一種基于計(jì)算機(jī)行為的數(shù)據(jù)防泄露系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種數(shù)據(jù)保護(hù)系統(tǒng),尤其涉及一種基于計(jì)算機(jī)行為的數(shù)據(jù)防泄露系統(tǒng),同時(shí)還涉及一種基于計(jì)算機(jī)行為的數(shù)據(jù)防泄露方法,屬于信息安全技術(shù)領(lǐng)域。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)應(yīng)用越來(lái)越廣泛,人們對(duì)于計(jì)算機(jī)的數(shù)據(jù)安全要求也不斷提高。在用戶的計(jì)算機(jī)上往往會(huì)有一些涉及個(gè)人隱私的文件,一旦計(jì)算機(jī)被非法植入木馬,如果沒(méi)有相應(yīng)的個(gè)人隱私保護(hù)措施,則會(huì)導(dǎo)致個(gè)人隱私數(shù)據(jù)的泄露。其中,個(gè)人隱私數(shù)據(jù)泄露很大程度上是在數(shù)據(jù)外發(fā)過(guò)程中導(dǎo)致的。例如,防火墻可能會(huì)攔截一部分涉及用戶隱私的數(shù)據(jù),但是它主要是通過(guò)規(guī)則進(jìn)行限定,針對(duì)性不強(qiáng),還會(huì)導(dǎo)致計(jì)算機(jī)終端在數(shù)據(jù)外發(fā)過(guò)程中個(gè)人隱私數(shù)據(jù)泄露的問(wèn)題。
[0003]授權(quán)公告號(hào)為CN102004886B的中國(guó)發(fā)明專(zhuān)利公開(kāi)了一種基于操作系統(tǒng)虛擬化原理的數(shù)據(jù)防泄漏方法。它在計(jì)算機(jī)的宿主操作系統(tǒng)中增加虛擬隔離層和虛擬存儲(chǔ)區(qū);以虛擬隔離層及虛擬存儲(chǔ)區(qū)為基礎(chǔ)、結(jié)合虛擬桌面技術(shù)構(gòu)建一到多個(gè)虛擬隔離環(huán)境;每個(gè)虛擬隔離環(huán)境中所儲(chǔ)存的、包括文件和注冊(cè)表在內(nèi)的數(shù)據(jù)資源,均受到完善地隔離保護(hù),能夠確保環(huán)境中產(chǎn)生的數(shù)據(jù)不被泄漏到環(huán)境之外,從而防止主動(dòng)或被動(dòng)的數(shù)據(jù)泄露行為。但是,該方法需要增加虛擬系統(tǒng),增加了系統(tǒng)運(yùn)行時(shí)的系統(tǒng)開(kāi)銷(xiāo);對(duì)于用戶主動(dòng)發(fā)送的機(jī)密數(shù)據(jù),沒(méi)有進(jìn)行合理的分類(lèi)處理,給用戶造成不便。
[0004]申請(qǐng)公布號(hào)為CN103778377A的中國(guó)專(zhuān)利申請(qǐng)公開(kāi)了一種終端及防止敏感信息泄露的方法,通過(guò)檢測(cè)是否啟動(dòng)敏感信息或者敏感軟件,而關(guān)閉日志生成功能,從而防止惡意程序?qū)θ罩具M(jìn)行統(tǒng)計(jì)分析獲取到敏感信息。由于需要設(shè)定敏感軟件或者敏感詞,對(duì)于用戶主動(dòng)發(fā)送的敏感數(shù)據(jù)會(huì)關(guān)閉日志生成功能,從而影響了后續(xù)的安全檢查功能的實(shí)現(xiàn)。如果軟件自動(dòng)發(fā)送的敏感數(shù)據(jù)也無(wú)法進(jìn)行判斷,不能阻止敏感消息泄露,關(guān)閉日志生成功能反而對(duì)用戶查找泄露敏感信息不利。
【發(fā)明內(nèi)容】
[0005]針對(duì)現(xiàn)有技術(shù)的不足,本發(fā)明所要解決的首要技術(shù)問(wèn)題在于提供一種基于計(jì)算機(jī)行為的數(shù)據(jù)防泄露系統(tǒng)。
[0006]本發(fā)明所要解決的另一技術(shù)問(wèn)題在于提供一種基于計(jì)算機(jī)行為的數(shù)據(jù)防泄露方法。
[0007]為實(shí)現(xiàn)上述發(fā)明目的,本發(fā)明采用下述的技術(shù)方案:
[0008]一種基于計(jì)算機(jī)行為的數(shù)據(jù)防泄露系統(tǒng),包括:驅(qū)動(dòng)模塊、用戶行為分析模塊和數(shù)據(jù)判斷模塊,其中,
[0009]所述驅(qū)動(dòng)模塊用于監(jiān)聽(tīng)計(jì)算機(jī),當(dāng)檢測(cè)到所述計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)向外發(fā)送文件的事件發(fā)生時(shí),所述驅(qū)動(dòng)模塊向所述用戶行為分析模塊發(fā)送觸發(fā)信號(hào);
[0010]所述用戶行為分析模塊接收到所述觸發(fā)信號(hào)后,檢測(cè)是否有用戶輸入信息以及窗口信息,經(jīng)過(guò)判斷是由用戶主動(dòng)意愿發(fā)生的行為,則向所述數(shù)據(jù)類(lèi)型判斷模塊發(fā)出信息;
[0011]所述數(shù)據(jù)類(lèi)型判斷模塊對(duì)所述外發(fā)文件進(jìn)行判斷,并將所述外發(fā)文件涉密的判斷結(jié)果傳送給所述驅(qū)動(dòng)模塊;
[0012]所述驅(qū)動(dòng)模塊根據(jù)判斷結(jié)果對(duì)向外發(fā)送文件的事件進(jìn)行處理。
[0013]其中較優(yōu)地,還包括用戶展示模塊;其中,
[0014]所述用戶展示模塊接收所述數(shù)據(jù)類(lèi)型判斷模塊的信息,然后并將展示結(jié)果傳送至所述驅(qū)動(dòng)模塊。
[0015]其中較優(yōu)地,所述驅(qū)動(dòng)模塊設(shè)置在網(wǎng)絡(luò)層,用來(lái)過(guò)濾計(jì)算機(jī)的數(shù)據(jù)外發(fā)情況。
[0016]一種基于計(jì)算機(jī)行為的數(shù)據(jù)防泄露方法,基于上述的數(shù)據(jù)防泄露系統(tǒng)實(shí)現(xiàn),包括以下步驟:
[0017](I)當(dāng)監(jiān)測(cè)到計(jì)算機(jī)向外界發(fā)送文件時(shí),獲取所述數(shù)據(jù)所在的外發(fā)文件的后綴名和路徑,并發(fā)出觸發(fā)信號(hào);
[0018](2)判斷所述外發(fā)文件的后綴名和路徑是否在數(shù)據(jù)庫(kù)中,如果不存在于所述數(shù)據(jù)庫(kù)中,轉(zhuǎn)步驟(3);如果存在于所述數(shù)據(jù)庫(kù)中,轉(zhuǎn)到步驟(4);
[0019](3)當(dāng)前活動(dòng)窗口所在進(jìn)程是外發(fā)文件的進(jìn)程,并且用戶主動(dòng)意愿,則判斷所述外發(fā)文件的文件類(lèi)型合法,允許所述進(jìn)程進(jìn)行聯(lián)網(wǎng)發(fā)送文件;
[0020](4)判斷外發(fā)文件的動(dòng)作是否為后臺(tái)觸發(fā):如果不是后臺(tái)觸發(fā),且所述外發(fā)文件的路徑中與外發(fā)進(jìn)程的單位名為同一單位,則所述外發(fā)文件的文件類(lèi)型合法;如果所述外發(fā)文件的動(dòng)作是后臺(tái)觸發(fā),且所述外發(fā)文件的路徑不包含外發(fā)進(jìn)程的單位名,則所述外發(fā)文件的動(dòng)作為疑似泄密行為,終止所述進(jìn)程的聯(lián)網(wǎng)動(dòng)作。
[0021]其中較優(yōu)地,所述步驟(I)中,所述外發(fā)文件的后綴名為doc、jpg、xls或pdf中的一種或多種。
[0022]其中較優(yōu)地,所述步驟(2)中,所述數(shù)據(jù)庫(kù)中包含個(gè)人隱私文件的后綴名以及不同安全級(jí)別的關(guān)鍵詞。
[0023]其中較優(yōu)地,所述步驟(3)中,判斷是否為用戶主動(dòng)意愿的方法包括:
[0024](21)檢索外部輸入設(shè)備的動(dòng)作信息,若無(wú)動(dòng)作信息,則提示用戶;若有動(dòng)作信息,則轉(zhuǎn)到步驟(22);
[0025](22)檢測(cè)是否有活動(dòng)窗口消息,如果無(wú)活動(dòng)窗口信息,則提示用戶;如果有動(dòng)作消息,則轉(zhuǎn)到步驟(23);
[0026](23)判斷所述外發(fā)文件是否由所述活動(dòng)窗口實(shí)現(xiàn)的:如果不是,則阻止向外發(fā)送文件的行為;如果是,則為用戶主動(dòng)意愿發(fā)起的,允許向外發(fā)送文件。
[0027]其中較優(yōu)地,所述步驟(3)中,判斷是否為用戶主動(dòng)意愿的方法為:若某一個(gè)軟件在每次向外發(fā)送文件之前,都需要用戶進(jìn)行確認(rèn)操作,則該次外發(fā)行為判定為用戶主動(dòng)意愿;若某一個(gè)軟件只在第一次向外發(fā)送文件的時(shí)候通知用戶進(jìn)行確認(rèn),后面的外發(fā)行為判定為非用戶主動(dòng)意愿。
[0028]其中較優(yōu)地,所述步驟⑷中,在判斷所述外發(fā)文件的路徑中與外發(fā)進(jìn)程的單位名為同一單位時(shí),查詢包含軟件與其開(kāi)發(fā)單位之間映射關(guān)系的數(shù)據(jù)庫(kù)。
[0029]其中較優(yōu)地,若外發(fā)文件與外發(fā)行為屬于同一單位,則判定該外發(fā)行為是合法的,允許該外發(fā)行為繼續(xù)操作;若外發(fā)文件與外發(fā)行為不屬于同一單位,則判定該外發(fā)行為是非法的,攔截該外發(fā)行為。
[0030]與現(xiàn)有技術(shù)相比較,本發(fā)明針對(duì)計(jì)算機(jī)終端上的數(shù)據(jù)外發(fā)行為進(jìn)行全面分析、歸納和總結(jié),具有針對(duì)性強(qiáng)、誤報(bào)率低、效率高等優(yōu)點(diǎn),可以有效防止計(jì)算機(jī)終端上個(gè)人隱私數(shù)據(jù)泄露的情況發(fā)生。
【附圖說(shuō)明】
[0031]圖1是本發(fā)明的一個(gè)實(shí)施例中,基于計(jì)算機(jī)行為的數(shù)據(jù)防泄露系統(tǒng)的數(shù)據(jù)流向示意圖;
[0032]圖2是本發(fā)明的另外一實(shí)施例中,基于計(jì)算機(jī)行為的數(shù)據(jù)防泄露系統(tǒng)的數(shù)據(jù)流向示意圖;
[0033]圖3是本發(fā)明提供的一種基于計(jì)算機(jī)行為的數(shù)據(jù)防泄露方法的流程圖。
【具體實(shí)施方式】
[0034]下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明的技術(shù)內(nèi)容作進(jìn)一步的詳細(xì)說(shuō)明。
[0035]本發(fā)明首先提供了一種基于計(jì)算機(jī)行為的數(shù)據(jù)防泄露系統(tǒng)。如圖1所示,在本發(fā)明的一個(gè)實(shí)施例中包括驅(qū)動(dòng)模塊、用戶行為分析模塊、數(shù)據(jù)判斷模塊和用戶展示模塊。其中,驅(qū)動(dòng)模塊對(duì)計(jì)算機(jī)進(jìn)行監(jiān)聽(tīng),當(dāng)檢測(cè)到有計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)向外發(fā)送文件的事件發(fā)生時(shí),驅(qū)動(dòng)模塊向用戶行為分析模塊發(fā)送驅(qū)動(dòng)信號(hào)。此時(shí),用戶行為分析模塊啟動(dòng),開(kāi)始檢測(cè)用戶的鼠標(biāo)、鍵盤(pán)、觸摸屏等是否有用戶輸入信息。如果用戶有動(dòng)作發(fā)生,則繼續(xù)判斷是何種動(dòng)作,并且該動(dòng)作是否在事件對(duì)應(yīng)的窗口進(jìn)程發(fā)生的,當(dāng)條件都成立時(shí),則判斷該行為是由用戶主動(dòng)發(fā)出的。此時(shí),用戶行為分析模塊向數(shù)據(jù)類(lèi)型判斷模塊發(fā)出信號(hào),當(dāng)數(shù)據(jù)類(lèi)型判斷模塊接收到該信號(hào)時(shí),則對(duì)用戶外傳的文件進(jìn)行判斷:首先,提取所外傳文件的后綴名,同時(shí)提取關(guān)鍵詞,對(duì)后綴名與關(guān)鍵詞與數(shù)據(jù)防泄露系統(tǒng)在本地的數(shù)據(jù)庫(kù)進(jìn)行比對(duì),數(shù)據(jù)庫(kù)中包括不同安全級(jí)別的關(guān)鍵詞,例如秘密、機(jī)密、絕密等,并將比對(duì)結(jié)果傳送給驅(qū)動(dòng)模塊。驅(qū)動(dòng)模塊根據(jù)比對(duì)結(jié)果進(jìn)行判斷,如果比對(duì)結(jié)果不是用戶主動(dòng)外發(fā)的機(jī)密文件,則阻止文件外發(fā),從而保證文件的安全性。如果是用戶主動(dòng)外發(fā)的文件,對(duì)用戶進(jìn)行提示:該操作有可能泄密,請(qǐng)謹(jǐn)慎操作等。
[0036]如圖2所示,在本發(fā)明的另外一個(gè)實(shí)施例中,不包括用戶展示模塊。在該實(shí)施例中,驅(qū)動(dòng)模塊對(duì)計(jì)算機(jī)進(jìn)行監(jiān)聽(tīng),當(dāng)檢測(cè)到有計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)向外發(fā)送文件的事件發(fā)生時(shí),驅(qū)動(dòng)模塊向用戶行為分析模塊發(fā)送驅(qū)動(dòng)信號(hào)。用戶行為分析模塊開(kāi)始檢測(cè)用戶的鼠標(biāo)、鍵盤(pán)、觸摸屏等是否有用戶輸入信息,如果用戶有動(dòng)作發(fā)生,則繼續(xù)判斷是何種動(dòng)作,并且該動(dòng)作是否在事件對(duì)應(yīng)的窗口進(jìn)程發(fā)生的。當(dāng)條件都成立時(shí),則判斷該行為是由用戶主動(dòng)發(fā)出的,并將比對(duì)結(jié)果傳送給驅(qū)動(dòng)模塊。驅(qū)動(dòng)模塊根據(jù)比對(duì)結(jié)果進(jìn)行判斷,如果比對(duì)結(jié)果不是用戶主動(dòng)外發(fā)的機(jī)密文件,則阻止文件外發(fā),從而保證文件的安全性。如果是用戶主動(dòng)外發(fā)的文件,則直接允許操作,無(wú)需用戶各種操作,極大提高了數(shù)據(jù)防泄露系統(tǒng)的效率。
[0037]本發(fā)明還提供了一種基于計(jì)算機(jī)行為的數(shù)據(jù)防泄露方法,基于上述的數(shù)據(jù)防泄露系統(tǒng)實(shí)現(xiàn),如圖3所示,包括以下步驟:
[0038]1.探測(cè)計(jì)算機(jī)是否向外界發(fā)送文件,如果是的話則獲取該數(shù)據(jù)所在文件的后綴名和路徑。
[0039]上述的數(shù)據(jù)防泄露系統(tǒng)監(jiān)聽(tīng)計(jì)算機(jī)是否有向外界發(fā)送文件的事件發(fā)生。為此,本發(fā)明在網(wǎng)絡(luò)層設(shè)置了一個(gè)驅(qū)動(dòng)模塊,用來(lái)過(guò)濾計(jì)算機(jī)的數(shù)據(jù)外發(fā)情況。如果驅(qū)動(dòng)模塊未監(jiān)聽(tīng)到計(jì)算機(jī)有外發(fā)文件的事件,則繼續(xù)監(jiān)聽(tīng);如果檢測(cè)到有事件發(fā)生時(shí),則發(fā)出觸發(fā)信號(hào)。
[0040]2.分析計(jì)算機(jī)外