【技术实现步骤摘要】
本专利技术涉及一种可信空间的行为管理系统、方法、计算机设备及存储介质,属于计算机安全。
技术介绍
1、沙盒技术是一种安全机制,用于隔离正在运行的程序。它通常用于执行未经验证的程序或疑似恶意的代码,从而防止可能的恶意软件或安全漏洞对主机系统造成损害。然而,随着恶意软件的发展,一些高级恶意软件已经能够识别出它们正在沙盒中运行,然后改变其行为以逃避检测。
2、恶意软件的沙盒逃逸是一种攻击技术,攻击者利用漏洞逃离沙盒环境,进入主机系统执行恶意行为。这种攻击方式对现有的安全防御体系构成了严重威胁。对于这种威胁,研究人员提出了利用各种技术进行沙盒逃逸检测和防御。例如,通过监控沙盒内外的行为差异,以及分析沙盒的异常行为,来检测和防止沙盒逃逸。
3、目前,基于安全工作空间的网安技术虽然在一定的环境中实现了应用及服务的安全访问,以及对恶意软件的阻挡。沙盒技术和主动防御技术是不同的。主动防御是发现程序有可疑行为时立即拦截并终止运行,而沙盒技术则是发现可疑行为后让程序继续运行,当发现的确是病毒时才会终止,但是自从诞生沙盒技术来阻挡恶意软件后,恶意软件也在时刻想办法逃避沙盒,实现沙盒逃逸。同时对于已访问或正在使用中的服务/应用难以获取实时的操作信息回馈,也给了恶意软件逃逸的管控的空间。
4、因此,需要提供一种云安全动态防御系统,以解决上述问题。
技术实现思路
1、本专利技术的目的在于提供一种可信空间的行为管理系统、方法、计算机设备及存储介质,解决现有安全工作空间中存在的
2、为达到上述目的,本专利技术提供如下技术方案:
3、第一方面,本申请提供一种可信空间的行为管理系统,包括:
4、安全码管理模块,包括第一存储单元,用于存储和管理所有安全码,所述安全码管理模块被配置为基于第一策略生成与客户端绑定的第一安全码,所述客户端只能通过所述第一安全码访问所述可信空间;
5、客户端管理模块,包括第二存储单元,用于存储客户端信息,所述客户端信息至少包括权限级别和设备信息;所述客户端管理模块被配置为对正确输入所述第一安全码的客户端进行认证,如认证成功则发放凭证;
6、策略管理模块,被配置为对持有所述凭证的客户端在可信空间的当前行为进行实时验证,并对可疑行为和/或危险行为进行管控;
7、水印管理模块,被配置为基于所述客户端信息和预设的水印策略生成水印,并嵌入至所述客户端所访问的文件中。
8、在其中一个或多个可能的实施方式中,所述安全码管理模块包括:
9、生成单元,基于加密算法生成不同的安全码,并存储在所述第一存储单元中;
10、分配单元,存储有所述第一策略,所述分配单元基于所述第一策略从所述第一存储单元中为客户端分配所述第一安全码;
11、认证单元,响应于所述客户端对可信空间的访问请求,对所述客户端的第一安全码进行认证;如所述第一安全码有效,则允许所述客户端访问可信空间;如所述第一无效或不存在,则拒绝访问;
12、更新单元,基于预设的更新规则,对所述第一存储单元的安全码进行更新。
13、在其中一个或多个可能的实施方式中,所述客户端管理模块包括:
14、验证单元,基于所述客户端信息至少对所述客户端的访问环境、当前设备状态以及所述当前行为进行验证,并根据验证结果对所述客户端进行标记;
15、管控单元,基于所述标记判断是否对所述客户端发放所述凭证,或者进行管控;
16、监控单元,搭建有持续认证网关和日志收集,被配置为实时对所述客户端正在访问或使用的应用及服务进行记录和验证。
17、在其中一个或多个可能的实施方式中,所述标记包括可疑行为和危险行为;
18、所述管控单元对存在所述可疑行为的客户端进行强制下线;和/或,所述管控单元对存在所述危险行为的客户端进行锁定;
19、当所述客户端被锁定时,在所述第一存储单元中删除所述第一安全码,在所述第二存储单元中删除所述客户端信息。
20、在其中一个或多个可能的实施方式中,所述水印管理模块包括:
21、水印生成单元,预设有水印策略,根据所述水印策略动态生成水印;
22、权限关联单元,接收所述客户端信息,将所述水印策略与所述权限级别关联,确保不同权限级别的客户端查看不同版本的水印或无水印文件;
23、文件处理接口,当所述客户端在可信空间打开文件时,所述文件处理接口调用水印生成单元,接收并基于所述权限关联单元的信息,在文件显示前嵌入水印或不嵌入水印,同时记录水印信息。
24、在其中一个或多个可能的实施方式中,所述水印策略为根据文件的属性(如文件id、用户标识、时间戳等)和预设策略动态生成水印。水印具备不可察觉性、鲁棒性和不可篡改性。
