一种防止数据被后门窃取的方法及系统的制作方法
一种防止数据被后门窃取的方法及系统的制作方法
【技术领域】
[0001]本发明涉及网络信息安全领域,尤其涉及一种防止数据被后门窃取的方法及系统。
【背景技术】
[0002]APT (高级可持续威胁)对政府、企业、组织等的重要数据形成了前所未有的威胁。为保护重要数据不被窃取,常见的数据保护方法主要针对灾难性的保护,注重的是数据的备份、防止数据意外丢失等与恶意代码无关的硬件及软件的保护。而传统的反病毒软件、防火墙等安全设备及软件只针对恶意代码进行拦截,在APT时代,绝大部分的恶意代码的检出都大大滞后,这时,我们就迫切需要制作一种针对利用后门窃取数据的APT攻击的对数据的保护方法。
【发明内容】
[0003]本发明提供了一种防止数据被后门窃取的方法及系统,基于后门窃取数据行为与用户操作行为的区别,对未知操作行为进行判断,有效阻止后门对重要数据文件的恶意操作和窃取。
[0004]本发明采用如下方法来实现:一种防止数据被后门窃取的方法,包括:
对已知后门进行反汇编,获取与恶意行为相关的API序列;
将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报馨.1=1 ,
基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;
将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。
[0005]进一步地,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
[0006]进一步地,所述设定数据文件,包括:重要数据文件或者重要目录。
[0007]进一步地,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/o设备的操作过程。
[0008]更进一步地,监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
[0009]本发明采用如下系统来实现:一种防止数据被后门窃取的系统,包括:
API序列获取模块,用于对已知后门进行反汇编,获取与恶意行为相关的API序列;后门判定模块,用于将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;
白名单生成模块,用于基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;
用户行为判定模块,用于将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。
[0010]进一步地,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
[0011]进一步地,所述设定数据文件,包括:重要数据文件或者重要目录。
[0012]进一步地,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/o设备的操作过程。
[0013]更进一步地,监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
[0014]综上所述,本发明提供了一种防止数据被后门窃取的方法及系统,本发明所提供的技术方案,首先,对已知后门恶意代码进行反汇编,获取与恶意行为相关的API,并生成API序列;将未知操作行为与所述API序列进行匹配,从而判断是否是恶意后门行为,若是则报警;基于用户对重要数据文件或者重要目录的操作习惯,设置允许的操作行为或者允许的操作行为组合放入白名单;将未知操作行为与所述白名单匹配,从而判断是否是用户操作行为。
[0015]本发明的有益效果为:本发明的技术方案从分析已知后门的恶意行为特征,从而获取与恶意行为特征相关的API序列,作为恶意行为特征进行后门检测;通过对用户访问数据、修改数据或者删除数据的操作习惯,进行分析统计,设置允许的操作行为或者操作行为组合,以此判断未知操作行为是否属于用户操作行为。本发明不同于传统后门检测手段,基于后门窃取行为与用户操作行为的特征,生成检测规则,从而判断未知操作性是后门窃取行为还是用户操作行为,有效地识别和阻止后门对重要数据的窃取。
【附图说明】
[0016]为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0017]图1为本发明提供的一种防止数据被后门窃取的方法实施例流程图;
图2为本发明提供的一种防止数据被后门窃取的系统实施例结构图。
【具体实施方式】
[0018]本发明给出了一种防止数据被后门窃取的方法及系统的实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种防止数据被后门窃取的方法实施例,如图1所示,包括:
S101对已知后门进行反汇编,获取与恶意行为相关的API序列;
S102将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;
S103基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;
其中,针对不同的设定数据文件,设置与此对应的白名单;所述设定数据文件可以根据用户的需要进行选定;
S104将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。
[0019]优选地,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
[0020]优选地,所述设定数据文件,包括:重要数据文件 或者重要目录。
[0021]优选地,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/O设备的操作过程。
[0022]优选地,监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
[0023]例如:用户常常使用FTP软件或者QQ传输数据文件,则设定允许使用FTP软件或者QQ传输数据文件,认为该操作行为为用户操作行为,予以放行。
[0024]本发明还提供了一种防止数据被后门窃取的系统实施例,如图2所示,包括:
API序列获取模块201,用于对已知后门进行反汇编,获取与恶意行为相关的API序列;
后门判定模块202,用于将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;
白名单生成模块203,用于基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;
用户行为判定模块204,用于将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。
[0025]优选地,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
[0026]优选地,所述设定数据文件,包括:重要数据文件或者重要目录。
[0027]优选地,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/O设备的操作过程。
[0028]优选地,监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
[0029]例如:所述I/O设备的操作过程包括:鼠标移动、移动范围、移动时间、点击文件夹、进入目录时间或者其他击键操作;与进行上述操作时的屏幕截图对比,判断是否是人为操作。
[0030]其中,上述方法实施例与系统实施例可用于常见数据库数据,软件配置或者指定数据文件进行保护,例如:输入法信息保护、頂聊天记录保护等。
