[发明专利]一种基于综合特征值检测文件被篡改的方法

权利要求书

1.一种基于综合特征值检测文件被篡改的方法，其特征在于，该方法有效组合了文件的属性特征值与内容特征值作为文件的综合特征值，监控主机定时从节点主机获取综合特征值信息，判断综合特征值是否一致，从而达到快速准确检测文件是否被篡改的目的，具体检测阶段的逻辑处理流程如下：

s11)Server进程请求获取集群节点Agent进程所有被监控文件的综合特征值，并等待返回；

s12)Agent进程接收到Server进程的请求，计算全部被监控文件的综合特征值，并返回给Server进程；

s13)Server进程把Agent端返回的所有综合特征值与数据库中的综合特征值进行逐一比较，判断是否一致；

s14)如果文件被篡改，跳转到s16)，否则跳转到s15)；

s15)更新相应的信息到数据库中；

s16)流程结束。

2.根据权利要求1所述的方法，其特征在于，当检测到文件被篡改后，决策阶段的逻辑处理流程如下：

s21)Server进程从数据库中读取被篡改文件的信息；

s22)Server进程等待用户做决策，是否同意修改，如果是，跳转到s23)，否则跳转到s24)；

s23)Server进程把新的文件内容及其综合特征值更新到数据库中，跳转到s25)；

s24)Agent进程对节点恢复旧的文件内容，跳转到s25)；

s25)流程结束。

3.根据权利要求1或2所述的方法，其特征在于，在该方法中计算出所有被监控文件当前的综合特征值，并存储在数据库中，综合特征值是经过计算组合数据库中的表存储的信息中的其它列属性得到的，而其它列属性是可以通过API接口获得的；如果使用的是Java语言，则可以通过Java读写文件的API来获得这些列属性。

4.根据权利要求1所述的方法，其特征在于，文件的综合特征值由属性特征值与内容特征值组合而成，属性特征值主要包括文件exists是否存在、canExecute是否可执行、canRead是否可读、canWrite是否可写、isDirectory是否目录、isFile是否文件、isHidden是否隐藏文件、lastModified文件的最后修改时间、length文件的大小、name文件的名称、parent文件的父目录的绝对路径，内容特征值主要包括文件内容的MD5值contentMd5。