CN105488404B - 一种防止数据被后门窃取的方法及系统 - Google Patents
一种防止数据被后门窃取的方法及系统 Download PDFInfo
- Publication number
- CN105488404B CN105488404B CN201410807760.3A CN201410807760A CN105488404B CN 105488404 B CN105488404 B CN 105488404B CN 201410807760 A CN201410807760 A CN 201410807760A CN 105488404 B CN105488404 B CN 105488404B
- Authority
- CN
- China
- Prior art keywords
- back door
- operation behavior
- user
- white list
- stolen
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000001514 detection method Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000000840 anti-viral effect Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 206010022000 influenza Diseases 0.000 description 1
Landscapes
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种防止数据被后门窃取的方法,包括:对已知后门进行反汇编,获取与恶意行为相关的API序列;将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。本发明还公开了一种防止数据被后门窃取的系统。本发明所述技术方案可以有效将后门窃取行为与用户操作行为区分开,有效防止重要数据被窃取。
Description
技术领域
本发明涉及网络信息安全领域,尤其涉及一种防止数据被后门窃取的方法及系统。
背景技术
APT(高级可持续威胁)对政府、企业、组织等的重要数据形成了前所未有的威胁。为保护重要数据不被窃取,常见的数据保护方法主要针对灾难性的保护,注重的是数据的备份、防止数据意外丢失等与恶意代码无关的硬件及软件的保护。而传统的反病毒软件、防火墙等安全设备及软件只针对恶意代码进行拦截,在APT时代,绝大部分的恶意代码的检出都大大滞后,这时,我们就迫切需要制作一种针对利用后门窃取数据的APT攻击的对数据的保护方法。
发明内容
本发明提供了一种防止数据被后门窃取的方法及系统,基于后门窃取数据行为与用户操作行为的区别,对未知操作行为进行判断,有效阻止后门对重要数据文件的恶意操作和窃取。
本发明采用如下方法来实现:一种防止数据被后门窃取的方法,包括:
对已知后门进行反汇编,获取与恶意行为相关的API序列;
将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;
基于用户对设定数据文件的操作习惯,设置允许I/O设备的操作过程,形成白名单;
将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行;
监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
进一步地,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
进一步地,所述设定数据文件,包括:重要数据文件或者重要目录。
本发明采用如下系统来实现:一种防止数据被后门窃取的系统,包括:
API序列获取模块,用于对已知后门进行反汇编,获取与恶意行为相关的API序列;
后门判定模块,用于将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;
白名单生成模块,用于基于用户对设定数据文件的操作习惯,设置允许I/O设备的操作过程,形成白名单;
用户行为判定模块,用于将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行;
监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
进一步地,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
进一步地,所述设定数据文件,包括:重要数据文件或者重要目录。
综上所述,本发明提供了一种防止数据被后门窃取的方法及系统,本发明所提供的技术方案,首先,对已知后门恶意代码进行反汇编,获取与恶意行为相关的API,并生成API序列;将未知操作行为与所述API序列进行匹配,从而判断是否是恶意后门行为,若是则报警;基于用户对重要数据文件或者重要目录的操作习惯,设置允许的操作行为或者允许的操作行为组合放入白名单;将未知操作行为与所述白名单匹配,从而判断是否是用户操作行为。
本发明的有益效果为:本发明的技术方案从分析已知后门的恶意行为特征,从而获取与恶意行为特征相关的API序列,作为恶意行为特征进行后门检测;通过对用户访问数据、修改数据或者删除数据的操作习惯,进行分析统计,设置允许的操作行为或者操作行为组合,以此判断未知操作行为是否属于用户操作行为。本发明不同于传统后门检测手段,基于后门窃取行为与用户操作行为的特征,生成检测规则,从而判断未知操作性是后门窃取行为还是用户操作行为,有效地识别和阻止后门对重要数据的窃取。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种防止数据被后门窃取的方法实施例流程图;
图2为本发明提供的一种防止数据被后门窃取的系统实施例结构图。
具体实施方式
本发明给出了一种防止数据被后门窃取的方法及系统的实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种防止数据被后门窃取的方法实施例,如图1所示,包括:
S101对已知后门进行反汇编,获取与恶意行为相关的API序列;
S102将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;
S103基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;
其中,针对不同的设定数据文件,设置与此对应的白名单;所述设定数据文件可以根据用户的需要进行选定;
S104将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。
优选地,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
优选地,所述设定数据文件,包括:重要数据文件或者重要目录。
优选地,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/O设备的操作过程。
优选地,监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
例如:用户常常使用FTP软件或者QQ传输数据文件,则设定允许使用FTP软件或者QQ传输数据文件,认为该操作行为为用户操作行为,予以放行。
本发明还提供了一种防止数据被后门窃取的系统实施例,如图2所示,包括:
API序列获取模块201,用于对已知后门进行反汇编,获取与恶意行为相关的API序列;
后门判定模块202,用于将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;
白名单生成模块203,用于基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;
用户行为判定模块204,用于将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。
优选地,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
优选地,所述设定数据文件,包括:重要数据文件或者重要目录。
优选地,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/O设备的操作过程。
优选地,监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
例如:所述I/O设备的操作过程包括:鼠标移动、移动范围、移动时间、点击文件夹、进入目录时间或者其他击键操作;与进行上述操作时的屏幕截图对比,判断是否是人为操作。
其中,上述方法实施例与系统实施例可用于常见数据库数据,软件配置或者指定数据文件进行保护,例如:输入法信息保护、IM聊天记录保护等。
如上所述,传统的对于APT进行检测的方法存在很多误报和一定的滞后性,并不能及时阻断对重要数据的窃取。而本发明所述的技术方案通过仔细分析后门窃取行为特征,与用户操作行为特征的不同,分别生成API序列和白名单;若未知操作行为具备相同的API序列,则认为是后门窃取行为,予以报警;若未知操作行为与白名单成功匹配,则认为属于用户操作行为,予以放行。可以将本发明所述技术方案用于某个特定目录或者某个特定数据文件的保护。本发明所述的技术方案能够有效阻止后门窃取行为,而不会对用户的日常操作行为进行报警。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (6)
1.一种防止数据被后门窃取的方法,其特征在于,包括:
对已知后门进行反汇编,获取与恶意行为相关的API序列;
将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;
基于用户对设定数据文件的操作习惯,设置允许I/O设备的操作过程,形成白名单;
将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行;
监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
2.如权利要求1所述的方法,其特征在于,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
3.如权利要求1所述的方法,其特征在于,所述设定数据文件,包括:重要数据文件或者重要目录。
4.一种防止数据被后门窃取的系统,其特征在于,包括:
API序列获取模块,用于对已知后门进行反汇编,获取与恶意行为相关的API序列;
后门判定模块,用于将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;
白名单生成模块,用于基于用户对设定数据文件的操作习惯,设置允许I/O设备的操作过程,形成白名单;
用户行为判定模块,用于将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行;
监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
5.如权利要求4所述的系统,其特征在于,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
6.如权利要求4所述的系统,其特征在于,所述设定数据文件,包括:重要数据文件或者重要目录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410807760.3A CN105488404B (zh) | 2014-12-23 | 2014-12-23 | 一种防止数据被后门窃取的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410807760.3A CN105488404B (zh) | 2014-12-23 | 2014-12-23 | 一种防止数据被后门窃取的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105488404A CN105488404A (zh) | 2016-04-13 |
| CN105488404B true CN105488404B (zh) | 2019-01-15 |
Family
ID=55675378
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410807760.3A Active CN105488404B (zh) | 2014-12-23 | 2014-12-23 | 一种防止数据被后门窃取的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105488404B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110414226A (zh) * | 2018-04-28 | 2019-11-05 | 北京安天网络安全技术有限公司 | 一种基于关键目标防护的安全维护方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101667232A (zh) * | 2009-07-13 | 2010-03-10 | 北京中软华泰信息技术有限责任公司 | 基于可信计算的终端可信保障系统与方法 |
| CN101833619A (zh) * | 2010-04-29 | 2010-09-15 | 西安交通大学 | 基于键鼠交叉认证的身份判定方法 |
| CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| CN102426634A (zh) * | 2011-10-26 | 2012-04-25 | 中国信息安全测评中心 | 源代码后门发现方法 |
| CN103150511A (zh) * | 2013-03-18 | 2013-06-12 | 珠海市君天电子科技有限公司 | 一种安全防护系统 |
| CN103488947A (zh) * | 2013-10-11 | 2014-01-01 | 北京金山网络科技有限公司 | 即时通信客户端盗号木马程序的识别方法及装置 |
| CN103957205A (zh) * | 2014-04-25 | 2014-07-30 | 国家电网公司 | 一种基于终端流量的木马检测方法 |
-
2014
- 2014-12-23 CN CN201410807760.3A patent/CN105488404B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101667232A (zh) * | 2009-07-13 | 2010-03-10 | 北京中软华泰信息技术有限责任公司 | 基于可信计算的终端可信保障系统与方法 |
| CN101833619A (zh) * | 2010-04-29 | 2010-09-15 | 西安交通大学 | 基于键鼠交叉认证的身份判定方法 |
| CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| CN102426634A (zh) * | 2011-10-26 | 2012-04-25 | 中国信息安全测评中心 | 源代码后门发现方法 |
