数据审计方法、装置、设备及存储介质
阅读:893发布:2020-05-08
专利汇可以提供数据审计方法、装置、设备及存储介质专利检索,专利查询,专利分析的服务。并且本 发明 属于信息安全技术领域,公开了一种数据审计方法、装置、设备及存储介质。该方法通过利用钩子函数仅对与 进程 数据集合中记载的目标进程数据匹配的待管理上网行为对应的待审计进程数据进行拦截,然后根据拦截到的待审计进程数据对应的系统API获取待管理上网行为对应的待审计信息,即仅获取需要进行审计的待管理上网行为的待审计信息,在保证上网行为监管安全性的同时,大大节省了审计对时间和资源的消耗,从而有效控制了实现成本。,下面是数据审计方法、装置、设备及存储介质专利的具体信息内容。
1.一种数据审计方法,其特征在于,所述方法包括:
获取待管理上网行为;
获取所述待管理上网行为对应的待审计进程数据;
将所述待审计进程数据与进程数据集合中记载的目标进程数据进行匹配;
若所述待审计进程数据与进程数据集合中记载的目标进程数据匹配,则通过注入的钩子函数拦截所述待审计进程数据对应的系统API,并根据所述系统API获取所述待管理上网行为对应的待审计信息;
将所述待审计信息传输至上网行为管理设备,由所述上网行为管理设备根据所述待审计信息对所述待管理上网行为进行审计。
2.如权利要求1所述的方法,其特征在于,所述根据所述系统API获取所述待管理上网行为对应的待审计信息的步骤,包括:
确定所述待管理上网行为对应的目标操作对象;
通过截屏插件获取所述目标操作对象所在区域的屏幕截图和所述目标操作对象的存储路径;
根据所述屏幕截图和所述存储路径,生成所述待管理上网行为对应的待审计信息。
3.如权利要求2所述的方法,其特征在于,所述通过截屏插件获取所述目标操作对象所在区域的屏幕截图的步骤,包括:
根据敏感级别计算标准,确定所述目标操作对象的敏感级别;
判断所述目标操作对象的敏感级别是否大于预设敏感阈值;
若所述目标操作对象的敏感级别大于预设敏感阈值,则通过截屏插件连续获取所述目标操作对象所在区域的屏幕截图。
4.如权利要求2所述的方法,其特征在于,所述获取所述待管理上网行为对应的待审计进程数据的步骤之前,所述方法还包括:
确定所述待管理上网行为所属的类型;
若所述待管理上网行为是用户触发类型或应用触发类型,则执行所述获取所述待管理上网行为对应的待审计进程数据的操作。
5.如权利要求4所述的方法,其特征在于,所述确定所述待管理上网行为所属的类型的步骤,包括:
利用所述钩子函数导出所述截屏插件中用户触发行为监控接口和应用触发行为监控接口;
监控所述用户触发行为监控接口和所述应用触发行为监控接口的调用情况;
若所述用户触发行为监控接口被调用,则确定所述待管理上网行为是用户触发类型;
若所述应用触发行为监控接口被调用,则确定所述待管理上网行为是应用触发类型。
6.如权利要求4所述的方法,其特征在于,所述若所述待管理上网行为是用户触发类型或应用触发类型,则执行所述获取所述待管理上网行为对应的待审计进程数据的操作的步骤,包括:
若所述待管理上网行为是用户触发类型,则判断所述待管理上网行为对应的用户触发操作是否与用户触发行为表中的预设用户触发行为相同;
若所述待管理上网行为对应的用户触发操作与用户触发行为表中的预设用户触发行为相同,则执行所述获取所述待管理上网行为对应的待审计进程数据的操作;
若所述待管理上网行为是应用触发类型,则判断所述待管理上网行为对应的应用程序是否与应用触发表中的预设应用程序相同;
若所述待管理上网行为对应的应用程序与应用触发表中的预设应用程序相同,则执行所述获取所述待管理上网行为对应的待审计进程数据的操作。
7.如权利要求1所述的方法,其特征在于,所述将所述待审计信息传输至上网行为管理设备的步骤,包括:
根据约定的加密规则,对所述待审计信息进行加密,得到待审计密文;
将所述待审计密文传输至所述上网行为管理设备。
8.如权利要求1至7任一项所述的方法,其特征在于,所述将所述待审计信息传输至上网行为管理设备的步骤之后,所述方法还包括:
接收所述上网行为管理设备反馈的审计结果;
根据所述审计结果,确定所述待管理上网行为是否异常;
若所述待管理上网行为异常,则通过所述钩子函数中断所述系统API执行所述待管理上网行为的操作。
9.一种数据审计装置,其特征在于,所述装置包括:
第一获取模块,用于获取待管理上网行为;
第二获取模块,用于获取所述待管理上网行为对应的待审计进程数据;
匹配模块,用于将所述待审计进程数据与进程数据集合中记载的目标进程数据进行匹配;
第三获取模块,用于在所述待审计进程数据与进程数据集合中记载的目标进程数据匹配时,通过注入的钩子函数拦截所述待审计进程数据对应的系统API,并根据所述系统API获取所述待管理上网行为对应的待审计信息;
传输模块,用于将所述待审计信息传输至上网行为管理设备,由所述上网行为管理设备根据所述待审计信息对所述待管理上网行为进行审计。
10.一种数据审计设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数据审计程序,所述数据审计程序配置为实现如权利要求
1至8中任一项所述的数据审计方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有数据审计程序,所述数据审计程序被处理器执行时实现如权利要求1至8任一项所述的数据审计方法的步骤。
数据审计方法、装置、设备及存储介质
技术领域
[0001] 本发明涉及信息安全技术领域,尤其涉及一种数据审计方法、装置、设备及存储介质。
背景技术
[0002] 防泄密以及泄密取证在业界也是老生常谈却经久不衰的话题了,领域内技术专家也各显神通,推向市场的产品也大都满足用户需求。但所谓内行看门道外行看热闹,三分靠技术七分靠管理,只要深入分析都会存在瑕疵。
