一种终端主机文件涉密检查及流转跟踪实时监控系统

软件开发与应用

信息与电脑

China Computer & Communication

2019年第3期

一种终端主机文件涉密检查及流转跟踪实时监控系统

陈文浩　唐宏斌

（蓝盾信息安全技术有限公司，广东 广州　510631）

摘　要：

目前，网络安全防护重点集中在诸如部署防火墙等边界防护手段。边界防护对外部攻击起到了很好的防护

作用，但造成更大安全威胁的终端存储安全问题并没有得到解决，涉密或标涉文件因越级存储导致泄漏和被窃取的现象

仍然十分严重。笔者设计并实现了一种终端主机文件涉密检查及流转跟踪实时监控系统，能够实时检查终端主机新增文

件或修改文件的文件内容和密级标识,及时发现可能导致文档泄漏和被窃取的不安全因素。

关键词：

网络安全；终端安全；监控；内网保密

中图分类

号：TP277　　文献标识码：A　　文章编号：1003-9767（2019）03-118-02

A Real-time Monitoring System for File Secret Checking and Flow Tracking

of Terminal Host

Chen Wenhao, Tang Hongbin

Abstract:

At present,

(Bluedon Information Security Technologies Co., Ltd., Guangzhou Guangdong 510631, China)

protection plays a very good role in protecting against external attacks, but the security problem of terminal storage, which poses a

network security protection focuses on border protection means such as deploying firewalls. Border

very serious. The author designs and implements a real-time monitoring and control system for document secret-related checking and

greater security threat, has not been solved. Leakage and theft of confidential or tagged documents due to over-level storage are still

time, and find out the unsafe factors that may lead to document leakage and theft in time.

flow tracking of terminal host. It can check the contents and secret-level identification of new or modified files in terminal host in real

Key words:

network security; endpoint security; monitor; Intranet security

０　引言

务器端两部分组成，体系结构如图1所示。

终端计算机是政府及企事业单位办公自动化系统中信息

由图1可知，监控客户端以代理主机软件的形式部署安

存储、传输、应用处理的基础设施。权威机构调查显示，政府、

装于受控终端主机，负责监控进程文件的新增和修改操作，检

企事业单位中超过60%的管理和安全问题来自终端，而终端

查匹配类型文件的文件内容和标级标识，对越级存储事件进行

安全中超过80%来自文档安全。目前，文档涉密检查的方式

本地告警，并将事件上报到服务器管理端。监控客户端主要由

主要是定期检查，但定期检查间隔期间易造成文件泄密和窃

应用层监控程序和驱动层文件过滤钩子程序组成。其中，应用

密；因此，需要一套监控系统实时检查终端主机新增文件或

层监控程序主要由配置模块、文件监控模块、文件检查模块、

修改文件的文件内容和密级标识，发现越级存储或内容敏感行

告警通知模块和通信模块组成。服务器管理端主要负责监控策

为时及时告警，同时通过关联日志分析跟踪同一份文件的流

略配置、监控策略下发和客户端上报日志的处理、展示、查询

转和扩散情况，掌握涉密文件或敏感文件的涉密范围和流转

以及统计分析。它主要由系统配置模块、代理主机管理模块、

情况。本文首先介绍了实时监控系统的体系架构，其次分析

策略管理模块、日志查询模块和统计分析模块组成。

了文件存储安全相关关键技术，最后介绍了实时监控系统的

２　关键技术路线

管控功能。

计算机终端文件涉密检查及流转跟踪实时监控系统，可

１　实时监控系统体系结构

实时检查和流转跟踪计算机终端通过多种途径产生的新文档

本系统采用Client/Server结构，由监控客户端和管理服

或编辑修改的文档。系统实现需要解决以下技术难题。

作者简介：

陈文浩(1971—)，男，广东汕头人，本科，高级工程师。研究方向：信息安全。

—　　　１１８　　　—

信息与电脑

2019年第3期

China Computer & Communication

软件开发与应用

检查性能，必须采用快速匹配技术。本系统采用WM（Wu-

Manber）多模匹配。该算法采用哈希方式和BM算法中的坏

字符规则，达到快速检索、跳跃式步进的效果。在绝大多数

场合，Wu-Manber算法的匹配效率要高于Aho-Corasick算法。

2.6　监控日志流转跟踪关联分析技术

本系统管理端收集了所有终端主机上报的文件检查结

果，包括中标主机信息、进程名、文件来源（移动盘拷贝、

网络传输、本地操作等）、操作类型（新建、修改、拷贝等）、

文件类型、源文件名（用于拷贝操作类型）、目标文件名、

文件大小、文件内容SHA2、中标关键字和中标上下文等信息。

系统对相同文件SHA2和相同类型的文件进行分组排序检索，

得出文件创建源终端主机和扩散的终端主机信息，可跟踪相

同文件的扩散路径、扩散方式和时序，及时展开处理。

３　监控系统的功能

本实时监控系统主要包括文件监控、文件检查、日志管

理和统计分析等功能。

图１　监控系统体系结构

3.1　文件监控

2.1　基于进程级别的文件操作事件监控技术

采用内核层文件过滤驱动技术实时监控进程文件操作

目前，文件操作事件监控技术包括应用层APIHOOK钩子

（新建、打开、写入和关闭等）。新增文件或修改文件的事件中，

技术和内核层文件钩子技术。应用层APIHOOK钩子技术难度

匹配文件监控类型策略，将匹配中标记录上报到应用层文件

相对较低，但易被杀毒软件误拦，兼容性差；内核层文件钩子

监控模块并处理。应用层文件监控模块可将中标记录通过消

技术兼容性较好，一般不会被杀毒软件误拦，但实现难度高。

息队列发送至给文件检查模块，从而进行文件检查。

本系统采用成熟稳定、兼容性较好的Minifilter文件微过滤框架

3.2　文件检查

技术。该文件微过滤框架能实现各种文件操作事件的过滤处理。

2.2　泛文件解析技术

采用泛文件解析技术对监控中标的文件进行文本提取和

图片OCR处理，将提取后的文本内容进行内容关键字检查

文件内容检查主要检查文件中的文本和图片，文本主要

和密级信息检查，对关键字中标的文件或密级越级（低密级

检查文件内容、字体和字号信息。通过OCR技术，能识别

主机存储高密级文档）行为上报至日志处理模块。

图片文件中的文本信息，并在此基础上识别文件密级和文件

3.3　日志管理

内容关键字。

2.3　文本抽取技术

存储、检索和展示文件检查结果。

Office文件、电子文件、网页文件等格式文件的文本抽

3.4　统计分析

取通常采用通用的IFilter接口技术，便于在索引服务中使用。

多维统计分析和可视化展示文件检查结果。

IFilter接口主要用于抽取文件的重要部分，比如Office文档、

４　结　语

PDF文档等非文本文件，也可用于HTML、XML等文本文件。

本文提出了一种终端主机文件涉密检查及流转跟踪实时

2.4　图片内容识别技术

监控系统。该系统可实时监控终端主机的文件操作，对中标

图片内容识别技术采用OCR文字识别技术，具体步骤

密级文件的越级存储或关键字中标的敏感文件进行告警和流

包括图像输入、二值化、噪声去除、倾斜较正、版面分析、

转跟踪。相对于其他定期文件检查系统，其能及时发现可能

字符切割、字符识别、版面恢复、后处理和校对。首先抽取

导致文档泄漏和被窃取的行为，为终端信息安全保驾护航。

图形文件中文字部分的文字特征，其次对比识别，最后抽取

图形文件的文本信息。

参考文献

2.5　文本内容关键字快速匹配技术

[1]徐建文.基于OCR技术的涉密文档监控系统设计与实

上述过程抽取到的文本数量可能很大，为了提高关键字

现[D].成都:电子科技大学,2014:75.

—　　　１１９　　　—