CN102467618A - 局域网内共享文件操作的审计系统及方法 - Google Patents
局域网内共享文件操作的审计系统及方法 Download PDFInfo
- Publication number
- CN102467618A CN102467618A CN2010105313201A CN201010531320A CN102467618A CN 102467618 A CN102467618 A CN 102467618A CN 2010105313201 A CN2010105313201 A CN 2010105313201A CN 201010531320 A CN201010531320 A CN 201010531320A CN 102467618 A CN102467618 A CN 102467618A
- Authority
- CN
- China
- Prior art keywords
- shared file
- terminal
- record
- file operation
- local
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种局域网内共享文件操作的审计系统,包括有多个终端和一个记录存储服务器,各终端包括有中间层网络驱动模块、文件过滤驱动模块和共享文件记录处理器。本发明还公开了应用上述系统进行审计的方法。该审计系统及方法简单、高效,且易于集成。审计时,中间层网络驱动模块和文件过滤驱动模块分别截获共享访问SMB包和文件操作的IRP包,并记录下共享文件的操作信息,共享文件记录处理器根据这些信息及终端登陆用户名,生成详细的共享文件操作审计记录,汇报到记录存储服务器,如此,内网管理员就可轻松地实现对共享文件操作的管理。
Description
技术领域
本发明涉及一种局域网内共享文件操作的审计系统。本发明还涉及基于上述系统的审计方法。
背景技术
在企业内部局域网中,常常会配置一些允许内部员工以共享方式访问的公共服务器,员工之间也常常会采用文件共享的方式分享文件,尤其是在禁用外设和实行无纸化办公的企业中,这种方式所具有的简单、高效的优点更为突出。但是,文件共享也会给内网的管理带来困扰,特别是在个人计算机数量较多时,容易因内部用户将机密性文件非法设置成共享,并且没有设置好共享权限,而导致机密信息外泄,此外,某些员工还可能在访问公共服务器时,私自篡改服务器上的文件或恶意向服务器上传木马病毒,给内网的管理带来混乱。为了防范上述问题,企业内部通常会制订相应的管理制度来规范共享文件的访问操作,但是,由于缺乏有效的审计手段,在出现违规操作时,很难定位追踪到当事人,如此,就无法向当事人追究责任,使得内网的管理工作难有成效,且管理成本较高。
目前,也有人采用域策略方式或者文件过滤驱动方式,来解决共享文件的操作审计问题。域策略方式有存在三个主要的问题,一是企业必须配置有域,且所有内部用户都必须加入域中,对于那些没有设置域服务器或者没有加入域的用户就无法进行管理;二是通过域策略审计共享文件操作的信息比较简单,无法追踪定位到责任人;三是无法与其他内网管理系统集成,形成一体化的内网安全保护系统。文件过滤驱动方式则是通过在目标终端安装文件过滤驱动,监控本地共享文件操作,记录审计信息,来进行管理,这种方式只能监控终端用户做了哪些操作,无法获取远程终端的IP地址(Internet Protocol Address,网际协议地址)和MAC(Media Access Control,介质访问控制)地址等信息,因此,内网管理员同样无法追查远程终端的访问操作。
发明内容
本发明要解决的技术问题是提供一种局域网内共享文件操作的审计系统,它简单、高效,且易于集成。
为解决上述技术问题,本发明的局域网内共享文件操作的审计系统,包括多个终端和一个用于存储共享文件操作审计记录的记录存储服务器,各终端包括有:
中间层网络驱动模块,用于截获终端发送和接收的所有共享访问SMB包,记录该SMB包中包含的共享文件操作信息,并通知共享文件记录处理器读取该信息;
文件过滤驱动模块,用于截获终端所有文件操作的IRP包,并对属于共享文件操作的IRP包,记录该IRP包中包含的共享文件操作信息,并通知共享文件记录处理器读取该信息;
共享文件记录处理器,用于接收来自中间层网络驱动模块和文件过滤驱动模块的通知,查询相应的共享文件操作信息,并获取终端登陆用户名,生成共享文件操作审计记录,发送给记录存储服务器。
本发明要解决的另一技术问题是提供一种利用上述系统对局域网内共享文件操作进行审计的方法。
为解决上述技术问题,本发明的局域网内共享文件操作的审计方法,在本地用户访问本地共享文件时,按照以下步骤进行审计:
11)本地文件过滤驱动模块截获文件操作的IRP包,获取该IPR包对应的文件操作信息,判断该操作是否是对共享文件进行的操作,若是,则将该文件操作信息记录到文件操作记录列表中,然后通知本地共享文件记录处理器;
12)本地共享文件记录处理器收到本地文件过滤驱动模块的通知,查询文件操作记录列表,读取该列表中保存的文件操作信息,生成共享文件操作审计记录,发送给记录存储服务器;
在本地用户通过局域网访问远程终端上的共享文件时,按照以下步骤进行审计:
21)本地中间层网络驱动模块截获本地终端发送的SMB包,将该SMB包的信息记录到本地终端访问远程共享文件记录列表,并通知本地共享文件记录处理器;
