CN103685316A - 一种网络传输文件的审计处理方法 - Google Patents
一种网络传输文件的审计处理方法 Download PDFInfo
- Publication number
- CN103685316A CN103685316A CN201310750369.XA CN201310750369A CN103685316A CN 103685316 A CN103685316 A CN 103685316A CN 201310750369 A CN201310750369 A CN 201310750369A CN 103685316 A CN103685316 A CN 103685316A
- Authority
- CN
- China
- Prior art keywords
- file
- network transfer
- keyword
- files
- application layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种网络传输文件的审计处理方法。所述方法包括构建并安装文件过滤驱动程序,所述文件过滤驱动程序安装在驱动层;所述驱动层监控进程中的文件操作,利用所述文件过滤驱动程序获取进行过操作处理的文件;从所述文件中提取所述文件的文件特征数据;将所述文件特征数据生成文件列表,并发送到应用层;所述应用层将获取到的用户网络传输文件的关键字与所述文件列表进行匹配,将匹配到的文件备份到服务器上。本发明绕过了对网络数据包的解析操作,回避解密等效率低的做法,通过文件过滤驱动和应用层的钩子技术准确识别所有进程中的网络文件传输动作,从而提高了对网络传输文件审计的准确率和效率。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种网络传输文件的审计处理方法。
背景技术
随着互联网带宽及应用的飞速发展,网络审计系统处理的数据量越来越大,如何准确审计网络环境中传输的文件成为急需解决的技术问题。现有技术中,通过部署在网络环境中的上网行为管理等产品设备,抓取用户数据包并进行解析,根据结果区分出文件的数据包,并将所有相关数据包组合成原文件。
这种技术对于明文的数据包可实现较准确的解析,但是对于加密数据的解析可能导致解析错误或者组合后原文件不能正确打开等问题。除了准确率较低外,在解析效率上也不是很理想,对于明文的数据包仅是区分普通数据包还是文件数据包就会导致过分繁琐的算法,由于网络数据包有延迟性,导致效率较低。
发明内容
本发明的目的是提供高效的、准确的网络传输文件的审计解决方案,同时可以结合上网行为管理和桌面管理系统等产品,增强其功能的多样性和易用性。
为实现上述目的,本发明提供了一种网络传输文件的审计处理方法,所述方法包括以下步骤:
构建并安装文件过滤驱动程序,所述文件过滤驱动程序安装在驱动层;
所述驱动层监控进程中的文件操作,利用所述文件过滤驱动程序获取进行过操作处理的文件;
从所述文件中提取所述文件的文件特征数据;
将所述文件特征数据生成文件列表,并发送到应用层;
所述应用层将获取到的用户网络传输文件的关键字与所述文件列表进行匹配,将匹配到的文件备份到服务器上。
与现有技术相比,本发明绕过了对网络中数据包的解析操作,回避解密等效率低的做法,通过文件过滤驱动和应用层的钩子技术准确识别所有进程中的网络文件传输动作,在网络数据包组包之前就获取到准备发送的文件的路径,并将文件副本备份到服务器上。从而提高了对网络传输文件审计的准确率和效率。
附图说明
图1为本发明实施例一种网络传输文件的审计处理方法的流程图;
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1为本发明实施例一种网络传输文件的审计处理方法的流程图。本发明绕过了对网络中数据包的解析操作,回避解密等效率低的做法,通过文件过滤驱动和钩子技术准确识别所有进程中的网络文件传输动作,提供了一种高效的、准确的网络传输文件的审计处理方法。
步骤101,构建并安装文件过滤驱动程序,文件过滤驱动程序安装在驱动层。
具体的,构建文件过滤驱动程序,并将文件过滤驱动程序安装在驱动层,使得文件过滤驱动程序运行在操作系统的内核态中,具有最高的系统权限,可以获取和监控最底层的windows操作系统文件访问操作。
步骤102,驱动层监控进程中的文件操作,利用文件过滤驱动程序获取进行过操作处理的文件。
具体的,驱动层监控对文件的读操作或者写操作,以及操作文件的具体进程,其中,文件操作具体指读操作或者写操作。
步骤103,从文件中提取文件的文件特征数据。
经过上一步骤获取到进行过操作处理的文件,从而可以提取该文件的文件特征数据,其中文件特征数据可以是文件大小、文件名、文件路径等。
步骤104,将文件特征数据生成文件列表,并发送到应用层。
例如,用户A在电脑上对文件1、文件2等多个文件进行过读操作或者写操作,驱动层就会监控到这些文件操作,并利用文件过滤驱动程序获取所有进行过操作处理的文件,其中包括文件1、文件2等,从文件中提取文件大小、文件名、文件路径等文件特征数据,并将这些数据生成文件列表,发送给应用层。
步骤105,应用层将获取到的用户网络传输文件的关键字与文件列表进行匹配,将匹配到的文件备份到服务器上。
具体的,当用户进行网络文件传输时,应用层获取网络传输文件的关键字,关键字具体为文件的文件名,与驱动层提交的文件列表中的信息进行匹配,匹配的具体过程包括:首先,依照关键字在文件列表中进行查找;查找到与关键字一致的文件名;根据文件名获得用户网络传输文件的所有文件特征数据。
因此,通过上述过程可以找到用户网络传输文件,从而获得文件的所有信息,再将文件副本备份到服务器上。
其中,文件列表中的信息包括文件名、文件大小、文件路径等,用户网络传输文件的关键字是应用层通过钩子技术来获取,应用层利用钩子技术不仅获取了网络传输的文件,也检查了用户的具体操作,区分了用户使用何种应用进行何种操作,例如使用聊天工具传输文件或者只是打开文件。文件除了可以备份到服务器上,如果结合上网行为管理和桌面管理等产品,还可以备份到用户上网行为管理设备上,或者进行其他的操作。
以审计通过聊天软件skype进行网络传输文件为例,具体审计处理过程如下:
用户A的电脑中构建并安装了文件过滤驱动程序,一段时间内,用户A对文件1、文件2、文件3等多个本地文件进行了读操作或者写操作。
电脑操作系统的驱动层监控到用户A对文件1、文件2、文件3等多个本地文件进行过读操作或者写操作,并利用文件过滤驱动程序获取到这些文件。
下一步,提取这些文件的文件名、文件大小、文件路径等文件特征数据,生成文件列表,发送给应用层。
用户A和用户B同时使用skype客户端,用户A通过skype客户端发送了文件1给用户B,用户A的电脑操作系统的应用层通过对关键代码的钩子操作获取文件1的文件名。
将获取到的文件名与上一步骤中的文件列表进行匹配,根据匹配的结果,从而获得了文件1的所有文件特征数据(文件大小,文件路径等),还可以将文件1的副本备份到服务器。
本发明还可以结合上网行为管理和桌面管理等产品,制定对特定文件类型的审计策略,不仅丰富产品的功能,而且多样的策略选择增加了用户对网络文件传输管理的灵活性,易用性。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种网络传输文件的审计处理方法,其特征在于,所述方法包括以下步骤:
构建并安装文件过滤驱动程序,所述文件过滤驱动程序安装在驱动层;
所述驱动层监控进程中的文件操作,利用所述文件过滤驱动程序获取进行过操作处理的文件;
从所述文件中提取所述文件的文件特征数据;
将所述文件特征数据生成文件列表,并发送到应用层;
所述应用层将获取到的用户网络传输文件的关键字与所述文件列表进行匹配,将匹配到的文件备份到服务器上。
2.根据权利要求1所述的方法,其特征在于,所述驱动层监控进程中的文件操作具体为对文件的读操作或者写操作。
3.根据权利要求1所述的方法,其特征在于,所述从所述文件中提取到的所述文件的文件特征数据具体为文件名、文件路径或文件大小。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括,所述应用层利用钩子技术获取所述用户网络传输文件的关键字。
5.根据权利要求1所述的方法,其特征在于,所述网络传输文件的关键字是文件名。
6.根据权利要求1所述的方法,其特征在于,所述应用层将获取到的用户网络传输文件的关键字与所述文件列表进行匹配具体包括:
依照所述关键字在所述文件列表中进行查找;
查找到与所述关键字一致的所述文件名;
利用所述文件名获得所述用户网络传输文件的所有文件特征数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310750369.XA CN103685316B (zh) | 2013-12-31 | 2013-12-31 | 一种网络传输文件的审计处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310750369.XA CN103685316B (zh) | 2013-12-31 | 2013-12-31 | 一种网络传输文件的审计处理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103685316A true CN103685316A (zh) | 2014-03-26 |
CN103685316B CN103685316B (zh) | 2016-11-16 |
Family
ID=50321630
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310750369.XA Active CN103685316B (zh) | 2013-12-31 | 2013-12-31 | 一种网络传输文件的审计处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103685316B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106611009A (zh) * | 2015-10-26 | 2017-05-03 | 任子行网络技术股份有限公司 | 一种网页关键字审计的方法及装置 |
CN111209590A (zh) * | 2019-12-31 | 2020-05-29 | 北京指掌易科技有限公司 | 应用数据审计方法、装置、设备及存储介质 |
CN112165426A (zh) * | 2020-10-15 | 2021-01-01 | 北京明朝万达科技股份有限公司 | 一种基于Linux系统的文件发送方法、装置和系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090064289A1 (en) * | 2007-09-05 | 2009-03-05 | Samsung Electronics Co., Ltd. | Method of authenticating user using server and image forming apparatus using the method |
CN101841465A (zh) * | 2010-03-08 | 2010-09-22 | 北京网康科技有限公司 | 一种基于信息交互的内容流控系统及其实现方法 |
CN101916349A (zh) * | 2010-07-30 | 2010-12-15 | 中山大学 | 基于过滤驱动的文件访问控制方法、系统及过滤器管理器 |
CN102467618A (zh) * | 2010-11-04 | 2012-05-23 | 上海宝信软件股份有限公司 | 局域网内共享文件操作的审计系统及方法 |
US8305604B2 (en) * | 2007-04-18 | 2012-11-06 | Hewlett-Packard Development Company, L.P. | System and method of network printing |
CN102855236A (zh) * | 2011-06-27 | 2013-01-02 | 北京东方通科技股份有限公司 | 文件传输系统及文件传输方法 |
CN103036879A (zh) * | 2012-12-12 | 2013-04-10 | 蓝盾信息安全技术股份有限公司 | 一种审计qq聊天内容的方法 |
CN103347034A (zh) * | 2013-05-08 | 2013-10-09 | 华为技术有限公司 | 一种共享文件的操作方法及文件共享服务器 |
-
2013
- 2013-12-31 CN CN201310750369.XA patent/CN103685316B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8305604B2 (en) * | 2007-04-18 | 2012-11-06 | Hewlett-Packard Development Company, L.P. | System and method of network printing |
US20090064289A1 (en) * | 2007-09-05 | 2009-03-05 | Samsung Electronics Co., Ltd. | Method of authenticating user using server and image forming apparatus using the method |
CN101841465A (zh) * | 2010-03-08 | 2010-09-22 | 北京网康科技有限公司 | 一种基于信息交互的内容流控系统及其实现方法 |
CN101916349A (zh) * | 2010-07-30 | 2010-12-15 | 中山大学 | 基于过滤驱动的文件访问控制方法、系统及过滤器管理器 |
CN102467618A (zh) * | 2010-11-04 | 2012-05-23 | 上海宝信软件股份有限公司 | 局域网内共享文件操作的审计系统及方法 |
CN102855236A (zh) * | 2011-06-27 | 2013-01-02 | 北京东方通科技股份有限公司 | 文件传输系统及文件传输方法 |
CN103036879A (zh) * | 2012-12-12 | 2013-04-10 | 蓝盾信息安全技术股份有限公司 | 一种审计qq聊天内容的方法 |
CN103347034A (zh) * | 2013-05-08 | 2013-10-09 | 华为技术有限公司 | 一种共享文件的操作方法及文件共享服务器 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106611009A (zh) * | 2015-10-26 | 2017-05-03 | 任子行网络技术股份有限公司 | 一种网页关键字审计的方法及装置 |
CN111209590A (zh) * | 2019-12-31 | 2020-05-29 | 北京指掌易科技有限公司 | 应用数据审计方法、装置、设备及存储介质 |
CN112165426A (zh) * | 2020-10-15 | 2021-01-01 | 北京明朝万达科技股份有限公司 | 一种基于Linux系统的文件发送方法、装置和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103685316B (zh) | 2016-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2021225158B2 (en) | Systems and methods for remote identification of enterprise threats | |
US11750641B2 (en) | Systems and methods for identifying and mapping sensitive data on an enterprise | |
EP3405902B1 (en) | Pattern matching based dataset extraction | |
JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
US9639697B2 (en) | Method and apparatus for retroactively detecting malicious or otherwise undesirable software | |
US9608881B2 (en) | Service compliance enforcement using user activity monitoring and work request verification | |
CN106663167B (zh) | 识别在线服务的行为变化 | |
US20150047034A1 (en) | Composite analysis of executable content across enterprise network | |
CN108985064B (zh) | 一种识别恶意文档的方法及装置 | |
US20150186649A1 (en) | Function Fingerprinting | |
CN105138709A (zh) | 一种基于物理内存分析的远程取证系统 | |
CN103685233B (zh) | 一种基于Windows内核驱动的木马监测方法 | |
US9973471B2 (en) | Protection method and computer system thereof for firewall apparatus disposed to application layer | |
CN103685316A (zh) | 一种网络传输文件的审计处理方法 | |
JP7451476B2 (ja) | 根本原因解析のために経時的にフォレンジックスナップショットを相互参照するためのシステムおよび方法 | |
CN102592078A (zh) | 一种提取函数调用序列特征识别恶意软件自主传播的方法 | |
US20170286683A1 (en) | System and methods thereof for identification of suspicious system processes | |
CN103701821A (zh) | 文件类型识别方法及装置 | |
CN105809074B (zh) | 一种usb数据传输控制方法、装置、控制组件及系统 | |
US11909885B2 (en) | Passive optical network security | |
Ii | TECHNICAL EVALUATION AND LEGAL OPINION OF WARDEN: A NETWORK FORENSICS TOOL | |
CN115134172A (zh) | 一种用于终端文件透明加解密的自动配置系统和方法 | |
CANSIAN et al. | Dynamic analysis of malicious code: a windows operational system approach |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |