技術(shù)領(lǐng)域

本發(fā)明屬于計算機系統(tǒng)安全管理技術(shù)領(lǐng)域，特別涉及通用、可靠的文件復(fù)制操作識別方法。

背景技術(shù)

目前，在現(xiàn)有技術(shù)中，若要在個人電腦上實現(xiàn)文件復(fù)制操作通常需要經(jīng)過如下步驟：首先選中需要復(fù)制的文件，右擊鼠標(biāo)右鍵，在彈出的菜單中選擇“復(fù)制”，再打開目標(biāo)文件路徑，點擊鼠標(biāo)右鍵，從彈出的菜單中選擇“粘貼”，通過以上兩個步驟完成將待復(fù)制的文件粘貼到目標(biāo)文件路徑中。為了方便用戶操作，現(xiàn)有技術(shù)還提供了快捷方式，選中待復(fù)制的文件，按下鍵盤上的功能組合鍵“Ctrl+C”，然后打開目標(biāo)文件路徑，再按下鍵盤的功能組合鍵“Ctrl+V”就可以實現(xiàn)文件的復(fù)制和粘貼。

在防數(shù)據(jù)丟失系統(tǒng)（DLP?System）中，需要對受保護文件進行全生命期監(jiān)視，正確地識別文件復(fù)制操作是監(jiān)控受保護文件的變化的重要環(huán)節(jié)。在現(xiàn)有技術(shù)中，識別文件復(fù)制操作的方法是在應(yīng)用層利用API掛鉤技術(shù)，捕獲文件復(fù)制函數(shù)調(diào)用動作，獲得調(diào)用動作中攜帶的文件信息，完成對復(fù)制操作的識別過程。

然而，實現(xiàn)復(fù)制操作的API函數(shù)眾多，首先程序很難做到?jīng)]有遺漏地對每個函數(shù)進行掛鉤；其次，不同版本的操作系統(tǒng)對文件復(fù)制操作的實現(xiàn)也不盡相同，程序的通用性很差；再次，通過API掛鉤的方式，無法識別到從網(wǎng)絡(luò)路徑復(fù)制到本地路徑或從本地路徑復(fù)制到網(wǎng)絡(luò)路徑的操作。

綜上所述，在現(xiàn)有技術(shù)中，文件復(fù)制操作識別方法存在可靠性差、通用性差的缺點。

發(fā)明內(nèi)容

本發(fā)明是為解決上述現(xiàn)有技術(shù)中存在的不足之處，提供一種通用、可靠的文件復(fù)制操作識別方法，以提高文件復(fù)制操作識別方法的可靠性和通用性。

本發(fā)明通用、可靠的文件復(fù)制操作識別方法，包含以下步驟：

a．捕獲文件的基本操作：利用文件微過濾驅(qū)動捕獲文件的基本操作以及基本操作攜帶的數(shù)據(jù)；

所述文件的基本操作包括：打開、查詢擴展屬性、創(chuàng)建、關(guān)閉；

所述文件的基本操作攜帶的數(shù)據(jù)包括：文件打開分類、進程ID、查詢擴展屬性操作發(fā)生時間、關(guān)閉操作發(fā)生時間、文件大小、文件名、文件路徑；

所述文件打開分類包括：打開、創(chuàng)建、創(chuàng)建并覆蓋；

b．存儲文件的基本操作：將捕獲到的文件的基本操作以及基本操作攜帶的數(shù)據(jù)存儲在內(nèi)存中；

以哈希表作為數(shù)據(jù)結(jié)構(gòu)，以文件路徑和文件名為索引，如果所述哈希表中不存在該文件，則將該文件的基本操作以及基本操作攜帶的數(shù)據(jù)添加到哈希表中；如果所述哈希表中存在該文件，則更新哈希表中的該文件的基本操作以及基本操作攜帶的數(shù)據(jù)；

c．分析文件的基本操作：分析存儲在內(nèi)存中的文件的基本操作以及基本操作攜帶的數(shù)據(jù)，識別文件是否發(fā)生了復(fù)制操作。

所述步驟c中，進一步包括以下步驟：

c1．根據(jù)文件的基本操作進行判斷，如果基本操作是關(guān)閉，則繼續(xù)執(zhí)行步驟c2；如果基本操作不是關(guān)閉，則結(jié)束，即沒有發(fā)生文件復(fù)制操作；

c2．獲取當(dāng)前系統(tǒng)時間；

c3．根據(jù)文件的打開分類進行判斷，如果文件的打開分類是創(chuàng)建或者是創(chuàng)建并覆蓋，則繼續(xù)執(zhí)行步驟c4；如果文件打開分類是打開，則結(jié)束，即沒有發(fā)生文件復(fù)制操作；

c4．遍歷哈希表中的節(jié)點，獲取與所述文件的文件大小、進程ID相同，且查詢擴展屬性操作發(fā)生時間不為零的節(jié)點，生成節(jié)點列表；

c5．將所述節(jié)點列表中的每個節(jié)點的文件關(guān)閉操作發(fā)生時間與步驟c2獲取的當(dāng)前系統(tǒng)時間進行比較，如果二者之差小于2秒，則繼續(xù)執(zhí)行步驟c6；如果二者之差大于或等于2秒，則結(jié)束，即沒有發(fā)生文件復(fù)制操作；

c6．根據(jù)節(jié)點的文件路徑進行判斷，如果文件路徑指向的文件存在，則所述文件發(fā)生復(fù)制操作；如果文件路徑指向的文件不存在，則沒有發(fā)生文件復(fù)制操作。

本發(fā)明的有益效果體現(xiàn)在：與現(xiàn)有技術(shù)相比，本發(fā)明的文件復(fù)制操作識別方法與發(fā)起復(fù)制操作的具體應(yīng)用程序和實現(xiàn)復(fù)制文件的技術(shù)手段無關(guān)，通過分析文件過濾驅(qū)動捕獲到的操作以及數(shù)據(jù)，快速準(zhǔn)確地識別出哪些文件發(fā)生了復(fù)制操作，不但可以識別本地路徑之間的復(fù)制操作還可以識別網(wǎng)絡(luò)路徑與本地路徑之間的復(fù)制操作，實現(xiàn)了文件復(fù)制操作識別的通用性和可靠性，為有效保護文件數(shù)據(jù)安全，防止通過非法文件復(fù)制操作泄露技術(shù)秘密和重要數(shù)據(jù)提供了防范機制。

附圖說明

圖1是本發(fā)明的文件復(fù)制操作識別方法的流程圖；

圖2是本發(fā)明的文件復(fù)制操作識別方法的步驟c的流程圖；

圖3是本發(fā)明的實施例的文件復(fù)制操作識別系統(tǒng)的結(jié)構(gòu)示意圖。

具體實施方式

下面將結(jié)合附圖及實施例，對本發(fā)明做進一步詳細描述。