CN110555306A - 一种自动控制进程访问服务器数据权限的系统和方法 - Google Patents

一种自动控制进程访问服务器数据权限的系统和方法 Download PDF

Info

Publication number
CN110555306A
CN110555306A CN201910821022.7A CN201910821022A CN110555306A CN 110555306 A CN110555306 A CN 110555306A CN 201910821022 A CN201910821022 A CN 201910821022A CN 110555306 A CN110555306 A CN 110555306A
Authority
CN
China
Prior art keywords
data
authority
module
access
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910821022.7A
Other languages
English (en)
Other versions
CN110555306B (zh
Inventor
鞠鑫
张冉冉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hui Shield Information Security Technology (suzhou) Ltd By Share Ltd
Original Assignee
Hui Shield Information Security Technology (suzhou) Ltd By Share Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hui Shield Information Security Technology (suzhou) Ltd By Share Ltd filed Critical Hui Shield Information Security Technology (suzhou) Ltd By Share Ltd
Priority to CN201910821022.7A priority Critical patent/CN110555306B/zh
Publication of CN110555306A publication Critical patent/CN110555306A/zh
Application granted granted Critical
Publication of CN110555306B publication Critical patent/CN110555306B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及一种自动控制进程访问服务器数据权限的系统和方法,由于虚拟货币和暗网的匿踪性,以及勒索病毒敛财模式的巨大经济利益诱惑,目前大多数黑客组织已经转向勒索病毒阵营,这就导致勒索病毒新型变种极多,从而导致目前基于特征库方式防护勒索病毒的方式大多不能取得很好的效果。通过文件过滤驱动技术,控制进程对业务服务器数据的访问权限方式成为目前能够有效防护勒索病毒的主流方式。进程对业务服务器上数据的访问权限需要进行严格管控,分三个步骤实现进程访问数据权限控制合理且准确。第一、进程访问数据权限自学习阶段,实时监控被保护数据的进程访问模型,并上报配置中心。第二、进程访问数据权限设定阶段,顾第一阶段学习模型设定进程访问控制策略,并下发各个业务服务器防护模块执行。第三、进程访问数据权限自动调整阶段,过程中出现超出已有访问模型的情况,根据数据诱饵技术佐证后,自动变更权限模型。

Description

一种自动控制进程访问服务器数据权限的系统和方法
技术领域
本发明涉及一种自动控制进程访问服务器数据权限的系统和方法,进程对业务服务器上数据的访问权限需要进行严格管控,分三个步骤实现进程访问数据权限控制合理且准确。第一、进程访问数据权限自学习阶段,实时监控被保护数据的进程访问模型,并上报配置中心。第二、进程访问数据权限设定阶段,顾第一阶段学习模型设定进程访问控制策略,并下发各个业务服务器防护模块执行。第三、进程访问数据权限自动调整阶段,过程中出现超出已有访问模型的情况,根据数据诱饵技术佐证后,自动变更权限模型。
缩略语及名词解释:
背景技术
勒索病毒,是一种新型电脑木马病毒,以攻击业务数据为手段,勒索虚拟货币为目的,主要以下载文件夹带,或透过网络系统的漏洞而进入受害者的电脑,利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。该类型病毒可以导致重要文件无法读取,关键数据被损坏,黑客以解密数据为条件勒索用户钱财。
由于虚拟货币和暗网的匿踪性,以及勒索病毒敛财模式的巨大经济利益诱惑,目前大多数黑客组织已经转向勒索病毒阵营,这就导致勒索病毒新型变种极多,从而导致目前基于特征库方式防护勒索病毒的方式大多不能取得很好的效果。通过文件过滤驱动技术,控制进程对业务服务器数据的访问权限方式成为目前能够有效防护勒索病毒的主流方式。
通过控制进程访问服务器数据权限方式存在一个很大的挑战,那就是访问权限该如何更加快速、安全、正确的配置到防护体系中。不然如果访问权限配置一旦出错,可能会导致业务中断,干扰用户正常业务的开展。更有甚者,可能把病毒程序也赋予了权限,则防护效果全无。
发明内容:
本发明提出一种自动控制进程访问服务器数据权限的系统和方法,鉴于通过文件过滤驱动技术控制进程对数据的访问权限成为当前对勒索病毒最有效的防护手段之一,本发明通过三个步骤让勒索病毒防护系统自动完成服务器上进程访问数据权限模型设定,并且能够在运行过程中自动调整,让该过程既方便又准确,从而更好的从数据层面防护勒索病毒。
本发明所述的自动控制进程访问服务器数据权限的系统,可从三个步骤分别进行工作。
1、在业务服务器上部署完防勒索安全软件之后,启动学习模式,利用文件过滤驱动技术学习所有被保护目录的进程访问行为并上报配置中心;
2、学习一段时间后(默认7天,可配置),配置中心将学习到的进程访问被保护目录的行为自动生成为访问权限模型,并将该模型下发到防勒索安全软件,使用该权限模型启动防护模式;
3、防护模式启动后,学习模式仍然在继续工作,同时在服务器硬盘各个勒索病毒高概率第一时间访问的位置放置诱饵文件,如果超出既定权限模型的进程访问被保护目录,则结合其是否访问了诱饵文件,如该进程先访问了诱饵文件,则向告警中心告警,并拒绝添加其进入权限模型,如该进程未访问诱饵文件,则自动添加其进入权限模型。
图1为本发明所述的一种自动控制进程访问服务器数据权限的系统示意图,该系统包括文件过滤驱动模块、权限模型学习模块、数据诱饵模块、权限模型管理模块、配置中心、告警中心。
文件过滤驱动模块:在操作系统内核驱动层面接管操作系统所有文件的读写操作。学习模式下:根据配置中心人为配置的保护目录和数据诱饵目录生成访问行为全量数据,并传递给权限模型学习模块进行分析学习。防护模式下:根据配置中心下发的防护配置,自动阻断非法程序访问被保护目录及其文件,同时上报告警到告警模块。
权限模型学习模块:接收文件过滤驱动模块和数据诱饵模块传递的进程访问被保护目录的全量行为数据,进行分析和学习。学习模式下:经过默认配置学习时间(默认7天,可配置)后,生成最终的进程访问数据的权限模型,并上报给配置中心。防护模式下:根据既定模型和文件过滤驱动模块与数据诱饵模块传递的超出模型范围的进程访问被保护数据行为,如该进程先访问了数据诱饵,则通过权限模型管理模块上报给告警中心进行告警,否则直接自动将该进程添加进既有的权限模型中并实时生效。
数据诱饵模块:在服务器硬盘各个勒索病毒高概率第一时间访问的位置放置诱饵文件,根据文件过滤驱动实时监控情况判断是否为疑似勒索病毒,并将此结果通知权限模型学习模块。
权限模型管理模块:作为系统的中转中枢,分发和传递各个模块之间的信息。
配置中心:部署于业务服务器之外的独立软件,提供配置和展示页面,作为多台服务器配置的中心,统筹管理各个服务器的配置。
告警中心:部署于业务服务器之外的独立软件,提供告警展示。
本发明还提供一种自动控制进程访问服务器数据权限的方法,它采用本发明的文件过滤驱动模块实时收集进程访问被保护目录的行为,在学习模式下,通过权限模型学习模块自动生成进程访问被保护目录的权限模型,并通过上传下达给文件过滤驱动模块启动防护模式。在防护模式下,权限模型学习模块通过分析文件过滤驱动模块发现的超出范围的访问进程和数据诱饵检测的情况确定是否将新进程加入既定权限模型中或者上报告警中心告警。
附图说明
图1为本发明所述的一种自动控制进程访问服务器数据权限的系统示意图。
具体实施方式:
包括防勒索病毒安全软件、防勒索病毒安全管控硬件设备,通过软硬件联动的方式实现服务器勒索病毒的安全保护。
防勒索病毒安全软件安装在服务器上,随着服务器启动时自动启动;其初始配置或安全策略调整由防勒索病毒安全管控硬件设备统一管理;该软件包含上文中提到的四个模块:文件过滤驱动模块、权限模型学习模块、数据诱饵模块、权限模型管理模块。
防勒索病毒安全管控硬件设备是嵌入式硬件设备,采取核心交换机旁路部署方式,实现防勒索病毒安全软件进行策略管理和自动下发、日志采集、已知和未知勒索病毒检测、勒索病毒攻击网络流量检测与阻断。该硬件包含上文中提到两个模块:配置中心、告警中心。

