一种防止数据被后门窃取的方法及系统的制作方法
【技术领域】
[0001]本发明涉及网络信息安全领域,尤其涉及一种防止数据被后门窃取的方法及系统。
【背景技术】
[0002]APT (高级可持续威胁)对政府、企业、组织等的重要数据形成了前所未有的威胁。为保护重要数据不被窃取,常见的数据保护方法主要针对灾难性的保护,注重的是数据的备份、防止数据意外丢失等与恶意代码无关的硬件及软件的保护。而传统的反病毒软件、防火墙等安全设备及软件只针对恶意代码进行拦截,在APT时代,绝大部分的恶意代码的检出都大大滞后,这时,我们就迫切需要制作一种针对利用后门窃取数据的APT攻击的对数据的保护方法。
【发明内容】
[0003]本发明提供了一种防止数据被后门窃取的方法及系统,基于后门窃取数据行为与用户操作行为的区别,对未知操作行为进行判断,有效阻止后门对重要数据文件的恶意操作和窃取。
[0004]本发明采用如下方法来实现:一种防止数据被后门窃取的方法,包括:
对已知后门进行反汇编,获取与恶意行为相关的API序列;
将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报馨.1=1 ,
基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;
将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。
[0005]进一步地,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
[0006]进一步地,所述设定数据文件,包括:重要数据文件或者重要目录。
[0007]进一步地,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/o设备的操作过程。
[0008]更进一步地,监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
[0009]本发明采用如下系统来实现:一种防止数据被后门窃取的系统,包括:
API序列获取模块,用于对已知后门进行反汇编,获取与恶意行为相关的API序列;后门判定模块,用于将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;
白名单生成模块,用于基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;
用户行为判定模块,用于将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。
[0010]进一步地,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
[0011]进一步地,所述设定数据文件,包括:重要数据文件或者重要目录。
[0012]进一步地,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/o设备的操作过程。
[0013]更进一步地,监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
[0014]综上所述,本发明提供了一种防止数据被后门窃取的方法及系统,本发明所提供的技术方案,首先,对已知后门恶意代码进行反汇编,获取与恶意行为相关的API,并生成API序列;将未知操作行为与所述API序列进行匹配,从而判断是否是恶意后门行为,若是则报警;基于用户对重要数据文件或者重要目录的操作习惯,设置允许的操作行为或者允许的操作行为组合放入白名单;将未知操作行为与所述白名单匹配,从而判断是否是用户操作行为。
[0015]本发明的有益效果为:本发明的技术方案从分析已知后门的恶意行为特征,从而获取与恶意行为特征相关的API序列,作为恶意行为特征进行后门检测;通过对用户访问数据、修改数据或者删除数据的操作习惯,进行分析统计,设置允许的操作行为或者操作行为组合,以此判断未知操作行为是否属于用户操作行为。本发明不同于传统后门检测手段,基于后门窃取行为与用户操作行为的特征,生成检测规则,从而判断未知操作性是后门窃取行为还是用户操作行为,有效地识别和阻止后门对重要数据的窃取。
【附图说明】
[0016]为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0017]图1为本发明提供的一种防止数据被后门窃取的方法实施例流程图;
图2为本发明提供的一种防止数据被后门窃取的系统实施例结构图。
【具体实施方式】
[0018]本发明给出了一种防止数据被后门窃取的方法及系统的实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种防止数据被后门窃取的方法实施例,如图1所示,包括:
S101对已知后门进行反汇编,获取与恶意行为相关的API序列;
S102将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;
S103基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;
其中,针对不同的设定数据文件,设置与此对应的白名单;所述设定数据文件可以根据用户的需要进行选定;
S104将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。
[0019]优选地,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
[0020]优选地,所述设定数据文件,包括:重要数据文件