25、在其中一个或多个可能的实施方式中,所述行为管理系统还包括文件管理模块,所述文件管理模块包括:
26、审批流程管理单元,包含申请提交入口、审批员角色设置、审批规则引擎以及审批结果通知子模块,以实现对文件导入/导出请求的全流程管理;
27、权限验证单元,对接所述客户端管理模块,检查用户是否有权进行指定的导入/导出操作,并决定其可操作的数据范围;
28、批量操作控制单元,设定并实施批量导出阈值,当文件导出量达到阈值时触发额外的安全机制;
29、安全传输单元,提供安全通道及加密算法,所述行为管理系统中导出或导出的文件由所述加密算法进行加密后,通过所述安全通道传输。
30、在其中一个或多个可能的实施方式中,所述行为管理系统还配置有沙盒模块,所述可信空间位于所述沙盒模块中,所述沙盒模块将所述客户端在可信空间中的行为信息传输至所述策略管理模块。
31、第二方面,本申请提供一种可信空间的行为管理方法,其采用第一方面所述的可信空间的行为管理系统;所述可信空间的行为管理方法包括:
32、s1、基于第一策略生成与客户端绑定的第一安全码,所述客户端只能通过所述第一安全码访问所述可信空间;
33、s2、对正确输入所述第一安全码的客户端进行认证,如认证成功则发放凭证;
34、s3、对持有所述凭证的客户端在可信空间的当前行为进行实时验证,并对可疑行为和/或危险行为进行管控;
35、s4、基于所述客户端信息和预设的水印策略生成水印,并嵌入至所述客户端所访问的文件中。
36、第三方面,本申请提供一种计算机设备,其包括:处理器和存储器,所述存储器用于存储第一方面所述的可信空间的行为管理系统,所述处理器用于从存储器中调用并运行所述可信空间的行为管理系统,或者,执行第二方面所述的可信空间的行为管理方法。
37、第四方面,本申请提供一种计算机可读存储介质,其包括计算机程序,当所述计算机程序在计算机上运行时,使得所述计算本文档来自技高网...
【技术保护点】
1.一种可信空间的行为管理系统,其特征在于,包括:
2.如权利要求1所述的可信空间的行为管理系统,其特征在于,所述安全码管理模块包括:
3.如权利要求2所述的可信空间的行为管理系统,其特征在于,所述客户端管理模块包括:
4.如权利要求3所述的可信空间的行为管理系统,其特征在于,所述标记包括可疑行为和危险行为;
5.如权利要求1所述的可信空间的行为管理系统,其特征在于,所述水印管理模块包括:
6.如权利要求3所述的可信空间的行为管理系统,其特征在于,所述行为管理系统还包括文件管理模块,所述文件管理模块包括:
7.如权利要求1所述的可信空间的行为管理系统,其特征在于,所述行为管理系统还配置有沙盒模块,所述可信空间位于所述沙盒模块中,所述沙盒模块将所述客户端在可信空间中的行为信息传输至所述策略管理模块。
8.一种可信空间的行为管理方法,其特征在于,采用如权利要求1至7中任一项所述的可信空间的行为管理系统;所述可信空间的行为管理方法包括:
9.一种计算机设备,其特征在于,包括:处理器和存储器,
10.一种计算机可读存储介质,其特征在于,包括计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1至7中任一项所述的可信空间的行为管理系统,或者,执行权利要求9所述的可信空间的行为管理方法。
...【技术特征摘要】
1.一种可信空间的行为管理系统,其特征在于,包括:
2.如权利要求1所述的可信空间的行为管理系统,其特征在于,所述安全码管理模块包括:
3.如权利要求2所述的可信空间的行为管理系统,其特征在于,所述客户端管理模块包括:
4.如权利要求3所述的可信空间的行为管理系统,其特征在于,所述标记包括可疑行为和危险行为;
5.如权利要求1所述的可信空间的行为管理系统,其特征在于,所述水印管理模块包括:
6.如权利要求3所述的可信空间的行为管理系统,其特征在于,所述行为管理系统还包括文件管理模块,所述文件管理模块包括:
7.如权利要求1所述的可信空间的行为管理系统,其特征在于,所述行为管理系统还配置有沙盒模块,所述可信空间位于所述沙盒模块...
【专利技术属性】
技术研发人员:于新宇,薛超,
申请(专利权)人:江苏安几科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。