CN1901531A - 服务器上传文件的敏感信息过滤系统及方法 - Google Patents
服务器上传文件的敏感信息过滤系统及方法 Download PDFInfo
- Publication number
- CN1901531A CN1901531A CN 200610061403 CN200610061403A CN1901531A CN 1901531 A CN1901531 A CN 1901531A CN 200610061403 CN200610061403 CN 200610061403 CN 200610061403 A CN200610061403 A CN 200610061403A CN 1901531 A CN1901531 A CN 1901531A
- Authority
- CN
- China
- Prior art keywords
- sensitive information
- file
- upload
- filter assemblies
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种服务器上传文件的敏感信息过滤系统,用于对文件上传服务器的上传文件中包含的敏感信息进行过滤,该系统包括一控制中心以及若干敏感信息过滤组件,该控制中心监控敏感信息过滤组件的运行情况,并对其进行控制,敏感信息过滤组件分别安装在每一文件上传服务器上,对上传文件进行分析,判断其是否包含敏感信息数据,并根据判断结果对文件进行相应处理。本发明还提供一种服务器上传文件的敏感信息过滤方法。采用本发明的技术方案的系统及方法可以保证上传到文件上传服务器上来的所有文件都能被完整地分析,减小过滤误差,并且提高了过滤的成功率,防止漏掉带有敏感信息的文件。
Description
技术领域
本发明涉及一种网络信息的过滤系统及方法,特别是指一种服务器上传文件的敏感信息过滤系统及方法。
背景技术
目前,虚拟空间提供商提供的虚拟空间多是采用常用的文件上传协议(如FTP、SMB协议等)为用户提供网页等文件上传服务。由于虚拟空间具有便利、简单易用和支持匿名申请的特征,便于用户隐藏身份,常常被很多不法分子作为进行非法活动的信息发布及传播的窗口。因此,有必要对一些带有敏感信息的上传文件进行过滤。
现有过滤上传文件的方法一般是采用在网络入侵检测系统(IDS,IntrusionDetection System)上设置关键字过滤规则,当发现有敏感信息时网络入侵检测系统发送一条阻断命令切断整个文件传输的过程。但是这种方法遇到体积比较大的文件时只能一部分一部分地对文件进行分析,这样容易产生误差,并且由于网络入侵检测系统是通过旁路发送阻断命令,故过滤的成功率较低。此外,也有通过网络防火墙进行数据内容过滤的方法,但是这种方法也同样只能一部分一部分地对文件进行分析,同样容易产生误差。
发明内容
本发明所要解决的技术问题是:提供一种服务器上传文件的敏感信息过滤系统,其能对服务器上传文件进行有效处理,成功过滤敏感信息。
本发明进一步所要解决的技术问题是:提供一种服务器上传文件的敏感信息过滤方法,过滤成功率高。
为解决上述技术问题,本发明采用如下技术方案:一种服务器上传文件的敏感信息过滤系统,用于对文件上传服务器的上传文件中包含的敏感信息进行过滤,该系统包括一控制中心以及若干敏感信息过滤组件,该控制中心监控敏感信息过滤组件的运行情况,并对其进行控制,敏感信息过滤组件分别安装在每一文件上传服务器上,对上传文件进行分析,判断其是否包含敏感信息数据,并根据判断结果对文件进行相应处理。
本发明还提供一种服务器上传文件的敏感信息过滤方法,其特征在于,所述方法包括以下步骤:
建立一包括敏感信息数据库的控制中心;
在所述每一文件上传服务器上分别设置一敏感信息过滤组件;
将所述控制中心的数据库数据传送至所述敏感信息过滤组件;
所述敏感信息过滤组件利用所述数据库数据对所述上传文件进行分析并进行相应处理。
本发明的有益效果是:在采用本发明的技术方案后,系统可以保证上传到文件上传服务器上来的所有文件都能被完整地分析,减小过滤误差,并且提高了过滤的成功率,防止漏掉带有敏感信息的文件。
下面结合附图对本发明作进一步的详细描述。
附图说明
图1是本发明服务器上传文件的敏感信息过滤系统的架构图。
图2是本发明敏感信息过滤组件对上传文件进行分析处理的流程图。
具体实施方式
请参阅图1,本发明的服务器上传文件敏感信息过滤系统主要包括一控制中心以及若干敏感信息过滤组件。其中,控制中心安装在一台单独的服务器上,其监控文件上传服务器上的敏感信息过滤组件的运行情况,并对组件进行控制。敏感信息过滤组件分别安装在每一文件上传服务器上,该组件对上传上来的文件进行分析,如果发现带有被定义为敏感信息的数据,则该组件根据预先设定的规则对文件进行处理。
控制中心包括主控摸块、UI模块(User Interface,用户界面)以及通讯模块。其中,主控模块用于初始化控制中心内部的各个模块,进行必要的系统资源申请和分配工作,读取组件的各种配置文件进行程序的配置工作,载入敏感信息数据库和URL(Uniform Resource Locator,统一资源定位符)黑名单数据库。UI模块接收控制中心管理员输入的配置信息、用户输入的敏感关键字信息、用户对已建立连接的敏感信息过滤组件发送控制命令,向控制中心管理员呈现接收到的实时信息,包括已连接组件状态及URL黑名单。通讯模块通过TCP/IP协议与敏感信息过滤组件里的通讯模块建立连接,向敏感信息过滤组件里的通讯模块发送命令信息、最新更新的敏感信息数据库数据和URL黑名单数据库信息,同时接收敏感信息过滤组件里的通讯模块发送过来的在线信息、URL黑名单数据库信息。
敏感信息过滤组件包括主控模块、通讯模块、文件操作控制模块以及文件分析模块。主控模块初始化组件内部的各个模块,进行必要的系统资源申请和分配工作,读取组件的各种配置文件进行程序的配置工作,载入敏感信息数据库和URL黑名单数据库,最后生成一个线程队列。并维护线程队列,当有文件上传时从线程队列中为每个上传文件分配一个处理线程,并跟踪这个处理线程当处理线程完成工作后把处理线程放回线程队列。通讯模块通过TCP/IP协议与控制中心里的通讯模块建立连接,向控制中心里的通讯模块发送在线信息、URL黑名单数据库信息,同时控制中心里的通讯模块发送过来的命令信息、敏感信息数据库数据。文件操作控制模块注册操作系统(目前支持WINDOWS、LINUX、AIX、Solaris系统)的系统挂钩在系统内核的文件操作模块以上插入一块处理程序,当系统有文件操作要进行时,处理程序先进行判断是否是需要对该文件进行处理,如果需要处理则处理程序对该文件进行隔离禁止其它程序对该文件进行操作,然后通知文件分析模块进行文件分析,并根据文件分析模块的分析结果对该文件进行处理并更新URL黑名单数据库。文件分析模块根据文件操作控制模块发送过来的通知对文件进行分析,从敏感信息数据库获取敏感信息关键字然后根据关键字对该文件进行检索,查看文件中是否携带该关键字。检索完毕后把结果返回给文件操作控制模块。
控制中心和敏感信息过滤组件采用分布式的连接架构,即一台控制中心通过网络(互联网/局域网)同时连接多台服务器上的敏感信息过滤组件,控制中心可以同时对一个或者多个敏感信息过滤组件进行管理。
请参阅图2,为敏感信息过滤组件的工作流程。敏感信息过滤组件通过网络与控制中心建立连接,接收最新的敏感信息数据库、URL黑名单数据库。当有文件上传到服务器时,敏感信息过滤组件接管整个文件上传过程,首先使用URL黑名单数据库判断上传数据的源地址是否在URL黑名单数据库里,如果在URL黑名单数据库里,则关闭上传连接,禁止文件上传,并通知用户上传失败;如果不在则允许文件上传。当文件上传完毕后,敏感信息过滤组件首先对该文件进行隔离,防止任何其它进程对该文件进行操作。然后判断该文件是何种类型的文件,如果是文本文件就进行直接处理,压缩文件则调用解压缩模块进行解压缩,对于二进制文件则跳过不处理。文件类型判断完后紧接着使用敏感信息数据库里的数据对该文件进行字符匹配分析,对该文件进行全文检索检查文件里是否带有数据库里的敏感信息,如果有则删除或者隔离该文件,并保存上传文件的源地址信息并把上传文件的源URL地址发送到控制中心的URL黑名单数据库,通知用户上传失败;如果没有则解除隔离控制通知用户上传成功。
控制中心的敏感信息数据库由专门的人员导入和维护,并根据企业、单位自身的情况进行更新。当有敏感信息过滤组件与控制中心建立连接后,控制中心根据更新的情况把敏感信息数据库发送给敏感信息过滤组件并通知组件更新数据库。在接收组件发送上来的URL黑名单后,控制中心定义黑名单里的地址的文件禁止上传时间,并通知已经连接的其它敏感信息过滤组件更新URL黑名单数据库。
本发明的技术方案具有以下特点:
采用分布式架构:控制中心和敏感信息过滤组件通过TCP/IP协议建立连接,控制中心通过连接向敏感信息过滤组件发送命令,同步各个敏感信息过滤组件的敏感信息数据库里、URL黑名单数据库。敏感信息过滤组件从控制中心上取回敏感信息数据库里、URL黑名单数据库更新自己的那份数据库。通过采用分布式架构,控制中心把计算量分散到安装了敏感信息过滤组件的服务器上,每台服务器只需处理上传到自身的文件,不像网络入侵检测系统和网络防火墙那样要自己处理所有数据,这样就可以提高系统的工作效率,保证所有的数据都能被分析到。
多线程并行操作:位于服务器上的敏感信息过滤组件通过多线程操作管理文件上传过程,每个线程管理一个文件上传过程。当一个上传请求产生时敏感信息过滤组件会产生一个线程与之对应,产生线程后,对该文件的后续操作由线程来完成,主程序马上返回,等待下一个上传文件的到来。组件支持的并发线程数量与允许同时上传的文件数相同。即整个过程中主程序只产生处理文件所需要的线程,然后就返回等待下一个上传文件的到来。采用该方法降低了程序对文件上传过程的影响,保证文件能够完整上传。
控制上传文件的操作权:敏感信息过滤组件通过注册操作系统(目前支持WINDOWS、LINUX、AIX、Solaris系统)的系统挂钩接管系统的文件操作模块,当系统挂钩挂接成功后,所有对文件的操作都要先通过敏感信息过滤组件,由敏感信息过滤组件决定是否对该文件进行操作,这样可以防止文件上传后其它进程对其进行操作(增、删、改)以保证文件的完整性。同时在分析完毕后直接在系统的件操作模块对该文件进行处理。通过注册操作系统的系统挂钩接管系统的文件操作模块,敏感信息过滤组件可以直接掌握系统的最高文件操作权,所有对文件的操作都要通过敏感信息过滤组件,达到防止其它程序抢在文件分析以前对文件进行操作的目的。
文件全文检索:敏感信息过滤组件对文件进行全文检索,从敏感信息数据库逐一取出数据,与文件内容进行对比,查看文件内容是否包含敏感数据,深入分析文件里是否携带敏感信息数据库里的信息。
在采用本发明的技术方案后,系统可以完整地分析文件,防止出现带敏感信息的文件没有被发现,保证上传到文件上传服务器上来的所有文件都能被完整分析。并且提高了过滤的成功率,防止了出现被发现的带敏感信息的文件漏掉没有被正常处理,保证被发现的带敏感信息的文件都能够被隔离,不会进入到文件上传服务器里并被其它用户访问到。
Claims (10)
1、一种服务器上传文件的敏感信息过滤系统,用于对文件上传服务器的上传文件中包含的敏感信息进行过滤,其特征在于,所述系统包括:一控制中心及若干敏感信息过滤组件,所述控制中心监控所述敏感信息过滤组件的运行情况,并对其进行控制,所述敏感信息过滤组件分别安装在所述每一文件上传服务器上,对所述上传文件进行分析,判断其是否包含敏感信息数据,并根据判断结果对文件进行相应处理。
2、如权利要求1所述的服务器上传文件的敏感信息过滤系统,其特征在于:所述控制中心与所述敏感信息过滤组件均包括敏感信息数据库和URL黑名单数据库,所述敏感信息过滤组件根据所述控制中心的数据库内容来更新自身的数据库。
3、如权利要求2所述的服务器上传文件的敏感信息过滤系统,其特征在于:所述敏感信息过滤组件对所述上传文件进行分析处理的过程包括以下步骤:
a.判断所述上传文件的源地址是否包含在自身的URL黑名单数据库中,如果在,则禁止文件上传,如果不在,则允许文件上传并转至步骤b;
b.对所述上传文件进行隔离,判断所述上传文件是否带有敏感信息数据库里的敏感信息,如果有则删除或者隔离所述上传文件,并将上传文件的源地址发送到所述控制中心的URL黑名单数据库,如果没有则解除对所述上传文件的隔离。
4、如权利要求1所述的服务器上传文件的敏感信息过滤系统,其特征在于:所述控制中心进一步包括:
一主控摸块,用于初始化所述控制中心内部的各个模块,进行系统资源申请和分配,读取组件的配置文件进行程序的配置,并载入敏感信息数据库和URL黑名单数据库;
一UI模块,其接收所述控制中心管理员输入的配置信息、用户输入的敏感关键字信息、用户对已建立连接的敏感信息过滤组件发送控制命令,并向管理员呈现接收到的实时信息;
一通讯模块,其通过TCP/IP协议与所述敏感信息过滤组件里的通讯模块建立连接,向敏感信息过滤组件里的通讯模块发送命令信息、最新更新的敏感信息数据库数据和URL黑名单数据库信息,同时接收敏感信息过滤组件里的通讯模块发送过来的在线信息、URL黑名单数据库信息。
5、如权利要求1所述的服务器上传文件的敏感信息过滤系统,其特征在于:所述控制中心进一步包括:
一主控模块,其初始化组件内部的各个模块,进行系统资源申请和分配,读取组件的配置文件进行程序的配置,载入敏感信息数据库和URL黑名单数据库,最后生成一个线程队列,并对所述线程队列进行;
一通讯模块,其通过TCP/IP协议与所述控制中心里的通讯模块建立连接,向控制中心里的通讯模块发送在线信息、URL黑名单数据库信息,同时控制中心里的通讯模块发送过来的命令信息、敏感信息数据库数据;
一文件操作控制模块,文件操作控制模块注册操作系统的系统挂钩在系统内核的文件操作模块上以插入一块处理程序,通知文件分析模块进行文件分析,并根据文件分析模块的分析结果对文件进行处理并更新URL黑名单数据库;
一文件分析模块,其根据所述文件操作控制模块发送过来的通知对文件进行分析,分析完毕后把结果返回给文件操作控制模块。
6、如权利要求1至3中任意一项所述的服务器上传文件的敏感信息过滤系统,其特征在于:所述控制中心和敏感信息过滤组件采用分布式的连接架构,所述控制中心同时对所述一个或者多个敏感信息过滤组件进行管理。
7、如权利要求1至3中任意一项所述的服务器上传文件的敏感信息过滤系统,其特征在于:所述敏感信息过滤组件通过多线程操作管理文件上传过程,每个线程管理一个文件上传过程。
8、如权利要求1至3中任意一项所述的服务器上传文件的敏感信息过滤系统,其特征在于:所述敏感信息过滤组件通过注册操作系统的系统挂钩接管系统的文件操作模块,具有对所述上传文件的操作的最高文件操作权。
9、如权利要求3所述的服务器上传文件的敏感信息过滤系统,其特征在于:所述敏感信息过滤组件通过对所述上传文件进行全文检索,来判断所述上传文件是否包含敏感信息数据库里的敏感信息。
10、一种服务器上传文件的敏感信息过滤方法,其特征在于,所述方法包括以下步骤:
建立一包括敏感信息数据库的控制中心;
在所述每一文件上传服务器上分别设置一敏感信息过滤组件;
将所述控制中心的数据库数据传送至所述敏感信息过滤组件;
所述敏感信息过滤组件利用所述数据库数据对所述上传文件进行分析并进行相应处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100614032A CN100521679C (zh) | 2006-06-30 | 2006-06-30 | 服务器上传文件的敏感信息过滤系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100614032A CN100521679C (zh) | 2006-06-30 | 2006-06-30 | 服务器上传文件的敏感信息过滤系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1901531A true CN1901531A (zh) | 2007-01-24 |
| CN100521679C CN100521679C (zh) | 2009-07-29 |
Family
ID=37657272
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100614032A Expired - Fee Related CN100521679C (zh) | 2006-06-30 | 2006-06-30 | 服务器上传文件的敏感信息过滤系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100521679C (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101964000A (zh) * | 2010-11-09 | 2011-02-02 | 焦点科技股份有限公司 | 一种敏感词自动过滤管理系统 |
| CN103024092A (zh) * | 2011-09-28 | 2013-04-03 | 中国移动通信集团公司 | 一种域名封堵方法、系统及设备 |
| CN103200229A (zh) * | 2013-02-28 | 2013-07-10 | 北京百度网讯科技有限公司 | 推送信息的处理方法及设备、浏览器、浏览器插件 |
| CN105392061A (zh) * | 2015-11-24 | 2016-03-09 | 天脉聚源(北京)科技有限公司 | 一种用于互动电视系统的检测互动信息的方法及装置 |
| CN108171081A (zh) * | 2018-02-01 | 2018-06-15 | 云易天成(北京)安全科技开发有限公司 | 一种基于文件上传的文件过滤方法、介质及设备 |
| CN112311879A (zh) * | 2020-10-30 | 2021-02-02 | 平安信托有限责任公司 | 限制网盘上传方法、装置、计算机设备和存储介质 |
-
2006
- 2006-06-30 CN CNB2006100614032A patent/CN100521679C/zh not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101964000A (zh) * | 2010-11-09 | 2011-02-02 | 焦点科技股份有限公司 | 一种敏感词自动过滤管理系统 |
| CN101964000B (zh) * | 2010-11-09 | 2013-05-15 | 焦点科技股份有限公司 | 一种敏感词自动过滤管理系统 |
| CN103024092A (zh) * | 2011-09-28 | 2013-04-03 | 中国移动通信集团公司 | 一种域名封堵方法、系统及设备 |
| CN103024092B (zh) * | 2011-09-28 | 2015-04-22 | 中国移动通信集团公司 | 一种域名封堵方法、系统及设备 |
| CN103200229A (zh) * | 2013-02-28 | 2013-07-10 | 北京百度网讯科技有限公司 | 推送信息的处理方法及设备、浏览器、浏览器插件 |
| CN105392061A (zh) * | 2015-11-24 | 2016-03-09 | 天脉聚源(北京)科技有限公司 | 一种用于互动电视系统的检测互动信息的方法及装置 |
| CN108171081A (zh) * | 2018-02-01 | 2018-06-15 | 云易天成(北京)安全科技开发有限公司 | 一种基于文件上传的文件过滤方法、介质及设备 |
| CN112311879A (zh) * | 2020-10-30 | 2021-02-02 | 平安信托有限责任公司 | 限制网盘上传方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100521679C (zh) | 2009-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104063473B (zh) | 一种数据库审计监测系统及其方法 | |
| CN100521679C (zh) | 服务器上传文件的敏感信息过滤系统及方法 | |
| US8839419B2 (en) | Distributive security investigation | |
| CN105631026A (zh) | 一种安全数据分析系统 | |
| CN108512841B (zh) | 一种基于机器学习的智能防御系统及防御方法 | |
| US9172720B2 (en) | Detecting malware using revision control logs | |
| CN102708309A (zh) | 恶意代码自动分析方法及系统 | |
| US11290527B2 (en) | Automatic tagging of cloud resources for implementing security policies | |
| CN108551449B (zh) | 防病毒管理系统及方法 | |
| CN111526049B (zh) | 运维系统、运维方法、电子设备和存储介质 | |
| CN103942491A (zh) | 一种互联网恶意代码处置方法 | |
| CN111784408A (zh) | 一种基于互联网大数据的服务推广方法和服务推广系统 | |
| CN113886814A (zh) | 一种攻击检测方法及相关装置 | |
| CN115270187A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN112732992B (zh) | 一种多类资源融合治理的法院网络司法查控系统及其方法 | |
| CN114285761A (zh) | 一种基于视频录屏与ocr技术的跳板机违规操作检测方法 | |
| CN113132370A (zh) | 一种普适的一体化安管中心系统 | |
| CA3093254A1 (en) | Systems and methods of computer system monitoring and control | |
| US11966884B2 (en) | Using distributed databases for network regression analysis | |
| US20190363925A1 (en) | Cybersecurity Alert Management System | |
| CN113381881B (zh) | 一种主机监控告警处理的方法、装置 | |
| CN115033574A (zh) | 信息生成方法、信息生成装置、电子设备及存储介质 | |
| CN111209171B (zh) | 安全风险的闭环处置方法、装置及存储介质 | |
| CN113297241A (zh) | 网络流量的判断方法、装置、设备、介质和程序产品 | |
| CN109032647A (zh) | 基于软件监控和策略的软件升级方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090729 Termination date: 20210630 |