本申請(qǐng)公開(kāi)了一種文件修改時(shí)間可信度判定方法、裝置、電子設(shè)備和計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，該方法包括：當(dāng)檢測(cè)到被監(jiān)測(cè)文件的文件狀態(tài)改變時(shí)間發(fā)生變化時(shí)，獲取被監(jiān)測(cè)文件變化后的屬性?xún)?nèi)容；根據(jù)屬性?xún)?nèi)容中的文件狀態(tài)改變時(shí)間和屬性?xún)?nèi)容中的文件修改時(shí)間差值，確定被監(jiān)測(cè)文件的實(shí)際修改時(shí)間；其中，文件修改時(shí)間差值為被監(jiān)控文件的文件狀態(tài)改變時(shí)間的變化累加差；查看當(dāng)前被監(jiān)控文件的文件修改時(shí)間，并判斷文件修改時(shí)間與實(shí)際修改時(shí)間是否一致；若是，則判定文件修改時(shí)間可信；若否，則判定文件修改時(shí)間不可信。該方法能夠準(zhǔn)確識(shí)別文件修改時(shí)間的可信度，并提高了文件修改時(shí)間作為文件內(nèi)容是否被修改依據(jù)的可信度。

技術(shù)領(lǐng)域

本申請(qǐng)涉及計(jì)算機(jī)技術(shù)領(lǐng)域，特別涉及一種文件修改時(shí)間可信度判定方法、裝置、電子設(shè)備和計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

背景技術(shù)

文件修改時(shí)間用于判定文件什么時(shí)候被修改了，惡意用戶(hù)將文件內(nèi)容修改后，為了隱藏痕跡，往往會(huì)將文件修改時(shí)間進(jìn)行篡改，修改為其他時(shí)間。例如，黑客通過(guò)創(chuàng)建一個(gè)臨時(shí)文件，通過(guò)將系統(tǒng)文件的當(dāng)前文件修改時(shí)間賦值給臨時(shí)文件，當(dāng)篡改系統(tǒng)文件后，再將臨時(shí)文件的文件修改時(shí)間賦值給系統(tǒng)文件，這樣系統(tǒng)文件被篡改前后的文件修改時(shí)間就一致了，隱藏了系統(tǒng)文件被篡改的痕跡。降低了文件修改時(shí)間的可信度。

發(fā)明內(nèi)容

本申請(qǐng)的目的是提供一種文件修改時(shí)間可信度判定方法，能夠準(zhǔn)確識(shí)別文件修改時(shí)間的可信度。其具體方案如下：

第一方面，本申請(qǐng)公開(kāi)了一種文件修改時(shí)間可信度判定方法，包括：

當(dāng)檢測(cè)到被監(jiān)測(cè)文件的文件狀態(tài)改變時(shí)間發(fā)生變化時(shí)，獲取所述被監(jiān)測(cè)文件變化后的屬性?xún)?nèi)容；

根據(jù)所述屬性?xún)?nèi)容中的文件狀態(tài)改變時(shí)間和所述屬性?xún)?nèi)容中的文件修改時(shí)間差值，確定所述被監(jiān)測(cè)文件的實(shí)際修改時(shí)間；其中，所述文件修改時(shí)間差值為所述被監(jiān)控文件的文件狀態(tài)改變時(shí)間的變化累加差；

查看當(dāng)前所述被監(jiān)控文件的文件修改時(shí)間，并判斷所述文件修改時(shí)間與所述實(shí)際修改時(shí)間是否一致；

若是，則判定所述文件修改時(shí)間可信；若否，則判定所述文件修改時(shí)間不可信。

可選的，根據(jù)所述屬性?xún)?nèi)容中的文件狀態(tài)改變時(shí)間和所述屬性?xún)?nèi)容中的文件修改時(shí)間差值，確定所述被監(jiān)測(cè)文件的實(shí)際修改時(shí)間，包括：

根據(jù)所述屬性?xún)?nèi)容，識(shí)別所述被監(jiān)控文件的文件變化性質(zhì)；

若所述文件變化性質(zhì)為文件屬性變化，獲取所述被監(jiān)測(cè)文件變化前的屬性?xún)?nèi)容，將變化前所述屬性?xún)?nèi)容中的文件修改時(shí)間差值和變化前后所述文件狀態(tài)改變時(shí)間的差值進(jìn)行累加，得到所述被監(jiān)控文件的文件狀態(tài)改變時(shí)間的變化累加差；

若所述文件變化性質(zhì)為文件內(nèi)容變化，則將所述文件狀態(tài)改變時(shí)間的變化累加差設(shè)為0；

根據(jù)變化后所述屬性?xún)?nèi)容中的文件修改時(shí)間與所述文件狀態(tài)改變時(shí)間的變化累加差，得到所述被監(jiān)測(cè)文件的實(shí)際修改時(shí)間。

可選的，根據(jù)所述屬性?xún)?nèi)容，識(shí)別所述被監(jiān)控文件的文件變化性質(zhì)，包括：

若所述屬性?xún)?nèi)容中的文件權(quán)限、文件的硬連接數(shù)、屬主、屬組中的任意一項(xiàng)或多項(xiàng)發(fā)生變化，則確定所述被監(jiān)控文件的文件變化性質(zhì)為所述文件屬性變化；

若所述屬性?xún)?nèi)容中的文件類(lèi)型、文件大小、iNode編號(hào)中的任意一項(xiàng)或多項(xiàng)發(fā)生變化，則確定所述被監(jiān)控文件的文件變化性質(zhì)為所述文件內(nèi)容變化。

可選的，所述查看當(dāng)前所述被監(jiān)控文件的文件修改時(shí)間，包括：

利用stat命令查看當(dāng)前所述被監(jiān)控文件的文件修改時(shí)間。

第二方面，本申請(qǐng)公開(kāi)了一種文件修改時(shí)間可信度判定裝置，包括：

獲取模塊，用于當(dāng)檢測(cè)到被監(jiān)測(cè)文件的文件狀態(tài)改變時(shí)間發(fā)生變化時(shí)，獲取所述被監(jiān)測(cè)文件變化后的屬性?xún)?nèi)容；