一种防溢出攻击的文档安全操作与分析的方法及系统的制作方法
【技术领域】
[0001]本发明涉及信息安全技术领域,尤其涉及一种防溢出攻击的文档安全操作与分析的方法及系统。
【背景技术】
[0002]随着网络科技的发展,互联网给人们的生活和工作带来了很大的便利,但是,由于互联网具有开放性这一特点,网络安全形式也变得日益严峻。网络攻击由最初的技术炫耀演变成了利益冲突。世界上已经出现很多具有一定规模的网络黑客组织,利用高级持续性威胁,对政府、个人企业等进行长期的入侵、潜伏、盗取机密信息。攻击方法灵活多变,高级隐蔽,导致传统的防御方式无法对其进行有效的防御。在一些经典的攻击案例中发现,很多高级持续性威胁都是利用定制的恶意代码进行定向攻击。其中,溢出文档攻击方法尤为频繁。很多APT攻击都是利用社会工程学,尤其通过邮件中的恶意图片、恶意文档打开入侵的大门。当点击恶意图片或文档,溢出的恶意代码就开始进入终端系统,逐步获取执行权限,开始间谍式的获取机密信息。
[0003]目前,针对溢出文档防御,存在以下问题:
1.溢出文档表面上与一般普通文档相同,攻击者会在文档中写入正常标题和内容,让终端使用人毫无戒心的打开文档,达到入侵成功而不被发现的目的;
2.此类文档利用操作系统的漏洞,入侵者可在其中加入适当参数,获得终端的管理员权限,实现远程操控、回传信息甚至交叉式感染,入侵核心设备;
3.网络管理员、系统管理员很难在第一时间进行补丁和漏洞的修复,攻击者利用Oday漏洞使得对文档溢出攻击无法进行有效的防御;
4.溢出文档能够获取终端root权限,既可以执行恶意代码,也可以实现静默潜伏,躲避防御系统的扫描和查杀。
【发明内容】
[0004]针对上述现有技术中存在的问题,本发明提出了一种防溢出攻击的文档安全操作与分析的方法及系统,首先初始化加密所需公钥私钥对,并建立终端向指定设备发送信息的加密单向通讯协议以及指定设备向终端发送消息的加密单向通讯协议,然后通过这两种加密单向协议,实现终端对指定设备中的可疑文档进行操作,以及指定设备对可疑文档的操作过程进行静动态分析,最后整理分析数据及可疑文档特征,并上传给防护机制。
[0005]具体
【发明内容】
包括:
一种防溢出攻击的文档安全操作与分析的方法,包括:
初始化加密所需的公钥私钥对;
建立终端向指定设备发送信息的加密单向通讯协议;
建立指定设备向终端发送消息的加密单向通讯协议;
将可疑文档导入到指定设备中进行操作,并对操作过程进行静、动态分析; 记录分析日志,并收集可疑文档特征信息;
将所述分析日志与特征信息上报给防护机制。
[0006]进一步地,所述终端向指定设备发送信息的加密单向通讯协议,该通讯协议设定只能由终端向指定设备发送指令操作,指定设备不返回信息,如果指定设备向终端返回消息,则终端将对返回的消息做屏蔽处理;其中,所述指令操作包括:键盘操作、鼠标操作、光标操作、命令行操作。
[0007 ] 进一步地,所述指定设备向终端发送消息的加密单向通讯协议,该通讯协议设定只能由指定设备向终端发送实时图片信息,终端不返回信息,且终端对指定设备发送的非图片信息予以屏蔽;其中,所述图片信息为在指定设备中对可疑文档进行操作的截图信息。
[0008]进一步地,所述将可疑文档导入到指定设备中,导入方式包括:可移动设备传输、USB传输、网络传输、指定FTP地址下载。
[0009]进一步地,所述将可疑文档导入到指定设备中进行操作,并对操作过程进行静、动态分析,具体为:利用终端向指定设备发送信息的加密单向通讯协议,实现终端对指定设备中的可疑文档进行操作,监控操作过程,利用静、动态分析技术,分析操作过程中是否存在文档溢出攻击;其中,所述操作包括:打开、编辑、保存、删除。
[0010]—种防溢出攻击的文档安全操作与分析系统,包括:加密通讯管理单元、文档传输单元、终端及指定设备;
所述加密通讯管理单元,用于向终端和指定设备发放公钥、私钥以及通讯协议,包括:初始化模块、通讯协议建立模块;其中,初始化模块,用于初始化加密所需的公钥私钥对;通讯协议建立模块,用于建立终端向指定设备发送信息的加密单向通讯协议,建立指定设备向终端发送消息的加密单向通讯协议;
所述文档传输单元,用于将可疑文档导入到指定设备中;
所述终端,用于利用终端向指定设备发送信息的加密单向通讯协议对指定设备中的可疑文档进行操作;
所述指定设备包括:文档操作分析模块、数据收集上传模块;其中,文档操作分析模块,用于对终端通过终端向指定设备发送信息的加密单向通讯协议对可疑文档进行操作的操作过程进行静、动态分析;数据收集上传模块,用于记录分析日志,并收集可疑文档特征信息,将所述分析日志与特征信息上报给防护机制。
[0011 ]进一步地,所述终端向指定设备发送信息的加密单向通讯协议,该通讯协议设定只能由终端向指定设备发送指令操作,指定设备不返回信息,如果指定设备向终端返回消息,则终端将对返回的消息做屏蔽处理;其中,所述指令操作包括:键盘操作、鼠标操作、光标操作、命令行操作。
[0012]进一步地,所述指定设备向终端发送消息的加密单向通讯协议,该通讯协议设定只能由指定设备向终端发送实时图片信息,终端不返回信息,且终端对指定设备发送的非图片信息予以屏蔽;其中,所述图片信息为在指定设备中终端通过终端向指定设备发送信息的加密单向通讯协议对可疑文档进行操作的截图信息。
[0013]进一步地,所述文档传输单元,将可疑文档导入到指定设备中的导入方式包括:可移动设备传输、USB传输、网络传输、指定FTP地址下载。
[0014]进一步地,所述文档操作分析模块,具体用于:监控由终端利用终端向指定设备发送信息的加密单向通讯协议对可疑文档的操作,利用静、动态分析技术,分析操作过程中是否存在文档溢出攻击;其中,所述操作包括:打开、编辑、保存、删除。
[0015]本发明的有益效果是:
本发明将可疑文档放入指定设备进行操作和分析,能够保障终端的系统安全,即使存在文档溢出的恶意攻击,也将恶意行为封闭在指定设备中,且指定设备发送的消息,除图片夕卜,终端都予以屏蔽,有效阻断恶意代码进行交叉感染的途径;
一些有价值文档由于被攻击者利用,注入了恶意程序,利用本发明,终端用户可以对文档进行任何操作和使用,根据指定设备返回的图片信息,获取有价值文档内容,且不用担心受到恶意攻击;
本发明对可疑文档进行分析,并对分析日志和文档特征进行收集,并将所有信息上报给防御系统,便于后续分析,以及完善防御机制。
【附图说明】
[0016]为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0017]图1为本发明一种防溢出攻击的文档安全操作与分析的方法流程图;
图2为本发明一种防溢出攻击的文档安全操作与分析的系统结构图;
图3为本发明一种防溢出攻击的文档安全操作与分析的系统结构图。
【具体实施方式】
[0018]为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0019]本发明给出了一种防溢出攻击的文档安全操作与分析的方法实施例,如图1所示,包括:
SlOl:初始化加密所需的公钥私钥对;
所述公钥私钥对用于终端和指定设备间的数据加密传输,可将公钥保存在终端,将私钥保存在指定设备中;
S102:建立终端向指定设备发送信息的加密单向通讯协议;
S103:建立指定设备向终端发送消息的加密单向通讯协议;
S104:将可疑文档导入到指定设备中进行操作;
S105:对操作过程进行静、动态分析;
所述静态分析包括:文件格式识别和检测、宏病毒检测、高级威胁特征检测等;动态分析包括:操作命令分析、行为分析等;
5106:记录分析日志,并收集可疑文档特征信息;
5107:将所述分析日志与特征信息上报给防护机制。
[0020]优选地,所述终端向指定设备发送信息的加密单向通讯协议,该通讯协议设定只能由终端向指定设备发送指令操作,指定设备不返回信息,如果指定设备向终端返回消息,则终端将对返回的消息做屏蔽处理;其中,所述指令操作包括:键盘操作、鼠标操作、光标操作、命令行操作;
由终端向指定设备发送指令操作的过程举例如下:
终端利用公钥对指令操作进行加密,并发送给指定设备,指定设备接收到指令操作后,利用私钥进行解密。
[0021]优选地,所述指定设备向终端发送消息的加密单向通讯协议,该通讯协议设定只能由指定设备向终端发送实时图片信息,终端不返回信息,且终端对指定设备发送的非图片信息予以屏蔽;其中,所述图片信息为在指定设备中对可疑文档进行操作的截图信息;由指定设备向终端发送实时图片信息;
由指定设备向终端发送实时图片信息的过程举例如下:
指定设备利用私钥对图片信息进行加密,并发送给终端,终端收到图片信息后,利用公钥进行解密。
[0022]优选地,所述将可疑文档导入到指定设备中,导入方式包括:可移动设备传输、USB传输、网络传输、指定FTP地址下载。
[0023]优选地,所述将可疑文档导入到指定设备中进行操作,并对操作过程进行静、动态分析,具体为:利用终端向指定设备发送信息的加密单向通讯协议,实现终端对指定设备中的可疑文档进行操作,监控操作过程,利用静、动态分析技术,分析操作过程中是否存在文档溢出攻击;其中,所述操作包括:打开、编辑、保存、删除。
[0024]本发明还给出了一种防溢出攻击的文档安全操作与分析的系统实施例,如图2所示,包括:
加密通讯管理单元201、文档传输单元202、终端203及指定设备204;
所述加密通讯管理单元201,用于向终端203和指定设备204发放公钥、私钥以及通讯协议,包括:初始化模块2