專利名稱:基于內容過濾的數(shù)據(jù)防護方法
技術領域:
本發(fā)明屬于涉及信息安全領域數(shù)據(jù)防護技術�,特別是一種采用網(wǎng)絡過濾驅動、設備過濾驅動技術��、基于多模式匹配的內容過濾技術相結合的數(shù)據(jù)防護方法。
背景技術:
近年來�,媒體報道的泄密事件有增無減,包括企業(yè)核心技術被竊取從而導致競爭 企業(yè)發(fā)展壯大��,造成嚴重經(jīng)濟損失��;醫(yī)療機構大量泄漏病人隱私信息�����,導致病人被惡意騷擾 等等����。無論數(shù)據(jù)丟失是無意發(fā)生的還是惡意行為所致,對企業(yè)的影響都是極其嚴重的�。泄 漏交易秘密、影響與客戶的友好關系�����,甚至招致法律嚴懲����。要阻止這種對公司業(yè)績、品牌形 象和競爭優(yōu)勢影響巨大的破壞行為�。無論是從企業(yè)自身發(fā)展,還是從法規(guī)對隱私信息的保 護來看,如何有效防范核心信息的泄漏成為企業(yè)和政府單位迫切解決的問題�。根據(jù)《2009CSI/FBI計算機犯罪和安全問題調查》(CSI/FBI Computer Crime andSecurity Survey),其中68%的被調查者曾經(jīng)遭受過由內部人員所導致的巨大損失�����。據(jù) 統(tǒng)計超過70%的安全威脅源自于部門內部��。而邊界防護措施對部門內部用戶的防護作用幾 乎可以忽略���。當前�����,關于網(wǎng)絡內部引發(fā)的安全問題卻常常因為沒有引起足夠的重視而疏于 防范�����,數(shù)據(jù)防護的完整解決方案和產(chǎn)品比較缺乏�。針對這樣的情況����,提出一種完善的數(shù)據(jù)防 護方法,能便捷����、安全、有效地控制網(wǎng)絡資源的共享及傳遞�����,保護重要部門內部敏感數(shù)據(jù)的 安全�����,是非常有意義的�。當前數(shù)據(jù)防護方法主要包括三種。一是功能單一的加密方法(如RAR���、PGP等)����,通 過軟件用戶主動對文檔進行加密操作��,對文檔內容進行保護���,這種方法屬于用戶主動要求 文檔安全���,適合于保護單個用戶文檔��,不能用于企業(yè)數(shù)據(jù)防護方案����。二是利用基于流加密算 法的透明加解密軟件(如億賽通�、新模式等),通過文件過濾驅動�����,在文件進行磁盤讀操作 時進行透明解密���,磁盤寫操作時進行透明加密����,該技術可以確保文檔在磁盤存在時為密文����, 非授權用戶無法瀏覽明文內容,可以用于企業(yè)數(shù)據(jù)防護����,但該方法不適合于企業(yè)內部人員 惡意竊取核心數(shù)據(jù),該類人員有較高的訪問權限��,在獲取明文后,可直接將數(shù)據(jù)通過網(wǎng)絡�、U 盤�����、打印等方式外泄��。三是內網(wǎng)安全防護方法(如奧德內網(wǎng)安全平臺���、中軟防水墻等)�����,通過 對外部設備接口���、網(wǎng)絡通信接口、存儲設備接口的有效監(jiān)控���,對涉密數(shù)據(jù)的外流途徑進行控 制�,此方法較前兩種方法更為全面���,能夠滿足企業(yè)數(shù)據(jù)防護需求�,但由于其控制粒度太粗, 基本采用一刀切的方式(只有允許使用U盤和禁止使用兩種策略)���,對用戶的正常操作行為 帶來極大不便�����,影響工作效率��,并導致用戶排斥使用該類產(chǎn)品��。
發(fā)明內容
本發(fā)明的目的在于提供一種基于內容過濾的數(shù)據(jù)防護方法�����,能夠不影響用戶的正 常操作���,同時提高企業(yè)核心數(shù)據(jù)的安全級別,防止有意或無意的泄漏企業(yè)核心數(shù)據(jù)���。實現(xiàn)本發(fā)明目的的技術解決方案為一種基于內容過濾的數(shù)據(jù)防護方法��,首先采 用網(wǎng)絡過濾驅動技術對網(wǎng)絡數(shù)據(jù)流進行監(jiān)控���,采用設備過濾驅動技術對外設數(shù)據(jù)流進行監(jiān)控��,并對終端計算機的網(wǎng)絡設備���、外設接口的數(shù)據(jù)進行捕獲,然后采用基于多模式匹配的內容過濾技術����,對截獲的網(wǎng)絡數(shù)據(jù)流和設備數(shù)據(jù)流進行特征匹配���,判斷為敏感信息的數(shù)據(jù)流 將被阻止外流�����,判斷為一般信息的數(shù)據(jù)流則允許外流�����,從而確保敏感數(shù)據(jù)外泄�。本發(fā)明與現(xiàn)有技術相比���,其顯著優(yōu)點(1)數(shù)據(jù)防護粒度更細�����。本發(fā)明基于文本特 征的內容過濾技術���,能夠對外向數(shù)據(jù)流的重要程度進行判斷�����,決定是否進行控制���,該方法改 變現(xiàn)存方法中開關式控制手段,細化了數(shù)據(jù)防護粒度�。(2)內容過濾效率高。采用一種消耗 空間比較小的高效多模式匹配算法����,能取得比較低時空開銷和較高的匹配準確率。在多模 式匹配算法應用下����,完成敏感內容過濾,阻止敏感信息外泄���。(3)提高核心數(shù)據(jù)安全性�。本 發(fā)明采用Windows過濾驅動技術,控制級別低����,對所有的數(shù)據(jù)外流途徑進行過濾,能夠確保 敏感信息留存在企業(yè)內部�����,提高核心數(shù)據(jù)安全性�����。(4)不影響用戶正常操作�����,提高工作效率�。 本發(fā)明細化數(shù)據(jù)防護粒度�,能夠智能判斷外傳數(shù)據(jù)的敏感程度,在用戶正常操作時����,所有控 制均不生效,不影響用戶正常操作��,加快工作效率。只有在外傳數(shù)據(jù)敏感程度高是����,系統(tǒng)控 制開始生效,避免核心數(shù)據(jù)外泄�����。下面結合附圖對本發(fā)明作進一步詳細描述��。
圖1是本發(fā)明基于內容過濾的數(shù)據(jù)方法原理圖��。圖2是本發(fā)明網(wǎng)絡過濾驅動數(shù)據(jù)流捕獲處理流程圖�。圖3是本發(fā)明設備過濾驅動數(shù)據(jù)流捕獲對象結構示意圖。圖4是本發(fā)明基于多模式字符串掃描匹配流程圖����。圖5是本發(fā)明的實驗模擬結果_多個樣本集的關鍵詞匹配運行時間。圖6是本發(fā)明基于內容過濾的數(shù)據(jù)方法的流程圖����。
具體實施例方式結合圖6,本發(fā)明基于內容過濾的數(shù)據(jù)防護方法���,首先采用網(wǎng)絡過濾驅動技術對網(wǎng) 絡數(shù)據(jù)流進行監(jiān)控���,采用設備過濾驅動技術對外設數(shù)據(jù)流進行監(jiān)控�����,并對終端計算機的網(wǎng) 絡設備�����、外設接口的數(shù)據(jù)進行捕獲�,然后采用基于多模式匹配的內容過濾技術�,對截獲的網(wǎng) 絡數(shù)據(jù)流和設備數(shù)據(jù)流進行特征匹配,判斷為敏感信息的數(shù)據(jù)流將被阻止外流�����,判斷為一 般信息的數(shù)據(jù)流則允許外流�,從而確保敏感數(shù)據(jù)外泄����。如圖1,本發(fā)明基于內容過濾的數(shù)據(jù) 防護方法�����,具體流程如下①當用戶通過網(wǎng)絡接口發(fā)送文件,通過網(wǎng)絡過濾驅動監(jiān)視數(shù)據(jù)流����;②網(wǎng)絡過濾驅動將分散網(wǎng)絡報文重組,并提取文件內容信息����,轉發(fā)給匹配器進行 處理③采用基于多模式匹配的內容過濾算法進行內容過濾,如果發(fā)現(xiàn)敏感內容�����,及丟 棄�,否則將根據(jù)原報文信息構造新報文數(shù)據(jù),繼續(xù)流轉��;④當用戶通過外設接口發(fā)送文件����,通過設備過濾驅動監(jiān)視數(shù)據(jù)流;⑤設備過濾驅動捕獲外設交換數(shù)據(jù)���,轉發(fā)給匹配器進行處理����;⑥采用基于多模式匹配的內容過濾算法進行內容過濾,如果發(fā)現(xiàn)敏感內容��,及丟 棄���,否則將數(shù)據(jù)轉交給下層驅動���,繼續(xù)流轉。
結合圖2����,為對網(wǎng)絡接口流出報文內容進行過濾分析,本發(fā)明采用網(wǎng)絡過濾驅動技 術對網(wǎng)絡數(shù)據(jù)流進行監(jiān)控���,即基于網(wǎng)絡過濾驅動設計報文捕獲和內容過濾流程為(1)在網(wǎng)卡上安裝網(wǎng)絡過濾驅動程序��,對數(shù)據(jù)報文進行截獲���;(2)判斷被截獲報文是否為IP幀,如果是則繼續(xù)�,否則丟棄���,結束一次流程����;(3)判斷數(shù)據(jù)報文是否需要重組,如果不需要��,則繼續(xù)�,否則等待后續(xù)內容,進入重 組流程�,完成重組后繼續(xù);(4)判斷完整報文是否為TCP報文�,如果不是則丟棄,如果是���,則繼續(xù)�;(5)從報文中剝離報頭提取報文元組(即源IP地址���,源端口��,目的IP地址���,目的端 Π);(6)判斷元組是否存在于HASH表中����,如果是則繼續(xù)�,否則檢查是否SYN = 1并且 ACK = 1��,如果不是�,則丟棄;(7)生成應用協(xié)議會話���;(8)在會話中生成TCP數(shù)據(jù)流����;(9)還原應用層文本�����,進入關鍵詞匹配算法����,如果匹配成功則,記錄日志�,結束流 程,如果匹配不成功����,則根據(jù)報文源地址,構造新報文繼續(xù)發(fā)送。其中�����,檢查元組是否存在于HASH表中����,是因為系統(tǒng)中主要處理TCP/IP協(xié)議數(shù)據(jù) 包�����,為了減少系統(tǒng)負荷��,首先要過濾掉其它協(xié)議的數(shù)據(jù)��。根據(jù)TCP/IP協(xié)議�����,每一個網(wǎng)絡連 接可由四元組惟一標識��,四元組即源IP地址����,源端口,目的IP地址�����,目的端口。應用還 原的過程是通過這個四元組來實現(xiàn)的��,首先根據(jù)四元組利用HASH查找算法判定該連接 的協(xié)議類對象是否存在����,如果不存在,根據(jù)目的端口判斷該數(shù)據(jù)連接的類型(HTTP�����,SMTP, P0P3, FTP, TELNET)��,再建立相應的協(xié)議類(CHttpConncct��,CSmtpConnect, CPop3Connect, CFtpConnect,CTelnetConnect)對象���,將該對象和四元組建立映射關系����。如果該四元組對應 的協(xié)議類對象已經(jīng)存在�,則重載該協(xié)議類對象的數(shù)據(jù)處理函數(shù)=ParseData(TCP. _DATAtcp_ data)ο此外,檢查是否SYN= 1并且ACK= 1,是由于一個完整的報文的特征是重組鏈表 中的第一個節(jié)點的SYN標志為1�����,最后一個節(jié)點的FIN標志為1�����,且所有節(jié)點的序號seq應 連續(xù)��。由于數(shù)據(jù)包傳輸時可能會亂序或重傳���,IP數(shù)據(jù)的重組過程實際是對重組鏈表的插入 和刪除過程。針對每個四元組���,在捕獲到第一個包時��,為這個連接建立一個重組鏈表�����,以后 每捕獲到一個新的數(shù)據(jù)包���,都要對重組鏈表進行搜索。如果這個數(shù)據(jù)包的序號及數(shù)據(jù)長度 與鏈表中某個節(jié)點的序號及數(shù)據(jù)長度相同,則是重發(fā)包��,直接丟棄����;否則,將這個包插入到 鏈表中�����。一旦形成了一個完整的報文�,就可以拼接其中的數(shù)據(jù)部分,重現(xiàn)一個應用層會話��。根據(jù)報文源地址構造新報文進行發(fā)送����,即(1)在驅動程序初始化或是每次向網(wǎng)卡綁定時,調用NdisAllocatePacketPool請 求分配一個數(shù)據(jù)包池����,其中包含有指定數(shù)量的數(shù)據(jù)包描述符。(2)從NdisAUocatePacketPool申請得到的數(shù)據(jù)包池中請求分配一個數(shù)據(jù)包描述符�。(3)在得到了數(shù)據(jù)包描述符之后,還要通過調用NdisChainBufferAtBack或者 NdisChainBufferAtFront向上面鏈接一個或是多個緩沖區(qū)描述符���。而緩沖區(qū)描述符所描述 的存儲區(qū)域則可由內核提供的NdisAllocatePacketPool函數(shù)得到��,最后還要用緩沖區(qū)描述符對剛剛得到的存儲區(qū)域加以映射�。結合圖3,為對外部設備接口流出報文內容進行過濾分析�����,本發(fā)明基于設備過濾驅 動捕獲傳輸數(shù)據(jù)�,即(1)安裝設備過濾驅動程序�,設置設備過濾驅動數(shù)據(jù)流捕獲對象,對外設接口交換 數(shù)據(jù)進行截獲����;(2)判斷被截獲傳輸包是否為數(shù)據(jù)包,如果是則繼續(xù)�����,否則丟棄��,結束一次流程�����;(3)轉入基于多模式匹配的內容過濾流程;(4)如果包含敏感信息�����,則記錄日志并阻止該包發(fā)送���;(5)如果不包含敏感信息�,則直接將該包返回正常流程��,繼續(xù)發(fā)送���。其中����,設備過濾驅動數(shù)據(jù)流捕獲對象結構為過濾驅動對象依附于具體設備對象 之上��,在數(shù)據(jù)流入流出時���,過濾驅動可以獲取數(shù)據(jù)流�,并進行處理后交換具體設備驅動繼續(xù) 處理���;設備過濾驅動對象需要實現(xiàn)包括DriverInit ()����,DriverStart (),DrvierUnload ()����, MajorFunction ()等函數(shù),在驅動程序初始化過程中���,它的DriverEntry例程會把其它驅動 程序例程(Unload�����、StartIo等)的指針裝入到其驅動程序對象中,以便I/O管理器調用�。 當驅動程序被卸載時,I/O管理器會調用Unload例程并刪除驅動程序對象����。擬設備驅動中, 通過攔截IRP消息�,進入MajorFimction ()處理函數(shù),在此對設備的通訊數(shù)據(jù)進行處理�。結合圖4,針對多目標字符串匹配特點��,本發(fā)明基于多模式匹配的內容過濾的掃描 匹配流程?�;诙嗄J狡ヅ涞膬热葸^濾���,即首先從文本串StrMsg的位置iMinPatLen開始 匹配�,設當前匹配的位置為i����,以strMSg[i-l]StrMSg[i]兩個相鄰字符為窗口取樣觀察把 這兩個字符的編碼值按照順序用位操作移入觀測窗口 T,形成文本字符流���。然后把T和掩碼 常量iHMask相與�,得到最后的兩個字符的編碼值Test��,接著根據(jù)ShiftTab [Test]值的情況 決定下一步是回溯匹配還是繼續(xù)移動��。具體步驟(1)計算最短模式長度iMinPatLen��,根據(jù)字符集的大小| Σ |����,確定二進制編碼位 數(shù)iE = log2 (I Σ I +1),定義編碼函數(shù)Encode�����,確定兩字符組合的掩碼iHMask ;(2)按照兩個字符組合遍歷字符集計算編碼值����,求出最大索引iMaxIndex和最小 索引iMinlndex,定義移動表ShiftTab大小為iMaxIndex ����;(3)設置移動表 shiftTab 和 HASH 表 HashTab ;(4)初始化窗口變量T = 0�����,設文本當前字符位置為i ��;(5)左移 T�,把 strgsg[i-1] strMsg[i]移入 T 中�����;(6)窗口變量T和掩碼iHMask執(zhí)行AND操作求得測試變量Test �;(7)根據(jù)Test值的情況判斷如果Test不在有效范圍Range = [iMinlndex, iMaxIndex]內,說明該字符組合至少有一個字符不屬于字符集Σ����,直接跳躍 iMinPatLen-Ι �����;(8)否則���,查移動表 ShiftTab,即 Shift = ShiftTab [Test];(9)如果Shift不等于O說明該字符組合不是任何模式串的后綴��,繼續(xù)移i�����,使i =i+Shift �;(10)否則該字符組合可能是一些模式串的后綴,取出HashTab[Test]所指的模式 鏈表逐項回溯匹配��,報告匹配結果(11)本步驟循環(huán)執(zhí)行直到i到達文本串的結尾����,流程結束。
例如�,假設文本串 strMsg =,security military···',從 iMinPatLen = 1 開始 匹配,設i = 1�����,則取strMSg[i-l]strMsg[i] =����,se'兩個相鄰字符為窗口,移入觀察窗 口 T形成文本字符串���,將T和常量iHMask相與����,得到兩個字符的編碼值Test��,接著根據(jù) ShiftTab[Test]值的情況決定回溯匹配或者繼續(xù)前移���,一直循環(huán)執(zhí)行到i達到文本串尾 部���,匹配過程結束。圖5表明�����,隨著模式串長度的不斷增加����,兩種數(shù)據(jù)集下的運行時間 都有一定的下 降趨勢。同時��,企業(yè)數(shù)據(jù)集的算法運行時間一直都比部隊單位數(shù)據(jù)集的運行時間短�����?��?梢?預測����,當模式串長度增加到一定量時�����,兩種算法運行的時間可能相差不大��。因此在系統(tǒng)正常 處理時����,運行時間的長短并不受限于具體數(shù)據(jù)集。此外,我們還進行了精確度��、錯誤容忍等 試驗�,各項試驗表明,無論從空間利用上還是時間消耗上該算法都能夠滿足系統(tǒng)要求����,由于 在匹配時,跳躍性得到了更好的發(fā)揮�,所以性能上得到了很大的提高。
權利要求
一種基于內容過濾的數(shù)據(jù)防護方法��,其特征在于首先采用網(wǎng)絡過濾驅動技術對網(wǎng)絡數(shù)據(jù)流進行監(jiān)控�,采用設備過濾驅動技術對外設數(shù)據(jù)流進行監(jiān)控,并對終端計算機的網(wǎng)絡設備�����、外設接口的數(shù)據(jù)進行捕獲�,然后采用基于多模式匹配的內容過濾技術,對截獲的網(wǎng)絡數(shù)據(jù)流和設備數(shù)據(jù)流進行特征匹配���,判斷為敏感信息的數(shù)據(jù)流將被阻止外流��,判斷為一般信息的數(shù)據(jù)流則允許外流���,從而確保敏感數(shù)據(jù)外泄。
2.根據(jù)權利要求1所述的基于內容過濾的數(shù)據(jù)防護方法����,其特征在于采用網(wǎng)絡過濾驅 動技術對網(wǎng)絡數(shù)據(jù)流進行監(jiān)控,即(1)在網(wǎng)卡上安裝網(wǎng)絡過濾驅動程序����,對數(shù)據(jù)報文進行截獲;(2)判斷被截獲報文是否為IP幀����,如果是則繼續(xù),否則丟棄���,結束一次流程�;(3)判斷數(shù)據(jù)報文是否需要重組���,如果不需要����,則繼續(xù)�����,否則等待后續(xù)內容,進入重組流 程�,完成重組后繼續(xù);(4)判斷完整報文是否為TCP報文�����,如果不是則丟棄��,如果是�,則繼續(xù);(5)從報文中剝離報頭提取報文元組�����;(6)判斷元組是否存在于HASH表中����,如果是則繼續(xù),否則檢查是否SYN= 1并且ACK = 1���,如果不是��,則丟棄����;(7)生成應用協(xié)議會話;(8)在會話中生成TCP數(shù)據(jù)流��;(9)還原應用層文本�����,進入關鍵詞匹配算法���,如果匹配成功則,記錄日志���,結束流程���,如 果匹配不成功,則根據(jù)報文源地址��,構造新報文繼續(xù)發(fā)送�。
3.根據(jù)權利要求2所述的基于內容過濾的數(shù)據(jù)防護方法,其特征在于根據(jù)報文源地址 構造新報文進行發(fā)送����,即(1)在驅動程序初始化或是每次向網(wǎng)卡綁定時����,調用NdisAllocatePacketPool請求分 配一個數(shù)據(jù)包池�,其中包含有指定數(shù)量的數(shù)據(jù)包描述符;(2)從NdisAUocatePacketPool申請得到的數(shù)據(jù)包池中請求分配一個數(shù)據(jù)包描述符�����;(3)在得到了數(shù)據(jù)包描述符之后��,還要通過調用NdisChainBufferAtBack或者 NdisChainBufferAtFront向上面鏈接一個或是多個緩沖區(qū)描述符��,而緩沖區(qū)描述符所描述 的存儲區(qū)域則由內核提供的NdisAllocatePacketPool函數(shù)得到�����,最后還要用緩沖區(qū)描述 符對剛剛得到的存儲區(qū)域加以映射�����。
4.根據(jù)權利要求1所述的基于內容過濾的數(shù)據(jù)防護方法�����,其特征在于采用設備過濾驅 動技術對設備數(shù)據(jù)流進行監(jiān)控��,即(1)安裝設備過濾驅動程序,設置設備過濾驅動數(shù)據(jù)流捕獲對象�,對外設接口交換數(shù)據(jù) 進行截獲;(2)判斷被截獲傳輸包是否為數(shù)據(jù)包����,如果是則繼續(xù),否則丟棄�����,結束一次流程���;(3)轉入基于多模式匹配的內容過濾流程;(4)如果包含敏感信息���,則記錄日志并阻止該包發(fā)送��;(5)如果不包含敏感信息�,則直接將該包返回正常流程�,繼續(xù)發(fā)送。
5.根據(jù)權利要求4所述的基于內容過濾的數(shù)據(jù)防護方法��,其特征在于第(1)步中設備 過濾驅動數(shù)據(jù)流捕獲對象結構設備過濾驅動對象依附于具體設備對象之上�,在數(shù)據(jù)流入流出時����,過濾驅動可以獲取數(shù)據(jù)流���,并進行處理后交換具體設備驅動繼續(xù)處理����;設備過濾驅動對象需要實現(xiàn)包括 Driverlnit ()�,DriverStart (),DrvierUnload ()��,MajorFunction () g^, $馬區(qū)云力禾呈��;!5率刀女臺 化過程中���,它的DriverEntry例程會把其它驅動程序例程(Unload�����、Startlo)的指針裝入到 其驅動程序對象中��,以便I/O管理器調用���;當驅動程序被卸載時����,I/O管理器會調用Unload 例程并刪除驅動程序對象��;擬設備驅動中�����,通過攔截IRP消息���,進入MajorFunction()處理 函數(shù)��,在此對設備的通訊數(shù)據(jù)進行處理��。
6.根據(jù)權利要求1所述的基于內容過濾的數(shù)據(jù)防護方法,其特征在于基于多模式匹配 的內容過濾���,即首先從文本串strMsg的位置iMinPatLen開始匹配���,設當前匹配的位置為i,以 strMsg[i-l]strMsg[i]兩個相鄰字符為窗口取樣觀察把這兩個字符的編碼值按照順序 用位操作移入觀測窗口 T��,形成文本字符流;然后把T和掩碼常量iHMask相與��,得到最后的 兩個字符的編碼值Test�����,接著根據(jù)ShiftTab[Test]值的情況決定下一步是回溯匹配還是 繼續(xù)移動��。
7.根據(jù)權利要求6所述的基于內容過濾的數(shù)據(jù)防護方法�����,其特征在于(1)計算最短模式長度iMinPatLen����,根據(jù)字符集的大小|E |,確定二進制編碼位數(shù)iE = log2(| E |+1)����,定義編碼函數(shù)Encode,確定兩字符組合的掩碼iHMask �����;(2)按照兩個字符組合遍歷字符集計算編碼值����,求出最大索引iMaxIndex和最小索引 iMinlndex���,定義移動表 ShiftTab 大小為 iMaxIndex ;(3)設置移動表shiftTab 和 HASH 表 HashTab ����;(4)初始化窗口變量T= 0,設文本當前字符位置為i ��;(5)左移T���,把 strgsg[i-l]strMsg[i]移入 T 中���;(6)窗口變量T和掩碼iHMask執(zhí)行AND操作求得測試變量Test;(7)根據(jù)Test值的情況判斷如果Test不在有效范圍Range= [iMinlndex, iMaxIndex]內����,說明該字符組合至少有一個字符不屬于字符集E�����,直接跳躍 iMinPatLen-1 �;(8)否則,查移動表ShiftTab,即 Shift = ShiftTab [Test]��;(9)如果Shift不等于0說明該字符組合不是任何模式串的后綴�����,繼續(xù)移i����,使i= i+Shift ;(10)否則該字符組合可能是一些模式串的后綴��,取出HashTab[Test]所指的模式鏈表 逐項回溯匹配���,報告匹配結果���;(11)循環(huán)執(zhí)行直到i到達文本串的結尾,流程結束��。
全文摘要
本發(fā)明公開了一種基于內容過濾的數(shù)據(jù)防護方法���,首先采用網(wǎng)絡過濾驅動技術對網(wǎng)絡數(shù)據(jù)流進行監(jiān)控�����,采用設備過濾驅動技術對外設數(shù)據(jù)流進行監(jiān)控�,并對終端計算機的網(wǎng)絡設備、外設接口的數(shù)據(jù)進行捕獲���,然后采用基于多模式匹配的內容過濾技術���,對截獲的網(wǎng)絡數(shù)據(jù)流和設備數(shù)據(jù)流進行特征匹配,判斷為敏感信息的數(shù)據(jù)流將被阻止外流����,判斷為一般信息的數(shù)據(jù)流則允許外流,從而確保敏感數(shù)據(jù)外泄�����。本發(fā)明數(shù)據(jù)防護粒度更細�;內容過濾效率高;提高核心數(shù)據(jù)安全性����;不影響用戶正常操作,提高工作效率�����。
文檔編號H04L29/06GK101827102SQ20101015046
公開日2010年9月8日 申請日期2010年4月20日 優(yōu)先權日2010年4月20日
發(fā)明者毛捍東, 繆嘉嘉, 蔣思宇, 陳國友, 陳 峰, 陳超, 鮑愛華 申請人:中國人民解放軍理工大學指揮自動化學院