專利名稱:防止檔案以加密形式外泄的防護(hù)方法
技術(shù)領(lǐng)域:
本發(fā)明是一種防止檔案以加密形式外泄的防護(hù)方法,主要應(yīng)用于機密防護(hù)(DataLeakage Prevention)系統(tǒng)。機密防護(hù)系統(tǒng)在進(jìn)行檔案的內(nèi)容分析時,如果用戶的文件已經(jīng)過加密處理再對外傳送,理論上機密防護(hù)系統(tǒng)就無法對這些密文進(jìn)行內(nèi)容分析并決定如何控管。本發(fā)明提出一個解決方案,防止機密文件以加密的形式對外泄露,屬于機密防護(hù)領(lǐng)域的核心技術(shù)。
背景技術(shù):
機密防護(hù)系統(tǒng)需要進(jìn)行檔案的內(nèi)容分析,以決定是否允許用戶對外傳送這些檔案。但如果用戶先將檔案予以加密處理再對外傳送,理論上機密防護(hù)系統(tǒng)就無法對這些密文進(jìn)行內(nèi)容分析的作業(yè)。某些機密防護(hù)系統(tǒng)采用全面禁止疑似密文檔案對外傳送的監(jiān)控方式,但這涉及眾多密文格式的辨識,也會限制用戶的應(yīng)用系統(tǒng)功能與便利性。而本專利從系統(tǒng)底層針對用戶的加密及壓縮行為進(jìn)行監(jiān)控,能防止機密檔案被用戶以加密形式對外泄露,也不至于影響用戶的應(yīng)用系統(tǒng)功能與便利性。其他防止機密檔案對外泄露的傳統(tǒng)技術(shù),例如臺灣地區(qū)專利公告號343301,“用以追蹤信息外流狀況的信息保全系統(tǒng)及方法”,提出的方法為:利用不同的安全策略來執(zhí)行不同的數(shù)據(jù)保護(hù)方法,其重點為只要企業(yè)內(nèi)部的數(shù)據(jù)要外流時,用戶端就必須與特定的監(jiān)視伺服端連線,取得授權(quán)之后才得以放行,或是由伺服端將數(shù)據(jù)予以轉(zhuǎn)碼之后再傳出假數(shù)據(jù)。這個方法要求伺服端能夠立即回應(yīng)用戶端的需求,增加了企業(yè)內(nèi)部網(wǎng)絡(luò)的負(fù)荷而影響到網(wǎng)絡(luò)服務(wù)的速度及質(zhì)量,也需要安裝、維護(hù)特定的伺服系統(tǒng)才可防止機密數(shù)據(jù)的對外泄露。另于臺灣地區(qū)專利公開號200839549,“一種檔案外流追蹤的方法”當(dāng)中,可發(fā)現(xiàn)與本案有若干相似的技術(shù)構(gòu)想。然而所述方案是利用用戶端可辨識檔案的文件名、檔案容量大小、檔案片段字符串的比對方法,以解決傳統(tǒng)技術(shù)中無法立即追蹤且迅速找到相關(guān)泄密檔案及泄密者等問題。其另一目的在于防止用戶端使用不該持有的檔案進(jìn)行非法的行為或?qū)C密檔案外流的情事發(fā)生,以達(dá)到追蹤、監(jiān)督與管理檔案的功用。但該方案亦未如本專利針對用戶將檔案先加密后再對外傳出的行為進(jìn)行監(jiān)控,理論上如果用戶對外傳送的文件已經(jīng)過加密處理,則任何的機密防護(hù)系統(tǒng)將難以對這些密文的內(nèi)容進(jìn)行分析與控管的作業(yè)。本發(fā)明提出了一個解決方案,從系統(tǒng)底層針對用戶的加密行為進(jìn)行監(jiān)控,可在第一時間管制機密文件被應(yīng)用程序加密,從而提高了機密防護(hù)作業(yè)的效率與應(yīng)用系統(tǒng)功能面。
發(fā)明內(nèi)容
本發(fā)明專利目的在于建立一種防止檔案以加密形式外泄的防護(hù)方法,主要應(yīng)用于機密防護(hù)系統(tǒng)。當(dāng)用戶先對機密文件進(jìn)行加密作業(yè)之后再對外傳送密文時,理論上機密防護(hù)系統(tǒng)就無法進(jìn)行這些密文檔案的內(nèi)容分析及控管,本發(fā)明提出一個解決方案,防止機密檔案以加密的形式對外泄露,且不會限制應(yīng)用系統(tǒng)的功能與可用性。機密防護(hù)系統(tǒng)在進(jìn)行機密監(jiān)控作業(yè)時,必須能夠正確地判斷一份文件的內(nèi)容是否包含政策所定義的機密,以便執(zhí)行適當(dāng)?shù)姆雷o(hù)作業(yè)。但是在進(jìn)行文件檔案的內(nèi)容分析時,如果用戶對外傳送的文件已經(jīng)過加密處理,理論上機密防護(hù)系統(tǒng)就無法對這個密文檔案進(jìn)行內(nèi)容分析以及后續(xù)的控管作業(yè)。本發(fā)明提出一種防止檔案以加密形式外泄的防護(hù)方法,所述機密監(jiān)控方法首先針對目標(biāo)線程進(jìn)行應(yīng)用程序編程接口掛鉤(API Hook)的處理,所掛鉤的API為檔案讀寫行為相關(guān)的系統(tǒng)API,例如kernel32.dll的ReadFile與WriteFile等API,在應(yīng)用軟件激活時置入這些掛鉤進(jìn)行監(jiān)控,一旦某線程讀取了機密檔案之后,本發(fā)明系統(tǒng)即進(jìn)入防止加密寫檔的保護(hù)狀態(tài),在此狀態(tài)中所述線程所有寫出檔案的動作都會被分析,以判斷所述程序是否將機密文件加密轉(zhuǎn)碼并寫出密文檔案,若分析結(jié)果認(rèn)為所述線程已執(zhí)行加密寫文件的作業(yè),則本發(fā)明系統(tǒng)將依機密防護(hù)政策所規(guī)定,進(jìn)行警示、再加密、刪除、稽核等防護(hù)作業(yè),如此即可在第一時間防止應(yīng)用程序?qū)C密文件進(jìn)行加密處理,從而避免用戶后續(xù)對外傳送機密密文檔時的監(jiān)控難題,為了能夠辨識眾多的加密文件格式以進(jìn)行正確的防護(hù)作業(yè),本發(fā)明采用一種基于信息熵值以及檔案比對的綜合分析方法,可有效地判斷大多數(shù)加密算法所產(chǎn)生的密文文件格式。一種防止檔案以加密形式外泄的防護(hù)方法,系于機密防護(hù)系統(tǒng)的內(nèi)容分析與端點監(jiān)控作業(yè),所述的端點監(jiān)控作業(yè)的方法包括下列步驟:步驟a.當(dāng)所述機密防護(hù)系統(tǒng)偵測到用戶啟用應(yīng)用程序時,則加載一個監(jiān)控機密的動態(tài)函數(shù)庫,并置入檔案讀寫相關(guān)的應(yīng)用程序編程接口掛鉤;步驟b.當(dāng)置入的所述應(yīng)用程序編程接口掛鉤在偵測到所述應(yīng)用程序有讀取檔案時,則通過程序間通訊管道通知機密防護(hù)程序,進(jìn)行所述檔案的內(nèi)容分析作業(yè),以判斷所述應(yīng)用程序是否有將機密文件予以加密的行為;步驟c.所述應(yīng)用程序于收到所述機密防護(hù)系統(tǒng)傳回的內(nèi)容分析結(jié)果時,若為非機密文件則允許其繼續(xù)進(jìn)行檔案讀寫作業(yè),對于機密文件則進(jìn)入寫檔監(jiān)控狀態(tài);步驟d.所述應(yīng)用程序于所述寫文件監(jiān)控狀態(tài)中將分析所有寫出檔案的格式,若判斷為加密格式,則依照機密政策所訂進(jìn)行相應(yīng)的防護(hù)作業(yè)。