一种软件文件外发管控方法、装置、电子设备及介质制造方法及图纸

本申请提供了一种软件文件外发管控方法、装置、电子设备及介质。方法包括：首先配置目标进程的进程名和扫描规则至配置文件中，当监听到目标进程被启动时，在目标进程中注入hook模块，以对目标进程进行管控。当用户进行文件外发操作时，通过进行用户行为分析，确认该文件操作是否来自用户手动行为。对于来自用户手动操作行为的文件，根据扫描规则对该文件进行扫描，若命中扫描规则，则禁止打开文件，从而管控文件的外发。通过该方法，能够针对市场上大部分软件进程实现通用、有效的文件外发管控，保障企业数据的安全。障企业数据的安全。障企业数据的安全。

【技术实现步骤摘要】
一种软件文件外发管控方法、装置、电子设备及介质


[0001]本申请涉及企业文件管控
，特别是涉及一种软件文件外发管控方法、装置、电子设备及介质。

技术介绍

[0002]随着信息科学和互联网技术的迅猛发展，数据安全问题日益凸显，网络与信息安全已逐渐成为人们关注的热点话题。在企业内部，员工使用即时聊天、网盘客户端等进程时，可能会意外或故意地泄露企业的机密文件，给企业带来不可估量的损失。为了避免出现泄密的风险，企业需要采取相应的管控措施。
[0003]目前现有技术方案通常需要事先针对某一特定软件进程进行文件操作行为分析，确定该进程在文件操作方面调用了哪些系统函数，然后对这些系统函数进行hook(挂钩，在对特定的系统事件进行hook后，一旦发生已hook事件，对该事件进行hook的程序就会收到系统的通知，这时程序就能在第一时间对该事件做出响应)，以拦截和修改进程对文件的传输请求，从而实现对文件的外发管控。然而，市面上可以进行文件数据外发的软件进程种类繁多，若要针对每个进程进行一对一适配管控，将耗费大量的时间和精力。因此，迫切需要一种软件文件外发管控技术，以针对市场上大部分进程实现有效的文件外发管控。

技术实现思路

[0004]本申请提供一种软件文件外发管控方法、装置、电子设备及介质，能够针对市场上大部分软件进程实现通用、有效的文件外发管控，保障企业数据的安全。
[0005]本申请实施例第一方面提供一种软件文件外发管控方法，上述方法包括：
[0006]配置目标进程的进程名和扫描规则至配置文件中，当监听到上述目标进程被启动时，在上述目标进程中注入hook模块，上述hook模块用于对文件操作接口进行钩取，以对目标进程进行管控；
[0007]当监听到上述目标进程企图执行文件打开操作时，通过上述hook模块拦截文件，并进行用户行为分析，过滤非用户手动操作产生的文件打开行为；
[0008]对于用户手动操作产生的文件打开行为，根据上述扫描规则对被打开文件进行扫描，若未命中扫描规则，则允许打开文件。
[0009]可选地，当监听到上述目标进程被启动时，在上述目标进程中注入hook模块，包括：
[0010]根据上述配置文件中的进程名，对上述目标进程设置监听；
[0011]当监听到上述目标进程被启动时，通过远程注入技术在上述目标进程内创建远程线程；
[0012]若远程线程创建成功，则返回成功消息并在上述远程线程中加载上述hook模块；若远程线程创建失败，则返回失败消息并结束远程注入。
[0013]可选地，上述进行用户行为分析，过滤非用户手动操作产生的文件打开行为，包
括：
[0014]根据上述目标进程的堆栈信息和查询拖拽文件缓存库，判断当前文件打开操作是否符合用户手动操作产生的文件打开行为；若不符合，则正常打开文件；若符合，则对被打开文件进行扫描；
[0015]其中，上述用户手动操作产生的文件打开行为来自于文件打开对话框、文件拖拽以及剪贴板文件拷贝；
[0016]上述hook模块具体用于对文件打开对话框函数和文件拖拽函数进行钩取，以对目标进程进行管控。
[0017]可选地，判断上述文件打开行为是否来自于文件打开对话框，包括：
[0018]上述hook模块通过上述文件打开对话框函数在上述目标进程的内存空间中，获取动态链接库文件的首地址和末地址；
[0019]查询上述目标进程当前的堆栈信息，若上述堆栈信息中任一堆栈地址位于上述动态链接库文件的首地址和末地址之间，则确定上述文件打开行为来自于文件打开对话框，符合用户手动操作产生的文件打开行为。
[0020]可选地，判断上述文件打开行为是否来自于文件拖拽/剪贴板文件拷贝，包括：
[0021]当文件拖拽发生时，上述hook模块通过上述文件拖拽函数对被拖拽的文件信息进行缓存，形成拖拽文件缓存库；
[0022]查询上述拖拽文件缓存库，将当前被打开文件与缓存的拖拽文件进行路径匹配，若匹配成功，则确定上述文件打开行为来自于文件拖拽/剪贴板文件拷贝，符合用户手动操作产生的文件打开行为。
[0023]可选地，上述扫描规则为文件关键字；
[0024]上述根据上述扫描规则对被打开文件进行扫描，若未命中扫描规则，则允许打开文件，包括：
[0025]对上述被打开文件进行扫描，若上述被打开文件中包含预先配置的上述文件关键字，则关闭文件句柄并返回文件权限错误码，禁止打开文件；若上述被打开文件中不包含预先配置的上述文件关键字，则允许打开文件。
[0026]本申请实施例第二方面提供一种软件文件外发管控装置，上述装置包括：
[0027]hook注入模块，用于配置目标进程的进程名和扫描规则至配置文件中，当监听到上述目标进程被启动时，在上述目标进程中注入hook模块，上述hook模块用于对文件操作接口进行钩取，以对目标进程进行管控；
[0028]用户行为分析模块，用于当监听到上述目标进程企图执行文件打开操作时，通过上述hook模块拦截文件，并进行用户行为分析，过滤非用户手动操作产生的文件打开行为；
[0029]文件扫描模块，用于对用户手动操作产生的文件打开行为，根据上述扫描规则对被打开文件进行扫描，若未命中扫描规则，则允许打开文件。
[0030]可选地，上述用户行为分析模块具体用于：
[0031]根据上述目标进程的堆栈信息和查询拖拽文件缓存库，判断当前文件打开操作是否符合用户手动操作产生的文件打开行为；若不符合，则正常打开文件；若符合，则对被打开文件进行扫描；
[0032]其中，上述用户手动操作产生的文件打开行为来自于文件打开对话框、文件拖拽
以及剪贴板文件拷贝；
[0033]上述hook模块具体用于对文件打开对话框函数和文件拖拽函数进行钩取，以对目标进程进行管控。
[0034]本申请实施例第三方面提供一种可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时，实现如本申请第一方面上述的方法中的步骤。
[0035]本申请实施例第四方面提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，上述处理器执行时实现本申请第一方面上述的方法的步骤。
[0036]与现有技术相比，本申请包括以下优点：
[0037]1、通过hook模块钩取系统底层的文件打开函数，所以只需要事先配置进程名，当软件进程调用底层的文件打开函数进行文件打开操作时，就能通过hook模块对文件外发进行拦截和管控，而不需要像现有技术一样事先对目标进程进行针对性的文件操作分析，从而节省了开发人员大量的时间和精力。
[0038]2、当市场上出现新的软件进程，或者目标进程的文件操作行为发生了变化，也无需像现有技术一样重新进行分析和调整，减少了后期管理和维护的难度。这样，企业可以更加灵活地应对市场变化，同时保障数据的安全。
[0039]3、在处理拖拽文件操作时，通过h本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种软件文件外发管控方法，其特征在于，包括：配置目标进程的进程名和扫描规则至配置文件中，当监听到所述目标进程被启动时，在所述目标进程中注入hook模块，所述hook模块用于对文件操作接口进行钩取，以对目标进程进行管控；当监听到所述目标进程企图执行文件打开操作时，通过所述hook模块拦截文件，并进行用户行为分析，过滤非用户手动操作产生的文件打开行为；对于用户手动操作产生的文件打开行为，根据所述扫描规则对被打开文件进行扫描，若未命中扫描规则，则允许打开文件。2.根据权利要求1所述的一种软件文件外发管控方法，其特征在于，所述当监听到所述目标进程被启动时，在所述目标进程中注入hook模块，包括：根据所述配置文件中的进程名，对所述目标进程设置监听；当监听到所述目标进程被启动时，通过远程注入技术在所述目标进程内创建远程线程；若远程线程创建成功，则返回成功消息并在所述远程线程中加载所述hook模块；若远程线程创建失败，则返回失败消息并结束远程注入。3.根据权利要求1所述的一种软件文件外发管控方法，其特征在于，所述进行用户行为分析，过滤非用户手动操作产生的文件打开行为，包括：根据所述目标进程的堆栈信息和查询拖拽文件缓存库，判断当前文件打开操作是否符合用户手动操作产生的文件打开行为；若不符合，则正常打开文件；若符合，则对被打开文件进行扫描；其中，所述用户手动操作产生的文件打开行为来自于文件打开对话框、文件拖拽以及剪贴板文件拷贝；所述hook模块具体用于对文件打开对话框函数和文件拖拽函数进行钩取，以对目标进程进行管控。4.根据权利要求3所述的一种软件文件外发管控方法，其特征在于，判断所述文件打开行为是否来自于文件打开对话框，包括：所述hook模块通过所述文件打开对话框函数在所述目标进程的内存空间中，获取动态链接库文件的首地址和末地址；查询所述目标进程当前的堆栈信息，若所述堆栈信息中任一堆栈地址位于所述动态链接库文件的首地址和末地址之间，则确定所述文件打开行为来自于文件打开对话框，符合用户手动操作产生的文件打开行为。5.根据权利要求3所述的一种软件文件外发管控方法，其特征在于，判断所述文件打开行为是否来自于文件拖拽/剪贴板文件拷贝，包括：当文件拖拽发生时，所述hook模块通...

【专利技术属性】
技术研发人员：杨毅，王志海，喻波，王志华，
申请(专利权)人：北京明朝万达科技股份有限公司，
类型：发明
国别省市：