CN102651036B - 通用、可靠的文件复制操作识别方法 - Google Patents
通用、可靠的文件复制操作识别方法 Download PDFInfo
- Publication number
- CN102651036B CN102651036B CN2012101085050A CN201210108505A CN102651036B CN 102651036 B CN102651036 B CN 102651036B CN 2012101085050 A CN2012101085050 A CN 2012101085050A CN 201210108505 A CN201210108505 A CN 201210108505A CN 102651036 B CN102651036 B CN 102651036B
- Authority
- CN
- China
- Prior art keywords
- file
- basic operation
- data
- carried
- hash table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种通用、可靠的文件复制操作识别方法,该方法包括捕获文件的基本操作,存储文件的基本操作,分析文件的基本操作,该方法与发起复制操作的具体应用程序和实现复制文件的技术手段无关,实现了文件复制操作识别的通用性和可靠性,通过分析文件过滤驱动捕获到的操作以及数据,能够快速准确地识别出哪些文件发生了复制操作,为有效保护文件数据安全,防止通过非法文件复制操作泄露技术秘密和重要数据提供了防范机制。
Description
技术领域
本发明属于计算机系统安全管理技术领域,特别涉及通用、可靠的文件复制操作识别方法。
背景技术
目前,在现有技术中,若要在个人电脑上实现文件复制操作通常需要经过如下步骤:首先选中需要复制的文件,右击鼠标右键,在弹出的菜单中选择“复制”,再打开目标文件路径,点击鼠标右键,从弹出的菜单中选择“粘贴”,通过以上两个步骤完成将待复制的文件粘贴到目标文件路径中。为了方便用户操作,现有技术还提供了快捷方式,选中待复制的文件,按下键盘上的功能组合键“Ctrl+C”,然后打开目标文件路径,再按下键盘的功能组合键“Ctrl+V”就可以实现文件的复制和粘贴。
在防数据丢失系统(DLP System)中,需要对受保护文件进行全生命期监视,正确地识别文件复制操作是监控受保护文件的变化的重要环节。在现有技术中,识别文件复制操作的方法是在应用层利用API挂钩技术,捕获文件复制函数调用动作,获得调用动作中携带的文件信息,完成对复制操作的识别过程。
然而,实现复制操作的API函数众多,首先程序很难做到没有遗漏地对每个函数进行挂钩;其次,不同版本的操作系统对文件复制操作的实现也不尽相同,程序的通用性很差;再次,通过API挂钩的方式,无法识别到从网络路径复制到本地路径或从本地路径复制到网络路径的操作。
综上所述,在现有技术中,文件复制操作识别方法存在可靠性差、通用性差的缺点。
发明内容
本发明是为解决上述现有技术中存在的不足之处,提供一种通用、可靠的文件复制操作识别方法,以提高文件复制操作识别方法的可靠性和通用性。
本发明通用、可靠的文件复制操作识别方法,包含以下步骤:
a.捕获文件的基本操作:利用文件微过滤驱动捕获文件的基本操作以及基本操作携带的数据;
所述文件的基本操作包括:打开、查询扩展属性、创建、关闭;
所述文件的基本操作携带的数据包括:文件打开分类、进程ID、查询扩展属性操作发生时间、关闭操作发生时间、文件大小、文件名、文件路径;
所述文件打开分类包括:打开、创建、创建并覆盖;
b.存储文件的基本操作:将捕获到的文件的基本操作以及基本操作携带的数据存储在内存中;
以哈希表作为数据结构,以文件路径和文件名为索引,如果所述哈希表中不存在该文件,则将该文件的基本操作以及基本操作携带的数据添加到哈希表中;如果所述哈希表中存在该文件,则更新哈希表中的该文件的基本操作以及基本操作携带的数据;
c.分析文件的基本操作:分析存储在内存中的文件的基本操作以及基本操作携带的数据,识别文件是否发生了复制操作。
所述步骤c中,进一步包括以下步骤:
c1.根据文件的基本操作进行判断,如果基本操作是关闭,则继续执行步骤c2;如果基本操作不是关闭,则结束,即没有发生文件复制操作;
c2.获取当前系统时间;
c3.根据文件的打开分类进行判断,如果文件的打开分类是创建或者是创建并覆盖,则继续执行步骤c4;如果文件打开分类是打开,则结束,即没有发生文件复制操作;
c4.遍历哈希表中的节点,获取与所述文件的文件大小、进程ID相同,且查询扩展属性操作发生时间不为零的节点,生成节点列表;
c5.将所述节点列表中的每个节点的文件关闭操作发生时间与步骤c2获取的当前系统时间进行比较,如果二者之差小于2秒,则继续执行步骤c6;如果二者之差大于或等于2秒,则结束,即没有发生文件复制操作;
c6.根据节点的文件路径进行判断,如果文件路径指向的文件存在,则所述文件发生复制操作;如果文件路径指向的文件不存在,则没有发生文件复制操作。
本发明的有益效果体现在:与现有技术相比,本发明的文件复制操作识别方法与发起复制操作的具体应用程序和实现复制文件的技术手段无关,通过分析文件过滤驱动捕获到的操作以及数据,快速准确地识别出哪些文件发生了复制操作,不但可以识别本地路径之间的复制操作还可以识别网络路径与本地路径之间的复制操作,实现了文件复制操作识别的通用性和可靠性,为有效保护文件数据安全,防止通过非法文件复制操作泄露技术秘密和重要数据提供了防范机制。
附图说明
图1是本发明的文件复制操作识别方法的流程图;
图2是本发明的文件复制操作识别方法的步骤c的流程图;
图3是本发明的实施例的文件复制操作识别系统的结构示意图。
具体实施方式
下面将结合附图及实施例,对本发明做进一步详细描述。
本发明提供了一种通用、可靠的文件复制操作识别方法,其应用场景为局域网环境或通用的互联网环境。本实施例为局域网环境,如图3所示,该局域网包括服务端计算机301、客户端计算机302。在客户端计算机302上发生的文件复制操作,可以在服务端计算机301上显示出识别结果。
例如,在客户端计算机302上,发生了把一个文件路径为C:\用户\Administrator\桌面\、文件名为“新春快乐.doc”、文件大小为130k的文件,复制到网络\\192.168.0.2\public\的路径下的操作。
如图1所示,本发明的文件复制操作识别方法,具体工作步骤如下:
a.捕获文件的基本操作101:客户端计算机302利用文件微过滤驱动捕获文件的基本操作以及基本操作携带的数据;
所述文件微过滤驱动程序捕获本地文件的基本操作以及该基本操作携带的数据和网络文件的基本操作以及该基本操作携带的数据包括:
本地文件的基本操作:打开;
该基本操作携带的数据:文件名:“新春快乐.doc”、文件路径:C:\用户\Administrator\桌面\、文件大小:130k、进程ID:1202、文件打开分类:打开;
本地文件的基本操作:查询扩展属性;
该基本操作携带的数据:文件名:“新春快乐.doc”、文件路径:C:\用户\Administrator\桌面\、查询扩展属性操作发生的时间:16:28:20:05(16时28分20秒5毫秒);
本地文件的基本操作:关闭;
该基本操作携带的基本数据:文件名“新春快乐.doc”、文件路径:C:\用户\Administrator\桌面\、关闭文件操作发生时间:16:28:21:10;
所述文件微过滤驱动程序捕获网络文件的基本操作以及该基本操作携带的数据和网络文件的基本操作以及该基本操作携带的数据包括:
网络文件的基本操作:创建;
该基本操作携带的数据:文件名:“新春快乐.doc”、文件路径:\\192.168.0.2\public\、文件大小:130k、进程ID:1202、文件打开分类:创建;
网络文件的基本操作:关闭;
该基本操作携带的数据:文件名:“新春快乐.doc”、文件路径:\\192.168.0.2\public\、关闭文件操作发生时间:16:28:21:50;
b.存储文件的基本操作102:客户端计算机302将捕获到的本地文件的基本操作以及该基本操作携带的数据和网络文件的基本操作以及该基本操作携带的数据存储在内存中;
存储本地文件的基本操作:客户端计算机302以哈希表作为数据结构,以C:\用户\Administrator\桌面\新春快乐.doc为索引,如果哈希表中不存在该文件,则将该文件的基本操作以及基本操作携带的数据添加到哈希表中;如果所述哈希表中存在该文件,则更新哈希表中的该本地文件的基本操作以及基本操作携带的数据;
存储网络文件的基本操作:客户端计算机302以哈希表为数据结构,以\\192.168.0.2\public\新春快乐.doc为索引,如果哈希表中不存在该文件,则将该文件的基本操作以及基本操作携带的数据添加到哈希表中;如果所述哈希表中存在该文件,则更新哈希表中的该网络文件的基本操作以及基本操作携带的数据;
c.分析文件的基本操作103:客户端计算机302分析存储在内存中的本地文件的基本操作以及该基本操作携带的数据和网络文件的基本操作以及该基本操作携带的数据,识别文件“新春快乐.doc”是否发生了复制操作。
所述步骤c中,如图2所示,进一步包括以下步骤:
分析本地文件的基本操作如下:
步骤201A:根据本地文件C:\用户\Administrator\桌面\新春快乐.doc的基本操作进行判断,该基本操作是关闭,那么该文件可能发生文件复制操作,继续执行步骤202A;(如果基本操作不是关闭,则结束,即没有发生文件复制操作;)
步骤202A:获取当前系统时间16:28:20:13;
步骤203A:根据所述本地文件的打开分类进行判断,该文件的打开分类是打开,不是创建或创建并覆盖,则结束,即没有发生文件复制操作;
分析网络文件的基本操作如下:
步骤201B:根据网络文件\\192.168.0.2\public\新春快乐.doc的基本操作进行判断,该基本操作是关闭,那么该文件可能发生文件复制操作,继续执行步骤202B;(如果基本操作不是关闭,则结束,即没有发生文件复制操作;)
步骤202B:获取当前系统时间16:28:21:53;
步骤203B:根据所述网络文件的打开分类进行判断,该文件的打开分类是创建,那么该文件可能发生文件复制操作,继续执行步骤204B;(如果该文件打开分类既不是创建也不是创建并覆盖,则结束,即没有发生文件复制操作;)
步骤204B:遍历哈希表中的节点,获取与所述网络文件的文件大小130k、进程ID:1202相同,且查询扩展属性操作发生时间不为零的节点,生成节点列表;
步骤205B:将所述节点列表中的每个节点的本地文件关闭操作发生时间16:28:21:10与步骤202B获取的当前系统时间16:28:21:53进行比较,二者之差为43毫秒,即小于2秒,那么该文件可能发生文件复制操作,继续执行步骤206B;(如果二者之差大于或等于2秒,则结束,即没有发生文件复制操作;)
步骤206B:根据节点的文件路径进行判断,本地文件路径C:\用户\Administrator\桌面\新春快乐.doc指向的文件存在,网络文件路径\\192.168.0.2\public\新春快乐.doc是由本地文件路径C:\用户\Administrator\桌面\新春快乐.doc复制产生的,所述文件发生复制操作;(如果文件路径C:\用户\Administrator\桌面\新春快乐.doc指向的文件不存在,则没有发生文件复制操作;)。
客户端计算机302通过TCP协议将文件复制操作识别结果发送至服务端计算机301,在服务端计算机301上能够显示出识别结果为复制,从而实现文件复制操作的识别。
通过以上步骤完成了由本地路径到网络路径的文件复制操作识别过程。
本发明的识别方法也适用于从网络路径复制到本地路径的文件复制操作识别过程,或者本地路径之间的文件复制操作识别过程。本发明的识别方法可以适用于不同的操作系统版本,因为不依赖于发起复制操作的API函数,从而实现了文件复制操作识别的通用性与可靠性。
Claims (1)
1.通用、可靠的文件复制操作识别方法,其特征在于,该方法包含以下步骤:
a.捕获文件的基本操作:利用文件微过滤驱动捕获文件的基本操作以及基本操作携带的数据;
所述文件的基本操作包括:打开、查询扩展属性、创建、关闭;
所述文件的基本操作携带的数据包括:文件打开分类、进程ID、查询扩展属性操作发生时间、关闭操作发生时间、文件大小、文件名、文件路径;
所述文件打开分类包括:打开、创建、创建并覆盖;
b.存储文件的基本操作:将捕获到的文件的基本操作以及基本操作携带的数据存储在内存中;
以哈希表作为数据结构,以文件路径和文件名为索引,如果所述哈希表中不存在该文件,则将该文件的基本操作以及基本操作携带的数据添加到哈希表中;如果所述哈希表中存在该文件,则更新哈希表中的该文件的基本操作以及基本操作携带的数据;
c.分析文件的基本操作:分析存储在内存中的文件的基本操作以及基本操作携带的数据,识别文件是否发生了复制操作,包括以下步骤:
c1.根据文件的基本操作进行判断,如果基本操作是关闭,则继续执行步骤c2;如果基本操作不是关闭,则结束,即没有发生文件复制操作;
c2.获取当前系统时间;
c3.根据文件的打开分类进行判断,如果文件的打开分类是创建或者是创建并覆盖,则继续执行步骤c4;如果文件打开分类是打开,则结束,即没有发生文件复制操作;
c4.遍历哈希表中的节点,获取与所述文件的文件大小、进程ID相同,且查询扩展属性操作发生时间不为零的节点,生成节点列表;
c5.将所述节点列表中的每个节点的文件关闭操作发生时间与步骤c2获取的当前系统时间进行比较,如果二者之差小于2秒,则继续执行步骤c6;如果二者之差大于或等于2秒,则结束,即没有发生文件复制操作;
c6.根据节点的文件路径进行判断,如果文件路径指向的文件存在,则所述文件发生复制操作;如果文件路径指向的文件不存在,则没有发生文件复制操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012101085050A CN102651036B (zh) | 2012-04-14 | 2012-04-14 | 通用、可靠的文件复制操作识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012101085050A CN102651036B (zh) | 2012-04-14 | 2012-04-14 | 通用、可靠的文件复制操作识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102651036A CN102651036A (zh) | 2012-08-29 |
| CN102651036B true CN102651036B (zh) | 2013-11-06 |
Family
ID=46693044
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012101085050A Active CN102651036B (zh) | 2012-04-14 | 2012-04-14 | 通用、可靠的文件复制操作识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102651036B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103995990A (zh) * | 2014-05-14 | 2014-08-20 | 江苏敏捷科技股份有限公司 | 一种电子文件防泄密的方法 |
| CN107886004B (zh) * | 2017-10-31 | 2020-06-02 | 北京北信源软件股份有限公司 | 一种计算机克隆操作系统的识别方法与装置 |
| CN108021707A (zh) * | 2017-12-28 | 2018-05-11 | 北京天融信网络安全技术有限公司 | 文件复制操作的识别方法、设备及计算机可读存储介质 |
| CN112364374A (zh) * | 2020-11-04 | 2021-02-12 | 沈阳通用软件有限公司 | Linux平台上文件复制、移动、压缩、解压操作识别方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101122938A (zh) * | 2007-09-25 | 2008-02-13 | 北大方正集团有限公司 | 一种数据文件的安全处理方法及系统 |
| CN101763474A (zh) * | 2009-12-16 | 2010-06-30 | 深圳市虹安信息技术有限公司 | 结合访问偏转的文件加密方法 |
| CN101847184A (zh) * | 2009-12-16 | 2010-09-29 | 深圳市虹安信息技术有限公司 | 采用加密沙箱的文件加密方法 |
| WO2011041606A2 (en) * | 2009-10-02 | 2011-04-07 | Symantec Corporation | Storage replication systems and methods |
-
2012
- 2012-04-14 CN CN2012101085050A patent/CN102651036B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101122938A (zh) * | 2007-09-25 | 2008-02-13 | 北大方正集团有限公司 | 一种数据文件的安全处理方法及系统 |
| WO2011041606A2 (en) * | 2009-10-02 | 2011-04-07 | Symantec Corporation | Storage replication systems and methods |
| CN101763474A (zh) * | 2009-12-16 | 2010-06-30 | 深圳市虹安信息技术有限公司 | 结合访问偏转的文件加密方法 |
| CN101847184A (zh) * | 2009-12-16 | 2010-09-29 | 深圳市虹安信息技术有限公司 | 采用加密沙箱的文件加密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102651036A (zh) | 2012-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ohm et al. | Towards detection of software supply chain attacks by forensic artifacts | |
| US8555385B1 (en) | Techniques for behavior based malware analysis | |
| US7992155B2 (en) | Method and system to correlate and consolidate a plurality of events | |
| CN102314561B (zh) | 基于api hook的恶意代码自动分析方法和系统 | |
| CN109388538B (zh) | 一种基于内核的文件操作行为监控方法及装置 | |
| US9129058B2 (en) | Application monitoring through continuous record and replay | |
| CN102651036B (zh) | 通用、可靠的文件复制操作识别方法 | |
| CN102360410B (zh) | 一种文件系统的用户操作发现方法和装置 | |
| Zhang et al. | How to track your data: Rule-based data provenance tracing algorithms | |
| US20150261766A1 (en) | Method and apparatus for determining a range of files to be migrated | |
| CN107463839A (zh) | 一种管理应用程序的系统和方法 | |
| CN108092936A (zh) | 一种基于插件架构的主机监控系统 | |
| US11799875B2 (en) | Computerized system for complying with certain critical infrastructure protection requirements | |
| CN102662611B (zh) | 一种Windows环境下打印审计的方法 | |
| US20240193266A1 (en) | Known-Deployed File Metadata Repository and Analysis Engine | |
| US20240089298A1 (en) | System for processing content in scan and remediation processing | |
| Gao et al. | A system for efficiently hunting for cyber threats in computer systems using threat intelligence | |
| Oliveira et al. | Delivering software with agility and quality in a cloud environment | |
| Barnum et al. | The cybox language specification | |
| Khan et al. | Cloud forensics and digital ledger investigation: a new era of forensics investigation | |
| US10824532B2 (en) | Dump analysis generation | |
| KR102128047B1 (ko) | 프로세스 행위 프로파일 생성 장치 및 방법 | |
| Cheng et al. | Design and implementation of network packets collection tools based on the android platform | |
| US11966472B2 (en) | Known-deployed file metadata repository and analysis engine | |
| RU2535504C1 (ru) | Система и способ лечения содержимого сайта |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210719 Address after: 100020 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee after: Beijing Hongteng Intelligent Technology Co.,Ltd. Address before: 110002 floor 2, No. 8-1 Antu street, Heping District, Shenyang City, Liaoning Province Patentee before: SHENYANG GENERALSOFT Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100020 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee after: Sanliu0 Digital Security Technology Group Co.,Ltd. Address before: 100020 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee before: Beijing Hongteng Intelligent Technology Co.,Ltd. |