本发明专利技术提出了一种文件活动的监控方法和系统,监控文件NtSetInformation操作,根据当前文件NtSetInformation操作的子类型向PreSetInfoOperCallback完成函数传入当前文件NtSetInformation操作的文件对象的全路径名;根据PreSetInfoOperCallback完成函数中的消息参数和文件对象的全路径名判断出文件活动类型;最后将判断出的文件活动类型以及文件信息上报给应用层的监控软件。本发明专利技术基于IRP请求中的回调函数来实现监视文件活动,并判定文件活动类型,然后将文件活动类型以及文件信息上报给应用层的监控软件,以便于管理人员通过查看监控软件追查相关文件的操作记录,进一步限制了用户对文件操作的随意性,健全了文件操作的管理制度。
【技术实现步骤摘要】
一种文件活动的监控方法和系统
本专利技术涉及数据安全
,尤其涉及一种文件活动的监控方法和系统。
技术介绍
在信息化社会中,确保数据安全已经成为人们的共识。无论是个人还是企业、政府,在数据安全上的投入越来越多。而计算机上的文件作为数据载体之一,无疑也是数据安全的重要保护对象。众多的DLP(DataLeakProtection)产品也在文件保护上施展了十八般武艺,但是都是基于应用层进行的监控,容易被强制结束,而且容易遗漏对文件活动的监控。
技术实现思路
为了解决上述问题,有必要提供一种文件活动的监控方法和系统,以实现监控剪切、删除、重命名等文件活动。本专利技术第一方面提出一种文件活动的监控方法,包括以下步骤:步骤1,启动文件活动监控;步骤2,监控文件NtSetInformation操作,根据当前文件NtSetInformation操作的子类型向PreSetInfoOperCallback完成函数传入当前文件NtSetInformation操作的文件对象的全路径名;步骤2-1,监控文件NtSetInformation操作,根据当前文件NtSetInformation操作的消息参数判断当前文件NtSetInformation操作的操作子类型是否为FileDispositionInformation,如果是,则进入步骤2-2;如果不是,则进一步判断当前文件NtSetInformation操作的操作子类型是否是FileRenameInformation,如果是,则进入步骤2-4;否则结束本次文件活动监控;步骤2-2,根据当前文件NtSetInformation操作的标识值判断是否为删除至回收站操作,如果是,结束本次文件活动监控流程,并针对该文件对象重新生成一个新的IRP请求,并设定新的IRP请求的文件NtSetInformation操作的子类型为FileRenameInformation,然后重新执行步骤2-1,如果不是,则进入步骤2-3;步骤2-3,获取当前文件对象的全路径名,基于当前文件对象的全路径名,判断该文件是否在监控列表中,如果是,将当前文件对象的全路径名传入PreSetInfoOperCallback完成函数中;如果不是,则结束本次文件活动监控;步骤2-4,获取当前文件对象的全路径名,基于当前文件对象的全路径名,判断该文件是否在监控列表中,如果是,则获取目的文件对象的全路径名,将当前文件对象的全路径名和目的文件对象的全路径名传入PreSetInfoOperCallback完成函数中;如果不是,则结束本次文件活动监控;步骤3,根据PreSetInfoOperCallback完成函数中的消息参数和文件对象的全路径名判断出文件活动类型;步骤3-1,在PreSetInfoOperCallback完成函数中,根据消息参数判断当前文件NtSetInformation操作的操作子类型是否为FileDispositionInformation,如果是,则进入步骤3-2,否则进入步骤3-3;步骤3-2,判断文件删除操作结果是否成功,如果成功,则判定文件活动类型是删除操作,如果不是,则结束本次监控;步骤3-3,判断目的文件对象的全路径名是否与当前文件夹中的其它文件的全路径名命名冲突,如果是,则结束本次文件活动监控流程,如果否,则进入步骤3-4;步骤3-4,判断目的文件对象的全路径名是否含有回收站的标志信息“\$RECYCLE.BIN\”,如果是,则判定文件活动类型是回收站操作,如果不是,则进入步骤3-5;步骤3-5,判断当前文件对象的全路径名和目的文件对象的全路径名是否在同一目录下,如果是,则判定文件活动类型是重命名操作,如果不是,则判定文件活动类型是剪切操作;步骤4,将判断出的文件活动类型以及文件信息上报给应用层的监控软件。本专利技术第二方面还提出一种文件活动的监控系统,包括:存储器、处理器、以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现前述的文件活动的监控方法的步骤。进一步的,所述系统使用minifilter文件过滤框架,在其回调函数中进行文件活动特征提取与识别,并将文件活动信息上报至应用层的监控软件。本专利技术第三方面还提出一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器执行时,实现如前述的文件活动的监控方法的步骤。本专利技术通过监视IRP请求的文件NtSetInformation函数,对涉及FileDispositionInformation或FileRenameInformation的IRP请求的操作进行监控,然后基于相应回调函数中的消息参数和文件对象的全路径名来进一步判断文件活动类型,从而实现了对删除操作、回收站操作、重命名操作或剪切操作等文件活动类型的监控,解决了传统文件活动监控过程中由于挂上回收站会导致系统崩溃从而跳过回收站操作的问题,监测结果精准;且由于本专利技术中对文件活动的监控发生在内核层,故监控活动不会被强制结束,且可以实现对所有类型的文件活动进行监控;本专利技术进一步通过检测是否存在重命名冲突来过滤无法完成的文件活动,在减少无法完成的文件活动对监控结果的影响的同时,还减少了由于判断无法完成的文件活动的活动类型造成的内存浪费。本专利技术进一步将在内核层判断获取的文件活动类型以及文件信息上报给应用层的监控软件,以便于管理人员通过查看监控软件追查相关文件的操作记录,进一步限制了用户对文件操作的随意性,健全了文件操作的管理制度。本专利技术的附加方面和优点将在下面的描述部分中变得明显,或通过本专利技术的实践了解到。附图说明本专利技术的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:图1示出了本专利技术一种文件活动的监控方法的流程图;图2示出了本专利技术形成完成函数的流程图;图3示出了本专利技术判断文件活动类型的流程图。具体实施方式为了能够更清楚地理解本专利技术的上述目的、特征和优点,下面结合附图和具体实施方式对本专利技术进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。在下面的描述中阐述了很多具体细节以便于充分理解本专利技术,但是,本专利技术还可以采用其他不同于在此描述的其他方式来实施,因此,本专利技术的保护范围并不受下面公开的具体实施例的限制。图1示出了本专利技术一种文件活动的监控方法的流程图。如图1所示,本专利技术第一方面提出一种文件活动的监控方法,所述方法包括以下步骤:步骤1,启动文件活动监控;步骤2,监控文件NtSetInformation操作,根据当前文件NtSetInformation操作的子类型向PreSetInfoOperCallback完成函数传入当前文件NtSetInformation操作的文件对象的全路径名;步骤3,根据PreSetInfo本文档来自技高网...
【技术保护点】
1.一种文件活动的监控方法,其特征在于,包括以下步骤:/n步骤1,启动文件活动监控;/n步骤2,监控文件NtSetInformation操作,根据当前文件NtSetInformation操作的子类型向PreSetInfoOperCallback完成函数传入当前文件NtSetInformation操作的文件对象的全路径名;/n步骤2-1,监控文件NtSetInformation操作,根据当前文件NtSetInformation操作的消息参数判断当前文件NtSetInformation操作的操作子类型是否为FileDispositionInformation,如果是,则进入步骤2-2;如果不是,则进一步判断当前文件NtSetInformation操作的操作子类型是否是FileRenameInformation,如果是,则进入步骤2-4;否则结束本次文件活动监控;/n步骤2-2,根据当前文件NtSetInformation操作的标识值判断是否为删除至回收站操作,如果是,结束本次文件活动监控流程,并针对该文件对象重新生成一个新的IRP请求,并设定新的IRP请求的文件NtSetInformation操作的子类型为FileRenameInformation,然后重新执行步骤2-1,如果不是,则进入步骤2-3;/n步骤2-3,获取当前文件对象的全路径名,基于当前文件对象的全路径名,判断该文件是否在监控列表中,如果是,将当前文件对象的全路径名传入PreSetInfoOperCallback完成函数中;如果不是,则结束本次文件活动监控;/n步骤2-4,获取当前文件对象的全路径名,基于当前文件对象的全路径名,判断该文件是否在监控列表中,如果是,则获取目的文件对象的全路径名,将当前文件对象的全路径名和目的文件对象的全路径名传入PreSetInfoOperCallback完成函数中;如果不是,则结束本次文件活动监控;/n步骤3,根据PreSetInfoOperCallback完成函数中的消息参数和文件对象的全路径名判断出文件活动类型;/n步骤3-1,在PreSetInfoOperCallback完成函数中,根据消息参数判断当前文件NtSetInformation操作的操作子类型是否为FileDispositionInformation,如果是,则进入步骤3-2,否则进入步骤3-3;/n步骤3-2,判断文件删除操作结果是否成功,如果成功,则判定文件活动类型是删除操作,如果不是,则结束本次监控;/n步骤3-3,判断目的文件对象的全路径名是否与当前文件夹中的其它文件的全路径名命名冲突,如果是,则结束本次文件活动监控流程,如果否,则进入步骤3-4;/n步骤3-4,判断目的文件对象的全路径名是否含有回收站的标志信息“\$RECYCLE.BIN\”,如果是,则判定文件活动类型是回收站操作,如果不是,则进入步骤3-5;/n步骤3-5,判断当前文件对象的全路径名和目的文件对象的全路径名是否在同一目录下,如果是,则判定文件活动类型是重命名操作,如果不是,则判定文件活动类型是剪切操作;/n步骤4,将判断出的文件活动类型以及文件信息上报给应用层的监控软件。/n...
【技术特征摘要】
1.一种文件活动的监控方法,其特征在于,包括以下步骤:
步骤1,启动文件活动监控;
步骤2,监控文件NtSetInformation操作,根据当前文件NtSetInformation操作的子类型向PreSetInfoOperCallback完成函数传入当前文件NtSetInformation操作的文件对象的全路径名;
步骤2-1,监控文件NtSetInformation操作,根据当前文件NtSetInformation操作的消息参数判断当前文件NtSetInformation操作的操作子类型是否为FileDispositionInformation,如果是,则进入步骤2-2;如果不是,则进一步判断当前文件NtSetInformation操作的操作子类型是否是FileRenameInformation,如果是,则进入步骤2-4;否则结束本次文件活动监控;
步骤2-2,根据当前文件NtSetInformation操作的标识值判断是否为删除至回收站操作,如果是,结束本次文件活动监控流程,并针对该文件对象重新生成一个新的IRP请求,并设定新的IRP请求的文件NtSetInformation操作的子类型为FileRenameInformation,然后重新执行步骤2-1,如果不是,则进入步骤2-3;
步骤2-3,获取当前文件对象的全路径名,基于当前文件对象的全路径名,判断该文件是否在监控列表中,如果是,将当前文件对象的全路径名传入PreSetInfoOperCallback完成函数中;如果不是,则结束本次文件活动监控;
步骤2-4,获取当前文件对象的全路径名,基于当前文件对象的全路径名,判断该文件是否在监控列表中,如果是,则获取目的文件对象的全路径名,将当前文件对象的全路径名和目的文件对象的全路径名传入PreSetInfoOperCallback完成函数中;如果不是,则结束本次文件活动监控;
步骤3,根据PreSetInfoOperCallback完成函数中的消息参数和文件对象的全路径名判断出文件活动类型;
步骤3-1,在PreSetInfoOperCallb...
【专利技术属性】
技术研发人员:宋志成,韩金池,郭鹏玉,马盼盼,
申请(专利权)人:郑州信大捷安信息技术股份有限公司,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。