本发明涉及计算机信息安全领域,具体地,涉及一种文档泄密防护追踪系统。
背景技术:
现有技术对文档是否有窃密和泄密的方法大致可以为:以主动扫描方式来识别目标计算机文档里是否包含有设定的关键字(主要以队列扫描和递归扫描方式对计算机文件进行扫描,判断是否为文档文件,进行解析和设定的关键字进行匹配);根据关键字从识别到文档信息里面是否有对外泄密或者窃密的信息(在识别到的文档信息里面,管理者可对文档内容信息进行查看,判断该文档是否是被窃密文档或者泄密文档)。
现有技术对文档是否有窃密和泄密的方法存在以下缺点:不能及时发现和阻止敏感文件的泄露和窃取;不能识别敏感文件是否有被外泄到互联网;不能识别被泄露或者窃取的文档传播方式;不能识别程序对文档的操作行为,窃取和泄露的源信息;不能对木马程序泄密和窃取行为进行识别和阻止;不能对大规模的爆发性的泄露和窃取行为进行识别和阻止;不能对远控木马和未知型木马的窃取方式进行识别。
技术实现要素:
本发明提供了一种文档泄密防护追踪系统,解决了现有技术对文档是否有窃密和泄密的方法存在的不足,能够对部署范围内的计算机被泄露和被窃取敏感文件进行溯源追踪,识别泄密方式和窃取方式,追踪到泄密源计算机,对爆发性木马和窃取文档程序的阻断和预警。
为实现上述发明目的,本申请提供了一种文档泄密防护追踪系统,所述防护追踪系统包括:管理模块、敏感词匹配模块、监控模块、行为分析模块、木马沙盒模块,预警分析模块;
管理模块用于设置防护追踪系统的敏感词配置信息、用户自定义规则、下发对每个宿主操作系统的文档扫描匹配敏感词的计划任务;
敏感词匹配模块用于对宿主操作系统所有进程访问的文档,(其中包括打开一个文档,关闭一个文档,修改一个文档,拷贝一个文档,剪切一个文档,创建一个文档的时候)进行匹配和识别其中是否有配置的关键字;
监控模块用于实时监视本地目录、文件,并控制本地目录、文件的访问进程行为;
行为分析模块用于分析文件访问进程的各种行为;
木马沙盒模块用于对有窃密行为的进程行为事件模拟回溯,识别木马窃密和木马爆发;
预警分析模块用于当发现木马窃取行为时,对所有宿主客户端进行拦截和预警。
进一步的,行为分析模块还用于对被识别为敏感文件的操作行为进行系统应用层进程关联,对操作当前发现敏感文档的进程行为进行关联,对该进程执行调用的API进行监控,对预设行为(文件打开行为、文件修改行为、文件移动行为、文件关闭行为、文件删除行为、文件创建行为、文件拷贝和剪切行为、开机启动修改行为、注册服务行为、进程打开行为、进程注入行为、注册表操作行为、窗口操作行为、网络数据包收发行为、域名解析行为、驱动加载行为、修改内存行为、访问摄像头行为,访问录音设备行为、关闭系统行为、键盘记录行为、进程通信行为、剪切板操作行为、屏幕截图行为、访问物理磁盘行为)进行逐个关联,形成一个二分数据结构库,结构库其中包括威胁的行为数据和特定的行为数据,用于定义被触发行为危险程度和风险级别。
进一步的,木马沙盒模块还用于对触发行为库(触发行为库为二分数据结构文件其中的规则组成)的进程进行沙盒模拟分析,通过进程调用系统关键API进行重定向的结果,来进行模拟该进程所要实现的目的,其中包括参数信息和目标信息的,对收到的结果和参数信息进行木马行为特征库的查找和关联,得到行为特征结果。
进一步的,监控模块还用于实时对文档的PID进行行为识别,检查外泄行为和窃密行为和攻击行为。
进一步的,管理模块中还用于通过对指定的宿主客户端进行指定规则、指定关键字并进行任务下发,能够指定任务执行时间。
进一步的,当用户操作一份文件时,防护追踪系统对文件内容进行判定,是否为敏感文件,如是,再次判断PID是否有泄密行为和木马行为,如是,则启动木马沙盒对PID进行分析,是人为还是木马程序,如是木马程序,则开始预警到所有宿主客户端可进行防护和拦截;若操作的文件不是敏感文件或行为上并非木马窃取行为,则提交数据信息和上传被操作的文档信息和文件到存储服务器后台进行统一分析报告。
进一步的,发现敏感文档并判定为泄密和木马攻击行为后,该文档将不允许被再次操作;该文档的行为信息被发送到聚集后台,通过聚集后台数据回溯事件发生过程,对文档泄密源信息和木马爆发攻击行为的源信息进行追踪,对源头和爆发源进行报告。
进一步的,所述防护追踪系统还用于对敏感文件、木马文件、移动存储连接记录、移动存储交换文件的上报进行管理,对规则和任务到宿主客户端的推送、对任务的下发进行核查管理,以及进行系统配置。
本申请提供的一个或多个技术方案,至少具有如下技术效果或优点:
本发明克服了前述的现有技术中对窃密和泄密的溯源分析定位追踪的难点,对泄密和窃密的行为不能及时发现,及时处理,不能追溯到发起源,是人为还是后台木马操作。
而且本发明解决了传统的文档发现方式的瓶颈,能够进一步的实时检查和识别敏感文件的被窃取和被泄露的行为,区分人为操作和后台木马操作,对木马操作能够进一步分析和预警拦截,能够回溯泄密和窃取方式,还原出事件现场,为管理人员提供有力的证据和线索。
附图说明
此处所说明的附图用来提供对本发明实施例的进一步理解,构成本申请的一部分,并不构成对本发明实施例的限定;
图一为系统使用示意图;
图二为宿主工作示意图;
图三为宿主识别窃取流程图。
具体实施方式
本发明提供了一种文档泄密防护追踪系统,解决了现有技术对文档是否有窃密和泄密的方法存在的不足,能够对部署范围内的计算机被泄露和被窃取敏感文件进行溯源追踪,识别泄密方式和窃取方式,追踪到泄密源计算机,对爆发性木马和窃取文档程序的阻断和预警。
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在相互不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述范围内的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
本发明提供的识别敏感文件泄露、窃取和追踪步骤包括:
1、(内容)实时监控计算机敏感文件信息变化,对变化的文件内容进行关键字规则匹配。
2、(行为)对所有访问该文档的程序进行行为沙盒分析,对文档的回写行为,对网络的连接行为,对移动设备的拷入拷出行为,对网络连接IP地址信息,对大量回写遍历文件行为,域名解析行为,上传和下载行为,文件感染行为,建立生态行为库(二分数据结构文件其中的规则),进行识别。
3、(聚集)对访问敏感文档操作发起的行为程序:
(1)如果有对外发起连接同时又是境外IP地址或者域名,将会被识别为外泄文档,将记录该程序的所有连带行为,检查是否有远控木马行为和攻击行为,统计后,在部署范围的计算机如果出现该程序将可以被阻断和预警。
(2)当有破坏性程序或大量窃密文档程序,对计算机各个文档内容进行大量读写操作,篡改文件关键内容,将被识别为爆发性攻击行为的木马程序,对类似的行为操作,统计后,在部署范围内的计算机可以进行拦截和预警。
(3)当敏感文档内容出现在网络数据包中,将进行行为检查,解析的域名或者IP是否出现在了浏览器或者敏感文档内容中,数据包内容,是否是畸形数据包(系统漏洞被利用),统计后,在部署范围内的计算机可以进行拦截和预警。
(4)人为操作敏感文件上传到网络,或者拷入拷出到移动存储设备,相同的敏感文件还出现在哪些计算机上,发起源是哪台计算机,是属于哪一种操作,传播源类型,人为操作还是后台木马操作,经过动态行为库(二分数据结构文件其中的规则)统计分析后,追查到泄密和窃密源头,通知相关的管理人员进行操作,提供有效快捷的线索。
请参考图1,一种文档泄密防护追踪系统是在每个宿主客户端操作系统中对文件活动进行实时监控,通过对宿主客户端操作系统的I/O调用、系统调用,网络监控,上网行为监控,拷入拷出监控,然后回传到服务器进行综合分析,追踪窃密程序和爆发性的木马;所述的文档泄密防护追踪系统由管理模块、敏感词匹配模块、监控模块、行为分析模块、木马沙盒模块,预警分析模块组成。
(1)行为分析配模块:对被识别为敏感文件的操作行为(进行预警提示和拦截),由打开文件,关闭文件,写入文件操作进行上层进程关联,对操作该文档的进程的行为进行关联(对操作该文档进程的行为进行关联),对该进程执行调用的API进行监控,其中包括注册表,文件,网络,屏幕,摄像头,打印,聊天行为,上传,邮件发送,内存复制,内容复制,移动存储操作,即时通讯。一系列行为进行逐个关联,形成一个二分数据结构库,这个结构库其中包含了威胁的行为数据和特定的行为数据,来定义被触发行为危险程度和风险级别。
(2)木马沙盒模块:对触发行为库(二分数据结构文件其中的规则)的进程进行沙盒模拟分析,通过进程调用系统关键API进行重定向的结果,来进行模拟该进程所要实现的目的,其中包括参数信息和目标信息的,对收到的结果和参数信息进行木马行为特征库的查找和关联,得到行为特征结果。
所述的管理模块主要用于设置后台系统的敏感词配置信息,和规则信息,任务的下发;所述的敏感词匹配模块完成对宿主操作系统的正在操作的文档进行匹配和识别其中是否有配置的关键字;所述的监控模块主要实时监视本地目录、文件,并控制本地目录、文件的访问进程行为;所述的行为分析模块用于分析文件的访问进程的各种行为;所述的木马沙盒模块主要完成对有窃密行为的进程行为事件模拟回溯,识别木马窃密和木马爆发;所述的预警分析模块是对发现了木马窃取行为对所有宿主客户端进行拦截和预警,避免传播和被攻击。
一种电子文档泄密防护追踪系统实时对文档和文档内容进行监控,并实时对操作系统各个时间进行捕获,如文件修改、文件拷贝、另存、屏幕获取、网络发送,上网行为,移动存储拷贝,并将所述事件进行分类处理,根据后台配置处理不同的事件行为。
所述的监控模块实时对文档的PID进行行为识别,检查外泄行为、窃密行为和攻击行为。
管理模块中可以通过对指定的宿主客户端进行指定规则、指定关键字并进行任务下发,可指定任务执行时间,支持每天和每周。
如图2所述,当用户操作一份文件时,一种电子文档泄密防护追踪系统对文件内容进行判定,是否为敏感文件,如是,再次判断PID是否有泄密行为和木马行为,如是,则启动木马沙盒对PID进行分析,是人为还是木马程序,如是木马程序,则开始预警到所有宿主客户端可进行防护和拦截。
进一步,如果,操作的文件不是敏感文件或行为上并非木马窃取行为,则只提交数据信息和上次原文档信息。
如图3所示,发现敏感文档后通过以上行为判定泄密和木马攻击行为,该文档将不允许被再次操作,包括拷贝,读写。行为信息被发送到聚集后台,通过聚集后台数据将可以回溯事件发生过程,对文档泄密源信息和木马爆发攻击行为的源信息进行追踪,对源头和爆发源进行报告。
一种电子文档泄密防护追踪系统主要功能如下有:
一、上报管理:
敏感文件:对所有发现的敏感文档进行统计,包括使用人,使用操作系统信息,IP地址,MAC地址,时间,发现的敏感词。
木马文件:对所有发现的木马、远控、泄密程序、病毒,包括使用人操作系统信息,泄密方式,窃取方式,泄密过程,泄密时间,操作方式,操作源,特征码,事件回溯。
移动存储连接记录:对所有宿主客户端的移动设备连接进行统计,包括使用人,移动存储设备信息,时间段,连接时长,工作日连接时长。
移动存储交换文件:对所有宿主客户端的移动存储设备交换文件进行统计分析,包括设备使用人,拷入拷出文件类型,文件信息,拷入拷出文件时间,拷入拷出设备名。
二、核查管理:
1、对规则和任务到宿主客户端的推送,其中规则需要预先设置好,对文档或者木马的规则下发,匹配方式需要选定匹配模式,其中包括敏感词的匹配,HEX的匹配,MD5的匹配,是否要对压缩包进行扫描和监控。
2、对任务的下发,在配置好规则后可以把规则添加到一个任务下发到指定客户端,并指定任务执行的时间段和执行方式,是一次性的任务还是每天的任务计划。
三、系统配置:
主要是针对实时监控泄密和木马爆发设定,添加预警关键字,行为,特征,预警拦截,预警时间,被预警文件的信息上传,文件类型限制,如果限制了文件类型,将不会上传到服务器,发现敏感文件泄露和木马攻击爆发的拦截方式,可选定为同步拦截方式,就是对所有的宿主客户端进行拦截还是单个宿主客户端进行拦截。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。