所述的機密防護(hù)程序,是以一個預(yù)安裝于用戶計算機系統(tǒng)的常駐程序,負(fù)責(zé)機密防護(hù)系統(tǒng)的政策加載與執(zhí)行、內(nèi)容分析、稽核記錄作業(yè),所述檔案讀寫相關(guān)的應(yīng)用程序編程接口掛鉤,是指所述應(yīng)用程序編程接口掛鉤技術(shù),針對所述應(yīng)用程序進(jìn)行讀取檔案、寫出檔案作業(yè)時必需使用的操作系統(tǒng)函數(shù)庫,介入其間進(jìn)行額外的監(jiān)控處理,所述應(yīng)用程序編程接口掛鉤,在所述應(yīng)用程序讀取檔案時,即進(jìn)入相關(guān)所述掛鉤的監(jiān)控流程,所述監(jiān)控流程利用程序間通訊管道通知所述機密防護(hù)程序,請求所述機密防護(hù)程序進(jìn)行目標(biāo)檔案的內(nèi)容分析作業(yè),并取得分析結(jié)果,所述應(yīng)用程序編程接口掛鉤在控制加密寫文件時,所述程序間通訊管道收到所述機密防護(hù)系統(tǒng)傳回的內(nèi)容分析結(jié)果時,若所述目標(biāo)檔案并非機密文件,則繼續(xù)所述程序的所述檔案讀寫,不做任何的防護(hù),若為機密文件則進(jìn)入所述寫檔監(jiān)控狀態(tài),所述應(yīng)用程序當(dāng)進(jìn)入所述寫檔監(jiān)控狀態(tài)時,將分析所有寫出檔案的格式,若判斷其為加密格式則依照所述機密政策所訂進(jìn)行相應(yīng)的防護(hù)作業(yè),包括稽核、警示、再加密或刪除檔案作業(yè),若寫出的檔案并非加密格式,則繼續(xù)所述程序的所述檔案讀寫,不做任何的防護(hù),所述分析所述檔案是否為加密格式的方法,基于信息熵值以及檔案長度的比對分析,其步驟為:a.檢查并過濾所述應(yīng)用程序?qū)懗龅臋n案即為原檔案的情形,以免誤判密文格式;
b.檢查并過濾所述應(yīng)用程序?qū)懗龅臋n案為Base64編碼的情形,以免誤判密文格式;c.計算已寫出檔案內(nèi)容的熵值,若熵值低于某一預(yù)設(shè)(內(nèi)定)的門坎值則視為非加密格式;d.若所述檔案內(nèi)容的熵值高于所述門坎值,則進(jìn)一步分析所述檔案內(nèi)容是否為預(yù)設(shè)的壓縮格式(比如,常用的壓縮格式),以避免壓縮格式造成誤判的情形;e.若所述檔案內(nèi)容不是預(yù)設(shè)的壓縮格式則再進(jìn)行所述檔案內(nèi)容長度的比對分析,以決定所述寫出的所述檔案內(nèi)容是否為加密格式。其中依據(jù)所述檔案內(nèi)容長度進(jìn)行比對分析的方法,其步驟為:a.計算原檔案內(nèi)容壓縮后的長度作為參考值;b.進(jìn)行與所述寫出檔案長度的比較;c.作為所述比較基準(zhǔn)的密文檔案長度為:原檔案內(nèi)容壓縮后的長度的特定倍數(shù)范圍,以及所述原檔案內(nèi)容長度的特定倍數(shù)范圍,兩者均為密文長度;d.若所述寫出檔案的長度符合所述密文檔案長度,則判斷寫出的檔案為密文格式,否則即為非密文格式。本發(fā)明所提供的防止檔案以加密形式外泄的防護(hù)方法,與前述引證案及其他傳統(tǒng)技術(shù)相互比較時,更具有下列的優(yōu)點:1.本發(fā)明的防止檔案以加密形式外泄的防護(hù)方法,應(yīng)用程序?qū)C密文件進(jìn)行加密處理的第一時間進(jìn)行防護(hù)作業(yè),從而避免后續(xù)用戶對外傳送密文檔時的監(jiān)控難題。2.本發(fā)明的防止檔案以加密形式外泄的防護(hù)方法,不會限制用戶的應(yīng)用系統(tǒng)功能與便利性。3.本發(fā)明的防止檔案以加密形式外泄的防護(hù)方法,采用一種基于信息熵值以及檔案比對的綜合分析方法,可以有效地判斷大多數(shù)加密算法所產(chǎn)生的密文文件格式。
圖1為本發(fā)明防止檔案以加密形式外泄的防護(hù)方法實施例的系統(tǒng)架構(gòu)圖;圖2為本發(fā)明防止檔案以加密形式外泄的防護(hù)方法實施例的加密應(yīng)用程序監(jiān)控流程圖;圖3為本發(fā)明防止檔案以加密形式外泄的防護(hù)方法實施例的密文格式分析流程圖;附圖標(biāo)記說明110 用戶;120機密文件;130加密應(yīng)用程序;140 檔案;150計算機系統(tǒng);160動態(tài)函數(shù)庫;170機密管理中心;180機密防護(hù)系統(tǒng)程序;
200 260加密應(yīng)用程序監(jiān)控流程;300 380密文格式分析流程。
具體實施例方式請參考圖1,為本發(fā)明防止檔案以加密形式外泄的防護(hù)方法實施例的系統(tǒng)架構(gòu)圖,由圖中可知,用戶110于操作計算機系統(tǒng)150時,所啟用的加密應(yīng)用程序130會讀取機密文件120再進(jìn)行轉(zhuǎn)碼加密的作業(yè),當(dāng)加密應(yīng)用程序130啟動時會先加載本發(fā)明的機密監(jiān)控動態(tài)函數(shù)庫160,加載方式可利用操作系統(tǒng)提供的機制或由機密防護(hù)系統(tǒng)程序180持續(xù)監(jiān)視所有程序的啟動并由遠(yuǎn)程置入,當(dāng)加密應(yīng)用程序130讀取某一機密文件120時,預(yù)置于加密應(yīng)用程序130的動態(tài)函數(shù)庫160所監(jiān)控的API掛鉤,即利用程序間通訊(Inter ProcessCommunication)的方式通知機密防護(hù)系統(tǒng)程序180,進(jìn)行所述檔案的內(nèi)容分析,以便加密應(yīng)用程序130判斷是否已讀取含有機密內(nèi)容的檔案而須進(jìn)入加密寫檔的防護(hù)狀態(tài),若在此防護(hù)狀態(tài)中加密應(yīng)用程序130寫出了某一個檔案140,此時應(yīng)用程序130會立即分析所述寫出的檔案140是否為加密檔案,若經(jīng)判斷為加密檔案則依機密防護(hù)政策所示刪除所述檔案140,或是進(jìn)行再加密、隔離、稽核等防護(hù)作業(yè),而機密防護(hù)系統(tǒng)程序180則將此事件記錄上傳至機密管理中心170伺服端進(jìn)行稽核管理。請參考圖2,為本發(fā)明防止檔案以加密形式外泄的防護(hù)方法實施例的加密應(yīng)用程序監(jiān)控流程圖,當(dāng)系統(tǒng)偵測到有加密應(yīng)用程序啟動200時即進(jìn)入偵測與分析的處理流程,首先進(jìn)行檔案讀寫作業(yè)相關(guān)API的掛鉤設(shè)置210,以監(jiān)控其后續(xù)的加密寫檔相關(guān)行為,當(dāng)所述線程讀取了某一檔案220時,讀檔相關(guān)的API掛鉤,例如Kernel32.dll的ReadFile,立即會以具名管線(Named Pipe)的方法通知機密防護(hù)程序進(jìn)行所述檔案的內(nèi)容分析230,判斷所述檔案分析的結(jié)果是否為加密231,若所述檔案分析的結(jié)果為無機密內(nèi)容,則不需進(jìn)行加密寫文件的防護(hù),應(yīng)用程序可繼續(xù)完成其檔案讀寫的作業(yè)270,若分析結(jié)果表示已讀取的檔案為機密文件,則需進(jìn)行此應(yīng) 用程序?qū)懳募鳂I(yè)的監(jiān)控240,接下來如果所述應(yīng)用程序有任何寫出檔案的行為250,則寫檔相關(guān)的API掛鉤,例如Kernel32.dll的WriteFile與CloseHandle會先查出檔案與路徑名稱再進(jìn)行是否為一般文件格式251或加密檔案252的分析,若分析結(jié)果251表示已寫出的檔案為一般文件格式,則可繼續(xù)完成其檔案讀寫的作業(yè)270,若不為一般文件格式252,則進(jìn)行是否為加密檔案的分析252,再依機密防護(hù)政策所示進(jìn)行警示、再加密、稽核或刪除等相關(guān)防護(hù)作業(yè)260。若所述檔案分析的結(jié)果251不是密文格式則無需進(jìn)行防護(hù),應(yīng)用程序可繼續(xù)完成其檔案讀寫的作業(yè)270。請參考圖3,為本發(fā)明防止檔案以加密形式外泄的防護(hù)方法實施例的密文格式分析流程圖,首先讀取已寫出的檔案內(nèi)容300,接著與原檔案進(jìn)行內(nèi)容的相互比較310,判斷是否相同311,經(jīng)過比對后若兩者內(nèi)容相同即表示不是密文格式而傳回False值380,并結(jié)束密文格式的分析流程,否則再判斷檔案內(nèi)容是否為Base64編碼格式312,若為Base64編碼格式,則進(jìn)行譯碼作業(yè)320,然后再回到上述的檔案內(nèi)容比對流程310,若不是Base64編碼格式,則計算數(shù)據(jù)內(nèi)容熵(Entropy)值330,熵值是一種基于信息論(InformationTheory)關(guān)于不確定性(Uncertainty)的數(shù)學(xué)度量,如下所示:H(X) = 1gb - -
ti ρ(χ
其表示單位通常為bits/byte,最小值趨近于0,最大值趨近于8,本發(fā)明將他應(yīng)用于密文文件格式的判斷,一般而言,若計算出的熵值偏高則代表所述檔案內(nèi)容的編碼組合相當(dāng)隨機,且難以進(jìn)一步壓縮所述檔案內(nèi)容,大多數(shù)的密文檔案、已壓縮過的檔案或是多媒體影音文件等格式,都是具有高熵值的檔案內(nèi)容,判斷熵值是否大于門檻值331,若計算結(jié)果所述檔案內(nèi)容的熵值小于內(nèi)定的門坎值,例如小于7.0,則傳回False值380結(jié)束密文格式的分析流程,否則,若所述檔案內(nèi)容的熵值大于內(nèi)定門坎值,則進(jìn)行檔案內(nèi)容是否為一般壓縮格式的分析332,在此所謂的一般壓縮格式是指ZIP、GZIP、RAR、ARJ、LZH等常見的文件壓縮格式,當(dāng)判斷所述檔案內(nèi)容為壓縮格式時則進(jìn)一步分析是否屬于壓縮加密的格式333,分析結(jié)果若不是壓縮加密格式則傳回False值360,否則即傳回True值結(jié)束密文格式分析流程370 ;若之前判斷所述檔案內(nèi)容并非一般的壓縮格式,則繼續(xù)進(jìn)行與原檔案內(nèi)容的比較,在這里計算壓縮長度340,利用檔案長度的比較350以進(jìn)一步判斷所述寫出的檔案內(nèi)容是否為密文格式351,這是基于一般的加密算法所產(chǎn)制的密文檔案長度,通常會等于或稍大于原來的明文檔案長度Lo,但因為許多加密程序會整合壓縮的功能,造成密文檔案長度反較原檔案長度為小,所以本方法于此處也需計算出原檔案內(nèi)容執(zhí)行標(biāo)準(zhǔn)ZIP壓縮后的長度Lc作為參考值340,而作為判斷基準(zhǔn)的密文可能長度Le則可定義為:所述原檔案內(nèi)容的壓縮后長度Lc的0.8倍至Lc的1.3倍左右,以及原檔案長度Lo至Lo的1.1倍左右,兩者都是可能的密文長度Le。當(dāng)寫出的檔案內(nèi)容長度并非上述兩種可能的密文長度時,則傳回False值380結(jié)束流程,若為密文長度則可視為密文格式而傳回True值370結(jié)束密文格式分析的流程。以上所述實施例僅表達(dá)了本發(fā)明的幾種實施方式,其描述較為具體和詳細(xì),但并不能因此而理解為對本發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是,對于本領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進(jìn),這些都屬于本發(fā)明的保護(hù)范圍。因此,本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。
權(quán)利要求
1.一種防止檔案以加密形式外泄的防護(hù)方法,其特征在于,系于機密防護(hù)系統(tǒng)的內(nèi)容分析與端點監(jiān)控作業(yè),所述的端點監(jiān)控作業(yè)的方法包括下列步驟: 步驟a.當(dāng)所述機密防護(hù)系統(tǒng)偵測到用戶啟用應(yīng)用程序時,則加載一個監(jiān)控機密的動態(tài)函數(shù)庫,并置入檔案讀寫相關(guān)的應(yīng)用程序編程接口掛鉤; 步驟b.當(dāng)置入的所述應(yīng)用程序編程接口掛鉤在偵測到所述應(yīng)用程序有讀取檔案時,則通過程序間通訊管道通知機密防護(hù)程序,進(jìn)行所述檔案的內(nèi)容分析作業(yè),以判斷所述應(yīng)用程序是否有將機密文件予以加密的行為; 步驟c.所述應(yīng)用程序于收到所述機密防護(hù)系統(tǒng)傳回的內(nèi)容分析結(jié)果時,若為非機密文件,則允許其繼續(xù)進(jìn)行檔案讀寫作業(yè),對于機密文件,則進(jìn)入寫檔監(jiān)控狀態(tài); 步驟d.所述應(yīng)用程序于所述寫檔監(jiān)控狀態(tài)中將分析所有寫出檔案的格式,若判斷為加密格式則依照機密政策所訂進(jìn)行相應(yīng)的防護(hù)作業(yè)。
2.根據(jù)權(quán)利要求1所述的防止檔案以加密形式外泄的防護(hù)方法,其特征在于,所述的機密防護(hù)程序,是以一個預(yù)安裝于用戶計算機系統(tǒng)的常駐程序,用于機密防護(hù)系統(tǒng)的政策加載與執(zhí)行、內(nèi)容分析、稽核記錄作業(yè)。
3.根據(jù)權(quán)利要求1所述的防止檔案以加密形式外泄的防護(hù)方法,其特征在于,所述的檔案讀寫相關(guān)的應(yīng)用程序編程接口掛鉤,是指所述應(yīng)用程序編程接口掛鉤技術(shù),針對所述應(yīng)用程序進(jìn)行讀取檔案、寫出檔案作業(yè)時必需使用的操作系統(tǒng)函數(shù)庫,介入其間進(jìn)行額外的監(jiān)控處理。
4.根據(jù)權(quán)利要求1所述的防止檔案以加密形式外泄的防護(hù)方法,其特征在于,所述的應(yīng)用程序編程接口掛鉤,在所述應(yīng)用程序讀取檔案時,即進(jìn)入相關(guān)所述掛鉤的監(jiān)控流程,所述監(jiān)控流程利用程序間通訊管道通知所述機密防護(hù)程序,請求所述機密防護(hù)程序進(jìn)行目標(biāo)檔案的內(nèi)容分析作業(yè) ,并取得分析結(jié)果。
