【技术实现步骤摘要】
一种基于ETW的WPD内的文件操作监视方法
本专利技术属于WPD内的数据防泄密安全
,尤其涉及一种基于ETW的WPD内的文件操作监视方法。
技术介绍
在数据防泄密安全技术中,通过监视、跟踪、记录用户对系统的硬盘以及各种可移动设备的文件数据操作,能够及时发现用户的高风险操作,在泄密事件发生前就发出警报,遏止泄密事件发生。同时,还可以通过对用户操作数据的分类整理,回溯历史活动,从而发现泄密渠道。操作Windows便携设备(WPD,WindowsPortableDevices),目前是基于媒体传输协议(MTP,MediaTransferProtocol)和图片传输协议(PTP,PictureTransferProtocol),通过对象ID进行文件控制,实现文件操作,与普通文件系统的操作完全不同。因此,对于移动电话、数码相机等WPD,无法通过常规的文件过滤驱动来实现文件的操作监视,目前还没有一套统一可行的途径来实现对WPD中的文件的新建、删除、拷贝等操作进行记录及监控。如何实现对WPD内的文件操作进行监控,成为数据防泄密领域必须要解决的问题。
技术实现思路
为解决上述技术问题,本专利技术提供一种基于ETW的WPD内的文件操作监视方法。本专利技术采用如下技术方案:在一些可选的实施例中,提供一种基于ETW的WPD内的文件操作监视方法,包括:WPD的监控回调函数自动调用截取Windows事件跟踪(ETW,EventTracingforWindows)中相关WPD的操作通信日志;对所述相关WPD的操作通信日志进行分析,回推用户操作并输出用户操作。在一些可选的实施例中,该 ...
【技术保护点】
1.一种基于ETW的WPD内的文件操作监视方法,其特征在于,包括:Windows便携设备的监控回调函数自动调用截取Windows事件跟踪中相关Windows便携设备的操作通信日志;对所述相关Windows便携设备的操作通信日志进行分析,回推用户操作并输出用户操作。
【技术特征摘要】
1.一种基于ETW的WPD内的文件操作监视方法,其特征在于,包括:Windows便携设备的监控回调函数自动调用截取Windows事件跟踪中相关Windows便携设备的操作通信日志;对所述相关Windows便携设备的操作通信日志进行分析,回推用户操作并输出用户操作。2.根据权利要求1所述的一种基于ETW的WPD内的文件操作监视方法,其特征在于,该方法还包括:所述Windows便携设备的处理器的主进程加载文件操作监视功能模块;所述文件操作监视功能模块监视用户对所述Windows便携设备内的文件的操作;操作系统的Windows事件跟踪功能输出通信日志。3.根据权利要求2所述的一种基于ETW的WPD内的文件操作监视方法,其特征在于,对所述相关Windows便携设备的操作通信日志进行分析的过程包括:识别Windows便携设备属性以及文件属性;识别用户操作状态。4.根据权利要求3所述的一种基于ETW的WPD内的文件操作监视方法,其特征在于,所述识别Windows便携设备属性以及文件属性的过程包括:步骤S11:查找Windows事件跟踪日志中的获取属性请求日志,记录获取属性请求日志中的激活ID;步骤S12:查找Windows事件跟踪日志中的获取所有属性请求日志及响应日志,自所述响应日志中获取激活ID,利用Hash查找算法匹配步骤S11的激活ID,如果匹配成功,则进行步骤S13,否则放弃此次匹配;步骤S13:自所述响应日志中获取对象ID和父元素对象ID,回溯所述父元素对象ID,如果成功匹配到存储的对象,则生成文件路径识别语法树,否则放弃此次匹配;步骤S14:自所述响应日志中获取文件名、文件属性信息,依据父子关系获取文件存储的路径信息。5.根据权利要求4所述的一种基于ETW的WPD内的文件操作监视方法,其特征在于,所述识别用户操作状态的过程包括:步骤S21:若是查找到Windows事件跟踪日志中的创建文件和属性请求日志,则进行自电脑复制到Windows便携设备模式匹配过程;步骤S22:若是查找到Windows事件跟踪日志中的打开文件请求日志,则进行自Windows便携设备复制到电脑模式匹配过程;步骤S23:若是查找到Windows事件跟踪日志中上午设置文件请求日志,则进行重命名文件的匹配过程;步骤S24:若是查找到Windows事件跟踪日志中的删除文件请求日志,则进行删除文件的匹配过程。6.根据权利要求5所述的一种基于ETW的WPD内的文件操作监视方法,其特征在于,所述自电脑复制到Windows便携设备模式匹配过程包括:如果查找到Windows事件跟踪日志中的创建文件和属性请求日志,则从创建文件和属性请求日志中获取激活ID,与所述识别Windows便携设备属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;自创建文件和属性请求日志中获取父元素对象ID,对所述识别Windows便携设备属性以及文件属性的过程中所保存的所有对象ID进行回溯,如果成功匹配,则生成文件路径识别语法树,否则放弃此次匹配;自创建文件和属性请求日志中获取文件名、文件大小属性;如果查找到Windows事件跟踪日志中的创建文件和属性响应日志,则自创建文件和属性响应日志中获取激活ID,与所述识别Windows便携设备属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;自创建文件和...
【专利技术属性】
技术研发人员:余湛,王申豪,刘杰,林翠平,
申请(专利权)人:南京富士通南大软件技术有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。