• / 11

文件失窃的感知方法及系统

关 键  词:
文件 失窃 感知 方法 系统
资源描述:

《文件失窃的感知方法及系统》文档由会员分享,可在线阅读,更多相关《文件失窃的感知方法及系统(11页珍藏版)》请在白瓜网上搜索。

1、的时间戳, 感知服务器收到解析请求后, 会记录一下时间)等信息与预定访问规则比对, 如果不是由合 规标识等信息。 0016 7)将步骤6)中提取到的IP地址、 用户名、 文件夹编号、 时间截(解析请求, 可获得发起访问主机的IP地址, 并进一步从域 名、 子域名中提取已登陆系统的用户名、 文件夹编号知服务器发起域名解析请 求, 请求解析UNC路径中的域名。 0015 6)感知服务器收到域名解析请求入的UNC路径中的命令会被执行, 得到当前登录的用户名, 并组成实际可寻址的UNC路径; 2、 向感有desktop.ini文件 的目录, 就会自动发生以下过程: 1、 desktop.ini文件中写。

2、sktop.ini文件(即, 与 该文件包无损压缩前的子目录、 文件布局一致), 一旦双击打开这个含知服务器发起域名解析请求, 解 析文件UNC路径中的域名。 文件包解压后生成一个目录, 里边含有dews主机上被解包并访问解包后的目 录, 其中的desktop.ini文件夹功能就会被触发, 从而向感析UNC路径中涉及的全部域名、 子域名。 0014 5)当文件包失窃或泄露时, 如果在某台Windo0013 4)在公网上部署名称服务器(Name Server)作为感知服务器, 要求该服务器能够 解原目录结构和文件内容。 一个典型的方法是将每个文件夹都制作为RAR、 ZIP等格式的压缩 包文件。 。

3、录层级及 各层级的文件, 并且可以无损压缩目录结构和文件内容, 通过 “解包” 操作能够在磁盘上还 址的UNC路径。 0012 3)将上述每个文件夹都整体上制作为一个 “文件包” , 文件包中保留原目中, 系统命令是UNC路径中的变量, 命令执行后, 其执行结果将替代该命令, 和其它内容组成一个可寻但不限于以下内容: 用于获得已登录系统用 户名的命令、 与所在文件夹一一对应的编号标识(ID)。 其网络上的位置; UNC为用于描述这个网 络位置的格式。 0011 构成UNC路径的域名和子域名中包括片, 这张图片的获取位置可以通过该文件夹 下的desktop.ini文件指定; 指定的位置可以是一个。

4、网络路径标识文件夹图标的网络位置。 每一个Windows 文件夹都有一个图标, 这个图标本质是一张图indows UNC(Universal Naming Convention, 通用命名规则)格式的ktop.ini文件为系统和隐蔽属性。 0010 2)在各desktop .ini文件中都写入满足W书 1/5 页 4 CN 112187699 A 4 (desktop.ini文件), 并设置des包括以下步骤: 0009 1)在存放敏感数据文件的同级或上级文件夹中, 额外放入文件夹配置文件 说明失窃事 件。 0007 为达上述目的, 本发明采取的具体技术方案是: 0008 一种异常感知方法, 。

5、适 于面向Windows、 Linux、 MacO等多操作系统上的数据保护, 能够有效感知和追踪数据知文件是否发生 失窃事件, 包括未知的窃密威胁。 该方法的实施及系统的部署与攻击者的攻击方法无关, 当好的防 御效果。 发明内容 0006 针对上述问题, 本发明采用主动标记追踪的策略, 目的是及时感的情况下, 也能及时感知 与追踪。 这种方法对目前越演越烈APT和内部人员主动窃取所导致数据泄露有相行成本较高。 采用内容监测的策略, 直接 对数据本身添加一层安全保障, 使得即使是在数据被攻击者窃取来实现对攻击与入侵的追踪, 这显然会增加路由器或其 他追踪设备的开销, 并增加网络的流量, 实现和运。

6、主流的网络追踪技术是通过在报文或数据包中添加标志数据(如数字水印), 然后对这些标志数据的检测与追踪一旦及时感知, 有效的实施追踪, 可以减小数据泄露带来的损失, 进一步追踪到窃密者。 0005 当前 常 常被人们忽略。 然而, 数据失泄密事件发生后的感知与追踪, 应该是数据保护的最后一道防 线, 段。 一旦某个 环节出现问题, 将导致整个泄漏防护失败。 此外, 对于数据失窃后的防护策略这一环节,求来建立相应的 防护机制, 数据生命周期包括数据的创建、 存储、 使用、 共享、 归档、 销毁几个阶找情报, 或者是疏忽或误操作。 0004 当前数据泄露的防御, 多是针对数据生命周期某个阶段的防护需。

7、瑞森Verizon的一份 数据泄露调查报告 显示, 全年25的攻击都是内部人所 致, 主要是求财、 程比较熟悉, 可以利用自身的权限和已知的系统脆弱点, 通过合法的操作直接窃取信息。 2018年, 威一些技术手段对 来自组织内部的窃密、 泄密威胁也无能为力。 由于内部授权用户对系统权限设置和业务流 nced Persistent Threat, 高级持续性威胁)难以达到很好的效果。 此外, 现有的 信息加密和漏洞扫描 等安全产品可以在一定程度上缓解失窃密风险, 但这些措施对于应对APT(Adva017年上半年, 全球就有19 亿条记录被泄或被盗。 虽然通过部署安装防火墙、 入侵检测、 防病毒、。

8、个人隐私的保护受到 巨大的挑战。 0003 政府机构、 企业面临严重的数据、 文件失窃密风险, 仅2穷, 数据泄露的规模与范围也在 迅速扩大。 数据泄露在为企业带来财产损失、 信誉风险的同时, 也使得对文件失窃的感知和追踪方法及系统。 背景技术 0002 伴随着大数据时代的到来, 数据泄露事件层出不域 0001 本发明涉及计算机网络安全领域, 特别涉及一种异常感知和追踪系统, 更具体地, 是一种针 权利要求书 2/2 页 3 CN 112187699 A 3 一种文件失窃的感知方法及系统 技术领并且解包后的目录被访问时, desktop.ini文件的功能被触发, 向感知服务器发起域名解析请求。。

9、ni的文件夹制作为一个文件包并对其进行压缩; 当压缩后的所述文件包在 一台Windows主机上被解包如权利要求6所述的系统, 其特征在于, 所述感知文件生成模块将每个包含夹配置 文件desktop.i白名单不相同; 2)请求的时间不在指定时间段内; 3) 一段设定时间长度内, 连续触发多次。 10., 其特征在于, 预设访问规则为下列规则中的至少一项: 1) 发起请求的IP地址、 用户名与所记录的后, 其执行结果将替代该命令, 和其它内容组成一个可寻 址的UNC路径。 9.如权利要求6所述的系统用户名的系统命令、 与所在文件夹对应的编号标识; 其中, 系统命 令是UNC路径中的变量, 命令执行。

10、利要求6所述的系统, 其特征在于, 该网络位置的描述信息包括但不限于以下内 容: 用于获得已登录系统一异常通知模块, 用于当感知服务器判定发生了失窃或泄密事件后, 向指定方发送访问警告信息。 8.如权判断是否发生 了失窃或泄密事件。 7.如权利要求6所述的系统, 其特征在于, 所述感知服务器上还包括统的用户名、 文 件夹编号标识; 分析控制模块, 用于根据请求处理模块提取到的信息与预定访问规则, N 112187699 A 2 请求, 以及从该域名解析请求中获得发起访问主机的IP地址以及已登陆系于接收desktop.ini文件的功能被触发向感知服务器发起域名解析 权利要求书 1/2 页 2 C。

11、标记信息, 以及记录受保护文件夹被 触发时所在的DNS请求源IP、 时间戳信息; 请求处理模块, 用名、 生成的ID标识、 文件夹名 称发送给数据库模块; 数据库模块, 用于记录感知文件生成模块返回的个文件包, 所述文件包中保留目录层级及 各层级目录中的文件; 以及将所述文件夹所属主机的IP、 用户足Windows UNC格式; 并且将上述每个 包含夹配置文件desktop.ini的文件夹制作为一入一用于获取该desktop.ini文件所在文件夹 的文件夹图标的网络位置, 该网络位置的描述格式满ini, 并设置desktop.ini文件为系 统和隐蔽属性, 在每一desktop.ini文件中写。

12、或服务器上, 用于在各存放设定敏感数据文件 的同级或上级文件夹中放入一文件夹配置文件desktop.服务器上包括数据库模块、 请求处理模块和分析控制模块; 其中, 感知文件生成模块, 位于受保护的主机信息。 6.一种文件失窃的感知系统, 其特征在于, 包括一感知服务器和感知文件生成模块, 所 述感知利要求1所述的方法, 其特征在于, 当感知服务器判定发生了失窃或泄密事件 后, 向指定方发送访问警告dows主机上被解包并且解包后的目录被访问时, desktop.ini文件的功能被触 发。 5.如权p.ini的文件夹制作为一个文件包并对其进行压缩; 步骤5)中, 当压缩后的所述文件 包在一台Win。

13、。 4.如权利要求1所述的方法, 其特征在于, 步骤3)中, 将上述每个包含夹配置文件 deskto与所记录的白名单不相同; 2)请求的时间不在指定时间段内; 3) 一段设定时间长度内, 连续触发多次所述的方法, 其特征在于, 预设访问规则为下列规则中的至少一项: 1) 发起请求的IP地址、 用户名 命令执行后, 其执行结果将替代该命令, 和其它内容组成一个可寻 址的UNC路径。 3.如权利要求1已登录系统用户名的系统命令、 与所在文件夹对应的编号标识; 其中, 系统命 令是UNC路径中的变量, 2.如权利要求1所述的方法, 其特征在于, 该网络位置的描述信息包括但不限于以下内 容: 用于获得。

14、号标识; 7)感知服务器根据步骤6)中提取到的信息与预定访问规则, 判断是否发生了失窃或泄 密事件。 6)感知服务器根据收到的域名解析请求获得发起访问主机的IP地址以及已登陆系统 的用户名、 文件夹编ws主机上被访问时, desktop.ini文件的功能被触发, 从 而向感知服务器发起域名解析请求;及各层级目录中的文件; 4)在公网上部署名称服务器作为感知服务器; 5)当所述文件包在一台Windo将上述每个包含夹配置文件desktop.ini的文件夹制作为一个文件包, 所述文件包 中保留目录层级文件所在文件夹的文件 夹图标的网络位置, 该网络位置的描述格式满足Windows UNC格式; 3)。

15、文件为系统和隐蔽属性; 2)在每一desktop.ini文件中写入一用于获取该desktop.ini文件的同级或上级文件夹中放入一文件夹配置文件 desktop.ini, 并设置desktop.ini CN 112187699 A 1.一种文件失窃的感知方法, 其步骤包括: 1)在各存放设定敏感数据泄密事件。 权利要求书2页 说明书5页 附图3页 CN 112187699 A 2021.01.05用户名、 文件夹编号标识; 7)感知服 务器根据提取到的信息与预定访问规则, 判断是 否发生了失窃或向感知服务器发起域名解析请求; 6)感知服务 器根据请求获得发起访问主机的IP地址以及已 登陆系统的。

16、 包; 4)在公网上部署名称服务器作为感知服务 器; 5)当文件包在一台主机上被访问时, 配置文 件 络位置, 该网络位置的描述格式满足Windows UNC格式; 3)将上述每个文件夹制作为一个文件 desktop.ini; 2)在每一配置文件中写入一用于 获取该配置文件所在文件夹的文件夹图标的网知方法及 系统。 本方法为: 1)在各存放设定敏感数据文件 的同级或上级文件夹中放入一文件夹配置文件.01) (54)发明名称 一种文件失窃的感知方法及系统 (57)摘要 本发明公开了一种文件失窃的感立彬 (51)Int.Cl. H04L 29/06(2006.01) H04L 29/12(2006崔翔冯云 刘奇旭王晓茜 (74)专利代理机构 北京君尚知识产权代理有限 公司 11200 代理人 司中国科学院信息工程研究所 地址 100093 北京市海淀区闵庄路甲89号 (72)发明人 刘潮歌尹捷(21)申请号 201910587125.1 (22)申请日 2019.07.01 (71)申请人 (19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日。

展开阅读全文
  白瓜网所有资源均用户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:文件失窃的感知方法及系统
链接地址:https://www.baigua.net/doc/791633.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

copyright@ 20018-2021 白瓜网版权所有

经营许可证编号:粤ICP备20005300号-1