CN101408919A - 计算机间谍行为的监测方法及系统 - Google Patents
计算机间谍行为的监测方法及系统 Download PDFInfo
- Publication number
- CN101408919A CN101408919A CNA2008101824925A CN200810182492A CN101408919A CN 101408919 A CN101408919 A CN 101408919A CN A2008101824925 A CNA2008101824925 A CN A2008101824925A CN 200810182492 A CN200810182492 A CN 200810182492A CN 101408919 A CN101408919 A CN 101408919A
- Authority
- CN
- China
- Prior art keywords
- monitoring
- approach
- file
- leaks
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及计算机间谍行为的监测方法及系统。该监测方法,包括:监视进程的实时状态信息;监视进程的文件操作;监视进程的外泄途径;监测既具备文件操作又具备外泄途径的进程。该监测系统,包括:进程监视模块,用于监视进程的实时状态信息;文件监视模块,用于监视进程的文件操作;外泄途径监视模块,用于监视进程的外泄途径;综合分析处理模块,用于对所述进程监视模块监视的进程的实时状态信息、文件监视模块监视的进程的文件操作、外泄途径监视模块监视的进程的外泄途径进行综合分析,监测既具备文件操作又具备外泄途径的进程。本发明以进程为核心,监测既具备文件操作又具备外泄途径的进程,分析出可能的间谍行为。
Description
技术领域
本发明属于信息安全领域,涉及计算机间谍行为的监测方法及系统。
背景技术
现有的计算机间谍行为的监测技术存在以下几个方向,a)杀毒软件技术b)防火墙或防水墙技术c)部分以加密为主防泄密方法
a)杀毒软件技术。杀毒软件主要是基于“特征字符串”检测来对计算机内的木马(病毒)进行判断,其核心是包含有已知木马特征的病毒库;依照病毒库对木马进行查杀。缺点是杀毒软件只能查杀病毒库内已有的木马,并不能对未来技术进行预测,而利用新技术编制的木马在没有被杀毒厂商发现并归入病毒库前,杀毒软件无法检测该木马。在现今情况下,木马采用的技术多种多样,隐蔽方法也多种多样,技术深度不断发展,可以说杀毒软件的技术发展是通过木马技术的发展而不断推进更新的。由于杀毒软件技术具有一种先天的滞后性,无法对未来木马使用的技术进行判断,进而难以对木马进行实时有效的防治。
b)防火墙或防水墙技术。防火墙或防水墙能够限制终端计算机设备与外界的通信,可以根据IP地址与进程名称对本机的网络活动进行限制。其主要是依据黑白名单对计算机上运行的进程网络活动进行控制,如允许白名单上的进程访问网络,或允许对某些地址进行访问。而木马程序往往是利用漏洞对本机的那些防火墙或防水墙上白名单(或者不在黑名单)上的进程进行修改,如:IE等,从而通过这些合法的网络活动进程进行网络通讯达到鱼目混珠将计算机机密数据外传,而此时防火墙或防水墙难以进行有效拦截。如,用户在Windows上浏览网页内容时通常使用IE,对应的进程是IExplore.exe,所以在计算机的防火墙或防水墙上通常允许IExplore.exe进程访问网络,而一些木马通过高深技术控制了IExplore.exe进程后就可以利用IExplore.exe进程将计算机内重要文件通过网络外泄。由于防火墙和防水墙难以将计算机文件与网络活动等外泄途径相关联,因此不能根据进程在计算机上的具体活动而有针对性的对终端的计算机实施网络控制。
c)以加密为主的防泄密方法。该方法把需要保护的文件集合起来,通过加密技术存储于计算机内的存储系统的某一加密区域中,对该的访问实施权限鉴别制度,如:允许特定进程对本区域访问,未授权进程不能访问受保护的文件,更不能查看经过加密的文件的内容。此类技术的特点是充分利用加密技术与访问控制技术,但是这类防泄密的特点更多考虑学术上的理论解决方法,为充分考虑“地下”黑客实际技术的特点,例如:上述加密系统对某文件“机密.doc”文件进行了机密,存放在加密存储区,加密算法非常强壮,并只允许“legal.exe”进程对加密区进行访问。但在实际中,这些往往可能成为“马其诺防线”,由于没有间谍(木马)程序打着木马的名称(如,trojan.exe)在系统内活动的,如上面提到的,他们会把自己利用未知的技术注入legal.exe进程,进而成为合法进程对机密文件进行非法访问。
发明内容
本发明的目的是为了解决上述现有技术中杀毒软件不能对未来木马使用技术进行判断、防火墙和防水墙难以将计算机文件与网络活动等外泄途径相关联以及以加密为主的防泄密方法的“马奇诺防线”等问题,提出计算机间谍行为的监视方法及系统。
为实现上述目的,本发明提出了一种计算机间谍行为的监测方法,其中包括:监视进程的实时状态信息;监视进程的文件操作;监视进程的外泄途径;监测既具备文件操作又具备外泄途径的进程。
为实现上述目的,本发明提出了一种计算机间谍行为的监测系统,其中包括:进程监视模块,用于监视进程的实时状态信息;文件监视模块,用于监视进程的文件操作;外泄途径监视模块,用于监视进程的外泄途径;综合分析处理模块,用于对所述进程监视模块监视的进程的实时状态信息、文件监视模块监视的进程的文件操作、外泄途径监视模块监视的进程的外泄途径进行综合分析,监测既具备文件操作又具备外泄途径的进程。
附图说明
图1为本发明计算机间谍行为的监测方法实施例一的流程图;
图2为本发明计算机间谍行为的监测方法实施例二的流程图;
图3为本发明计算机间谍行为的监测方法实施例三的流程图;
图4为本发明计算机间谍行为的监测方法实施例四的流程图;
图5为本发明计算机间谍行为的监测系统实施例的结构示意图。
具体实施方式
木马(病毒)对目标计算机进行间谍行为一般通过一些途径(如计算机漏洞,或计算机使用者的疏忽)进入目标计算机进行,进而掌控计算机某些权限,读取目标计算机的相关信息文件然后把目标计算机的相关信息文件传输给木马拥有者(黑客)或直接阅读,外泄途径包括网络与可移动介质(如光盘刻录,U盘,移动硬盘等)。如,利用Windows的Word软件的一个漏洞,当用Winword软件打开包含有木马的某文件***.doc时,木马会被激活释放到操作系统中,并开始活动,当发现用户在用IE的IExplore.exe进程进行上网浏览网页时,通过把自己(是指包含有木马的某文件***.doc么?还是指木马本身,或者二者均可)注入IExplore.exe进程,然后利用该IExplore.exe进程向控制者(黑客)发送信息,控制者就可以通过受害者的IExplore.exe进程对受害者的计算机进行控制,查看机器上的重要文件。如果木马检测受害者的计算机并没有网络连接,那么木马也可以观察是否有可移动介质接入,如U盘等,当发现有这种接入时,木马可以将在本机上找到的文件(根据控制者预先设计,如:查找包含“机密”,“绝密”等关键词的文件)秘密拷入U盘隐蔽位置,同时将自己(应该是木马吧)拷入U盘,待该U盘被插入到可以连接互联网的计算机时,U盘内的木马在被使用者误操作意外激活后,就可以将该U盘上拷入的文件通过互联网发送到控制者(黑客)那里。这期间可能因为木马采用最新技术,如果采用的杀毒软件中的特征库没有包含该特征的木马样本而使木马逃过杀毒软件的查杀;即使设置有防火墙/防水墙,由于IExplore.exe属于正常网络通讯的进程,因此也不会受到防火墙/防水墙的限制,从而会造成木马的鱼目混珠将数据外泄。本发明的技术思路为:在整个监测过程中,不用关心木马所采用的高级技术手段,而是以进程为核心,通过对文件操作与外泄途径的监视,监测出既具备文件操作又具备外泄途径的进程,分析出可能的间谍行为,以实现对间谍行为的告警和/或记录,进而实现对间谍行为的跟踪与处理。
图1为本发明计算机间谍行为的监测方法实施例一的流程图。该实施例,如图1所示包括:
步骤101、同时启动对进程的监视操作、对进程的文件操作的监视操作、以及对进程的外泄途径的监视操作。
步骤102、监视进程的实时状态信息。对计算机内进程的实时状态信息进行监视,包括进程创建信息、进程结束信息。
步骤103、监视进程的文件操作。对计算机内进程的文件操作进行监视,包括文件打开、读、写或关闭操作。
步骤104、监视进程的外泄途径。对计算机内进程的外泄途径进行监视,包括网络外泄途径和/或可移动介质外泄途径。监视网络外泄途径,包括:监视网络连接创建、网络发送数据包、网络接收数据包、网络连接关闭;监视可移动介质外泄,包括:监视可移动介质连接、可移动介质读写。可移动介质可以为U盘,移动硬盘、或可刻录的光盘等。
步骤105、监测既具备文件操作又具备外泄途径的进程。
由于计算机的活动核心是进程,当新的进程被创建或结束时,本发明计算机间谍行为的监测方法的实施例一就会对一活动进程的实时状态信息进行记录;该活动进程在执行过程中,该实施例也同时将进程对应的文件操作也记录下来;如果该活动进程又进行网络活动或可移动介质等外泄途径的相关操作,那么就会将既具备文件操作又具备外泄途径的进程记录下来,从而方便采取后续操作。
图2为本发明计算机间谍行为的监测方法实施例二的流程图。该实施例,如图2所示包括:
步骤201、同时启动对进程的监视操作、对进程的文件操作的监视操作、以及对进程的外泄途径的监视操作。
步骤202、监视进程的实时状态信息,将处于活动状态的进程的识别信息以及所述进程对应的实时状态信息汇总成进程监视记录。对计算机内进程的实时状态信息进行监视,包括进程创建信息、进程结束信息。将处于活动状态的进程的识别信息(如进程名称、进程路径、进程序号)以及所述进程对应的实时状态信息汇总成进程监视记录。
步骤203、监视进程的文件操作,将具备文件操作的文件的识别信息以及执行所述文件操作的进程的识别信息汇总成文件监视记录。对计算机内进程的文件操作进行监视,包括文件打开、读、写或关闭操作。将具备文件操作的文件的识别信息(如文件名称、文件路径)以及执行所述文件操作的进程的识别信息(如进程名称、进程路径、进程序号)汇总成文件监视记录。
步骤204、监视进程的外泄途径,将进程的识别信息以及所述进程所对应的外泄途径汇总成外泄途径监视记录。对计算机内进程的外泄途径进行监视,包括网络外泄途径和/或可移动介质外泄途径。监视网络外泄途径,包括:监视网络连接创建、网络发送数据包、网络接收数据包、网络连接关闭;监视可移动介质外泄,包括:监视可移动介质连接、可移动介质读写。可移动介质可以为U盘,移动硬盘、或可刻录的光盘等。将进程的识别信息(如进程名称、进程路径、进程序号)以及所述进程所对应的网络外泄途径(网络连接创建、网络发送数据包、网络接收数据包、网络连接关闭以及可移动介质外泄途径(可移动介质连接、可移动介质读写)汇总成外泄途径监视记录。
步骤205、监测既具备文件操作又具备外泄途径的进程。根据上述步骤102中的进程监视记录,步骤103中的文件监视记录,以及步骤104中的外泄途径监视记录,监测既具备文件操作又具备外泄途径的进程。
本发明计算机间谍行为的监测方法的实施例二,当监视进程的实时状态信息还包括将与进程有关的信息(处于活动状态的进程的识别信息以及所述进程对应的实时状态信息)汇总成进程监视记录,当监视进程的文件操作还包括将与文件操作有关的信息(具备文件操作的文件的识别信息以及执行所述文件操作的进程的识别信息)汇总成文件监视记录,当监视进程的外泄途径还包括与外泄途径有关的信息(进程的识别信息以及所述进程所对应的外泄途径)汇总成外泄途径监视记录;该实施例,相对于本发明计算机间谍行为的监测方法的实施例一,能够实现对将既具备文件操作又具备外泄途径的进程进行记录外,还能够有效地管理监视到的进程的实时状态信息、进程的文件操作以及进程的外泄途径,尤其是对于计算机内同时活动的进程数量较多时、相应的进程对应的文件操作、外泄途径的情况也就比较复杂,如果在监视过程中,同时汇总各种情况的监视记录,那么在综合分析阶段就能够方便理顺进程、文件以及外泄途径之间的关系,从而方便更有效地监测到既具备文件操作又具备外泄途径的进程,提高监测速率。
图3为本发明计算机间谍行为的监测方法实施例三的流程图。该实施例,如图3所示包括:
步骤301、同时启动对进程的监视操作、对进程的文件操作的监视操作、以及对进程的外泄途径的监视操作。
步骤302、监视进程的实时状态信息。
步骤303、监视进程的文件操作。
步骤304、监视进程的外泄途径。
步骤305、监测既具备文件操作又具备外泄途径的进程。
步骤306、对监测的进程进行告警和/或记录。告警和/或记录的信息包括:相关的文件名称及相关操作(如读取位置及字节数等)---进程信息(名称及可执行文件路径等)---外泄途径类型及状态(如创建网络连接,网络接发数据包的数量或向可移动介质写入数据字节数等)三要素信息。
步骤307、根据告警和/或记录分析间谍行为,对分析出的间谍行为进行处理。相关人员或自动监察装置根据告警分析间谍行为后,对分析出的间谍行为进行处理具体包括切断与外界网络终端断网或可移动介质的联系,防止重要文件外泄;相关人员或自动监察装置根据记录分析间谍行为,对分析出的间谍行为进行处理包括:根据记录进行回溯追踪,找出泄密途径与间谍端。
本发明计算机间谍行为的监测方法的实施例三,对既具备文件操作又具备外泄途径的进程进行监测的目的在于实现对监测出的进程进行告警和/或记录,以供相关人员(如计算机管理员、个人使用用户)或自动监察装置(该自动监察装置可以切断外泄途径,如自动断开网络或使插入的可移动设备无效)分析是否存在间谍行为,然后对分析出的间谍行为进行处理,从而最终实现对计算机间谍行为的监视。
下面以对一次间谍(木马)行为进行监测的过程,对本发明计算机间谍行为的监测方法进行详细说明。图4为本发明计算机间谍行为的监测方法实施例四的流程图。如图4所示包括:
步骤401、同时启动对进程的监视操作、对进程的文件操作的监视操作、以及对进程的外泄途径的监视操作。
步骤402、监视间谍进程(即间谍新创建的进程)或注入有间谍程序的合法进程的实时状态信息,将该进程的识别信息以及该进程对应的实时状态信息汇总成进程监视记录。间谍程序通过某种方法启动间谍进程或通过某种技术把自己注入计算机已启动的合法进程内(如legal.exe内)。不管是启动新的进程,还是注入已有的进程,该步骤监测到该进程的实时状态信息(在该进程创建的时候开始记录),包括进程创建信息、进程结束信息。同时将处于该进程的识别信息(如进程名称、进程路径、进程序号,其中进程路径即进程对应可执行文件路径,某些系统进程可能没有可执行文件路径,这时就不需要记录路径)以及所述进程对应的实时状态信息汇总成进程监视记录。
步骤403、监视间谍进程或注入有间谍程序的合法进程的文件操作,将该文件的识别信息以及执行所述文件操作的进程的识别信息汇总成文件监视记录。间谍程序根据编制者预先制定的规则查阅受害计算机的文件,可能的步骤是打开,读(写),然后关闭。该步骤会将该文件的识别信息(如文件名称、文件路径)以及执行所述文件操作的进程的识别信息(如进程名称、进程路径、进程序号)汇总成文件监视记录。
步骤404、监视间谍进程或注入有间谍程序的合法进程,将该进程的识别信息以及所述进程所对应的外泄途径汇总成外泄途径监视记录。间谍程序发现计算机与外界网络连接(如通过网络连接到黑客控制的网络终端)或连接有可移动介质时,可能将步骤403中发现的文件传输给外界网络,也可能在发现可移动介质后,打开可移动介质,把步骤403中发现的文件写入可移动介质。该步骤将进程的识别信息(如进程名称、进程路径、进程序号)以及所述进程所对应的网络外泄途径(网络连接创建、网络发送数据包、网络接收数据包、网络连接关闭以及可移动介质外泄途径(可移动介质连接、可移动介质读写)汇总成外泄途径监视记录。网络外泄途径还包括打开网络连接的终端信息:源地址,源端口号,目标地址,目标端口号或可移动介质路径。可移动介质外泄途径还包括:
在实际中,步骤404和步骤403发生的顺序可能相反,即步骤404可能比步骤403先发生,这是随着不同的间谍程序的不同特征而不同,即间谍程序先打开网络或可移动介质,然后再去找文件,这些顺序对于本发明计算机间谍行为的监测方法的实施例无关紧要,无论间谍采用哪种顺序实现对文件进行外泄,本发明计算机间谍行为的监测方法的实施例都能够对间谍进程或注入有间谍程序的合法进程的文件操作以及这类进程的外泄途径进行监视。
步骤405、监测既具备文件操作又具备外泄途径的进程。根据上述步骤102中的进程监视记录,步骤103中的文件监视记录,以及步骤104中的外泄途径监视记录,监测既具备文件操作又具备外泄途径的进程。
步骤406、对监测的进程进行告警和/或记录。
步骤407、根据告警和/或记录分析间谍行为,对分析出的间谍行为进行处理。
根据告警和/或记录分析间谍行为包括:以进程为核心,对进程既具备文件操作又具备外泄活动(网络活动或向可移动介质写数据)的情况进行告警与记录,这时的进程可能是间谍(木马)新创建的进程,也可能是系统内的合法进程,但是他已经间谍(木马)程序注入控制。
对分析出的间谍行为进行处理可以包括下列方法:
(1)计算机使用者在接收到告警信息后进行人工分析,如:接到告警:IExplore.exe打开了文件“c:\documents\机密.doc”,读取字节数1022,同时连接到IP60.23.12.6,端口80,这时用户发现自己根本没有在阅读或使用“c:\documents\机密.doc”这个文件,用户可以果断判断出自己计算机有间谍程序存在,立刻断网,隔离计算机,第一时间阻止间谍行为,请专业计算机安全员对计算机进行监测(此时间谍(木马)程序可能采用了最新技术逃过所有杀毒软件查杀),人工找出间谍(木马)程序。
(2)当计算机用户由于疏忽告警导致部分文件发生外泄,这时可以根据本发明的系统记录查找过去记录,对间谍(木马)行为途径进行追踪。
本发明的实施例还提供了用于实现上述监测方法的计算机间谍行为的监测系统。
图5为本发明计算机间谍行为的监测系统实施例的结构示意图。如图5所示,该监测系统包括:
进程监视模块510,用于监视进程的实时状态信息;
文件监视模块520,用于监视进程的文件操作;
外泄途径监视模块530,用于监视进程的外泄途径;
综合分析处理模块540,用于对所述进程监视模块监视的进程的实时状态信息、文件监视模块监视的进程的文件操作、外泄途径监视模块监视的进程的外泄途径进行综合分析,监测既具备文件操作又具备外泄途径的进程。
其中外泄途径监视模块530还可以包括:
网络监视子模块531,用于监视网络连接创建、网络发送数据包、网络接收数据包、网络连接关闭;
可移动介质监视子模块532,用于监视可移动介质连接、可移动介质读写。
其中综合分析处理模块540还包括:告警模块541和/或记录模块542;告警模块541,用于对监测的进程进行告警;记录模块542,用于对监测的进程进行记录。
综上所述,通过把计算机的进程,文件,及外泄途径(网络及可移动介质)三要素进行关联,以实现对本机文件外泄的间谍行为进行第一时间捕获并审计跟踪。能够第一时间对文件的外泄进行告警与追踪从而达到防止电子文件外泄等间谍行为的目的。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (14)
1、一种计算机间谍行为的监测方法,其特征在于,包括:
监视进程的实时状态信息;
监视进程的文件操作;
监视进程的外泄途径;
监测既具备文件操作又具备外泄途径的进程。
2、根据权利要求1所述的方法,其特征在于,
所述监视进程的实时状态信息还包括:将处于活动状态的进程的识别信息以及所述进程对应的实时状态信息汇总成进程监视记录;
所述监视进程的文件操作还包括:将具备文件操作的文件的识别信息以及执行所述文件操作的进程的识别信息汇总成文件监视记录;
所述监视进程的外泄途径还包括:将进程的识别信息以及所述进程所对应的外泄途径汇总成外泄途径监视记录;
所述监测既具备文件操作又具备外泄途径的进程包括:
根据所述进程监视记录、文件监视记录以及外泄途径监视记录,监测既具备文件操作又具备外泄途径的进程。
3、根据权利要求2所述的方法,其特征在于,所述进程的识别信息包括:进程名称、进程路径、进程序号。
4、根据权利要求2所述的方法,其特征在于,所述文件的识别信息包括:文件名称、文件路径。
5、根据权利要求1-4任一所述的方法,其特征在于,所述进程的实时状态信息包括:进程创建信息或进程结束信息。
6、根据权利要求1-4任一所述的方法,其特征在于,所述进程的文件操作包括:文件的打开操作、读操作、写操作或关闭操作。
7、根据权利要求1-4任一所述的方法,其特征在于,所述进程的外泄途径包括:网络外泄途径和/或可移动介质外泄途径。
8、根据权利要求7所述的方法,其特征在于,
监视网络外泄途径,包括:监视网络连接创建、网络发送数据包、网络接收数据包、网络连接关闭;
监视可移动介质外泄,包括:监视可移动介质连接、可移动介质读写。
9、根据权利要求1-4任一所述的方法,其特征在于,还包括:所述监测既具备文件操作又具备外泄途径的进程之后,还包括:对监测的进程进行告警和/或记录。
10、根据权利要求9所述的方法,其特征在于,所述对监测的进程进行告警和/或记录之后,还包括:根据告警和/或记录分析间谍行为,对分析出的间谍行为进行处理。
11、根据权利要求10所述的方法,其特征在于,
根据告警分析间谍行为,对分析出的间谍行为进行处理包括:切断与外界网络终端断网或可移动介质的联系;
根据记录分析间谍行为,对分析出的间谍行为进行处理包括:根据记录进行回溯追踪,找出泄密途径与间谍端。
12、一种计算机间谍行为的监测系统,能够实现上述权利要求1-8所述的任一监测方法,其特征在于,包括:
进程监视模块,用于监视进程的实时状态信息;
文件监视模块,用于监视进程的文件操作;
外泄途径监视模块,用于监视进程的外泄途径;
综合分析处理模块,用于对所述进程监视模块监视的进程的实时状态信息、文件监视模块监视的进程的文件操作、外泄途径监视模块监视的进程的外泄途径进行综合分析,监测既具备文件操作又具备外泄途径的进程。
13、根据权利要求12所述的系统,其特征在于,所述外泄途径监视模块包括:
网络监视子模块,用于监视网络连接创建、网络发送数据包、网络接收数据包、网络连接关闭;
可移动介质监视子模块,用于监视可移动介质连接、可移动介质读写。
14、根据权利要求12或13所述的系统,其特征在于,所述综合分析处理模块还包括:告警模块和/或记录模块;所述告警模块,用于对监测的进程进行告警;所述记录模块,用于对监测的进程进行记录。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101824925A CN101408919A (zh) | 2008-12-09 | 2008-12-09 | 计算机间谍行为的监测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101824925A CN101408919A (zh) | 2008-12-09 | 2008-12-09 | 计算机间谍行为的监测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101408919A true CN101408919A (zh) | 2009-04-15 |
Family
ID=40571930
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2008101824925A Pending CN101408919A (zh) | 2008-12-09 | 2008-12-09 | 计算机间谍行为的监测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101408919A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102289616A (zh) * | 2011-06-30 | 2011-12-21 | 北京邮电大学 | 移动智能终端中系统资源恶意侵占的防范方法和系统 |
CN102629310A (zh) * | 2012-02-29 | 2012-08-08 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
CN102646173A (zh) * | 2012-02-29 | 2012-08-22 | 成都新云软件有限公司 | 基于黑白名单的安全防护控制方法及系统 |
CN107423325A (zh) * | 2017-04-07 | 2017-12-01 | 杭州安恒信息技术有限公司 | 一种追溯网页篡改行为源的方法 |
CN110084057A (zh) * | 2019-03-13 | 2019-08-02 | 浙江大华技术股份有限公司 | 重要文件的安全访问方法、装置、设备和存储介质 |
-
2008
- 2008-12-09 CN CNA2008101824925A patent/CN101408919A/zh active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102289616A (zh) * | 2011-06-30 | 2011-12-21 | 北京邮电大学 | 移动智能终端中系统资源恶意侵占的防范方法和系统 |
CN102629310A (zh) * | 2012-02-29 | 2012-08-08 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
CN102646173A (zh) * | 2012-02-29 | 2012-08-22 | 成都新云软件有限公司 | 基于黑白名单的安全防护控制方法及系统 |
CN107103238A (zh) * | 2012-02-29 | 2017-08-29 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
CN107423325A (zh) * | 2017-04-07 | 2017-12-01 | 杭州安恒信息技术有限公司 | 一种追溯网页篡改行为源的方法 |
CN110084057A (zh) * | 2019-03-13 | 2019-08-02 | 浙江大华技术股份有限公司 | 重要文件的安全访问方法、装置、设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101522445B1 (ko) | 기밀 파일을 보호하기 위한 클라이언트 컴퓨터, 및 그 서버 컴퓨터, 및 그 방법 및 컴퓨터 프로그램 | |
KR101335133B1 (ko) | 상황 기반 데이터 보호 | |
JP5054768B2 (ja) | 侵入検出のための方法と装置 | |
Hasan et al. | Toward a threat model for storage systems | |
CN109923548A (zh) | 通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品 | |
Casey | Investigating sophisticated security breaches | |
GB2558811A (en) | Labeling computing objects for improved threat detection | |
Lee et al. | Reverse‐safe authentication protocol for secure USB memories | |
WO2018164503A1 (ko) | 상황 인식 기반의 랜섬웨어 탐지 | |
CN105827574A (zh) | 一种文件访问系统、方法及装置 | |
KR102180098B1 (ko) | 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템 | |
CN101408919A (zh) | 计算机间谍行为的监测方法及系统 | |
US11658996B2 (en) | Historic data breach detection | |
US20160335433A1 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
Deng et al. | Lexical analysis for the webshell attacks | |
McIntosh | Intercepting ransomware attacks with staged event-driven access control | |
Genç et al. | NoCry: No more secure encryption keys for cryptographic ransomware | |
CN103001937B (zh) | 孤岛式以太网防御移动存储介质病毒的系统和方法 | |
Guo et al. | An empirical study of malicious code in pypi ecosystem | |
CN103634293A (zh) | 一种基于双硬件的数据安全传输方法及系统 | |
CN105095693A (zh) | 一种基于互联网的数字资产安全共享的方法及其系统 | |
Lindqvist | On the fundamentals of analysis and detection of computer misuse | |
Sharma et al. | Smartphone security and forensic analysis | |
Zimmermann et al. | Introducing reference flow control for detecting intrusion symptoms at the os level | |
KR20100067383A (ko) | 서버 보안 시스템 및 서버 보안 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C57 | Notification of unclear or unknown address | ||
DD01 | Delivery of document by public notice |
Addressee: Lv Xin Document name: Notification of Passing Preliminary Examination of the Application for Invention |
|
C06 | Publication | ||
PB01 | Publication | ||
C57 | Notification of unclear or unknown address | ||
DD01 | Delivery of document by public notice |
Addressee: Lv Xin Document name: Notification of Publication of the Application for Invention |
|
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090415 |