| CN103150511A (zh) * | 2013-03-18 | 2013-06-12 | 珠海市君天电子科技有限公司 | 一种安全防护系统 |
| CN103488947A (zh) * | 2013-10-11 | 2014-01-01 | 北京金山网络科技有限公司 | 即时通信客户端盗号木马程序的识别方法及装置 |
| CN103957205A (zh) * | 2014-04-25 | 2014-07-30 | 国家电网公司 | 一种基于终端流量的木马检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105488404A (zh) | 2016-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10409665B2 (en) | System and method for real-time detection of anomalies in database usage | |
| US20190311121A1 (en) | Method for predicting and characterizing cyber attacks | |
| CN106796639B (zh) | 用于可信执行环境的数据挖掘算法 | |
| CN105264861B (zh) | 用于检测多阶段事件的方法和设备 | |
| JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
| US20150172303A1 (en) | Malware Detection and Identification | |
| CN103763124A (zh) | 一种互联网用户行为分析预警系统及方法 | |
| CN109155774A (zh) | 用于检测安全威胁的系统和方法 | |
| CN105100122A (zh) | 一种基于大数据分析的威胁检测和预警的方法及系统 | |
| EP3531324B1 (en) | Identification process for suspicious activity patterns based on ancestry relationship | |
| CN108234400B (zh) | 一种攻击行为确定方法、装置及态势感知系统 | |
| EP3531328B1 (en) | Cardinality based activity pattern detection | |
| KR101281456B1 (ko) | 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법 | |
| KR101444250B1 (ko) | 개인정보 접근감시 시스템 및 그 방법 | |
| CN104063669A (zh) | 一种实时监测文件完整性的方法 | |
| CN104468545A (zh) | 一种基于复杂事件处理的网络安全关联分析方法 | |
| EP3232358B1 (en) | Correlation-based detection of exploit activity | |
| US10452841B1 (en) | Modeling malicious behavior that occurs in the absence of users | |
| CN107885994A (zh) | 一种检测操作系统安全的方法、系统 | |
| CN111212055A (zh) | 非侵入式网站远程检测系统及检测方法 | |
| CN105488404B (zh) | 一种防止数据被后门窃取的方法及系统 | |
| KR102311997B1 (ko) | 인공지능 행위분석 기반의 edr 장치 및 방법 | |
| CN108667812B (zh) | 用于专用主机的多指标评分的白环境可信度分析方法 | |
| CN107623677B (zh) | 数据安全性的确定方法和装置 | |
| EP2911362B1 (en) | Method and system for detecting intrusion in networks and systems based on business-process specification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 150010 building 7, innovation and entrepreneurship Plaza, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang, China (No. 838, world Kun Road) Patentee after: Harbin antiy Technology Group Limited by Share Ltd Address before: 150090 room 506, Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang, China, 162 Patentee before: Harbin Antiy Technology Co., Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Method and system for preventing data from being stolen by backdoor Effective date of registration: 20190718 Granted publication date: 20190115 Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch Pledgor: Harbin antiy Technology Group Limited by Share Ltd Registration number: 2019230000007 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 150010 building 7, innovation and entrepreneurship Plaza, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang, China (No. 838, world Kun Road) Patentee after: Antan Technology Group Co.,Ltd. Address before: 150010 building 7, innovation and entrepreneurship Plaza, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang, China (No. 838, world Kun Road) Patentee before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20211119 Granted publication date: 20190115 Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch Pledgor: Harbin Antian Science and Technology Group Co.,Ltd. Registration number: 2019230000007 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |