CN111159126A - 文件压缩操作的审计方法、装置、电子设备及存储介质 - Google Patents
文件压缩操作的审计方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111159126A CN111159126A CN201911424804.3A CN201911424804A CN111159126A CN 111159126 A CN111159126 A CN 111159126A CN 201911424804 A CN201911424804 A CN 201911424804A CN 111159126 A CN111159126 A CN 111159126A
- Authority
- CN
- China
- Prior art keywords
- file
- target
- tracking item
- source
- item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 82
- 230000006835 compression Effects 0.000 title claims abstract description 80
- 238000007906 compression Methods 0.000 title claims abstract description 78
- 238000012550 audit Methods 0.000 claims abstract description 40
- 230000008569 process Effects 0.000 claims description 26
- 238000012544 monitoring process Methods 0.000 claims description 23
- 238000013461 design Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000000052 comparative effect Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000007429 general method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/174—Redundancy elimination performed by the file system
- G06F16/1744—Redundancy elimination performed by the file system using compression, e.g. sparse files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/11—File system administration, e.g. details of archiving or snapshots
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请提供一种文件压缩操作的审计方法、装置、电子设备及存储介质。方法包括:接收对目标文件进行关闭的操作请求;根据操作请求从目标文件上下文对象中提取对应的目标跟踪项;目标跟踪项中包括一个源跟踪项记录链表,用于记录被完全读取过的源文件对应的源跟踪项;若目标跟踪项的源跟踪项记录链表不为空,且目标文件的格式是压缩文件格式,则确定目标文件是压缩操作的目标文件,根据目标跟踪项及其源跟踪项记录链表构造审计信息,实现对压缩操作的审计。本申请实施例无需针对每种压缩工具设计对应的审计系统,从而降低了工作量,并且不会遗漏对新出现的压缩工具进行文件压缩的审计,进而提高了对压缩文件审计的准确性,保证了数据的安全。
Description
技术领域
本申请涉及数据安全技术领域,具体而言,涉及一种文件压缩操作的审计方法、装置、电子设备及存储介质。
背景技术
在信息安全系统中,尤其数据安全方面,对于敏感文件的外传要有审计和控制技术,除了常规的拷贝文件操作,还要对间接的外传手段有所控制,例如,将文件压缩后再外传。
压缩工具程序品类繁多,压缩文件的格式多种多样,包括操作系统自带的程序(如Windows系统的资源管理器),以及独立发行的工具(如7Z、WinRAR等等)。现有技术中,对压缩文件的审计通常是针对每种压缩工具设计对应的审计系统,这种方法导致了工作量大,并且,也无法解决新出现的工具或格式的审计问题。
发明内容
本申请实施例的目的在于提供一种文件压缩操作的审计方法、装置、电子设备及存储介质,用以实现不依赖于具体工具软件的压缩行为审计,以及提高审计准确性。
第一方面,本申请实施例提供一种文件压缩操作的审计方法,应用于文件系统,包括:接收对目标文件进行关闭的操作请求;根据所述操作请求从目标文件上下文对象中提取所述目标文件对应的目标跟踪项;其中,目标跟踪项中包括一个源跟踪项记录链表,用于记录被完全读取过的源文件对应的源跟踪项;源跟踪项和目标跟踪项包括对文件的各操作请求进行监测获得的文件信息;若目标跟踪项的源跟踪项记录链表不为空,且目标文件的格式是压缩文件格式,则确定目标文件是压缩操作的目标文件,根据目标跟踪项及其源跟踪项记录链表,构造审计信息,实现对压缩操作的审计。
本申请实施例通过根据压缩操作的通用流程,对文件的操作进行监测,并在监测到对文件进行关闭操作后,根据监测获得到文件的跟踪项确定对该文件的压缩操作,进而根据跟踪项获得审计信息,因此,对于各种审计工具来说,均可以采用上述审计方法进行审计,无需针对每种压缩工具设计对应的审计系统,从而降低了工作量,并且不会遗漏对新出现的压缩工具进行文件压缩的审计,进而提高了对压缩文件审计的准确性,保证了数据的安全。
进一步地,在接收对目标文件进行关闭的操作请求之前,所述方法还包括:初始化全局数据结构,其中,所述全局数据结构包括目标跟踪项链表、重命名跟踪项链表和定时器。
进一步地,在初始化全局数据结构之后,所述方法还包括:实时进行文件操作的监测,获得所述源文件和目标文件的操作请求;根据所述操作请求执行相应的操作。
本申请实施例通过实时对文件操作进行监测,从而不会遗漏对文件的监控,并且能够快速确定对文件的操作是否为压缩操作。
进一步地,所述操作请求为新建目标文件的请求或以写入方式打开目标文件的请求;所述根据所述操作请求执行相应的操作,包括:建立所述目标文件对应的目标跟踪项;所述目标跟踪项包括打开所述目标文件的进程、线程、文件路径、文件名称、文件打开时间、初始写入数据长度和文件读取记录链表;将所述目标跟踪项关联到所述目标文件上下文对象中,以及将所述目标跟踪项插入到所述目标跟踪项链表中。
由于压缩文件时首先需要以写方式打开目标文件,因此,本申请实施例通过监测文件以写方式打开,并且建立目标跟踪项来存储该文件的文件信息,进而能够根据目标跟踪项进行压缩操作的确认以及审计信息的获得。
进一步地,所述操作请求为以只读方式打开源文件的请求;所述根据所述操作请求执行相应的操作,包括:建立所述源文件对应的源跟踪项,所述源跟踪项包括以只读方式打开的源文件的进程、线程、文件路径、文件名称、文件长度、初始读取数据长度;将所述源跟踪项关联到源文件上下文对象中。
由于在对文件进行压缩时,需要以读方式打开源文件,并且从该文件中进行读操作,因此,本申请实施例通过对文件的读操作进行监控,并建立源跟踪项,从而能够准确的确认出该文件是否为压缩操作的源文件。
进一步地,所述操作请求为对目标文件的写操作请求;所述根据所述操作请求执行相应的操作,包括:从所述目标文件上下文对象中获取所述目标文件对应的目标跟踪项;在完成写入操作后,根据所述写入长度更新所述目标跟踪项中的写入数据长度。
进一步地,所述操作请求为对源文件进行读操作的请求;所述根据所述操作请求执行相应的操作,包括:从源文件上下文对象中提取所述源文件对应的源跟踪项;在完成读取操作后,根据所述读取长度更新所述源跟踪项中的读取数据长度。
本申请实施例通过对文件的读操作更新源跟踪项中的信息,从而能够准确地识别出该文件是否为压缩操作的源文件。
进一步地,在所述操作请求为对源文件进行关闭的请求时;所述根据所述操作请求执行相应的操作,包括:若所述源跟踪项中读取数据长度大于或等于所述源文件的长度,以及所述目标跟踪项链表中包括与所述源跟踪项的线程相同的目标跟踪项,则解除所述源跟踪项与所述源文件上下文对象的关联,并将所述源跟踪项添加到所述目标跟踪项的源跟踪项记录链表中。
本申请实施例中,根据压缩操作的特点,若文件中的所有数据都被读出,则将该文件作为压缩操作的源文件,保证了文件数据不被遗漏。
进一步地,所述目标文件为临时文件,在所述目标跟踪项中记录文件关闭时间之后,所述方法还包括:将所述目标跟踪项插入到所述重命名跟踪项链表中。
在一些压缩操作中,可能会先生成临时文件,将数据写入到临时文件进行压缩,然后在对临时文件进行重命名操作,因此,通过将临时文件对应的目标跟踪项插入重命名跟踪项链表中,以便于对临时文件进行重命名操作。
进一步地,在将所述目标跟踪项插入所述重命名跟踪项链表中之后,所述方法还包括:遍历所述重命名跟踪项链表中的目标跟踪项,判断所述目标跟踪项中的文件关闭时间与当前时间的时间间隔;若所述时间间隔超过预设时长,则确定对应的目标跟踪项为最终的目标跟踪项,并将所述目标跟踪项从所述重命名跟踪项链表中移出。
进一步地,操作请求为对目标文件进行重命名的请求,所述方法还包括:根据所述操作请求获取所述目标文件对应的原始文件路径、原始文件名称、新文件路径和新文件名称;从所述重命名跟踪项链表中获取与所述原始文件路径和所述原始文件名称相同的目标跟踪项;将所述目标跟踪项的文件路径和文件名称替换为所述新文件路径和新文件名称。
本申请实施例对于重命名后的目标跟踪项根据原始文件路径和原始文件名称从重命名跟踪项链表中对应的目标跟踪项,然后使用新文件路径和新文件名称替换目标跟踪项中的对应信息,保证了重命名后的目标跟踪项中的数据的正确性。
进一步地,所述审计信息包括源文件信息、目标文件信息、进程信息和操作时间;所述根据所述目标跟踪项构造所述源文件和目标文件对应的审计信息,包括:从所述目标跟踪项中提取所述目标文件信息、所述进程信息和所述操作时间;从所述目标跟踪项的文件读取记录链表中提取所述源文件信息。
本申请实施例通过实时对文件操作的监控,当文件关闭时可以确定对该文件的操作是否是压缩操作,并且在是压缩操作时,可以获得到该压缩操作对应的审计信息,以供审计人员根据审计信息进行审计,保证了数据的安全。
第二方面,本申请实施例提供一种文件压缩操作的审计装置,包括:
请求接收模块,用于接收对所述目标文件进行关闭的操作请求;
跟踪项提取模块,用于根据所述操作请求从目标文件上下文对象中提取所述目标文件对应的目标跟踪项;其中,目标跟踪项中包括一个源跟踪项记录链表,用于记录被完全读取过的源文件对应的源跟踪项;源跟踪项和目标跟踪项包括对文件的各操作请求进行监测获得的文件信息审计模块,用于若目标跟踪项的源跟踪项记录链表不为空,且目标文件是压缩文件格式,则确定目标文件的格式是压缩操作的目标文件,根据目标跟踪项及其源跟踪项记录链表,构造审计信息,实现对压缩操作的审计。第三方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面的方法。
第四方面,本申请实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为对比实施例提供的压缩操作流程图;
图2为本申请实施例提供的目标文件新建、写方式打开操作的信息统计流程示意图;
图3为本申请实施例提供的对源文件只读打开操作的信息统计流程图;
图4为本申请实施例提供的对目标文件写操作的信息统计流程图;
图5为本申请实施例提供的对源文件读操作的信息统计流程图;
图6为本申请实施例提供的对源文件关闭操作的信息统计流程图;
图7为本申请实施例提供的对目标文件的关闭操作示意图;
图8为本申请实施例提供的对文件重命名操作的信息统计流程图;
图9为本申请实施例提供的定时处理流程图;
图10为本申请实施例提供的装置结构示意图;
图11为本申请实施例提供的电子设备实体结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
尽管压缩程序、压缩格式复杂多样,但其工作流程是有明显特征的,因此,如图1所示,文件压缩工具的流程可以总结为:
步骤101:以写方式打开目标文件(可能的,目标文件可能被创建为临时文件)。
步骤102:以读方式打开源文件;
步骤103:读取源文件至输入缓冲区;
步骤104:使用压缩算法将输入缓冲区的数据压缩,将结果写入输出缓冲区;
步骤105:将输出缓冲区的数据写入目标文件;
步骤106:判断源文件的所有数据是否均被处理,若是,则关闭该源文件并执行步骤107,否则执行步骤103;
步骤107:判断是否所有的源文件均被处理,若是则执行步骤108,否则执行步骤102;
步骤108:关闭目标文件。
应当说明的是,目标文件如果一开始被创建为临时文件,还需要将目标文件重命名为指定的文件。
根据上述流程可知,压缩操作包括以下共通特征:
特征一:源文件的数据被全部读取,即读取长度大于或等于文件的长度;其中,大于是在对源文件有重复读取的情况下产生的。
特征二:读取源文件和写入目标文件的过程均在同一进程的同一线程中执行。
基于此,本申请实施例提出一种基于文件系统过滤进而分析压缩程序的共通行为而达到审计文件压缩的通用方法。并且本申请实施例通过使用文件系统过滤驱动,能够过滤到文件的新建、打开、读、写、关闭、重命名、删除等等底层操作。
下面对本申请实施例提供的文件压缩操作的审计方法进行详细描述。
初始化全局数据结构,其中,所述全局数据结构包括目标跟踪项链表、重命名跟踪项链表和定时器。
在具体的实施过程中,目标跟踪项链表中包括各个被操作的文件对应的目标跟踪项,即写跟踪结构,目标跟踪项链表用于记录以写方式打开文件的文件信息。重命名跟踪项链表中的成员也是写跟踪结构,用于处理压缩程序将目标文件先创建为临时文件然后重命名的情况。定时器用于检查文件重命名跟踪项链表中的过期项,定时器的时间可以根据实际情况确定,例如可以是2秒,3秒等。
在初始化全局数据结构之后,开始对文件系统中的各个文件进行监测,可以是对文件的新建、打开、写操作、读操作、关闭、重命名等。因此根据接收到的不同的操作请求执行相应的操作。
下面对各个操作进行详细的描述。
(1)对于操作请求为新建目标文件的请求,或以写入方式打开目标文件的请求,如图2所示:
步骤201:当监测到新建目标文件或以写入方式打开目标文件时,建立所述目标文件对应的目标跟踪项;目标跟踪项包括目标文件的进程、线程、文件路径、文件名称、文件打开时间、初始写入数据长度和源跟踪项记录链表。源跟踪项记录链表用于记录压缩的源文件,其中,源文件是指在目标文件的生存期内,同一线程完整读取的文件。可以理解的是,目标跟踪项中还可以包括其他的信息,例如文件大小等信息。
步骤202:将所述目标跟踪项关联到所述目标文件上下文对象中;应当说明的是,目标文件上下文对象和源文件上下文对象都是预先构建的。在不同的文件系统关联的方式不同,一般地,文件系统会提供接口,最高效的方式是将跟踪项直接设置到文件上下文对象的数据结构中。如果没有接口,则可以通过哈希表建立跟踪项和文件上下文对象的映射关系。
步骤203:将所述目标跟踪项插入到所述目标跟踪项链表中。
(2)对于以只读方式打开源文件,如图3所示:
步骤301:在监测到操作请求为以只读方式打开源文件时,建立所述源文件对应的源跟踪项,源跟踪项包括该源文件的进程、线程、文件路径、文件名称、文件长度、初始读取数据长度。可以理解的是,由于源文件刚刚被打开,因此初始读取数据长度可以为0。
步骤302:将所述源跟踪项关联到源文件上下文对象中。可以理解的是,源跟踪项与源文件上下文对象的关联方式与目标跟踪项与目标文件上下文对象的关联方式相同,此处不再赘述。
(3)对于对目标文件进行写操作,参见图4:
步骤401:当监测到对目标文件进行写操作时,统计对所述目标文件进行写操作的写入长度;可以理解的是,可能会有多次写入操作,因此需要统计该目标文件在打开期间的所有写入操作对应的写入长度,写入长度可以是用字符度量。
步骤402:从所述目标文件上下文对象中获取所述目标文件对应的目标跟踪项;由于目标文件在以写入的方式打开时就建立了该目标文件的目标跟踪项,并且关联到了目标文件上下文对象中,因此,可以从目标文件上下文对象中获取目标文件对应的目标跟踪项。
步骤403:在完成写入操作后,根据所述写入长度更新所述目标跟踪项中的写入数据长度。
(4)针对源文件的读操作,参见图5:
步骤501:当监测到对源文件进行读操作时,统计对所述源文件进行读操作的读取长度;可以理解的是,在源文件以只读方式打开期间,可以对该源文件进行多次读取操作,上述的读取长度是多次读取操作的综合,并且,读取操作可以通过字符度量。
步骤502:从所述源文件上下文对象中提取所述源文件对应的源跟踪项;由于源文件在以只读的方式打开时,建立了对应的源跟踪项,并将该源跟踪项与源文件上下文对象进行关联,因此,可以从源文件上下文对象中获取源文件对应的源跟踪项。应当说明的是,如果源文件上下文对象中没有关联的源跟踪项,则说明源文件不是以只读方式打开的,此时忽略以下步骤。
步骤503:在完成读取操作后,根据所述读取长度更新所述源跟踪项中的读取数据长度。
(5)对于关闭文件的操作,可以分为两种,一种是对目标文件的关闭操作,另一种是对源文件的关闭操作。
图6为本申请实施例提供的对源文件的关闭操作示意图,参见图6:
步骤601:若监测到对源文件的关闭操作,则从源文件上下文对象中获取源跟踪项;
步骤602:判断源跟踪项中读取数据的总长度是否大于或等于源文件的长度,如果小于文件长度,说明这不是一个对源文件的完整读取,忽略后续步骤并释放此源跟踪项。如果大于或等于文件长度,则进行后续判断。
步骤603:遍历全局的目标跟踪项链表,查找出当前线程最近的目标跟踪项,如果没有找到,说明这不是一个对源文件的读,忽略后续步骤并释放此源跟踪项。可以理解的是,当前线程最近是指从目标跟踪项链表的尾部向前遍历,获取最先获得的与源跟踪项同一线程的目标跟踪项。
步骤604:如果源跟踪项中读取数据长度大于或等于源文件的长度,并且全局的目标跟踪项链表中包括与源跟踪项的线程相同的目标跟踪项,则可以确定源文件为压缩操作的源文件。
步骤605:解除所述源跟踪项与所述源文件上下文对象的关联,并将所述源跟踪项添加到所述目标跟踪项的源跟踪项记录链表中。
图7为本申请实施例提供的对目标文件的关闭操作示意图,参见图7:
步骤701:接收对目标文件进行关闭的操作请求;
步骤702:根据所述操作请求从目标文件上下文对象中提取所述目标文件对应的目标跟踪项;其中,目标跟踪项中包括一个源跟踪项记录链表,用于记录被完全读取过的源文件对应的源跟踪项;源跟踪项和目标跟踪项中包括对文件的各操作请求进行监测获得的文件信息;
步骤703:若目标跟踪项的源跟踪项记录链表不为空,且目标文件的格式是压缩文件格式,则确定目标文件是压缩操作的目标文件,根据目标跟踪项及其源跟踪项记录链表,构造审计信息,实现对压缩操作的审计。
下面针对上述步骤701-步骤703进行详细介绍。
在步骤701中,在文件系统中运行有过滤驱动程序,该过滤驱动程序能够监测到文件系统中对各个文件的底层操作。在对某个文件进行关闭时,过滤驱动程序会捕捉到对该文件进行关闭的操作请求,因此,目标文件是指文件系统中被关闭的文件。对目标文件进行关闭的操作请求中可以包括文件的标识,该文件的标识用于表征文件的唯一性,用于区分文件。
在步骤702中,源文件上下文对象和目标文件上下文对象均是一个内核数据结构,上层程序打开一个文件时,会返回一个句柄,其实质该句柄对应的就是一个内核中的文件对象。该源文件上下文对象和目标文件上下文对象是预先初始化获得的,并且源文件上下文对象中包括多个源文件对应的源跟踪项,目标文件上下文对象中包括多个目标文件对应的目标跟踪项。应当说明的是,源跟踪项和目标跟踪项是文件系统对文件进行监控,当其有对文件进行操作时所生成的。并且,源跟踪项和目标跟踪项中包括了被操作文件的文件信息。文件信息可以包括文件打开时间、文件路径、文件名称以及与操作相关的信息。另外,跟踪项可以为目标跟踪项,也可以为源跟踪项,如果对一个文件以只读方式进行打开,则建立该文件对应的源跟踪项,如果对一个文件以写方式进行打开,则建立该文件对应的目标跟踪项。并且在后续对文件进行读操作,则对应更新源跟踪项中的内容,对文件进行写操作,则对应更新目标跟踪项中的内容。
在步骤703中,目标跟踪项中的源跟踪项记录链表可能为空,也可能不为空,如果为空,则说明该目标文件没有对应的源文件,因此,该目标文件不是压缩操作的目标文件;如果不为空,则说明在关闭目标文件之前有与目标文件相同线程的文件(源文件)以只读方式进行打开的操作。压缩文件一般有特定的文件格式,例如zip文件的前几个字节是50 4B03 04 1400;rar的前几字节是52 61 72 21 1A 07,其它格式也是如此,因此,可以判断该目标文件的格式是否为压缩包格式。
如果源跟踪项记录链表不为空,并且目标文件的格式为压缩文件格式,则可以确定该目标文件即为压缩操作的目标文件,此时可以根据目标文件对应的目标跟踪项中的内容构造对应的审计信息。审计信息中可以包括源文件的信息、目标文件的信息、压缩时间信息、压缩进程信息等。其中,源文件是指被压缩的文件,目标文件是指压缩完成后获得的压缩包文件。可以理解的是,审计信息中还可以包括其他信息,例如用户名等信息,具体的审计信息可以根据实际需要进行确定,本申请实施例对此不作具体限定。
本申请实施例通过根据压缩操作的通用流程,对文件的操作进行监测,并在监测到对文件进行关闭操作后,根据监测获得到文件的跟踪项确定对该文件的压缩操作,进而根据跟踪项获得审计信息,因此,对于各种审计工具来说,均可以采用上述审计方法进行审计,无需针对每种压缩工具设计对应的审计系统,从而降低了工作量,并且不会遗漏对新出现的压缩工具进行文件压缩的审计,进而提高了对压缩文件审计的准确性,保证了数据的安全。
应当说明的是,对于某些压缩工具来说,可能会先将一压缩的内容写入一个临时文件,因此,当监测到关闭目标文件的操作时,需要将该目标文件对应的目标跟踪项插入重命名跟踪项链表中。
(6)对于对目标文件进行重命名操作,如图8所示:
步骤801:根据操作请求获取所述目标文件对应的原始文件路径、原始文件名称、新文件路径和新文件名称;
步骤802:从所述重命名跟踪项链表中获取与所述原始文件路径和所述原始文件名称相同的目标跟踪项;
步骤803:将所述目标跟踪项的文件路径和文件名称替换为所述新文件路径和新文件名称。
步骤804:根据新获得的目标跟踪项构造审计信息,可以理解的是,审计信息包括目标文件的信息、源文件的信息、进程信息、时间信息等。目标文件可从目标跟踪项中提取出路径、文件名及文件大小等信息。源文件可从目标跟踪项的源跟踪项记录链表中提取出路径、文件名及文件大小等信息。进程信息可从目标跟踪项中提取出进程信息。时间可从目标跟踪项中提取出目标文件的打开时间和关闭时间,以此作为压缩操作的发生时间。
步骤805:将该目标跟踪项从重命名跟踪项链表中移出。
本申请实施例通过处理压缩工具在压缩完成后将目标文件重命名的情况,从而提高审计信息的精确性。
在上述实施例的基础上,该方法还包括定时处理过程,如图9所示:
步骤901:遍历所述重命名跟踪项链表中的目标跟踪项,判断所述目标跟踪项中的文件关闭时间与当前时间的时间间隔;
步骤902:若所述时间间隔超过预设时长,则确定对应的目标跟踪项为最终的目标跟踪项,并将所述目标跟踪项从所述重命名跟踪项链表中移出。
在具体的实施过程中,如果某个目标跟踪项的文件关闭时间与当前时间的时间间隔没有超出预设时长,则忽略,继续遍历下一个。如果超出预设时长,则认为该目标跟踪项为没有压缩后重命名的情况,可直接根据该目标跟踪项构造压缩操作的审计信息。在构造完成审计信息后,将该目标跟踪项从重命名跟踪项链表中移出。
本申请实施例通过在压缩完成后遍历重命名跟踪项链表中的目标跟踪项,将超过时间没有进行重命名的目标跟踪项作为最终的目标跟踪项,防止目标跟踪项长时间在重命名目标跟踪项链表中存储导致无法及时获得审计信息的情况发生。
为了更加清楚的描述本申请的审计方法,本申请实施例提供了在Windows平台上的一个实现,在Windows系统上,使用minifilter技术实现的文件系统过滤器,能够过滤到所有的底层文件操作。
Windows平台中,文件系统请求是通过传递IRP(IO请求包)实现的,IRP中的请求码用于区别不同的操作,在本实施例中,主要对以下请求进行过滤,按IRP的请求码分别有:
1、IRP_MJ_CREATE:文件的创建、打开请求;
2、IRP_MJ_READ:文件读取请求;
3、IRP_MJ_WRITE:文件写入请求;
4、IRP_MJ_SET_INFORMATION:文件设置请求,包括设置文件属性、文件长度、删除文件、重命名等操作,具体的操作类型可通过请求的参数获得,在本实施例中,主要关心重命名操作;
5、IRP_MJ_CLEANUP:文件关闭、清理请求。
一、参照通用步骤的说明,本申请实施例预定义了以下数据结构:
目标跟踪项;源跟踪项和文件上下文对象。
参考通用步骤的说明,本申请实施例在文件系统过滤器驱动初始化阶段,将定义并初始化以下的全局变量:
目标跟踪项链表;重命名跟踪项链表;定时器回调过程,每2秒钟调用一次。
二、参照通用步骤的说明,本申请实施例中的文件系统过滤程序在捕获到不同的IRP请求时,流程分别如下:
第一种:IRP_MJ_CREATE请求,根据请求中的参数,按如下的步骤处理:
A、如果操作目标是目录而不是文件,忽略后续步骤。
B、提取出文件的全路径名FullPathName;
C、判断这是一个对文件的写方式打开还是读方式打开,按情况分别有:
情况1:文件以新建或写入方式打开时:
A、建立目标跟踪项;
B、记录当前的进程和线程;
C、记录文件的路径,文件名称;
D、初始化写入数据的总长度为0;
E、初始化一个源跟踪项记录链表;
F、记录文件的打开时间;
G、将此跟踪项结构关联到目标文件对象的上下文中;
H、将此跟踪项插入到全局的目标跟踪项链表中。
情况2:文件以只读方式打开时:
A、建立源跟踪项;
B、记录当前的进程和线程;
C、记录文件的路径、文件名称。
D、记录文件的长度;
E、初始化读取数据的总长度为0;
F、将此跟踪项结构关联到源文件对象的上下文中。
第二种:IRP_MJ_WRITE请求:
A、从目标文件上下文对象中提取出对应的目标跟踪项;
B、将写入长度累加到目标跟踪项中的写入数据的总长度;
第三种:IRP_MJ_READ请求:
A、从源文件上下文对象中提取出对应的跟踪项;
B、判断上下文类型是否为源跟踪项,如果不是则忽略;
C、将读取长度累加到源跟踪项中的读出数据的总长度。
第四种:IRP_MJ_CLEANUP,文件关闭请求,处理步骤如下:A、从文件上下文对象中提取出对应的跟踪项;
B、根据上下文类型的不同,有以下两种情况:
B1、对于上下文关联的是源跟踪项的情况:
从文件上下文对象中提取出源跟踪项;
判断源跟踪项中读取数据的总长度是否大于等于文件长度,如果小于文件长度,说明这不是一个对源文件的完整读取,忽略后续步骤并释放此源跟踪项;否则执行后续步骤;
遍历全局的目标跟踪项链表,查找出当前线程最近的目标跟踪项。如果没有找到,说明这不是一个对源文件的读,忽略后续步骤并释放源跟踪项;否则执行后续步骤;
将源跟踪项插入到目标跟踪项中的源跟踪项记录链表。
B2、对于上下文关联的是目标跟踪项的情况:
从文件上下文对象中提取出目标跟踪项;
判断目标跟踪项中的源跟踪项链表是否为空,如果为空,则此文件不是压缩操作的目标文件,释放目标跟踪项;否则执行后续步骤;
判断目标跟踪项中的写入数据的总长度是否为0,如果为0,则此文件不是压缩操作的目标,释放此目标跟踪项,否则执行后续步骤;
可以读取文件的内容,进而判断写入的文件是否压缩包格式,如果不是,释放目标跟踪项,否则执行后续步骤。
记录关闭操作的时间。
将目标跟踪项从全局的目标跟踪项链表中移出,插入到全局的重命名跟踪项链表。
第五种:IRP_MJ_SET_INFORMATION请求:
A、判断是否为重命名操作,如果不是,则忽略此请求;若是,则执行后续步骤;
B、如果是重命名操作,将请求传递到文件系统,在成功返回后进行如下处理:
C、提取出重命名操作的原始文件路径和文件名,以及新的文件路径和文件名;
D、遍历全局的重命名跟踪项列表,查找与原始文件路径和文件名相同的目标跟踪项,如果没有找到,忽略后续操作;如果找到,则执行后续步骤;
E、将找到的目标跟踪项的文件路径和文件名替换为新的文件路径和文件名,并将其从重命名跟踪项链表中移出。
F、根据目标跟踪项构造压缩操作的审计信息,并释放跟踪项。
第六种:TimerProc处理步骤:
A、遍历重命名跟踪项链表,判断各个目标跟踪项中记录的文件关闭时间,如果距当前时间没有超过指定的间隔(例如1秒钟),则忽略,继续遍历;
B、如果超过间隔,则可认为没有压缩后重命名的情况,根据此目标跟踪项直接构造压缩操作的审计信息。
C、将目标跟踪项从重命名跟踪项链表中移出,释放跟踪项。
本申请实施例通过在文件系统层面分析上层应用程序的行为,实现了通用的文件压缩操作识别,在信息安全领域,尤其是主机安全审计、数据防泄露方面。
图10为本申请实施例提供的装置结构示意图,该装置可以是电子设备上的模块、程序段或代码。应理解,该装置与上述图2方法实施例对应,能够执行图2方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括:请求接收模块1001、跟踪项提取模块1002和审计模块1003,其中:
请求接收模块1001用于接收对目标文件进行关闭的操作请求;跟踪项提取模块1002用于根据所述操作请求从目标文件上下文对象中提取所述目标文件对应的目标跟踪项;其中,目标跟踪项中包括一个源跟踪项记录链表,用于记录被完全读取过的源文件对应的源跟踪项;源跟踪项和目标跟踪项包括对文件的各操作请求进行监测获得的文件信息;审计模块1003用于若目标跟踪项的源跟踪项记录链表不为空,且目标文件的格式是压缩文件格式,则确定目标文件是压缩操作的目标文件,根据目标跟踪项及其源跟踪项记录链表,构造审计信息,实现对压缩操作的审计。
在上述实施例的基础上,该装置还包括初始化模块,用于:
初始化全局数据结构,其中,所述全局数据结构包括目标跟踪项链表、重命名跟踪项链表和定时器。
在上述实施例的基础上,该装置还包括监测模块用于:
实时进行文件操作的监测,获得所述源文件和目标文件的操作请求;
根据所述操作请求执行相应的操作。
在上述实施例的基础上,所述操作请求为新建目标文件的请求或以写入方式打开目标文件的请求;监测模块具体用于:
建立所述目标文件对应的目标跟踪项;所述目标跟踪项包括所述目标文件的进程、线程、文件路径、文件名称、文件打开时间、初始写入数据长度和源跟踪项记录链表;
将所述目标跟踪项关联到所述目标文件上下文对象中,以及将所述目标跟踪项插入到所述目标跟踪项链表中。
在上述实施例的基础上,所述操作请求为以只读方式打开源文件的请求;监测模块具体用于:
建立所述源文件对应的源跟踪项,所述源跟踪项包括以只读方式打开的源文件的进程、线程、文件路径、文件名称、文件长度、初始读取数据长度;
将所述源跟踪项关联到源文件上下文对象中。
在上述实施例的基础上,所述操作请求为对目标文件的写操作请求;监测模块具体用于:
从所述目标文件上下文对象中获取所述目标文件对应的目标跟踪项;
在完成写入操作后,根据所述写入长度更新所述目标跟踪项中的写入数据长度。
在上述实施例的基础上,所述操作请求为对源文件进行读操作的请求;监测模块具体用于:
从源文件上下文对象中提取所述源文件对应的源跟踪项;
在完成读取操作后,根据所述读取长度更新所述源跟踪项中的读取数据长度。
在上述实施例的基础上,监测模块具体用于:
若所述源跟踪项中读取数据长度大于或等于所述源文件的长度,以及所述目标跟踪项链表中包括与所述源跟踪项的线程相同的目标跟踪项,则解除所述源跟踪项与所述源文件上下文对象的关联,并将所述源跟踪项添加到所述目标跟踪项的源跟踪项记录链表中。
在上述实施例的基础上,所述目标文件为临时文件,该装置还包括插入模块,用于:
将所述目标跟踪项插入到所述重命名跟踪项链表中。
在上述实施例的基础上,该装置还包括定时遍历模块,用于:
遍历所述重命名跟踪项链表中的目标跟踪项,判断所述目标跟踪项中的文件关闭时间与当前时间的时间间隔;
若所述时间间隔超过预设时长,则确定对应的目标跟踪项为最终的目标跟踪项,并将所述目标跟踪项从所述重命名跟踪项链表中移出。
在上述实施例的基础上,该装置还包括重命名模块,用于:
根据所述操作请求获取所述目标文件对应的原始文件路径、原始文件名称、新文件路径和新文件名称;
从所述重命名跟踪项链表中获取与所述原始文件路径和所述原始文件名称相同的目标跟踪项;
将所述目标跟踪项的文件路径和文件名称替换为所述新文件路径和新文件名称。
在上述实施例的基础上,所述审计信息包括源文件信息、目标文件信息、进程信息和操作时间;审计模块1003具体用于:
从所述目标跟踪项中提取所述目标文件信息、所述进程信息和所述操作时间;
从所述目标跟踪项的源跟踪项记录链表中提取所述源文件信息。
图11为本申请实施例提供的电子设备实体结构示意图,如图11所示,所述电子设备,包括:处理器(processor)1101、存储器(memory)1102和总线1103;其中,
所述处理器1101和存储器1102通过所述总线1103完成相互间的通信;
所述处理器1101用于调用所述存储器1102中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:接收对目标文件进行关闭的操作请求;根据所述操作请求从目标文件上下文对象中提取所述目标文件对应的目标跟踪项;其中,目标跟踪项中包括一个源跟踪项记录链表,用于记录被完全读取过的源文件对应的源跟踪项;源跟踪项和目标跟踪项包括对文件的各操作请求进行监测获得的文件信息;若目标跟踪项的源跟踪项记录链表不为空,且目标文件是压缩文件格式,则确定目标文件是压缩操作的目标文件,根据目标跟踪项及其源跟踪项记录链表,构造审计信息,实现对压缩操作的审计。
处理器1101可以是一种集成电路芯片,具有信号处理能力。上述处理器1101可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器1102可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:接收对目标文件进行关闭的操作请求;根据所述操作请求从目标文件上下文对象中提取所述目标文件对应的目标跟踪项;其中,目标跟踪项中包括一个源跟踪项记录链表,用于记录被完全读取过的源文件对应的源跟踪项;源跟踪项和目标跟踪项包括对文件的各操作请求进行监测获得的文件信息;若目标跟踪项的源跟踪项记录链表不为空,且目标文件是压缩文件格式,则确定目标文件是压缩操作的目标文件,根据目标跟踪项及其源跟踪项记录链表,构造审计信息,实现对压缩操作的审计。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:接收对目标文件进行关闭的操作请求;根据所述操作请求从目标文件上下文对象中提取所述目标文件对应的目标跟踪项;其中,目标跟踪项中包括一个源跟踪项记录链表,用于记录被完全读取过的源文件对应的源跟踪项;源跟踪项和目标跟踪项包括对文件的各操作请求进行监测获得的文件信息;若目标跟踪项的源跟踪项记录链表不为空,且目标文件是压缩文件格式,则确定目标文件是压缩操作的目标文件,根据目标跟踪项及其源跟踪项记录链表,构造审计信息,实现对压缩操作的审计。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (15)
1.一种文件压缩操作的审计方法,其特征在于,应用于文件系统,包括:
接收对目标文件进行关闭的操作请求;
根据所述操作请求从目标文件上下文对象中提取所述目标文件对应的目标跟踪项;其中,目标跟踪项中包括一个源跟踪项记录链表,用于记录被完全读取过的源文件对应的源跟踪项;源跟踪项和目标跟踪项包括对文件的各操作请求进行监测获得的文件信息;
若目标跟踪项的源跟踪项记录链表不为空,且目标文件的格式是压缩文件格式,则确定目标文件是压缩操作的目标文件,根据目标跟踪项及其源跟踪项记录链表,构造审计信息,实现对压缩操作的审计。
2.根据权利要求1所述的方法,其特征在于,在接收对目标文件进行关闭的操作请求之前,所述方法还包括:
初始化全局数据结构,其中,所述全局数据结构包括目标跟踪项链表、重命名跟踪项链表和定时器。
3.根据权利要求2所述的方法,其特征在于,在初始化全局数据结构之后,所述方法还包括:
实时进行文件操作的监测,获得所述源文件和目标文件的操作请求;
根据所述操作请求执行相应的操作。
4.根据权利要求3所述的方法,其特征在于,所述操作请求为新建目标文件的请求或以写入方式打开目标文件的请求;所述根据所述操作请求执行相应的操作,包括:
建立所述目标文件对应的目标跟踪项;所述目标跟踪项包括打开所述目标文件的进程、线程、文件路径、文件名称、文件打开时间、初始写入数据长度和源跟踪项记录链表;
将所述目标跟踪项关联到所述目标文件上下文对象中,以及将所述目标跟踪项插入到所述目标跟踪项链表中。
5.根据权利要求3所述的方法,其特征在于,所述操作请求为以只读方式打开源文件的请求;所述根据所述操作请求执行相应的操作,包括:
建立所述源文件对应的源跟踪项,所述源跟踪项包括以只读方式打开的源文件的进程、线程、文件路径、文件名称、文件长度、初始读取数据长度;
将所述源跟踪项关联到源文件上下文对象中。
6.根据权利要求3所述的方法,其特征在于,所述操作请求为对目标文件的写操作请求;所述根据所述操作请求执行相应的操作,包括:
从所述目标文件上下文对象中获取所述目标文件对应的目标跟踪项;
在完成写入操作后,根据写入长度更新所述目标跟踪项中的写入数据长度。
7.根据权利要求3所述的方法,其特征在于,所述操作请求为对源文件进行读操作的请求;所述根据所述操作请求执行相应的操作,包括:
从源文件上下文对象中提取所述源文件对应的源跟踪项;
在完成读取操作后,根据读取长度更新所述源跟踪项中的读取数据长度。
8.根据权利要求3所述的方法,其特征在于,在所述操作请求为对源文件进行关闭的请求时;所述根据所述操作请求执行相应的操作,包括:
若所述源跟踪项中读取数据长度大于或等于所述源文件的长度,以及所述目标跟踪项链表中包括与所述源跟踪项的线程相同的目标跟踪项,则解除所述源跟踪项与源文件上下文对象的关联,并将所述源跟踪项添加到所述目标跟踪项的源跟踪项记录链表中。
9.根据权利要求3所述的方法,其特征在于,所述目标文件为临时文件,在所述目标跟踪项中记录文件关闭时,所述方法还包括:
将所述目标跟踪项插入到所述重命名跟踪项链表中。
10.根据权利要求9所述的方法,其特征在于,在将所述目标跟踪项插入到所述重命名跟踪项链表中之后,所述方法还包括:
遍历所述重命名跟踪项链表中的目标跟踪项,判断所述目标跟踪项中的文件关闭时间与当前时间的时间间隔;
若所述时间间隔超过预设时长,则确定对应的目标跟踪项为最终的目标跟踪项,并将所述目标跟踪项从所述重命名跟踪项链表中移出。
11.根据权利要求9所述的方法,其特征在于,操作请求为对目标文件进行重命名的请求,所述方法还包括:
根据所述操作请求获取所述目标文件对应的原始文件路径、原始文件名称、新文件路径和新文件名称;
从所述重命名跟踪项链表中获取与所述原始文件路径和所述原始文件名称相同的目标跟踪项;
将所述目标跟踪项的文件路径和文件名称替换为所述新文件路径和新文件名称。
12.根据权利要求1-11任一项所述的方法,其特征在于,所述审计信息包括源文件信息、目标文件信息、进程信息和操作时间;所述根据所述目标跟踪项构造所述源文件和目标文件对应的审计信息,包括:
从所述目标跟踪项中提取所述目标文件信息、所述进程信息和所述操作时间;
从所述目标跟踪项的源跟踪项记录链表中提取所述源文件信息。
13.一种文件压缩操作的审计装置,其特征在于,包括:
请求接收模块,用于接收对目标文件进行关闭的操作请求;
跟踪项提取模块,用于根据所述操作请求从目标文件上下文对象中提取所述目标文件对应的目标跟踪项;其中,目标跟踪项中包括一个源跟踪项记录链表,用于记录被完全读取过的源文件对应的源跟踪项;源跟踪项和目标跟踪项包括对文件的各操作请求进行监测获得的文件信息审计模块,用于若目标跟踪项的源跟踪项记录链表不为空,且目标文件的格式是压缩文件格式,则确定目标文件是压缩操作的目标文件,根据目标跟踪项及其源跟踪项记录链表,构造审计信息,实现对压缩操作的审计。
14.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-12任一项所述的方法。
15.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令被计算机运行时,使所述计算机执行如权利要求1-12任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911424804.3A CN111159126B (zh) | 2019-12-31 | 2019-12-31 | 文件压缩操作的审计方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911424804.3A CN111159126B (zh) | 2019-12-31 | 2019-12-31 | 文件压缩操作的审计方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111159126A true CN111159126A (zh) | 2020-05-15 |
| CN111159126B CN111159126B (zh) | 2024-01-23 |
Family
ID=70560723
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911424804.3A Active CN111159126B (zh) | 2019-12-31 | 2019-12-31 | 文件压缩操作的审计方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111159126B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112364374A (zh) * | 2020-11-04 | 2021-02-12 | 沈阳通用软件有限公司 | Linux平台上文件复制、移动、压缩、解压操作识别方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102541986A (zh) * | 2011-10-27 | 2012-07-04 | 梁松 | 一种文件操作监控审计方法 |
| CN102609637A (zh) * | 2011-12-20 | 2012-07-25 | 北京友维科软件科技有限公司 | 数据泄露审计防护系统 |
| CN104778420A (zh) * | 2015-04-24 | 2015-07-15 | 广东电网有限责任公司信息中心 | 非结构化数据全生命周期的安全管理视图建立方法 |
| CN108021707A (zh) * | 2017-12-28 | 2018-05-11 | 北京天融信网络安全技术有限公司 | 文件复制操作的识别方法、设备及计算机可读存储介质 |
| CN108399118A (zh) * | 2018-03-20 | 2018-08-14 | 广东欧珀移动通信有限公司 | 文件系统测试数据处理方法、装置、存储介质及终端 |
| CN109815729A (zh) * | 2018-12-28 | 2019-05-28 | 北京奇安信科技有限公司 | 一种审计源文件的存储处理方法及装置 |
| CN110045981A (zh) * | 2018-01-14 | 2019-07-23 | 北京关键科技股份有限公司 | 一种基于源码比对分析技术建立需求追踪关系的方法 |
-
2019
- 2019-12-31 CN CN201911424804.3A patent/CN111159126B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102541986A (zh) * | 2011-10-27 | 2012-07-04 | 梁松 | 一种文件操作监控审计方法 |
| CN102609637A (zh) * | 2011-12-20 | 2012-07-25 | 北京友维科软件科技有限公司 | 数据泄露审计防护系统 |
| CN104778420A (zh) * | 2015-04-24 | 2015-07-15 | 广东电网有限责任公司信息中心 | 非结构化数据全生命周期的安全管理视图建立方法 |
| CN108021707A (zh) * | 2017-12-28 | 2018-05-11 | 北京天融信网络安全技术有限公司 | 文件复制操作的识别方法、设备及计算机可读存储介质 |
| CN110045981A (zh) * | 2018-01-14 | 2019-07-23 | 北京关键科技股份有限公司 | 一种基于源码比对分析技术建立需求追踪关系的方法 |
| CN108399118A (zh) * | 2018-03-20 | 2018-08-14 | 广东欧珀移动通信有限公司 | 文件系统测试数据处理方法、装置、存储介质及终端 |
| CN109815729A (zh) * | 2018-12-28 | 2019-05-28 | 北京奇安信科技有限公司 | 一种审计源文件的存储处理方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 张军丽: "Java中文件压缩的实现" * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112364374A (zh) * | 2020-11-04 | 2021-02-12 | 沈阳通用软件有限公司 | Linux平台上文件复制、移动、压缩、解压操作识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111159126B (zh) | 2024-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9251011B2 (en) | Backup of in-memory databases | |
| US9898386B2 (en) | Detecting byte ordering type errors in software code | |
| WO2019169760A1 (zh) | 测试用例范围确定方法、装置及存储介质 | |
| EP1967954A1 (en) | A method for deleting virus program and a method to get back the data destroyed by the virus. | |
| CN109241014B (zh) | 数据处理方法、装置和服务器 | |
| CN110737892B (zh) | 一种针对apc注入的检测方法和相关装置 | |
| CN103631712B (zh) | 一种基于内存管理的模式化软件关键行为跟踪方法 | |
| CN107357731A (zh) | 进程产生core dump问题的监控、分析和处理方法 | |
| CN107423090B (zh) | 一种Flash播放器异常日志管理方法及系统 | |
| CN114780370A (zh) | 基于日志的数据修正方法、装置、电子设备及存储介质 | |
| CN109992476B (zh) | 一种日志的分析方法、服务器及存储介质 | |
| CN109646947B (zh) | 游戏数据的存盘方法、装置、设备和存储介质 | |
| KR101308866B1 (ko) | 공개형 악성코드 관리 및 분석 시스템 | |
| CN113569234B (zh) | 一种用于安卓攻击场景重建的可视化取证系统及实现方法 | |
| CN111159126A (zh) | 文件压缩操作的审计方法、装置、电子设备及存储介质 | |
| CN114253587A (zh) | 应用程序更新方法、装置、电子设备及可读存储介质 | |
| CN111858550B (zh) | 一种固件系统特征数据库的构建及更新方法 | |
| CN109388617A (zh) | 一种文件时间戳可信度的判定方法及装置 | |
| KR102256894B1 (ko) | 크래시 리포트 그룹핑 방법, 서버 및 컴퓨터 프로그램 | |
| CN109992475B (zh) | 一种日志的处理方法、服务器及存储介质 | |
| CN109614443B (zh) | 针对v9.7版本db2数据库的ddl同步方法及设备 | |
| US11513884B2 (en) | Information processing apparatus, control method, and program for flexibly managing event history | |
| CN112416772A (zh) | 一种测试用例补全方法、装置、电子设备和可读存储介质 | |
| CN112685253A (zh) | 前端报错日志采集方法、装置、设备及存储介质 | |
| KR102276345B1 (ko) | 컴퓨터 내 행위 이벤트 축약 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |