本發(fā)明涉及計(jì)算機(jī)，特別是指一種基于系統(tǒng)日志的u盤惡意代碼檢測(cè)方法和系統(tǒng)。

背景技術(shù)：

1、隨著電網(wǎng)規(guī)模的擴(kuò)大和智能化水平的提升，電網(wǎng)通信資源的管理變得越來(lái)越復(fù)雜。傳統(tǒng)的資源管理方法往往難以應(yīng)對(duì)大規(guī)模電網(wǎng)中通信資源的動(dòng)態(tài)變化和不確定性，需要更加智能和靈活的管理策略。

2、隨著信息技術(shù)的不斷發(fā)展，以前通過(guò)軟盤、光盤等形式作為信息交換介質(zhì)的方式越來(lái)越少見(jiàn)，通過(guò)usb(通用串行總線)移動(dòng)存儲(chǔ)介質(zhì)即u盤作為信息交換介質(zhì)的方式越來(lái)越普遍，usb具有傳輸速度快、支持熱插拔的優(yōu)點(diǎn)，而使用usb接口的u盤在半導(dǎo)體工藝不斷進(jìn)步下硬件體積越來(lái)越小巧、存儲(chǔ)容量越來(lái)越大、功能越來(lái)越復(fù)雜，在給人們帶來(lái)便捷的同時(shí)，也帶來(lái)了各種安全隱患，尤其是近年來(lái)通過(guò)u盤傳播惡意代碼的事件頻頻發(fā)生，不僅對(duì)企業(yè)安全生產(chǎn)產(chǎn)生了影響，也給人們帶來(lái)了不必要的經(jīng)濟(jì)損失。在使用u盤進(jìn)行數(shù)據(jù)交換前，首先對(duì)u盤內(nèi)的文件進(jìn)行惡意代碼檢測(cè)，保證交換數(shù)據(jù)的安全，成為保證u盤使用安全的一種重要手段。但是每次數(shù)據(jù)交換前，都對(duì)u盤進(jìn)行一次惡意代碼檢測(cè)，未變動(dòng)的數(shù)據(jù)也要反復(fù)掃描，會(huì)導(dǎo)致數(shù)據(jù)交換的效率大大降低，帶來(lái)不必要的時(shí)間浪費(fèi)，如果沒(méi)有強(qiáng)制手段，某一次忘記先進(jìn)行惡意代碼掃描，而直接使用了u盤內(nèi)的文件，會(huì)給操作的主機(jī)帶來(lái)風(fēng)險(xiǎn)，甚至影響主機(jī)連入的整個(gè)網(wǎng)絡(luò)。

3、為了解決效率與安全問(wèn)題，目前的一種現(xiàn)有技術(shù)提出了一種對(duì)u盤在多種軟件系統(tǒng)間實(shí)現(xiàn)u盤聯(lián)動(dòng)管控的方法，是通過(guò)對(duì)u盤創(chuàng)建唯一標(biāo)識(shí)id和標(biāo)記文件，并通過(guò)記錄磁盤每個(gè)卷的剩余空間作為u盤進(jìn)行安全檢測(cè)的依據(jù)；

4、然而，本發(fā)明的發(fā)明人發(fā)現(xiàn)，該方法雖然解決了部分情況下磁盤被惡意代碼感染后的管控，但仍然存在u盤在做了標(biāo)記管控后依然被惡意代碼入侵的風(fēng)險(xiǎn)，也就是說(shuō)，存在無(wú)法檢測(cè)出惡意代碼的情況。

技術(shù)實(shí)現(xiàn)思路

1、有鑒于此，本發(fā)明的目的在于提出一種基于系統(tǒng)日志的u盤惡意代碼檢測(cè)方法和系統(tǒng)，既提高u盤使用的安全性，也保證u盤使用的便捷性。