Claims (6)

1.本发明涉及一种自动控制进程访问服务器数据权限的系统和方法,其特征在于通过服务器上部署防勒索安全软件自动学习业务进程访问权限,并生成准确的勒索病毒防护策略模型,同时支持防护过程中防护策略模型自动学习以适应业务的调整,包含文件过滤驱动模块、权限模型学习模块、数据诱饵模块、权限模型管理模块、配置中心、告警中心。其中:
A.文件过滤驱动模块,监视和控制所有进程对操作系统文件的读写操作,将所有进程对被保护目录操作行为传递给权限模型学习模块;
B.权限模型学习模块,学习模式下:通过对各个进程对被保护目录操作行为的分析和学习,形成权限模型,并传递给权限模型管理模块;防护模式下:继续学习新的进程访问行为,并结合数据诱饵模块的分析结果,自动更新权限模型;
C.数据诱饵模块,在服务器硬盘各个勒索病毒高概率第一时间访问的位置放置诱饵文件,根据文件过滤驱动实时监控情况判断是否为疑似勒索病毒,并将此结果通知权限模型学习模块;
D.权限模型管理模块,中转和分发上下游模块的信息;
E.配置中心,作为多台服务器配置的中心,统筹管理各个服务器的配置;
F.告警中心,接受告警并可视化展示。
2.如权利要求1所述的自动控制进程访问服务器数据权限的系统,其特征在于,该系统的文件过滤驱动模块、权限模型学习模块、数据诱饵模块、权限模型管理模块部署于服务器操作系统内,配置中心、告警中心部署于独立的硬件。
3.如权利要求1所述的自动控制进程访问服务器数据权限的系统,其特征在于,文件过滤驱动模块:在操作系统内核驱动层面接管操作系统所有文件的读写操作。学习模式下:根据配置中心人为配置的保护目录和数据诱饵目录生成访问行为全量数据,并传递给权限模型学习模块进行分析学习。防护模式下:根据配置中心下发的防护配置,自动阻断非法程序访问被保护目录及其文件,同时上报告警到告警模块。
4.如权利要求1所述的自动控制进程访问服务器数据权限的系统,其特征在于,权限模型学习模块:接收文件过滤驱动模块和数据诱饵模块传递的进程访问被保护目录的全量行为数据,进行分析和学习。学习模式下:经过默认配置学习时间(默认7天,可配置)后,生成最终的进程访问数据的权限模型,并上报给配置中心。防护模式下:根据既定模型和文件过滤驱动模块与数据诱饵模块传递的超出模型范围的进程访问被保护数据行为,如该进程先访问了数据诱饵,则通过权限模型管理模块上报给告警中心进行告警,否则直接自动将该进程添加进既有的权限模型中并实时生效。
5.如权利要求1所述的自动控制进程访问服务器数据权限的系统,其特征在于,数据诱饵模块:在服务器硬盘各个勒索病毒高概率第一时间访问的位置放置诱饵文件,根据文件过滤驱动实时监控情况判断是否为疑似勒索病毒,并将此结果通知权限模型学习模块。
6.一种自动控制进程访问服务器数据权限的方法,其特征在于采用权利要求1-5任一所述之自动控制进程访问服务器数据权限的系统,它采用本发明的文件过滤驱动模块实时收集进程访问被保护目录的行为,在学习模式下,通过权限模型学习模块自动生成进程访问被保护目录的权限模型,并通过上传下达给文件过滤驱动模块启动防护模式。在防护模式下,权限模型学习模块通过分析文件过滤驱动模块发现的超出范围的访问进程和数据诱饵检测的情况确定是否将新进程加入既定权限模型中或者上报告警中心告警。
CN201910821022.7A 2019-09-02 2019-09-02 一种自动控制进程访问服务器数据权限的系统和方法 Active CN110555306B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910821022.7A CN110555306B (zh) 2019-09-02 2019-09-02 一种自动控制进程访问服务器数据权限的系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910821022.7A CN110555306B (zh) 2019-09-02 2019-09-02 一种自动控制进程访问服务器数据权限的系统和方法

Publications (2)

Publication Number Publication Date
CN110555306A true CN110555306A (zh) 2019-12-10
CN110555306B CN110555306B (zh) 2024-02-06

Family

ID=68738677

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910821022.7A Active CN110555306B (zh) 2019-09-02 2019-09-02 一种自动控制进程访问服务器数据权限的系统和方法

Country Status (1)

Country Link
CN (1) CN110555306B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112817833A (zh) * 2021-01-20 2021-05-18 中国银联股份有限公司 一种监测数据库的方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106951781A (zh) * 2017-03-22 2017-07-14 福建平实科技有限公司 勒索软件防御方法和装置
CN108616510A (zh) * 2018-03-24 2018-10-02 张瑜 一种基于数字免疫的隐遁勒索病毒检测技术
WO2019039730A1 (ko) * 2017-08-23 2019-02-28 주식회사 수산아이앤티 랜섬웨어 방지 장치 및 방법
CN109766691A (zh) * 2018-12-20 2019-05-17 广东电网有限责任公司 一种勒索病毒监控方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106951781A (zh) * 2017-03-22 2017-07-14 福建平实科技有限公司 勒索软件防御方法和装置
WO2019039730A1 (ko) * 2017-08-23 2019-02-28 주식회사 수산아이앤티 랜섬웨어 방지 장치 및 방법
CN108616510A (zh) * 2018-03-24 2018-10-02 张瑜 一种基于数字免疫的隐遁勒索病毒检测技术
CN109766691A (zh) * 2018-12-20 2019-05-17 广东电网有限责任公司 一种勒索病毒监控方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112817833A (zh) * 2021-01-20 2021-05-18 中国银联股份有限公司 一种监测数据库的方法及装置

Also Published As

Publication number Publication date
CN110555306B (zh) 2024-02-06

Similar Documents

Publication Publication Date Title
CN110691064B (zh) 一种现场作业终端安全接入防护和检测系统
RU2714607C2 (ru) Двукратная самодиагностика памяти для защиты множества сетевых конечных точек
US10454950B1 (en) Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
EP3486824B1 (en) Determine malware using firmware
CN111277539B (zh) 一种服务器勒索病毒防护系统和方法
US9213836B2 (en) System and method for comprehensive general electric protection for computers against malicious programs that may steal information and/or cause damages
EP1834439B1 (en) Methods and apparatus providing security to computer systems and networks
CN114978584A (zh) 基于单位单元的网络安全防护安全方法及系统
WO2018187533A1 (en) System and method for blocking ransomware infections
US20060026683A1 (en) Intrusion protection system and method
Firoozjaei et al. An evaluation framework for industrial control system cyber incidents
CN105409164A (zh) 通过使用硬件资源来检测网络业务中的矛盾的根套件检测
US10839703B2 (en) Proactive network security assessment based on benign variants of known threats
CN109088848A (zh) 一种智能网联汽车信息安全保护方法
WO2013090314A1 (en) Secure operating system/web server systems and methods
WO2023159994A1 (zh) 一种运维处理方法和终端设备
CN114003943A (zh) 一种用于机房托管管理的安全双控管理平台
CN114418263A (zh) 一种用于火电厂电力监控装置的防御系统
CN110688653A (zh) 客户端的安全防护方法及装置、终端设备
CN115314286A (zh) 一种安全保障系统
CN110555306A (zh) 一种自动控制进程访问服务器数据权限的系统和方法
CN111131168A (zh) 基于Web应用的自适应防护方法
CN108965305A (zh) 一种互联网安全监控系统及其监控方法
CN117708880A (zh) 一种银行业务数据智能安全处理方法及系统
CN114844676B (zh) 一种电力监控系统网络安全威胁应急处置系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant