专利名称:孤岛式以太网防御移动存储介质病毒的系统和方法
技术领域:
本发明涉及病毒查杀的领域,尤其涉及孤岛式的以太网内部移动存储介质的病毒防御技术。
背景技术:
摆渡木马是使用U盘等移动存储介质作为媒介进行攻击与传播的木马,当感染该木马的移动存储介质接入内网计算机后,就向被接入的计算机植入木马,木马对计算机内的信息进行收集并存入U盘。当这个U盘被拿到外网进行使用时,将收集到的信息通过 Internet向外界发送。由于U盘在攻击中充当了从物理隔离的内网到互联网的渡船的角色,所以此类木马被称为摆渡木马。目前解决摆渡木马的方法包括以下几种
第一种方法是使用病毒库对U盘木马进行查杀,这是最典型的处理方式。特别是借助于最新的云鉴定技术,杀毒软件厂商可以在极短的时间内响应并查杀新发现的U盘木马。
该方法对于普通用户使用是非常有效的,但是对于一些重要的政府与军队部门, 这种方法并不适用,原因是这些部门的内网环境与互联网是物理隔离的,云安全等基于互联网的机制无法生效;针对这些部门的木马攻击,使用的木马往往是订制的,传播量极小, 在互联网上难以及时捕获与分析。
摆渡木马借助系统的自动运行机制实现U盘插入后自动运行与攻击。这种攻击依赖于Windows系统的移动设备自动运行机制。第二种方法是想办法关闭系统的自动运行方式。具体的实现方式有很多种,比如修改系统设置等。
随着U盘病毒的广泛传播,越来越多的安全软件开始关闭系统的自动运行机制。 对于目前成熟的U盘防护技术来说,已经可以达到U盘中的病毒基本无法自动运行的程度了。但是,入侵者随即开始使用新的方式即伪装文件,诱骗用户点击的方式实现木马运行。 一个典型的入侵过程如下
木马感染用户的U盘后,发现U盘中有一个文档工作总结.doc,于是就将自己的病毒体改名为工作总结. doc. exe,由于多数计算机默认不显示文件后缀名,因此在用户看起来,木马病毒与原来的文档是同名的。
木马将原先的文档设置为隐藏属性,这使得用户看起来盘中仍然只有一个工作总结.doc,当用户在内网中插入感染后的U盘,并且试图打开工作总结.doc文件之后,木马首先执行攻击动作,然后将原来的真正文档打开。在这个过程中,用户并没有意识到内网的电脑已经受到攻击了。对于上面所述的结合社会工程学手段的攻击技术,即使已经关闭了 U盘的自动运行机制,仍然是不能防御的。另外,病毒也可能通过漏洞(比如微软的LNK漏洞)与社会工程学相结合的方式来进行攻击。
第三种方法是防止数据写入移动设备,即在物理隔离的内网计算机内插入移动设备时,阻止任何程序向移动设备中写入数据(将U盘设置为只读,或者使用驱动程序阻止对于移动设备的写操作)。仅仅阻止移动设备写入,可以防止木马将获取的数据传出到互联网上。但是,这是以放弃U盘的数据交换功能为代价的。在实际使用环境中,有些用户会因为此类限制影响正常工作而关闭监控功能。
第四种方法是通过一台中间机来存放所有进入内网的文件,再使用内部移动存储设备将数据拷贝到内网的电脑中。详细做法是
1.禁止内网任何电脑直接连接外来移动存储设备;
i1.设置一个与内网隔离的机器作为中间机,所有外来移动存储设备可以将移动数据拷贝到中间机中,再通过内部移动存储设备拷贝到内网的机器中;
ii1.在内部移动存储设备中采 用不同的加密方式,使得潜在的木马难以直接写入内部移动存储设备;
该方法中安全依赖于内部移动设备的加密算法与实现不为黑客所知,否则黑客依然可以模仿内网读写内部移动设备的方法,让木马实现对内部移动设备的读写;并过于依赖内部移动存储设备,使用起来流程比较复杂;而且存在内部移动存储设备丢失的危险; 另外内部移动存储设备需要专门的安全U盘,采购成本较高。发明内容
本发明提供一种孤岛式以太网防御移动存储介质病毒的系统和方法,能够提高防御移动存储介质病毒的有效性和实用性并且不增加成本。
本发明提供了孤岛式以太网内防御移动存储介质病毒的方法,所述以太网包括客户端和服务器,所述方法包括步骤
当用户插入移动存储介质时,客户端监控每个进程对所述移动存储介质的读写操作,阻止除该监控进程以外的其它进程读取数据,以及发送提示消息,提示用户将所述移动存储介质中的文件上传至所述服务器,并在用户拒绝上传所述文件时阻止所述文件被访问;
