本发明专利技术公开了一种监控文件的方法和装置,涉及信息安全技术领域。该方法的一具体实施方式包括:通过从系统事件过滤出文件操作事件以及进程事件,结合针对文件操作事件的预设文件放行策略、针对文件操作进程的进程监控策略,判断对所监控的文件的操作动作进行阻止或放行;本发明专利技术的实施例提高了监控文件的灵活性和效率,提高了监控文件的准确性,降低了监控文件的资源消耗。件的资源消耗。件的资源消耗。
【技术实现步骤摘要】
一种监控文件的方法和装置
[0001]本专利技术涉及信息安全
,尤其涉及一种监控文件的方法和装置。
技术介绍
[0002]随着互联网技术的发展,对信息安全的要求也越来越高,其中,针对文件的访问控制是信息安全处理中的重要组成部分。
[0003]目前,通常是通过判断待处理的文件是否归属于预设文件白名单(或预设文件黑名单),从而确定是否对该文件操作加以控制,当文件数量和文件操作频率较大的时候,现有方法存在监控文件的颗粒度较大、监控文件的效率较低、浪费计算资源的问题。
技术实现思路
[0004]有鉴于此,本专利技术实施例提供一种监控文件的方法和装置,能够通过从系统事件过滤出文件操作事件以及进程事件,结合针对文件操作事件的预设文件放行策略、针对文件操作进程的进程监控策略,判断对所监控的文件的操作动作进行阻止或放行;本专利技术的实施例提高了监控文件的灵活性和效率,提高了监控文件的准确性,降低了监控文件的资源消耗。
[0005]为实现上述目的,根据本专利技术实施例的一个方面,提供了一种监控文件的方法,其特征在于,包括:获取系统生成的系统事件;从所述系统事件中过滤出一个或多个文件操作事件;针对每一个所述文件操作事件对应的操作动作,执行:判断针对所述操作动作是否匹配于预设文件放行策略;如果是,放行所述操作动作;否则,确定出与所述文件操作事件关联的文件操作进程;利用进程配置信息包含的进程监控策略,对所述文件操作进程处理的操作动作进行阻止或放行。
[0006]可选地,所述监控文件的方法,进一步包括:从所述系统事件中过滤出一个或多个进程事件;将所述进程事件更新到用于存储历史进程事件的进程管理列表中;所述确定出与所述文件操作事件关联的文件操作进程,包括:确定所述文件操作事件所针对的文件类型;从所述进程管理列表中查找出与所述文件类型关联的一个或多个文件操作进程。
[0007]可选地,从所述进程管理列表中查找出与所述文件类型关联的一个或多个文件操作进程,还包括:在查找到任意文件操作进程的情况下,从所述进程管理列表中查找与所述文件操作进程关联的一个或多个层级的父进程。
[0008]可选地,所述预设文件放行策略,包括:针对文件目录的打开或关闭、文件或文件目录归属于白名单、未更新预设监控范围内的文件中的一种或多种;所述判断针对所述操作动作是否匹配于预设文件放行策略,包括:获取所述操作动作对应的文件标识、文件目录,针对所述文件标识或所述文件目录执行下述操作中的一种或多种:判断所述操作动作是否为针对所述文件目录的打开或关闭;判断所述文件标识或所述文件目录是否归属于白名单;判断所述操作动作是否未更新预设监控范围内的任意文件。
[0009]可选地,所述监控文件的方法,进一步包括:利用监控文件进程执行所述针对每一
个所述文件操作事件对应的操作动作,执行判断针对所述操作动作是否匹配于预设文件放行策略的步骤;判断所述系统事件中是否存在针对监控文件进程的干扰事件;在判断出存在任一干扰事件的情况下,阻止每一个所述文件操作事件的操作动作。
[0010]可选地,所述监控文件的方法,进一步包括:所述进程配置信息包含的进程监控策略包括:所监控的文件进程标识、文件监控开关、文件信息正则表达式、文件类别、自定义文件监控信息;所述利用进程配置信息包含的进程监控策略,判断所述文件操作进程处理的文件操作为阻止或放行,包括:根据所述文件操作进程的进程标识从多个进程配置信息中查找与所述进程标识匹配的目标进程配置信息;在判断出所述目标进程配置信息的文件监控开关为开启的情况下,根据所述目标进程配置信息包含的文件信息正则表达式、文件类别、自定义文件监控信息中的一种或多种,确定所述文件操作进程对应的操作动作为放行或阻止。
[0011]可选地,所述监控文件的方法,进一步包括:接收更新所述进程配置信息包含的进程监控策略的请求,从所述请求中获取进程标识,根据进程标识确定匹配的待更新进程配置信息;利用所述请求中包含的新的进程监控策略更新所述待更新进程配置信息包含的进程监控策略。
[0012]为实现上述目的,根据本专利技术实施例的第二方面,提供了一种监控文件的装置,其特征在于,包括:处理事件模块、处理文件操作模块和处理文件进程模块;其中,
[0013]所述处理事件模块,用于获取系统生成的系统事件;从所述系统事件中过滤出一个或多个文件操作事件;
[0014]所述处理文件操作模块,用于针对每一个所述文件操作事件对应的操作动作,执行:判断针对所述操作动作是否匹配于预设文件放行策略;如果是,放行所述操作动作;
[0015]所述处理文件进程模块,用于在判断针对所述文件操作不匹配于预设文件放行策略的情况下,确定出与所述文件操作事件关联的文件操作进程;利用进程配置信息包含的进程监控策略,对所述文件操作进程处理的操作动作进行阻止或放行。
[0016]可选地,所述监控文件的装置,进一步用于从所述系统事件中过滤出一个或多个进程事件;将所述进程事件更新到用于存储历史进程事件的进程管理列表中;所述确定出与所述文件操作事件关联的文件操作进程,包括:确定所述文件操作事件所针对的文件类型;从所述进程管理列表中查找出与所述文件类型关联的一个或多个文件操作进程。
[0017]可选地,所述监控文件的装置,用于从所述进程管理列表中查找出与所述文件类型关联的一个或多个文件操作进程,还包括:在查找到任意文件操作进程的情况下,从所述进程管理列表中查找与所述文件操作进程关联的一个或多个层级的父进程。
[0018]可选地,所述预设文件放行策略,包括:针对文件目录的打开或关闭、文件或文件目录归属于白名单、未更新预设监控范围内的文件中的一种或多种;所述监控文件的装置用于判断针对所述操作动作是否匹配于预设文件放行策略,包括:获取所述操作动作对应的文件标识、文件目录,针对所述文件标识或所述文件目录执行下述操作中的一种或多种:判断所述操作动作是否为针对所述文件目录的打开或关闭;判断所述文件标识或所述文件目录是否归属于白名单;判断所述操作动作是否未更新预设监控范围内的任意文件。
[0019]可选地,所述监控文件的装置,进一步用于利用监控文件进程执行所述针对每一个所述文件操作事件对应的操作动作,执行判断针对所述操作动作是否匹配于预设文件放
行策略的步骤;判断所述系统事件中是否存在针对监控文件进程的干扰事件;在判断出存在任一干扰事件的情况下,阻止每一个所述文件操作事件的操作动作。
[0020]可选地,所述监控文件的装置,进一步用于所述进程配置信息包含的进程监控策略包括:所监控的文件进程标识、文件监控开关、文件信息正则表达式、文件类别、自定义文件监控信息;所述利用进程配置信息包含的进程监控策略,判断所述文件操作进程处理的文件操作为阻止或放行,包括:根据所述文件操作进程的进程标识从多个进程配置信息中查找与所述进程标识匹配的目标进程配置信息;在判断出所述目标进程配置信息的文件监控开关为开启的情况下,根据所述目标进程配置信息包含的文件信息正则表达式、文件类别、本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种监控文件的方法,其特征在于,包括:获取系统生成的系统事件;从所述系统事件中过滤出一个或多个文件操作事件;针对每一个所述文件操作事件对应的操作动作,执行:判断针对所述操作动作是否匹配于预设文件放行策略;如果是,放行所述操作动作;否则,确定出与所述文件操作事件关联的文件操作进程;利用进程配置信息包含的进程监控策略,对所述文件操作进程处理的操作动作进行阻止或放行。2.根据权利要求1所述的方法,其特征在于,进一步包括:从所述系统事件中过滤出一个或多个进程事件;将所述进程事件更新到用于存储历史进程事件的进程管理列表中;所述确定出与所述文件操作事件关联的文件操作进程,包括:确定所述文件操作事件所针对的文件类型;从所述进程管理列表中查找出与所述文件类型关联的一个或多个文件操作进程。3.根据权利要求2所述的方法,其特征在于,从所述进程管理列表中查找出与所述文件类型关联的一个或多个文件操作进程,还包括:在查找到任意文件操作进程的情况下,从所述进程管理列表中查找与所述文件操作进程关联的一个或多个层级的父进程。4.根据权利要求1所述的方法,其特征在于,所述预设文件放行策略,包括:针对文件目录的打开或关闭、文件或文件目录归属于白名单、未更新预设监控范围内的文件中的一种或多种;所述判断针对所述操作动作是否匹配于预设文件放行策略,包括:获取所述操作动作对应的文件标识、文件目录,针对所述文件标识或所述文件目录执行下述操作中的一种或多种:判断所述操作动作是否为针对所述文件目录的打开或关闭;判断所述文件标识或所述文件目录是否归属于白名单;判断所述操作动作是否未更新预设监控范围内的任意文件。5.根据权利要求1所述的方法,其特征在于,进一步包括:利用监控文件进程执行所述针对每一个所述文件操作事件对应的操作动作,执行判断针对所述操作动作是否匹配于预设文件放行策略的步骤;判断所述系统事件中是否存在针对监控文件进程的干扰事件;在判断出存在任一干扰事件的情况下,阻止每一个所述文件操作事件的操作动作。6.根据权利要求1所述的方法,其特征在于...
【专利技术属性】
技术研发人员:杨胜超,
申请(专利权)人:北京天空卫士网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。