[0003] 以上网行为(AC)准入来说,目前主要有即时通信(IM)文件外发审计和U盘审计。虽然可以满足用户的基本需求,但是也存在其缺陷,比如:为了减少服务器负载和节省磁盘空间,现有的AC准入对大文件不审、文件数目也存在限制。
[0004] 也就是说,目前的AC准入审计通常存在对时间、资源消耗大,且实现成本高的问题。
[0005] 上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
[0006] 本发明的主要目的在于提供一种数据审计方法、装置、设备及存储介质,旨在解决现有技术中AC准入的审计对时间、资源消耗大,实现成本高的技术问题。
[0007] 为实现上述目的,本发明提供了一种数据审计方法,所述方法包括:
[0008] 获取待管理上网行为;
[0010] 将所述待审计进程数据与进程数据集合中记载的目标进程数据进行匹配;
[0011] 若所述待审计进程数据与进程数据集合中记载的目标进程数据匹配,则通过注入的钩子函数拦截所述待审计进程数据对应的系统API,并根据所述系统API获取所述待管理上网行为对应的待审计信息;
[0012] 将所述待审计信息传输至上网行为管理设备,由所述上网行为管理设备根据所述待审计信息对所述待管理上网行为进行审计。
[0013] 进一步地,所述根据所述系统API获取所述待管理上网行为对应的待审计信息的步骤,包括:
[0014] 确定所述待管理上网行为对应的目标操作对象;
[0016] 根据所述屏幕截图和所述存储路径,生成所述待管理上网行为对应的待审计信息。
[0017] 进一步地,所述通过截屏插件获取所述目标操作对象所在区域的屏幕截图的步骤,包括:
[0018] 根据敏感级别计算标准,确定所述目标操作对象的敏感级别;
[0019] 判断所述目标操作对象的敏感级别是否大于预设敏感阈值;
[0020] 若所述目标操作对象的敏感级别大于预设敏感阈值,则通过截屏插件连续获取所述目标操作对象所在区域的屏幕截图。
[0021] 进一步地,所述获取所述待管理上网行为对应的待审计进程数据的步骤之前,所述方法还包括:
[0022] 确定所述待管理上网行为所属的类型;
[0023] 若所述待管理上网行为是用户触发类型或应用触发类型,则执行所述获取所述待管理上网行为对应的待审计进程数据的操作。
[0024] 进一步地,所述确定所述待管理上网行为所属的类型的步骤,包括:
[0026] 监控所述用户触发行为监控接口和所述应用触发行为监控接口的调用情况;
[0027] 若所述用户触发行为监控接口被调用,则确定所述待管理上网行为是用户触发类型;
[0028] 若所述应用触发行为监控接口被调用,则确定所述待管理上网行为是应用触发类型。
[0029] 进一步地,所述若所述待管理上网行为是用户触发类型或应用触发类型,则执行所述获取所述待管理上网行为对应的待审计进程数据的操作的步骤,包括:
[0030] 若所述待管理上网行为是用户触发类型,则判断所述待管理上网行为对应的用户触发操作是否与用户触发行为表中的预设用户触发行为相同;
[0031] 若所述待管理上网行为对应的用户触发操作与用户触发行为表中的预设用户触发行为相同,则执行所述获取所述待管理上网行为对应的待审计进程数据的操作;
[0032] 若所述待管理上网行为是应用触发类型,则判断所述待管理上网行为对应的应用程序是否与应用触发表中的预设应用程序相同;
[0033] 若所述待管理上网行为对应的应用程序与应用触发表中的预设应用程序相同,则执行所述获取所述待管理上网行为对应的待审计进程数据的操作。
[0034] 进一步地,所述将所述待审计信息传输至上网行为管理设备的步骤,包括:
[0035] 根据约定的加密规则,对所述待审计信息进行加密,得到待审计密文;
[0036] 将所述待审计密文传输至所述上网行为管理设备。
[0037] 进一步地,所述将所述待审计信息传输至上网行为管理设备的步骤之后,所述方法还包括:
[0038] 接收所述上网行为管理设备反馈的审计结果;
[0039] 根据所述审计结果,确定所述待管理上网行为是否异常;
[0040] 若所述待管理上网行为异常,则通过所述钩子函数中断所述系统API执行所述待管理上网行为的操作。
[0041] 此外,为实现上述目的,本发明还提出一种数据审计装置,所述装置包括:
[0042] 第一获取模块,用于获取待管理上网行为;
[0043] 第二获取模块,用于获取所述待管理上网行为对应的待审计进程数据;
[0044] 匹配模块,用于将所述待审计进程数据与进程数据集合中记载的目标进程数据进行匹配;
[0045] 第三获取模块,用于在所述待审计进程数据与进程数据集合中记载的目标进程数据匹配时,通过注入的钩子函数拦截所述待审计进程数据对应的系统API,并根据所述系统API获取所述待管理上网行为对应的待审计信息;
[0046] 传输模块,用于将所述待审计信息传输至上网行为管理设备,由所述上网行为管理设备根据所述待审计信息对所述待管理上网行为进行审计。
[0047] 此外,为实现上述目的,本发明还提出一种数据审计设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数据审计程序,所述数据审计程序配置为实现如上文所述的数据审计方法的步骤。
[0048] 此外,为实现上述目的,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有数据审计程序,所述数据审计程序被处理器执行时实现如上文所述的数据审计方法的步骤。
[0049] 本发明提供的数据审计方案,通过利用钩子函数仅对与进程数据集合中记载的目标进程数据匹配的待管理上网行为对应的待审计进程数据进行拦截,然后根据拦截到的待审计进程数据对应的系统API获取待管理上网行为对应的待审计信息,即仅获取需要进行审计的待管理上网行为的待审计信息,在保证上网行为监管安全性的同时,大大节省了审计对时间和资源的消耗,从而有效控制了实现成本。附图说明
