CN111209256A - 一种文件监控方法、装置、电子设备及存储介质 - Google Patents
一种文件监控方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111209256A CN111209256A CN202010015415.1A CN202010015415A CN111209256A CN 111209256 A CN111209256 A CN 111209256A CN 202010015415 A CN202010015415 A CN 202010015415A CN 111209256 A CN111209256 A CN 111209256A
- Authority
- CN
- China
- Prior art keywords
- file
- node
- path information
- target
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1734—Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
- G06F16/148—File search processing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Library & Information Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开了一种文件监控方法,所述文件监控方法包括通过解析更新序列号码日志查询目标磁盘的文件路径信息,并将所述文件路径信息添加至内存映射文件;根据所述内存映射文件中存储的文件路径信息执行路径还原操作,得到目标文件的文件全路径信息;其中,所述目标文件为符合目标规则的文件;将所述文件全路径信息传输至审计设备。本申请能够降低文件监控过程中对于硬件资源的消耗,提高文件监控效率。本申请还公开了一种文件监控装置、一种电子设备及一种存储介质,具有以上有益效果。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种文件监控方法、装置、一种电子设备及一种存储介质。
背景技术
信息安全已经成为计算机技术的关键,目前很多公司通过审计设备对同一局域网内的计算机进行文件监控,以便检测出异常文件。相关技术中,往往需要计算机遍历磁盘内部的全部文件,并将遍历结果发送至审计设备进行检测。但是上述遍历磁盘的实现文件监控的方案需要占用过多的硬件资源,且效率较低。
因此,如何降低文件监控过程中对于硬件资源的消耗,提高文件监控效率是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种文件监控方法、装置、一种电子设备及一种存储介质,能够降低文件监控过程中对于硬件资源的消耗,提高文件监控效率。
为解决上述技术问题,本申请提供一种文件监控方法,该文件监控方法包括:
通过解析更新序列号码日志查询目标磁盘的文件路径信息,并将所述文件路径信息添加至内存映射文件;
根据所述内存映射文件中存储的文件路径信息执行路径还原操作,得到目标文件的文件全路径信息;其中,所述目标文件为符合目标规则的文件;
将所述文件全路径信息传输至审计设备。
可选的,所述通过解析更新序列号码日志查询目标磁盘的文件路径信息包括:
解析所述更新序列号码日志得到更新序列号码节点;
判断所述更新序列号码节点是目录节点还是文件节点;
若更新序列号码节点为所述目录节点,则将所述目录节点的父节点标识、所述目录节点的节点标识和所述目录节点的目录名称作为所述文件路径信息;
若更新序列号码节点为所述文件节点,则判断所述文件节点是否符合所述目标规则;若符合,则将所述文件节点的父节点标识、所述文件节点的节点标识和所述文件节点对应的文件名称作为所述文件路径信息。
可选的,所述目标规则包括文件格式规则、文件大小规则、文件名称规则中的任一项或任几项的组合。
可选的,还包括:
利用内存中的哈希表记录所述目录节点的节点标识、所述目录节点在所述内存映射文件中的地址偏移量、所述文件节点的节点标识和所述文件节点在所述内存映射文件中的地址偏移量。
可选的,根据所述内存映射文件中存储的文件路径信息执行路径还原操作,得到目标文件的文件全路径信息包括:
根据所述文件节点的节点标识在所述哈希表中查询所述文件节点的偏移地址,根据所述文件节点的偏移地址对所述文件路径信息递归执行反序列化操作,得到所述目标文件的文件全路径信息。
可选的,还包括:
加载通讯插件,并利用所述通讯插件获取所述审计设备中存储的所述目标规则;
相应的,将所述文件全路径信息传输至审计设备包括:
利用所述通讯插件将所述文件全路径信息传输至审计设备。
可选的,还包括:
利用应用程序编程接口注册回调函数,并利用所述回调函数查询文件操作对应的待检测文件;其中,所述文件操作包括数据添加操作、数据删除操作或数据修改操作;
判断所述待检测文件是否符合所述目标规则;
若是,则将所述待检测文件的父节点标识和所述待检测文件的名称添加至所述内存映射文件。
本申请还提供了一种文件监控装置,该文件监控装置包括:
映射文件写入模块,用于通过解析更新序列号码日志查询目标磁盘的文件路径信息,并将所述文件路径信息添加至内存映射文件;
路径还原模块,用于根据所述内存映射文件中存储的文件路径信息执行路径还原操作,得到目标文件的文件全路径信息;其中,所述目标文件为符合目标规则的文件;
信息传输模块,用于将所述文件全路径信息传输至审计设备。
本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述文件监控方法执行的步骤。
本申请还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述文件监控方法执行的步骤。
本申请提供了一种文件监控方法,包括通过解析更新序列号码日志查询目标磁盘的文件路径信息,并将所述文件路径信息添加至内存映射文件;根据所述内存映射文件中存储的文件路径信息执行路径还原操作,得到目标文件的文件全路径信息;其中,所述目标文件为符合目标规则的文件;将所述文件全路径信息传输至审计设备。
本申请通过解析更新序列号码日志得到目标磁盘中各个文件的路径信息,更新序列号码日志用于维护一个对卷已做更改的记录,因此通过解析更新序列号码日志即可快速确定目标磁盘的文件路径信息。在解析更新序列号码日志的过程中,可以将文件路径信息添加至内存映射文件,然后根据所有的文件路径信息执行路径还原操作得到目标文件的文件全路径信息,进而将目标文件的文件全路径信息上传输至审计设备。由于上述过程无需遍历目标磁盘中的所有文件,也无需向审计设备传输所有文件的文件全路径信息,因此本申请能够降低文件监控过程中对于硬件资源的消耗,提高文件监控效率。本申请同时还提供了一种文件监控装置、一种电子设备和一种存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种文件监控系统的结构示意图;
图2为本申请实施例所提供的一种文件监控方法的流程图;
图3为本申请实施例所提供的一种查询文件路径信息的方法的流程图;
图4为本申请实施例所提供的一种更新内存映射文件的方法的流程图;
图5为本申请实施例所提供的一种全盘文件监控方法的原理示意图;
图6为本申请实施例所提供的一种文件监控装置的结构示意图;
图7为本申请实施例所提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了便于理解本申请的文件监控方法,下面对于本申请的文件监控方法所适用的应用场景进行介绍。参见图1,图1为本申请实施例所提供的一种文件监控系统的结构示意图。
如图1所示,本申请实施例提供的文件监控系统包括审计设备A和多个计算机B1、B2、B3、…、Bn。审计设备A可以包括上网行为管理设备、交换机、防火墙或等保一体机。审计设备A可以分别向各计算机发送过滤规则,各个计算机根据过滤规则确定自身磁盘中符合过滤规则的目标文件,并将目标文件的文件全路径发送至审计设备A,以便审计设备A根据接收到的文件全路径执行审计操作。
下面请参见图2,图2为本申请实施例所提供的一种文件监控方法的流程图。
具体步骤可以包括:
S101:通过解析更新序列号码日志查询目标磁盘的文件路径信息,并将文件路径信息添加至内存映射文件。
其中,本实施例可以应用于与审计设备连接的计算机,在本步骤之前可以存在获取更新序列号码日志的操作,更新序列号码日志即USN日志(Update Sequence NumberJournal),更新序列号码日志又称更改日志(Change Journal),用于维护一个对卷已做更改的记录。更新序列号码日志为NTFS(New Technology File System,新技术文件系统)下的日志文件,NTFS是Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS可以提供长文件名、数据保护和恢复,能通过目录和文件许可实现安全性,并支持跨越分区。
可以理解的是,每一磁盘都可以存在其对应的更新序列号码日志,在本步骤之前可以存在接收文件监控指令的操作,根据文件监控指令确定目标磁盘,进而通过解析更新序列号码日志查询目标磁盘的文件路径信息。具体的,文件路径信息指描述文件存储路径的信息,根据文件路径信息可以确定某一文件的父节点标识和子节点名称。
在得到文件路径信息之后,本实施例将文件路径信息添加至内存映射文件中。可以理解的是,在解析更新序列号码日志的过程中可以先后得到多个文件路径信息,因此在得到新的文件路径信息时即可将其添加至内存映射文件,当然,本实施例也可以在得到更新序列号码日志对应的全部文件路径信息后,再将全部的文件路径信息统一写入内存映射文件。当本实施例的执行主体为Windows系统的计算机时,内存映射文件可以具体为Windows内存映射文件,用于记录文件到内存的映射。Windows系统提供了允许应用程序把文件映射到一个进程的函数(CreateFileMapping)。内存映射文件与虚拟内存有些类似,通过内存映射文件可以保留一个地址空间的区域,同时将物理存储器提交给此区域,内存文件映射的物理存储器来自一个已经存在于磁盘上的文件,而且在对该文件进行操作之前必须首先对文件进行映射。使用内存映射文件处理存储于磁盘上的文件时,将不必再对文件执行I/O操作,使得内存映射文件在处理大数据量的文件时能起到相当重要的作用。
S102:根据内存映射文件中存储的文件路径信息执行路径还原操作,得到目标文件的文件全路径信息。
其中,在本步骤之前还可以存在判断更新序列号码日志是否解析完毕的操作,若解析完毕则进入S102对应的工作流程,若未解析完毕则在延时一段时间后重新判断更新序列号码日志是否解析完毕。在更新序列号码日志解析完毕之后,本实施例根据内存映射文件中存储的文件路径信息执行路径还原操作得到目标文件的文件全路径信息。目标文件为符合目标规则的文件,目标规则为审计设备设置的文件过滤规则。作为一种可行的实施方式,S101查询文件路径信息时,可以查询目标文件的文件路径信息,以便在S102中执行路径还原操作得到目标文件的文件全路径信息。当然,在S101查询文件路径信息时,可以查询所有文件的文件路径信息,在S102中执行路径还原操作时只对目标文件执行路径还原操作,也可以得到所有文件的文件全路径信息后筛选出目标文件的文件全路径信息。文件全路径信息为文件的绝对路径信息,即从盘符开始的路径。可以根据文件全路径信息确定目标文件在目标磁盘中的位置,以便实现文件监控。
S103:将文件全路径信息传输至审计设备。
其中,在得到目标文件的文件全路径信息的基础上,可以将文件全路径信息传输至审计设备的数据库中,以便审计设备基于接收的文件全路径信息对目标文件的增加数据、删除数据、修改数据等操作进行审计。当审计设备检测到用户对于目标文件的异常操作时,可以执行相应的处理操作,例如将用户添加至黑名单、切断用户使用电脑的网络连接等。
本实施例通过解析更新序列号码日志得到目标磁盘中各个文件的路径信息,更新序列号码日志用于维护一个对卷已做更改的记录,因此通过解析更新序列号码日志即可快速确定目标磁盘的文件路径信息。在解析更新序列号码日志的过程中,可以将文件路径信息添加至内存映射文件,然后根据所有的文件路径信息执行路径还原操作得到目标文件的文件全路径信息,进而将目标文件的文件全路径信息上传输至审计设备。由于上述过程无需遍历目标磁盘中的所有文件,也无需向审计设备传输所有文件的文件全路径信息,因此本实施例能够降低文件监控过程中对于硬件资源的消耗,提高文件监控效率。
作为对于上述实施例的进一步补充,在S101解析更新序列号码日志之前,还可以存在加载通讯插件的操作,以便利用所述通讯插件获取所述审计设备中规则文件存储的所述目标规则,进一步的,上述实施例还可以利用所述通讯插件将所述文件全路径信息传输至审计设备。
请参见图3,图3为本申请实施例所提供的一种查询文件路径信息的方法的流程图,本实施例是对图2对应实施例中S101的进一步介绍,可以将本实施例与图2对应的实施例相结合得到更为优选的实施方式,本实施例可以包括以下步骤:
S201:解析更新序列号码日志得到更新序列号码节点。
S202:判断更新序列号码节点是目录节点还是文件节点;若更新序列号码节点为目录节点,则进入S203;若更新序列号码节点为文件节点,则进入S204。
其中,解析更新序列号码日志可以得到多个更新序列号码节点(即USN节点),更新序列号码节点中可以包括文件节点和目录节点,本实施例需要对目标文件进行筛选,因此当更新序列号码节点为文件节点时可以执行S204的判断操作;由于目录节点下可以包括文件节点因此当更新序列号码节点为文件节点时可以直接记录目录节点的父节点标识和目录节点的名称。文件在磁盘中的路径以树状结构的形式存在,本实施例将目标磁盘中的某一个文件作为路径树状结构中的文件节点,将目录作为路径树状结构中的目录节点。
S203:将所述目录节点的父节点标识、所述目录节点的节点标识和所述目录节点的目录名称作为所述文件路径信息。
其中,节点标识即节点ID(Identity document),节点标识用于描述节点在目标磁盘中的物理地址。
S204:判断文件节点是否符合目标规则;若符合,则进入S205;若不符合,则结束流程。
其中,本步骤中提到的目标规则可以包括文件格式规则、文件大小规则、文件名称规则中的任一项或任几项的组合。文件格式规则指,当文件格式为目标格式时判定该文件为目标文件;文件大小规则指,当文件大小在特定阈值时判定该文件为目标文件;文件名称规则指,当文件名称中包括特定字符或名称符合一定命名规则时判定该文件为目标文件。
S205:将所述文件节点的父节点标识、所述文件节点的节点标识和所述文件节点对应的文件名称作为所述文件路径信息。
本实施例先对每个节点判断是否是目录节点,如果是目录直接记录至内存映射文件,如果是文件就先用目标规则中的后缀名做匹配,符合目标规则的记录至内存映射文件。本实施例通过解析更新序列号码日志得到更新序列号码节点,根据更新序列号码节点的类别判定是否需要基于目标规则执行过滤操作。进一步的,本实施例还可以利用内存中的哈希表记录所述目录节点的节点标识、所述目录节点在所述内存映射文件中的地址偏移量、所述文件节点的节点标识和所述文件节点在所述内存映射文件中的地址偏移量,以便在执行路径还原操作时利用哈希表中记录的信息得到目标文件的全路径信息。上述方式将解析后需要存储的更新序列号码节点序列化后存储到内存映射文件,内存中使用哈希表记录每个节点的节点标识和它在内存映射文件中的偏移,这样可以降低对于内存的占用。
作为一种可行的实施方式,可以根据所述文件节点的节点标识在所述哈希表(即hashmap)中查询所述文件节点的偏移地址,根据所述文件节点的偏移地址对所述文件路径信息递归执行反序列化操作,得到所述目标文件的文件全路径信息。
更新序列号码日志解析后的节点集是一个树形结构,本实施例可以根据每个节点的当前节点的节点标识和父节点标识(即父节点ID)来还原文件的全路径。还原过程为,通过文件节点名称在哈希表中找到文件节点的内存映射文件偏移,然后根据内存映射文件的偏移地址反序列化文件节点,读取当前节点的名称以及父节点标识,再用父节点标识在哈希表中查询父节点的内存映射文件偏移,再根据内存映射文件的偏移地址反序列化父节点,按照这样递归操作后,直到根节点,就还原出了一个目标文件的文件全路径。
请参见图4,图4为本申请实施例所提供的一种更新内存映射文件的方法的流程图,本实施例提供了一种实时监控目标文件的方案,可以将图2对应实施例与本实施例相结合得到更为优选的实施方式,本实施例可以包括以下步骤:
S301:利用应用程序编程接口注册回调函数,并利用回调函数查询文件操作对应的待检测文件;
其中,所述文件操作包括数据添加操作、数据删除操作或数据修改操作;
S302:判断待检测文件是否符合所述目标规则;
S303:若是,则将待检测文件的父节点标识和所述待检测文件的名称添加至所述内存映射文件。
上述实施例可以利用应用程序编程接口(API,Application ProgrammingInterface)函数来注册回调函数,来监控目标磁盘上所有文件的增删改操作,在回调过程中利用配置的目标规则来过滤出审计设备需要审计文件。
下面通过在实际应用中的实施例说明上述实施例描述的流程。请参见图5,图5为本申请实施例所提供的一种全盘文件监控方法的原理示意图。在文件监控主进程启动后,可以加载通信插件建立于审计设备的通信连接,利用通信插件获取审计设备中规则文件中记录的目标规则。当启动文件监控操作时,先初始化内存映射文件,然后执行全盘扫描操作。当未启动文件监控操作时,可以结束流程。在全盘扫描操作的过程中通过解析更新序列号码日志的方式,来找出所有符合目标规则的目标文件的全路径并记录至内存映射文件。当目标规则不变时全盘扫描只需进行一次,之后即可通过实时监控来根据目标规则更新监控磁盘中符合目标规则的文件,降低系统资源占用。全盘扫描时可以存储每个节点的名字、当前节点的标识,一个标识父节点的标识,用于扫描完成后的路径还原。在全盘扫描完成后,可以通过读取内存映射文件执行路径还原操作得到文件全路径信息。基于目标规则判断文件全路径信息是否包括目标文件的文件全路径信息,若包括则将目标文件的文件全路径信息传输至审计设备的数据库。在全盘扫描和实时扫描的过程中,本实施例还可以使用动态监控扫描线程CPU(Central Processing Unit,中央处理器)使用率,来控制扫描速度,从而控制文件监控主进程对CUP的占用。上述实施例通过全盘扫描找出符合规则的所有目标文件并记录,实时监控全盘符合规则的目标文件的增删改操作,在此过程中可以降低文件监控主进程对CPU和内存的使用率.
请参见图6,图6为本申请实施例所提供的一种文件监控装置的结构示意图;
该装置可以包括:
映射文件写入模块100,用于通过解析更新序列号码日志查询目标磁盘的文件路径信息,并将所述文件路径信息添加至内存映射文件;
路径还原模块200,用于根据所述内存映射文件中存储的文件路径信息执行路径还原操作,得到目标文件的文件全路径信息;其中,所述目标文件为符合目标规则的文件;
信息传输模块300,用于将所述文件全路径信息传输至审计设备。
本实施例通过解析更新序列号码日志得到目标磁盘中各个文件的路径信息,更新序列号码日志用于维护一个对卷已做更改的记录,因此通过解析更新序列号码日志即可快速确定目标磁盘的文件路径信息。在解析更新序列号码日志的过程中,可以将文件路径信息添加至内存映射文件,然后根据所有的文件路径信息执行路径还原操作得到目标文件的文件全路径信息,进而将目标文件的文件全路径信息上传输至审计设备。由于上述过程无需遍历目标磁盘中的所有文件,也无需向审计设备传输所有文件的文件全路径信息,因此本实施例能够降低文件监控过程中对于硬件资源的消耗,提高文件监控效率。
进一步的,映射文件写入模块100包括:
日志解析单元,用于解析所述更新序列号码日志得到更新序列号码节点;
节点判断单元,用于判断所述更新序列号码节点是目录节点还是文件节点;若更新序列号码节点为所述目录节点,则将所述目录节点的父节点标识、所述目录节点的节点标识和所述目录节点的目录名称作为所述文件路径信息;若更新序列号码节点为所述文件节点,则判断所述文件节点是否符合所述目标规则;若符合,则将所述文件节点的父节点标识、所述文件节点的节点标识和所述文件节点对应的文件名称作为所述文件路径信息;
信息写入单元,用于将所述文件路径信息添加至内存映射文件。
进一步的,所述目标规则包括文件格式规则、文件大小规则、文件名称规则中的任一项或任几项的组合。
进一步的,还包括:
偏移记录模块,用于利用内存中的哈希表记录所述目录节点的节点标识、所述目录节点在所述内存映射文件中的地址偏移量、所述文件节点的节点标识和所述文件节点在所述内存映射文件中的地址偏移量。
进一步的,路径还原模块200用于根据所述文件节点的节点标识在所述哈希表中查询所述文件节点的偏移地址,根据所述文件节点的偏移地址对所述文件路径信息递归执行反序列化操作,得到所述目标文件的文件全路径信息。
进一步的,还包括:
通信模块,用于加载通讯插件,并利用所述通讯插件获取所述审计设备中存储的所述目标规则;
进一步的,
所述信息传输模块300,用于利用所述通讯插件将所述文件全路径信息传输至审计设备。
进一步的,还包括:
文件检测模块,用于利用应用程序编程接口注册回调函数,并利用所述回调函数查询文件操作对应的待检测文件;其中,所述文件操作包括数据添加操作、数据删除操作或数据修改操作;
实时监控模块,用于判断所述待检测文件是否符合所述目标规则;若是,则将所述待检测文件的父节点标识和所述待检测文件的名称添加至所述内存映射文件。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种电子设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然所述电子设备还可以包括各种网络接口,电源等组件。请参见图7,图7为本申请实施例所提供的一种电子设备的结构示意图,本实施例的电子设备可以包括:处理器2101和存储器2102。
可选的,该电子设备还可以包括通信接口2103、输入单元2104和显示器2105和通信总线2106。
处理器2101、存储器2102、通信接口2103、输入单元2104、显示器2105、均通过通信总线2106完成相互间的通信。
在本申请实施例中,该处理器2101,可以为中央处理器(Central ProcessingUnit,CPU),特定应用集成电路,数字信号处理器、现成可编程门阵列或者其他可编程逻辑器件等。
该处理器可以调用存储器2102中存储的程序。具体的,处理器可以执行以下文件监控方法的实施例中电子设备侧所执行的操作。
存储器2102中用于存放一个或者一个以上程序,程序可以包括程序代码,所述程序代码包括计算机操作指令,在本申请实施例中,该存储器中至少存储有用于实现以下功能的程序:
通过解析更新序列号码日志查询目标磁盘的文件路径信息,并将所述文件路径信息添加至内存映射文件;
根据所述内存映射文件中存储的文件路径信息执行路径还原操作,得到目标文件的文件全路径信息;其中,所述目标文件为符合目标规则的文件;
将所述文件全路径信息传输至审计设备。
在一种可能的实现方式中,该存储器2102可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、以及至少一个功能(比如话题检测功能等)所需的应用程序等;存储数据区可存储根据计算机的使用过程中所创建的数据。
此外,存储器2102可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
该通信接口2103可以为通信模块的接口,如GSM模块的接口。
本申请还可以包括显示器2105和输入单元2104等等。
图7所示的电子设备的结构并不构成对本申请实施例中电子设备的限定,在实际应用中电子设备可以包括比图7所示的更多或更少的部件,或者组合某些部件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种文件监控方法,其特征在于,包括:
通过解析更新序列号码日志查询目标磁盘的文件路径信息,并将所述文件路径信息添加至内存映射文件;
根据所述内存映射文件中存储的文件路径信息执行路径还原操作,得到目标文件的文件全路径信息;其中,所述目标文件为符合目标规则的文件;
将所述文件全路径信息传输至审计设备。
2.根据权利要求1所述文件监控方法,其特征在于,所述通过解析更新序列号码日志查询目标磁盘的文件路径信息包括:
解析所述更新序列号码日志得到更新序列号码节点;
判断所述更新序列号码节点是目录节点还是文件节点;
若更新序列号码节点为所述目录节点,则将所述目录节点的父节点标识、所述目录节点的节点标识和所述目录节点的目录名称作为所述文件路径信息;
若更新序列号码节点为所述文件节点,则判断所述文件节点是否符合所述目标规则;若符合,则将所述文件节点的父节点标识、所述文件节点的节点标识和所述文件节点对应的文件名称作为所述文件路径信息。
3.根据权利要求2所述文件监控方法,其特征在于,所述目标规则包括文件格式规则、文件大小规则、文件名称规则中的任一项或任几项的组合。
4.根据权利要求2所述文件监控方法,其特征在于,还包括:
利用内存中的哈希表记录所述目录节点的节点标识、所述目录节点在所述内存映射文件中的地址偏移量、所述文件节点的节点标识和所述文件节点在所述内存映射文件中的地址偏移量。
5.根据权利要求4所述文件监控方法,其特征在于,根据所述内存映射文件中存储的文件路径信息执行路径还原操作,得到目标文件的文件全路径信息包括:
根据所述文件节点的节点标识在所述哈希表中查询所述文件节点的偏移地址,根据所述文件节点的偏移地址对所述文件路径信息递归执行反序列化操作,得到所述目标文件的文件全路径信息。
6.根据权利要求1所述文件监控方法,其特征在于,还包括:
加载通讯插件,并利用所述通讯插件获取所述审计设备中存储的所述目标规则;
相应的,将所述文件全路径信息传输至审计设备包括:
利用所述通讯插件将所述文件全路径信息传输至审计设备。
7.根据权利要求1至6任一项所述文件监控方法,其特征在于,还包括:
利用应用程序编程接口注册回调函数,并利用所述回调函数查询文件操作对应的待检测文件;其中,所述文件操作包括数据添加操作、数据删除操作或数据修改操作;
判断所述待检测文件是否符合所述目标规则;
若是,则将所述待检测文件的父节点标识和所述待检测文件的名称添加至所述内存映射文件。
8.一种文件监控装置,其特征在于,包括:
映射文件写入模块,用于通过解析更新序列号码日志查询目标磁盘的文件路径信息,并将所述文件路径信息添加至内存映射文件;
路径还原模块,用于根据所述内存映射文件中存储的文件路径信息执行路径还原操作,得到目标文件的文件全路径信息;其中,所述目标文件为符合目标规则的文件;
信息传输模块,用于将所述文件全路径信息传输至审计设备。
9.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1至7任一项所述文件监控方法的步骤。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上权利要求1至7任一项所述文件监控方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010015415.1A CN111209256A (zh) | 2020-01-07 | 2020-01-07 | 一种文件监控方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010015415.1A CN111209256A (zh) | 2020-01-07 | 2020-01-07 | 一种文件监控方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111209256A true CN111209256A (zh) | 2020-05-29 |
Family
ID=70786583
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010015415.1A Pending CN111209256A (zh) | 2020-01-07 | 2020-01-07 | 一种文件监控方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111209256A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111813627A (zh) * | 2020-07-06 | 2020-10-23 | 深信服科技股份有限公司 | 应用审计方法、装置、终端、系统及可读存储介质 |
| CN112328678A (zh) * | 2020-09-29 | 2021-02-05 | 深圳开源互联网安全技术有限公司 | 文档数据的处理方法、装置、电子设备及存储介质 |
| CN114553931A (zh) * | 2022-02-23 | 2022-05-27 | 广州小鹏汽车科技有限公司 | 车辆共享存储空间的处理方法、设备、车辆及系统 |
| CN114817156A (zh) * | 2022-06-27 | 2022-07-29 | 北京网藤科技有限公司 | 一种通过文件路径分组进行特征值匹配检索的方法及系统 |
| CN115309702A (zh) * | 2022-10-09 | 2022-11-08 | 中孚信息股份有限公司 | 基于usn日志的文件检索管理方法、装置、系统、设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015018164A1 (zh) * | 2013-08-08 | 2015-02-12 | 中国科学院计算机网络信息中心 | 一种从异构企业信息系统中主动获取数据的方法 |
| CN105279278A (zh) * | 2015-11-13 | 2016-01-27 | 珠海市君天电子科技有限公司 | 文件的搜索方法及装置 |
| CN106502745A (zh) * | 2016-10-26 | 2017-03-15 | 腾讯科技(深圳)有限公司 | 一种函数调用方法和装置 |
| US20170324759A1 (en) * | 2016-05-09 | 2017-11-09 | Accenture Global Solutions Limited | Network sampling based path decomposition and anomaly detection |
| CN108153790A (zh) * | 2016-12-06 | 2018-06-12 | 杭州亿方云网络科技有限公司 | 一种本地文件监控方法及装置 |
-
2020
- 2020-01-07 CN CN202010015415.1A patent/CN111209256A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015018164A1 (zh) * | 2013-08-08 | 2015-02-12 | 中国科学院计算机网络信息中心 | 一种从异构企业信息系统中主动获取数据的方法 |
| CN105279278A (zh) * | 2015-11-13 | 2016-01-27 | 珠海市君天电子科技有限公司 | 文件的搜索方法及装置 |
| US20170324759A1 (en) * | 2016-05-09 | 2017-11-09 | Accenture Global Solutions Limited | Network sampling based path decomposition and anomaly detection |
| CN106502745A (zh) * | 2016-10-26 | 2017-03-15 | 腾讯科技(深圳)有限公司 | 一种函数调用方法和装置 |
| CN108153790A (zh) * | 2016-12-06 | 2018-06-12 | 杭州亿方云网络科技有限公司 | 一种本地文件监控方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111813627A (zh) * | 2020-07-06 | 2020-10-23 | 深信服科技股份有限公司 | 应用审计方法、装置、终端、系统及可读存储介质 |
| CN112328678A (zh) * | 2020-09-29 | 2021-02-05 | 深圳开源互联网安全技术有限公司 | 文档数据的处理方法、装置、电子设备及存储介质 |
| CN112328678B (zh) * | 2020-09-29 | 2021-08-20 | 深圳开源互联网安全技术有限公司 | 文档数据的处理方法、装置、电子设备及存储介质 |
| CN114553931A (zh) * | 2022-02-23 | 2022-05-27 | 广州小鹏汽车科技有限公司 | 车辆共享存储空间的处理方法、设备、车辆及系统 |
| CN114553931B (zh) * | 2022-02-23 | 2024-03-08 | 广州小鹏汽车科技有限公司 | 车辆共享存储空间的处理方法、设备、车辆及系统 |
| CN114817156A (zh) * | 2022-06-27 | 2022-07-29 | 北京网藤科技有限公司 | 一种通过文件路径分组进行特征值匹配检索的方法及系统 |
| CN115309702A (zh) * | 2022-10-09 | 2022-11-08 | 中孚信息股份有限公司 | 基于usn日志的文件检索管理方法、装置、系统、设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111209256A (zh) | 一种文件监控方法、装置、电子设备及存储介质 | |
| WO2019227689A1 (zh) | 数据监控方法、装置、计算机设备及存储介质 | |
| CN110209652B (zh) | 数据表迁移方法、装置、计算机设备和存储介质 | |
| CN107844274B (zh) | 基于超融合存储系统的硬件资源管理方法、装置及终端 | |
| CN111198976B (zh) | 云上资产关联分析系统、方法、电子设备及介质 | |
| RU2348062C2 (ru) | Способ и устройство для динамического связывания/динамического разрешения путевых имен | |
| CN111488594A (zh) | 一种基于云服务器的权限检查方法、装置、存储介质及终端 | |
| CN115114232A (zh) | 一种历史版本对象列举方法、装置及其介质 | |
| CN114510930B (zh) | 一种操作文档审计的方法、装置、电子设备及介质 | |
| CN111090623B (zh) | 一种数据审计方法、装置、电子设备及存储介质 | |
| CN106156050B (zh) | 一种数据处理方法及装置 | |
| CN111176901B (zh) | 一种hdfs删除文件恢复方法、终端设备及存储介质 | |
| CN110457279B (zh) | 数据离线扫描方法、装置、服务器及可读存储介质 | |
| CN112084199A (zh) | 一种基于场景的通用参数维护方法及装置 | |
| CN112000971A (zh) | 一种文件权限记录方法、系统及相关装置 | |
| CN109697234B (zh) | 实体的多属性信息查询方法、装置、服务器和介质 | |
| CN114461762A (zh) | 档案变更识别方法、装置、设备及存储介质 | |
| CN110727565A (zh) | 一种网络设备平台信息收集方法及系统 | |
| CN110333883B (zh) | 一种更新持久化数据的方法及装置 | |
| CN114936368A (zh) | 一种Java内存木马检测方法、终端设备及存储介质 | |
| CN112650713A (zh) | 文件系统的运行方法、装置、设备和存储介质 | |
| CN113342270A (zh) | 卷卸载方法、装置和电子设备 | |
| CN113132241A (zh) | Acl模板动态配置方法及装置 | |
| CN113326004B (zh) | 云计算环境下高效日志集中化方法及设备 | |
| CN111669358A (zh) | 一种批量处理vrouter网络隔离空间的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |