文件复制操作的识别方法、设备及计算机可读存储介质技术

本发明专利技术提供了一种文件复制操作的识别方法、设备及计算机可读存储介质，其中方法包括：当捕获到文件关闭时，确定文件为读操作还是写操作；当为读操作时，更新读操作文件的跟踪结构，并将更新后的跟踪结构添加到预设的跟踪列表中；当为写操作时，更新写操作文件的跟踪结构，并在跟踪列表中匹配与写操作文件的跟踪结构相对应的读操作文件的跟踪结构，当匹配成功时，则判断写操作文件进行了复制操作。利用本发明专利技术的技术方案，可以做到文件复制操作的精确识别，从而能支持相关产品的审计功能。

Identification method, device and computer readable storage medium for file copying operation

The invention provides an identification method, a device, and a computer readable storage medium for a file copy operation. The method includes: when the capture of a file is closed, the file is defined as read or write operation; when the read operation is used, the tracking structure of the read operation file is updated and the updated tracking structure is added to the preset. The tracking structure of the write operation file is updated when writing operation, and the tracking structure of the read operation file corresponding to the tracking structure of the write operation file is matched in the tracking list. When the match is successful, the write operation file is copied. By using the technical proposal of the invention, the accurate identification of file replication operation can be achieved, thereby supporting the auditing function of related products.

【技术实现步骤摘要】
文件复制操作的识别方法、设备及计算机可读存储介质
本专利技术涉及通信领域，特别涉及一种文件复制操作的识别方法、设备及计算机可读存储介质。
技术介绍
文件复制操作是计算机系统中常见的一种操作，也是信息泄露的一种途径，对文件复制操作进行审计是一种重要的信息安全防护手段。使用文件系统过滤驱动程序审计文件操作，是信息安全系统中常用的手段，使用文件系统过滤驱动，能够过滤到文件的新建、打开、读、写、关闭、重命名、删除等等操作，但对于文件的复制操作是无法直接过滤的，复制一个文件到其它位置在用户界面上是一个简单的操作，但在操作系统级别复制文件不是一个“原子”操作，而是通过一系列文件系统调用实现的，其基本过程为：1、以读方式打开源文件；2、以写方式新建目标文件；3、读源文件，将源文件的数据读取到缓冲区；4、写目标文件，将读取到的数据从缓冲区写入目标文件；5、重复3、4的操作，直到源文件的全部内容都被读取并写入目标文件；6、关闭源文件；7、设置目标文件属性，关闭目标文件。现有技术中，常规的处理方法是API挂钩，在大部分的操作系统中，均有标准的文件复制API，例如，在Windows平台，动态库Kernel32.dll中导出了CopyFile和CopyFileEx函数，用于支持简单的、无进度提示的文件复制操作，Shell32.dll也导出了SHFileOperation函数，用于支持带标准进度提示界面的各种文件操作(包括复制)，使用API挂钩(Hook)技术，挂接这些API，是能够拦截到一部分应用的文件复制操作的。但是，如果应用程序不调用这些API，而是使用自行编制的函数或过程来实现文件复制，这种技术就无效了，会漏报。另一方面，API挂钩是不能保证稳定实现的，对于一些新的操作系统，或者有进程自保护机制的软件，API挂钩是不可行的。
技术实现思路
为了准确、稳定的实现文件复制操作的识别，本专利技术提供了一种文件复制操作的识别方法、设备及计算机可读存储介质。本专利技术提供的文件复制操作的识别方法，包括：当捕获到文件关闭时，确定所述文件为读操作还是写操作；当为读操作时，更新读操作文件的跟踪结构，并将更新后的跟踪结构添加到预设的跟踪列表中；当为写操作时，更新写操作文件的跟踪结构，并在所述跟踪列表中匹配与所述写操作文件的跟踪结构相对应的读操作文件的跟踪结构，当匹配成功时，则判断所述写操作文件进行了复制操作。可选的，在本专利技术所述的文件复制操作的识别方法中，所述读操作文件的跟踪结构包括以下中的一项或多项：关闭时间、读取总长度、哈希值；所述写操作文件的跟踪结构包括以下中的一项或多项：关闭时间、写入总长度、哈希值。可选的，在本专利技术所述的文件复制操作的识别方法中，在所述跟踪列表中匹配与所述写操作文件的跟踪结构相对应的读操作文件的跟踪结构，包括：依次判断所述写操作文件的跟踪结构与所述跟踪列表中的每个读操作文件的跟踪结构是否匹配，直到所述写操作文件的跟踪结构匹配到相对应的读操作文件的跟踪结构。可选的，在本专利技术所述的文件复制操作的识别方法中，所述判断所述写操作文件的跟踪结构与所述跟踪列表中的每个读操作文件的跟踪结构是否匹配，包括：判断所述读操作文件跟踪结构中的关闭时间是否满足预设的条件；若满足预设的条件时，则继续判断所述读操作文件所处的线程是否为当前线程；若为当前线程，则继续判断所述写操作文件的跟踪结构中的写入总长度与所述读操作文件的跟踪结构中的读取总长度是否相同；若相同，则继续判断所述写操作文件的跟踪结构中的哈希值与所述读操作文件的跟踪结构中的哈希值是否相同；若相同，则判定所述写操作文件的跟踪结构匹配到对应的读操作文件的跟踪结构，即写操作文件和读操作文件的内容相同。可选的，在本专利技术所述的文件复制操作的识别方法中，在确定所述文件为读操作之后，还包括：判断所述文件的读取总长度是否大于等于所述文件的长度，当所述文件的读取总长度大于等于所述文件的长度时，则启动更新所述读操作文件的跟踪结构；在确定所述文件为写操作之后，还包括：判断所述文件的写入总长度是否大于等于所述文件的长度，当所述文件的写入总长度大于等于所述文件的长度时，则启动更新所述写操作文件的跟踪结构。可选的，在本专利技术所述的文件复制操作的识别方法中，在捕获到文件关闭之前，还包括：当捕获到文件的打开或新建操作时，为所述文件分配跟踪结构，并将所述跟踪结构与所述文件进行关联；当捕获到文件的读操作/写操作时，获取与所述文件关联的跟踪结构，并在所述跟踪结构中提取出已读取长度/已写入长度；判断所述读操作/写操作是否为连续读/连续写，当为连续读/连续写时，根据所述已读取长度/已写入长度更新所述文件的哈希值。可选的，在本专利技术所述的文件复制操作的识别方法中，判断所述读操作是否为连续读，包括：在所述文件的读请求中获取读位置偏移；当所述读位置偏移等于所述已读取长度时，判断定所述读操作为连续读。判断所述写操作是否为连续写，包括：在所述文件的写请求中获取写位置偏移；当所述写位置偏移等于所述已写入长度时，判断定所述写操作为连续写。可选的，在本专利技术所述的文件复制操作的识别方法中，在根据所述已读取长度/已写入长度更新所述文件的哈希值之后，还包括：将所述文件本次读操作/写操作时的读取长度/写入长度与所述跟踪结构中的已读取长度/已写入长度相加，对所述跟踪结构中的已读取长度/已写入长度进行更新。本专利技术还提供了一种文件复制操作的识别设备，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如上所述的文件复制操作的识别方法的步骤。本专利技术还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有文件复制操作的识别程序，所述文件复制操作的识别程序被处理器执行时实现如上所述的文件复制操作的识别方法的步骤。本专利技术的有益效果如下：本专利技术实施例提供的文件复制操作的识别方法、设备及计算机可读存储介质，将读操作文件的跟踪结构添加在预设的跟踪列表中，并在当捕获到文件的写操作时，在所述跟踪列表中匹配与所述写操作文件的跟踪结构相对应的读操作文件的跟踪结构，可以做到文件复制操作的精确识别，从而能支持相关产品的审计功能。附图说明图1为本专利技术第一方法实施例中文件复制操作识别方法的流程示意图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。为了准确、稳定的实现文件复制操作的识别，本专利技术提供了一种文件复制操作的识别方法、设备及计算机可读存储介质。以下结合附图对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不限定本专利技术。根据本专利技术的第一方法实施例，提供了一种文件复制操作的识别方法，图1为本专利技术第一方法实施例中文件复制操作识别方法的流程示意图，如图1所示，本专利技术第一方法实施例的文件复制操作的识别方法，包括以下步骤：S101：当捕获到文件关闭时，确定所述文件为读操作还是写操作。S102：当为读操作时，更新读操作文件的跟踪结构，并将更新后的跟踪结构添加到预设的跟本文档来自技高网...

【技术保护点】
一种文件复制操作的识别方法，其特征在于，包括：当捕获到文件关闭时，确定所述文件为读操作还是写操作；当为读操作时，更新读操作文件的跟踪结构，并将更新后的跟踪结构添加到预设的跟踪列表中；当为写操作时，更新写操作文件的跟踪结构，并在所述跟踪列表中匹配与所述写操作文件的跟踪结构相对应的读操作文件的跟踪结构，当匹配成功时，则判断所述写操作文件进行了复制操作。

【技术特征摘要】
1.一种文件复制操作的识别方法，其特征在于，包括：当捕获到文件关闭时，确定所述文件为读操作还是写操作；当为读操作时，更新读操作文件的跟踪结构，并将更新后的跟踪结构添加到预设的跟踪列表中；当为写操作时，更新写操作文件的跟踪结构，并在所述跟踪列表中匹配与所述写操作文件的跟踪结构相对应的读操作文件的跟踪结构，当匹配成功时，则判断所述写操作文件进行了复制操作。2.如权利要求1所述的文件复制操作的识别方法，其特征在于，所述读操作文件的跟踪结构包括以下中的一项或多项：关闭时间、读取总长度、哈希值；所述写操作文件的跟踪结构包括以下中的一项或多项：关闭时间、写入总长度、哈希值。3.如权利要求2所述的文件复制操作的识别方法，其特征在于，在所述跟踪列表中匹配与所述写操作文件的跟踪结构相对应的读操作文件的跟踪结构，包括：依次判断所述写操作文件的跟踪结构与所述跟踪列表中的每个读操作文件的跟踪结构是否匹配，直到所述写操作文件的跟踪结构匹配到相对应的读操作文件的跟踪结构。4.如权利要求3所述的文件复制操作的识别方法，其特征在于，所述判断所述写操作文件的跟踪结构与所述跟踪列表中的每个读操作文件的跟踪结构是否匹配，包括：判断所述读操作文件跟踪结构中的关闭时间是否满足预设的条件；若满足预设的条件时，则继续判断所述读操作文件所处的线程是否为当前线程；若为当前线程，则继续判断所述写操作文件的跟踪结构中的写入总长度与所述读操作文件的跟踪结构中的读取总长度是否相同；若相同，则继续判断所述写操作文件的跟踪结构中的哈希值与所述读操作文件的跟踪结构中的哈希值是否相同；若相同，则判定所述写操作文件的跟踪结构匹配到对应的读操作文件的跟踪结构，即写操作文件和读操作文件的内容相同。5.如权利要求1所述的文件复制操作的识别方法，其特征在于，在确定所述文件为读操作之后，还包括：判断所述文件的读取总长度是否大于等于所述文件的长度，当所述文件的读取总长度大于等于所述文件的长...

【专利技术属性】
技术研发人员：杜蕊，张红学，
申请(专利权)人：北京天融信网络安全技术有限公司，北京天融信科技有限公司，北京天融信软件有限公司，
类型：发明
国别省市：北京,11