，本技术通过获取文件修改行为前后的目标函数值和文件修改时间，其中，目标函数值用于判断文件修改行为是否属于文件内容的修改，当不属于文件内容的修改也就是目标函数值相同时，再判断文件修改时间是否发生变化；若发生变化，则判定发生了timestomp类攻击，避免了相关技术中不能检测判断是否发生timestomp类攻击事件的缺陷，本技术所提出的timestomp类攻击检测方法，能够有效检测timestomp类攻击事件，及时发现恶意隐藏修改痕迹的行为。本技术同时还提供了一种timestomp类攻击的检测装置、系统、防护终端和计算机可读存储介质，具有上述有益效果，在此不再赘述。
附图说明
34.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
35.图1为本技术实施例所提供的一种timestomp类攻击的检测方法的流程图；
36.图2为本技术实施例所提供的防护中心内部模块示意图；
37.图3为本技术实施例所提供的防护终端内部模块示意图；
38.图4为本技术实施例所提供的防护中心与防护终端的信息交互示意图；
39.图5为本技术实施例所提供的防护终端进行timestomp类攻击的检测流程示意图；
40.图6为本技术实施例所提供的检测文件修改行为前后md5和文件修改时间的流程示意图；
41.图7为本技术实施例所提供的防护终端的攻击告警模块与防护中心的交互告警数据信息的示意图；
42.图8为本技术实施例所提供的一种timestomp类攻击的检测装置的结构示意图。
具体实施方式
43.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
44.timestomp是一种修改文件时间戳(修改，访问，创建和更改时间)的技术，可以与文件名伪装结合使用来隐藏恶意软件和工具。相关技术中文件修改时间不变的方法可以是先创建一个临时文件，将临时文件赋予源文件的时间，等将源文件修改完成之后，再将临时文件的时间赋予修改后的文件，这样就保证了文件修改前后两个文件的修改时间保证一致。还有，timestomp可以将文件时间修改为指定日期，timestomp targetfile.txt
–
m“monday 12/15/202000:00:00am”；touch命令也可以将一个文件的时间赋予另一个文件的时间，touch
‑
acmr server.crt 1.txt，该命令可以将server.crt的文件修改时间赋予1.txt。基于上述技术问题，本实施例提供一种timestomp类攻击的检测方法，能够有效检测timestomp类攻击事件，及时发现恶意隐藏修改痕迹的行为，具体请参考图1，图1为本技术实施例所提供的一种timestomp类攻击的检测方法的流程图，具体包括：
45.s101、获取文件修改行为前后的目标函数值和文件修改时间；目标函数值用于判断文件修改行为是否为文件内容的修改。
46.本实施例并不限定文件修改行为的具体类型，可以是对文件内容的修改，可以是仅对文件修改时间的恶意修改。本实施例并不限定目标函数值对应的目标函数的具体类型，只要能够判断文件修改行为是否为文件内容的修改即可，可以是哈希函数，也可以是其他函数。
47.本实施例也不限定获取文件修改行为前后的目标函数值和文件修改时间的具体过程，只要能够获取到对应的目标函数值和文件修改时间即可。在一种具体的实施例中，获取文件修改行为前后的目标函数值和文件修改时间，可以包括：
48.当检测到文件修改行为时，拦截文件修改行为，并记录当前的目标函数值和文件修改时间，得到文件修改行为前的目标函数值和文件修改时间；
49.当记录结束后，放行文件修改行为；
50.当文件修改行为被执行后，记录文件修改行为后的目标函数值和文件修改时间，得到文件修改行为后的目标函数值和文件修改时间。
51.本实施例中当检测到文件修改行为时，拦截该文件修改行为，记录当前的即未修改前的目标函数值和文件修改时间；当记录结束后，放行该文件修改行为，待文件修改动作执行完成后，再记录文件修改行为后的目标函数值和文件修改时间。此时，就得到文件修改
行为前后的目标函数值和文件修改时间。
52.本实施例并不限定目标函数值对应的目标函数的具体类型。在一种具体的实施例中，获取文件修改行为前后的目标函数值和文件修改时间，可以包括：
53.获取文件修改行为前后的哈希值和文件修改时间，并将哈希值作为目标函数值。
54.即本实施例中选取哈希函数作为目标函数，相应的，哈希值作为目标函数值。也就是说本实施例选取哈希值作为判断文件修改行为是否为文件内容的修改的判断依据。
55.本实施例并不限定文件修改行为所针对的文件目录，可以是系统下的任意文件目录，也可以是系统下指定目录，该指定目录可以是用户所关心的文件目录。在一种具体的实施例中，为了提高检测效率，更好的满足用户需求，在获取文件修改行为前后的目标函数值和文件修改时间之前，还可以包括：
56.接收防护中心下发的检测指定目录的配置信息；
57.根据配置信息中的指定目录，对指定目录下的文件修改行为进行检测。
58.本实施例在获取文件修改行为前后的目标函数值和文件修改时间之前，还接收防护中心下发的检测指定目录的配置信息。本实施例并不限定配置信息的具体内容，只要能够获取到想要检测的指定目录即可。当获取到配置信息后，就可以根据配置信息中的指定目录，针对该指定目录下的文件修改行为进行检测。能够提高检测效率，并更好的满足用户需求。
59.s102、判断文件修改行为前后的目标函数值是否相同。
60.可以理解的是，目标函数值是用来判定文件修改行为是否属于文件内容上的改变的。当获取到文件修改行为前后的目标函数值后，通过判断文件修改行为前后的目标函数值是否相同，若相同，则代表本次文件修改行为没有发生文件内容上的改变，并执行步骤s103；若不相同，则代表本次文件修改行为是文件内容上的修改，可直接判定不属于timestomp类攻击，因此无需执行步骤s103。本实施例并不限定目标函数值不相同的后续操作，可根据实际需求进行设定。
61.s103、若是，则判断文件修改行为前后的文件修改时间是否相同；若否，则检测到timestomp类攻击。
62.当判断得到文件修改行为前后的目标函数值相同时，再对文件修改时间进行判断，若文件修改行为前后的文件修改时间不同，那么说明发生了timestomp类攻击，即检测到timestomp类攻击；当文件修改行为前后的文件修改时间相同，那么说明没有发生timestomp类攻击。
63.本实施例并不限定发生或未发生timestomp类攻击的后续操作，可以根据实际需求进行设定。在一种具体的实施例中，本实施例中在检测到timestomp类攻击之后，还可以包括：
64.生成告警数据信息，并将告警数据信息发送至防护中心，以使防护中心根据告警数据信息确定文件修改行为发生的真实修改时间。
65.本实施例在检测到timestomp类攻击之后，还生成了告警数据信息，并将告警数据信息发送给防护中心，防护中心可根据该告警数据信息确定文件修改行为发生的真实修改时间。本实施例并不限定告警数据信息的具体内天，可以包括篡改前即文件修改行为前的文件修改时间和篡改后即文件修改行为后的文件修改时间，还可以包括文件地址。可以理
解的是，若发生了timestomp类攻击，那么文件修改行为后的文件修改时间即为真实修改时间；相应的，若没有发生timestomp类攻击，那么文件修改行为前的文件修改时间即为真实修改时间。
66.基于上述技术方案，本实施例通过获取文件修改行为前后的目标函数值和文件修改时间，其中，目标函数值用于判断文件修改行为是否属于文件内容的修改，当不属于文件内容的修改也就是目标函数值相同时，再判断文件修改时间是否发生变化；若发生变化，则判定发生了timestomp类攻击。即本实施例所提出的timestomp类攻击检测方法，能够有效检测timestomp类攻击事件，及时发现恶意隐藏修改痕迹的行为。
67.下面提供一种检测timestomp类攻击的方法及系统的具体实施例。包括两个部分，一个是防护中心，包含防护目录配置模块和告警展示模块，如图2所示；另一个是防护终端，包含文件修改捕获模块，攻击检测模块，攻击告警模块，如图3所示。
68.1、防护中心
69.防护目录配置模块，用于生成防护终端所需要进行攻击检测的目录即指定目录的配置信息，并将配置信息中的配置规则下发给防护终端；
70.告警展示模块，用于接收防护终端所生成的timestomp类攻击的告警数据信息，并展示给用户，如图4所示。
71.2、防护终端
72.文件修改捕获模块，用于接收防护中心下发的含有检测指定目录的配置信息，并对检测指定目录下的文件修改行为进行捕获并拦截，拦截后，先记录文件修改行为前的md5值以及文件的上次文件修改时间即文件修改行为前的文件修改时间；然后放行文件修改行为，待文件修改动作执行完成后，再记录文件修改行为后的md5值以及当前的即文件修改行为后的文件修改时间，最后将文件修改行为前后两次记录的数据(文件修改行为前后的md5值和文件修改时间)转发给攻击检测模块，如图5所示。
73.攻击检测模块，用于接收到检测数据后，会将文件修改行为前后的md5值进行比对，若两次记录的md5值不同，那么检测结束；若相同，再比对前后两次的文件修改时间，若两次的文件修改时间一致，则检测结束；若不一致，那么可以判断发生了timestomp类攻击，再将文件地址、文件上次修改时间即文件修改行为前的文件修改时间、当前文件修改时间即文件修改行为后的文件修改时间形成告警数据信息发送给攻击告警模块，如图6所示。攻击告警模块再将接收到的timestomp类攻击的告警数据信息发送给防护中心，如图7所示。
74.基于上述技术方案，本实施例能够监控文件内容未发生任何变化，但文件修改时间却发生改变的异常现象，从而来检测timestomp类攻击，同时生成告警数据信息，用户通过告警数据信息可以了解文件修改时间被篡改的真实修改时间。
