目錄【Directory】為Linux/Unix系統較習慣的用語,
資料夾【Folder】為Microsoft Windows系統較習慣的用語。
本處將資料夾【Folder】統稱為【目錄】。
大部分的伺服器都已安裝資安防護的防毒軟體,WATCHDOG系統也加強對主機安全做防護措施。
【目錄比對】的功能是其中一項,
主要是針對高風險的【目錄內的檔案】先封存後再定時做百分百二進位比對。
目錄內的檔案類型可以包括:
➢二進位程式檔案【.exe, .dll】
➢Shell Script程式檔案
➢系統設定檔
➢文字檔
➢密碼檔
➢二進位影像檔
【目錄比對】是保護與防止程式碼或設定檔遭到無心的更改編寫或是惡意的竄改。
或是成為駭客的惡意病毒的管道,而造成程式無法正確執行運作。
維運系統在重要伺服主機的監測中,目錄比對的功能就是針對上述的狀況,作出預防的一種重要功能。
比對功能主要是為對指定的程式或檔案做百分百二進位【binary】內容的比對。
確定程式或檔案與封裝內的原始檔是否遭受更改,可用於系統重要程式或應用系統程式版本的檢查。
監控目錄比對的系統規格
➢ 偵測目的:百分百二進位比對指定目錄/資料夾內的檔案與封裝的原始檔是否遭受更改。
➢ 監測目標:程式或檔案名稱。
➢ 警報條件:比對不同,新增檔案。
➢ 即時資訊:正常/警報發佈。
➢ 資訊收集:訊息,警報發佈/解除時間點。
➢ 緊急處置:通報,執行預定程式,還原檔案。
➢ 警報臨界值:比對不同。
程式比對與目錄比對
➢ 【程式比對】是針對指定的單一檔案,進行百分之百的二進位【binary】的比對。
➢ 【目錄比對】是針對指定的目錄/資料夾內的所有檔案進行百分之百的二進位【binary】的比對,
也包含比對這個目錄/資料夾裡面的檔案是否有新增多少的數量,
且可以一直比對到第三層內的所有檔案與目錄/資料夾,
在比對出目標目錄與封裝的檔案有差異性即發出告警通知等動作。
