[发明专利]一种基于计算机行为的数据防泄露系统及方法

摘要

本发明公开了一种基于计算机行为的数据防泄露系统，包括驱动模块、用户行为分析模块和数据判断模块。其中，当检测到计算机通过网络向外发送文件的事件发生时，驱动模块向用户行为分析模块发送触发信号；用户行为分析模块接收到触发信号后，检测是否有用户输入信息以及窗口信息，经过判断是由用户主动意愿发生的行为，则向数据类型判断模块发出信息；数据类型判断模块对外发文件进行判断，并将外发文件涉密的判断结果传送给驱动模块；驱动模块根据判断结果对向外发送文件的事件进行处理。本发明还公开了相应的数据防泄露方法。本发明针对计算机终端上的数据外发行为进行全面分析、归纳和总结，具有针对性强、误报率低，效率高等优点。

主权项

一种基于计算机行为的数据防泄露方法，基于数据防泄露系统实现，所述数据防泄露系统包括驱动模块、用户行为分析模块和数据判断模块，其中，所述驱动模块用于监听计算机，当检测到所述计算机通过网络向外发送文件的事件发生时，所述驱动模块向所述用户行为分析模块发送触发信号；所述用户行为分析模块接收到所述触发信号后，检测是否有用户输入信息以及窗口信息，经过判断是由用户主动意愿发生的行为，则向所述数据类型判断模块发出信息；所述数据类型判断模块对所述外发文件进行判断，并将所述外发文件涉密的判断结果传送给所述驱动模块；所述驱动模块根据判断结果对向外发送文件的事件进行处理；其特征在于包括以下步骤：(1)当监测到计算机向外界发送文件时，获取所述数据所在的外发文件的后缀名和路径，并发出触发信号；(2)判断所述外发文件的后缀名和路径是否在数据库中，如果不存在于所述数据库中，转步骤(3)；如果存在于所述数据库中，转到步骤(4)；(3)当前活动窗口所在进程是外发文件的进程，并且用户主动意愿，则判断所述外发文件的文件类型合法，允许所述进程进行联网发送文件；(4)判断外发文件的动作是否为后台触发：如果不是后台触发，且所述外发文件的路径中与外发进程的单位名为同一单位，则所述外发文件的文件类型合法；如果所述外发文件的动作是后台触发，且所述外发文件的路径不包含外发进程的单位名，则所述外发文件的动作为疑似泄密行为，终止所述进程的联网动作。