CN111090623B

CN111090623B - 一种数据审计方法、装置、电子设备及存储介质

Info

Publication number: CN111090623B
Application number: CN201911236415.8A
Authority: CN
Inventors: 张志强
Original assignee: Sangfor Technologies Co Ltd
Current assignee: Sangfor Technologies Co Ltd
Priority date: 2019-12-05
Filing date: 2019-12-05
Publication date: 2021-08-13
Anticipated expiration: 2039-12-05
Also published as: CN111090623A

Abstract

本申请公开了一种数据审计方法，所述数据审计方法包括记录外发文件进程对应的事件创建序列；其中，所述事件创建序列包括事件种类和创建时间；判断所述事件创建序列是否符合外发文件特征库中的事件创建规则；若是，则生成所述事件创建序列对应的外发文件审计日志。本申请能够提高外发文件审计精准度，扩大外发文件审计范围。本申请还公开了一种数据审计装置、一种电子设备及一种存储介质，具有以上有益效果。

Description

一种数据审计方法、装置、电子设备及存储介质

技术领域

本申请涉及计算机技术领域，特别涉及一种数据审计方法、装置、一种电子设备及一种存储介质。

背景技术

外发文件指电子设备向其他设备发的文件，外发文件的发送将会导致信息泄露的安全问题，因此通过对外发文件进行审计能够确定电子设备的使用者的外发文件行为和外发文件的具体内容。

相关技术中，通过预先设置特定的文件后缀名，仅对涉及包括特定文件后缀名的文件的操作行为进行筛选进而审计文件外发行为。但是，上述外发文件审计的方式能够分析的事件类型单一，对于外发产生复杂事件识别率较低。

因此，如何提高外发文件审计精准度，扩大外发文件审计范围是本领域技术人员目前需要解决的技术问题。

发明内容

本申请的目的是提供一种数据审计方法、装置、一种电子设备及一种存储介质，能够提高外发文件审计精准度，扩大外发文件审计范围。

为解决上述技术问题，本申请提供一种数据审计方法，该数据审计方法包括：

记录外发文件进程对应的事件创建序列；其中，所述事件创建序列包括事件种类和创建时间；

判断所述事件创建序列是否符合外发文件特征库中的事件创建规则；

若是，则生成所述事件创建序列对应的外发文件审计日志；

当检测到所述外发文件审计日志包括异常信息时，执行所述异常信息对应的处理操作。

可选的，所述外发文件进程包括存储设备外发进程、蓝牙外发进程、隔空投送外发进程、即时通信进程和浏览器外发进程中任一项进程或任几项进程的组合，所述存储设备外发进程包括桌面服务助手进程、文件拷贝进程和文件移动进程中任一项进程或任几项进程的组合。

可选的，在记录外发文件进程对应的事件创建序列之前，还包括：

查询存储设备的设备挂载路径；

相应的，当所述外发文件进程包括所述存储设备外发进程时，判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括：

根据所述设备挂载路径判断所述事件创建序列是否符合外发文件特征库中的事件创建规则。

可选的，根据所述设备挂载路径判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括：

当所述外发文件进程包括桌面服务助手进程时，根据所述设备挂载路径判断所述桌面服务助手进程对应的事件创建序列中是否包括第一事件序列；若包括所述第一事件序列则判定符合所述外发文件特征库中的事件创建规则；其中，所述第一事件序列包括第一读取事件(即第一读取事件)和第一文本写入事件，所述第一读取事件对应的文件名与第一文本写入事件对应的文件名相同，所述第一文本写入事件的设备路径为所述设备挂载路径。

当所述外发文件进程包括文件拷贝进程时，根据所述设备挂载路径判断所述文件拷贝进程对应的事件创建序列中是否包括第二事件序列；若包括所述第二事件序列则判定符合所述外发文件特征库中的事件创建规则；其中，所述第二事件序列包括第二读取事件和第一文件长度截取事件，所述第二读取事件的创建时间早于所述第一文件长度截取事件，所述第一文件长度截取事件的设备路径为所述设备挂载路径。

当所述外发文件进程包括文件移动进程时，根据所述设备挂载路径判断所述文件移动进程对应的事件创建序列中是否包括第三事件序列；若包括所述第三事件序列则判定符合所述外发文件特征库中的事件创建规则；其中，所述第三事件序列包括第三读取事件和第二文件长度截取事件，所述第三读取事件的创建时间早于所述第二文件长度截取事件，所述第二文件长度截取事件的设备路径为所述设备挂载路径。

可选的，所述查询存储设备的设备挂载路径包括：

查询硬盘分区信息，并将所述硬盘分区信息中包括目标字段的挂载点作为目标设备挂载点；

获取所述目标设备挂载点对应的存储设备标识，并将设备目录中与所述存储设备标识对应的挂载路径作为所述存储设备的设备挂载路径。

可选的，判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括：

当所述外发文件进程包括蓝牙外发进程时，判断所述蓝牙外发进程对应的事件创建序列中是否包括内存同步事件；

若是，则判定所述蓝牙外发进程对应的事件创建序列符合外发文件特征库中的事件创建规则。

当所述外发文件进程包括隔空投送外发进程时，判断所述隔空投送外发进程对应的事件创建序列是否符合外发文件特征库中的隔空投送事件创建规则；其中，所述隔空投送事件创建规则为所述隔空投送外发进程对应的事件创建序列包括第三读取事件和文件描述符修改事件，第三读取事件或文件描述符修改事件对应的文件夹不为目标系统文件夹；

若是，则判定所述隔空投送外发进程对应的事件创建序列符合外发文件特征库中的事件创建规则。

当所述外发文件进程包括即时通信进程时，判断所述即时通信进程对应的事件创建序列中是否符合即时通信外发事件规则；其中，所述即时通信外发事件规则为所述通信进程对应的事件创建序列包括第四读取事件，且不包括重命名事件，所述第四读取事件不为读取图片格式文件对应的事件；

若是，则判定所述即时通信进程对应的事件创建序列符合外发文件特征库中的事件创建规则。

当所述外发文件进程包括浏览器外发进程时，判断所述事件创建序列是否符合外发文件特征库中的第一浏览器外发事件创建规则或第二浏览器外发事件创建规则；其中，所述第一浏览器外发事件创建规则为所述浏览器外发进程对应的事件创建序列包括获取目标文件属性和所述目标文件所在的文件夹属性的连续文件系统属性获取事件，所述浏览器外发进程对应的事件创建序列不包括系统文件夹访问事件；所述第二浏览器外发事件创建规则为所述浏览器外发进程对应的事件创建序列包括第五读取事件，所述第五读取事件不为读取资源文件对应的读取事件、打开选择文件的弹框对应的读取事件、在弹框中选中文件对应的读取事件或下载文件对应的读取事件；

若是，则判定所述浏览器外发进程对应的事件创建序列符合外发文件特征库中的事件创建规则。

可选的，生成所述事件创建序列对应的外发文件审计日志包括：

确定所述事件创建序列对应的用户身份标识、事件类型、外发文件进程标识和被外发文件的文件路径；

根据所述用户身份标识、所述事件类型、所述外发文件进程标识和所述被外发文件的文件路径生成所述外发文件审计日志。

本申请还提供了一种数据审计装置，该数据审计装置包括：

序列记录模块，用于记录外发文件进程对应的事件创建序列；其中，所述事件创建序列包括事件种类和创建时间；

判断模块，用于判断所述事件创建序列是否符合外发文件特征库中的事件创建规则；

审计模块，用于当所述事件创建序列符合外发文件特征库中的事件创建规则时，生成所述事件创建序列对应的外发文件审计日志；

异常处理模块，用于当检测到所述外发文件审计日志包括异常信息时，执行所述异常信息对应的处理操作。

本申请还提供了一种存储介质，其上存储有计算机程序，所述计算机程序执行时实现上述数据审计方法执行的步骤。

本申请还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器调用所述存储器中的计算机程序时实现上述数据审计方法执行的步骤。

本发明提供了一种数据审计方法，包括记录外发文件进程对应的事件创建序列；其中，所述事件创建序列包括事件种类和创建时间；判断所述事件创建序列是否符合外发文件特征库中的事件创建规则；若是，则生成所述事件创建序列对应的外发文件审计日志；当检测到所述外发文件审计日志包括异常信息时，执行所述异常信息对应的处理操作。。

本申请通过记录外发文件进程所产生的事件得到对应的事件创建序列，外发文件进程为可以执行文件外发操作的进程，因此通过记录外发文件进程对应的事件创建序列可以判断是否存在文件外发事件。本申请通过将时间创建序列与外发文件特征库中的事件创建规则进行匹配，若匹配成功则说明时间创建序列中包括外发文件进程外发文件时创建的时间序列，进而可以根据时间创建序列生成对应的外发文件审计日志。本申请基于外发文件进程的事件创建序列判断是否存在文件外发行为，能够提高外发文件审计精准度，扩大外发文件审计范围。本申请同时还提供了一种数据审计装置、一种电子设备和一种存储设备，具有上述有益效果，在此不再赘述。

附图说明

为了更清楚地说明本申请实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例所提供的一种数据审计方法系统的结构示意图；

图2为本申请实施例所提供的一种数据审计方法的流程图；

图3为本申请实施例所提供的一种审计存储设备外发文件的流程示意图；

图4为本申请实施例所提供的一种审计向U盘外发文件的流程示意图；

图5为本申请实施例所提供的一种数据审计装置的结构示意图；

图6为本申请实施例所提供的一种电子设备的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

为了便于理解本申请的数据加密方法，下面对于本申请的数据审计方法所适用的应用场景进行介绍。参见图1，图1为本申请实施例的一种数据审计方法系统的结构示意图。

如图1所示，本申请实施例提供的数据加密系统包括：笔记本电脑A、台式计算机B、智能手机C、移动硬盘D和某网站的服务器E。笔记本电脑A可以通过隔空投送功能向台式计算机B外发文件，笔记本电脑A可以通过蓝牙功能向智能手机C外发文件，笔记本电脑A可以通过通用串行总线向移动硬盘D外发文件，笔记本电脑A可以通过通用网络向某网站的服务器E外发文件。

下面请参见图2，图2为本申请实施例所提供的一种数据审计方法的流程图。

具体步骤可以包括：

S101：记录外发文件进程对应的事件创建序列。

其中，本实施例的执行主体可以为个人计算机、服务器、平板电脑等数据处理装置。外发文件指电子设备中用于将设备内部的文件发送至其他设备的操作。外发文件进程即实现外发文件行为的进程，每一种外发文件方式都可以具有其对应的外发文件进程。进程是一个具有一定独立功能的程序关于某个数据集合的一次运行活动。进程是操作系统动态执行的基本单元，在计算机操作系统中，进程既是基本的分配单元，也是基本的执行单元。外发文件进程是计算机中将本地文件发送至其他设备的程序的实例。具体的，本实施例中所提到的外发文件进程包括可以存储设备外发进程、蓝牙外发进程、隔空投送外发进程(即可以是AirDrop外发进程)、即时通信进程或浏览器外发进程，当然本实施例中的外发文件进程可以包括上述多种进程。可以理解的是，存储设备外发进程为向U盘、移动硬盘等存储设备传输文件的进程；蓝牙外发进程为通过蓝牙技术向其他设备传输文件的进程；隔空投送外发进程为通过AirDrop(即可以是隔空投送)向其他设备传输文件的进程；即时通信进程为通过InstantMessaging(IM)技术向其他设备传输文件的进程；浏览器外发进程为通过电子设备的浏览器向其他设备传输文件的进程。进一步的，上述存储设备外发进程包括Desktop Services Helper进程(即可以是桌面服务助手进程)、文件拷贝进程和文件移动进程中任一项进程或任几项进程的组合。

外发文件进程在执行的过程中可以创建多种事件，本步骤中可以按照预设周期记录外发文件进程的事件创建序列，事件创建序列中可以包括外发文件进程创建的事件种类和每一事件的创建时间。

S102：判断所述事件创建序列是否符合外发文件特征库中的事件创建规则；若是，则进入S103；若否，则结束流程。

其中，当外发文件进程执行文件外发操作时，会按照一定的顺序产生特定的事件，本实施例中所提到的外发文件特征库中可以存储有每一外发文件进程执行文件外发操作时标准的事件创建规则，事件创建规则中记录有外发文件行为对应的事件种类和创建顺序。

本步骤建立在已经得到外发文件进程对应的事件创建序列的基础上，可以根据时间创建序列对应事件种类和每一事件的创建时间，判断事件创建序列是否符合外发文件特征库中的事件创建规则。举例说明上述过程，例如外发文件特征库中包括三条事件创建规则：第一事件创建规则为先后创建事件A、事件B和事件C，第二事件创建规则为先后创建事件A、事件D和事件C，第三事件创建规则为先后创建事件A、事件C和事件B；若外发送文件进程在第1秒创建事件A、在第2秒创建事件C，在第3秒创建事件B，此时可以判定外发文件进程对应的事件创建序列符合第三事件创建规则，说明外发文件进程执行了文件外发操作。

可以理解的是，若所述事件创建序列符合外发文件特征库中任意一条事件创建规则，可以进入S103的审计日志生成操作。若所述事件创建序列与外发文件特征库中任意一条事件创建规则均不符合时，说明外发文件进程没有执行文件外发操作，可以结束本实施例的操作流程。作为一种可行的实施方式，本实施例S101中所记录的外发文件进程对应的事件创建序列可以为，目标时间段内外发文件进程对应的事件创建序列，若目标时间段对应的事件创建序列与外发文件特征库中不与任意一条事件创建规则符合，可以记录目标时间段之后的其他目标时间段内的外发文件进程对应的事件创建序列并重新进入S102的判断操作。

S103：生成所述事件创建序列对应的外发文件审计日志。

其中，本实施例建立在事件创建序列符合外发文件特征库中的事件创建规则的基础上，可以生成所述事件创建序列对应的外发文件审计日志。具体的，生成外发文件审计日志的过程可以包括：确定所述事件创建序列对应的用户身份标识、事件类型、外发文件进程标识和被外发文件的文件路径；根据所述用户身份标识、所述事件类型、所述外发文件进程标识和所述被外发文件的文件路径生成所述外发文件审计日志。

S104：当检测到所述外发文件审计日志包括异常信息时，执行所述异常信息对应的处理操作。

其中，本实施例可以构建包括异常信息的集合，将外发文件审计日志中的信息与该集合中的信息进行比对，以便判断外发文件审计日志是否包括异常信息。本申请还可以设置异常信息对应的处理操作，例如当异常信息为向黑名单中的用户发送文本信息时，执行的处理操作可以包括生成异常报警信息，异常报警信息可以包括发送文本信息的用户的用户名、发送时间、发送内容等信息，执行的处理操作还可以将发送文本信息的用户添加至监控对象名单中，以便对监控对象名单中用户的操作行为进行监控。

本实施例通过记录外发文件进程所产生的事件得到对应的事件创建序列，外发文件进程为可以执行文件外发操作的进程，因此通过记录外发文件进程对应的事件创建序列可以判断是否存在文件外发事件。本实施例通过将时间创建序列与外发文件特征库中的事件创建规则进行匹配，若匹配成功则说明时间创建序列中包括外发文件进程外发文件时创建的时间序列，进而可以根据时间创建序列生成对应的外发文件审计日志。本实施例基于外发文件进程的事件创建序列判断是否存在文件外发行为，能够提高外发文件审计精准度，扩大外发文件审计范围。

请参见图3，图3为本申请实施例所提供的一种审计存储设备外发文件的流程示意图，具体可以包括以下步骤：

S201：查询存储设备的设备挂载路径。

其中，本实施例中预先设置有存储设备挂载表，存储设备挂载表中存储有存储设备与挂载路径的对应关系，通过查询存储设备挂载表可以确定存储设备对应的设备关在路径。本实施例还可以存在更新存储设备挂载表的操作，当检测到新挂载的存储设备时，可以查询该存储设备的设备挂载路径，并在存储设备挂载表中添加新挂载的存储设备及设备挂载路径的对应关系。当然本实施例还可以查询硬盘分区信息，并将所述硬盘分区信息中包括目标字段的挂载点作为目标设备挂载点。在获取所述目标设备挂载点对应的存储设备标识后，可以将/Volumes目录(即可以是设备目录)中与所述存储设备标识对应的挂载路径作为所述存储设备的设备挂载路径。存储设备标识可以为用户为存储设备自定义的名称，也可以为存储设备自身的序列号。具体的，目标字段可以为external physical(外部物理设备)，即若某一挂载点的硬盘分区信息显示该挂载点连接的是外部物理设备，则说明该挂载点为目标设备挂载点。/Volumes目录为U盘、移动硬盘等存储设备挂载目录。

S202：记录存储设备外发进程对应的事件创建序列。

S203：根据所述设备挂载路径判断所述事件创建序列是否符合外发文件特征库中的事件创建规则；若是，则进入S204；若否，则结束流程。

其中，电子设备向存储设备外发文件的方式有以下五种：(1)直接将文件拖入U盘；(2)右键拷贝粘贴；(3)快捷键ctrl+C,ctrl+V(或command+C，command+V)；(4)命令行cp；(5)命令行mv。最后，电子设备向存储设备外发文件的外发类型可以是文件或者是文件夹。

具体的，(1)直接将文件拖入U盘；(2)右键拷贝粘贴；(3)快捷键ctrl+C,ctrl+V(或command+C，command+V)这三种外发文件方式产生的事件序列是相同的，均由DesktopServices Helper(桌面服务帮助)进程的2个事件确定，即

open/read org_path

open/write/creat usb_path

org_path是文件在电子设备上的原路径，usb_path是拷贝到存储设备的路径。这两个事件出现的顺序不是确定的，发送单个文件时先出现open/read事件，发送文件夹时先出现open/read/creat事件。当这两个事件对应的文件名相同时，认为发生了拷贝。

因此，当所述外发文件进程包括Desktop Services Helper进程时，根据所述设备挂载路径判断所述Desktop Services Helper进程对应的事件创建序列中是否包括第一事件序列；若包括所述第一事件序列，则判定符合所述外发文件特征库中的事件创建规则；其中，所述第一事件序列包括第一open/read事件(即第一读取事件)和第一open/write/creat事件，所述第一open/read事件对应的文件名与第一open/write/creat事件对应的文件名相同，所述第一open/write/creat事件的usb_path路径(即可以是设备路径)为所述设备挂载路径。

其次，(4)命令行cp、(5)命令行mv拷贝文件到存储设备分别是由进程cp(即文件拷贝进程)和进程mv(即文件移动进程)做的，也是由两个事件确定，即

open/read org_path

open/write/creat/trunc usb_path

文件拷贝进程拷贝文件和文件移动进程移动文件时文件名可能发生改变，文件拷贝进程拷贝文件和文件移动进程移动文件时事件产生的时间与文件大小没有关系，多进程拷贝或同时拷贝大量文件时，第一个open/read事件与第一个open/write/creat/trunc事件是配对的。那么只需要将open/read事件保存下来，遇到一个open/write/creat/trunc事件就输出一条审计日志即可。

因此，当所述外发文件进程包括文件拷贝进程时，根据所述设备挂载路径判断所述文件拷贝进程对应的事件创建序列中是否包括第二事件序列；若包括所述第二事件序列则判定符合所述外发文件特征库中的事件创建规则；其中，所述第二事件序列包括第二open/read事件(即可以是第二读取事件)和第一open/write/creat/trunc事件，所述第二open/read事件的创建时间早于所述第一open/write/creat/trunc事件，所述第一open/write/creat/trunc事件(即可以是第一文件长度截取事件)的usb_path路径为所述设备挂载路径。当所述外发文件进程包括文件移动进程时，根据所述设备挂载路径判断所述文件移动进程对应的事件创建序列中是否包括第三事件序列；若包括所述第三事件序列则判定符合所述外发文件特征库中的事件创建规则；其中，所述第三事件序列包括第三open/read事件(即可以是第三读取事件)和第二open/write/creat/trunc事件(即可以是第二文件长度截取事件)，所述第三open/read事件的创建时间早于所述第二open/write/creat/trunc事件，所述第二open/write/creat/trunc事件的usb_path路径为所述设备挂载路径。

S204：生成所述事件创建序列对应的外发文件审计日志。

以上实施例介绍了三种对存储设备外发文件进行审计的实施方式，在记录存储设备外发进程对应的事件创建序列之前可以预先判断是否存在存储设备挂载于电子设备，即存在监控存储设备插入的操作，若检测到存储设备挂载于电子设备，可以执行存储设备外发进程对应的事件创建序列的相关操作。

请参见图4，图4为本申请实施例所提供的一种审计向U盘外发文件的流程示意图，可以预先分析U盘拷贝的特征，实时获取各个进程产生事件。过滤与U盘拷贝相关的进程，当检测到U盘插入时，判断与U盘拷贝相关的进程产生的事件是否符合外发特征，若是，则输出外发文件审计日志；若否，则继续获取实时获取各个进程产生事件。下面通过一个具体的实施例说明在MAC OS的计算机上监控U盘插入的实施方式：在MAC OS的计算机上U盘、移动硬盘等存储设备都是挂载在/Volumes目录下的，那么只要确定其下的设备是U盘，那么路径带有/Volumes/USB_NAME/的都是U盘的文件。监控U盘的插入，可以通过以下方式实现：首先用diskutil list命令得到MAC上挂在的所有设备，其中U盘带有’(external,physical)’字段，通过过滤这’(external,physical)’字段可以得到U盘的挂载点/dev/diskxx。然后，可以使用mount|grep/dev/disk2从挂载的设备列表中获取U盘列表。最后，进入/Volumes目录将其中的每个设备名字加上/Volumes/前缀，判断这个字符串是否在刚才返回的设备列表中，若是则判断该设备为U盘。

作为对于图2对应实施例的进一步补充，若外发文件进程包括蓝牙外发进程时，S102中判断所述事件创建序列是否符合外发文件特征库中的事件创建规则可以具体包括以下步骤：当所述外发文件进程包括蓝牙外发进程时，判断所述蓝牙外发进程对应的事件创建序列中是否包括fsync事件(即可以是内存同步事件)；若是，则判定所述蓝牙外发进程对应的事件创建序列符合外发文件特征库中的事件创建规则。

其中，Mac OS的蓝牙外发只能发送单个文件，不能发送文件夹。外发进程产生的一系列事件中只要出现了fsync事件，那么就可以确定外发了文件，文件路径就是fsync操作的文件。

作为对于图2对应实施例的进一步补充，若外发文件进程包括隔空投送外发进程时，S102中判断所述事件创建序列是否符合外发文件特征库中的事件创建规则可以具体包括以下步骤：判断所述隔空投送外发进程对应的事件创建序列是否符合外发文件特征库中的隔空投送事件创建规则；其中，所述隔空投送事件创建规则为所述隔空投送外发进程对应的事件创建序列包括第三open/read事件和fcntl事件(即可以是文件描述符修改事件)，第三open/read事件或fcntl事件对应的文件夹不为目标系统文件夹；若是，则判定所述隔空投送外发进程对应的事件创建序列符合外发文件特征库中的事件创建规则。

电子设备可以通过AirDrop可发送单个文件和文件夹。在发送文件夹时，只有文件夹的路径，里面的文件不会显示。外发行为由AirDrop进程的两个事件确定：

open/read file_path

fcntl file_path

file_path是文件路径或者文件夹路径。具体的，AirDrop对一些系统文件夹的操作也会产生上面的事件，需要按照目标系统文件夹名称进行过滤。

作为对于图2对应实施例的进一步补充，若外发文件进程包括即时通信进程时，S102中判断所述事件创建序列是否符合外发文件特征库中的事件创建规则可以具体包括以下步骤：判断所述即时通信进程对应的事件创建序列中是否符合即时通信外发事件规则；其中，所述即时通信外发事件规则为所述通信进程对应的事件创建序列包括第四open/read事件(即可以是第四读取事件)，且不包括rename事件(即可以是重命名事件)，所述第四open/read事件不为读取图片格式文件对应的事件；若是，则判定所述即时通信进程对应的事件创建序列符合外发文件特征库中的事件创建规则。

即时通信进程的外发方式有很多种，如发送给好友，发送到设备等等。不同的发送方式或者是发送不同类型的文件均为产生open/read事件，本实施例可以将即时通信进程的open/read事件标识外发行为，然后过滤掉非外发产生的open/read事件。首先，即时通信进程读取自带的资源文件(均为图片格式)时会产生open/read事件，解决办法是不审计图片格式的外发，只审计手动指定的文件后缀名。其次，接收文件也会产生open/read事件，解决办法是如果open/read前面有个文件名相同的rename事件，那么这是接收的事件，不作审计。

作为对于图2对应实施例的进一步补充，若外发文件进程包括即时通信进程时，S102中判断所述事件创建序列是否符合外发文件特征库中的事件创建规则可以具体包括以下步骤：判断所述事件创建序列是否符合外发文件特征库中的第一浏览器外发事件创建规则或第二浏览器外发事件创建规则；其中，所述第一浏览器外发事件创建规则为所述浏览器外发进程对应的事件创建序列包括获取目标文件属性和所述目标文件所在的文件夹属性的连续getattrlist事件(即可以是文件系统属性获取事件)，所述浏览器外发进程对应的事件创建序列不包括系统文件夹访问事件；所述第二浏览器外发事件创建规则为所述浏览器外发进程对应的事件创建序列包括第五open/read事件(即第五读取事件)，所述第五open/read事件不为读取资源文件对应的open/read事件、打开选择文件的弹框对应的open/read事件、在弹框中选中文件对应的open/read事件或下载文件对应的open/read事件；若是，则判定所述浏览器外发进程对应的事件创建序列符合外发文件特征库中的事件创建规则。

其中，浏览器主要分为两类：以Safari为代表的外发事件特征明显，冗余事件少。另一种是以Google Chrome为代表的外发事件多变，且冗余事件很多。

第一类浏览器以Safari为例说明。Safari在所有网页的外发事件是相同的，假设外发了文件/A/B/C/X.txt，那么产生的连续事件序列为：

检测到这样的序列，则说明外发了文件。Safari外发文件夹时，不会具体到文件夹内的文件。只有到文件夹的如上事件。Safari对一些系统文件夹的访问也会出现这样的序列，可以对这些文件夹做过滤。

第二类浏览器以Google Chrome为例说明。其在不同的网页的外发事件是不同的，共同点是都有open/read事件，那么需要过滤掉无关的open/read事件。产生无关事件的情况有：读取资源文件、打开选择文件的弹框、在弹框中选中文件、下载文件。可以通过以下方式识别浏览器外发事件序列中的无关事件：

方式(1)识别读取资源文件的可以通过审计指定类型的文件实现，例如对资源文件进行标记，当检测到资源文件对应的open/read事件时不判定检测到浏览器外发操作。

方式(2)打开选择文件的弹框，该目录下的所有文件都会产生open/read事件。如果有事件序列包括特征1或特征2，那么说明该open/read事件是打开选框产生的，可以不进行审计：

特征1：出现事件1和事件2，但是事件1和事件2的出现顺序可变。

事件1：open/read file_path

事件2：Fcntl file_path

特征2：一个open/read事件后面跟了8个getlattrlist事件。

方式(3)在弹框中选中文件，特征是：

即，若检测到在open/read事件之前有若干个getattrlist file_path且中间有一个对根目录的getattrlist事件，则可以判定open/read事件为通过在弹框中选中文件产生的事件。

方式(4)下载文件的特征为在open/read事件之前有文件名相同的rename事件，因此，在在open/read事件之前有文件名相同的rename事件，则可以判定open/read事件为下载文件产生的事件。

作为对于图2对应实施例的进一步补充，当图2对应实施例的执行主体为MAC OS的电子设备时，生成所述事件创建序列对应的外发文件审计日志的过程可以包括：MAC OS的电子设备的审计日志保存在/var/audit，与审计相关的配置在/private/etc/security，在这里可以找到支持审计的事件类型外发审计只与文件相关，因此在程序中配置fr，fw，fm，fc这四种类型。此外，MAC OS的电子设备提供了读取日志的管道/dev/auditpipe，可以实时读取产生的日志。日志内容包括执行操作的用户，事件类型，产生事件的进程和操作的文件等。外发文件审计日志记录的内容可以包括当前用户为root，进程DesktopServices操作了文件/Volumes/.../444.rtf，操作类型是open/write。通过管道/dev/auditpipe读取的事件会先保存在一个缓存区中，最大可同时保存1024个事件，容量是比较小的。所以获取事件的线程处理事件时不能有太耗时的操作，否则会造成缓存区溢出，事件丢失从而导致漏审。

请参见图5，图5为本申请实施例所提供的一种数据审计装置的结构示意图；

该装置可以包括：

序列记录模块100，用于记录外发文件进程对应的事件创建序列；其中，所述事件创建序列包括事件种类和创建时间；

判断模块200，用于判断所述事件创建序列是否符合外发文件特征库中的事件创建规则；

审计模块300，用于当所述事件创建序列符合外发文件特征库中的事件创建规则时，生成所述事件创建序列对应的外发文件审计日志；

异常处理模块400，用于当检测到所述外发文件审计日志包括异常信息时，执行所述异常信息对应的处理操作。

进一步的，所述外发文件进程包括存储设备外发进程、蓝牙外发进程、隔空投送外发进程、即时通信进程和浏览器外发进程中任一项进程或任几项进程的组合，所述存储设备外发进程包括Desktop Services Helper进程、文件拷贝进程和文件移动进程中任一项进程或任几项进程的组合。

进一步的，还包括：

挂载路径查询模块，用于在记录外发文件进程对应的事件创建序列之前，查询存储设备的设备挂载路径；

相应的，当所述外发文件进程包括所述存储设备外发进程时，判断模块200具体为用于根据所述设备挂载路径判断所述事件创建序列是否符合外发文件特征库中的事件创建规则的模块。

进一步的，当所述外发文件进程包括所述存储设备外发进程时，判断模块200包括：

第一判断单元，用于当所述外发文件进程包括Desktop Services Helper进程时，根据所述设备挂载路径判断所述Desktop Services Helper进程对应的事件创建序列中是否包括第一事件序列；若包括所述第一事件序列则判定符合所述外发文件特征库中的事件创建规则；其中，所述第一事件序列包括第一open/read事件和第一open/write/creat事件，所述第一open/read事件对应的文件名与第一open/write/creat事件对应的文件名相同，所述第一open/write/creat事件的usb_path路径为所述设备挂载路径；

第二判断单元，用于当所述外发文件进程包括文件拷贝进程时，根据所述设备挂载路径判断所述文件拷贝进程对应的事件创建序列中是否包括第二事件序列；若包括所述第二事件序列则判定符合所述外发文件特征库中的事件创建规则；其中，所述第二事件序列包括第二open/read事件和第一open/write/creat/trunc事件，所述第二open/read事件的创建时间早于所述第一open/write/creat/trunc事件，所述第一open/write/creat/trunc事件的usb_path路径为所述设备挂载路径；

第三判断单元，用于当所述外发文件进程包括文件移动进程时，根据所述设备挂载路径判断所述文件移动进程对应的事件创建序列中是否包括第三事件序列；若包括所述第三事件序列则判定符合所述外发文件特征库中的事件创建规则；其中，所述第三事件序列包括第三open/read事件和第二open/write/creat/trunc事件，所述第三open/read事件的创建时间早于所述第二open/write/creat/trunc事件，所述第二open/write/creat/trunc事件的usb_path路径为所述设备挂载路径。

进一步的，挂载路径查询模块包括：

挂载点查询单元，用于查询硬盘分区信息，并将所述硬盘分区信息中包括目标字段的挂载点作为目标设备挂载点；

路径查询单元，用于获取所述目标设备挂载点对应的存储设备标识，并将/Volumes目录中与所述存储设备标识对应的挂载路径作为所述存储设备的设备挂载路径。

进一步的，当所述外发文件进程包括蓝牙外发进程时，判断模块200用于判断所述蓝牙外发进程对应的事件创建序列中是否包括fsync事件；若是，则判定所述蓝牙外发进程对应的事件创建序列符合外发文件特征库中的事件创建规则。

进一步的，当所述外发文件进程包括隔空投送外发进程时，判断模块200用于判断所述隔空投送外发进程对应的事件创建序列是否符合外发文件特征库中的隔空投送事件创建规则；其中，所述隔空投送事件创建规则为所述隔空投送外发进程对应的事件创建序列包括第三open/read事件和fcntl事件，第三open/read事件或fcntl事件对应的文件夹不为目标系统文件夹；若是，则判定所述隔空投送外发进程对应的事件创建序列符合外发文件特征库中的事件创建规则。

进一步的，当所述外发文件进程包括即时通信进程时，判断模块200用于判断所述即时通信进程对应的事件创建序列中是否符合即时通信外发事件规则；其中，所述即时通信外发事件规则为所述通信进程对应的事件创建序列包括第四open/read事件，且不包括rename事件，所述第四open/read事件不为读取图片格式文件对应的事件；若是，则判定所述即时通信进程对应的事件创建序列符合外发文件特征库中的事件创建规则。

进一步的，当所述外发文件进程包括浏览器外发进程时，判断模块200用于判断所述事件创建序列是否符合外发文件特征库中的第一浏览器外发事件创建规则或第二浏览器外发事件创建规则；其中，所述第一浏览器外发事件创建规则为所述浏览器外发进程对应的事件创建序列包括获取目标文件属性和所述目标文件所在的文件夹属性的连续getattrlist事件，所述浏览器外发进程对应的事件创建序列不包括系统文件夹访问事件；所述第二浏览器外发事件创建规则为所述浏览器外发进程对应的事件创建序列包括第五open/read事件，所述第五open/read事件不为读取资源文件对应的open/read事件、打开选择文件的弹框对应的open/read事件、在弹框中选中文件对应的open/read事件或下载文件对应的open/read事件；若是，则判定所述浏览器外发进程对应的事件创建序列符合外发文件特征库中的事件创建规则。

进一步的，序列记录模块100用于确定所述事件创建序列对应的用户身份标识、事件类型、外发文件进程标识和被外发文件的文件路径；还用于根据所述用户身份标识、所述事件类型、所述外发文件进程标识和所述被外发文件的文件路径生成所述外发文件审计日志。

由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。

本申请还提供了一种存储介质，其上存有计算机程序，该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本申请还提供了一种电子设备，可以包括存储器和处理器，所述存储器中存有计算机程序，所述处理器调用所述存储器中的计算机程序时，可以实现上述实施例所提供的步骤。当然所述电子设备还可以包括各种网络接口，电源等组件。请参见图6，图6为本申请实施例所提供的一种电子设备的结构示意图，本实施例的电子设备可以包括：处理器2101和存储器2102。

可选的，该HTTPS代理设备还可以包括通信接口2103、输入单元2104和显示器2105和通信总线2106。

处理器2101、存储器2102、通信接口2103、输入单元2104、显示器2105、均通过通信总线2106完成相互间的通信。

在本申请实施例中，该处理器2101，可以为中央处理器(Central ProcessingUnit，CPU)，特定应用集成电路，数字信号处理器、现成可编程门阵列或者其他可编程逻辑器件等。

该处理器可以调用存储器2102中存储的程序。具体的，处理器可以执行以下数据审计方法的实施例中电子设备侧所执行的操作。

存储器2102中用于存放一个或者一个以上程序，程序可以包括程序代码，所述程序代码包括计算机操作指令，在本申请实施例中，该存储器中至少存储有用于实现以下功能的程序：

若是，则生成所述事件创建序列对应的外发文件审计日志；

在一种可能的实现方式中，该存储器2102可包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、以及至少一个功能(比如话题检测功能等)所需的应用程序等；存储数据区可存储根据计算机的使用过程中所创建的数据。

此外，存储器2102可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件或其他易失性固态存储器件。

该通信接口2103可以为通信模块的接口，如GSM模块的接口。

本申请还可以包括显示器2105和输入单元2104等等。

图6所示的电子设备的结构并不构成对本申请实施例中HTTPS代理设备的限定，在实际应用中电子设备可以包括比图6所示的更多或更少的部件，或者组合某些部件。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims

1.一种数据审计方法，其特征在于，包括：

若是，则生成所述事件创建序列对应的外发文件审计日志；

当检测到所述外发文件审计日志包括异常信息时，执行所述异常信息对应的处理操作；

其中，所述外发文件进程包括存储设备外发进程、蓝牙外发进程、隔空投送进程、即时通信进程和浏览器外发进程中任一项进程或任几项进程的组合，所述存储设备外发进程包括桌面服务助手进程、文件拷贝进程和文件移动进程中任一项进程或任几项进程的组合。

2.根据权利要求1所述数据审计方法，其特征在于，在记录外发文件进程对应的事件创建序列之前，还包括：

查询存储设备的设备挂载路径；

3.根据权利要求2所述数据审计方法，其特征在于，根据所述设备挂载路径判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括：

当所述外发文件进程包括桌面服务助手进程时，根据所述设备挂载路径判断所述桌面服务助手进程对应的事件创建序列中是否包括第一事件序列；若包括所述第一事件序列则判定符合所述外发文件特征库中的事件创建规则；其中，所述第一事件序列包括第一读取事件和第一文本写入事件，所述第一读取事件对应的文件名与第一文本写入事件对应的文件名相同，所述第一文本写入事件的设备路径为所述设备挂载路径。

4.根据权利要求2所述数据审计方法，其特征在于，根据所述设备挂载路径判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括：

5.根据权利要求2所述数据审计方法，其特征在于，根据所述设备挂载路径判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括：

6.根据权利要求2所述数据审计方法，其特征在于，所述查询存储设备的设备挂载路径包括：

7.根据权利要求1所述数据审计方法，其特征在于，判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括：

8.根据权利要求1所述数据审计方法，其特征在于，判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括：

9.根据权利要求1所述数据审计方法，其特征在于，判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括：

10.根据权利要求1所述数据审计方法，其特征在于，判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括：

11.根据权利要求1至10任一项所述数据审计方法，其特征在于，生成所述事件创建序列对应的外发文件审计日志包括：

12.一种数据审计装置，其特征在于，包括：

异常处理模块，用于当检测到所述外发文件审计日志包括异常信息时，执行所述异常信息对应的处理操作；

13.一种电子设备，其特征在于，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器调用所述存储器中的计算机程序时实现如权利要求1至11任一项所述数据审计方法的步骤。

14.一种存储介质，其特征在于，所述存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器加载并执行时，实现如上权利要求1至11任一项所述数据审计方法的步骤。