技术特征:
1.一种timestomp类攻击的检测方法,其特征在于,包括:获取文件修改行为前后的目标函数值和文件修改时间;所述目标函数值用于判断所述文件修改行为是否为文件内容的修改;判断所述文件修改行为前后的目标函数值是否相同;若是,则判断所述文件修改行为前后的文件修改时间是否相同;若所述文件修改行为前后的文件修改时间不相同,则检测到所述timestomp类攻击。2.根据权利要求1所述的timestomp类攻击的检测方法,其特征在于,所述获取文件修改行为前后的目标函数值和文件修改时间,包括:当检测到所述文件修改行为时,拦截所述文件修改行为,并记录当前的目标函数值和文件修改时间,得到所述文件修改行为前的目标函数值和文件修改时间;当记录结束后,放行所述文件修改行为;当所述文件修改行为被执行后,记录所述文件修改行为后的目标函数值和文件修改时间,得到所述文件修改行为后的目标函数值和文件修改时间。3.根据权利要求1所述的timestomp类攻击的检测方法,其特征在于,所述获取文件修改行为前后的目标函数值和文件修改时间,包括:获取所述文件修改行为前后的哈希值和所述文件修改时间,并将所述哈希值作为所述目标函数值。4.根据权利要求1所述的timestomp类攻击的检测方法,其特征在于,在获取文件修改行为前后的目标函数值和文件修改时间之前,还包括:接收防护中心下发的检测指定目录的配置信息;根据所述配置信息中的指定目录,对所述指定目录下的文件修改行为进行检测。5.根据权利要求1至4任一项所述的timestomp类攻击的检测方法,其特征在于,在检测到所述timestomp类攻击之后,还包括:生成告警数据信息,并将所述告警数据信息发送至所述防护中心,以使所述防护中心根据所述告警数据信息确定所述文件修改行为发生的真实修改时间。6.一种timestomp类攻击的检测装置,其特征在于,包括:获取模块,用于获取文件修改行为前后的目标函数值和文件修改时间;所述目标函数值用于判断所述文件修改行为是否为文件内容的修改;第一判断模块,用于判断所述文件修改行为前后的目标函数值是否相同;第二判断模块,用于若是,则判断所述文件修改行为前后的文件修改时间是否相同;第一检测结果模块,用于若所述文件修改行为前后的文件修改时间不相同,则检测到所述timestomp类攻击。7.一种timestomp类攻击的检测系统,其特征在于,包括:防护终端,用于执行如权利要求1至5任一项所述timestomp类攻击的检测方法的步骤。8.根据权利要求7所述的timestomp类攻击的检测系统,其特征在于,还包括:防护中心,用于发生检测指定目录的配置信息至所述防护终端,以及接收并显示所述防护终端生成的告警数据信息。9.一种防护终端,其特征在于,包括:存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述timestomp类攻击的检测方法的步骤。10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述timestomp类攻击的检测方法的步骤。
技术总结
本申请公开了一种Timestomp类攻击的检测方法,包括:获取文件修改行为前后的目标函数值和文件修改时间;所述目标函数值用于判断所述文件修改行为是否为文件内容的修改;判断所述文件修改行为前后的目标函数值是否相同;若是,则判断所述文件修改行为前后的文件修改时间是否相同;若文件修改行为前后的文件修改时间不相同,则检测到所述Timestomp类攻击。该方法能够有效检测Timestomp类攻击事件,及时发现恶意隐藏修改痕迹的行为。本申请同时还提供了一种Timestomp类攻击的检测装置、系统、防护终端和计算机可读存储介质,具有上述有益效果。果。果。
技术研发人员:郑云超 范渊 黄进
受保护的技术使用者:杭州安恒信息技术股份有限公司
技术研发日:2021.04.23
技术公布日:2021/10/19
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
