一种基于ETW的WPD内的文件操作监视方法技术

本发明专利技术提供一种基于ETW的WPD内的文件操作监视方法，包括：WPD的监控回调函数自动调用截取ETW中相关WPD的操作通信日志；对所述WPD的操作通信日志进行分析，回推用户操作并输出用户操作。从海量的系统日志里面，逆向分析出WPD相关文件操作，解决了WPD内文件无法监控的问题；在不影响用户体验的情况下，后台实现对用户操作WPD内文件的进行记录及监视；通过实时监控用户对WPD内文件的操作监视，及时发现用户的危险操作，遏止泄密工作发生，提升安全性；实现通过分析ETW的WPD操作日志，回溯历史操作，揭秘泄密途径；同时，不需要通过底层驱动实现，避免了驱动和系统的兼容性问题，避免了系统监视WPD频繁发生的蓝屏问题。

【技术实现步骤摘要】
一种基于ETW的WPD内的文件操作监视方法
本专利技术属于WPD内的数据防泄密安全
，尤其涉及一种基于ETW的WPD内的文件操作监视方法。
技术介绍
在数据防泄密安全技术中，通过监视、跟踪、记录用户对系统的硬盘以及各种可移动设备的文件数据操作，能够及时发现用户的高风险操作，在泄密事件发生前就发出警报，遏止泄密事件发生。同时，还可以通过对用户操作数据的分类整理，回溯历史活动，从而发现泄密渠道。操作Windows便携设备(WPD，WindowsPortableDevices)，目前是基于媒体传输协议(MTP，MediaTransferProtocol)和图片传输协议(PTP，PictureTransferProtocol)，通过对象ID进行文件控制，实现文件操作，与普通文件系统的操作完全不同。因此，对于移动电话、数码相机等WPD，无法通过常规的文件过滤驱动来实现文件的操作监视，目前还没有一套统一可行的途径来实现对WPD中的文件的新建、删除、拷贝等操作进行记录及监控。如何实现对WPD内的文件操作进行监控，成为数据防泄密领域必须要解决的问题。
技术实现思路
为解决上述技术问题，本专利技术提供一种基于ETW的WPD内的文件操作监视方法。本专利技术采用如下技术方案：在一些可选的实施例中，提供一种基于ETW的WPD内的文件操作监视方法，包括：WPD的监控回调函数自动调用截取Windows事件跟踪(ETW，EventTracingforWindows)中相关WPD的操作通信日志；对所述相关WPD的操作通信日志进行分析，回推用户操作并输出用户操作。在一些可选的实施例中，该方法还包括：所述WPD的处理器的主进程加载文件操作监视功能模块；所述文件操作监视功能模块监视用户对所述WPD内的文件的操作；操作系统(OS，OperatingSystem)的ETW功能输出通信日志。在一些可选的实施例中，对所述相关WPD的操作通信日志进行分析的过程包括：识别WPD属性以及文件属性；识别用户操作状态。在一些可选的实施例中，所述识别WPD属性以及文件属性的过程包括：步骤S11：查找ETW日志中的获取属性请求日志，记录获取属性请求日志中的激活ID；步骤S12：查找ETW日志中的获取所有属性请求日志及响应日志，自所述响应日志中获取激活ID，利用Hash查找算法匹配步骤S11的激活ID，如果匹配成功，则进行步骤S13，否则放弃此次匹配；步骤S13：自所述响应日志中获取对象ID和父元素对象ID，回溯所述父元素对象ID，如果成功匹配到存储的对象，则生成文件路径识别语法树，否则放弃此次匹配；步骤S14：自所述响应日志中获取文件名、文件属性信息，依据父子关系获取文件存储的路径信息。在一些可选的实施例中，所述识别用户操作状态的过程包括：步骤S21：若是查找到ETW日志中的创建文件和属性请求日志，则进行自电脑复制到WPD模式匹配过程；步骤S22：若是查找到ETW日志中的打开文件请求日志，则进行自WPD复制到电脑模式匹配过程；步骤S23：若是查找到ETW日志中上午设置文件请求日志，则进行重命名文件的匹配过程；步骤S24：若是查找到ETW日志中的删除文件请求日志，则进行删除文件的匹配过程。在一些可选的实施例中，所述自电脑复制到WPD模式匹配过程包括：如果查找到ETW日志中的创建文件和属性请求日志，则从创建文件和属性请求日志中获取激活ID，与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较，如果相同，则继续匹配,否则放弃此次匹配；自创建文件和属性请求日志中获取父元素对象ID，对所述识别WPD属性以及文件属性的过程中所保存的所有对象ID进行回溯，如果成功匹配，则生成文件路径识别语法树,否则放弃此次匹配；自创建文件和属性请求日志中获取文件名、文件大小属性；如果查找到ETW日志中的创建文件和属性响应日志，则自创建文件和属性响应日志中获取激活ID，与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较，如果相同，则继续匹配，否则放弃此次匹配；自创建文件和属性响应日志获取结果，如果结果是成功，则完成此次匹配，生成数据。在一些可选的实施例中，所述自WPD复制到电脑模式匹配过程包括：如果查找到ETW日志中的打开文件请求日志，则自打开文件请求日志中获取激活ID，与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较，如果相同，则继续匹配，否则放弃此次匹配；自打开文件请求日志中获取对象ID，对所述识别WPD属性以及文件属性的过程中所保存的所有对象ID进行回溯，如果成功匹配，则生成文件路径识别语法树，否则放弃此次匹配；自打开文件请求日志中获取文件名、文件大小属性。在一些可选的实施例中，所述自WPD复制到电脑模式匹配过程还包括：如果查找到ETW日志中读取文件响应日志，则自读取文件响应日志中获取激活ID，与所述识别WPD属性以及文件属性的过程中所保存的激活ID匹配，如果相同，则继续匹配，否则放弃此次匹配；如果查找到ETW日志中的关闭文件响应日志，则自关闭文件响应日志中获取激活ID，与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较，如果相同，则继续匹配，否则放弃此次匹配；完成匹配，生成数据。在一些可选的实施例中，所述重命名文件的匹配过程包括：如果查找到ETW日志中的设置文件请求日志，则自设置文件请求日志中获取激活ID，与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较，如果相同，则继续匹配，否则放弃此次匹配；自设置文件请求日志中获取对象ID，对所述识别WPD属性以及文件属性的过程中所保存的所有对象ID进行回溯，如果成功匹配，则生成文件路径识别语法树，否则放弃此次匹配；自设置文件请求日志中获取重命名之后的文件名；如果查找到ETW日志中的设置文件响应日志，则自设置文件响应日志中获取激活ID，与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较，如果相同，则继续匹配，否则放弃此次匹配；自设置文件响应日志中获取结果，如果结果是成功，则完成此次匹配，生成数据。在一些可选的实施例中，所述删除文件的匹配过程包括：如果查找到ETW日志中的删除文件请求日志，则自删除文件请求日志中获取激活ID，与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较，如果相同，则继续匹配，否则放弃此次匹配；自删除文件请求日志中获取对象ID，对所述识别WPD属性以及文件属性的过程中所保存的所有对象ID进行回溯，如果成功匹配，则生成文件路径识别语法树，否则放弃此次匹配；如果查找到ETW日志中的删除文件响应日志，则自删除文件请求日志响应日志中获取激活ID，与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较，如果相同，则继续匹配，否则放弃此次匹配；自删除文件响应日志中获取结果，如果结果是成功，则完成此次匹配，生成数据。本专利技术所带来的有益效果：从海量的系统日志里面，逆向分析出WPD相关文件操作，解决了WPD内文件无法监控的问题；在不影响用户体验的情况下，后台实现对用户操作WPD内文件的进行记录及监视；通过实时监控用户对WPD内文件的操作监视，及时发现用户的危险操作，遏止泄密工作发生，提升安全性；实现通过分析ETW的WPD操作日志，回溯历史操作，揭秘泄本文档来自技高网...

【技术保护点】
1.一种基于ETW的WPD内的文件操作监视方法，其特征在于，包括：Windows便携设备的监控回调函数自动调用截取Windows事件跟踪中相关Windows便携设备的操作通信日志；对所述相关Windows便携设备的操作通信日志进行分析，回推用户操作并输出用户操作。

【技术特征摘要】
1.一种基于ETW的WPD内的文件操作监视方法，其特征在于，包括：Windows便携设备的监控回调函数自动调用截取Windows事件跟踪中相关Windows便携设备的操作通信日志；对所述相关Windows便携设备的操作通信日志进行分析，回推用户操作并输出用户操作。2.根据权利要求1所述的一种基于ETW的WPD内的文件操作监视方法，其特征在于，该方法还包括：所述Windows便携设备的处理器的主进程加载文件操作监视功能模块；所述文件操作监视功能模块监视用户对所述Windows便携设备内的文件的操作；操作系统的Windows事件跟踪功能输出通信日志。3.根据权利要求2所述的一种基于ETW的WPD内的文件操作监视方法，其特征在于，对所述相关Windows便携设备的操作通信日志进行分析的过程包括：识别Windows便携设备属性以及文件属性；识别用户操作状态。4.根据权利要求3所述的一种基于ETW的WPD内的文件操作监视方法，其特征在于，所述识别Windows便携设备属性以及文件属性的过程包括：步骤S11：查找Windows事件跟踪日志中的获取属性请求日志，记录获取属性请求日志中的激活ID；步骤S12：查找Windows事件跟踪日志中的获取所有属性请求日志及响应日志，自所述响应日志中获取激活ID，利用Hash查找算法匹配步骤S11的激活ID，如果匹配成功，则进行步骤S13，否则放弃此次匹配；步骤S13：自所述响应日志中获取对象ID和父元素对象ID，回溯所述父元素对象ID，如果成功匹配到存储的对象，则生成文件路径识别语法树，否则放弃此次匹配；步骤S14：自所述响应日志中获取文件名、文件属性信息，依据父子关系获取文件存储的路径信息。5.根据权利要求4所述的一种基于ETW的WPD内的文件操作监视方法，其特征在于，所述识别用户操作状态的过程包括：步骤S21：若是查找到Windows事件跟踪日志中的创建文件和属性请求日志，则进行自电脑复制到Windows便携设备模式匹配过程；步骤S22：若是查找到Windows事件跟踪日志中的打开文件请求日志，则进行自Windows便携设备复制到电脑模式匹配过程；步骤S23：若是查找到Windows事件跟踪日志中上午设置文件请求日志，则进行重命名文件的匹配过程；步骤S24：若是查找到Windows事件跟踪日志中的删除文件请求日志，则进行删除文件的匹配过程。6.根据权利要求5所述的一种基于ETW的WPD内的文件操作监视方法，其特征在于，所述自电脑复制到Windows便携设备模式匹配过程包括：如果查找到Windows事件跟踪日志中的创建文件和属性请求日志，则从创建文件和属性请求日志中获取激活ID，与所述识别Windows便携设备属性以及文件属性的过程中所保存的激活ID相比较，如果相同，则继续匹配,否则放弃此次匹配；自创建文件和属性请求日志中获取父元素对象ID，对所述识别Windows便携设备属性以及文件属性的过程中所保存的所有对象ID进行回溯，如果成功匹配，则生成文件路径识别语法树,否则放弃此次匹配；自创建文件和属性请求日志中获取文件名、文件大小属性；如果查找到Windows事件跟踪日志中的创建文件和属性响应日志，则自创建文件和属性响应日志中获取激活ID，与所述识别Windows便携设备属性以及文件属性的过程中所保存的激活ID相比较，如果相同，则继续匹配，否则放弃此次匹配；自创建文件和...

【专利技术属性】
技术研发人员：余湛，王申豪，刘杰，林翠平，
申请(专利权)人：南京富士通南大软件技术有限公司，
类型：发明
国别省市：江苏,32