本申请实施例公开了一种监控文件的方法及装置、设备、存储介质,其中,该方法包括:通过枚举设备,得到移动存储设备的卷标;将所述移动存储设备的卷标与IO完成端口进行关联;调用读取文件变化函数传入文件的句柄和IO完成端口,以将得到的文件变化的监控信息存储到与所述IO完成端口对应的IO完成包中;将从IO完成包中读取的所述文件变化的监控信息上报到审计服务器,以实现对移动存储设备上的文件进行审计。
【技术实现步骤摘要】
一种监控文件的方法及装置、设备、存储介质
本申请实施例涉及但不限于数据保护技术,尤其涉及一种监控文件的方法及装置、设备、存储介质。
技术介绍
移动存储设备例如U盘作为最常用的终端外发途径,是企业员工最常用泄密通路之一。员工通常将企业电脑中的核心数据,拷贝、复制到移动存储设备,这样造成核心数据外泄。通过对移动存储设备上存储的文件做审计,可有效地对泄密行为做取证和跟踪。现有技术中,对移动存储设备上存储的文件做审计的方案一般包括以下几种:1)使用日志文件系统(NewTechnologyFileSystem,NTFS)的更改日志(ChangeJournal)实现文件监控,其中,更改日志可以有效的审计到NTFS文件系统的变化;但该方案的实时性较差,需要定时查询日志,且不支持FAT32文件系统,这里FAT32指的是文件分配表是采用32位二进制数记录管理的磁盘文件管理方式。2)使用挂钩应用程序接口(ApplicationProgrammingInterface,API)的方式实现文件监控,其中,API指的是一些应用程序预先定义的函数。该方案通过挂钩Windows的文件拷贝/移动/读写等API来实现审计,能精确区分文件操作的细节;但该方案的缺陷是需要挂钩所有进程,兼容性较差,会降低系统运行的性能,容易导致进程崩溃等问题。3)参见图1A和1B,利用windows自带的系统访问控制列表(SystemAccessControlList,SACL)的文件系统11来实现审计,其中,SACL这个功能默认是关闭的,在本地安全策略里面可以打开SACL这个功能,打开后会降低系统运行时的性能,只能对关联的用户做审计。4)在内核层实现微过滤框架(minifilter)驱动审计文件操作,此方案会导致内核的兼容问题,容易使电脑蓝屏。
技术实现思路
有鉴于此,本申请实施例提供一种监控文件的方法及装置、设备、存储介质。本申请实施例的技术方案是这样实现的:第一方面,本申请实施例提供一种监控文件的方法,包括:通过枚举设备,得到移动存储设备的卷标;将所述移动存储设备的卷标与输入输出(InputOutput,IO)完成端口进行关联;调用读取文件变化函数传入文件的句柄和IO完成端口,以将得到的文件变化的监控信息存储到与所述IO完成端口对应的IO完成包中;将从IO完成包中读取的所述文件变化的监控信息上报到审计服务器,以实现对移动存储设备上的文件进行审计。第二方面,本申请实施例提供一种监控文件的装置,包括:获得模块,用于通过枚举设备,得到移动存储设备的卷标;关联模块,用于将所述移动存储设备的卷标与IO完成端口进行关联;调用模块,用于调用读取文件变化函数传入文件的句柄和IO完成端口,以将得到的文件变化的监控信息存储到与所述IO完成端口对应的IO完成包中;上报模块,用于将从IO完成包中读取的所述文件变化的监控信息上报到审计服务器,以实现对移动存储设备上的文件进行审计。第三方面,本申请实施例提供一种监控文件的设备,所述设备包括:存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法中的步骤。第四方面,本申请实施例提供本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法中的步骤。本申请实施例提供一种监控文件的方法及装置、设备、存储介质,通过将移动存储设备的卷标与IO完成端口进行关联,系统调用API函数(读取文件变化函数)读取移动存储设备的文件变化的监控信息并存储到IO完成包,最后将从IO完成包中读取的所述文件变化的监控信息上报到审计服务器,来实现对移动存储设备的文件做审计。可见,本申请提供的技术方案,可兼容多种类型操作系统,完美兼容多种文件系统,不破坏系统内核,对系统性能影响低,可灵活的开启/关闭审计功能,易于扩展,可维护性好。附图说明图1A为利用windows自带的系统访问控制列表的文件系统来审计的实现效果图;图1B为利用windows自带的系统访问控制列表的文件系统来审计的实现效果图;图1C为本申请实施例提供的一种监控文件的方法的实现流程示意图;图1D为本申请实施例提供的实现效果图;图2为本申请实施例提供的一种监控文件的方法的实现流程示意图;图3为本申请实施例提供的一种监控文件的方法的实现流程示意图;图4A为本申请实施例提供的一种网络架构示意图;图4B为本申请实施例提供的一种监控文件的方法的实现流程示意图;图5为本申请实施例提供的一种监控文件的方法的实现流程示意图;图6为本申请实施例提供的一种监控文件的方法的实现流程示意图;图7为本申请实施例一种监控文件的装置的组成结构示意图;图8为本申请实施例中计算机设备的一种硬件实体示意图。具体实施方式下面结合附图和实施例对本申请的技术方案进一步详细阐述。本申请实施例提供一种监控文件的方法,图1C为本申请实施例提供的一种监控文件的方法的实现流程示意图,如图1C所示,所述方法包括:步骤101:通过枚举设备,得到移动存储设备的卷标;这里,所述设备是可以插入终端并能通过终端对设备进行访问的电子设备,例如,可以为键盘、显示器、音响以及移动存储设备等。所述移动存储设备为可以将所有可存储类型的数据在不同终端间移动的设备,可以为相变式可重复擦写光盘驱动器,软盘,卡式硬盘,U盘,移动硬盘,闪存卡及读卡器。所述移动存储设备的卷标是显示出来磁盘名称,即文件夹的名字,例如,“本地磁盘(D:)”,其中“本地磁盘”就是卷标,D是盘符。在实施过程中,系统通过枚举,遍历插入终端的设备,当检测到设备类型为移动存储设备时,获取到该移动存储设备对应的卷标。步骤102:将所述移动存储设备的卷标与IO完成端口进行关联;这里,所述IO完成端口是一个内核对象,不是通信用的端口。IO完成端口的出现,使得发出IO请求的线程和处理I/O完成项的线程可以是不同的线程。因为这种采用不同线程处理的方式,使得每个发出I/O请求的线程的完成项都能得到处理,就不会存在如果一个线程发出大量I/O请求,其他线程,由于无法分配到CPU资源,而长时间处于等待的情况。因此,采用IO完成端口,可以实现异步调用,高效的处理并发的请求。其中,处理IO完成项指的是对IO完成端口进行的处理操作,通过对IO完成项的处理,可以得到IO完成包。这里,IO完成包指的是线程处理IO完成项后,得到的处理结果。在实施过程中,将移动存储设备的卷标与IO完成端口进行关联,可以并行检测多个卷标对应的存储设备。步骤103:调用读取文件变化函数传入文件的句柄和IO完成端口,以将得到的文件变化的监控信息存储到与所述IO完成端口对应的IO完成包中;这里,文件的句柄是用于找到要监控的文件目录的指针。当一个应用程序本文档来自技高网...
【技术保护点】
1.一种监控文件的方法,其特征在于,所述方法包括:/n通过枚举设备,得到移动存储设备的卷标;/n将所述移动存储设备的卷标与输入输出完成端口进行关联;/n调用读取文件变化函数传入文件的句柄和输入输出完成端口,以将得到的文件变化的监控信息存储到与所述输入输出完成端口对应的输入输出完成包中;/n将从所述输入输出完成包中读取的所述文件变化的监控信息上报到审计服务器,以实现对移动存储设备上的文件进行审计。/n
【技术特征摘要】
1.一种监控文件的方法,其特征在于,所述方法包括:
通过枚举设备,得到移动存储设备的卷标;
将所述移动存储设备的卷标与输入输出完成端口进行关联;
调用读取文件变化函数传入文件的句柄和输入输出完成端口,以将得到的文件变化的监控信息存储到与所述输入输出完成端口对应的输入输出完成包中;
将从所述输入输出完成包中读取的所述文件变化的监控信息上报到审计服务器,以实现对移动存储设备上的文件进行审计。
2.如权利要求1所示的方法,其特征在于,所述通过枚举设备,得到移动存储设备的卷标,包括:调用获得系统设备信息系列函数枚举设备,得到移动存储设备的卷标。
3.如权利要求1所示的方法,其特征在于,所述将所述移动存储设备的卷标与输入输出完成端口进行关联包括:将所述移动存储设备的卷标传入创建文件函数,得到句柄;其中,所述句柄用于监控所述卷标对应的文件目录;
将所述句柄与输入输出完成端口进行关联。
4.如权利要求1所示的方法,其特征在于,所述将从输入输出完成包中读取的所述文件变化的监控信息上报到审计服务器,以实现对移动存储设备上的文件进行审计,包括:
调用获取队列完成状态函数从所述输入输出完成包中取出所述文件变化的监控信息;
将所述文件变化的监控信息放入缓冲区;
周期性地从将所述缓冲区中读取所述文件变化的监控信息;
将读取的所述的文件变换数据上报到审计服务器,以实现对移动存储设备上的文件进行审计。
5.如权利要求4所示的方法,其特征在于,在所述调用获取队列完成状态函数从所述输入输出完成包中取出所述文件变化的监控信息之前,所述方法还包括:
当所述输入输出完成包中不存在文件变化的监控信息时,阻塞获取队列完成状态函数...
【专利技术属性】
技术研发人员:王威,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。