基于双驱动联动的文件安全主动防护方法,具体步骤:安装驱动,驱动以服务存在;通过服务管理项加载该联动驱动;将预置的文件安全防护规则读取至规则链;将IRP处理例程函数入口赋给DriverObject;填充FastI/O处理例程;文件过滤驱动正常派遣例程,并对缓存进行监控;创建系统线程,获取TCP/IP设备对象后,启动包括TDI层和NDIS层两层的网络驱动,对通过网络进程操作文件的行为进行监控;文件过滤驱动根据规则链,对接收到的IRP流进行过滤,对用户操作受保护文件的行为进行IRP级的监控。本发明专利技术基于内核态文件系统驱动和网络驱动联动的文件安全防护技术,有效解决了恶意文件操作和网络攻击活动以及病毒木马对文件的破坏和窃取。
【技术实现步骤摘要】
本专利技术属于通信与信息安全领域,特别是一种。
技术介绍
随着网络的快速发展,移动存储设备的不断丰富,以及应用软件使用方便性的进一步增强,文件安全防护所面临的问题与挑战也愈发突出。仅靠人工管理或监管软件早已不能满足现有的安全需求,因为当监管软件检测到恶意文件操作行为发生时,文件已经被破坏或窃取,这种被动的亡羊补牢式的传统监控技术有其明显的弱点与弊端。因此,需要有一套基于主动防御的监控技术来从根本上解决文件安全防护的问题。对于文件安全防护技术国内外均进行了很多的研究,但重点多在于对安全接入与控制技术方面,而对于合法用户对文件的主动破坏与窃取,防护的方法和手段不多。对于现有的文件安全防护技术,具体分析如下1.文件访问控制技术目前对于文件的访问控制技术主要分为两类应用层技术和内核层技术。基于应用层技术的文件访问控制比较容易实现,但存在效率低、易被绕过等缺点;而基于内核层技术的文件访问控制实施难度比较大,不过有运行效率高、不易被绕过等优点。内核层的监控主要有两种方法:Native API (Application Programming hterface,应用程序编程接口)拦截技术和文件过滤驱动技术。Native API拦截技术能够拦截、分析、跟踪本机系统内核对文件的操作信息。但Windows系统针对文件读写等操作的Native API较多,漏掉任何一个Native API都可能造成疏漏,而且该方法无法拦截网络对终端主机文件系统的Ι/Oanput/OutPut,输入输出)操作。Windows系统对Native API的1/0调用最终都是向底层文件系统发送IRP (1/0 Request Packet, 1/0请求包)来完成的,文件过滤驱动被加载到文件系统驱动后,可以直接拦截发送给文件系统的IRP,并且此方法可以拦截到由网络上传送到终端主机的IRP。2.文件加密技术文件系统支持的加密在Windows文件系统中,NTFS (New Technology File System,一种Windows下的标准文件系统)支持文件加密功能,但是它只能保护某个目录下的文件,它虽然能保证只有文件的所有者才能访问这些文件,但是当合法用户把这些文件移动到其它目录时,就会自动解密,易被恶意窃取。文件加密软件当前有许多文件加密软件,它们能对任何类型、任何大小的文件进行加密,但是当访问这些文件时,需要先把文件先解密成明文,访问完毕后,再加密成密文存储,效率不高。3.基于虚拟磁盘的监控技术当前许多文件安全防护基于虚拟磁盘技术。这类技术与EFS(Encrypting File System,加密文件系统)相类似,它创建一个文件作为一个虚拟磁盘,当数据存入虚拟磁盘4时,对文件进行加密,当数据读出时,对文件进行解密,这起到了一定的保护作用,但却不能防止用户对文件恶意破坏和窃取。以上文件安全防护机制存在以下几个问题(1)不能对合法用户的恶意破坏和窃取行为进行主动防御;(2)操作系统级的文件保护策略不够,文件操作监控不够彻底,易被内核级实现的防病毒软件和行为监控软件过滤;(3)安全防护时机选取不佳。
技术实现思路
本专利技术目的在于提供一种基于内核态文件系统驱动和网络驱动联动的文件安全防护技术,该技术可以防止受保护文件被恶意破坏和窃取。为了实现上述目的,本专利技术采用如下技术方案,其特征在于具体步骤如下a)利用INF文件安装驱动至目标操作系统,驱动以服务存在,并设置成随操作系统启动;b)通过操作系统的服务管理项加载该驱动;c)将预置的文件安全防护规则读取至规则链;d)将IRP处理例程函数入口赋给DriverObject即“驱动程序对象”的对应派遣例程数组;e)填充!^astI/O处理例程,Fast I/O是缓存管理器调用所引发的一种没有IRP的请求;文件过滤驱动除了正常派遣例程之外,还为DriverObject即驱动程序对象撰写另一组 Fast I/O函数,对缓存进行监控;f)创建系统线程,获取TCP/IP设备对象后,启动网络驱动,包括TDI层和NDIS层两层的网络驱动,对通过网络进程操作文件的行为进行监控;g)TDI即“Transport Driver Interface传输驱动程序接口 ”层网络驱动能够做到对系统中的网络进程的自发现,对联网状态的动态监控,以及对病毒木马破坏和窃取受保护文件的行为进行主动分析和捕获;ti)NDIS 即"Network Driver Interface Specification 网络驱动程序接口说明,,层网络驱动采用内核级内联Hook技术对NDIS. SYS关键导出API进行挂接,内联Hook挂接过程为找到系统原导出函数首地址,修改其前五个字节为JMP指令,用于跳转到自己的挂钩函数,当执行完自己的挂钩函数后跳转回系统原导出函数正常执行;对发送的NDIS数据包进行协议解析,防止用户通过局域网文件共享方式对受保护文件进行破坏和窃取,具体的流程为首先驱动程序调用XF_SendPaCket函数发送数据包,然后调用CheckPacket函数对 NDIS_PACKET封包进行解析,若是共享数据,则交由安全共享处理模块进行处理,否则以默认方式进行处理;i)文件过滤驱动根据规则链,对接收到的IRP流进行过滤,对用户操作受保护文件的行为进行IRP级的监控,依据被操作文件的安全属性,对IRP包序列进行行为特征分析,全寿命防护;步骤g、h和i是实时动态的,并无时间和逻辑上的先后顺序;步骤g和h中TDI层和NDIS层两层的网络驱动组织结构为网络行为首先由TDI层和 NDIS层驱进行处理,然后再交由网络文件行为实时捕获模块处理;步骤g、h和i中首先需要提取被操作文件的安全属性,依据文件安全属性对文件的操作进行主动安全防御,防止用户对被保护文件的恶意破坏和窃取。所述的步骤e中!^ast I/O函数完成以下两件事情之一第一,当操作完成时设置 IoStatus的返回值并给I/O管理器返回TRUE,这时I/O管理器会完成对应的I/O操作;第二,直接返回FALSE给I/O管理器,使其构造一个IRP从而调用标准的分派例程。所述的步骤c中的安全防护规则是指由管理员提前配置好的受保护文件的安全策略;为保证文件安全防护的友好性,以及整个系统的安全性,允许管理员同时定制多套控制策略来打造自己的安全平台。所述的步骤h中上层网络数据从协议栈中发下来到NDIS网络驱动层,在NDIS层对发送的数据封包进行判断,本步骤只判断数据封包是否为文件共享数据包。将文件的安全属性同文件数据本身分开,单独存储,在内核态创建一个数据库,即为一个内核文件,文件中的每条记录代表一个受保护文件的安全属性;在内核层对这个内核数据库文件进行操作,编程实现对内核态数据库文件的操作函数;为方便在文件过滤驱动中对数据库的操作,在内核态建立了一个静态链接库;文件系统驱动是针对每个卷来生成一个设备对象,而不是针对每个文件的,对文件读写的IRP,都发往卷设备对象上;在每个卷上维护一个内核数据库文件,用来处理这个卷设备中的受保护文件的安全属性;此外, 对受保护文件安全属性拒绝一切对内核态的数据库文件的操作。所述的步骤a中,随操作系统启动是指定MartType值设为O ;驱动的安装过程为首先将驱动文件复制到本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:顾纯祥,潘晓东,苏永涛,曲俊峰,
申请(专利权)人:河南省躬行信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。