22)本地共享文件记录处理器查询本地终端访问远程共享文件记录列表,获取该列表中的信息,生成本地终端的共享文件操作审计记录,发送给记录存储服务器;
23)被访问终端的中间层网络驱动模块截获该被访问终端接收到的SMB包,将来访终端的IP-MAC对和访问的共享文件名保存到远程终端访问本地共享文件记录列表;
24)被访问终端的文件过滤驱动模块截获共享文件操作IRP包,将该IPR包对应的共享文件操作信息记录到文件操作记录列表中,并通知被访问终端的共享文件记录处理器;
25)被访问终端的共享文件记录处理器查询步骤24)的文件操作记录列表,获取该列表中保存的共享文件操作信息,然后根据共享文件名查询远程终端访问本地共享文件记录列表,获取来访终端的IP-MAC对,生成被访问终端的共享文件操作审计记录,发送给纪录存储服务器。
与现有技术相比,本发明的局域网内共享文件操作的审计系统及方法,具有以下优点和有益效果:
1、文件过滤驱动模块和中间层网络驱动模块仅仅是分别读取IRP包和SMB包的信息,不进行其他复杂的操作,因此,不仅不会影响到系统的文件操作速度或用户的网络速度,还能提高审计的效率。
2、支持全天候不间断地工作,从而保证了审计的连续和稳定。
3、审计记录完整并可追溯,从而在发生违规操作行为时,能够有效地追究违规操作者的责任。
4、系统集成性高,易与其他内网产品集成为一体化的内网安全管理系统。
附图说明
下面结合附图与具体实施方式对本发明作进一步详细的说明:
附图是本发明的审计方法流程图。
具体实施方式
为对本发明的技术内容、特点与功效有更具体的了解,现结合图示的实施方式,详述如下:
本发明的局域网内共享文件操作的审计系统,包括多个终端和一个记录存储服务器,各终端包括有:
中间层网络驱动模块,位于内核层,用于截获终端发送和接收的所有共享访问SMB(Sever Message Block protocol,服务器信息块协议)包,获取并记录SMB包中包含的源IP-MAC对、目的IP-MAC对以及操作类型等共享文件操作信息,并通知共享文件记录处理器读取该信息;
文件过滤驱动模块,位于内核层,用于截获终端所有文件操作的IRP(I/ORequest Package,输入输出请求包),对属于共享文件操作的IRP,记录该IRP包中包含的操作的共享文件名、路径以及操作类型等共享文件操作信息,并通知共享文件记录处理器读取该信息;
共享文件记录处理器,位于应用层,用于接收来自中间层网络驱动模块和文件过滤驱动模块的通知,查询中间层网络驱动模块和文件过滤驱动模块记录的共享文件操作信息,获取终端登陆用户名,生成详细的共享文件操作审计记录,并汇报到记录存储服务器。
该记录存储服务器,用于存储共享文件记录处理器所生成的共享文件操作审计记录。
以下通过本发明的一个具体实施例,同时结合附图,对应用上述审计系统对局域网内共享文操作进行审计的方法做一详细介绍。
终端A的IP地址是192.168.1.3,MAC地址是01:33:32:44:55:66。
终端B的IP地址是192.168.1.2,MAC地址是00:22:11:33:44:55。
当名为sharetest的用户在终端A访问终端A的共享文件夹share内的名称为Book.txt的文件时,终端A的文件过滤驱动模块截获该共享文件操作的IRP包,获取该IPR包对应的文件操作信息,判断该操作是否是对共享文件进行的操作,如果是,则将文件操作信息(包括操作的共享文件名、路径和操作类型等)记录到文件操作记录列表(简称FORL)中,然后,通知终端A的共享文件记录处理器;
终端A的共享文件记录处理器收到本地文件过滤驱动模块的通知后,查询该文件过滤驱动模块的FORL,读取FORL中保存的共享文件操作信息,生成如表1所示的包含有当前登录用户、操作的共享文件名、路径、操作类型以及本机IP-MAC信息的共享文件操作审计记录,汇报给记录存储服务器。
表1用户在终端A操作本地共享文件的审计记录
当此用户在本地终端B通过局域网访问远程终端A的共享文件夹share内的名称为Book.txt的文件时,本地终端B的中间层网络驱动模块截获终端B发送的SMB包,将SMB包的详细信息(包括本机和目标访问终端的IP-MAC对、访问的共享文件名和操作类型等共享文件操作记录)保存到终端B的本地终端访问远程共享文件记录列表(简称LARRL),并通知终端B的共享文件记录处理器;
终端B的共享文件记录处理器查询LARRL,获取中间层网络过滤驱动模块记录的共享文件操作信息,生成如表2所示的包含访问的共享文件名、操作类型、目的IP-MAC对、本机IP-MAC对以及登陆用户等信息的共享文件操作审计记录,汇报到记录存储服务器;
表2终端B访问终端A,终端B的共享文件操作审计记录
同时,被访问终端A的中间层网络驱动模块截获终端A接收到的SMB包(即终端B发送来的SMB包),将来访终端B的IP-MAC对和访问的共享文件名等信息保存到终端A的远程终端访问本地共享文件记录列表(简称RALRL);
然后,被访问终端A的文件过滤驱动模块截获共享文件操作的IRP包,获取该IPR包对应的文件操作信息,判断该操作是否是对共享文件进行的操作,如果是,则将文件操作信息(包括操作的共享文件名、路径和操作类型等)记录到FORL中,然后,通知终端A的共享文件记录处理器;
被访问终端A的共享文件记录处理器查询终端A的文件过滤驱动模块的FORL,获取该FORL中保存的共享文件操作信息,同时,根据文件名查询终端A的中间层网络驱动模块的RALRL,获取对应来访者即终端B的IP-MAC信息,由这两部分信息生成如表3所示的包含有操作的共享文件名、路径、操作类型、来访IP-MAC对、本机IP-MAC对等信息的共享文件操作记录,汇报到纪录存储服务器。
表3终端B访问终端A,终端A的共享文件操作审计记录
如此,便实现了对局域网内的所有共享文件操作进行审计的目的。由于在审计时,文件过滤驱动模块和中间层网络驱动模块仅仅是分别读取IRP包和SMB包的信息,不进行其他复杂的操作,因此,不会影响系统的文件操作速度或用户的网络速度。
本发明的技术效果可参阅表4所示:
表4本发明与现有技术的审计效果对比
| 技术方案 | 审计记录可追溯率 | 审计记录完整性 | 系统集成性 |
| 本发明 | 100% | 100% | 易集成 |
| 域策略方式 | 30% | 50% | 难以集成 |
| 文件过滤驱动方式 | 30% | 40% | 易集成 |
由上表可见,相较于现有的审计方案,本发明不仅能取得更好的审计效果,而且其系统具有更高的可集成性,从而能与其他内网产品集成为一体化的内网安全管理系统,提升内网安全管理的效果。
Claims (9)
1.一种局域网内共享文件操作的审计系统,包括多个终端和一个用于存储共享文件操作审计记录的记录存储服务器,其特征在于,各终端包括有:
中间层网络驱动模块,用于截获终端发送和接收的所有共享访问SMB包,记录该SMB包中包含的共享文件操作信息,并通知共享文件记录处理器读取该信息;
文件过滤驱动模块,用于截获终端所有文件操作的IRP包,并对属于共享文件操作的IRP包,记录该IRP包中包含的共享文件操作信息,并通知共享文件记录处理器读取该信息;
共享文件记录处理器,用于接收来自中间层网络驱动模块和文件过滤驱动模块的通知,查询相应的共享文件操作信息,并获取终端登陆用户名,生成共享文件操作审计记录,发送给记录存储服务器。
2.如权利要求1所述的审计系统,其特征在于:所述中间层网络驱动模块记录的共享文件操作信息包括源IP-MAC对、目的IP-MAC对、访问的共享文件名以及操作类型。
3.如权利要求1所述的审计系统,其特征在于:所述文件过滤驱动模块记录的共享文件操作信息包括操作的共享文件名、路径以及操作类型。
4.一种利用权利要求1所述的系统实现的局域网内共享文件操作的审计方法,其特征在于,
当用户访问本地共享文件时,审计步骤包括:
11)本地文件过滤驱动模块截获文件操作的IRP包,获取该IPR包对应的文件操作信息,判断该操作是否是对共享文件进行的操作,若是,则将该文件操作信息记录到文件操作记录列表中,然后通知本地共享文件记录处理器;
12)本地共享文件记录处理器收到本地文件过滤驱动模块的通知,查询文件操作记录列表,读取该列表中保存的文件操作信息,生成共享文件操作审计记录,发送给记录存储服务器;
当用户访问远程共享文件时,审计步骤包括:
21)本地中间层网络驱动模块截获本地终端发送的SMB包,将该SMB包的信息记录到本地终端访问远程共享文件记录列表,并通知本地共享文件记录处理器;
22)本地共享文件记录处理器查询本地终端访问远程共享文件记录列表,获取该列表中的信息,生成本地终端的共享文件操作审计记录,发送给记录存储服务器;
23)被访问终端的中间层网络驱动模块截获该被访问终端接收到的SMB包,将来访终端的IP-MAC对和访问的共享文件名保存到远程终端访问本地共享文件记录列表;
24)被访问终端的文件过滤驱动模块截获共享文件操作IRP包,将该IPR包对应的共享文件操作信息记录到文件操作记录列表中,并通知被访问终端的共享文件记录处理器;
25)被访问终端的共享文件记录处理器查询步骤24)的文件操作记录列表,获取该列表中保存的共享文件操作信息,然后根据共享文件名查询远程终端访问本地共享文件记录列表,获取来访终端的IP-MAC对,生成被访问终端的共享文件操作审计记录,发送给纪录存储服务器。
5.如权利要求4所述的审计方法,其特征在于:所述文件过滤驱动模块记录的文件操作信息包括操作的共享文件名、路径和操作类型。
6.如权利要求4所述的审计方法,其特征在于:所述步骤12)中生成的共享文件操作审计记录,包含有当前登录用户、操作的共享文件名、路径、操作类型以及本机IP。
7.如权利要求4所述的审计方法,其特征在于:所述中间层网络驱动模块记录的信息包括源IP-MAC对、目的IP-MAC对、访问的共享文件名以及操作类型。
8.如权利要求4所述的审计方法,其特征在于:所述步骤22)中生成的本地终端的共享文件操作审计记录,包含有访问的共享文件名、操作类型、目的IP-MAC对、本机IP-MAC对以及登陆用户。
9.如权利要求4所述的审计方法,其特征在于:所述步骤25)中生成的被访问终端的共享文件操作审计记录,包含有操作的共享文件名、路径、操作类型、来访终端IP-MAC对、本机IP-MAC对。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010531320.1A CN102467618B (zh) | 2010-11-04 | 2010-11-04 | 局域网内共享文件操作的审计系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010531320.1A CN102467618B (zh) | 2010-11-04 | 2010-11-04 | 局域网内共享文件操作的审计系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102467618A true CN102467618A (zh) | 2012-05-23 |
| CN102467618B CN102467618B (zh) | 2016-06-01 |
Family
ID=46071248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010531320.1A Active CN102467618B (zh) | 2010-11-04 | 2010-11-04 | 局域网内共享文件操作的审计系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102467618B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103347034A (zh) * | 2013-05-08 | 2013-10-09 | 华为技术有限公司 | 一种共享文件的操作方法及文件共享服务器 |
| CN103685316A (zh) * | 2013-12-31 | 2014-03-26 | 北京网康科技有限公司 | 一种网络传输文件的审计处理方法 |
| CN104219292A (zh) * | 2014-08-21 | 2014-12-17 | 浪潮软件股份有限公司 | 一种基于HBase的互联网资源共享的方法 |
| CN104683477A (zh) * | 2015-03-18 | 2015-06-03 | 哈尔滨工程大学 | 一种基于smb协议的共享文件操作过滤方法 |
| CN103347034B (zh) * | 2013-05-08 | 2016-11-30 | 华为技术有限公司 | 一种共享文件的操作方法及文件共享服务器 |
| CN107645480A (zh) * | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 数据监控方法及系统、装置 |
| CN108418802A (zh) * | 2018-02-02 | 2018-08-17 | 大势至(北京)软件工程有限公司 | 一种共享文件的访问控制方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841537A (zh) * | 2010-04-13 | 2010-09-22 | 北京时代亿信科技有限公司 | 一种基于协议代理实现对文件共享访问控制方法及系统 |
-
2010
- 2010-11-04 CN CN201010531320.1A patent/CN102467618B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841537A (zh) * | 2010-04-13 | 2010-09-22 | 北京时代亿信科技有限公司 | 一种基于协议代理实现对文件共享访问控制方法及系统 |
Non-Patent Citations (3)
| Title |
|---|
| 瞿进 等: "文件过滤驱动在网络安全终端中的应用", 《计算机应用》 * |
| 董亮卫 等: "Windows NT文件系统过滤驱动程序在信息安全中的应用", 《信息技术》 * |
| 鲍远松 等: "一种高效的局域网内共享文件操作监控审计方法", 《计算机应用与软件》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103347034A (zh) * | 2013-05-08 | 2013-10-09 | 华为技术有限公司 | 一种共享文件的操作方法及文件共享服务器 |
| CN103347034B (zh) * | 2013-05-08 | 2016-11-30 | 华为技术有限公司 | 一种共享文件的操作方法及文件共享服务器 |
| CN103685316A (zh) * | 2013-12-31 | 2014-03-26 | 北京网康科技有限公司 | 一种网络传输文件的审计处理方法 |
| CN103685316B (zh) * | 2013-12-31 | 2016-11-16 | 北京网康科技有限公司 | 一种网络传输文件的审计处理方法 |
| CN104219292A (zh) * | 2014-08-21 | 2014-12-17 | 浪潮软件股份有限公司 | 一种基于HBase的互联网资源共享的方法 |
| CN104219292B (zh) * | 2014-08-21 | 2017-06-30 | 浪潮软件股份有限公司 | 一种基于HBase的互联网资源共享的方法 |
| CN104683477A (zh) * | 2015-03-18 | 2015-06-03 | 哈尔滨工程大学 | 一种基于smb协议的共享文件操作过滤方法 |
| CN104683477B (zh) * | 2015-03-18 | 2018-08-31 | 哈尔滨工程大学 | 一种基于smb协议的共享文件操作过滤方法 |
| CN107645480A (zh) * | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 数据监控方法及系统、装置 |
| CN107645480B (zh) * | 2016-07-22 | 2021-04-30 | 阿里巴巴集团控股有限公司 | 数据监控方法及系统、装置 |
| CN108418802A (zh) * | 2018-02-02 | 2018-08-17 | 大势至(北京)软件工程有限公司 | 一种共享文件的访问控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102467618B (zh) | 2016-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2019322806B2 (en) | Location-based access to controlled access resources | |
| EP3547198A1 (en) | Data access method, system and apparatus | |
| US10445524B2 (en) | Compromise free cloud data encryption and security | |
| US8180376B1 (en) | Mobile analytics tracking and reporting | |
| CN103268456B (zh) | 一种文件安全控制方法及装置 | |
| EP3400495A1 (en) | System and method for securing personal data elements | |
| EP3087519A1 (en) | Techniques and architecture for anonymizing user data | |
| WO2014066529A2 (en) | System and method for controlling, obfuscating and anonymizing data and services when using provider services | |
| CN102467618A (zh) | 局域网内共享文件操作的审计系统及方法 | |
| US20150025934A1 (en) | Customer-centric energy usage data sharing | |
| CN105005528A (zh) | 一种日志信息提取方法及装置 | |
| US20240097879A1 (en) | Blockchain-based data management of distributed binary objects | |
| Höller et al. | On the state of V3 onion services | |
| CN117993017B (zh) | 数据共享系统、方法、装置、计算机设备及存储介质 | |
| CN108133143A (zh) | 一种面向云桌面应用环境的数据防泄漏方法及系统 | |
| Corrigan-Gibbs et al. | Flashpatch: spreading software updates over flash drives in under-connected regions | |
| CN104298930A (zh) | 局域网内移动介质及其电子文件流转轨迹跟踪方法及系统 | |
| KR20160040399A (ko) | 개인정보 관리 시스템 및 개인정보 관리 방법 | |
| Liu et al. | A research and analysis method of open source threat intelligence data | |
| US20140215607A1 (en) | Threat exchange information protection | |
| US20210012029A1 (en) | Systems and methods of querying a federated database in conformance with jurisdictional privacy restrictions | |
| CN109033872A (zh) | 一种基于身份的安全运行环境构造方法 | |
| US20200412699A1 (en) | Systems and methods for anonymous and consistent data routing in a client-server architecture | |
| Mahajan et al. | Big data security | |
| CN112637316B (zh) | 一种通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |