防泄密检索软件.docVIP

防泄密检索软件 　　摘 要：随着计算机行业的不断发展，信息安全问题已经成为人们所关注的重大问题。国内外市场上存在的安全软件大都是针对外部进行违规操作的攻击行为进行防御的运行模式，而针对防内部人员泄密的安全软件却并不多。针对这一现状，本文利用关键字匹配技术和HO0k技术，设计了一种防内部人员泄密的检索软件。 　　关键词：安全；检索；泄密；扫描；Hook 　　中图分类号：TP311.52 　　随着计算机行业的不断发展，信息安全问题已经成为人们所关注的重大问题。而从信息安全的角度看，企业信息安全面临的问题主要分为主动泄密、被动泄密、恶意破坏和越权读取四种方式。主动泄密即为内部人员将资料通过U盘或移动硬盘从电脑中拷出带走，或内部人员通过互联网将资料通过电子邮件发送到自己的邮箱。被动泄密为外部人员通过黑客手段攻入公司局域网窃取资料，或者电脑转手或丢失后，硬盘上的资料没有处理，导致泄密。而恶意破坏是员工离职恶意删除或格式化电脑数据。越权读取则是公司机密信息无法设置阅读权限。我们的程序就是针对主动泄密中内部人员利用存储设备拷贝机密文件的问题。 　　1 国内外研究现状 　　现今国内外市场上存在的安全软件大都是针对外部进行违规操作的攻击行为进行防御的运行模式，而针对内部人员泄密的软件却并不多。很多防止内部人员泄密的软件都是通过加密或者设置权限防止对本地文件的拷贝操作，例如绿盾就是采用的这种隔离的方式来做到防止机密文件泄露。但是这只是单纯的限制了外接移动存储的写入功能，通过修改注册表，或者利用相关的软件可以就可以轻松的达到绕过这一防御的目的。这种方法看似有效，实则存在着漏洞，而且漏洞一旦被利用，不容易被发现，并能产生很大的危害和影响。 　　我们所设计软件的目标是通过程序监听进程，对所有在计算机上对外接存储设备的写入操作进行监听。当发现写入操作时，则告警。程序的本地检索功能，通过控件打开相应的文件进行关键字词的匹配，不仅可以对文件名称进行检索，更能对文件的内容进行识别。这样不仅可以判定存储设备是否进行了泄密活动，还能很好的收集其参与泄密活动的证据[1]。 　　2 防泄密检索软件系统设计 　　该系统按照其功能主要分为源文件扫描、外接设备病毒扫描、外接设备写入监听和路径文件扫描四个功能模块。第一源文件扫描分为源文件打开和关键字提取，主要是对源文件中的主要内容进行分析，提取出代表源文件的关键词，便于之后的匹配。第二外接设备病毒扫描是在外接设备接入计算机时，对外接设备的接入情况进行判断，并对外接设备中的可以文件进行扫描，判断其是否携带木马或病毒[2]。第三外接设备写入监听分为监听和检测两部分，监听计算机进程，判断是否存在向外接设备写入数据的行为，监听到写入行为后检测写入的数据是否存在泄密的可能性。第四路径文件扫描主要是对目标路径下的所有文件进行扫描，用匹配的方法检测是否存在机密文件，从而判定目标路径是否有涉密信息[3]。 　　如图1所示： 　　图1 防泄密检索软件功能模块图 　　2.1 源文件扫描：放入需要进行监控的源文件，用C++自带的文件调用的函数，将其导入程序中[4]。通过对文件后缀名的判断进行选择，选择相应的控件打开文件调取文件的内容。对文件的内容进行筛选，对非单个（且少于四个）字符的字符组合出现次数进行整理，选出50个高频词汇作为备选。将选出的50个高频词汇与之前建立的数据库作与非运算，将在所有文件中都会出现的高频非关键的组合排除，剩下的关键词做降序排列，前十位作为关键词参与后面的流程。如果筛选后的关键词不足十个，则返回关键词提取的步骤，将之前筛选出的50个高频词汇忽略，再提取50个关键词。重复以上的提取步骤，若提取后的关键词仍不足十个，则判定关键词不足，提示用户更换文件或继续[5]。 　　图2 源文件扫描模块框架图 　　2.2 外接设备病毒扫描：接入外接设备后，通过判断外接设备是否接入，来确定程序是否运行。当判定外接设备接入时运行程序，对外接设备中的可疑程序，主要以“.exe”等可自动运行的文件为主，进行安全检测，分析是否为病毒或木马。这一功能在国内市场已经存在，如360公司就制作了外接设备插入时进行病毒扫描的功能。在判定外接设备没有病毒和木马后，允许接入，如果检测到存在木马或病毒的可能性，自动取消与外接设备的连接，这样可以最大程度上避免外接设备将病毒或木马感染到计算机甚至局域网中[6]。 　　图3 外接设备病毒扫描模块框架图 　　2.3 外接设备写入监听：利用HOOK技术监听剪贴板上的内容，通过对目标路径的分析，判断是否对外接设备进行了写入操作。（1）关键技术：采用的Hook应用模式是观察模式。使用软件时，可以先设定敏感词汇，当有用户复制剪切包含这个词汇的文件时，发出一个通知信息并记录。对特定的系统事件