敏感配置异常行为检测方法技术

本发明专利技术属于计算机技术领域，公开了一种敏感配置异常行为检测方法

【技术实现步骤摘要】
敏感配置异常行为检测方法、装置、设备及存储介质


[0001]本专利技术涉及计算机
，尤其涉及一种敏感配置异常行为检测方法
、
装置
、
设备及存储介质
。

技术介绍

[0002]Linux
系统上的一些异常行为是通过配置文本的变更而导致的系统行为的变更，而这些行为很难通过监控进程或者文件来简单的得到具体的行为事件，如
sudoer
用户的添加删除修改
、
定时任务的添加删除修改
、
启动项脚本的添加删除修改等等，现有的检测方案容易出现漏检情况，检测效率低，造成系统敏感配置信息泄露
。
[0003]上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术
。

技术实现思路

[0004]本专利技术的主要目的在于提供一种敏感配置异常行为检测方法
、
装置
、
设备及存储介质，旨在解决现有的检测方案容易出现漏检情况，检测效率低，造成系统敏感配置信息泄露的技术问题
。
[0005]为实现上述目的，本专利技术提供了一种敏感配置异常行为检测方法，所述方法包括以下步骤：
[0006]在检测到针对敏感配置文件的修改行为时，获取所述敏感配置文件对应的修改内容；
[0007]根据所述修改内容确定所述修改行为是否为异常行为，得到异常行为检测结果
。
[0008]可选地，所述在检测到针对敏感配置文件的修改行为时，获取所述敏感配置文件对应的修改内容，包括：
[0009]在检测到针对敏感配置文件的修改行为时，获取所述敏感配置文件对应的备份文件；
[0010]将修改后的所述敏感配置文件与所述备份文件进行比对；
[0011]根据比对结果确定所述敏感配置文件对应的修改内容
。
[0012]可选地，所述在检测到针对敏感配置文件的修改行为时，获取所述敏感配置文件对应的备份文件之前，所述方法还包括：
[0013]对预设敏感配置文件列表中的各敏感配置文件进行备份，得到各敏感配置文件对应的备份文件
。
[0014]可选地，所述对预设敏感配置文件列表中的各敏感配置文件进行备份，得到各敏感配置文件对应的备份文件之前，所述方法还包括：
[0015]在检测到系统初始化完成时，获取预设敏感配置文件列表
。
[0016]可选地，所述根据所述修改内容确定所述修改行为是否为异常行为，得到异常行为检测结果，包括：
[0017]根据所述修改内容查找预设行为分类表，确定所述修改行为对应的行为类型；
[0018]根据所述行为类型判断所述修改行为是否为异常行为，得到异常行为检测结果
。
[0019]可选地，所述根据所述修改内容查找预设行为分类表，确定所述修改行为对应的行为类型，包括：
[0020]确定所述修改内容对应的字段和操作类型；
[0021]根据所述字段和所述操作类型查找预设行为分类表，确定所述修改行为对应的行为类型
。
[0022]可选地，所述根据所述修改内容确定所述修改行为是否为异常行为，得到异常行为检测结果之前，所述方法还包括：
[0023]根据预设修改行为对敏感配置文件进行操作，记录对应的修改字段和修改操作类型；
[0024]根据所述修改字段和所述修改操作类型构建预设行为分类表
。
[0025]可选地，所述根据所述行为类型判断所述修改行为是否为异常行为，得到异常行为检测结果，包括：
[0026]将所述行为类型与预设异常行为类型进行匹配；
[0027]根据匹配结果确定所述修改行为是否为异常行为，得到异常行为检测结果
。
[0028]可选地，所述在检测到针对敏感配置文件的修改行为时，获取所述敏感配置文件对应的修改内容，包括：
[0029]在检测到针对敏感配置文件的修改行为时，监测所述修改行为对应的修改步骤；
[0030]根据所述修改步骤确定所述修改行为对应的修改内容
。
[0031]可选地，所述在检测到针对敏感配置文件的修改行为时，监测所述修改行为对应的修改步骤之后，所述方法还包括：
[0032]将所述修改步骤存储于预设存储区域；
[0033]在获取到针对所述预设存储区域的修改指令时，对所述修改指令进行拦截，并对所述修改指令对应的发起信息进行上报
。
[0034]可选地，所述根据所述修改内容确定所述修改行为是否为异常行为，包括：
[0035]确定所述修改内容对应的修改参数；
[0036]判断所述修改参数是否为敏感参数；
[0037]若是，则确定所述修改行为是异常行为；
[0038]若否，则确定所述修改行为不是异常行为
。
[0039]可选地，所述根据所述修改内容确定所述修改行为是否为异常行为，得到异常行为检测结果之后，所述方法还包括：
[0040]在所述异常行为检测结果为所述修改行为是异常行为时，对所述修改行为进行上报
。
[0041]此外，为实现上述目的，本专利技术还提出一种敏感配置异常行为检测装置，所述敏感配置异常行为检测装置包括：
[0042]获取模块，用于在检测到针对敏感配置文件的修改行为时，获取所述敏感配置文件对应的修改内容；
[0043]检测模块，用于根据所述修改内容确定所述修改行为是否为异常行为，得到异常
行为检测结果
。
[0044]可选地，所述获取模块，还用于在检测到针对敏感配置文件的修改行为时，获取所述敏感配置文件对应的备份文件，将修改后的所述敏感配置文件与所述备份文件进行比对，根据比对结果确定所述敏感配置文件对应的修改内容
。
[0045]可选地，所述敏感配置异常行为检测装置还包括备份模块；
[0046]所述备份模块，用于对预设敏感配置文件列表中的各敏感配置文件进行备份，得到各敏感配置文件对应的备份文件
。
[0047]可选地，所述获取模块，还用于在检测到系统初始化完成时，获取预设敏感配置文件列表
。
[0048]可选地，所述检测模块，还用于根据所述修改内容查找预设行为分类表，确定所述修改行为对应的行为类型，根据所述行为类型判断所述修改行为是否为异常行为，得到异常行为检测结果
。
[0049]可选地，所述检测模块，还用于确定所述修改内容对应的字段和操作类型，根据所述字段和所述操作类型查找预设行为分类表，确定所述修改行为对应的行为类型
。
[0050]此外，为实现上述目的，本专利技术还提出一种敏感配置异常行为检测设备，所述敏感配置异常行为检测设备包括：存储器
、
处理器及存储在所述存储器上并可在所述处理器上运行的敏感配置异常行为检测程序，所述敏感配置异常行为检测程序配置为实现如上文所述的敏感本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种敏感配置异常行为检测方法，其特征在于，所述敏感配置异常行为检测方法包括：在检测到针对敏感配置文件的修改行为时，获取所述敏感配置文件对应的修改内容；根据所述修改内容确定所述修改行为是否为异常行为，得到异常行为检测结果
。2.
如权利要求1所述的敏感配置异常行为检测方法，其特征在于，所述在检测到针对敏感配置文件的修改行为时，获取所述敏感配置文件对应的修改内容，包括：在检测到针对敏感配置文件的修改行为时，获取所述敏感配置文件对应的备份文件；将修改后的所述敏感配置文件与所述备份文件进行比对；根据比对结果确定所述敏感配置文件对应的修改内容
。3.
如权利要求2所述的敏感配置异常行为检测方法，其特征在于，所述在检测到针对敏感配置文件的修改行为时，获取所述敏感配置文件对应的备份文件之前，所述方法还包括：对预设敏感配置文件列表中的各敏感配置文件进行备份，得到各敏感配置文件对应的备份文件
。4.
如权利要求3所述的敏感配置异常行为检测方法，其特征在于，所述对预设敏感配置文件列表中的各敏感配置文件进行备份，得到各敏感配置文件对应的备份文件之前，所述方法还包括：在检测到系统初始化完成时，获取预设敏感配置文件列表
。5.
如权利要求1所述的敏感配置异常行为检测方法，其特征在于，所述根据所述修改内容确定所述修改行为是否为异常行为，得到异常行为检测结果，包括：根据所述修改内容查找预设行为分类表，确定所述修改行为对应的行为类型；根据所述行为类型判断所述修改行为是否为异常行为，得到异常行为检测结果

【专利技术属性】
技术研发人员：邢超，李国强，任海峰，
申请(专利权)人：三六零数字安全科技集团有限公司，
类型：发明
国别省市：