CN110457948A - 一种基于存储指令随机化的动态数据防护方法及系统 - Google Patents
一种基于存储指令随机化的动态数据防护方法及系统 Download PDFInfo
- Publication number
- CN110457948A CN110457948A CN201910745955.2A CN201910745955A CN110457948A CN 110457948 A CN110457948 A CN 110457948A CN 201910745955 A CN201910745955 A CN 201910745955A CN 110457948 A CN110457948 A CN 110457948A
- Authority
- CN
- China
- Prior art keywords
- data
- dynamic
- module
- user
- defence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000033001 locomotion Effects 0.000 claims abstract description 13
- 230000008859 change Effects 0.000 claims abstract description 9
- 238000012217 deletion Methods 0.000 claims abstract description 8
- 230000037430 deletion Effects 0.000 claims abstract description 8
- 238000010008 shearing Methods 0.000 claims abstract description 8
- 230000006870 function Effects 0.000 claims description 6
- 238000011112 process operation Methods 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 3
- 230000008439 repair process Effects 0.000 claims description 3
- 238000012546 transfer Methods 0.000 claims description 3
- 230000006399 behavior Effects 0.000 claims description 2
- 238000000034 method Methods 0.000 abstract description 8
- 238000005194 fractionation Methods 0.000 abstract description 2
- 230000003068 static effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000003053 immunization Effects 0.000 description 1
- 238000002649 immunization Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于存储指令随机化的动态数据防护方法和系统,主要步骤包括数据拆分模块对一个文件、一个存储实体进行拆分,形成独立可控制的数据块,动态指令模块对数据的读、写、打开、关闭、复制、删除、剪切、移动等指令进行修改,数据混淆模块根据参数执行包括如下几方面的变换操作:将数据变大、将数据变小、对原数据进行欺骗。本发明能够实现数据的多样性和动态性,改变数据静态、被动防御的弱点,通过不断变化的数据攻击面,增加数据的不确定性,提高攻击成本和代价,保护数据安全。该方法和系统不改变用户习惯,具有操作透明性的优点。
Description
技术领域
本发明涉及一种动态数据防护方法及系统,具体涉及一种存储指令随机化的动态数据防护方法及系统,属于信息安全领域。
背景技术
数据成为国家、企业和组织的核心资产,具有巨大的价值。随着各种数据信息的爆发式增长,数据安全的重要性也会日益凸显。窃取数据也成为很多攻击、渗透的最终目标,数据安全事件也呈现愈演愈烈的态势。2016年,Uber遭黑客攻击并导致5700万名用户数据被泄露,其中包括司机的姓名和驾照号码以及用户的姓名、邮箱和手机号。2017年,美国电信公司Verizon的一台用于存储用户个人数据的云服务器因配置错误而在线暴露,1400万Verizon用户的个人信息遭到泄露,包括姓名、电话号码和账号密码; reddit论坛的一根数据文件在暗网中被公开交易,数据包含了14亿用户的用户名和密码,这些泄露的用户名和密码可能导致用户的账号被窃取,账号内的个人信息与资产也受到威胁。2018年,Facebook平台上8700万名用户的数据早到泄露;国内华住旗下1.3亿名酒店入住用户数据包在暗网公开销售。
特别是在云计算、大数据等新技术、新平台下,数据安全、隐私安全乃至平台数据本身等均面临新威胁与新风险,数据安全保障面临严峻挑战。
传统的数据安全技术分为两种方案:访问控制隔离和加密。对数据进行隔离存储,并对用户进行身份认证和访问控制。加密也是进行数据安全防护的重要方法,在存储备份或非授权情况下,数据被加密算法加密为不可读的密文,当用户拿到合法授权、获取密钥时再对数据进行解密处理。然而,以上被动防御的方法存在越来越明显的局限性。首先,无论是隔离控制还是加密,数据都是静态的,不单攻击者冲破防御关卡,得到的数据是确定的、真实的、唯一的。其次,访问控制系统、加密系统都无法应对零日漏洞、未知攻击、内部攻击,攻击者有足够的时间来寻找漏洞、等待时机进行入侵获取数据。
有鉴于此,如何改变数据的静态防御、被动防御是进行数据安全防护的重要技术方向。通过增加数据的多样性、进行数据攻击面的动态转换、构造数据混淆和欺骗,能够有效地提高攻击的难度和成本,大大提升数据的不确定性。特别是对于APT攻击、零日漏洞、未知攻击等高级威胁,只有通过数据自身的动态性才能获得更好的安全免疫,防御策略不依赖于攻击特征和静态规则,实现数据的主动防御。
发明内容
有鉴于此,本发明公开了一种基于存储指令随机化的动态数据防护方法和系统,主要步骤包括数据拆分模块对一个文件、一个存储实体进行拆分,形成独立可控制的数据块,动态指令模块对数据的读、写、打开、关闭、复制、删除、剪切、移动等指令进行修改,数据混淆模块根据参数执行包括如下几方面的变换操作:将数据变大、将数据变小、 对原数据进行欺骗。本发明能够实现数据的多样性和动态性,改变数据静态、被动防御的弱点,通过不断变化的数据攻击面,增加数据的不确定性,提高攻击成本和代价,保护数据安全。该方法和系统不改变用户习惯,具有操作透明性的优点。
本发明的技术方案如下:一种基于存储指令随即化的动态数据防护方法,其步骤包括:
1)数据拆分模块对完整文件存储块进行切分;
2)数据混淆模块对存储块及子块进行地址置换;
3)动态指令模块执行动态防御安全策略对文件操作指令进行替换;
4)动态防御存储驱动模块截获用户对数据的操作动作。
更进一步,所述数据拆分模块对一个文件、一个存储实体进行拆分,形成独立可控制的数据块。
更进一步,所述数据混淆模块根据参数执行包括如下几方面的变换操作:
(a)从数据分块集合中抽取部分分块子集形成小文件;
(b)在数据分块集合中间加上随机数据形成大文件;
(c)将原始数据地址迁移指向随机化数据块。
更进一步,所述动态指令模块对数据的读、写、打开、关闭、复制、删除、剪切、移动等指令进行修改。
更进一步,所述动态防御存储驱动模块获取用户对数据的原始请求,并将动态处理后的数据返回给用户。
本发明还提出一种基于存储指令随机化的动态数据防护系统,包括动态防御存储驱动模块,数据拆分模块、数据混淆模块、动态指令模块,
所述动态防御存储驱动模块截获用户对数据的操作动作,并将动态处理后的数据返回给用户;
所述数据拆分模块对一个文件、一个存储实体进行拆分,形成独立可控制的数据块;
所述动态指令模块对数据的读、写、打开、关闭、复制、删除、剪切、移动等指令进行修改;
所述数据混淆模块根据参数执行包括如下几方面的变换操作:将数据变大、将数据变小、 对原数据进行欺骗;
防护系统根据用户的角色和权限不同,制定不同的动态安全策略,存储驱动屏蔽用户对数据操作过程中的动态安全替换行为,达到数据安全透明化。
本发明的有益效果是:
本发明提供了一种基于存储指令随机化的动态数据防护方法及系统,通过动态化转换数据操作指令和存储格式,实现数据的变大、变小、变真变假,构造数据混淆和欺骗,增加了数据的多样性。通过不断转换数据的攻击面,获得数据安全免疫,不依赖于攻击特征和静态规则,实现数据的主动防御。该方法能够有效地提高数据攻击的难度和成本,大大提升数据的不确定性,提高对零日漏洞和未知攻击的抵御能力。
附图说明
附图1是本发明基于存储指令随机化的动态数据防护系统的架构示意图。
附图2是本发明动态数据防护方法的数据多样性示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步描述。
本发明的一实施例中公开的基于存储指令随机化的动态数据防护系统,其步骤为:
1)数据拆分模块对一个文件、一个存储实体进行拆分,形成独立可控制的数据块;
2)数据混淆模块根据参数执行数据变大、数据变小、数据内容欺骗等几方面的变换操作;
3)动态指令模块对数据的读、写、打开、关闭、复制、删除、剪切、移动等指令进行修改;
4)动态防御存储驱动模块获取用户对数据的原始请求,并将动态处理后的数据返回给用户。
以下通过具体的例子对附图中基于存储指令随机化的动态数据防护方法及系统进行进一步的说明。
如附图1所示,一种基于存储指令随机化的动态数据防护系统,包括动态防御存储驱动模块,数据拆分模块、数据混淆模块、动态指令模块,
所述动态防御存储驱动模块截获用户对数据的操作动作,并将动态处理后的数据返回给用户;
所述数据拆分模块对一个文件、一个存储实体进行拆分,形成独立可控制的数据块;
所述动态指令模块对数据的读、写、打开、关闭、复制、删除、剪切、移动等指令进行修改;
所述数据混淆模块根据参数执行包括如下几方面的变换操作:将数据变大、将数据变小、 对原数据进行欺骗;
防护系统根据用户的角色和权限不同,制定不同的动态安全策略,存储驱动屏蔽用户对数据操作过程中的动态安全替换行为,达到数据安全透明化。。
如附图2所示,一种基于存储指令随机化的动态数据防护系统,其所述数据多样性的实现方法,步骤如下:
1、从数据分块集合中抽取部分分块子集形成小文件,也即将数据变小;
2、在数据分块集合中间加上随机数据形成大文件,也即将数据变大;
3、将原始数据地址迁移指向随机化数据块,也即对数据进行混淆和欺骗;
4、在用户进行数据操作请求时,安全策略根据用户的角色和权限不同,制定动态的访问指令指向不同的数据,用户对数据操作过程中的动态安全替换无感知,实现透明安全操作。
以上所述本发明的具体实施方式目的是为了更好地理解本发明的使用,并不构成对本发明保护范围的限定。任何在本发明的精神和原则实质之内所做的修改、变形和等同替换等,都应属于本发明的权利要求的保护范围之内。
Claims (7)
1.一种基于存储指令随即化的动态数据防护方法,其步骤包括:
1)数据拆分模块对完整文件存储块进行切分;
2)数据混淆模块对存储块及子块进行地址置换;
3)动态指令模块执行动态防御安全策略对文件操作指令进行替换;
4)动态防御存储驱动模块截获用户对数据的操作动作。
2.如权利要求1所述的基于存储指令随即化的动态数据防护方法,其特征在于,所述数据拆分模块对一个文件、一个存储实体进行拆分,形成独立可控制的数据块。
3.如权利要求1和2所述的基于存储指令随即化的动态数据防护方法,其特征在于,所述数据混淆模块根据参数执行包括如下几方面的变换操作:
1)从数据分块集合中抽取部分分块子集形成小文件;
2)在数据分块集合中间加上随机数据形成大文件;
3)将原始数据地址迁移指向随机化数据块。
4.如权利要求1所述的基于存储指令随即化的动态数据防护方法,其特征在于,所述动态指令模块对数据的读、写、打开、关闭、复制、删除、剪切、移动等指令进行修改。
5.如权利要求1所述的基于存储指令随即化的动态数据防护方法,其特征在于,所述动态防御存储驱动模块获取用户对数据的原始请求,并将动态处理后的数据返回给用户。
6.如权利要求4或5所述的基于存储指令随即化的动态数据防护方法,其特征在于,所述的动态数据防护方法对原始操作行为是透明的,根据用户的角色和权限不同,动态安全策略也不同,用户对数据操作过程中的动态安全替换无感知。
7.一种基于存储指令随机化的动态数据防护系统,包括动态防御存储驱动模块,数据拆分模块、数据混淆模块、动态指令模块,
所述动态防御存储驱动模块截获用户对数据的操作动作,并将动态处理后的数据返回给用户;
所述数据拆分模块对一个文件、一个存储实体进行拆分,形成独立可控制的数据块;
所述动态指令模块对数据的读、写、打开、关闭、复制、删除、剪切、移动等指令进行修改;
所述数据混淆模块根据参数执行包括如下几方面的变换操作:将数据变大、将数据变小、 对原数据进行欺骗;
防护系统根据用户的角色和权限不同,制定不同的动态安全策略,存储驱动屏蔽用户对数据操作过程中的动态安全替换行为,达到数据安全透明化。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910745955.2A CN110457948A (zh) | 2019-08-13 | 2019-08-13 | 一种基于存储指令随机化的动态数据防护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910745955.2A CN110457948A (zh) | 2019-08-13 | 2019-08-13 | 一种基于存储指令随机化的动态数据防护方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110457948A true CN110457948A (zh) | 2019-11-15 |
Family
ID=68486304
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910745955.2A Pending CN110457948A (zh) | 2019-08-13 | 2019-08-13 | 一种基于存储指令随机化的动态数据防护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110457948A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111130781A (zh) * | 2020-03-17 | 2020-05-08 | 中科天御(苏州)科技有限公司 | 一种车联网通信控制主动安全防御方法及装置 |
| CN111797388A (zh) * | 2020-06-12 | 2020-10-20 | 武汉大学 | 基于运行时随机化的JavaScript引擎内存信息泄露防御方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105141641A (zh) * | 2015-10-14 | 2015-12-09 | 武汉大学 | 一种基于SDN的Chaos移动目标防御方法及系统 |
| CN105303123A (zh) * | 2015-11-02 | 2016-02-03 | 山东大学 | 一种基于分块混淆的动态数据隐私保护系统及方法 |
| US20160299765A1 (en) * | 2015-04-07 | 2016-10-13 | Kaprica Security, Inc. | System and Method of Obfuscation Through Binary and Memory Diversity |
| CN106096338A (zh) * | 2016-06-07 | 2016-11-09 | 西北大学 | 一种具有数据流混淆的虚拟化软件保护方法 |
| CN107392014A (zh) * | 2017-06-23 | 2017-11-24 | 复旦大学 | 基于数据库结构随机变化的sql注入防御方法和系统 |
| CN110032862A (zh) * | 2019-04-01 | 2019-07-19 | 中科天御(苏州)科技有限公司 | 一种防撞库攻击的数据动态防护方法及装置 |
-
2019
- 2019-08-13 CN CN201910745955.2A patent/CN110457948A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160299765A1 (en) * | 2015-04-07 | 2016-10-13 | Kaprica Security, Inc. | System and Method of Obfuscation Through Binary and Memory Diversity |
| CN105141641A (zh) * | 2015-10-14 | 2015-12-09 | 武汉大学 | 一种基于SDN的Chaos移动目标防御方法及系统 |
| CN105303123A (zh) * | 2015-11-02 | 2016-02-03 | 山东大学 | 一种基于分块混淆的动态数据隐私保护系统及方法 |
| CN106096338A (zh) * | 2016-06-07 | 2016-11-09 | 西北大学 | 一种具有数据流混淆的虚拟化软件保护方法 |
| CN107392014A (zh) * | 2017-06-23 | 2017-11-24 | 复旦大学 | 基于数据库结构随机变化的sql注入防御方法和系统 |
| CN110032862A (zh) * | 2019-04-01 | 2019-07-19 | 中科天御(苏州)科技有限公司 | 一种防撞库攻击的数据动态防护方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111130781A (zh) * | 2020-03-17 | 2020-05-08 | 中科天御(苏州)科技有限公司 | 一种车联网通信控制主动安全防御方法及装置 |
| CN111797388A (zh) * | 2020-06-12 | 2020-10-20 | 武汉大学 | 基于运行时随机化的JavaScript引擎内存信息泄露防御方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8060756B2 (en) | Data security and digital rights management system | |
| CN101120352B (zh) | 用于保护存储在存储设备中的数据的方法和设备 | |
| KR100734145B1 (ko) | 키보드 데이터 인증을 이용한 키 입력 도용 방지 방법 | |
| CN101120355B (zh) | 用于控制在存储器装置中存取的方法 | |
| KR100926631B1 (ko) | 데이터 보안장치 | |
| CN101819612A (zh) | 具有分区的通用内容控制 | |
| CN116362747A (zh) | 一种区块链数字签名系统 | |
| CN103138927A (zh) | 一种用于指纹认证的加密存储设备中密钥控制方法 | |
| CN110457948A (zh) | 一种基于存储指令随机化的动态数据防护方法及系统 | |
| Gangwar et al. | A survey on emerging cyber crimes and their impact worldwide | |
| Ghorbanzadeh et al. | A survey of mobile database security threats and solutions for it | |
| Garigipati et al. | A study on data security and query privacy in cloud | |
| KR101404537B1 (ko) | 패스워드 자동 변경을 통한 서버 접근 통제 시스템 및 그 방법 | |
| Bindu Madavi et al. | Decoy technique for preserving the privacy in fog computing | |
| Akpan et al. | Leveraging on Cyber Security for Digital Economy: Analysis of Emerging Cyber Security Threats and Attacks | |
| US11343279B2 (en) | System and methods for developing secure platform to deliver end-to-end protection and safety for transactions using multi-dimensional, multi-layered security control | |
| Gies et al. | Restricting Data Sharing and Collection of Facial Recognition Data by the Consent of the User: A Systems Analysis | |
| CN105828323A (zh) | 一种Android手机公共数据库隐私保护方法及系统 | |
| Kaur et al. | Exploring the Potential of Blockchain Technology in Enhancing Security of smart systems | |
| Tchao et al. | SmartContent: A self-protecting and context-aware active content | |
| Priyanka et al. | A hybrid encryption method handling big data vulnerabilities | |
| Wang et al. | Internet of vehicles based on TrustZone and optimized RSA | |
| Chen et al. | Research on Internet of Things information security based on blockchain | |
| Mishra et al. | Identity Theft, Malware, and Social Engineering in Dealing with Cybercrime | |
| Eneh et al. | Cybersecurity Strategy to Curb Data Insecurity and DDoS Attacks on e-government for National Development |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20191115 |
|
| WD01 | Invention patent application deemed withdrawn after publication |