《通用、可靠的文件复制操作识别方法》由会员分享,可在线阅读,更多相关《通用、可靠的文件复制操作识别方法(3页珍藏版)》请在金锄头文库上搜索。
1、通用、可靠的文件复制操作识别方法专利名称:通用、可靠的文件复制操作识别方法技术领域:本发明属于计算机系统安全管理技术领域,特别涉及通用、可靠的文件复制操作识别方法。背景技术:目前,在现有技术中,若要在个人电脑上实现文件复制操作通常需要经过如下步骤首先选中需要复制的文件,右击鼠标右键,在弹出的菜单中选择“复制”,再打开目标文件路径,点击鼠标右键,从弹出的菜单中选择“粘贴”,通过以上两个步骤完成将待复制的文件粘贴到目标文件路径中。为了方便用户操作,现有技术还提供了快捷方式,选中待复制的文件,按下键盘上的功能组合键“Ctrl+C”,然后打开目标文件路径,再按下键盘的功能组合键“Ctrl+V”就可以实
2、现文件的复制和粘贴。在防数据丢失系统(DLP System)中,需要对受保护文件进行全生命期监视,正确地识别文件复制操作是监控受保护文件的变化的重要环节。在现有技术中,识别文件复制操作的方法是在应用层利用API挂钩技术,捕获文件复制函数调用动作,获得调用动作中携帯的文件信息,完成对复制操作的识别过程。然而,实现复制操作的API函数众多,首先程序很难做到没有遗漏地对每个函数进行挂钩;其次,不同版本的操作系统对文件复制操作的实现也不尽相同,程序的通用性很差;再次,通过API挂钩的方式,无法识别到从网络路径复制到本地路径或从本地路径复制到网络路径的操作。综上所述,在现有技术中,文件复制操作识别方法存
3、在可靠性差、通用性差的缺点。发明内容本发明是为解决上述现有技术中存在的不足之处,提供种通用、可靠的文件复制操作识别方法,以提高文件复制操作识别方法的可靠性和通用性。本发明通用、可靠的文件复制操作识别方法,包含以下步骤 a.捕获文件的基本操作利用文件微过滤驱动捕获文件的基本操作以及基本操作携帯的数据; 所述文件的基本操作包括打开、查询扩展属性、创建、关闭; 所述文件的基本操作携帯的数据包括文件打开分类、进程ID、查询扩展属性操作发生时间、关闭操作发生时间、文件大小、文件名、文件路径; 所述文件打开分类包括打开、创建、创建并覆盖; b.存储文件的基本操作将捕获到的文件的基本操作以及基本操作携帯的数
4、据存储在内存中; 以哈希表作为数据结构,以文件路径和文件名为索引,如果所述哈希表中不存在该文件,则将该文件的基本操作以及基本操作携帯的数据添加到哈希表中;如果所述哈希表中存在该文件,则更新哈希表中的该文件的基本操作以及基本操作携帯的数据; C.分析文件的基本操作分析存储在内存中的文件的基本操作以及基本操作携帯的数据,识别文件是否发生了复制操作。所述步骤c中,进步包括以下步骤 Cl.根据文件的基本操作进行判断,如果基本操作是关闭,则继续执行步骤c2 ;如果基本操作不是关闭,则结束,即没有发生文件复制操作;c2.获取当前系统时间; c3.根据文件的打开分类进行判断,如果文件的打开分类是创建或者是创
5、建并覆盖,则继续执行步骤c4 ;如果文件打开分类是打开,则 结束,即没有发生文件复制操作; c4.遍历哈希表中的节点,获取与所述文件的文件大小、进程ID相同,且查询扩展属性操作发生时间不为零的节点,生成节点列表; c5.将所述节点列表中的每个节点的文件关闭操作发生时间与步骤c2获取的当前系统时间进行比较,如果二者之差小于2秒,则继续执行步骤c6 ;如果二者之差大于或等于2秒,则结束,即没有发生文件复制操作; c6.根据节点的文件路径进行判断,如果文件路径指向的文件存在,则所述文件发生复制操作;如果文件路径指向的文件不存在,则没有发生文件复制操作。本发明的有益效果体现在与现有技术相比,本发明的文
6、件复制操作识别方法与发起复制操作的具体应用程序和实现复制文件的技术手段无关,通过分析文件过滤驱动捕获到的操作以及数据,快速准确地识别出哪些文件发生了复制操作,不但可以识别本地路径之间的复制操作还可以识别网络路径与本地路径之间的复制操作,实现了文件复制操作识别的通用性和可靠性,为有效保护文件数据安全,防止通过非法文件复制操作泄露技术秘密和重要数据提供了防范机制。图I是本发明的文件复制操作识别方法的流程 图2是本发明的文件复制操作识别方法的步骤c的流程 图3是本发明的实施例的文件复制操作识别系统的结构示意图。具体实施例方式下面将结合附图及实施例,对本发明做进步详细描述。本发明提供了种通用、可靠的文
7、件复制操作识别方法,其应用场景为局域网环境或通用的互联网环境。本实施例为局域网环境,如图3所示,该局域网包括服务端计算机301、客户端计算机302。在客户端计算机302上发生的文件复制操作,可以在服务端计算机301上显示出识别結果。例如,在客户端计算机302上,发生了把一个文件路径为C:用户Administrator桌面、文件名为“新春快乐.doc”、文件大小为130k的文件,复制到网络W192. 168. O. 2public的路径下的操作。如图I所示,本发明的文件复制操作识别方法,具体工作步骤如下 a.捕获文件的基本操作101 :客户端计算机302利用文件微过滤驱动捕获文件的基本操作以及基
8、本操作携帯的数据; 所述文件微过滤驱动程序捕获本地文件的基本操作以及该基本操作携帯的数据和网络文件的基本操作以及该基本操作携帯的数据包括 本地文件的基本操作打开; 该基本操作携帯的数据文件名“新春快乐.doc”、文件路径C:用户Administrator桌面、文件大小130k、进程ID :1202、文件打开分类打开; 本地文件的基本操作查询扩展属性; 该基本操作携帯的数据文件名“新春快乐.doc”、文件路径C:用户Administrator桌面、查询扩展属性操作发生的时间=16:28:20:05(16时28分20秒5毫秒); 本地文件的基本操作关闭; 该基本操作携帯的基本数据文件名“新春快乐.
9、doc”、文件路径C:用户Administrator桌面、关闭文件操作发生时间:16:28:21:10 ; 所述文件微过滤驱动程序捕获网络文件的基本操作以及该基本操作携帯的数据和网络文件的基本操作以及该基本操作携帯的数据包括 网络文件的基本操作创建; 该基本操作携帯的数据文件名“新春快乐.doc”、文件路径W192. 168. O. 2public、文件大小130k、进程ID : 1202、文件打开分类创建; 网络文件的基本操作关闭; 该基本操作携帯的数据文件名“新春快乐.doc”、文件路径W192. 168. 0. 2public、关闭文件操作发生时间16:28:21:50 ; b.存储文件
10、的基本操作102:客户端计算机302将捕获到的本地文件的基本操作以及该基本操作携帯的数据和网络文件的基本操作以及该基本操作携帯的数据存储在内存中; 存储本地文件的基本操作客户端计算机302以哈希表作为数据结构,以C:用户Administrator桌面新春快乐.doc为索引,如果哈希表中不存在该文件,则将该文件的基本操作以及基本操作携帯的数据添加到哈希表中;如果所述哈希表中存在该文件,则更新哈希表中的该本地文件的基本操作以及基本操作携帯的数据; 存储网络文件的基本操作客户端计算机302以哈希表为数据结构,以W192. 168. 0. 2public新春快乐.doc为索引,如果哈希表中不存在该文件
11、,则将该文件的基本操作以及基本操作携帯的数据添加到哈希表中;如果所述哈希表中存在该文件,则更新哈希表中的该网络文件的基本操作以及基本操作携带的数据; c.分析文件的基本操作103:客户端计算机302分析存储在内存中的本地文件的基本操作以及该基本操作携帯的数据和网络文件的基本操作以及该基本操作携帯的数据,识别文件“新春快乐.doc”是否发生了复制操作。所述步骤c中,如图2所示,进步包括以下步骤 分析本地文件的基本操作如下 步骤201A :根据本地文件C:用户Administrator桌面新春快乐.doc的基本操作进行判断,该基本操作是关闭,那么该文件可能发生文件复制操作,继续执行步骤202A ;
12、(如果基本操作不是关闭,则结束,即没有发生文件复制操作;) 步骤202A :获取当前系统时间16:28:20:13 ; 步骤203A :根据所述本地文件的打开分类进行判断,该文件的打开分类是打开,不是创建或创建并覆盖,则结束,即没有发生文件复制操作; 分析网络文件的基本操作如下 步骤201B :根据网络文件192. 168. O. 2public新春快乐 doc的基本操作进行判断,该基本操作是关闭,那么该文件可能发生文件复制操作,继续执行步骤202B ;(如果基本操作不是关闭,则结束,即没有发生文件复制操作;) 步骤202B :获取当前系统时间16:28:21:53 ; 步骤203B :根据所
13、述网络文件的打开分类进行判断,该文件的打开分类是创建,那么该文件可能发生文件复制操作,继续执行步骤204B ;(如果该文件打开分类既不是创建也不是创建并覆盖,则结束,即没有发生文件复制操作;) 步骤204B :遍历哈希表中的节点,获取与所述网络文件的文件大小130k、进程ID :1202相同,且查询扩展属性操作发生时间不为零的节点,生成节点列表; 步骤205B :将所述节点列表中的每个节点的本地文件关闭操作发生时间16:28:21:10与步骤202B获取的当前系统时间16:28:21:53进行比较,二者之差为43毫秒,即小于2秒,那么该文件可能发生文件复制操作,继续执行步骤206B ;(如果二
14、者之差大于或等于2秒,则结束,即没有发生文件复制操作;) 步骤206B 根据节点的文件路径进行判断,本地文件路径C: 用户Admini strator桌面新春快乐.doc指向的文件存在,网络文件路径192. 168. O. 2public新春快乐.doc是由本地文件路径用户Administrator桌面新春快乐.doc复制产生的,所述文件发生复制操作;(如果文件路径C:用户Administrator桌面新春快乐.doc指向的文件不存在,则没有发生文件复制操作;)。客户端计算机302通过TCP协议将文件复制操作识别结果发送至服务端计算机301,在服务端计算机301上能够显示出识别结果为复制,从而
15、实现文件复制操作的识别。通过以上步骤完成了由本地路径到网络路径的文件复制操作识别过程。本发明的识别方法也适用于从网络路径复制到本地路径的文件复制操作识别过 程,或者本地路径之间的文件复制操作识别过程。本发明的识别方法可以适用于不同的操作系统版本,因为不依赖于发起复制操作的API函数,从而实现了文件复制操作识别的通用性与可靠性。权利要求1.通用、可靠的文件复制操作识别方法,其特征在于,该方法包含以下步骤 a.捕获文件的基本操作利用文件微过滤驱动捕获文件的基本操作以及基本操作携帯的数据; 所述文件的基本操作包括打开、查询扩展属性、创建、关闭; 所述文件的基本操作携帯的数据包括文件打开分类、进程ID、查询扩展属性操作发生时间、关闭操作发生时间、文件大小、文件名、文件路径; 所述文件打开分类包括打开、创建、创建并覆盖; b.存储文件的基本操作将捕获到的文件的基本操作以及基本操作携帯的数据存储在内存中; 以哈希表作为数据结构,以文件路径和文件名为索引,如果所述哈希表中不存在该文件,则将该文件的基本操作以及基本操作携帯的数据添加到哈希表中;如果所述哈希表中存在该文件,则更新哈希表中的该文件的基本操作以及基本操作携帯的数据; c.分析文件的基本操作分析存储在内存中的文件的基本操作以及基本操作携帯的数据,识别文件是否发生了复制操作。2.根据权利要求I所述的方法,其特征在于