5.根據(jù)權(quán)利要求1所述的防止檔案以加密形式外泄的防護(hù)方法,其特征在于,所述的應(yīng)用程序編程接口掛鉤在控制加密寫檔時,所述程序間通訊管道收到所述機密防護(hù)系統(tǒng)傳回的內(nèi)容分析結(jié)果時,若所述目標(biāo)檔案并非機密文件,則繼續(xù)所述程序的所述檔案讀寫,不做任何的防護(hù),若為機密文件則進(jìn)入所述寫檔監(jiān)控狀態(tài)。
6.根據(jù)權(quán)利要求5所述的防止檔案以加密形式外泄的防護(hù)方法,其特征在于,所述的應(yīng)用程序當(dāng)進(jìn)入所述寫檔監(jiān)控狀態(tài)時,將分析所有寫出檔案的格式,若判斷其為加密格式,則依照所述機密政策所訂進(jìn)行相應(yīng)的防護(hù)作業(yè),包括稽核、警示、再加密或刪除檔案作業(yè),若寫出的檔案并非加密格式,則繼續(xù)所述程序的所述檔案讀寫,不做任何的防護(hù)。
7.根據(jù)權(quán)利要求6所述的防止檔案以加密形式外泄的防護(hù)方法,其特征在于,所述的分析所述檔案是否為加密格式的方法,基于信息熵值以及檔案長度的比對分析,其步驟為: 步驟a.檢查并過濾所述應(yīng)用程序?qū)懗龅臋n案即為原檔案的情形; 步驟b.檢查并過濾所述應(yīng)用程序?qū)懗龅臋n案為Base64編碼的情形; 步驟c.計算已寫出檔案內(nèi)容的熵值,若熵值低于某一預(yù)設(shè)的門坎值則視為非加密格式; 步驟d.若所述檔案內(nèi)容的熵值高于所述門坎值,則進(jìn)一步分析所述檔案內(nèi)容是否為預(yù)設(shè)的壓縮格式;步驟e.若所述檔案內(nèi)容不是預(yù)設(shè)的壓縮格式,則再進(jìn)行所述檔案內(nèi)容長度的比對分析,以決定所述寫出的所述檔案內(nèi)容是否為加密格式。
8.根據(jù)權(quán)利要求7所述的防止檔案以加密形式外泄的防護(hù)方法,其特征在于,其中依據(jù)所述檔案內(nèi)容長度進(jìn)行比對分析的方法,其步驟為: 步驟a.計算原檔案內(nèi)容壓縮后的長度作為參考值; 步驟b.進(jìn)行與所述寫出檔案長度的比較; 步驟c.作為所述比較基準(zhǔn)的密文檔案長度為:原檔案內(nèi)容壓縮后的長度的特定倍數(shù)范圍,以及所述原檔案內(nèi)容長度的特定倍數(shù)范圍,兩者均為密文長度; 步驟d.若所述寫出檔案 的長度符合所述密文檔案長度,則判斷寫出的檔案為密文格式,否則即為非密文格式。
全文摘要
本發(fā)明提出一個解決方案,目的為防止機密文件被用戶以加密的形式對外泄露,相較于某些機密防護(hù)系統(tǒng)對任何無法分析的檔案,采取全面性管制其對外傳送的防護(hù)方式,或是基于若干啟發(fā)式原則進(jìn)行所有文件的外流控制,本發(fā)明從系統(tǒng)底層針對用戶的加密行為進(jìn)行監(jiān)控,在機密文件可能被加密的狀況中采取防范措施,不至于影響用戶的應(yīng)用系統(tǒng)功能與便利性,同時改善了機密監(jiān)控作業(yè)的精確度。而本發(fā)明采用一種基于信息熵值以及檔案比對的綜合分析方法,可以有效地判斷大多數(shù)加密算法所產(chǎn)生的密文文件格式。
文檔編號G06F21/60GK103150499SQ20131007241
公開日2013年6月12日 申請日期2013年3月7日 優(yōu)先權(quán)日2012年12月27日
發(fā)明者張明哲, 徐克華, 謝秉諺, 周淑羚, 張保忠 申請人:中華電信股份有限公司