CN111914275A - 一种文件防泄漏监控方法 - Google Patents
一种文件防泄漏监控方法 Download PDFInfo
- Publication number
- CN111914275A CN111914275A CN202010778416.1A CN202010778416A CN111914275A CN 111914275 A CN111914275 A CN 111914275A CN 202010778416 A CN202010778416 A CN 202010778416A CN 111914275 A CN111914275 A CN 111914275A
- Authority
- CN
- China
- Prior art keywords
- file
- program
- module
- information
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 48
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000001012 protector Effects 0.000 claims abstract description 46
- 230000002265 prevention Effects 0.000 claims abstract description 17
- 230000003014 reinforcing effect Effects 0.000 claims abstract description 17
- 238000001514 detection method Methods 0.000 claims abstract description 15
- 238000000605 extraction Methods 0.000 claims abstract description 7
- 230000008569 process Effects 0.000 claims description 24
- 230000002787 reinforcement Effects 0.000 claims description 14
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 12
- 230000006855 networking Effects 0.000 claims description 12
- 230000006378 damage Effects 0.000 claims description 8
- 241000700605 Viruses Species 0.000 claims description 6
- 229910002056 binary alloy Inorganic materials 0.000 claims description 6
- 230000000007 visual effect Effects 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 4
- 230000002427 irreversible effect Effects 0.000 claims description 4
- 230000003287 optical effect Effects 0.000 claims description 4
- 238000013500 data storage Methods 0.000 claims description 3
- 238000004806 packaging method and process Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 230000007123 defense Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
- G06F16/162—Delete operations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/556—Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Human Computer Interaction (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种文件防泄漏监控方法,通过包括:文件防泄漏监控模块、文件主动攻击模块、文件加固保护模块、文件刻录模块和远程控制模块构建的文件防泄漏监控系统实现;文件防泄漏监控模块实现主机环境检测及信息取证,文件主动攻击模块实现对主机的攻击,并生成保护者程序,文件加固保护模块实现文件信息特征提取并对文件的加固保护,文件刻录模块实现对加固文件的刻录,文件防泄漏监控模块对文件进行实时监控,远程控制模块控制窃密主机存储取证信息并发起主动攻击。本方法解决了现阶段企业无法检测文件是否泄漏的难题,并对文件形成稳健保护及现阶段安全防护普遍存在的检测滞后性、检测不全面和报警定位难的问题。
Description
技术领域
本发明涉及一种数据泄露防护方法,特别是一种文件防泄漏监控方法。
背景技术
随着企业信息化建设的发展,企业生产经营的各种资料、数据80%以上都是以电子文档和数据的形式保存。这些信息包含了企业的核心生产技术、经营成本信息、日常生产数据等各方面的数据,对可靠性、保密性要求很高,如果发生数据丢失或泄密,将会给企业的生产经营活动造成无法估计的后果,进而造成巨大的利益损害。从2006年开始,基于防止外部入侵窃密和内部无意泄密的需求,关于数据泄露防护DLP的技术和产品,成为信息安全领域的研究重点。2008年6月,趋势科技推出数据外泄管理系统LeakProof 3.0;同年10月,赛门铁克宣布推出数据丢失防护解决方案9.0版DLP 9.0,旨在帮助企业和组织增强发现、监测和保护机密信息的能力;2009年9月,Websense发布新版数据外泄防护DLP产品DataSecurity Suite,加入了端点控管,也就是防止数据从USB等管道外泄。国内信息安全厂商并不落于下风,北京亿赛通于2008年发布了全新的数据泄露防护体系,采用分域安全理论,将网络分为终端、端口、磁盘、服务器和局域网五大安全域,形成终端文档加解密、端口管理、全磁盘加密、文档安全网关、安全U盘、安全移动硬盘等一系列DLP产品,构建整体一致的立体化DLP解决方案。国外DLP核心技术在于:内容识别分类、输出内容监控、敏感信息阻截、审计、移动设备管理。这些功能对于内部无意间泄密基本上是满足需求的,但是对于外部入侵防护的效果相当有限,内容识别分类、尤其是针对非结构化数据的分类始终是DLP产品的核心功能和缺陷。其中,对于内部有意带走资料,是无法防范的。同时,国内各种管理制度不完善,内部人员无意间失密的概率也比较大。而国内DLP产品正是基于国内环境而设计,主要以透明加密为核心,能有效防止内外泄密。国内一些保密单位,因为保密规定,严格限制企业内外的信息交互,往往以光盘为传输介质,国内现有的DLP产品并不能很好的适应这种实际环境,如何从根源上检测文件是否泄露,并对文件形成稳健的保护,成为保密企业领域内的研究重点;另外,现阶段的安全检测设备或产品都具有检测滞后性、检测不全面、报警定位难等问题,在检测防御之外,缺少行之有效的反击功能,导致现在信息系统的安全防护相对被动,这种被动局面亟需改变。
发明内容
本发明目的在于提供一种文件防泄漏监控方法,解决现阶段安全防护技术普遍存在的检测滞后性、检测不全面和报警定位难的问题。
一种文件防泄漏监控方法的具体步骤为:
第一步 构建文件防泄漏监控系统
文件防泄漏监控系统,包括:文件防泄漏监控模块、文件主动攻击模块、文件加固保护模块、文件刻录模块和远程控制模块。
文件防泄漏监控模块功能为:检测终端主机环境是否安全,完成终端主机信息取证,并能够实现文件销毁。
文件主动攻击模块功能为:传递窃密者的特征信息到远端服务器,控制终端主机发起主动攻击,与文件防泄漏监控模块结合生成保护者程序。
文件加固保护模块功能为:完成信息特征的提取,实现文件的加密保护添加到保护者程序的资源段中生成加固文件,释放加密保护的文件。
文件刻录模块功能为:调用文件加固保护模块生成安全加固文件,设计友好性可视化刻录界面进行文件刻录。
远程控制模块功能为:互联网中搭建后台控制管理程序,用于接收文件信息和终端机特征信息,对泄密终端机进行远程控制。
第二步 文件防泄漏监控模块实现主机环境检测及信息取证
文件防泄漏监控模块检测终端主机环境是否安全,检测主机是否具备联网环境;当为联网状态时,则删除文件;否则,获取当前时刻设备正在运行的进程,判断分级保护要求的相关进程是否在其中,当包含分级保护进程时,则说明处于分级保护状态,环境安全,打开相应的文档;否则,环境不安全,则删除文件。
主机信息取证,将fileinfo二进制文件解密,获取单位ID,刻录时间和文件名相关内容;利用WMI读取设备信息,以此来标识终端主机。
文件读取及删除,将ENCODEFILE二进制文件解密,获取文档内容并写入临时文件夹下的文件中,文件名同当前文件名,文件后缀由fileinfo中内容确定,利用默认程序打开文件,关闭文件时则删除相关的临时文件;当设备不满足分级保护条件时,程序会生成一个脚本文件并运行,其功能为删除当前文件及脚本文件本身。
第三步 文件主动攻击模块实现对主机的攻击,并生成保护者程序
文件主动攻击模块将窃密者的特征信息传输到远端服务器中完成信息传递,通过安装特定木马程序、反弹shell和留取程序后门的方式控制终端主机,通过修改特征码和加壳的手段达到木马免杀,并通过对硬盘全盘数据进行不可逆加密方式进行数据销毁,最后,与文件防泄漏监控程序结合生成保护者程序。
第四步 文件加固保护模块实现文件信息特征提取并对文件的加固保护
文件加固保护模块读取文件时,获取刻录人信息和文件信息,根据文件生成其hash值,并写入特征信息文件,实现信息特征的提取;建立全局结构体,存储文件特征信息存储位置、文件数据存储位置和文件类型的数据,对包含特征信息的文件进行加密,将加密后的文件以二进制的形式写入到程序的数据段中,循环地以二进制的形式读取指定直接大小字节的待刻录文件、对数据加密和将加密后的数据写入到程序数据段,直到待刻录文件全部写入程序为止,将程序打包形成保护者程序,并对此文件进行重新命名,实现对文件的加密保护;在文件释放时,运行保护者程序,根据全局结构体中的信息,循环地读取指定大小的数据段、进行解密和将解密后的数据写入到指定文件中,直到所有数据处理完成后结束,根据全局结构体中的信息,重命名二进制形式的文件,将其还原成初始文件,实现加密保护文件的释放。
第五步 文件刻录模块实现对加固文件的刻录
文件刻录模块选择待刻录文件,调用文件加固保护程序将文件追加到结合文件防泄漏监控程序与文件主动攻击程序生成的保护者程序中,得到包含文件的待刻录保护者程序,利用刻录程序进行光盘刻录,完成文件的刻录操作。
第六步 文件防泄漏监控模块对文件进行实时监控
文件完成刻录后,封装在保护者程序中,当使用者运行保护者程序获取文件时,文件防泄漏监控模块首先要检测使用者的主机环境,是否满足安全要求:当主机处于联网状态时,则通过保护者程序获取单位ID、刻录时间、文件名的信息特征和利用WMI读取设备的主机标识信息,完成信息取证,利用主动攻击模块将取证信息发送给服务器,然后删除文件;反之,此时当不满足分级保护要求时,则立即删除文件;当当前环境既处于非联网状态又满足分级保护要求时,则利用文件加固保护模块释放相应的文件,将ENCODEFILE二进制文件解密,获取文档内容并写入临时文件夹下的文件中,文件名同当前保护者程序的文件名,文件后缀由fileinfo中内容确定,然后根据文件后缀,访问注册表\\shell\\open\\command下获取该后缀的默认打开程序,新开一个进程,利用默认软件打开该文件进行查看,当用户关闭文件,进程结束,主进程监测到子进程结束后,删除临时文件夹下的文档文件。
只要使用者运行保护者程序,就会第一时间进行文件的监控和自我保护,具有较好的实时性。
第七步 远程控制模块控制窃密主机存储取证信息并发起主动攻击
当使用者在联网环境下运行保护者程序时,文件防泄漏监控模块进行主机的信息取证,并通过主动攻击模块与服务器端建立连接,同时删除保护者程序,此时主动攻击模块和远程控制模块发起主动攻击;
与服务器建立连接后,通过linux shell或者windows cmd指令来控制窃密主机,或通过封装的指令对窃密主机发起攻击:getscreen指令用来获取主机截图,implant_trojan指令往窃密主机植入木马,destroy_filesystem指令销毁窃密主机的所有文件。同时,通过安装特定木马程序、反弹shell和留取程序后门的方式控制终端主机,通过修改特征码和加壳的手段达到木马免杀,并通过对硬盘全盘数据进行不可逆加密方式进行数据销毁,通过类似Windows Live更新病毒和CIH病毒烧毁整个硬盘驱动器。
服务器端根据监控的信息进行可视化显示,分析泄露的文件情况,分析获取的取证信息,进行相关的溯源和后续的问责。
本方法从文件刻录程序入手,对文件实施有效的加固防护,并对文件是否流入互联网及其它违规场所进行监控,当发现存在风险时,对嫌疑终端进行控制和信息取证,以达到文件检测保护和主动攻击防御的目的,很好的解决了现阶段企业无法检测文件是否泄漏的难题,并对文件形成稳健保护,解决了现阶段安全防护技术普遍存在的检测滞后性、检测不全面和报警定位难的问题。
具体实施方式
一种文件防泄漏监控方法的具体步骤为:
第一步 构建文件防泄漏监控系统
文件防泄漏监控系统,包括:文件防泄漏监控模块、文件主动攻击模块、文件加固保护模块、文件刻录模块和远程控制模块。
文件防泄漏监控模块功能为:检测终端主机环境是否安全,完成终端主机信息取证,并能够实现文件销毁。
文件主动攻击模块功能为:传递窃密者的特征信息到远端服务器,控制终端主机发起主动攻击,与文件防泄漏监控模块结合生成保护者程序。
文件加固保护模块功能为:完成信息特征的提取,实现文件的加密保护添加到保护者程序的资源段中生成加固文件,释放加密保护的文件。
文件刻录模块功能为:调用文件加固保护模块生成安全加固文件,设计友好性可视化刻录界面进行文件刻录。
远程控制模块功能为:互联网中搭建后台控制管理程序,用于接收文件信息和终端机特征信息,对泄密终端机进行远程控制。
第二步 文件防泄漏监控模块实现主机环境检测及信息取证
文件防泄漏监控模块检测终端主机环境是否安全,检测主机是否具备联网环境;当为联网状态时,则删除文件;否则,获取当前时刻设备正在运行的进程,判断分级保护要求的相关进程是否在其中,当包含分级保护进程时,则说明处于分级保护状态,环境安全,打开相应的文档;否则,环境不安全,则删除文件。
主机信息取证,将fileinfo二进制文件解密,获取单位ID,刻录时间和文件名相关内容;利用WMI读取设备信息,以此来标识终端主机。
文件读取及删除,将ENCODEFILE二进制文件解密,获取文档内容并写入临时文件夹下的文件中,文件名同当前文件名,文件后缀由fileinfo中内容确定,利用默认程序打开文件,关闭文件时则删除相关的临时文件;当设备不满足分级保护条件时,程序会生成一个脚本文件并运行,其功能为删除当前文件及脚本文件本身。
第三步 文件主动攻击模块实现对主机的攻击,并生成保护者程序
文件主动攻击模块将窃密者的特征信息传输到远端服务器中完成信息传递,通过安装特定木马程序、反弹shell和留取程序后门的方式控制终端主机,通过修改特征码和加壳的手段达到木马免杀,并通过对硬盘全盘数据进行不可逆加密方式进行数据销毁,最后,与文件防泄漏监控程序结合生成保护者程序。
第四步 文件加固保护模块实现文件信息特征提取并对文件的加固保护
文件加固保护模块读取文件时,获取刻录人信息和文件信息,根据文件生成其hash值,并写入特征信息文件,实现信息特征的提取;建立全局结构体,存储文件特征信息存储位置、文件数据存储位置和文件类型的数据,对包含特征信息的文件进行加密,将加密后的文件以二进制的形式写入到程序的数据段中,循环地以二进制的形式读取指定直接大小字节的待刻录文件、对数据加密和将加密后的数据写入到程序数据段,直到待刻录文件全部写入程序为止,将程序打包形成保护者程序,并对此文件进行重新命名,实现对文件的加密保护;在文件释放时,运行保护者程序,根据全局结构体中的信息,循环地读取指定大小的数据段、进行解密和将解密后的数据写入到指定文件中,直到所有数据处理完成后结束,根据全局结构体中的信息,重命名二进制形式的文件,将其还原成初始文件,实现加密保护文件的释放。
第五步 文件刻录模块实现对加固文件的刻录
文件刻录模块选择待刻录文件,调用文件加固保护程序将文件追加到结合文件防泄漏监控程序与文件主动攻击程序生成的保护者程序中,得到包含文件的待刻录保护者程序,利用刻录程序进行光盘刻录,完成文件的刻录操作。
第六步 文件防泄漏监控模块对文件进行实时监控
文件完成刻录后,封装在保护者程序中,当使用者运行保护者程序获取文件时,文件防泄漏监控模块首先要检测使用者的主机环境,是否满足安全要求:当主机处于联网状态时,则通过保护者程序获取单位ID、刻录时间、文件名的信息特征和利用WMI读取设备的主机标识信息,完成信息取证,利用主动攻击模块将取证信息发送给服务器,然后删除文件;反之,此时当不满足分级保护要求时,则立即删除文件;当当前环境既处于非联网状态又满足分级保护要求时,则利用文件加固保护模块释放相应的文件,将ENCODEFILE二进制文件解密,获取文档内容并写入临时文件夹下的文件中,文件名同当前保护者程序的文件名,文件后缀由fileinfo中内容确定,然后根据文件后缀,访问注册表\\shell\\open\\command下获取该后缀的默认打开程序,新开一个进程,利用默认软件打开该文件进行查看,当用户关闭文件,进程结束,主进程监测到子进程结束后,删除临时文件夹下的文档文件。
只要使用者运行保护者程序,就会第一时间进行文件的监控和自我保护,具有较好的实时性。
第七步 远程控制模块控制窃密主机存储取证信息并发起主动攻击
当使用者在联网环境下运行保护者程序时,文件防泄漏监控模块进行主机的信息取证,并通过主动攻击模块与服务器端建立连接,同时删除保护者程序,此时主动攻击模块和远程控制模块发起主动攻击;
与服务器建立连接后,通过linux shell或者windows cmd指令来控制窃密主机,或通过封装的指令对窃密主机发起攻击:getscreen指令用来获取主机截图,implant_trojan指令往窃密主机植入木马,destroy_filesystem指令销毁窃密主机的所有文件。同时,通过安装特定木马程序、反弹shell和留取程序后门的方式控制终端主机,通过修改特征码和加壳的手段达到木马免杀,并通过对硬盘全盘数据进行不可逆加密方式进行数据销毁,通过类似Windows Live更新病毒和CIH病毒烧毁整个硬盘驱动器。
服务器端根据监控的信息进行可视化显示,分析泄露的文件情况,分析获取的取证信息,进行相关的溯源和后续的问责。
Claims (6)
1.一种文件防泄漏监控方法,其特征在于具体步骤为:
第一步 构建文件防泄漏监控系统
文件防泄漏监控系统,包括:文件防泄漏监控模块、文件主动攻击模块、文件加固保护模块、文件刻录模块和远程控制模块;
第二步 文件防泄漏监控模块实现主机环境检测及信息取证
文件防泄漏监控模块检测终端主机环境是否安全,检测主机是否具备联网环境;当为联网状态时,则删除文件;否则,获取当前时刻设备正在运行的进程,判断分级保护要求的相关进程是否在其中,当包含分级保护进程时,则说明处于分级保护状态,环境安全,打开相应的文档;否则,环境不安全,则删除文件;
主机信息取证,将fileinfo二进制文件解密,获取单位ID,刻录时间和文件名相关内容;利用WMI读取设备信息,以此来标识终端主机;
文件读取及删除,将ENCODEFILE二进制文件解密,获取文档内容并写入临时文件夹下的文件中,文件名同当前文件名,文件后缀由fileinfo中内容确定,利用默认程序打开文件,关闭文件时则删除相关的临时文件;当设备不满足分级保护条件时,程序会生成一个脚本文件并运行,其功能为删除当前文件及脚本文件本身;
第三步 文件主动攻击模块实现对主机的攻击,并生成保护者程序
文件主动攻击模块将窃密者的特征信息传输到远端服务器中完成信息传递,通过安装特定木马程序、反弹shell和留取程序后门的方式控制终端主机,通过修改特征码和加壳的手段达到木马免杀,并通过对硬盘全盘数据进行不可逆加密方式进行数据销毁,最后,与文件防泄漏监控程序结合生成保护者程序;
第四步 文件加固保护模块实现文件信息特征提取并对文件的加固保护
文件加固保护模块读取文件时,获取刻录人信息和文件信息,根据文件生成其hash值,并写入特征信息文件,实现信息特征的提取;建立全局结构体,存储文件特征信息存储位置、文件数据存储位置和文件类型的数据,对包含特征信息的文件进行加密,将加密后的文件以二进制的形式写入到程序的数据段中,循环地以二进制的形式读取指定直接大小字节的待刻录文件、对数据加密和将加密后的数据写入到程序数据段,直到待刻录文件全部写入程序为止,将程序打包形成保护者程序,并对此文件进行重新命名,实现对文件的加密保护;在文件释放时,运行保护者程序,根据全局结构体中的信息,循环地读取指定大小的数据段、进行解密和将解密后的数据写入到指定文件中,直到所有数据处理完成后结束,根据全局结构体中的信息,重命名二进制形式的文件,将其还原成初始文件,实现加密保护文件的释放;
第五步 文件刻录模块实现对加固文件的刻录
文件刻录模块选择待刻录文件,调用文件加固保护程序将文件追加到结合文件防泄漏监控程序与文件主动攻击程序生成的保护者程序中,得到包含文件的待刻录保护者程序,利用刻录程序进行光盘刻录,完成文件的刻录操作;
第六步 文件防泄漏监控模块对文件进行实时监控
文件完成刻录后,封装在保护者程序中,当使用者运行保护者程序获取文件时,文件防泄漏监控模块首先要检测使用者的主机环境,是否满足安全要求:当主机处于联网状态时,则通过保护者程序获取单位ID、刻录时间、文件名的信息特征和利用WMI读取设备的主机标识信息,完成信息取证,利用主动攻击模块将取证信息发送给服务器,然后删除文件;反之,此时当不满足分级保护要求时,则立即删除文件;当当前环境既处于非联网状态又满足分级保护要求时,则利用文件加固保护模块释放相应的文件,将ENCODEFILE二进制文件解密,获取文档内容并写入临时文件夹下的文件中,文件名同当前保护者程序的文件名,文件后缀由fileinfo中内容确定,然后根据文件后缀,访问注册表\\shell\\open\\command下获取该后缀的默认打开程序,新开一个进程,利用默认软件打开该文件进行查看,当用户关闭文件,进程结束,主进程监测到子进程结束后,删除临时文件夹下的文档文件;
只要使用者运行保护者程序,就会第一时间进行文件的监控和自我保护,具有较好的实时性;
第七步 远程控制模块控制窃密主机存储取证信息并发起主动攻击
当使用者在联网环境下运行保护者程序时,文件防泄漏监控模块进行主机的信息取证,并通过主动攻击模块与服务器端建立连接,同时删除保护者程序,此时主动攻击模块和远程控制模块发起主动攻击;
与服务器建立连接后,通过linux shell或者windows cmd指令来控制窃密主机,或通过封装的指令对窃密主机发起攻击:getscreen指令用来获取主机截图,implant_trojan指令往窃密主机植入木马,destroy_filesystem指令销毁窃密主机的所有文件;同时,通过安装特定木马程序、反弹shell和留取程序后门的方式控制终端主机,通过修改特征码和加壳的手段达到木马免杀,并通过对硬盘全盘数据进行不可逆加密方式进行数据销毁,通过类似Windows Live更新病毒和CIH病毒烧毁整个硬盘驱动器;
服务器端根据监控的信息进行可视化显示,分析泄露的文件情况,分析获取的取证信息,进行相关的溯源和后续的问责。
2.根据权利要求1所述的一种文件防泄漏监控方法,其特征在于所述文件防泄漏监控模块功能为:检测终端主机环境是否安全,完成终端主机信息取证,并能够实现文件销毁。
3.根据权利要求1所述的一种文件防泄漏监控方法,其特征在于所述文件主动攻击模块功能为:传递窃密者的特征信息到远端服务器,控制终端主机发起主动攻击,与文件防泄漏监控模块结合生成保护者程序。
4.根据权利要求1所述的一种文件防泄漏监控方法,其特征在于所述文件加固保护模块功能为:完成信息特征的提取,实现文件的加密保护添加到保护者程序的资源段中生成加固文件,释放加密保护的文件。
5.根据权利要求1所述的一种文件防泄漏监控方法,其特征在于所述文件刻录模块功能为:调用文件加固保护模块生成安全加固文件,设计友好性可视化刻录界面进行文件刻录。
6.根据权利要求1所述的一种文件防泄漏监控方法,其特征在于所述远程控制模块功能为:互联网中搭建后台控制管理程序,用于接收文件信息和终端机特征信息,对泄密终端机进行远程控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010778416.1A CN111914275B (zh) | 2020-08-05 | 2020-08-05 | 一种文件防泄漏监控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010778416.1A CN111914275B (zh) | 2020-08-05 | 2020-08-05 | 一种文件防泄漏监控方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111914275A true CN111914275A (zh) | 2020-11-10 |
| CN111914275B CN111914275B (zh) | 2024-01-02 |
Family
ID=73288179
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010778416.1A Active CN111914275B (zh) | 2020-08-05 | 2020-08-05 | 一种文件防泄漏监控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111914275B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113609080A (zh) * | 2021-07-22 | 2021-11-05 | 深圳市元征未来汽车技术有限公司 | 文件处理方法、装置、终端设备及介质 |
| CN116821968A (zh) * | 2023-08-31 | 2023-09-29 | 北京亿赛通科技发展有限责任公司 | 一种文件权限管控方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006260176A (ja) * | 2005-03-17 | 2006-09-28 | Ex's Annex:Kk | 機密文書管理方法及び機密文書管理システム |
| CN101453327A (zh) * | 2007-11-29 | 2009-06-10 | 北京鼎信高科信息技术有限公司 | 一种信息防泄密系统 |
| CN104123508A (zh) * | 2014-07-21 | 2014-10-29 | 浪潮电子信息产业股份有限公司 | 一种基于内网数据安全防护引擎的设计方法 |
| CN107180195A (zh) * | 2017-05-18 | 2017-09-19 | 北京计算机技术及应用研究所 | 基于安全标签的电子文档全生命周期安全防护方法 |
| CN108121914A (zh) * | 2018-01-17 | 2018-06-05 | 四川神琥科技有限公司 | 一种文档泄密防护追踪系统 |
| CN110381092A (zh) * | 2019-08-29 | 2019-10-25 | 南京经纬信安科技有限公司 | 一种自适应闭环解决网络威胁的防御系统及方法 |
| CN110826094A (zh) * | 2019-09-25 | 2020-02-21 | 合肥触点传媒有限公司 | 一种信息泄露监控方法以及装置 |
| CN111079154A (zh) * | 2019-12-20 | 2020-04-28 | 北京中嘉华诚网络安全技术有限公司 | 一种保护操作系统内核不被外来程序破坏的内核加固系统 |
-
2020
- 2020-08-05 CN CN202010778416.1A patent/CN111914275B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006260176A (ja) * | 2005-03-17 | 2006-09-28 | Ex's Annex:Kk | 機密文書管理方法及び機密文書管理システム |
| CN101453327A (zh) * | 2007-11-29 | 2009-06-10 | 北京鼎信高科信息技术有限公司 | 一种信息防泄密系统 |
| CN104123508A (zh) * | 2014-07-21 | 2014-10-29 | 浪潮电子信息产业股份有限公司 | 一种基于内网数据安全防护引擎的设计方法 |
| CN107180195A (zh) * | 2017-05-18 | 2017-09-19 | 北京计算机技术及应用研究所 | 基于安全标签的电子文档全生命周期安全防护方法 |
| CN108121914A (zh) * | 2018-01-17 | 2018-06-05 | 四川神琥科技有限公司 | 一种文档泄密防护追踪系统 |
| CN110381092A (zh) * | 2019-08-29 | 2019-10-25 | 南京经纬信安科技有限公司 | 一种自适应闭环解决网络威胁的防御系统及方法 |
| CN110826094A (zh) * | 2019-09-25 | 2020-02-21 | 合肥触点传媒有限公司 | 一种信息泄露监控方法以及装置 |
| CN111079154A (zh) * | 2019-12-20 | 2020-04-28 | 北京中嘉华诚网络安全技术有限公司 | 一种保护操作系统内核不被外来程序破坏的内核加固系统 |
Non-Patent Citations (1)
| Title |
|---|
| 李泽科 等;: "电力监控系统的网络安全威胁溯源技术研究", 电力工程技术, vol. 39, no. 02, pages 166 - 172 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113609080A (zh) * | 2021-07-22 | 2021-11-05 | 深圳市元征未来汽车技术有限公司 | 文件处理方法、装置、终端设备及介质 |
| CN116821968A (zh) * | 2023-08-31 | 2023-09-29 | 北京亿赛通科技发展有限责任公司 | 一种文件权限管控方法及装置 |
| CN116821968B (zh) * | 2023-08-31 | 2023-11-07 | 北京亿赛通科技发展有限责任公司 | 一种文件权限管控方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111914275B (zh) | 2024-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10303877B2 (en) | Methods of preserving and protecting user data from modification or loss due to malware | |
| Hossain et al. | {SLEUTH}: Real-time attack scenario reconstruction from {COTS} audit data | |
| KR100946042B1 (ko) | 탬퍼-레지스턴트 애플리케이션 구동 방법 및 시스템과 컴퓨터 판독 가능 저장 매체 | |
| Hasan et al. | Toward a threat model for storage systems | |
| KR101150415B1 (ko) | 보안 유에스비 저장매체 관리방법 및 보안 유에스비 저장매체 관리를 위한 프로그램이 기록된 매체 | |
| WO2010134192A1 (ja) | 電子機器及び鍵生成プログラム及び記録媒体及び鍵生成方法 | |
| US9053321B2 (en) | Antivirus system and method for removable media devices | |
| US20080016127A1 (en) | Utilizing software for backing up and recovering data | |
| CN108595982B (zh) | 一种基于多容器分离处理的安全计算架构方法及装置 | |
| WO2017107896A1 (zh) | 一种文档防护方法及装置 | |
| KR101828600B1 (ko) | 상황 인식 기반의 랜섬웨어 탐지 | |
| CN111914275A (zh) | 一种文件防泄漏监控方法 | |
| Kara | A basic malware analysis method | |
| Balogh et al. | Capturing encryption keys for digital analysis | |
| Chittooparambil et al. | A review of ransomware families and detection methods | |
| Bansal | A review on ransomware attack | |
| JP2013164732A (ja) | 情報処理装置 | |
| CN103902922A (zh) | 一种防止文件盗取的方法及系统 | |
| Genç et al. | The cipher, the random and the ransom: a survey on current and future ransomware | |
| KR102538694B1 (ko) | 랜섬웨어로부터 데이터를 보호하기 위한 데이터 보호 시스템 | |
| Duan et al. | Research on computer forensics technology based on data recovery | |
| Aziz | Ransomware in High-Risk Environments | |
| Vidyarthi et al. | Identifying ransomware-specific properties using static analysis of executables | |
| CN112699398A (zh) | 一种安卓应用关键数据的保护装置、方法、设备及可存储介质 | |
| Joshi | Standards and techniques to remove data remanence in cloud storage |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |