The invention provides an identification method, a device, and a computer readable storage medium for a file copy operation. The method includes: when the capture of a file is closed, the file is defined as read or write operation; when the read operation is used, the tracking structure of the read operation file is updated and the updated tracking structure is added to the preset. The tracking structure of the write operation file is updated when writing operation, and the tracking structure of the read operation file corresponding to the tracking structure of the write operation file is matched in the tracking list. When the match is successful, the write operation file is copied. By using the technical proposal of the invention, the accurate identification of file replication operation can be achieved, thereby supporting the auditing function of related products.
【技术实现步骤摘要】
文件复制操作的识别方法、设备及计算机可读存储介质
本专利技术涉及通信领域,特别涉及一种文件复制操作的识别方法、设备及计算机可读存储介质。
技术介绍
文件复制操作是计算机系统中常见的一种操作,也是信息泄露的一种途径,对文件复制操作进行审计是一种重要的信息安全防护手段。使用文件系统过滤驱动程序审计文件操作,是信息安全系统中常用的手段,使用文件系统过滤驱动,能够过滤到文件的新建、打开、读、写、关闭、重命名、删除等等操作,但对于文件的复制操作是无法直接过滤的,复制一个文件到其它位置在用户界面上是一个简单的操作,但在操作系统级别复制文件不是一个“原子”操作,而是通过一系列文件系统调用实现的,其基本过程为:1、以读方式打开源文件;2、以写方式新建目标文件;3、读源文件,将源文件的数据读取到缓冲区;4、写目标文件,将读取到的数据从缓冲区写入目标文件;5、重复3、4的操作,直到源文件的全部内容都被读取并写入目标文件;6、关闭源文件;7、设置目标文件属性,关闭目标文件。现有技术中,常规的处理方法是API挂钩,在大部分的操作系统中,均有标准的文件复制API,例如,在Windows平台,动态库Kernel32.dll中导出了CopyFile和CopyFileEx函数,用于支持简单的、无进度提示的文件复制操作,Shell32.dll也导出了SHFileOperation函数,用于支持带标准进度提示界面的各种文件操作(包括复制),使用API挂钩(Hook)技术,挂接这些API,是能够拦截到一部分应用的文件复制操作的。但是,如果应用程序不调用这些API,而是使用自行编制的函数或过程来 ...
【技术保护点】
一种文件复制操作的识别方法,其特征在于,包括:当捕获到文件关闭时,确定所述文件为读操作还是写操作;当为读操作时,更新读操作文件的跟踪结构,并将更新后的跟踪结构添加到预设的跟踪列表中;当为写操作时,更新写操作文件的跟踪结构,并在所述跟踪列表中匹配与所述写操作文件的跟踪结构相对应的读操作文件的跟踪结构,当匹配成功时,则判断所述写操作文件进行了复制操作。
【技术特征摘要】
1.一种文件复制操作的识别方法,其特征在于,包括:当捕获到文件关闭时,确定所述文件为读操作还是写操作;当为读操作时,更新读操作文件的跟踪结构,并将更新后的跟踪结构添加到预设的跟踪列表中;当为写操作时,更新写操作文件的跟踪结构,并在所述跟踪列表中匹配与所述写操作文件的跟踪结构相对应的读操作文件的跟踪结构,当匹配成功时,则判断所述写操作文件进行了复制操作。2.如权利要求1所述的文件复制操作的识别方法,其特征在于,所述读操作文件的跟踪结构包括以下中的一项或多项:关闭时间、读取总长度、哈希值;所述写操作文件的跟踪结构包括以下中的一项或多项:关闭时间、写入总长度、哈希值。3.如权利要求2所述的文件复制操作的识别方法,其特征在于,在所述跟踪列表中匹配与所述写操作文件的跟踪结构相对应的读操作文件的跟踪结构,包括:依次判断所述写操作文件的跟踪结构与所述跟踪列表中的每个读操作文件的跟踪结构是否匹配,直到所述写操作文件的跟踪结构匹配到相对应的读操作文件的跟踪结构。4.如权利要求3所述的文件复制操作的识别方法,其特征在于,所述判断所述写操作文件的跟踪结构与所述跟踪列表中的每个读操作文件的跟踪结构是否匹配,包括:判断所述读操作文件跟踪结构中的关闭时间是否满足预设的条件;若满足预设的条件时,则继续判断所述读操作文件所处的线程是否为当前线程;若为当前线程,则继续判断所述写操作文件的跟踪结构中的写入总长度与所述读操作文件的跟踪结构中的读取总长度是否相同;若相同,则继续判断所述写操作文件的跟踪结构中的哈希值与所述读操作文件的跟踪结构中的哈希值是否相同;若相同,则判定所述写操作文件的跟踪结构匹配到对应的读操作文件的跟踪结构,即写操作文件和读操作文件的内容相同。5.如权利要求1所述的文件复制操作的识别方法,其特征在于,在确定所述文件为读操作之后,还包括:判断所述文件的读取总长度是否大于等于所述文件的长度,当所述文件的读取总长度大于等于所述文件的长...
【专利技术属性】
技术研发人员:杜蕊,张红学,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。