一种基于存储指令随机化的动态数据防护方法及系统与流程

本发明涉及一种动态数据防护方法及系统，具体涉及一种存储指令随机化的动态数据防护方法及系统，属于信息安全领域。

背景技术：

数据成为国家、企业和组织的核心资产，具有巨大的价值。随着各种数据信息的爆发式增长，数据安全的重要性也会日益凸显。窃取数据也成为很多攻击、渗透的最终目标，数据安全事件也呈现愈演愈烈的态势。2016年，uber遭黑客攻击并导致5700万名用户数据被泄露，其中包括司机的姓名和驾照号码以及用户的姓名、邮箱和手机号。2017年，美国电信公司verizon的一台用于存储用户个人数据的云服务器因配置错误而在线暴露，1400万verizon用户的个人信息遭到泄露，包括姓名、电话号码和账号密码；reddit论坛的一根数据文件在暗网中被公开交易，数据包含了14亿用户的用户名和密码，这些泄露的用户名和密码可能导致用户的账号被窃取，账号内的个人信息与资产也受到威胁。2018年，facebook平台上8700万名用户的数据早到泄露；国内华住旗下1.3亿名酒店入住用户数据包在暗网公开销售。

特别是在云计算、大数据等新技术、新平台下，数据安全、隐私安全乃至平台数据本身等均面临新威胁与新风险，数据安全保障面临严峻挑战。

传统的数据安全技术分为两种方案：访问控制隔离和加密。对数据进行隔离存储，并对用户进行身份认证和访问控制。加密也是进行数据安全防护的重要方法，在存储备份或非授权情况下，数据被加密算法加密为不可读的密文，当用户拿到合法授权、获取密钥时再对数据进行解密处理。然而，以上被动防御的方法存在越来越明显的局限性。首先，无论是隔离控制还是加密，数据都是静态的，不单攻击者冲破防御关卡，得到的数据是确定的、真实的、唯一的。其次，访问控制系统、加密系统都无法应对零日漏洞、未知攻击、内部攻击，攻击者有足够的时间来寻找漏洞、等待时机进行入侵获取数据。

有鉴于此，如何改变数据的静态防御、被动防御是进行数据安全防护的重要技术方向。通过增加数据的多样性、进行数据攻击面的动态转换、构造数据混淆和欺骗，能够有效地提高攻击的难度和成本，大大提升数据的不确定性。特别是对于apt攻击、零日漏洞、未知攻击等高级威胁，只有通过数据自身的动态性才能获得更好的安全免疫，防御策略不依赖于攻击特征和静态规则，实现数据的主动防御。

技术实现要素：

有鉴于此，本发明公开了一种基于存储指令随机化的动态数据防护方法和系统，主要步骤包括数据拆分模块对一个文件、一个存储实体进行拆分，形成独立可控制的数据块，动态指令模块对数据的读、写、打开、关闭、复制、删除、剪切、移动等指令进行修改，数据混淆模块根据参数执行包括如下几方面的变换操作：将数据变大、将数据变小、对原数据进行欺骗。本发明能够实现数据的多样性和动态性，改变数据静态、被动防御的弱点，通过不断变化的数据攻击面，增加数据的不确定性，提高攻击成本和代价，保护数据安全。该方法和系统不改变用户习惯，具有操作透明性的优点。

本发明的技术方案如下：一种基于存储指令随即化的动态数据防护方法，其步骤包括：

1）数据拆分模块对完整文件存储块进行切分；

2）数据混淆模块对存储块及子块进行地址置换；

3）动态指令模块执行动态防御安全策略对文件操作指令进行替换；

4）动态防御存储驱动模块截获用户对数据的操作动作。

更进一步，所述数据拆分模块对一个文件、一个存储实体进行拆分，形成独立可控制的数据块。

更进一步，所述数据混淆模块根据参数执行包括如下几方面的变换操作：

（a）从数据分块集合中抽取部分分块子集形成小文件；

（b）在数据分块集合中间加上随机数据形成大文件；

（c）将原始数据地址迁移指向随机化数据块。

更进一步，所述动态指令模块对数据的读、写、打开、关闭、复制、删除、剪切、移动等指令进行修改。

更进一步，所述动态防御存储驱动模块获取用户对数据的原始请求，并将动态处理后的数据返回给用户。

本发明还提出一种基于存储指令随机化的动态数据防护系统，包括动态防御存储驱动模块，数据拆分模块、数据混淆模块、动态指令模块，

所述动态防御存储驱动模块截获用户对数据的操作动作，并将动态处理后的数据返回给用户；

所述数据拆分模块对一个文件、一个存储实体进行拆分，形成独立可控制的数据块；

所述动态指令模块对数据的读、写、打开、关闭、复制、删除、剪切、移动等指令进行修改；

所述数据混淆模块根据参数执行包括如下几方面的变换操作：将数据变大、将数据变小、对原数据进行欺骗；

防护系统根据用户的角色和权限不同，制定不同的动态安全策略，存储驱动屏蔽用户对数据操作过程中的动态安全替换行为，达到数据安全透明化。

本发明的有益效果是：

本发明提供了一种基于存储指令随机化的动态数据防护方法及系统，通过动态化转换数据操作指令和存储格式，实现数据的变大、变小、变真变假，构造数据混淆和欺骗，增加了数据的多样性。通过不断转换数据的攻击面，获得数据安全免疫，不依赖于攻击特征和静态规则，实现数据的主动防御。该方法能够有效地提高数据攻击的难度和成本，大大提升数据的不确定性，提高对零日漏洞和未知攻击的抵御能力。

附图说明

附图1是本发明基于存储指令随机化的动态数据防护系统的架构示意图。

附图2是本发明动态数据防护方法的数据多样性示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步描述。

本发明的一实施例中公开的基于存储指令随机化的动态数据防护系统，其步骤为：

1）数据拆分模块对一个文件、一个存储实体进行拆分，形成独立可控制的数据块；

2）数据混淆模块根据参数执行数据变大、数据变小、数据内容欺骗等几方面的变换操作；

3）动态指令模块对数据的读、写、打开、关闭、复制、删除、剪切、移动等指令进行修改；

4）动态防御存储驱动模块获取用户对数据的原始请求，并将动态处理后的数据返回给用户。

以下通过具体的例子对附图中基于存储指令随机化的动态数据防护方法及系统进行进一步的说明。

如附图1所示，一种基于存储指令随机化的动态数据防护系统，包括动态防御存储驱动模块，数据拆分模块、数据混淆模块、动态指令模块，

所述动态防御存储驱动模块截获用户对数据的操作动作，并将动态处理后的数据返回给用户；

所述数据拆分模块对一个文件、一个存储实体进行拆分，形成独立可控制的数据块；

所述动态指令模块对数据的读、写、打开、关闭、复制、删除、剪切、移动等指令进行修改；

所述数据混淆模块根据参数执行包括如下几方面的变换操作：将数据变大、将数据变小、对原数据进行欺骗；

防护系统根据用户的角色和权限不同，制定不同的动态安全策略，存储驱动屏蔽用户对数据操作过程中的动态安全替换行为，达到数据安全透明化。。

如附图2所示，一种基于存储指令随机化的动态数据防护系统，其所述数据多样性的实现方法，步骤如下：

1、从数据分块集合中抽取部分分块子集形成小文件，也即将数据变小；

2、在数据分块集合中间加上随机数据形成大文件，也即将数据变大；

3、将原始数据地址迁移指向随机化数据块，也即对数据进行混淆和欺骗；

4、在用户进行数据操作请求时，安全策略根据用户的角色和权限不同，制定动态的访问指令指向不同的数据，用户对数据操作过程中的动态安全替换无感知，实现透明安全操作。

以上所述本发明的具体实施方式目的是为了更好地理解本发明的使用，并不构成对本发明保护范围的限定。任何在本发明的精神和原则实质之内所做的修改、变形和等同替换等，都应属于本发明的权利要求的保护范围之内。