2、基于上述目的，本發(fā)明提供一種基于系統(tǒng)日志的u盤惡意代碼檢測(cè)方法，包括：

3、對(duì)于非首次接入的u盤，分析所述u盤每個(gè)分區(qū)的文件系統(tǒng)日志，識(shí)別出發(fā)生變動(dòng)的文件；

4、對(duì)于所述u盤中未變動(dòng)的文件，確定所述文件的關(guān)鍵屬性信息；

5、將確定的所述文件的關(guān)鍵屬性信息，與該文件所在分區(qū)的標(biāo)記文件中預(yù)存的所述文件的關(guān)鍵屬性信息進(jìn)行比較；

6、將比較結(jié)果不一致的文件，以及識(shí)別為發(fā)生變動(dòng)的文件，進(jìn)行惡意代碼檢測(cè)；并將檢測(cè)通過(guò)的文件的關(guān)鍵屬性信息和哈希值作為該文件的標(biāo)記信息記錄存儲(chǔ)在所述標(biāo)記文件中。

7、其中，所述文件的關(guān)鍵屬性信息包括：

8、所述文件的相對(duì)路徑、文件大小、創(chuàng)建時(shí)間、修改時(shí)間。

9、較佳地，在所述分析所述u盤每個(gè)分區(qū)的文件系統(tǒng)日志之前，還包括：

10、判斷所述u盤是否為首次接入；

11、在判斷所述u盤為首次接入后，對(duì)于所述u盤的每個(gè)分區(qū)，生成該分區(qū)根目錄下的標(biāo)記文件，并將該分區(qū)的所有文件依次進(jìn)行惡意代碼掃描，將掃描通過(guò)的文件的關(guān)鍵屬性信息和哈希值作為該文件的標(biāo)記信息存儲(chǔ)在該標(biāo)記文件中；

12、其中，所述標(biāo)記文件加密保存，并通過(guò)簽名算法進(jìn)行了簽名。

13、其中，所述判斷所述u盤是否為首次接入，具體包括：

14、對(duì)所述u盤每個(gè)分區(qū)卷根目錄下的標(biāo)記文件進(jìn)行檢測(cè)；

15、若存在標(biāo)記文件不存在或簽名驗(yàn)證失敗的情況，則判定所述u盤為首次接入；否則，所述u盤為非首次接入。

16、進(jìn)一步，所述方法還包括：

17、對(duì)于u盤中待拷貝的文件，檢測(cè)所述文件在標(biāo)記文件中的標(biāo)記信息；

18、在檢測(cè)通過(guò)后，將所述文件拷貝至主機(jī)。

19、本發(fā)明還提供一種基于系統(tǒng)日志的u盤惡意代碼檢測(cè)系統(tǒng)，包括：u盤檢測(cè)裝置；其中，所述u盤檢測(cè)裝置包括：

20、系統(tǒng)日志分析模塊，用于對(duì)于非首次接入的u盤，分析所述u盤每個(gè)分區(qū)的文件系統(tǒng)日志，識(shí)別出發(fā)生變動(dòng)的文件；

21、標(biāo)記快速檢測(cè)模塊，用于對(duì)于所述u盤中未變動(dòng)的文件，確定所述文件的關(guān)鍵屬性信息；將確定的所述文件的關(guān)鍵屬性信息，與該文件所在分區(qū)的標(biāo)記文件中預(yù)存的所述文件的關(guān)鍵屬性信息進(jìn)行比較；

22、惡意代碼檢測(cè)模塊，用于將比較結(jié)果不一致的文件，以及識(shí)別為發(fā)生變動(dòng)的文件，進(jìn)行惡意代碼檢測(cè)；并將檢測(cè)通過(guò)的文件的關(guān)鍵屬性信息和哈希值作為該文件的標(biāo)記信息記錄存儲(chǔ)在所述標(biāo)記文件中。

23、較佳地，所述u盤檢測(cè)裝置還包括：

24、u盤標(biāo)記檢測(cè)模塊，用于判斷所述u盤是否為首次接入：對(duì)所述u盤每個(gè)分區(qū)卷根目錄下的標(biāo)記文件進(jìn)行檢測(cè)；若存在標(biāo)記文件不存在或簽名驗(yàn)證失敗的情況，則判定所述u盤為首次接入；否則，所述u盤為非首次接入；

25、u盤標(biāo)記生成模塊，用于對(duì)于判斷為首次接入的u盤，針對(duì)該u盤的每個(gè)分區(qū)，生成該分區(qū)根目錄下的標(biāo)記文件，并通過(guò)所述惡意代碼檢測(cè)模塊將該分區(qū)的所有文件依次進(jìn)行惡意代碼掃描，將掃描通過(guò)的文件的關(guān)鍵屬性信息和哈希值作為該文件的標(biāo)記信息存儲(chǔ)在該標(biāo)記文件中；其中，所述標(biāo)記文件加密保存，并通過(guò)簽名算法進(jìn)行了簽名。

26、較佳地，所述系統(tǒng)還包括：u盤訪問(wèn)控制裝置；其中，所述u盤訪問(wèn)控制裝置包括：

27、文件標(biāo)記檢測(cè)模塊，用于對(duì)于u盤中待拷貝的文件，檢測(cè)所述文件在標(biāo)記文件中的標(biāo)記信息；

28、u盤文件拷貝模塊，用于在所述文件檢測(cè)通過(guò)后，將所述文件拷貝至主機(jī)。

29、本發(fā)明還提供一種計(jì)算機(jī)設(shè)備，所述計(jì)算機(jī)設(shè)備包括存儲(chǔ)器、處理器以及存儲(chǔ)在存儲(chǔ)器上并可在處理器上運(yùn)行的計(jì)算機(jī)程序，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)用于實(shí)現(xiàn)上述的基于系統(tǒng)日志的u盤惡意代碼檢測(cè)方法的步驟。

30、本發(fā)明還提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)內(nèi)存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序可被至少一個(gè)處理器所執(zhí)行，以使所述至少一個(gè)處理器執(zhí)行上述的基于系統(tǒng)日志的u盤惡意代碼檢測(cè)方法的步驟。

31、本發(fā)明技術(shù)方案中，對(duì)于非首次接入的u盤，分析所述u盤每個(gè)分區(qū)的文件系統(tǒng)日志，識(shí)別出發(fā)生變動(dòng)的文件；對(duì)于所述u盤中未變動(dòng)的文件，確定所述文件的關(guān)鍵屬性信息；將確定的所述文件的關(guān)鍵屬性信息，與該文件所在分區(qū)的標(biāo)記文件中預(yù)存的所述文件的關(guān)鍵屬性信息進(jìn)行比較；將比較結(jié)果不一致的文件，以及識(shí)別為發(fā)生變動(dòng)的文件，進(jìn)行惡意代碼檢測(cè)；并將檢測(cè)通過(guò)的文件的關(guān)鍵屬性信息作為該文件的標(biāo)記信息記錄存儲(chǔ)在所述標(biāo)記文件中。本發(fā)明技術(shù)方案中，通過(guò)分析該盤文件系統(tǒng)日志，對(duì)改動(dòng)的所有文件重新進(jìn)行掃描，未改動(dòng)的文件根據(jù)上一次標(biāo)記時(shí)記錄的關(guān)鍵屬性信息進(jìn)行快速匹配，而不必采用效率較低的hash值匹配；既能快速識(shí)別有過(guò)變動(dòng)的文件，又避免無(wú)效hash計(jì)算帶來(lái)效率上的損失；進(jìn)一步，對(duì)于匹配失敗的文件，重新進(jìn)行掃描，掃描完成后更新標(biāo)記。由于二次使用時(shí)，僅掃描變動(dòng)的文件部分，可以大大提高u盤惡意代碼掃描的效率，同時(shí)確保u盤使用安全性。