本发明专利技术公开了一种文档泄密防护追踪系统,包括:管理模块用于设置防护追踪系统的敏感词配置信息、用户自定义规则、下发对每个宿主操作系统的文档扫描匹配敏感词的计划任务;敏感词匹配模块用于对宿主操作系统所有进程访问的文档进行匹配和识别其中是否有配置的关键字;监控模块用于实时监视本地目录、文件,并控制本地目录、文件的访问进程行为;行为分析模块用于分析文件访问进程的各种行为;木马沙盒模块用于对有窃密行为的进程行为事件模拟回溯,识别木马窃密和木马爆发;预警分析模块用于当发现木马窃取行为时,对所有宿主客户端进行拦截和预警;能够对计算机被泄露和被窃取敏感文件进行溯源追踪,识别泄密方式和窃取方式。
【技术实现步骤摘要】
一种文档泄密防护追踪系统
本专利技术涉及计算机信息安全领域,具体地,涉及一种文档泄密防护追踪系统。
技术介绍
现有技术对文档是否有窃密和泄密的方法大致可以为:以主动扫描方式来识别目标计算机文档里是否包含有设定的关键字(主要以队列扫描和递归扫描方式对计算机文件进行扫描,判断是否为文档文件,进行解析和设定的关键字进行匹配);根据关键字从识别到文档信息里面是否有对外泄密或者窃密的信息(在识别到的文档信息里面,管理者可对文档内容信息进行查看,判断该文档是否是被窃密文档或者泄密文档)。现有技术对文档是否有窃密和泄密的方法存在以下缺点:不能及时发现和阻止敏感文件的泄露和窃取;不能识别敏感文件是否有被外泄到互联网;不能识别被泄露或者窃取的文档传播方式;不能识别程序对文档的操作行为,窃取和泄露的源信息;不能对木马程序泄密和窃取行为进行识别和阻止;不能对大规模的爆发性的泄露和窃取行为进行识别和阻止;不能对远控木马和未知型木马的窃取方式进行识别。
技术实现思路
本专利技术提供了一种文档泄密防护追踪系统,解决了现有技术对文档是否有窃密和泄密的方法存在的不足,能够对部署范围内的计算机被泄露和被窃取敏感文件进行溯源追踪,识别泄密方式和窃取方式,追踪到泄密源计算机,对爆发性木马和窃取文档程序的阻断和预警。为实现上述专利技术目的,本申请提供了一种文档泄密防护追踪系统,所述防护追踪系统包括:管理模块、敏感词匹配模块、监控模块、行为分析模块、木马沙盒模块,预警分析模块;管理模块用于设置防护追踪系统的敏感词配置信息、用户自定义规则、下发对每个宿主操作系统的文档扫描匹配敏感词的计划任务;敏感词匹配模块用于对宿主操作系统所有进程访问的文档,(其中包括打开一个文档,关闭一个文档,修改一个文档,拷贝一个文档,剪切一个文档,创建一个文档的时候)进行匹配和识别其中是否有配置的关键字;监控模块用于实时监视本地目录、文件,并控制本地目录、文件的访问进程行为;行为分析模块用于分析文件访问进程的各种行为;木马沙盒模块用于对有窃密行为的进程行为事件模拟回溯,识别木马窃密和木马爆发;预警分析模块用于当发现木马窃取行为时,对所有宿主客户端进行拦截和预警。进一步的,行为分析模块还用于对被识别为敏感文件的操作行为进行系统应用层进程关联,对操作当前发现敏感文档的进程行为进行关联,对该进程执行调用的API进行监控,对预设行为(文件打开行为、文件修改行为、文件移动行为、文件关闭行为、文件删除行为、文件创建行为、文件拷贝和剪切行为、开机启动修改行为、注册服务行为、进程打开行为、进程注入行为、注册表操作行为、窗口操作行为、网络数据包收发行为、域名解析行为、驱动加载行为、修改内存行为、访问摄像头行为,访问录音设备行为、关闭系统行为、键盘记录行为、进程通信行为、剪切板操作行为、屏幕截图行为、访问物理磁盘行为)进行逐个关联,形成一个二分数据结构库,结构库其中包括威胁的行为数据和特定的行为数据,用于定义被触发行为危险程度和风险级别。进一步的,木马沙盒模块还用于对触发行为库(触发行为库为二分数据结构文件其中的规则组成)的进程进行沙盒模拟分析,通过进程调用系统关键API进行重定向的结果,来进行模拟该进程所要实现的目的,其中包括参数信息和目标信息的,对收到的结果和参数信息进行木马行为特征库的查找和关联,得到行为特征结果。进一步的,监控模块还用于实时对文档的PID进行行为识别,检查外泄行为和窃密行为和攻击行为。进一步的,管理模块中还用于通过对指定的宿主客户端进行指定规则、指定关键字并进行任务下发,能够指定任务执行时间。进一步的,当用户操作一份文件时,防护追踪系统对文件内容进行判定,是否为敏感文件,如是,再次判断PID是否有泄密行为和木马行为,如是,则启动木马沙盒对PID进行分析,是人为还是木马程序,如是木马程序,则开始预警到所有宿主客户端可进行防护和拦截;若操作的文件不是敏感文件或行为上并非木马窃取行为,则提交数据信息和上传被操作的文档信息和文件到存储服务器后台进行统一分析报告。进一步的,发现敏感文档并判定为泄密和木马攻击行为后,该文档将不允许被再次操作;该文档的行为信息被发送到聚集后台,通过聚集后台数据回溯事件发生过程,对文档泄密源信息和木马爆发攻击行为的源信息进行追踪,对源头和爆发源进行报告。进一步的,所述防护追踪系统还用于对敏感文件、木马文件、移动存储连接记录、移动存储交换文件的上报进行管理,对规则和任务到宿主客户端的推送、对任务的下发进行核查管理,以及进行系统配置。本申请提供的一个或多个技术方案,至少具有如下技术效果或优点:本专利技术克服了前述的现有技术中对窃密和泄密的溯源分析定位追踪的难点,对泄密和窃密的行为不能及时发现,及时处理,不能追溯到发起源,是人为还是后台木马操作。而且本专利技术解决了传统的文档发现方式的瓶颈,能够进一步的实时检查和识别敏感文件的被窃取和被泄露的行为,区分人为操作和后台木马操作,对木马操作能够进一步分析和预警拦截,能够回溯泄密和窃取方式,还原出事件现场,为管理人员提供有力的证据和线索。附图说明此处所说明的附图用来提供对本专利技术实施例的进一步理解,构成本申请的一部分,并不构成对本专利技术实施例的限定;图一为系统使用示意图;图二为宿主工作示意图;图三为宿主识别窃取流程图。具体实施方式本专利技术提供了一种文档泄密防护追踪系统,解决了现有技术对文档是否有窃密和泄密的方法存在的不足,能够对部署范围内的计算机被泄露和被窃取敏感文件进行溯源追踪,识别泄密方式和窃取方式,追踪到泄密源计算机,对爆发性木马和窃取文档程序的阻断和预警。为了能够更清楚地理解本专利技术的上述目的、特征和优点,下面结合附图和具体实施方式对本专利技术进行进一步的详细描述。需要说明的是,在相互不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。在下面的描述中阐述了很多具体细节以便于充分理解本专利技术,但是,本专利技术还可以采用其他不同于在此描述范围内的其他方式来实施,因此,本专利技术的保护范围并不受下面公开的具体实施例的限制。本专利技术提供的识别敏感文件泄露、窃取和追踪步骤包括:1、(内容)实时监控计算机敏感文件信息变化,对变化的文件内容进行关键字规则匹配。2、(行为)对所有访问该文档的程序进行行为沙盒分析,对文档的回写行为,对网络的连接行为,对移动设备的拷入拷出行为,对网络连接IP地址信息,对大量回写遍历文件行为,域名解析行为,上传和下载行为,文件感染行为,建立生态行为库(二分数据结构文件其中的规则),进行识别。3、(聚集)对访问敏感文档操作发起的行为程序:(1)如果有对外发起连接同时又是境外IP地址或者域名,将会被识别为外泄文档,将记录该程序的所有连带行为,检查是否有远控木马行为和攻击行为,统计后,在部署范围的计算机如果出现该程序将可以被阻断和预警。(2)当有破坏性程序或大量窃密文档程序,对计算机各个文档内容进行大量读写操作,篡改文件关键内容,将被识别为爆发性攻击行为的木马程序,对类似的行为操作,统计后,在部署范围内的计算机可以进行拦截和预警。(3)当敏感文档内容出现在网络数据包中,将进行行为检查,解析的域名或者IP是否出现在了浏览器或者敏感文档内容中,数据包内容,是否是畸形数据包(系统漏洞被利用),统计后,在部署范围内的计算机可以进行本文档来自技高网...
【技术保护点】
一种文档泄密防护追踪系统,其特征在于,所述防护追踪系统包括:管理模块、敏感词匹配模块、监控模块、行为分析模块、木马沙盒模块,预警分析模块;管理模块用于设置防护追踪系统的敏感词配置信息、用户自定义规则、下发对每个宿主操作系统的文档扫描匹配敏感词的计划任务;敏感词匹配模块用于对宿主操作系统所有进程访问的文档进行匹配和识别其中是否有配置的关键字;监控模块用于实时监视本地目录、文件,并控制本地目录、文件的访问进程行为;行为分析模块用于分析文件访问进程的各种行为;木马沙盒模块用于对有窃密行为的进程行为事件模拟回溯,识别木马窃密和木马爆发;预警分析模块用于当发现木马窃取行为时,对所有宿主客户端进行拦截和预警。
【技术特征摘要】
1.一种文档泄密防护追踪系统,其特征在于,所述防护追踪系统包括:管理模块、敏感词匹配模块、监控模块、行为分析模块、木马沙盒模块,预警分析模块;管理模块用于设置防护追踪系统的敏感词配置信息、用户自定义规则、下发对每个宿主操作系统的文档扫描匹配敏感词的计划任务;敏感词匹配模块用于对宿主操作系统所有进程访问的文档进行匹配和识别其中是否有配置的关键字;监控模块用于实时监视本地目录、文件,并控制本地目录、文件的访问进程行为;行为分析模块用于分析文件访问进程的各种行为;木马沙盒模块用于对有窃密行为的进程行为事件模拟回溯,识别木马窃密和木马爆发;预警分析模块用于当发现木马窃取行为时,对所有宿主客户端进行拦截和预警。2.根据权利要求1所述的文档泄密防护追踪系统,其特征在于,行为分析模块还用于对被识别为敏感文件的操作行为进行系统应用层进程关联,对操作当前发现敏感文档的进程行为进行关联,对该进程执行调用的API进行监控,对预设行为进行逐个关联,形成一个二分数据结构库,数据结构库中包括威胁的行为数据和特定的行为数据,用于定义被触发行为危险程度和风险级别。3.根据权利要求1所述的文档泄密防护追踪系统,其特征在于,木马沙盒模块还用于对触发行为库的进程进行沙盒模拟分析,通过进程调用系统关键API进行重定向的结果,来进行模拟该进程所要实现的目的,其中包括参数信息和目标信息的,对收到的结果和参数信息进行木马行为特征库的查找和关联,得到...
【专利技术属性】
技术研发人员:陈虹宇,吴刚,
申请(专利权)人:四川神琥科技有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。