一种数据审计方法、装置、电子设备及存储介质制造方法及图纸

本申请公开了一种数据审计方法，所述数据审计方法包括记录外发文件进程对应的事件创建序列；其中，所述事件创建序列包括事件种类和创建时间；判断所述事件创建序列是否符合外发文件特征库中的事件创建规则；若是，则生成所述事件创建序列对应的外发文件审计日志。本申请能够提高外发文件审计精准度，扩大外发文件审计范围。本申请还公开了一种数据审计装置、一种电子设备及一种存储介质，具有以上有益效果。

A data audit method, device, electronic equipment and storage medium

【技术实现步骤摘要】
一种数据审计方法、装置、电子设备及存储介质
本申请涉及计算机
，特别涉及一种数据审计方法、装置、一种电子设备及一种存储介质。
技术介绍
外发文件指电子设备向其他设备发的文件，外发文件的发送将会导致信息泄露的安全问题，因此通过对外发文件进行审计能够确定电子设备的使用者的外发文件行为和外发文件的具体内容。相关技术中，通过预先设置特定的文件后缀名，仅对涉及包括特定文件后缀名的文件的操作行为进行筛选进而审计文件外发行为。但是，上述外发文件审计的方式能够分析的事件类型单一，对于外发产生复杂事件识别率较低。因此，如何提高外发文件审计精准度，扩大外发文件审计范围是本领域技术人员目前需要解决的技术问题。
技术实现思路
本申请的目的是提供一种数据审计方法、装置、一种电子设备及一种存储介质，能够提高外发文件审计精准度，扩大外发文件审计范围。为解决上述技术问题，本申请提供一种数据审计方法，该数据审计方法包括：记录外发文件进程对应的事件创建序列；其中，所述事件创建序列包括事件种类和创建时间；判断本文档来自技高网...

【技术保护点】
1.一种数据审计方法，其特征在于，包括：/n记录外发文件进程对应的事件创建序列；其中，所述事件创建序列包括事件种类和创建时间；/n判断所述事件创建序列是否符合外发文件特征库中的事件创建规则；/n若是，则生成所述事件创建序列对应的外发文件审计日志；/n当检测到所述外发文件审计日志包括异常信息时，执行所述异常信息对应的处理操作。/n

【技术特征摘要】
1.一种数据审计方法，其特征在于，包括：
记录外发文件进程对应的事件创建序列；其中，所述事件创建序列包括事件种类和创建时间；
判断所述事件创建序列是否符合外发文件特征库中的事件创建规则；
若是，则生成所述事件创建序列对应的外发文件审计日志；
当检测到所述外发文件审计日志包括异常信息时，执行所述异常信息对应的处理操作。


2.根据权利要求1所述数据审计方法，其特征在于，所述外发文件进程包括存储设备外发进程、蓝牙外发进程、隔空投送进程、即时通信进程和浏览器外发进程中任一项进程或任几项进程的组合，所述存储设备外发进程包括桌面服务助手进程、文件拷贝进程和文件移动进程中任一项进程或任几项进程的组合。


3.根据权利要求2所述数据审计方法，其特征在于，在记录外发文件进程对应的事件创建序列之前，还包括：
查询存储设备的设备挂载路径；
相应的，当所述外发文件进程包括所述存储设备外发进程时，判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括：
根据所述设备挂载路径判断所述事件创建序列是否符合外发文件特征库中的事件创建规则。


4.根据权利要求3所述数据审计方法，其特征在于，根据所述设备挂载路径判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括：
当所述外发文件进程包括桌面服务助手进程时，根据所述设备挂载路径判断所述桌面服务助手进程对应的事件创建序列中是否包括第一事件序列；若包括所述第一事件序列则判定符合所述外发文件特征库中的事件创建规则；其中，所述第一事件序列包括第一读取事件和第一文本写入事件，所述第一读取事件对应的文件名与第一文本写入事件对应的文件名相同，所述第一文本写入事件的设备路径为所述设备挂载路径。


5.根据权利要求3所述数据审计方法，其特征在于，根据所述设备挂载路径判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括：
当所述外发文件进程包括文件拷贝进程时，根据所述设备挂载路径判断所述文件拷贝进程对应的事件创建序列中是否包括第二事件序列；若包括所述第二事件序列则判定符合所述外发文件特征库中的事件创建规则；其中，所述第二事件序列包括第二读取事件和第一文件长度截取事件，所述第二读取事件的创建时间早于所述第一文件长度截取事件，所述第一文件长度截取事件的设备路径为所述设备挂载路径。


6.根据权利要求3所述数据审计方法，其特征在于，根据所述设备挂载路径判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括：
当所述外发文件进程包括文件移动进程时，根据所述设备挂载路径判断所述文件移动进程对应的事件创建序列中是否包括第三事件序列；若包括所述第三事件序列则判定符合所述外发文件特征库中的事件创建规则；其中，所述第三事件序列包括第三读取事件和第二文件长度截取事件，所述第三读取事件的创建时间早于所述第二文件长度截取事件，所述第二文件长度截取事件的设备路径为所述设备挂载路径。


7.根据权利要求3所述数据审计方法，其特征在于，所述查询存储设备的设备挂载路径包括：
查询硬盘分区信息，并将所述硬盘分区信息中包括目标字段的挂载点作为目标设备挂载点；
获取所述目标设备挂载点对应的存储设备标识，并将设备目录中与所述存储设备标识对应的挂载路径作为所述存储设备的设备挂载路径。


8.根据权利要求2所述数据审计方法，其特征在于，判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括：
当所述外发文件进程包括蓝牙外发进程时，判断所述蓝牙外发进程对应的事件创建序列中是否包括内存同步事件...

【专利技术属性】
技术研发人员：张志强，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东;44