[0051] 图2为本发明数据审计方法第一实施例的流程示意图;
[0052] 图3为本发明数据审计方法中用户、数据审计设备和上网行为管理设备的交互示意图;
[0053] 图4为本发明数据审计方法第一实施例中鼠标拖拉文件的界面示意图;
[0054] 图5为本发明数据审计方法第一实施例中文件/文件夹弹窗的界面示意图;
[0055] 图6为本发明数据审计方法第一实施例中鼠标右键菜单发送文件的界面示意图;
[0056] 图7为本发明数据审计方法第二实施例的流程示意图;
[0057] 图8为本发明数据审计装置第一实施例的结构框图。
[0058] 本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
[0059] 应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0060] 参照图1,图1为本发明实施例方案涉及的硬件运行环境的数据审计设备结构示意图。
[0061] 如图1所示,该数据审计设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
[0062] 本领域技术人员可以理解,图1中示出的结构并不构成对数据审计设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
[0064] 在图1所示的数据审计设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明数据审计设备中的处理器1001、存储器1005可以设置在数据审计设备中,数据审计设备通过处理器1001调用存储器1005中存储的数据审计程序,并执行本发明实施例提供的数据审计方法。
[0065] 本发明实施例提供了一种数据审计方法,参照图2,图2为本发明一种数据审计方法第一实施例的流程示意图。
[0066] 本实施例中,数据审计方法包括以下步骤:
[0067] 步骤S10,获取待管理上网行为。
[0068] 具体的说,为了便于理解本实施例所说的数据审计方法,以下先对接入控制(Access Control,AC)这一技术名词进行介绍。
[0069] 所谓“AC”,是属于安全方面的功能,用以阻止或控制用户(或系统)进行通信和交互。在本实施例中,AC主要指具有对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等的上网行为管理设备,即本实施例中用于接收待审计信息,并对接收到的待审计信息进行审计的设备。
[0070] 而用于执行本实施例中所说的数据审计方法的执行主体具体为任意能够通过局域网、城域网、广域网等各种类型的网络与上网行为管理设备进行通信的终端设备(为了便于说明,以下称为用户终端),如智能手机、平板电脑、个人计算机等,此处不再一一列举,本实施例对此也不做限制。
[0071] 此外,应当理解的是,上述所说的上网行为管理设备,在实际应用中可以是与终端设备相同或相似的终端设备,也可以是服务器等设备,本实施例对此同样不做限制。
[0072] 此外,为了便于理解本实施例提供的数据审计方法,本实施例主要以对网络应用(安装在用户终端上的应用程序)和用户行为作为待审计的上网行为。
[0073] 故而,上述所说的获取的待管理上网行为在实际应用中可以是用户进行了剪贴板粘贴文件、鼠标拖拉文件、文件/文件夹出现了弹窗、鼠标右键菜单发送文件等用户行为,也可以是用户打开了某一应用程序,此处不再一一列举,本实施例对此也不做限制。
[0074] 应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
[0075] 进一步地,在实际应用中,为了保证步骤S10中所说的获取待管理上网行为的操作能够顺利进行,在执行该步骤之前,需要先判断当前用户终端上是否安装有上网行为准入插件(AC准入插件)。
[0076] 所谓“AC准入插件”,是AC中的一个已有业务系统,主要用来帮助用户终端、上网行为管理设备实现上述所说的对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等功能。本实施例中,之所以要先判断用户终端上是否安装有AC准入插件,是为了通过AC准入插件加载用于获取后续步骤S40中所说的待审计信息的插件,在本实施例中加载的插件具体为截屏插件。
[0077] 也就是说,若通过判断当前用户终端上是否安装有AC准入插件的操作后,确定当前用户终端上未安装有AC准入插件,则先安装并运行AC准入插件,然后通过AC准入插件加载用于获取待审计信息的截屏插件。
[0078] 进一步地,若通过判断当前用户终端上是否安装有AC准入插件的操作后,确定当前用户终端上安装有AC准入插件,则可以继续判断当前用户终端是否加载了用于获取待审计信息的截屏插件,若未加载,则通过AC准入插件加载用于获取待审计信息的截屏插件。
[0079] 应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
[0080] 步骤S20,获取待管理上网行为对应的待审计进程数据。
[0081] 具体的说,由于在实际应用中,用户作出的待管理上网行为有多种类型,比如基于用户行为触发的,如剪贴板粘贴文件、鼠标拖拉文件、文件/文件夹出现了弹窗、鼠标右键菜单发送文件等行为,或者是基于某一特定应用程序触发的,如用户打开了某一应用程序。
[0082] 故而,在实际应用中,为了尽可能过滤掉无需进行、审计的上网行为(即正常上网行为,不存在泄密的操作),在执行步骤S20的操作之前,可以先根据业务需要,规定需要获取待审计进程数据时,对应的待管理上网行为的类型。
[0083] 相应地,在执行步骤S20之前,需要先确定待管理上网行为所属的类型,如是基于用户行为触发的用户触发类型,还是基于某一特定应用程序触发的应用出发类型。
[0084] 关于上述所说的确定待管理上网行为所属的类型的操作,本实施例给出了一种具体的实现方式,具体如下:
[0085] 首先,利用钩子函数导出截屏插件中用户触发行为监控接口和应用触发行为监控接口;
[0086] 然后,监控用户触发行为监控接口和应用触发行为监控接口的调用情况;
[0087] 相应地,若用户触发行为监控接口被调用,则确定待管理上网行为是用户触发类型;若应用触发行为监控接口被调用,则确定待管理上网行为是应用触发类型。
[0088] 相应地,若待管理上网行为是用户触发类型,则判断待管理上网行为对应的用户触发操作是否与用户触发行为表中的预设用户触发行为相同;若待管理上网行为对应的用户触发操作与用户触发行为表中的预设用户触发行为相同,则执行获取待管理上网行为对应的待审计进程数据的操作。
[0089] 为了便于理解,此处以用户触发行为表中记录的预设用户触发行为为剪贴板粘贴文件、鼠标拖拉文件、文件/文件夹出现了弹窗、鼠标右键菜单发送文件等行为为例,则在获取的待管理上网行为是上述罗列的任一项时,可以确定获取的待管理上网行为对应的用户触发操作与用户触发行为表中的预设用户触发行为相同,此时便可以执行上述步骤S20中所说的操作。
[0090] 相应地,若待管理上网行为是应用触发类型,则判断待管理上网行为对应的应用程序是否与应用触发表中的预设应用程序相同;若待管理上网行为对应的应用程序与应用触发表中的预设应用程序相同,则执行获取待管理上网行为对应的待审计进程数据的操作。
[0091] 为了便于理解,此处以应用触发表中记录的预设应用程序为某些敏感应用程序,如财务类应用程序、金融类应用程序、支付类应用程序为例,则在获取的待管理上网行为是上述罗列的任一类型应用程序时,可以确定获取的待管理上网行为对应的应用程序与应用触发表中的预设应用程序相同,此时便可以执行上述步骤S20中所说的操作。
[0092] 此外,需要说明的是,在本实施例中,上述获取到的待审计进程数据可以是进程名称。
[0093] 相应地,后续步骤S30中所说的目标进程数据也需要是进程名称,从而保证两者有可对比性。
[0094] 应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
[0095] 步骤S30,将待审计进程数据与进程数据集合中记载的目标进程数据进行匹配。
[0096] 具体的说,若通过匹配,即将两者进行对比,确定待审计进程数据与进程数据集合中记载的目标进程数据匹配,则进入步骤S40。
[0097] 应当理解的是,由于本实施例提供的数据审计方法主要是为了对与目标进程数据匹配的待审计进程数据对应的待管理上网行为进行审计,故而图2中只给出了在两者匹配时进入步骤S40的分支。但在实际应用中,若通过对比,确定两者不匹配,即待审计信息与进程数据集合中记载的任一目标进程数据均不相同,则可以直接放行待审计进程数据对应的系统API去执行待管理上网行为。
[0098] 此外,关于上述所说的预存在进程数据集合中的目标进程数据,在实际应用中可以是从管理平台接收到的,也可以是用户直接在AC中设置的,本实施例对此不做限制。
[0099] 步骤S40,通过注入的钩子函数拦截待审计进程数据对应的系统API,并根据系统API获取待管理上网行为对应的待审计信息。
[0100] 具体的说,上述所说的钩子函数,即HOOK,它是一种用来实现Windows平台下类似于中断的机制。HOOK机制允许应用程序拦截并处理Windows消息或指定事件,当指定的消息发出后,HOOK程序就可以在消息到达目标窗口之前将其获取,从而得到对消息的控制权,进而可以对该消息进行处理或修改。
[0101] 故而,本实施例通过在AC中注入钩子函数,从而可以在获取到待管理上网行为,并确定获取的待管理上网行为对应的待审计进程数据与目标进程数据匹配时,直接拦截待审计进程数据对应的系统API,然后根据拦截到的系统API获取待管理上网行为对应的待审计信息。
[0102] 需要说明的是,上述在AC中注入的钩子函数,在实际应用中,可以是在执行本实施例提供的数据审计方法之前就预先注入到需要监控的AC中,也可以是在执行上述步骤S10至S40任一步骤之前注入,本实施例对此不做任何限制。
[0103] 此外,在实际应用中,如果监控的AC性能足够好,处理速度足够快,注入钩子函数的操作也可以是在执行步骤S40时才进行,即在确定待审计进程数据与目标进程数据匹配,并且监测到待审计进程数据对应的系统API被调用时,从本地或者与之通信连接的远端设备获取钩子函数脚本文件,然后加载并启动,以保证步骤S40中的操作能够顺利进行。
[0104] 应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在实际应用中,本领域技术人员可以根据需要进行设置,此处不做限制。
[0105] 此外,上述所说的API,即通常所说的应用程序编程接口(Application Programming Interface),主要是指一些定义好的函数接口,在本实施例中即为定义好的各种类型进程对应的函数接口。
[0106] 为了便于理解步骤S40中所说的根据系统API获取待管理上网行为对应的待审计信息的操作,本实施例以通过AC准入插件加载的截屏插件来获取待审计信息,且待审计信息主要包括文件/文件夹路径,或者触发的应用程序的路径,以及截取的当前屏幕信息为例进行说明:
[0107] 具体的,在根据系统API获取待管理上网行为对应的待审计信息时,先确定待管理上网行为对应的目标操作对象;然后,通过截屏插件获取目标操作对象所在区域的屏幕截图和目标操作对象的存储路径;最后,根据屏幕截图和存储路径,生成待管理上网行为对应的待审计信息。
