[发明专利]通用、可靠的文件复制操作识别方法

说明书

技术领域

本发明属于计算机系统安全管理技术领域，特别涉及通用、可靠的文件复制操作识别方法。

背景技术

目前，在现有技术中，若要在个人电脑上实现文件复制操作通常需要经过如下步骤：首先选中需要复制的文件，右击鼠标右键，在弹出的菜单中选择“复制”，再打开目标文件路径，点击鼠标右键，从弹出的菜单中选择“粘贴”，通过以上两个步骤完成将待复制的文件粘贴到目标文件路径中。为了方便用户操作，现有技术还提供了快捷方式，选中待复制的文件，按下键盘上的功能组合键“Ctrl+C”，然后打开目标文件路径，再按下键盘的功能组合键“Ctrl+V”就可以实现文件的复制和粘贴。

在防数据丢失系统（DLP System）中，需要对受保护文件进行全生命期监视，正确地识别文件复制操作是监控受保护文件的变化的重要环节。在现有技术中，识别文件复制操作的方法是在应用层利用API挂钩技术，捕获文件复制函数调用动作，获得调用动作中携带的文件信息，完成对复制操作的识别过程。

然而，实现复制操作的API函数众多，首先程序很难做到没有遗漏地对每个函数进行挂钩；其次，不同版本的操作系统对文件复制操作的实现也不尽相同，程序的通用性很差；再次，通过API挂钩的方式，无法识别到从网络路径复制到本地路径或从本地路径复制到网络路径的操作。

综上所述，在现有技术中，文件复制操作识别方法存在可靠性差、通用性差的缺点。

发明内容

本发明是为解决上述现有技术中存在的不足之处，提供一种通用、可靠的文件复制操作识别方法，以提高文件复制操作识别方法的可靠性和通用性。

本发明通用、可靠的文件复制操作识别方法，包含以下步骤：

a．捕获文件的基本操作：利用文件微过滤驱动捕获文件的基本操作以及基本操作携带的数据；

所述文件的基本操作包括：打开、查询扩展属性、创建、关闭；

所述文件的基本操作携带的数据包括：文件打开分类、进程ID、查询扩展属性操作发生时间、关闭操作发生时间、文件大小、文件名、文件路径；

所述文件打开分类包括：打开、创建、创建并覆盖；

b．存储文件的基本操作：将捕获到的文件的基本操作以及基本操作携带的数据存储在内存中；

以哈希表作为数据结构，以文件路径和文件名为索引，如果所述哈希表中不存在该文件，则将该文件的基本操作以及基本操作携带的数据添加到哈希表中；如果所述哈希表中存在该文件，则更新哈希表中的该文件的基本操作以及基本操作携带的数据；

c．分析文件的基本操作：分析存储在内存中的文件的基本操作以及基本操作携带的数据，识别文件是否发生了复制操作。

所述步骤c中，进一步包括以下步骤：

c1．根据文件的基本操作进行判断，如果基本操作是关闭，则继续执行步骤c2；如果基本操作不是关闭，则结束，即没有发生文件复制操作；

c2．获取当前系统时间；

c3．根据文件的打开分类进行判断，如果文件的打开分类是创建或者是创建并覆盖，则继续执行步骤c4；如果文件打开分类是打开，则结束，即没有发生文件复制操作；

c4．遍历哈希表中的节点，获取与所述文件的文件大小、进程ID相同，且查询扩展属性操作发生时间不为零的节点，生成节点列表；

c5．将所述节点列表中的每个节点的文件关闭操作发生时间与步骤c2获取的当前系统时间进行比较，如果二者之差小于2秒，则继续执行步骤c6；如果二者之差大于或等于2秒，则结束，即没有发生文件复制操作；

c6．根据节点的文件路径进行判断，如果文件路径指向的文件存在，则所述文件发生复制操作；如果文件路径指向的文件不存在，则没有发生文件复制操作。

本发明的有益效果体现在：与现有技术相比，本发明的文件复制操作识别方法与发起复制操作的具体应用程序和实现复制文件的技术手段无关，通过分析文件过滤驱动捕获到的操作以及数据，快速准确地识别出哪些文件发生了复制操作，不但可以识别本地路径之间的复制操作还可以识别网络路径与本地路径之间的复制操作，实现了文件复制操作识别的通用性和可靠性，为有效保护文件数据安全，防止通过非法文件复制操作泄露技术秘密和重要数据提供了防范机制。

附图说明

图1是本发明的文件复制操作识别方法的流程图；

图2是本发明的文件复制操作识别方法的步骤c的流程图；

图3是本发明的实施例的文件复制操作识别系统的结构示意图。

具体实施方式

下面将结合附图及实施例，对本发明做进一步详细描述。