[0031]如上所述,传统的对于APT进行检测的方法存在很多误报和一定的滞后性,并不能及时阻断对重要数据的窃取。而本发明所述的技术方案通过仔细分析后门窃取行为特征,与用户操作行为特征的不同,分别生成API序列和白名单;若未知操作行为具备相同的API序列,则认为是后门窃取行为,予以报警;若未知操作行为与白名单成功匹配,则认为属于用户操作行为,予以放行。可以将本发明所述技术方案用于某个特定目录或者某个特定数据文件的保护。本发明所述的技术方案能够有效阻止后门窃取行为,而不会对用户的日常操作行为进行报警。
[0032]以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
【主权项】
1.一种防止数据被后门窃取的方法,其特征在于,包括: 对已知后门进行反汇编,获取与恶意行为相关的API序列; 将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报馨.1=1 , 基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单; 将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。2.如权利要求1所述的方法,其特征在于,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。3.如权利要求1所述的方法,其特征在于,所述设定数据文件,包括:重要数据文件或者重要目录。4.如权利要求1所述的方法,其特征在于,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/O设备的操作过程。5.如权利要求4所述的方法,其特征在于,监控所述I/O设备的操作过程,并与屏幕1/0截图对比,判定是否属于用户操作行为。6.一种防止数据被后门窃取的系统,其特征在于,包括: API序列获取模块,用于对已知后门进行反汇编,获取与恶意行为相关的API序列; 后门判定模块,用于将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警; 白名单生成模块,用于基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单; 用户行为判定模块,用于将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。7.如权利要求6所述的系统,其特征在于,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。8.如权利要求6所述的系统,其特征在于,所述设定数据文件,包括:重要数据文件或者重要目录。9.如权利要求6所述的系统,其特征在于,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/O设备的操作过程。10.如权利要求9所述的系统,其特征在于,监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
【专利摘要】本发明公开了一种防止数据被后门窃取的方法,包括:对已知后门进行反汇编,获取与恶意行为相关的API序列;将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。本发明还公开了一种防止数据被后门窃取的系统。本发明所述技术方案可以有效将后门窃取行为与用户操作行为区分开,有效防止重要数据被窃取。
【IPC分类】G06F21/56, G06F21/60
【公开号】CN105488404
【申请号】CN201410807760
【发明人】高喜宝, 李柏松
【申请人】哈尔滨安天科技股份有限公司
【公开日】2016年4月13日
【申请日】2014年12月23日
【技术领域】
[0001]本发明涉及网络信息安全领域,尤其涉及一种防止数据被后门窃取的方法及系统。
【背景技术】
[0002]APT (高级可持续威胁)对政府、企业、组织等的重要数据形成了前所未有的威胁。为保护重要数据不被窃取,常见的数据保护方法主要针对灾难性的保护,注重的是数据的备份、防止数据意外丢失等与恶意代码无关的硬件及软件的保护。而传统的反病毒软件、防火墙等安全设备及软件只针对恶意代码进行拦截,在APT时代,绝大部分的恶意代码的检出都大大滞后,这时,我们就迫切需要制作一种针对利用后门窃取数据的APT攻击的对数据的保护方法。
【发明内容】
[0003]本发明提供了一种防止数据被后门窃取的方法及系统,基于后门窃取数据行为与用户操作行为的区别,对未知操作行为进行判断,有效阻止后门对重要数据文件的恶意操作和窃取。
[0004]本发明采用如下方法来实现:一种防止数据被后门窃取的方法,包括:
对已知后门进行反汇编,获取与恶意行为相关的API序列;
将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报馨.1=1 ,
基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;
将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。
[0005]进一步地,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
[0006]进一步地,所述设定数据文件,包括:重要数据文件或者重要目录。
[0007]进一步地,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/o设备的操作过程。
[0008]更进一步地,监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
[0009]本发明采用如下系统来实现:一种防止数据被后门窃取的系统,包括:
API序列获取模块,用于对已知后门进行反汇编,获取与恶意行为相关的API序列;后门判定模块,用于将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;
白名单生成模块,用于基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;
用户行为判定模块,用于将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。
[0010]进一步地,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
[0011]进一步地,所述设定数据文件,包括:重要数据文件或者重要目录。
[0012]进一步地,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/o设备的操作过程。
[0013]更进一步地,监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
[0014]综上所述,本发明提供了一种防止数据被后门窃取的方法及系统,本发明所提供的技术方案,首先,对已知后门恶意代码进行反汇编,获取与恶意行为相关的API,并生成API序列;将未知操作行为与所述API序列进行匹配,从而判断是否是恶意后门行为,若是则报警;基于用户对重要数据文件或者重要目录的操作习惯,设置允许的操作行为或者允许的操作行为组合放入白名单;将未知操作行为与所述白名单匹配,从而判断是否是用户操作行为。
[0015]本发明的有益效果为:本发明的技术方案从分析已知后门的恶意行为特征,从而获取与恶意行为特征相关的API序列,作为恶意行为特征进行后门检测;通过对用户访问数据、修改数据或者删除数据的操作习惯,进行分析统计,设置允许的操作行为或者操作行为组合,以此判断未知操作行为是否属于用户操作行为。本发明不同于传统后门检测手段,基于后门窃取行为与用户操作行为的特征,生成检测规则,从而判断未知操作性是后门窃取行为还是用户操作行为,有效地识别和阻止后门对重要数据的窃取。
【附图说明】
[0016]为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0017]图1为本发明提供的一种防止数据被后门窃取的方法实施例流程图;
图2为本发明提供的一种防止数据被后门窃取的系统实施例结构图。
【具体实施方式】
[0018]本发明给出了一种防止数据被后门窃取的方法及系统的实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种防止数据被后门窃取的方法实施例,如图1所示,包括:
S101对已知后门进行反汇编,获取与恶意行为相关的API序列;
S102将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;
S103基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;
其中,针对不同的设定数据文件,设置与此对应的白名单;所述设定数据文件可以根据用户的需要进行选定;
S104将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。
[0019]优选地,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
[0020]优选地,所述设定数据文件,包括:重要数据文件 或者重要目录。
[0021]优选地,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/O设备的操作过程。
[0022]优选地,监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
[0023]例如:用户常常使用FTP软件或者QQ传输数据文件,则设定允许使用FTP软件或者QQ传输数据文件,认为该操作行为为用户操作行为,予以放行。
[0024]本发明还提供了一种防止数据被后门窃取的系统实施例,如图2所示,包括:
API序列获取模块201,用于对已知后门进行反汇编,获取与恶意行为相关的API序列;
后门判定模块202,用于将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;
白名单生成模块203,用于基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;
用户行为判定模块204,用于将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。
[0025]优选地,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。
[0026]优选地,所述设定数据文件,包括:重要数据文件或者重要目录。
[0027]优选地,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/O设备的操作过程。
[0028]优选地,监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
[0029]例如:所述I/O设备的操作过程包括:鼠标移动、移动范围、移动时间、点击文件夹、进入目录时间或者其他击键操作;与进行上述操作时的屏幕截图对比,判断是否是人为操作。
[0030]其中,上述方法实施例与系统实施例可用于常见数据库数据,软件配置或者指定数据文件进行保护,例如:输入法信息保护、頂聊天记录保护等。
[0031]如上所述,传统的对于APT进行检测的方法存在很多误报和一定的滞后性,并不能及时阻断对重要数据的窃取。而本发明所述的技术方案通过仔细分析后门窃取行为特征,与用户操作行为特征的不同,分别生成API序列和白名单;若未知操作行为具备相同的API序列,则认为是后门窃取行为,予以报警;若未知操作行为与白名单成功匹配,则认为属于用户操作行为,予以放行。可以将本发明所述技术方案用于某个特定目录或者某个特定数据文件的保护。本发明所述的技术方案能够有效阻止后门窃取行为,而不会对用户的日常操作行为进行报警。
[0032]以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
【主权项】
1.一种防止数据被后门窃取的方法,其特征在于,包括: 对已知后门进行反汇编,获取与恶意行为相关的API序列; 将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报馨.1=1 , 基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单; 将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。2.如权利要求1所述的方法,其特征在于,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。3.如权利要求1所述的方法,其特征在于,所述设定数据文件,包括:重要数据文件或者重要目录。4.如权利要求1所述的方法,其特征在于,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/O设备的操作过程。5.如权利要求4所述的方法,其特征在于,监控所述I/O设备的操作过程,并与屏幕1/0截图对比,判定是否属于用户操作行为。6.一种防止数据被后门窃取的系统,其特征在于,包括: API序列获取模块,用于对已知后门进行反汇编,获取与恶意行为相关的API序列; 后门判定模块,用于将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警; 白名单生成模块,用于基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单; 用户行为判定模块,用于将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。7.如权利要求6所述的系统,其特征在于,所述恶意行为包括:遍历系统磁盘、查找指定格式文件、查找指定后缀名文件、屏幕监控或者执行远程操作。8.如权利要求6所述的系统,其特征在于,所述设定数据文件,包括:重要数据文件或者重要目录。9.如权利要求6所述的系统,其特征在于,所述允许的操作行为,包括:允许使用的处理工具类型,允许使用的传输工具类型,允许I/O设备的操作过程。10.如权利要求9所述的系统,其特征在于,监控所述I/O设备的操作过程,并与屏幕I/O截图对比,判定是否属于用户操作行为。
【专利摘要】本发明公开了一种防止数据被后门窃取的方法,包括:对已知后门进行反汇编,获取与恶意行为相关的API序列;将未知操作行为与所述API序列进行匹配,若成功匹配则认为是后门窃取行为,并报警;基于用户对设定数据文件的操作习惯,设置允许的操作行为或者操作行为组合,形成白名单;将未知操作行为与所述白名单进行匹配,若成功匹配则认为是用户操作行为,予以放行。本发明还公开了一种防止数据被后门窃取的系统。本发明所述技术方案可以有效将后门窃取行为与用户操作行为区分开,有效防止重要数据被窃取。
【IPC分类】G06F21/56, G06F21/60
【公开号】CN105488404
【申请号】CN201410807760
【发明人】高喜宝, 李柏松
【申请人】哈尔滨安天科技股份有限公司
【公开日】2016年4月13日
【申请日】2014年12月23日
最新回复(0)