[发明专利]安全检测方法与装置

说明书

本发明实施例提供了一种安全检测方法与装置，该方法包括：根据主机的历史文件变更记录，学习得到主机各目录的变化规律数据；基于每一目录的变化规律数据和预设的选择策略，建立各目录的文件变更放行规则；选择策略为默认选择策略或自定义选择策略；采集当前的文件变更记录；使用当前的文件变更记录与各文件变更放行规则进行匹配；其中，若匹配成功，表征当前的文件变更记录正常，若与所有文件变更放行规则均不匹配，表征当前的文件变更记录异常；在不匹配时进行报警。在本发明实施例中，可分析任意目录下的变化规则数据，得到文件变更放行规则。这样，不仅仅提高了检测范围的覆盖，同时还有效的降低了误报率。

技术领域

本发明涉及网络技术领域，特别涉及安全检测方法与装置。

背景技术

当今网络安全攻击的种类多样，但绝大部分真实攻击成功后都会引起一系列的文件变化。以挖矿病毒等为例，其利用任意可获取系统权限漏洞获取执行权限后，一方面拉取挖矿恶意程序进行挖矿，此时主机文件系统上已经新增了挖矿的恶意文件；另一方面，挖矿恶意程序还会尝试通过替换系统命令、修改Crontab、修改启动项等方式来实现持久化，此时也会产生一系列的主机文件变化。因此，检测并及时发现主机上的异常文件变化对于识别攻击行为是一种非常重要的手段。

传统的安全检测技术大多是通过配置指定目录，例如/etc等，然后监控该目录下的所有文件变化来直接产生告警。

上述检测技术本质上认为所有文件变更都属于异常，因此只能配置监控一些关键目录，不能有效得覆盖各个目录。同时，目录下如果有log文件等日常变更的文件，会触发大量的误报。这样会导致传统的安全检测方式在覆盖率和误报率上都存在需改进的方面。

发明内容

有鉴于此，本发明实施例提供安全检测方法与装置，以提高安全检测的覆盖率，降低误报率。

为实现上述目的，本发明实施例提供如下技术方案：

本申请第一方面提供一种安全检测方法，包括：

根据主机的历史文件变更记录，学习得到主机各目录的变化规律数据；其中，每一历史文件变更记录至少包括：变更文件路径；任一目录的变化规律数据至少包括：预设的各文件变化类型在所述任一目录下所对应的文件列表；

基于所述每一目录的变化规律数据和预设的选择策略，建立各目录的文件变更放行规则；其中，任一文件变更放行规则包括：目录名，以及，目录名下被放行的文件列表；所述选择策略为默认选择策略或自定义选择策略；

采集当前的文件变更记录；当前的文件变更记录至少包括：变更文件路径；

使用所述当前的文件变更记录与各文件变更放行规则进行匹配；其中，若匹配成功，表征所述当前的文件变更记录正常，若与所有文件变更放行规则均不匹配，表征所述当前的文件变更记录异常；

在不匹配时进行报警。

可选的，所述预设的各文件变化类型包括：相似变化类型，以及，N个频率变化等级类型；N为正整数；

所述被放行的文件列表包括：相似文件列表和频率变化文件列表；

其中，所述相似文件列表与所述相似变化类型相对应；

所述频率变化文件列表包括与所述N个步骤变化等级类型中至少一种类型相对应的文件列表。

可选的，所述根据主机的历史文件变更记录，学习得到主机各目录的变化规律数据包括：

获取基线周期内的历史文件变更记录；每一历史文件变更记录至少还包括变更时间；

解析每一历史文件变更记录，得到发生文件变更的目录和发生变更的文件名；

根据所述历史文件变更记录中的变更时间，计算每一发生变更的文件名在所述基线周期内的文件变更频率；