75.下面对本技术实施例提供的一种timestomp类攻击的检测装置进行介绍，下文描述的timestomp类攻击的检测装置与上文描述的timestomp类攻击的检测方法可相互对应参照，相关模块均设置于中，参考图8，图8为本技术实施例所提供的一种timestomp类攻击的检测装置的结构示意图，包括：
76.在一些具体的实施例中，具体包括：
77.获取模块801，用于获取文件修改行为前后的目标函数值和文件修改时间；目标函数值用于判断文件修改行为是否为文件内容的修改；
78.第一判断模块802，用于判断文件修改行为前后的目标函数值是否相同；
79.第二判断模块803，用于若是，则判断文件修改行为前后的文件修改时间是否相同；
80.第一检测结果模块804，用于若所述文件修改行为前后的文件修改时间不相同，则检测到timestomp类攻击。
81.在一些具体的实施例中，获取模块801，包括：
82.第一记录单元，用于当检测到文件修改行为时，拦截文件修改行为，并记录当前的目标函数值和文件修改时间，得到文件修改行为前的目标函数值和文件修改时间；
83.放行单元，用于当记录结束后，放行文件修改行为；
84.第二记录单元，用于当文件修改行为被执行后，记录文件修改行为后的目标函数值和文件修改时间，得到文件修改行为后的目标函数值和文件修改时间。
85.在一些具体的实施例中，获取模块801，包括：
86.获取单元，用于获取文件修改行为前后的哈希值和文件修改时间，并将哈希值作为目标函数值。
87.在一些具体的实施例中，还包括：
88.接收模块，用于接收防护中心下发的检测指定目录的配置信息；
89.指定目录检测模块，用于根据配置信息中的指定目录，对指定目录下的文件修改行为进行检测。
90.在一些具体的实施例中，还包括：
91.生成模块，用于生成告警数据信息，并将告警数据信息发送至防护中心，以使防护中心根据告警数据信息确定文件修改行为发生的真实修改时间。
92.由于timestomp类攻击的检测装置部分的实施例与timestomp类攻击的检测方法部分的实施例相互对应，因此timestomp类攻击的检测装置部分的实施例请参见timestomp类攻击的检测方法部分的实施例的描述，这里暂不赘述。
93.本技术还公开一种timestomp类攻击的检测系统，包括：
94.防护终端，用于执行如上述timestomp类攻击的检测方法的步骤。
95.在一些具体的实施例中，timestomp类攻击的检测系统，还包括：
96.防护中心，用于发生检测指定目录的配置信息至防护终端，以及接收并显示防护终端生成的告警数据信息。
97.由于timestomp类攻击的检测系统部分的实施例与timestomp类攻击的检测方法部分的实施例相互对应，因此timestomp类攻击的检测系统部分的实施例请参见timestomp类攻击的检测方法部分的实施例的描述，这里暂不赘述。
98.下面对本技术实施例提供的一种防护终端进行介绍，下文描述的防护终端与上文描述的timestomp类攻击的检测方法可相互对应参照。
99.本技术还公开一种防护终端，包括：
100.存储器，用于存储计算机程序；
101.处理器，用于执行计算机程序时实现如上述timestomp类攻击的检测方法的步骤。
102.由于防护终端部分的实施例与timestomp类攻击的检测方法部分的实施例相互对应，因此防护终端部分的实施例请参见timestomp类攻击的检测方法部分的实施例的描述，
这里暂不赘述。
103.下面对本技术实施例提供的一种计算机可读存储介质进行介绍，下文描述的计算机可读存储介质与上文描述的timestomp类攻击的检测方法可相互对应参照。
104.本技术还公开一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述timestomp类攻击的检测方法的步骤。
105.由于计算机可读存储介质部分的实施例与方法部分的实施例相互对应，因此计算机可读存储介质部分的实施例请参见timestomp类攻击的检测方法部分的实施例的描述，这里暂不赘述。
106.说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
107.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
108.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd
‑
rom、或技术领域内所公知的任意其它形式的存储介质中。
109.以上对本技术所提供的一种timestomp类攻击的检测方法、装置、系统、防护终端及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围内。