CN108073819B - 一种基于动态重定向的文档防护方法及系统 - Google Patents

一种基于动态重定向的文档防护方法及系统 Download PDF

Info

Publication number
CN108073819B
CN108073819B CN201710225322.XA CN201710225322A CN108073819B CN 108073819 B CN108073819 B CN 108073819B CN 201710225322 A CN201710225322 A CN 201710225322A CN 108073819 B CN108073819 B CN 108073819B
Authority
CN
China
Prior art keywords
document
backup
dynamically
sensing
backup document
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710225322.XA
Other languages
English (en)
Other versions
CN108073819A (zh
Inventor
张婷
韩文奇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Harbin Antian Science And Technology Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antian Science And Technology Group Co ltd filed Critical Harbin Antian Science And Technology Group Co ltd
Priority to CN201710225322.XA priority Critical patent/CN108073819B/zh
Publication of CN108073819A publication Critical patent/CN108073819A/zh
Application granted granted Critical
Publication of CN108073819B publication Critical patent/CN108073819B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data

Abstract

本发明提出了一种基于动态重定向的文档防护方法及系统,包括:实时感知系统中的进程及操作;当感知到有进程对系统中的文档进行改操作时,获取相应文档的路径信息,并动态将相应文档复制备份到指定目录下,同时将对相应文档的所有操作重定向到所述指定目录下的备份文档;动态监控所述进程对备份文档的操作行为,当感知到对备份文档的改操作完成时,挂起所述进程,同时检测备份文档的文件格式是否发生改变,根据判断结果对备份文档进行删除或替换原目录文档的操作。本发明可以在不影响用户正常操作下,动态准确检测文档是否被加密,并对于勒索者病毒进行准确报警。

Description

一种基于动态重定向的文档防护方法及系统
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于动态重定向的文档防护方法及系统。
背景技术
通过对目前主流的勒索者病毒分析,勒索者病毒一般以邮件和恶链木马的形式传播,而病毒的运行一般采取注入系统或以实体独立运行的方式对全盘文件进行扫描并加密,在加密完成后,会对加密的文档更改文档格式,而这一切动作并无过多恶意行为,因此恶意行为检测并不适用于勒索者病毒。勒索者病毒对文档加密后,在没有私钥的情况下,文档几乎无法解密,因此多数安全厂商采用文档备份的方式,帮助用户免受勒索者病毒造成的伤害,但是当勒索者病毒知道文档加密存放的位置后,可以对备份文档重新加密,因此文档备份的策略,并不能完全解决文档被加密的问题。且当有大批量备份操作时,会造成存储空间的浪费,与此同时,当文档被操作时,无法对文档进行备份,因此也有备份失败的可能。
发明内容
针对上述现有技术中存在的问题,本发明提出了一种基于动态重定向的文档防护方法及系统,当感知到系统中存在进程对文档进行改操作时,将相应文档以及其操作路径动态重定向到指定目录下,并在改操作完成后对文档格式进行解析,判断进程安全性,本根据安全性判断结果对重定向的文档进行对原文档的替换或者删除操作。
具体发明内容包括:
一种基于动态重定向的文档防护方法,包括:
安装文件系统过滤驱动,实时感知系统中的进程及操作;
当感知到有进程对系统中的文档进行改操作时,获取相应文档的路径信息,并动态将相应文档复制备份到指定目录下,同时将对相应文档的所有操作重定向到所述指定目录下的备份文档;
动态监控所述进程对备份文档的操作行为,当感知到对备份文档的改操作完成时,挂起所述进程,同时检测备份文档的文件格式是否发生改变,若是则判断是否为用户授权操作,若不是用户授权操作,则关闭所述进程,并删除备份文档,若是用户授权操作,则放行进程,并将备份文档替换到原路径下;否则放行进程,并将备份文档替换到原路径下。
一种基于动态重定向的文档防护系统,包括:
进程监控模块,用于安装文件系统过滤驱动,实时感知系统中的进程及操作;
动态备份模块,用于当感知到有进程对系统中的文档进行改操作时,获取相应文档的路径信息,并动态将相应文档复制备份到指定目录下,同时将对相应文档的所有操作重定向到所述指定目录下的备份文档;
安全判定模块,用于动态监控所述进程对备份文档的操作行为,当感知到对备份文档的改操作完成时,挂起所述进程,同时检测备份文档的文件格式是否发生改变,若是则判断是否为用户授权操作,若不是用户授权操作,则关闭所述进程,并删除备份文档,若是用户授权操作,则放行进程,并将备份文档替换到原路径下;否则放行进程,并将备份文档替换到原路径下。
本发明的有益效果是:
本发明可以在不影响用户正常操作下,动态准确检测文档是否被加密,并对于勒索者病毒进行准确报警;
本发明所有的操作均为对重定向的文件操作,保证了源文件的绝对安全;
本发明能够有效减少不停备份造成的时间、空间的浪费;
本发明不采用任何白名单机制,从而保证了任何进程都无法对文档进行恶意操作。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于动态重定向的文档防护方法流程图;
图2为本发明一种基于动态重定向的文档防护系统结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了一种基于动态重定向的文档防护方法实施例,如图1所示,包括:
S101:安装文件系统过滤驱动,实时感知系统中的进程及操作;
S102:当感知到有进程对系统中的文档进行改操作时,获取相应文档的路径信息;
S103:动态将相应文档复制备份到指定目录下,同时将对相应文档的所有操作重定向到所述指定目录下的备份文档;
S104:动态监控所述进程对备份文档的操作行为,当感知到对备份文档的改操作完成时,挂起所述进程;
S105:检测备份文档的文件格式是否发生改变,若是则判断是否为用户授权操作,若不是用户授权操作,则关闭所述进程,并删除备份文档,若是用户授权操作,则放行进程,并将备份文档替换到原路径下;否则放行进程,并将备份文档替换到原路径下。
本发明还给出了一种基于动态重定向的文档防护系统实施例,如图2所示,包括:
进程监控模块201,用于安装文件系统过滤驱动,实时感知系统中的进程及操作;
动态备份模块202,用于当感知到有进程对系统中的文档进行改操作时,获取相应文档的路径信息,并动态将相应文档复制备份到指定目录下,同时将对相应文档的所有操作重定向到所述指定目录下的备份文档;
安全判定模块203,用于动态监控所述进程对备份文档的操作行为,当感知到对备份文档的改操作完成时,挂起所述进程,同时检测备份文档的文件格式是否发生改变,若是则判断是否为用户授权操作,若不是用户授权操作,则关闭所述进程,并删除备份文档,若是用户授权操作,则放行进程,并将备份文档替换到原路径下;否则放行进程,并将备份文档替换到原路径下。
本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。针对目前利用文档备份技术不能完全满足勒索者病毒释放后文档的安全及数据恢复的问题,本发明提出了一种基于动态重定向的文档防护方法及系统,安装文件系统过滤驱动,实时感知系统中的进程及操作;当感知到有进程对系统中的文档进行改操作时,获取相应文档的路径信息,并动态将相应文档复制备份到指定目录下,同时将对相应文档的所有操作重定向到所述指定目录下的备份文档;动态监控所述进程对备份文档的操作行为,当感知到对备份文档的改操作完成时,挂起所述进程,同时检测备份文档的文件格式是否发生改变,若是则判断是否为用户授权操作,若不是用户授权操作,则关闭所述进程,并删除备份文档,若是用户授权操作,则放行进程,并将备份文档替换到原路径下;否则放行进程,并将备份文档替换到原路径下。本发明可以在不影响用户正常操作下,动态准确检测文档是否被加密,并对于勒索者病毒进行准确报警;本发明所有的操作均为对重定向的文件操作,保证了源文件的绝对安全;本发明能够有效减少不停备份造成的时间、空间的浪费;本发明不采用任何白名单机制,从而保证了任何进程都无法对文档进行恶意操作。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (2)

1.一种基于动态重定向的文档防护方法,其特征在于,包括:
安装文件系统过滤驱动,实时感知系统中的进程及操作;
当感知到有进程对系统中的文档进行改操作时,获取相应文档的路径信息,并动态将相应文档复制备份到指定目录下,同时将对相应文档的所有操作重定向到所述指定目录下的备份文档;
动态监控所述进程对备份文档的操作行为,当感知到对备份文档的改操作完成时,挂起所述进程,同时检测备份文档的文件格式是否发生改变,若是则判断是否为用户授权操作,若不是用户授权操作,则关闭所述进程,并删除备份文档,若是用户授权操作,则放行进程,并将备份文档替换到原路径下;否则放行进程,并将备份文档替换到原路径下。
2.一种基于动态重定向的文档防护系统,其特征在于,包括:
进程监控模块,用于安装文件系统过滤驱动,实时感知系统中的进程及操作;
动态备份模块,用于当感知到有进程对系统中的文档进行改操作时,获取相应文档的路径信息,并动态将相应文档复制备份到指定目录下,同时将对相应文档的所有操作重定向到所述指定目录下的备份文档;
安全判定模块,用于动态监控所述进程对备份文档的操作行为,当感知到对备份文档的改操作完成时,挂起所述进程,同时检测备份文档的文件格式是否发生改变,若是则判断是否为用户授权操作,若不是用户授权操作,则关闭所述进程,并删除备份文档,若是用户授权操作,则放行进程,并将备份文档替换到原路径下;否则放行进程,并将备份文档替换到原路径下。
CN201710225322.XA 2017-04-07 2017-04-07 一种基于动态重定向的文档防护方法及系统 Active CN108073819B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710225322.XA CN108073819B (zh) 2017-04-07 2017-04-07 一种基于动态重定向的文档防护方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710225322.XA CN108073819B (zh) 2017-04-07 2017-04-07 一种基于动态重定向的文档防护方法及系统

Publications (2)

Publication Number Publication Date
CN108073819A CN108073819A (zh) 2018-05-25
CN108073819B true CN108073819B (zh) 2020-10-30

Family

ID=62159068

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710225322.XA Active CN108073819B (zh) 2017-04-07 2017-04-07 一种基于动态重定向的文档防护方法及系统

Country Status (1)

Country Link
CN (1) CN108073819B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111639338A (zh) * 2020-05-11 2020-09-08 珠海豹趣科技有限公司 一种文档备份方法及相关设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102043920A (zh) * 2010-12-29 2011-05-04 北京深思洛克软件技术股份有限公司 数据泄密防护系统中的公共文件的访问隔离方法
CN103150519A (zh) * 2013-03-28 2013-06-12 福建伊时代信息科技股份有限公司 一种终端文档防泄密的方法与终端
CN105760759A (zh) * 2015-12-08 2016-07-13 哈尔滨安天科技股份有限公司 一种基于进程监控的文档保护方法及系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5366480B2 (ja) * 2008-08-27 2013-12-11 株式会社日立製作所 計算機システム及びそのバックアップ方法
US20130263226A1 (en) * 2012-01-22 2013-10-03 Frank W. Sudia False Banking, Credit Card, and Ecommerce System
CN104281506B (zh) * 2014-07-10 2017-02-15 中国科学院计算技术研究所 一种文件系统的数据维护方法及系统
US9317526B1 (en) * 2014-11-11 2016-04-19 Sap Se Data protection compliant version control
CN105430314A (zh) * 2015-12-01 2016-03-23 浙江宇视科技有限公司 视频数据存储访问控制方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102043920A (zh) * 2010-12-29 2011-05-04 北京深思洛克软件技术股份有限公司 数据泄密防护系统中的公共文件的访问隔离方法
CN103150519A (zh) * 2013-03-28 2013-06-12 福建伊时代信息科技股份有限公司 一种终端文档防泄密的方法与终端
CN105760759A (zh) * 2015-12-08 2016-07-13 哈尔滨安天科技股份有限公司 一种基于进程监控的文档保护方法及系统

Also Published As

Publication number Publication date
CN108073819A (zh) 2018-05-25

Similar Documents

Publication Publication Date Title
EP3374922B1 (en) Systems and methods for protecting backed-up data from ransomware attacks
JP6789308B2 (ja) トリップワイヤファイルを生成するためのシステム及び方法
JP4048382B1 (ja) 情報処理システムおよびプログラム
JP4953247B2 (ja) 実時間コンピュータウィルス感染防止装置及びそのアップデート方法
US11601281B2 (en) Managing user profiles securely in a user environment
KR101828600B1 (ko) 상황 인식 기반의 랜섬웨어 탐지
US10783041B2 (en) Backup and recovery of data files using hard links
EP2803011B1 (en) Detection of invalid escrow keys
CN106971120A (zh) 一种实现文件保护的方法、装置和计算设备
KR20130093775A (ko) 시스템 파일 보호 및 복구를 위한 장치, 방법, 사용자 단말기 및 시스템
US11238157B2 (en) Efficient detection of ransomware attacks within a backup storage environment
CN106980797A (zh) 一种实现文件保护的方法、装置和计算设备
US9990493B2 (en) Data processing system security device and security method
JP2010097550A (ja) ウイルス防止プログラム、コンピュータに着脱可能な記憶装置、及びウイルス防止方法
CN108073819B (zh) 一种基于动态重定向的文档防护方法及系统
JP6256781B2 (ja) システムを保護するためのファイルセキュリティ用の管理装置
US8490208B2 (en) Method and device for detecting if a computer file has been copied and method and device for enabling such detection
KR101638257B1 (ko) 애플리케이션의 소스 코드 보호 방법 및 이를 수행하는 장치
CN105069382A (zh) 一种适用于普通u盘的安全应用系统
CN111488601B (zh) 一种防泄密处理的方法和装置
JP2008234539A (ja) 情報処理装置及びファイル処理方法並びにプログラム
CN104657679A (zh) 一种基于ntfs备选数据流存储文件hash的方法
US20090094459A1 (en) Method and system for associating one or more pestware-related indications with a file on a computer-readable storage medium of a computer
JP2009169868A (ja) 記憶領域アクセス装置及び記憶領域のアクセス方法
JP4120702B2 (ja) 情報処理システムおよびプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Applicant after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 150028, Harbin, Heilongjiang, Songbei Kun Road, No. 838, science and technology innovation city, building No. 7

Applicant before: Harbin Antiy Technology Co., Ltd.

GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Patentee after: Antan Technology Group Co.,Ltd.

Address before: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Patentee before: Harbin Antian Science and Technology Group Co.,Ltd.