【技术实现步骤摘要】
本专利技术涉及linux操作系统领域,特别涉及一种异常检测方法、装置、电子设备及存储介质。
技术介绍
1、相关技术中,linux操作系统缺乏对可编辑文件的编辑校验手段,容易导致该系统中的系统文件被恶意篡改,进而影响linux操作系统的正常运行,甚至容易引发严重的安全问题。
技术实现思路
1、本专利技术的目的是提供一种异常检测方法、装置、电子设备及存储介质,可在检测到文件写操作触发时,主动对该操作在文件中产生的编辑数据进行异常检测,从而能够有效防止文件被恶意篡改。
2、为解决上述技术问题,本专利技术提供一种异常检测方法,包括:
3、在确定文件写操作触发时,获取所述文件写操作处理的文件对应的文件路径,从所述文件路径所在目录中获取所述文件的交换分区文件,并根据所述文件路径查找所述文件对应的解析程序;
4、调用所述解析程序对所述交换分区文件进行解析,得到所述文件写操作向所述文件写入的编辑数据;
5、对所述编辑数据进行异常检测,并在确定所述编辑数据异常时,对所述文件写操作进行禁止。
6、可选地,所述根据所述文件路径查找所述文件对应的解析程序,包括:
7、在预设图数据中查找以所述文件路径为键的第一键值对;
8、从所述第一键值对中获取所述解析程序的文件描述符索引,并利用所述文件描述符索引在图类型程序数组中查找所述解析程序的文件描述符,以利用所述文件描述符调用所述解析程序;
9、在对所述编辑数据进行异常
10、从所述第一键值对中获取所述文件对应的校验参数,以利用所述校验参数对所述编辑数据进行异常检测;
11、在确定所述编辑数据异常之后,还包括:
12、获取执行所述文件写操作的进程对应的进程标识;
13、判断所述预设图数据中是否存在以所述进程标识为键的第二键值对;
14、若不存在所述第二键值对,则以所述进程标识为键、以所述进程标识对应的异常操作次数为值创建所述第二键值对,并将所述第二键值对添加至所述预设图数据;
15、若已存在所述第二键值对,则对所述第二键值对中的异常操作次数加1,以根据所述异常操作次数对所述进程进行禁用。
16、可选地,所述检验参数包括最大阈值和最小阈值;
17、利用所述校验参数对所述编辑数据进行异常检测,包括:
18、判断所述编辑数据的数值是否位于所述最大阈值和最小阈值之间;
19、若是,则判定所述编辑数据正常;
20、若否,则判定所述编辑数据异常。
21、可选地,还包括:
22、接收从用户态传入的配置数据;所述配置数据包括所述文件路径、所述文件描述符索引及所述校验参数;
23、将所述配置数据转换为以所述文件路径为键、以所述文件描述符索引和所述校验参数为值的键值对,并将所述键值对添加至所述预设图数据中;
24、接收从用户态传入的解析程序,并将所述解析程序的文件描述符添加至所述图类型程序数组。
25、可选地,对所述进程进行禁用,包括:
26、判断所述异常操作次数是否大于预设阈值;
27、若是,则对所述进程进行禁用。
28、可选地,所述调用所述解析程序对所述交换分区文件进行解析,包括:
29、基于尾调用方式调用所述解析程序对所述交换分区文件进行解析,并在完成解析时通过所述尾调用方式调用主程序以进入所述对所述编辑数据进行异常检测的步骤。
30、可选地,在确定文件写操作触发时,获取所述文件写操作处理的文件对应的文件路径,包括:
31、利用设置于文件写函数的钩子函数检测所述文件写函数是否被调用;
32、在确定所述文件写函数被调用时,利用所述钩子函数从所述文件写函数中获取所述文件路径。
33、本专利技术还提供一种异常检测装置,包括:
34、获取模块,用于在确定文件写操作触发时,获取所述文件写操作处理的文件对应的文件路径,从所述文件路径所在目录中获取所述文件的交换分区文件,并根据所述文件路径查找所述文件对应的解析程序;
35、解析模块,用于调用所述解析程序对所述交换分区文件进行解析,得到所述文件写操作向所述文件写入的编辑数据;
36、异常检测模块,用于对所述编辑数据进行异常检测,并在确定所述编辑数据异常时,对所述文件写操作进行禁止。
37、本专利技术还提供一种电子设备,包括:
38、存储器,用于存储计算机程序;
39、处理器,用于执行所述计算机程序时实现如上所述的异常检测方法。
40、本专利技术还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上所述的异常检测方法。
41、本专利技术提供一种异常检测方法,包括:在确定文件写操作触发时,获取所述文件写操作处理的文件对应的文件路径,从所述文件路径所在目录中获取所述文件的交换分区文件,并根据所述文件路径查找所述文件对应的解析程序;调用所述解析程序对所述交换分区文件进行解析,得到所述文件写操作向所述文件写入的编辑数据;对所述编辑数据进行异常检测,并在确定所述编辑数据异常时,对所述文件写操作进行禁止。
42、可见,本专利技术在确定文件写操作触发时,首先可获取该文件写操作所处理的文件对应的文件路径,并在该文件路径所在目录中获取文件的交换分区文件,以及根据该文件路径查找该文件对应的解析程序,其中,交换分区文件包含该文件被该文件写操作编辑过程中所产生的编辑数据;随后,本专利技术可调用该解析程序对交换分区文件进行解析,得到文件写操作向文件写入的编辑数据,并可对编辑数据主动进行异常检测,若确定编辑数据异常时,则可对文件写操作进行禁止。这样,本专利技术可在检测到文件写操作触发时,主动对该操作在文件中产生的编辑数据进行异常检测,并在确定编辑数据异常时对文件写操作及时禁止,从而能够有效防止linux操作系统中的文件被恶意篡改,进而能够对linux操作系统的正常运行进行有效防护。本专利技术还提供一种异常检测装置、电子设备及计算机可读存储介质,具有上述有益效果。
本文档来自技高网...【技术保护点】
1.一种异常检测方法,其特征在于,包括:
2.根据权利要求1所述的异常检测方法,其特征在于,所述根据所述文件路径查找所述文件对应的解析程序,包括:
3.根据权利要求2所述的异常检测方法,其特征在于,所述检验参数包括最大阈值和最小阈值;
4.根据权利要求2所述的异常检测方法,其特征在于,还包括:
5.根据权利要求2所述的异常检测方法,其特征在于,对所述进程进行禁用,包括:
6.根据权利要求1所述的异常检测方法,其特征在于,所述调用所述解析程序对所述交换分区文件进行解析,包括:
7.根据权利要求1所述的异常检测方法,其特征在于,在确定文件写操作触发时,获取所述文件写操作处理的文件对应的文件路径,包括:
8.一种异常检测装置,其特征在于,包括:
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至7任一项所述的异常检测方法。
【技术特征摘要】
1.一种异常检测方法,其特征在于,包括:
2.根据权利要求1所述的异常检测方法,其特征在于,所述根据所述文件路径查找所述文件对应的解析程序,包括:
3.根据权利要求2所述的异常检测方法,其特征在于,所述检验参数包括最大阈值和最小阈值;
4.根据权利要求2所述的异常检测方法,其特征在于,还包括:
5.根据权利要求2所述的异常检测方法,其特征在于,对所述进程进行禁用,包括:
6.根据权利要求1所述的异常检测方法,其特征在于,所...
【专利技术属性】
技术研发人员:魏志伟,徐飞,
申请(专利权)人:浪潮电子信息产业股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。