CN104683477A - 一种基于smb协议的共享文件操作过滤方法 - Google Patents
一种基于smb协议的共享文件操作过滤方法 Download PDFInfo
- Publication number
- CN104683477A CN104683477A CN201510117533.2A CN201510117533A CN104683477A CN 104683477 A CN104683477 A CN 104683477A CN 201510117533 A CN201510117533 A CN 201510117533A CN 104683477 A CN104683477 A CN 104683477A
- Authority
- CN
- China
- Prior art keywords
- file
- monitoring
- filtration
- local
- smb
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Abstract
本发明涉及一种文件过滤的方法,尤其是涉及一种基于SMB协议的共享文件操作过滤方法。本发明包括:保持对系统139、445端口的监听和数据包分析;对于所有捕捉的数据包进行IP过滤、SMB级过滤、获取文件名逐级操作;将符合自定义监控规则的文件类型及对应文件名称自动加入操作过滤监听列表;网络数据包转入本地监控,系统继续监听本地驱动器进程,获取文件创建消息,获得新创建的文件名;将本地新创建文件与监听列表中文件进行名称、容量基本信息比对;常驻系统监听本地进程,获取文件的操作消息。本方法基于应用层协议的分析过滤策略和操作系统内核过滤驱动,使得操作透明,难以干扰,安全性高。
Description
技术领域
本发明涉及一种文件过滤的方法,尤其是涉及一种基于SMB协议的共享文件操作过滤方法。
背景技术
随着计算机网络技术的飞速发展,信息的获取、共享和传播变得更加方便,但是也增加了信息泄密的风险。政府和企业内部,重要文件在多人间流转共享,增加了泄露数据的可能。如何有效地对共享文件进行安全管理,成为当前政府和企业关注的焦点和研究的热点。
对于文件操作行为的监控和管理可以通过文件操作过滤技术实现,这是一种有效的文件监控手段。基于Windows文件操作系统,文件操作过滤技术主要依靠拦截尚未到达指定驱动的文件操作请求,并通过专门的处理手段优先分析和处理这些请求达到过滤操作行为的目的,作为一种典型的文件过滤驱动,其可以工作在文件系统驱动的上层或者下层,如果工作在文件系统驱动的上层,则可以在文件系统驱动之前先获得到用户的请求,从而对请求进行前期处理;如果工作在文件系统驱动的下层,则驱动程序在文件系统驱动对请求处理之后,在网络设备或者磁盘存储设备获得文件数据之前对其进行处理。
本发明所提出的文件操作过滤技术,能够记录Windows系统内各类文件的基本操作行为,例如文件的创建,读,写,添加,修改等等。同时,对文件系统增加了透明的附加功能。
(1)仅仅基于文件过滤驱动的监控技术只能对本地单机系统内的目标文件进行监管,无法有效地识别出新下载到本机的文件,监管粒度较差;(2)已知的文件监控系统普遍实行全域监控,缺少有效过滤规则,增加系统负担;(3)用户往往需要安装特定的客户端访问浏览器,且监控系统的升级维护需要对客户端进行逐个操作。针对上述三点问题,本发明提出了一种兼具共享资源的下载监控和本地监控双重策略的文件操作过滤技术,能够对局域网内的共享文件访问行为进行监控。
发明内容
本发明的目的是提供一种基于SMB协议的共享文件操作过滤方法。
本发明的目的是这样实现的:
(1)保持对系统139、445端口的监听和数据包分析,Windows的文件共享多基于TCP协议实现,并使用139、445端口;
(2)对于所有捕捉的数据包进行IP过滤、SMB级过滤、获取文件名逐级操作;
(3)将符合自定义监控规则的文件类型及对应文件名称自动加入操作过滤监听列表;
(4)网络数据包转入本地监控,系统继续监听本地驱动器进程,获取文件创建消息,获 得新创建的文件名;
(5)将本地新创建文件与监听列表中文件进行名称、容量基本信息比对,若相同则认为是合法下载操作并对该文件进行透明加密操作;
(6)常驻系统监听本地进程,获取文件的操作消息,若为监控列表中文件,当文件被打开时需验证用户权限,验证成功透明解密文件,不成功则拒绝访问并给出提示。
本发明的有益效果在于:不同于已有的文件操作管控技术,本方法不但能对本地文件进行有效管理,还可以对来自通过共享方式应用和下载的文件加以监管;基于应用层协议的分析过滤策略和操作系统内核过滤驱动,使得操作透明,难以干扰,安全性高;在监管过程中,使用透明加解密算法对文件加以保护,用户无需介入和学习,具有较好的体验性;本方法实现了对剪切板、截屏软件、快捷键等一揽子拷贝复制的拦截,保证资源安全性。
附图说明
图1为文件操作过滤部署环境示意图。
图2为SMB协议监听分析流程图。
图3为SMB级消息过滤关键代码。
图4为文件本地化监控原理图。
具体实施方式
下面结合附图对本发明做进一步描述。