所述服务器记录上传文件的用户信息,将所收到的文件进行安全性鉴定;
将鉴定成功的文件发送给所述用户。
本发明还提供了孤岛式以太网内防御移动存储介质病毒的系统,包括客户端和服务器;
所述客户端包括文件监控装置,所述服务器文件鉴定装置和文件管理装置;
所述文件监控装置,用于当用户插入移动存储介质时,监控每个进程对所述移动存储介质的读写操作,阻止除该文件监控装置自身的监控进程以外的其它进程读取数据, 以及发送提示消息,提示用户将所述移动存储介质中的文件上传至所述文件鉴定装置,并在用户拒绝上传所述文件时阻止所述文件的访问;
所述文件鉴定装置,用于记录上传文件的用户信息,将所收到的文件进行安全性鉴定,并将鉴定成功的文件发送给所述文件管理装置;
所述文件管理装置,用于将所收到的文件发给所述用户。
本发明相对于第一种现有技术,无需向全网每一台客户端部署病毒库,更无需每一台PC客户端都联网升级病毒库;另外,所有通过移动存储介质进入内网的可能带毒文件,必然通过服务器鉴定,所以只要确保服务器可以及时处理新病毒库即可,因此可以集中管理。甚至可以只允许这台服务器与经过验证的第三方云安全鉴定服务提供商的云鉴定服务器进行网络连接以进行鉴定;由于这台服务器是唯一必须接入互联网的机器,因此可以执行非常严密的安全策略,并不影响整个内网的安全和正常使用。由于所有新的“摆渡”木马样本必然经过服务器,因此服务器可以作为新样本的获取来源,解决难以捕获样本的问题。
本发明相对于第二种现有技术,由于文件监控捕获了文件的打开操作,并对文件格式进行了严格限制,即使摆渡木马成功诱骗用户双击运行木马程序,也会在这个文件打开之前被文件监控捕获,因此欺骗手法无法生效;由于同样的原因,使用漏洞运行木马程序,也会在打开木马程序文件的时候被拦截。
本发明相对于第三种现有技术,本发明不影响U盘的正常数据交换功能。
本发明相对于第四种现有技术,本发明摆脱了必须使用内部移动存储设备作为数据交换渠道的限制,避免由于内部移动存储设备遗失造成的泄密可能;并且允许其他内网电脑插入移动存储设备,与用户正常使用习惯较为接近,使用过程更简单,用户使用复杂度更低,更利于安全策略的贯彻执行;日志信息查询与审计更为方便。
图1为本发明孤岛式以太网内防御移动存储介质病毒的方法;
图2为孤岛式以太网内防御移动存储介质病毒的系统;
图3为孤岛式以太网内防御移动存储介质病毒的系统的一种工作流程图。
具体实施方式
如图1所示,本发明提供了孤岛式以太网内防御移动存储介质病毒的方法,以太网包括客户端和服务器,当用户插入移动存储介质时,客户端监控每个进程对移动存储介质的读写操作,阻止除该监控进程以外的其它进程读取数据(步骤I),并发送提示消息,提示用户将移动存储介质中的文件上传至所述服务器,当用户拒绝上传文件时,阻止文件被访问(步骤2);服务器记录上传文件的用户信息,将所收到的文件进行安全性鉴定(步骤 3);根据用户信息将鉴定成功的文件下发给用户(步骤4)。
步骤4中文件下载的过程可以由服务器通知用户下载,当用户请求下载时将文件下载到用户,也可以由服务器主动将鉴定成功后的文件下载到该用户。
针对上述以太网内防御移动存储介质病毒的方法,提供了实现该方法的系统,如图2所示,客户端包括文件监控装置,服务器包括文件鉴定装置和文件管理装置。用户首先在客户端安装文件监控装置,当用户在以太网中的任何一台客户端中插入移动存储介质时,安装在每台客户端上的文件监控装置会开始监控客户端系统中每个进程对于该设备的读写操作。系统中的任何设备开始第一次读移动存储介质中的某个文件X之前,则文件监控装置执行以下两个操作
(I)监控每个进程对移动存储介质的读写操作,阻止除监控装置自身进程以外所有其他进程读取此文件;
(2)发送提示消息,提醒用户,用户可以此目录下的所有文件上传到文件鉴定装置,文件鉴定装置鉴定无毒后才会发还给这个用户,这些文件才能进入以太网。用户可以拒绝上传任何文件,这样的话移动存储介质中任何可能带病毒的文件都将无法被访问(例如读取、拷贝或者执行)。
值得指出的是,目前现有技术中大多数的病毒查杀工具均具有文件监控以及系统进程监控的功能,以及提供文件访问权限控制的功能,因此作为一个实施例,文件监控装置可以利用现有技术中的病毒查杀工具实现上述功能。
当用户将文件上传到文件鉴定装置后,文件鉴定装置将记录上传文件的用户信息,并对文件的安全性进行统一的鉴定工作,假如鉴定成功,则将文件交给文件管理装置。 作为一个实施例,文件鉴定装置可以一并将用户信息发送给文件管理装置,由文件管理装置主动将鉴定后的文件下发给用户。另外,作为另一个实施例,为了进一步增加以太网的安全性,由文件管理装置通知用户,由用户从文件管理装置下载鉴定后的文件。
值得指出的是文件鉴定装置和文件管理装置在实现时可以位于同一服务器或不同的服务器 。
文件鉴定装置可以采用各种方式对用户上传的文件进行鉴定,包括使用杀毒软件进行查杀、人工鉴定,或者使用第三方的云鉴定服务。文件鉴定装置不执行任何可能会使可疑代码可以运行的操作。图3是一个实施例所提供的系统的工作原理图。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他任何未背离本发明的精神实质和原理下所作的修改、修饰、替代、组合、简化,均应为等效的置换方式,都应包含在本发明的保护范围之内。
权利要求
1.一种孤岛式以太网内防御移动存储介质病毒的方法,其特征在于,所述以太网包括客户端和服务器,所述方法包括步骤当用户插入移动存储介质时,客户端监控每个进程对所述移动存储介质的读写操作,阻止除该监控进程以外的其它进程读取数据,以及发送提示消息,提示用户将所述移动存储介质中的文件上传至所述服务器,并在用户拒绝上传所述文件时阻止所述文件被访问;所述服务器记录上传文件的用户信息,将所收到的文件进行安全性鉴定;将鉴定成功的文件发送给所述用户。
2.根据权利要求1所述的孤岛式以太网内防御移动存储介质病毒的方法,其特征在于,将鉴定成功的文件发送给所述用户的步骤包括根据所述用户信息将所述将鉴定成功的文件自动发送给所述用户。
3.根据权利要求1所述的孤岛式以太网内防御移动存储介质病毒的方法,其特征在于,将鉴定成功的文件发送给所述用户的步骤包括根据所述用户信息通知该用户将所述鉴定成功的文件进行下载,当用户请求下载时,将鉴定成功的文件发送给所述用户。
4.一种孤岛式以太网内防御移动存储介质病毒的系统,包括客户端和服务器;其特征在于,所述客户端包括文件监控装置,所述服务器文件鉴定装置和文件管理装置;所述文件监控装置,用于当用户插入移动存储介质时,监控每个进程对所述移动存储介质的读写操作,阻止除该文件监控装置自身的监控进程以外的其它进程读取数据,以及发送提示消息,提示用户将所述移动存储介质中的文件上传至所述文件鉴定装置,并在用户拒绝上传所述文件时阻止所述文件的访问;所述文件鉴定装置,用于记录上传文件的用户信息,将所收到的文件进行安全性鉴定,并将鉴定成功的文件发送给所述文件管理装置;所述文件管理装置,用于将所收到的文件发给所述用户。
5.根据权利要求4所述的孤岛式以太网内防御移动存储介质病毒的系统,其特征在于所述文件鉴定装置和所述文件管理装置位于同一服务器或不同的服务器。
6.根据权利要求4所述的孤岛式以太网内防御移动存储介质病毒的系统,所述文件鉴定装置还用于将所述用户信息发送给所述文件管理装置,通知所述文件管理装置将所收到的文件发给所述用户。
7.根据权利要求4所述的孤岛式以太网内防御移动存储介质病毒的系统,所述文件鉴定装置还用于通知所述用户从所述文件管理装置下载文件。
全文摘要
本发明提供孤岛式以太网内防御移动存储介质病毒的方法和系统,以太网包括客户端和服务器,当用户插入移动存储介质时,客户端监控每个进程对移动存储介质的读写操作,阻止除该监控进程以外的其它进程读取数据,以及发送提示消息,提示用户将移动存储介质中的文件上传至服务器,并在用户拒绝上传所述文件时阻止文件被访问;服务器记录上传文件的用户信息,将所收到的文件进行安全性鉴定;将鉴定成功的文件发送给用户。本发明能够提高防御移动存储介质病毒的有效性和实用性并且不增加成本。
文档编号H04L29/06GK103001937SQ201110278719
公开日2013年3月27日 申请日期2011年9月19日 优先权日2011年9月19日
发明者黄声声 申请人:珠海市君天电子科技有限公司, 珠海金山软件有限公司