专利名称:基于进程关联的文件传输监控方法
技术领域:
本发明涉及一种防止计算机用户的文件信息泄露的一种技术,特别设计一种基于进程关联的文件传输监控方法。属于计算机网络安全领域。
背景技术:
由于在NT5.0(windows2000和windows xp)操作系统内核环境下,文件系统与网络系统是相互独立的两个组件模块,其间没有直接的关联。因此,当经由网络传输某个文件时,我们无法直接获得相关文件的全路径名,进而不能有效控制这个过程。因此将文件系统与网络系统分别与操作系统的进程控制模块相结合,再通过相同的进程进行关联,无疑是一种很好地解决手段。
发明内容
本发明的目的在于基于进程关联的文件传输监控方法将文件系统与网络系统分别与操作系统的进程控制模块相结合,对单台计算机系统内的文件数据外流(或LAN系统文件外传)的行为进行监视与控制,以防止计算机系统内的机密信息被内部人员恶意散发。
本发明的目的是这样实现的基于进程关联的文件传输监控方法,其特征在于文件传输监控的实现至少包含以下步骤步骤1在文件系统驱动中通过文件系统过滤驱动模块设置文件访问监控点;步骤2在NDIS中间层通过挂接网络系统内核接口SendHandler与SendPacketsHandle设置网络检查点,捕获所有向外发送的IP数据包;步骤3当发起连接的数据包通过网络检查点时,获得即时的进程信息,并立即将该进程信息传递给文件访问监控驱动,文件访问监控驱动开始捕获该进程访问的所有文件的信息;步骤4当该连接的所有数据包通过网络检查点时,对数据包进行协议分析,判断该数据包是否可能向外发送文件信息,其基于以下方面a)该数据包的格式是否符合HTTP协议的POST方法,b)该数据包的格式是否符合FTP协议的PUT方法,c)该数据包的格式是否符合SMTP协议,且经协议分析发现携带附件;步骤5当出现可能发送文件信息的数据包时,通过进程关联检查在发送该数据包的同时,相关进程正在访问或曾经文件;步骤6步骤5描述的情况下,在相关进程正在访问或曾经访问的文件列表中查找,符合正在发送文件特征的项,则记录该文件信息。
本发明的特点是基于进程关联的文件传输监控方法将文件系统与网络系统分别与操作系统的进程控制模块相结合,并通过相同的进程进行关联,可以较好地解决上述问题。首先,当发起连接的数据包通过网络检查点时,我们获得即时的进程信息;同时,通知文件系统中的过滤驱动开始捕获该进程访问的所有文件的全路径名。其次,该连接的所有数据包通过网络检查点时,对数据包进行协议分析,判断该连接是否可能向外发送文件信息。最后当出现可能发送文件信息的数据包时,通过进程关联检查在发送该数据包的同时,相关进程正在或曾经访问的文件,以确定为正在传输的文件。
图1为本发明一个实现的系统模块结构图。
图2为综合分析模块流程图。
具体实施例方式
以下结合附图和具体实施例对本发明做进一步说明参见图1,我们实现的具体监控系统由四个模块组成,其中文件系统过滤驱动与网络监控驱动模块则工作在内核层,内核通讯、综合分析两个模块处于应用层。
网络监控驱动是通过挂接网络系统内核API实现的,具体挂接的接口是SendHandler与SendPacketsHandler,该驱动是通过安装内核级服务程序加载的。它负责监控系统的网络使用情况,当某进程开始使用网络时,网络监控驱动截获该请求,并经过内核通讯通知应用层的综合分析模块,综合分析模块再通过内核通讯通知文件系统过滤模块开始监控该进程的文件系统使用情况;当某被监控的连接开始进行已知的文件传输行为时,网络监控驱动将该文件特征传递到综合分析模块,通过进程关联,分析具体传送的文件的物理位置。
文件过滤驱动模块作为I/O子系统的一部分,它的主要任务是对进程访问文件的操作进行监控。记录一定时间内,进程的文件访问情况,并通过内核通讯送交应用层综合分析模块。
内核通讯模块,在应用层分别打开文件系统过滤驱动与网络监控驱动中创建的控制设备,并获得设备句柄,用DeviceIoCtrol的方式通过句柄进行内核与应用层的通讯,为综合分析模块和文件系统过滤驱动、网络监控驱动之间进行数据传递。
参见图2,综合分析模块通过对文件系统监控驱动和网络监控驱动收集的信息,基于相同的进程信息进行对比,再结合文件访问的时间与数据包发送的时间进行分析,最终获得系统通过网络向外发送文件的物理位置信息,并可加以记录。
权利要求
1.基于进程关联的文件传输监控方法,其特征在于至少包含以下步骤步骤1在文件系统驱动中设置文件访问监控点;步骤2在NDIS中间层设置网络检查点,捕获所有向外发送的IP数据包;步骤3当发起连接的数据包通过网络检查点时,获得即时的进程信息,并立即将该进程信息传递给文件访问监控驱动,文件访问监控驱动开始捕获该进程访问的所有文件的信息;步骤4当该连接的所有数据包通过网络检查点时,对数据包进行协议分析,判断该数据包是否可能向外发送文件信息;步骤5当出现可能发送文件信息的数据包时,通过进程关联检查在发送该数据包的同时,相关进程正在访问或曾经访问的文件;步骤6步骤5描述的情况下,比对网络中传送的数据,与相关进程访问文件列表,确定并记录正传送的文件信息。
2.根据权利要求1所述的基于进程关联的文件传输监控方法,其特征在于文件访问监控点的设置是通过文件系统过滤驱动模式实现的。
3.根据权利要求1所述的基于进程关联的文件传输监控方法,其特征在于网络检查点的设置是通过挂接网络系统内核API实现的,具体挂接的接口是SendHandler与SendPacketsHandler。
4.根据权利要求1所述的基于进程关联的文件传输监控方法,其特征在于对数据包是否可能向外发送文件信息的判断,基于对应用层协议的分析a)该数据包的格式是否符合HTTP协议的POST方法;b)该数据包的格式是否符合FTP协议的PUT方法;c)该数据包的格式是否符合SMTP协议,且经协议分析发现携带附件。
全文摘要
基于进程关联的文件传输监控方法,在文件系统驱动中设置文件访问监控点;在NDIS中间层设置网络检查点,捕获所有向外发送的IP数据包;当发起连接的数据包通过网络检查点时,获得即时的进程信息,并立即将该进程信息传递给文件访问监控驱动,文件访问监控驱动开始捕获该进程访问的所有文件的信息;当该连接的所有数据包通过网络检查点时,对数据包进行协议分析,判断该数据包是否可能向外发送文件信息;当出现可能发送文件信息的数据包时,通过进程关联检查在发送该数据包的同时,相关进程正在访问或曾经访问的文件;以确定为正在传输的文件。
文档编号H04L29/08GK1838587SQ200610039898
公开日2006年9月27日 申请日期2006年4月26日 优先权日2006年4月26日
发明者伍卫民, 胡静, 吴剑洪, 谢俊元, 谢立 申请人:南京大学, 江苏南大苏富特软件股份有限公司