[0108] 关于上述所说的确定待管理上网行为对应的目标操作对象的方式,可以通过监测屏幕,将当前被移动、被点击的文件/文件夹,或者应用程序作为目标操作对象。
[0109] 关于上述所说的截屏插件,可以根据AC设备的情况来决定是否需要进行以下操作:
[0110] 比如说,对于没有集成截屏插件的AC设备来说,可以在AC设备中安装该插件,并建立该插件与AC设备中各种系统API之间的绑定关系;对于集成有截屏插件的AC设备来说,则可以直接使用,无需再进行安装、绑定的操作。
[0111] 进一步地,在实际应用中,由于获取到的待管理上网行为可能是用户打开了某一敏感应用程序,比如上述所说的财务类应用程序,为了尽可能保证安全性,防止信息被泄露,对于此类待管理上网行为触发的目标操作对象,在通过截屏插件获取目标操作对象所在区域的屏幕截图时,就需要先根据敏感级别计算标准,确定目标操作对象的敏感级别;然后,判断目标操作对象的敏感级别是否大于预设敏感阈值;最后,在目标操作对象的敏感级别大于预设敏感阈值时,通过截屏插件连续,即在该目标操作对象被使用期间不间断的获取目标操作对象所在区域的屏幕截图。
[0112] 此外,值得一提的是,在实际应用中,利用注入的钩子函数拦截待审计进程数据对应的系统API时,可以根据获取的待管理上网行为确定是使用全局的钩子函数进行拦截,还是部分的钩子函数进行拦截。
[0113] 比如说,在实际应用中,可以设置在待管理上网行为“拖拉”、“鼠标右键菜单发送”等行为时采用部分钩子函数中的对象、接口、函数进行拦截操作,而其他的待管理上网行为则设置为采用全局的钩子函数进行拦截操作。
[0114] 同理,关于上述所说的在根据屏幕截图和存储路径,生成待管理上网行为对应的待审计信息的操作,在实际应用中,本领域技术人员也可以根据需要进行设置生成待审计信息所需的具体参数信息。
[0115] 比如,在待管理上网行为是“敏感窗口截屏”、“敏感进程截屏”、“拖拉”等行为时,可以设置仅根据屏幕截图和存储路径来生成,即不需要获取对象的对象名称,而其他的待管理上网行为则可以根据屏幕截图、存储路径和对象名称这三种参数信息来生成待审计信息。
[0116] 进一步地,在实际应用中,在待管理上网行为是“敏感窗口截屏”、“敏感进程截屏”、“拖拉”等行为时,也可以设置根据上述三种参数信息,或上述三种参数信息中的任意几种来,来生成待审计信息,而其他的待管理上网行为则可以根据上述三种参数信息中的任意几种来生成待审计信息。
[0117] 此外,应当理解的是,在实际应用中,本领域技术人员还可以根据需要,设置生成待审计信息时需要更多的参数信息。
[0118] 相应地,可以设置截屏插件获取更多符合要求的参数信息,本实施例对此不做限制。
[0119] 步骤S50,将待审计信息传输至上网行为管理设备,由上网行为管理设备根据待审计信息对待管理上网行为进行审计。
[0120] 应当理解的是,本实施例中所说的上网行为管理设备,具体是指用于对用户终端发送的待审计信息进行审计、分析处理,进而确定获取的待管理上网行为是否合法的终端设备。在实际应用中,上网行为管理设备可以是任意类型的移动终端,也可以是任意类型的服务器,本实施例对此不做限制。
[0121] 为了便于理解,以下结合图3进行大致说明。
[0122] 如图3所示,在实际应用中,用户可以通过操作数据审计设备,即用户终端来触发相应的待管理上网行为,数据审计设备在获取到用户触发的待管理上网行为后,按照上述步骤S10至步骤S40的操作,获取待管理上网行为对应的待审计信息,然后通过与上网行为管理设备之间建立的通信连接,比如有线传输通道或无线传输通道,将获取到的待审计信息传输给上网向外管理设备,由上网行为管理设备根据审计规则,对待审计信息进行审计,进而确定用户触发的待管理上网行为是否合法。
[0123] 应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在实际应用中,本领域技术人员可以根据需要进行设置,此处不做限制。
[0124] 此外,值得一提的是,在实际应用中,为了尽可能提升安全性,避免非法用户拦截待审计信息,进而盗取企业机密、用户信息等,在执行上述步骤S50时,可以先根据遇到的加密规则,对待审计信息进行加密,进而得到待审计密文;然后在将得到的待审计密文传输至对应的上网行为管理设备,由上网行为管理设备根据对应的解密规则,对接收到的待审计密文进行解密,进而还原得到原始的待审计信息进行审计。
[0125] 关于上述所说的加密和解密方式,本领域技术人员可以根据需要自行设置,本实施例对此不做限制。
[0126] 此外,为了对本实施例提供的数据审计方法有一个整体性的理解,以下就基于用户行为触发和基于某一应用程序触发者两者类型进行说明:
[0127] (1)基于用户行为触发:
[0128] (1.1)剪贴板粘贴文件:
[0129] 首先,安装并启动AC准入插件;
[0130] 然后,通过AC准入插件加载自定义好的截屏插件,激活截屏插件中的用于从剪贴板获取数据的GetClipboardData、OleGetClipboard、IDataObject::GetData函数;
[0131] 接着,当有待审计进程数据对应的系统API调用上述函数时,由注入的钩子函数进行拦截,并提取上述函数中的入参值,及需要粘贴的文件的格式;
[0132] 接着,判断提取出的入参值以及需要粘贴的文件的格式是否符合预设触发标准,若符合则通过截屏插件进行截屏操作,获取待审计信息;
[0133] 最后,将获得的待审计信息上报给上网行为管理设备,以下称为AC服务器。
[0134] (1.2)鼠标拖拉文件(界面示意图如图4所示):
[0135] 首先,安装并启动AC准入插件;
[0136] 然后,通过AC准入插件加载自定义好的截屏插件,并激活注入的HOOK函数中的用于在鼠标拖动文件或文件夹时触发的DoDragDrop、IDropTargetHelper::Drop函数;
[0137] 接着,当获取到的待管理上网行为是鼠标拖动文件或文件夹,如图4中某一文件被选中,并被拖拉到打开的QQ聊天界面时,触发上述两个函数,在这两个函数中调用截屏插件的截屏功能,获得待审计信息;
[0138] 最后,将获得的待审计信息上报给AC服务器。
[0139] (1.3)文件/文件夹出现了弹窗(界面示意图如图5所示):
[0140] 首先,安装并启动AC准入插件;
[0141] 然后,通过AC准入插件加载自定义好的截屏插件,并激活注入的HOOK函数中的用于在文件或文件出现弹窗时会触发的SHBrowseForFolder、数GetOpenFileName函数;在出现注册行为时会触发的IFileDialog::advise函数;在文件或文件夹弹窗中文件选择发生变动时会触发的IFileDialogEvents、IFileDialogEvents::OnSelectionChange函数;在文件或文件夹弹窗中当前目录发生变动时会触发的IFileDialogEvents::OnFolderChange函数;在文件或文件夹弹窗中当点击“确认”按钮时会触发的IFileDialogEvents::OnFileOk函数;在文件或文件夹弹窗中选择多个文件点击“确认”按钮时会触发的IFileOpenDialog::GetResults函数;在文件或文件夹弹窗中选择一个文件点击“确认”按钮时会触发的IFileDialog::GetResult函数;
[0142] 接着,当获取到的待管理上网行为是文件或文件夹弹窗,即在用户终端的操作界面弹出了可供用户选择文件或文件夹的弹窗界面(如图5所示)时,根据触发的具体行为,确定触发上述对应的行为的函数去调用截屏插件的截屏功能,获得待审计信息;
[0143] 最后,将获得的待审计信息上报给AC服务器。
[0144] (1.4)鼠标右键菜单发送文件(界面示意图如图6所示):
[0145] 首先,安装并启动AC准入插件;
[0146] 然后,通过AC准入插件加载自定义好的截屏插件,并激活注入的HOOK函数中用于在鼠标右键菜单发送文件时会触发的用于创建进程API的CreateProcess函数;
[0147] 接着,当获取到的待管理上网行为是鼠标右键菜单发送文件,即在用户点击鼠标右键后在用户终端的操作界面弹窗了可供用户选择要进行的功能的菜单界面(如图6所示)时,触发CreateProcess函数,由CreateProcess函数拦其中的参数值并进行匹配;
[0148] 接着,若匹配,则调用截屏插件的截屏功能截取屏幕图像,并获取被点击的文件的文件名称,得到待审计信息;
[0149] 最后,将获得的待审计信息上报给AC服务器。
[0150] (2)基于某一特定应用程序触发:
[0151] (2.1)敏感窗口截屏:
[0152] 首先,安装并启动AC准入插件;
[0153] 然后,通过AC准入插件加载自定义好的截屏插件,并激活注入的HOOK函数中用于在打开应用程序窗口时调用的ShowWindow函数;
[0154] 接着,监测ShowWindow函数是否被调用,如果被调用则说明当前有应用程序窗口打开,此时需要拦截打开的应用程序窗口对应的参数值,并对参数值进行判断;
[0155] 相应地,如果通过判断,确定获取到的相关参数值,如窗口名称与敏感窗口的名称匹配,则调用截屏插件的截屏功能,获得待审计信息;
[0156] 最后,将获得的待审计信息上报给AC服务器。
[0157] (2.2)敏感进程截屏:
[0158] 首先,安装并启动AC准入插件;
[0159] 然后,通过AC准入插件加载自定义好的截屏插件,并激活注入的HOOK函数中用于在创建进程API时调用的CreateProcess函数;
[0160] 接着,监测CreateProcess函数是否被调用,如果被调用则说明当前有进程需要创建,此时需要拦截创建的进程API所需的参数信息,并进行匹配,确定创建的进程API是否是敏感进程;
[0161] 相应地,若创建的进程API是敏感进程API,则调用截屏插件的截屏功能,获得待审计信息;
[0162] 最后,将获得的待审计信息上报给AC服务器。
[0163] 应当理解的是,以上仅为举例说明,上述出现的各种函数名称,仅仅为技术人员在实现本案时自定义的一些函数名称,对本发明的技术方案并不构成任何限定,在实际应用中,本领域技术人员可以根据需要设置合适的函数名称,本发明对此不做限制。
[0164] 此外,值得一提的是,关于上述出现的各种函数名称,其实就是本实施例中步骤S20中在确定待管理上网行为所属的类型时,利用钩子函数导出的截屏插件中用户触发行为监控接口和应用触发行为监控接口。只是根据其所要监控行为的不同、获取数据类型的不同,命名有所不同。
[0165] 通过上述描述不难发现,本实施例提供的数据审计方法,通过利用钩子函数仅对与进程数据集合中记载的目标进程数据匹配的待管理上网行为对应的待审计进程数据进行拦截,然后根据拦截到的待审计进程数据对应的系统API获取待管理上网行为对应的待审计信息,即仅获取需要进行审计的待管理上网行为的待审计信息,在保证上网行为监管安全性的同时,大大节省了审计对时间和资源的消耗,从而有效控制了实现成本。
[0166] 参考图7,图7为本发明一种数据审计方法第二实施例的流程示意图。
[0167] 基于上述第一实施例,本实施例数据审计方法在步骤S50之后,还包括:
[0168] 步骤S60,接收上网行为管理设备反馈的审计结果。
[0169] 具体的说,审计结果主要用来反馈当前获取的待管理上网行为是否合法。故而,为了便于后续判断,在实际应用中,可以预设两种不同的识别标识号用来区分待管理上网行为的合法性,比如用“1”表示合法,用“0”表示不合法等,此处不再一一列举,本实施例对此也不做限制。
[0170] 步骤S70,根据审计结果,确定待管理上网行为是否异常。
[0171] 相应地,仍以上述所说的审计结果中携带的识别标识号为“1”或“0”来说,如果从接收到的审计结果中提取出的识别标识号为“1”,则可以确定待管理上网行为是合法的,即不存在异常,此时钩子函数会放行系统API,由系统API区执行待管理上网行为的操作。
[0172] 相应地,如果从接收到的审计结果中提取出的识别标识号为“0”,则可以确定待管理上网行为是不合法的,即存在异常,此时便进入步骤S80,执行步骤S80中的操作;否则,进入步骤S90,执行步骤S90中的操作。
[0173] 步骤S80,通过钩子函数中断系统API执行待管理上网行为的操作。
[0175] 步骤S90,由系统API执行待管理上网行为的操作。
[0176] 具体的说,如果通过判断,直接进入步骤S90,则说明通过审计可以确定当前待管理上网行为是合法的,不存在异常行为的,此时设备可以直接通过该待管理上网行为对应的系统API执行器对应的操作。
[0177] 应当理解的是,在实际应用中,如果在执行步骤S30中的匹配操作时,发现没有与待管理上网行为对应的待审计进程数据匹配的目标进程数据,则也可以说明当前待管理上网行为是合法的,不存在异常行为的,此时设备可以直接通过该待管理上网行为对应的系统API执行器对应的操作,即如果经步骤S30的匹配操作后,发现不存在与之匹配的目标进程数据,则也可以直接进入步骤S90,执行步骤S90的操作。
[0178] 应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在实际应用中,本领域技术人员可以根据需要进行设置,此处不做限制。
[0179] 通过上述描述不难发现,本实施例提供的数据审计方法,在将需要审计的待管理上网行为的待审计信息发送给上网行为管理设备之后,通过接收上网行为管理设备反馈的审计结果,然后根据审计结果确定是否需要利用钩子函数中断系统API执行待管理上网行为的操作,即仅在待管理上网行为存在异常时利用钩子函数中断系统API执行该待管理上网行为,从而在不影响其他正常上网行为的情况下,实现了对异常上网行为的管控,在保证审计效果的同时,大大提升了用户体验。
[0180] 此外,本发明实施例还提出一种计算机可读存储介质,计算机可读存储介质上存储有数据审计程序,数据审计程序被处理器执行时实现如上文的数据审计方法的步骤。
[0181] 参照图8,图8为本发明数据审计装置第一实施例的结构框图。
[0182] 如图8所示,本发明实施例提出的数据审计装置包括:第一获取模块8001、第二获取模块8002、匹配模块8003、第三获取模块8004和传输模块8005。
[0183] 其中,第一获取模块8001,用于获取待管理上网行为;第二获取模块8002,用于获取待管理上网行为对应的待审计进程数据;匹配模块8003,用于将待审计进程数据与进程数据集合中记载的目标进程数据进行匹配;第三获取模块8004,用于在待审计进程数据与进程数据集合中记载的目标进程数据匹配时,通过注入的钩子函数拦截待审计进程数据对应的系统API,并根据系统API获取待管理上网行为对应的待审计信息;传输模块8005,用于将待审计信息传输至上网行为管理设备,由上网行为管理设备根据待审计信息对待管理上网行为进行审计。
[0184] 此外,关于上述所说的第三获取模块8004根据系统API获取待管理上网行为对应的待审计信息的操作,在实际应用中,具体可以通过以下几个步骤实现:
[0185] 首先,确定待管理上网行为对应的目标操作对象;
[0186] 然后,通过截屏插件获取目标操作对象所在区域的屏幕截图和目标操作对象的存储路径;
[0187] 最后,根据屏幕截图和存储路径,生成待管理上网行为对应的待审计信息。
[0188] 进一步地,在实际应用中,关于上述所说的通过截屏插件获取目标操作对象所在区域的屏幕截图的操作,具体可以是:
[0189] 首先,根据敏感级别计算标准,确定目标操作对象的敏感级别;
[0190] 然后,判断目标操作对象的敏感级别是否大于预设敏感阈值;
[0191] 相应地,若目标操作对象的敏感级别大于预设敏感阈值,则通过截屏插件连续获取目标操作对象所在区域的屏幕截图。
[0192] 应当理解的是,以上给出的仅为一种根据系统API获取待管理上网行为对应的待审计信息的具体实现方式,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
[0193] 此外,值得一提的是,在实际应用中,为了尽可能提升安全性,传输模块8005在将待审计信息传输至上网行为管理设备的过程中,具体可以通过以下步骤实现:
[0194] 首先,根据约定的加密规则,对待审计信息进行加密,得到待审计密文;
[0195] 然后,将待审计密文传输至上网行为管理设备。
[0196] 此外,在实际应用中,为了保证第一获取模块8001能够获取到待管理上网行为,在第一获取模块8001执行获取待管理上网行为的操作之前,需要先判断当前终端设备是否安装有上网行为准入插件。
[0197] 相应地,若未安装有上网行为准入插件,则安装并运行上网行为准入插件;然后通过上网行为准入插件加载截屏插件。
[0198] 进一步地,由于在实际应用中,用户作出的待管理上网行为会有多种,比如基于用户行为触发的,或者基于某一特定应用程序触发的,为了便于确定是否需要获取当前获取的待管理上网行为对应的待审计进程数据,可以先根据业务需要,规定需要获取待审计进程数据时,对应的待管理上网行为的类型。
[0199] 也就是说,在实际应用中,第二获取模块8002在获取待管理上网行为对应的待审计进程数据之前,可以先进行如下操作:
[0200] 确定待管理上网行为所属的类型;
[0201] 若待管理上网行为是用户触发类型或应用触发类型,则执行获取待管理上网行为对应的待审计进程数据的操作。
[0202] 此外,关于上述所说的确定待管理上网行为所属的类型的操作,在本实施例中具体是通过以下方式实现的:
[0203] 首先,利用钩子函数导出截屏插件中用户触发行为监控接口和应用触发行为监控接口;
[0204] 然后,监控用户触发行为监控接口和应用触发行为监控接口的调用情况;
[0205] 相应地,若用户触发行为监控接口被调用,则确定待管理上网行为是用户触发类型;若应用触发行为监控接口被调用,则确定待管理上网行为是应用触发类型。
[0206] 此外,关于上述所说的若待管理上网行为是用户触发类型或应用触发类型,则执行获取待管理上网行为对应的待审计进程数据的操作,在实际应用中,还需要进一步通过以下判断处理:
[0207] 若待管理上网行为是用户触发类型,则判断待管理上网行为对应的用户触发操作是否与用户触发行为表中的预设用户触发行为相同;
[0208] 若待管理上网行为对应的用户触发操作与用户触发行为表中的预设用户触发行为相同,则执行获取待管理上网行为对应的待审计进程数据的操作;
[0209] 若待管理上网行为是应用触发类型,则判断待管理上网行为对应的应用程序是否与应用触发表中的预设应用程序相同;
[0210] 若待管理上网行为对应的应用程序与应用触发表中的预设应用程序相同,则执行获取待管理上网行为对应的待审计进程数据的操作。
[0211] 应当理解的是,以上给出的仅为一种在获取待管理上网行为和获取待管理上网行为对应的待审计进程数据之前进行的具体行为,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
[0212] 此外,本实施例中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施例中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
[0213] 通过上述描述不难发现,本实施例提供的数据审计装置,通过利用钩子函数仅对与进程数据集合中记载的目标进程数据匹配的待管理上网行为对应的待审计进程数据进行拦截,然后根据拦截到的待审计进程数据对应的系统API获取待管理上网行为对应的待审计信息,即仅获取需要进行审计的待管理上网行为的待审计信息,在保证上网行为监管安全性的同时,大大节省了审计对时间和资源的消耗,从而有效控制了实现成本。
[0214] 需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
[0215] 另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的数据审计方法,此处不再赘述。
[0216] 基于上述数据审计装置的第一实施例,提出本发明数据审计装置第二实施例。
[0217] 在本实施例中,数据审计装置还包括接收模块和中断模块。
[0218] 具体的说,接收模块,用于在传输模块将待审计信息传输至上网行为管理设备之后,接收上网行为管理设备反馈的审计结果。
[0219] 中断模块,用于根据审计结果,确定待管理上网行为是否异常,并在待管理上网行为异常时,通过钩子函数中断系统API执行待管理上网行为的操作。
[0220] 应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
[0221] 此外,本实施例中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施例中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
[0222] 通过上述描述不难发现,本实施例提供的数据审计装置,在将需要审计的待管理上网行为的待审计信息发送给上网行为管理设备之后,通过接收上网行为管理设备反馈的审计结果,然后根据审计结果确定是否需要利用钩子函数中断系统API执行待管理上网行为的操作,即仅在待管理上网行为存在异常时利用钩子函数中断系统API执行该待管理上网行为,从而在不影响其他正常上网行为的情况下,实现了对异常上网行为的管控,在保证审计效果的同时,大大提升了用户体验。
[0223] 需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
[0224] 另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的数据审计方法,此处不再赘述。
[0225] 此外,需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
[0226] 上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 爬虫系统、方法和服务器 | 2020-05-08 | 644 |
| 加热控制方法、设备、家用电器和计算机可读存储介质 | 2020-05-08 | 889 |
| 一种燃气灶的智能食谱控制系统以及控制方法 | 2020-05-08 | 608 |
| 一种基于膜分离技术的乳清蛋白提取检测设备 | 2020-05-08 | 263 |
| 大叶种茶树嫩穗嫁接方法 | 2020-05-11 | 337 |
| 一种水利工程碎石设备 | 2020-05-08 | 775 |
| 一种定位转运床 | 2020-05-08 | 652 |
| 面向列的缓存方法、装置、设备及计算机可读存储介质 | 2020-05-08 | 532 |
| 一种用于自动化装片的暗袋 | 2020-05-11 | 449 |
| 抛光粉闪蒸干燥机 | 2020-05-11 | 134 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