本方法为共享文件下载的监控以及离线使用的全生命周期管理提供了行之有效的解决方案。在文件被下载到本地的第一时间内该方法通过监听和解析SMB协议报文内容捕获到监控文件,并对其进行并行的加密操作;在保证资源安全基础上,整个过滤操作对用户透明,确保资源的监控粒度。
本发明是一种共享文件操作过滤方法,通过协议分析、内核驱动过滤以及安全组合策略实现对于目标文件生命周期内操作行为的管理和控制。其工作流程如下:
保持对系统139、445端口的监听和数据包分析,Windows的文件共享多基于TCP协议实现,并使用139、445端口;
对于所有捕捉的数据包进行IP过滤、SMB级过滤、获取文件名等逐级操作;
将符合自定义监控规则的文件类型及对应文件名称自动加入操作过滤监听列表;
网络数据包转入本地监控,系统继续监听本地驱动器进程,获取文件创建消息,获得新创建的文件名;
将本地新创建文件与监听列表中文件进行名称、容量等基本信息比对,若相同则认为是合法下载操作并对该文件进行透明加密操作;
常驻系统监听本地进程,获取文件的操作消息,若为监控列表中文件,当文件被打开时需验证用户权限,验证成功透明解密文件,不成功则拒绝访问并给出提示;
上述基于SMB协议文件操作过滤方法适用于WindowsXP、Windows7以及Windows8系列32位及64位操作系统。可应用于对共享资源有安全管控需求的场合,整个操作流程实现透明化追踪和处理,无需用户操作和配置,仅需一键安装推送插件即可。
本发明是以文件共享及操作过滤规则为基础,提出了基于SMB协议的文件使用管控机制,在实现文件网络化过滤功能的基础上,全部操作对用户透明,并具有良好的用户体验。
本发明是一种文件操作过滤方法,通过程序设计、信息安全策略实现文件安全操作的管理和控制。其工作流程如下:
a)系统保持对139、445端口监听和数据包分析;
b)对数据包进行常规过滤、IP过滤、SMB级过滤、文件名分析四级过滤;
c)将确定的文件名称加入文件操作过滤的监听列表中;
d)监听本地驱动器进程,在文件保存到本地时获取创建消息,得到新创建文件名;
e)将新创建文件名与监听列表中文件进行比对,若相同则认为是下载操作,对该文件进行加密操作;
f)监听本地驱动器进程,获取文件打开消息,若为加密列表中文件,验证用户权限,解密文件;
以基于SMB协议的文件操作过滤系统为例,详细说明本发明的技术方案和创新点。本例是一个以C#(其他高级编程语言亦可,具有通用性)语言编写的文件操作过滤系统,实现用户从共享服务器下载至本地应用的文件操作监管,系统网络示意图如图1所示。
本方法中网络过滤部分是基于SMB协议的,系统网络驱动嗅探程序提取所有访问本机的数据包,由于访问量较大,为了快速、精确的定位来自共享服务器的文件,系统定义了四层过滤规则,过滤流程如图2所示。系统需要监控的共享文件使用SMB协议,而SMB协议是基于底层TCP协议传输的,通常使用端口139、445。第一层过滤为常规过滤,共享文件数据长度至少为1个字符,如果长度小于1个字符的直接丢弃;长度超过1个字符的数据进入第二层过滤。第二层过滤为IP过滤(网络层分析),首先分析数据包头的源地址部分,如果源地址为共享服务器IP地址,则文件进入下一层过滤,否则直接将数据包丢弃。第三层过滤为SMB级过滤(应用层分析),SMB协议数据报头为32字节,其中前4字节为协议字段,协议要求这四个字节分别为字符串“\xFF”、“S”、“M”、“B”,因此若字段为0x424d53ff,可直接判定此数据包为SMB数据包,进入下一层过滤,实现代码见图3。第四层过滤为文件格式过滤,将特定格式文件的名称加入文件控制列表file_list_temp中,格式不符的数据包将被丢弃。 在整个工作过程中,网络过滤部分始终重复上述操作,符合过滤规则的文件会被自动加入文件监控列表。
通过网络过滤下载到本地的文件,主要通过文件监控列表管理,并基于Windows文件过滤驱动实现,监控功能运行在驱动级,原理如图4所示。watcher_Created()函数能够监视文件的创建动作,并获取文件创建消息,并过滤掉不符合规则的文件格式。通过本地过滤规则所创建的文件名与网络过滤文件列表中的文件进行比对,如果文件名相同默认此文件为共享服务器下载下来的目标文件,自动加入fi le_list监视列表中。
系统对从共享服务器下载的文件进行加密操作,加密后的文件名变为“文件名.crypt”。当文件过滤系统监测到fi le_l ist列表中的文件被打开时,系统会验证当前用户权限,若用户具有相应权限,系统会将文件透明解密。若用户无权限,系统会屏蔽该操作。
Claims (1)
1.一种基于SMB协议的共享文件操作过滤方法,其特征在于,包括如下步骤:
(1)保持对系统139、445端口的监听和数据包分析,Windows的文件共享多基于TCP协议实现,并使用139、445端口;
(2)对于所有捕捉的数据包进行IP过滤、SMB级过滤、获取文件名逐级操作;
(3)将符合自定义监控规则的文件类型及对应文件名称自动加入操作过滤监听列表;
(4)网络数据包转入本地监控,系统继续监听本地驱动器进程,获取文件创建消息,获得新创建的文件名;
(5)将本地新创建文件与监听列表中文件进行名称、容量基本信息比对,若相同则认为是合法下载操作并对该文件进行透明加密操作;
(6)常驻系统监听本地进程,获取文件的操作消息,若为监控列表中文件,当文件被打开时需验证用户权限,验证成功透明解密文件,不成功则拒绝访问并给出提示。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510117533.2A CN104683477B (zh) | 2015-03-18 | 2015-03-18 | 一种基于smb协议的共享文件操作过滤方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510117533.2A CN104683477B (zh) | 2015-03-18 | 2015-03-18 | 一种基于smb协议的共享文件操作过滤方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104683477A true CN104683477A (zh) | 2015-06-03 |
CN104683477B CN104683477B (zh) | 2018-08-31 |
Family
ID=53318043
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510117533.2A Active CN104683477B (zh) | 2015-03-18 | 2015-03-18 | 一种基于smb协议的共享文件操作过滤方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104683477B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721464A (zh) * | 2016-01-29 | 2016-06-29 | 四川秘无痕信息安全技术有限责任公司 | 一种基于文件共享协议的跨平台数据即时传输方法 |
CN109858243A (zh) * | 2018-12-29 | 2019-06-07 | 北京奇安信科技有限公司 | 追踪病毒来源的方法和装置 |
CN111786942A (zh) * | 2020-05-13 | 2020-10-16 | 上海大学 | 一种数据安全边界监控方法 |
CN112019516A (zh) * | 2020-08-03 | 2020-12-01 | 杭州迪普科技股份有限公司 | 一种共享文件的访问控制方法、装置、设备及存储介质 |
CN114285646A (zh) * | 2021-12-23 | 2022-04-05 | 北京明朝万达科技股份有限公司 | 一种对基于smb协议的数据防泄漏的方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101729550A (zh) * | 2009-11-09 | 2010-06-09 | 西北大学 | 基于透明加解密的数字内容安全防护系统及加解密方法 |
US20110258208A1 (en) * | 2009-01-13 | 2011-10-20 | Idan Plotnik | Methods and systems for securing and protecting repositories and directories |
CN102467618A (zh) * | 2010-11-04 | 2012-05-23 | 上海宝信软件股份有限公司 | 局域网内共享文件操作的审计系统及方法 |
CN104063633A (zh) * | 2014-04-29 | 2014-09-24 | 航天恒星科技有限公司 | 一种基于过滤驱动的安全审计系统 |
-
2015
- 2015-03-18 CN CN201510117533.2A patent/CN104683477B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110258208A1 (en) * | 2009-01-13 | 2011-10-20 | Idan Plotnik | Methods and systems for securing and protecting repositories and directories |
CN101729550A (zh) * | 2009-11-09 | 2010-06-09 | 西北大学 | 基于透明加解密的数字内容安全防护系统及加解密方法 |
CN102467618A (zh) * | 2010-11-04 | 2012-05-23 | 上海宝信软件股份有限公司 | 局域网内共享文件操作的审计系统及方法 |
CN104063633A (zh) * | 2014-04-29 | 2014-09-24 | 航天恒星科技有限公司 | 一种基于过滤驱动的安全审计系统 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721464A (zh) * | 2016-01-29 | 2016-06-29 | 四川秘无痕信息安全技术有限责任公司 | 一种基于文件共享协议的跨平台数据即时传输方法 |
CN109858243A (zh) * | 2018-12-29 | 2019-06-07 | 北京奇安信科技有限公司 | 追踪病毒来源的方法和装置 |
CN111786942A (zh) * | 2020-05-13 | 2020-10-16 | 上海大学 | 一种数据安全边界监控方法 |
CN111786942B (zh) * | 2020-05-13 | 2022-06-14 | 上海大学 | 一种数据安全边界监控方法 |
CN112019516A (zh) * | 2020-08-03 | 2020-12-01 | 杭州迪普科技股份有限公司 | 一种共享文件的访问控制方法、装置、设备及存储介质 |
CN114285646A (zh) * | 2021-12-23 | 2022-04-05 | 北京明朝万达科技股份有限公司 | 一种对基于smb协议的数据防泄漏的方法及装置 |
CN114285646B (zh) * | 2021-12-23 | 2023-10-20 | 北京明朝万达科技股份有限公司 | 一种对基于smb协议的数据防泄漏的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN104683477B (zh) | 2018-08-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11483143B2 (en) | Enhanced monitoring and protection of enterprise data | |
US9767299B2 (en) | Secure cloud data sharing | |
CN110417918B (zh) | 一种档案信息的分布式存储方法、装置及电子设备和介质 | |
CN104683477A (zh) | 一种基于smb协议的共享文件操作过滤方法 | |
CN110958262A (zh) | 电力行业泛在物联网安全防护网关系统、方法及部署架构 | |
JP5241319B2 (ja) | ネットワーク上に配置された構成要素についての情報を検出するためのパスワードを管理するコンピュータ・システム、並びにその方法及びコンピュータ・プログラム | |
US10164951B2 (en) | Establishing secure communication over an internet of things (IoT) network | |
CN106888143A (zh) | 混合云环境中的动态定义的虚拟私有网络隧道 | |
Spyridopoulos et al. | Incident analysis & digital forensics in SCADA and industrial control systems | |
Eden et al. | A forensic taxonomy of SCADA systems and approach to incident response | |
CN104838630A (zh) | 基于策略的应用程序管理 | |
KR101838973B1 (ko) | 화이트 리스트를 이용한 에이전트 기반 보안위협 모니터링 시스템 | |
US10423802B2 (en) | Establishing data security over an internet of things (IoT) network | |
CA3083722A1 (en) | Re-encrypting data on a hash chain | |
CN102611574A (zh) | Vpn自动配置系统及配置方法 | |
CN114584366A (zh) | 电力监控网络安全检测系统及方法 | |
CN107770153B (zh) | 一种基于协同安全防护模型的电力信息通用采集系统 | |
CN103973687A (zh) | Ip安全联盟维护方法及装置 | |
CN107342963A (zh) | 一种虚拟机安全控制方法、系统及网络设备 | |
Sarrab et al. | Critical Aspects Pertaining Security of IoT Application Level Software Systems | |
CN112511562A (zh) | 一种基于单向隔离一体机及云桌面技术的跨网数据传送系统 | |
CN104486441B (zh) | 基于ftp的远程控制方法 | |
Fovino | SCADA system cyber security | |
WO2014049109A1 (en) | Method and device for automatically collecting and configuring authorization information | |
CN113987475A (zh) | 分布式资源管理系统及方法、凭证信息的管理系统、介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |