检测文件篡改的方法、装置、电子设备及可读存储介质与流程

1.本公开涉及计算机安全技术领域，具体涉及一种检测文件篡改的方法、装置、电子设备及可读存储介质。


背景技术：

2.随着通信技术的发展，计算机在人们的日常工作、生活中扮演着越来越重要的角色。为了确保计算机的安全性，监控计算机中的敏感文件、重要文件等是否被篡改显得尤为重要。
3.在相关技术中，在监控文件被篡改时，技术人员需要在计算机的系统中建立一个哈希hash库，该hash库用于存储全部监控文件的初始hash值；通过计算机程序计算被监控文件的hash值，并将该被监控文件的hash值与hash库中的初始hash值比较，如果两个hash值不同，那么可以确定该监控文件已经被篡改。
4.在上述技术方案中，虽然可以监控文件是否被篡改，但是无法对被篡改文件进行溯源。


技术实现要素：

5.为了解决相关技术中的问题，本公开实施例提供一种检测文件篡改的方法、装置、电子设备及可读存储介质。
6.第一方面，本公开实施例中提供了一种检测文件篡改的方法，包括：根据每个登录用户已执行的历史命令、历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件；若检测到与目标文件对应的目标操作事件，则获取目标操作时间，目标操作时间为导致发生目标操作事件的目标历史命令的执行时间；若检测到目标历史命令文件中的目标历史命令与目标操作事件匹配、且目标历史命令的执行时间与目标操作时间匹配，则获取目标历史命令文件对应登录用户的目标用户登录信息。
7.结合第一方面，本公开在第一方面的第一种实现方式中，每个历史命令文件的名称包括用户登录信息，每个历史命令文件包括对应登录用户的已执行的历史命令和历史命令的执行时间信息。
8.结合第一方面，本公开在第一方面的第二种实现方式中，所述根据每个登录用户已执行的历史命令、历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件之前，所述方法还包括：运行记录历史命令脚本，以获取每个登录用户已执行的历史命令和历史命令的执行时间信息。
9.结合第一方面的第一种实现方式，本公开在第一方面的第三种实现方式中，所述运行记录历史命令脚本，以获取每个登录用户已执行的历史命令和历史命令的执行时间信息之前，所述方法还包括：在每个登录用户满足第一预设条件的情况下，执行第一系统文件；
其中，第一系统文件包括调用记录历史命令脚本的命令行，记录历史命令脚本用于将历史命令和历史命令的执行时间信息分别保存在对应登录用户的历史命令文件中。
10.结合第一方面的第二种实现方式，本公开在第一方面的第四种实现方式中，登录用户满足第一预设条件，包括：登录用户执行操作系统登录命令、su命令以及sudo命令中至少一项。
11.结合第一方面，本公开在第一方面的第五种实现方式中，所述若检测到目标历史命令文件中的目标历史命令与目标操作事件匹配、且目标历史命令的执行时间与目标操作时间匹配，则获取目标历史命令文件对应登录用户的目标用户登录信息之前，所述方法还包括：当系统登录日志被更新时，获取系统登录日志，系统登录日志用于记录每个登录用户的用户登录信息；对系统登录日志进行解析，得到至少一个用户登录信息。
12.第二方面，本公开实施例中提供了一种检测文件篡改的装置，包括：第一获取模块，被配置为根据每个登录用户已执行的历史命令、历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件；第二获取模块，被配置为若检测到与目标文件对应的目标操作事件，则获取目标操作时间，目标操作时间为导致发生目标操作事件的目标历史命令的执行时间；第三获取模块，被配置为若检测到目标历史命令文件中的目标历史命令与目标操作事件匹配、且目标历史命令的执行时间与目标操作时间匹配，则获取目标历史命令文件对应登录用户的目标用户登录信息。
13.结合第二方面，本公开在第二方面的第一种实现方式中，每个历史命令文件的名称包括对应登录用户的用户登录信息，每个历史命令文件包括对应登录用户的已执行的历史命令和历史命令的执行时间信息。
14.结合第二方面，本公开在第二方面的第二种实现方式中，所述装置还包括：第一执行模块，被配置为运行记录历史命令脚本，以获取每个登录用户已执行的历史命令和历史命令的执行时间信息。
15.结合第二方面，本公开在第二方面的第三种实现方式中，所述装置还包括：第二执行模块，被配置为在每个登录用户满足第一预设条件的情况下，执行第一系统文件；其中，第一系统文件包括调用记录历史命令脚本的命令行，记录历史命令脚本用于将历史命令和历史命令的执行时间信息分别保存在对应登录用户的历史命令文件中。
16.结合第二方面的第三种实现方式，本公开在第二方面的第四种实现方式中，登录用户满足第一预设条件，包括：登录用户执行操作系统登录命令、su命令以及sudo命令中至少一项。
17.结合第二方面，本公开在第二方面的第五种实现方式中，所述装置还包括：第四获取模块，被配置为当系统登录日志被更新时，获取系统登录日志，系统登录日志用于记录每个登录用户的用户登录信息；解析模块，被配置为对系统登录日志进行解析，得到至少一个用户登录信息。
18.第三方面，本公开实施例提供了一种电子设备，包括存储器和处理器，其中，所述
存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器执行以实现如第一方面和第一方面的任一种可能实现方式所述的方法。
19.第四方面，本公开实施例中提供了一种计算机可读存储介质，其上存储有计算机指令，该计算机指令被处理器执行时实现如第一方面和第一方面的任一种可能实现方式所述的方法。
20.根据本公开实施例提供的技术方案，通过根据每个登录用户已执行的历史命令、历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件；若检测到与目标文件对应的目标操作事件，则获取目标操作时间，目标操作时间为导致发生目标操作事件的目标历史命令的执行时间；若检测到目标历史命令文件中的目标历史命令与目标操作事件匹配、且目标历史命令的执行时间与目标操作时间匹配，则获取目标历史命令文件对应登录用户的目标用户登录信息。通过该技术方案，能够检测敏感文件、业务文件等其他文件是否被篡改，在获取到目标用户登录信息之后，可以知晓是哪个用户对文件进行了篡改，从而实现对被篡改文件进行溯源分析。
21.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
附图说明
22.结合附图，通过以下非限制性实施方式的详细描述，本公开的其它特征、目的和优点将变得更加明显。在附图中。
23.图1示出根据本公开实施例提供的检测文件篡改的方法的流程图。
24.图2出根据本公开实施例提供的检测文件篡改的装置的结构框图。
25.图3示出根据本公开的实施例提供的电子设备的结构框图。
26.图4示出适于用来实现根据本公开实施例的方法的计算机系统的结构示意图。
具体实施方式
27.下文中，将参考附图详细描述本公开的示例性实施例，以使本领域技术人员可容易地实现它们。此外，为了清楚起见，在附图中省略了与描述示例性实施例无关的部分。
28.在本公开中，应理解，诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在，并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。
29.另外还需要说明的是，在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
30.在本公开中，如涉及对用户信息或用户数据的获取操作或向他人展示用户信息或用户数据的操作，则所述操作均为经用户授权、确认，或由用户主动选择的操作。
31.上文提及，随着通信技术的发展，计算机在人们的日常工作、生活中扮演着越来越重要的角色。为了确保计算机的安全性，监控计算机中的敏感文件、重要文件等是否被篡改显得尤为重要。
32.在相关技术中，在监控文件被篡改时，技术人员需要在计算机的系统中建立一个哈希hash库，该hash库用于存储全部监控文件的初始hash值；通过计算机程序计算被监控
文件的hash值，并将该被监控文件的hash值与hash库中的初始hash值比较，如果两个hash值不同，那么可以确定该监控文件已经被篡改。
33.在上述技术方案中，虽然可以监控文件是否被篡改，但是无法对被篡改文件进行溯源。
34.考虑到上述技术问题，本公开实施方式提供一种检测文件篡改的方法，通过根据每个登录用户已执行的历史命令、历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件；若检测到与目标文件对应的目标操作事件，则获取目标操作时间，目标操作时间为导致发生目标操作事件的目标历史命令的执行时间；若检测到目标历史命令文件中的目标历史命令与目标操作事件匹配、且目标历史命令的执行时间与目标操作时间匹配，则获取目标历史命令文件对应登录用户的目标用户登录信息。通过该技术方案，能够检测敏感文件、业务文件等其他文件是否被篡改，在获取到目标用户登录信息之后，可以知晓是哪个用户对文件进行了篡改，从而实现对被篡改文件进行溯源分析。
35.图1示出根据本公开的实施例的检测文件篡改的方法的流程图。如图1所示，所述方法包括以下步骤s101
ꢀ‑ꢀ
s103：在步骤s101中，根据每个登录用户已执行的历史命令、历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件。
36.在步骤s102中，若检测到与目标文件对应的目标操作事件，则获取目标操作时间。
37.其中，目标操作时间为导致发生目标操作事件的目标历史命令的执行时间。
38.在步骤s103中，若检测到目标历史命令文件中的目标历史命令与该目标操作事件匹配、且目标历史命令的执行时间与该目标操作时间匹配，则获取该目标历史命令文件对应登录用户的目标用户登录信息。
39.在本公开一实施方式中，所述检测文件篡改的方法可适用于对于文件篡改进行检测的计算机、计算设备、电子设备等等。
40.在本公开一实施方式中，所述检测文件篡改的方法可以被应用于操作系统，该操作系统可以包括linux系统。
41.在本公开一实施方式中，所述历史命令可以理解为在用户登录操作系统的情况下，用户在操作系统中输入的命令。
42.示例性地，历史命令可以包括mkdir、touch、vi、vim、echo、》、》》、rm、rmdir、cp、mv、chmod、chgrp、chown等其他命令。
43.在本公开一实施方式中，所述历史命令的执行时间信息可以理解为用户在操作系统中输入历史命令的时间。
44.在本公开一实施方式中，所述用户登录信息可以包括登录ip地址，登录用户名、登录时间、登录的控制台、用户退出登录时间。
45.在本公开一实施方式中，所述历史命令文件可以理解为基于历史命令、历史命令的执行时间信息和对应登录用户的用户登录信息，得到的历史命令文件。
46.在本公开一实施方式中，一个登录用户对应一个历史命令文件。在当前操作系统登录有多个登录用户的情况下，可以获取得到多个历史命令文件。
47.在本公开一实施方式中，所述目标文件为被操作系统监控的文件。该目标文件可以为监控列表中的文件。
48.在本公开一实施方式中，本领域技术人员可以预先在本地配置文件中配置需要监控的文件的路径，从而可以将配置好的文件的路径全部添加到通知inotify监控列表中。操作系统可以使用inotify机制监控文件系统操作，比如读取、写入和创建等操作。
49.在本公开一实施方式中，所述目标操作事件可以为出厂时设置的，或为用户自定义设置的。
50.在本公开一实施方式中，所述目标操作事件可以理解为用户在操作系统中执行命令所发生的操作。该目标操作事件可以包括创建操作、删除操作、修改操作、移动操作等。
51.在本公开一实施方式中，目标历史命令为与目标操作事件对应的历史命令。
52.在本公开一实施方式中，在检测到与目标文件对应的目标操作事件的情况下，则操作系统认为该目标文件发生篡改异常，即可以理解为此时目标文件为被篡改文件。在确定目标文件发生篡改异常之后，可以记录该目标文件发生篡改异常的时间点，即导致发生目标操作事件的目标历史命令的执行时间。
53.在本公开一实施方式中，目标文件可以理解为操作系统中的某个文件或某个文件目录。在目标文件为文件目录的情况下，目标文件可以包括文件目录下的全部或部分文件。
54.在本公开一实施方式中，目标文件可以包括不同种类的不能被非法篡改的文件，例如，目标文件包括关键目录、配置文件、业务文件、敏感文件等其他文件。
55.在本公开一实施方式中，每个历史命令文件的名称包括对应登录用户的用户登录信息，每个历史命令文件包括对应登录用户的已执行的历史命令和历史命令的执行时间信息。
56.在本公开一实施方式中，设置作为第一环境变量的历史命令文件的名称为对应登录用户的用户登录信息。例如，历史命令文件的名称为登录ip地址-登录用户名-登录时间。
57.在本公开一实施方式中，第一环境变量可以为histfile环境变量。
58.在本公开一实施方式中，设置作为第二环境变量的历史命令文件的内容保存格式为对应登录用户的历史命令和历史命令的执行时间信息。
59.在本公开一实施方式中，第二环境变量可以为prompt_command环境变量。
60.在本公开一实施方式中，目标历史命令与目标操作事件匹配可以理解为：目标历史命令为导致发生目标操作事件的目标历史命令。
61.示例性地，目标历史命令为rm xxx，目标操作事件为删除xxx文件操作。
62.在本公开的实施方式中，通过比较目标操作事件与用户执行过的历史命令，例如创建操作与mkdir命令匹配，修改操作与vi命令匹配，删除操作与rm 命令匹配，则认为是对应登录用户操作。即通过获取到的目标用户登录信息，追踪到了异常文件（目录）出现篡改事件的操作用户，以及该用户的登录ip地址、登录时间点。
63.如此，可以对被篡改文件进行溯源分析，知晓是哪个用户对文件进行了篡改，且由于还知晓目标操作时间，因此也可以知晓发生篡改文件事件的时间点。
64.本公开实施例提供的检测文件篡改的方法，通过根据每个登录用户已执行的历史命令、所述历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件；若检测到与目标文件对应的目标操作事件，则获取目标操作时间，所述目标操作时间为导致发生所述目标操作事件的目标历史命令的执行时间；若检测到目标历史命令文件中的所述目标历史命令与所述目标操作事件匹配、且所述目标历史命令的执行时间与所述目标操
作时间匹配，则获取所述目标历史命令文件对应登录用户的目标用户登录信息。通过该技术方案，能够检测敏感文件、业务文件等其他文件是否被篡改，在获取到目标用户登录信息之后，可以知晓是哪个用户对文件进行了篡改，从而实现对被篡改文件进行溯源分析。
65.在本公开一实施方式中，所述步骤s101，即所述根据每个登录用户已执行的历史命令、所述历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件之前，所述方法还可包括以下步骤：运行记录历史命令脚本，以获取每个登录用户已执行的历史命令和该历史命令的执行时间信息。
66.在本公开一实施方式中，通过运行记录历史命令脚本，以获取每个登录用户已执行的历史命令和该历史命令的执行时间信息，并在历史命令文件中写入历史命令和该历史命令的执行时间信息。
67.在本公开实施例中，在运行记录历史命令脚本的情况下，提高了获取和记录历史命令和该历史命令的执行时间信息的效率。
68.在本公开一实施方式中，所述运行记录历史命令脚本，以获取每个登录用户已执行的历史命令和所述历史命令的执行时间信息之前，所述方法还可包括以下步骤：在每个登录用户满足第一预设条件的情况下，执行第一系统文件。
69.其中，第一系统文件包括调用记录历史命令脚本的命令行，该记录历史命令脚本用于将历史命令和该历史命令的执行时间信息分别保存在对应登录用户的历史命令文件中。
70.在本公开一实施方式中，第一系统文件可以为/etc/bash.bashrc。该第一系统文件的末尾添加有调用历史命令脚本的命令行。
71.在本公开一实施方式中，登录用户满足第一预设条件，包括：登录用户执行操作系统登录命令、su命令以及sudo命令中至少一项。
72.在本公开一实施方式中，sudo 命令可以包括sudo su命令、sudo
ꢀ‑
s命令、sudo
ꢀ‑
i命令。
73.在本公开一实施方式中，su命令和sudo命令用于切换用户。
74.在本公开的实施例中，在每个登录用户登录操作系统时或通过su命令、sudo 命令切换用户时，均可以执行第一系统文件，由于该第一系统文件的末尾添加有调用历史命令脚本的语句，因此可以保证每个登录用户登录时都会执行一次记录历史命令脚本。这样就实现了对每个登录用户历史命令的保存。
75.在本公开一实施方式中，所述步骤s103，即所述若检测到目标历史命令文件中的目标历史命令与所述目标操作事件匹配、且所述目标历史命令的执行时间与所述目标操作时间匹配，则获取所述目标历史命令文件对应登录用户的目标用户登录信息之前，所述方法还可包括以下步骤：当系统登录日志被更新时，获取系统登录日志。
76.其中，上述系统登录日志用于记录每个登录用户的用户登录信息。
77.对该系统登录日志进行解析，得到至少一个用户登录信息。
78.在本公开一实施方式中，可以将操作系统的系统登录日志添加到inotify监控的列表中，从而可以实时监控系统登录日志是否有改动。
79.在本公开一实施方式中，所述系统登录日志可以包括/var/log/auth.log。当有登录用户（远程）登录操作系统时，操作系统会为该系统登录日志增加一条日志记录，该日志记录中包括登录用户名、登录时间、登录的控制台、登录ip地址等信息；当有登录用户退出操作系统时，操作系统也会为系统登录日志增加一条日志记录，该日志记录中包括用户名、退出时间等信息。即一旦系统登录日志有改动，就立即记录登录用户的相关信息。
80.对于用户登录信息，可以参照上述实施方式中的解释和说明，本公开实施方式对此不作限定。
81.在本公开实施例中，可以实时监控系统登录日志，并在系统登录日志改变的情况下，可利用日志解析技术，解析系统登录日志，得到每个登录用户的用户登录信息，从而在得到至少一个用户登录信息的情况下，可以借助至少一个用户登录信息分析出是哪个用户篡改文件。
82.图2示出根据本公开的实施例的检测文件篡改的装置的结构框图。其中，该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。
83.如图2所示，所述装置包括第一获取模块201、第二获取模块202和第三获取模块203。第一获取模块201，被配置为根据每个登录用户已执行的历史命令、历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件。第二获取模块202，被配置为若检测到与目标文件对应的目标操作事件，则获取目标操作时间，目标操作时间为导致发生目标操作事件的目标历史命令的执行时间。第三获取模块203，被配置为若检测到目标历史命令文件中的目标历史命令与目标操作事件匹配、且目标历史命令的执行时间与目标操作时间匹配，则获取目标历史命令文件对应登录用户的目标用户登录信息。
84.本公开一实施方式中，每个历史命令文件的名称包括对应登录用户的用户登录信息，每个历史命令文件包括对应登录用户的已执行的历史命令和历史命令的执行时间信息。
85.本公开一实施方式中，所述装置还包括：第一执行模块，被配置为运行记录历史命令脚本，以获取每个登录用户已执行的历史命令和历史命令的执行时间信息。
86.本公开一实施方式中，所述装置还包括：第二执行模块，被配置为在每个登录用户满足第一预设条件的情况下，执行第一系统文件。其中，第一系统文件包括调用记录历史命令脚本的命令行，记录历史命令脚本用于将历史命令和历史命令的执行时间信息分别保存在对应登录用户的历史命令文件中。
87.本公开一实施方式中，登录用户满足第一预设条件，包括：登录用户执行操作系统登录命令、su命令以及sudo命令中至少一项。
88.本公开一实施方式中，所述装置还包括：第四获取模块，被配置为当系统登录日志被更新时，获取系统登录日志，系统登录日志用于记录每个登录用户的用户登录信息；解析模块，被配置为对系统登录日志进行解析，得到至少一个用户登录信息。
89.本公开实施例提供的检测文件篡改的装置，通过根据每个登录用户已执行的历史命令、历史命令的执行时间信息和对应登录用户的用户登录信息，获取历史命令文件；若检测到与目标文件对应的目标操作事件，则获取目标操作时间，目标操作时间为导致发生目
标操作事件的目标历史命令的执行时间；若检测到目标历史命令文件中的目标历史命令与目标操作事件匹配、且目标历史命令的执行时间与目标操作时间匹配，则获取目标历史命令文件对应登录用户的目标用户登录信息。通过该技术方案，能够检测敏感文件、业务文件等其他文件是否被篡改，在获取到目标用户登录信息之后，可以知晓是哪个用户对文件进行了篡改，从而实现对被篡改文件进行溯源分析。
90.本公开还公开了一种电子设备，图3示出根据本公开的实施例的电子设备的结构框图。
91.如图3所示，电子设备包括存储器和处理器，其中，存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器执行以实现根据本公开的实施例的方法。
92.图4示出适于用来实现根据本公开实施例的方法的计算机系统的结构示意图。
93.如图4所示，计算机系统包括处理单元，其可以根据存储在只读存储器（rom）中的程序或者从存储部分加载到随机访问存储器（ram）中的程序而执行上述实施例中的各种方法。在ram中，还存储有计算机系统操作所需的各种程序和数据。处理单元、rom以及ram通过总线彼此相连。输入/输出（i/o）接口也连接至总线。
94.以下部件连接至i/o接口：包括键盘、鼠标等的输入部分；包括诸如阴极射线管（crt）、液晶显示器（lcd）等以及扬声器等的输出部分；包括硬盘等的存储部分；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分。通信部分经由诸如因特网的网络执行通信过程。驱动器也根据需要连接至i/o接口。可拆卸介质，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器上，以便于从其上读出的计算机程序根据需要被安装入存储部分。其中，所述处理单元可实现为cpu、gpu、tpu、fpga、npu等处理单元。
95.特别地，根据本公开的实施例，上文描述的方法可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括有形地包含在机器可读介质上的计算机程序，所述计算机程序包含用于执行上述方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分从网络上被下载和安装，和/或从可拆卸介质被安装。
96.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
97.描述于本公开实施例中所涉及到的单元或模块可以通过软件的方式实现，也可以通过可编程硬件的方式来实现。所描述的单元或模块也可以设置在处理器中，这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
98.作为另一方面，本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中电子设备或计算机系统中所包含的计算机可读存储介质；也可以是
单独存在，未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序，所述程序被一个或者一个以上的处理器用来执行描述于本公开的方法。
99.以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的（但不限于）具有类似功能的技术特征进行互相替换而形成的技术方案。