本发明专利技术公开了一种云存储环境病毒源检测方法,包括,收集被感染的文件类型;在本地创建相同类型的文件,同时计算出该文件的HASH值;将创建的文件复制到存储上,作为诱饵文件;在存储访问节点上遍历所有进程正在访问的文件;如发现诱饵文件被进程打开,立刻记录访问的主机的IP,并在终端将IP显示出来;计算诱饵文件的HASH值,如HASH值发生了改变则将主机IP写入指定的文本文件中;隔离IP地址的主机;恢复到原始诱饵文件,继续收集其它病毒源主机。以实现检测精准,效率高的优点。
【技术实现步骤摘要】
【专利摘要】本专利技术公开了一种,包括,收集被感染的文件类型;在本地创建相同类型的文件,同时计算出该文件的HASH值;将创建的文件复制到存储上,作为诱饵文件;在存储访问节点上遍历所有进程正在访问的文件;如发现诱饵文件被进程打开,立刻记录访问的主机的IP,并在终端将IP显示出来;计算诱饵文件的HASH值,如HASH值发生了改变则将主机IP写入指定的文本文件中;隔离IP地址的主机;恢复到原始诱饵文件,继续收集其它病毒源主机。以实现检测精准,效率高的优点。【专利说明】
本专利技术涉及信息
,具体地,涉及一种。
技术介绍
公司内部采取CIFS协议使用私有云存储过程中、当其中某台主机感染了具有感染特性的病毒后,会对云存储中特定的文件进行感染破坏,以便进行传播,对该事件的处理过程中首先需要定位已被感染的主机。现有定位方法为:关闭存储系统;开启存储系统日志Debug功能;启动存储系统;记录30-60分钟日志;关闭存储系统,关闭日志Debug功能;将日志文件拷贝出来;启动存储系统;对日志信息进行分析,定位可疑的读写;如无法定位,则从新关闭存储系统;对可疑读写的主机进行隔离;观察是否再有文件被感染的情况;如继续被感染重复以上步骤,找出所有感染源。该方法存在以下缺点:中断线上业务、开启DEBUG功能影响系统稳定性、日志分析耗时长且不完全可靠。
技术实现思路
本专利技术的目的在于,针对上述问题,提出一种,以实现检测精准,效率高的优点。 为实现上述目的,本专利技术采用的技术方案是:一种,包括以下步骤:步骤1、收集被感染的文件类型;步骤2、在本地创建与上述步骤I中被感染的文件类型相同类型的文件,同时计算出该文件的HASH值;步骤3、将上述步骤2创建的文件复制到存储上,作为诱饵文件;步骤4、在存储访问节点上遍历所有进程正在访问的文件; 步骤5、如发现诱饵文件被进程打开,立刻记录访问的主机的IP,并在终端将IP显示出来;步骤6、计算诱饵文件的HASH值,如HASH值发生了改变则将主机IP写入指定的文本文件中;步骤7、隔离上述步骤5中IP地址的主机;步骤8、恢复到步骤3中的原始诱饵文件,继续收集其它病毒源主机。 本专利技术的技术方案具有以下有益效果:通过创建诱饵文件,并对访问诱饵文件的进程进行监控,从而追溯到问题主机。达到了检测精准,效率高的目的。同时本专利技术技术方案还具有以下特点:1、不需要暂停服务;2、对现有存储不进行有风险的改动;3、检测手段的时间不受限制;4、不需要关心病毒源感染的运行周期; 5、检测精准,效率高;6、可完全实现自动化;7、减少了人工分析日志所需要的大量时间;本专利技术的技术方案具有以下特点:下面通过附图和实施例,对本专利技术的技术方案做进一步的详细描述。 【专利附图】【附图说明】 图1为本专利技术实施例所述的的流程图。 【具体实施方式】 以下结合附图对本专利技术的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本专利技术,并不用于限定本专利技术。 如图1所示,一种,包括以下步骤:步骤1、收集被感染的文件类型;步骤2、在本地创建与上述步骤I中被感染的文件类型相同类型的文件,同时计算出该文件的HASH值;步骤3、将上述步骤2创建的文件复制到存储上,作为诱饵文件;步骤4、在存储访问节点上遍历所有进程正在访问的文件;步骤5、如发现诱饵文件被进程打开,立刻记录访问的主机的IP,并在终端将IP显示出来;步骤6、计算诱饵文件的HASH值,如HASH值发生了改变则将主机IP写入指定的文本文件中;步骤7、隔离上述步骤5中IP地址的主机;步骤8、恢复到步骤3中的原始诱饵文件,继续收集其它病毒源主机。 HASH值即哈希值。 最后应说明的是:以上所述仅为本专利技术的优选实施例而已,并不用于限制本专利技术,尽管参照前述实施例对本专利技术进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本专利技术的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本专利技术的保护范围之内。【权利要求】1.一种,其特征在于,包括以下步骤: 步骤1、收集被感染的文件类型; 步骤2、在本地创建与上述步骤I中被感染的文件类型相同类型的文件,同时计算出该文件的HASH值; 步骤3、将上述步骤2创建的文件复制到存储上,作为诱饵文件; 步骤4、在存储访问节点上遍历所有进程正在访问的文件; 步骤5、如发现诱饵文件被进程打开,立刻记录访问的主机的IP,并在终端将IP显示出来; 步骤6、计算诱饵文件的HASH值,如HASH值发生了改变则将主机IP写入指定的文本文件中; 步骤7、隔离上述步骤5中IP地址的主机; 步骤8、恢复到步骤3中的原始诱饵文件,继续收集其它病毒源主机。【文档编号】G06F21/56GK104484605SQ201410748109【公开日】2015年4月1日 申请日期:2014年12月10日 优先权日:2014年12月10日 【专利技术者】徐帆, 熊智辉 申请人:央视国际网络无锡有限公司本文档来自技高网...
【技术保护点】
一种云存储环境病毒源检测方法,其特征在于,包括以下步骤:步骤1、收集被感染的文件类型;步骤2、在本地创建与上述步骤1中被感染的文件类型相同类型的文件,同时计算出该文件的HASH值;步骤3、将上述步骤2创建的文件复制到存储上,作为诱饵文件;步骤4、在存储访问节点上遍历所有进程正在访问的文件;步骤5、如发现诱饵文件被进程打开,立刻记录访问的主机的IP,并在终端将IP显示出来;步骤6、计算诱饵文件的HASH值,如HASH值发生了改变则将主机IP写入指定的文本文件中;步骤7 、隔离上述步骤5中IP地址的主机;步骤8、恢复到步骤3中的原始诱饵文件,继续收集其它病毒源主机。
【技术特征摘要】
【专利技术属性】
技术研发人员:徐帆,熊智辉,
申请(专利权)人:央视国际网络无锡有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。