网站原创摘 要:随着计算机行业的不断发展,信息安全问题已经成为人们所关注的重大问题.国内外市场上存在的安全软件大都是针对外部进行违规操作的攻击行为进行防御的运行模式,而针对防内部人员泄密的安全软件却并不多.针对这一现状,本文利用关键字匹配技术和HO0k技术,设计了一种防内部人员泄密的检索软件.
关 键 词:安全;检索;泄密;扫描;Hook
中图分类号:TP311.52
随着计算机行业的不断发展,信息安全问题已经成为人们所关注的重大问题.而从信息安全的角度看,企业信息安全面临的问题主要分为主动泄密、被动泄密、恶意破坏和越权读取四种方式.主动泄密即为内部人员将资料通过U盘或移动硬盘从电脑中拷出带走,或内部人员通过互联网将资料通过电子邮件发送到自己的.被动泄密为外部人员通过手段攻入公司局域网窃取资料,或者电脑转手或丢失后,硬盘上的资料没有处理,导致泄密.而恶意破坏是员工离职恶意删除或格式化电脑数据.越权读取则是公司机密信息无法设置阅读权限.我们的程序就是针对主动泄密中内部人员利用存储设备拷贝机密文件的问题.
1国内外研究现状
现今国内外市场上存在的安全软件大都是针对外部进行违规操作的攻击行为进行防御的运行模式,而针对内部人员泄密的软件却并不多.很多防止内部人员泄密的软件都是通过加密或者设置权限防止对本地文件的拷贝操作,例如绿盾就是采用的这种隔离的方式来做到防止机密文件泄露.但是这只是单纯的限制了外接移动存储的写入功能,通过修改注册表,或者利用相关的软件可以就可以轻松的达到绕过这一防御的目的.这种方法看似有效,实则存在着漏洞,而且漏洞一旦被利用,不容易被发现,并能产生很大的危害和影响.
我们所设计软件的目标是通过程序监听进程,对所有在计算机上对外接存储设备的写入操作进行监听.当发现写入操作时,则告警.程序的本地检索功能,通过控件打开相应的文件进行关键字词的匹配,不仅可以对文件名称进行检索,更能对文件的内容进行识别.这样不仅可以判定存储设备是否进行了泄密活动,还能很好的收集其参与泄密活动的证据[1].
2防泄密检索软件系统设计
该系统按照其功能主要分为源文件扫描、外接设备病毒扫描、外接设备写入监听和路径文件扫描四个功能模块.第一源文件扫描分为源文件打开和关键字提取,主要是对源文件中的主要内容进行分析,提取出代表源文件的关 键 词,便于之后的匹配.第二外接设备病毒扫描是在外接设备接入计算机时,对外接设备的接入情况进行判断,并对外接设备中的可以文件进行扫描,判断其是否携带木马或病毒[2].第三外接设备写入监听分为监听和检测两部分,监听计算机进程,判断是否存在向外接设备写入数据的行为,监听到写入行为后检测写入的数据是否存在泄密的可能性.第四路径文件扫描主要是对目标路径下的所有文件进行扫描,用匹配的方法检测是否存在机密文件,从而判定目标路径是否有涉密信息[3].
如图1所示:
图1防泄密检索软件功能模块图
2.1源文件扫描:放入需要进行监控的源文件,用C++自带的文件调用的函数,将其导入程序中[4].通过对文件后缀名的判断进行选择,选择相应的控件打开文件调取文件的内容.对文件的内容进行筛选,对非单个(且少于四个)字符的字符组合出现次数进行整理,选出50个高频词汇作为备选.将选出的50个高频词汇与之前建立的数据库作与非运算,将在所有文件中都会出现的高频非关键的组合排除,剩下的关 键 词做降序排列,前十位作为关 键 词参与后面的流程.如果筛选后的关 键 词不足十个,则返回关 键 词提取的步骤,将之前筛选出的50个高频词汇忽略,再提取50个关 键 词.重复以上的提取步骤,若提取后的关 键 词仍不足十个,则判定关 键 词不足,提示用户更换文件或继续[5].
图2源文件扫描模块框架图
2.2外接设备病毒扫描:接入外接设备后,通过判断外接设备是否接入,来确定程序是否运行.当判定外接设备接入时运行程序,对外接设备中的可疑程序,主要以“.exe”等可自动运行的文件为主,进行安全检测,分析是否为病毒或木马.这一功能在国内市场已经存在,如360公司就制作了外接设备插入时进行病毒扫描的功能.在判定外接设备没有病毒和木马后,允许接入,如果检测到存在木马或病毒的可能性,自动取消与外接设备的连接,这样可以最大程度上避免外接设备将病毒或木马感染到计算机甚至局域网中[6].
图3外接设备病毒扫描模块框架图
2.3外接设备写入监听:利用HOOK技术监听剪贴板上的内容,通过对目标路径的分析,判断是否对外接设备进行了写入操作.(1)关键技术:采用的Hook应用模式是观察模式.使用软件时,可以先设定敏感词汇,当有用户复制剪切包含这个词汇的文件时,发出一个通知信息并记录.对特定的系统事件进行hook后,一旦发生已hook事件,对该事件进行hook的程序就会受到系统的通知,这时程序就能在第一时间对该事件做出响应.并且每一个Hook都有一个与之相关联的指针列表,称之为钩子链表,由系统来维护.这个列表的指针指向指定的,应用程序定义的,被Hook子程调用的回调函数,也就是该钩子的各个处理子程.当与指定的Hook类型关联的消息发生时,系统就把这个消息传递到Hook子程.一些Hook子程可以只监视消息,或者修改消息,或者停止消息的前进,避免这些消息传递到下一个Hook子程或者目的窗口.最近安装的钩子放在链的开始,而最早安装的钩子放在最后,也就是后加入的先获得控制权[7].(2)通过利用HOOK技术监听剪贴板上的内容,并通过对目标路径的分析,判断是否对外接设备进行了写入操作之后.整理写入外接设备中的内容,并用关键字匹配的方法与之前第一步获得的关键字词进行匹配,分析写入内容是否为机密内容.如果不是,则程序不做反应,如果检测为机密内容,则立即告警[8].基本流程如图4所示:
图4外接设备写入监听模块框架图
2.4路径文件扫描:(1)关键技术:关键字匹配的类型有广泛类型、词组匹配、完全匹配和否定匹配.我们所应用的匹配方法是基于完全匹配的.使用用户预存的关键字,对用户的文件进行扫描,找到包含关键字的所有地方.并且如果采用从文章开头进行匹配的话,那么篇幅较长文章将要花费很长时间,效率很低,所以单方向的匹配模式已经无法满足当前的需要了.所以该系统采用双方向进行匹配,这样可以避免篇幅较张文章带来的困扰.并且该系统尝试采用从文章开头和结尾处同时进行匹配,将匹配到的所有的包含关键字的地方输出到界面,提示用户使用用户预存的关键字,对用户的文件进行扫描,找到包含关键字的所有地方.(2)在选取需要进行扫描的目标路径之后,程序会自动遍历目标路径下的所有文件,并对其文件类型和路径进行整理,存放在数据库中.利用数据库中存储的文件条目,将文件利用相应的控件打开,读取内容.用之前数据库中存储的关键字词信息进行匹配,观察其内容是否涉密.将涉密文件的路径以及涉密内容导出,并存放结果于特定路径下的文件中[9].
基本流程如图5所示:
图5路径文件扫描模块框架图
3结束语
该软件与常见的防御手段从窃密源头防御不同,它利用关键字匹配技术和HOOK技术及剪贴板的应用相结合,对窃密的过程进行实时监管,完善了防窃密的安全流程.开发所用到的关 键 词匹配系统与大多数本地文件搜索系统不同,不仅可以支持文件名搜索,还可以支持文件内容的搜索.让用户不仅能从文件名来查找自己要找的文件,还能通过文件的内容进行搜索.
| 有关论文范文主题研究: | 关于计算机的论文范文 | 大学生适用: | 硕士论文、学院学士论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 82 | 写作解决问题: | 写作技巧 |
| 毕业论文开题报告: | 论文任务书、论文结论 | 职称论文适用: | 期刊目录、职称评副高 |
| 所属大学生专业类别: | 写作技巧 | 论文题目推荐度: | 最新题目 |
作者简介:张航航(1990-),男,河南省新乡市人,本科,研究方向:网络工程;李艳平(1972-),女,内蒙古满洲里市人,讲师,硕士,主要研究方向:云计算、物联网、网络安全;陈昕(1965-),男,安徽人,教授,博士,主要研究方向:计算机网络及其性能评价、网络安全、航电网络;廖子炎(1991-),男,山东省济南市人,本科,研究方向:网络工程;帅恺严(1993-),男,湖北人,本科,研究方向:网络工程.
作者单位:北京信息科技大学计算机学院,北京100085
基金项目:国家级2013年大学生科技创新计划项目经费资助(5JS19).