一种网络传输文件的审计处理方法
【专利摘要】本发明涉及一种网络传输文件的审计处理方法。所述方法包括构建并安装文件过滤驱动程序,所述文件过滤驱动程序安装在驱动层;所述驱动层监控进程中的文件操作,利用所述文件过滤驱动程序获取进行过操作处理的文件;从所述文件中提取所述文件的文件特征数据;将所述文件特征数据生成文件列表,并发送到应用层;所述应用层将获取到的用户网络传输文件的关键字与所述文件列表进行匹配,将匹配到的文件备份到服务器上。本发明绕过了对网络数据包的解析操作,回避解密等效率低的做法,通过文件过滤驱动和应用层的钩子技术准确识别所有进程中的网络文件传输动作,从而提高了对网络传输文件审计的准确率和效率。
【专利说明】一种网络传输文件的审计处理方法
【技术领域】
[0001]本发明涉及网络安全领域,具体涉及一种网络传输文件的审计处理方法。
【背景技术】
[0002]随着互联网带宽及应用的飞速发展,网络审计系统处理的数据量越来越大,如何准确审计网络环境中传输的文件成为急需解决的技术问题。现有技术中,通过部署在网络环境中的上网行为管理等产品设备,抓取用户数据包并进行解析,根据结果区分出文件的数据包,并将所有相关数据包组合成原文件。
[0003]这种技术对于明文的数据包可实现较准确的解析,但是对于加密数据的解析可能导致解析错误或者组合后原文件不能正确打开等问题。除了准确率较低外,在解析效率上也不是很理想,对于明文的数据包仅是区分普通数据包还是文件数据包就会导致过分繁琐的算法,由于网络数据包有延迟性,导致效率较低。
【发明内容】
[0004]本发明的目的是提供高效的、准确的网络传输文件的审计解决方案,同时可以结合上网行为管理和桌面管理系统等产品,增强其功能的多样性和易用性。
[0005]为实现上述目的,本发明提供了一种网络传输文件的审计处理方法,所述方法包括以下步骤:
[0006]构建并安装文件过滤驱动程序,所述文件过滤驱动程序安装在驱动层;
[0007]所述驱动层监控进程中的文件操作,利用所述文件过滤驱动程序获取进行过操作处理的文件;
[0008]从所述文件中提取所述文件的文件特征数据;
[0009]将所述文件特征数据生成文件列表,并发送到应用层;
[0010]所述应用层将获取到的用户网络传输文件的关键字与所述文件列表进行匹配,将匹配到的文件备份到服务器上。
[0011]与现有技术相比,本发明绕过了对网络中数据包的解析操作,回避解密等效率低的做法,通过文件过滤驱动和应用层的钩子技术准确识别所有进程中的网络文件传输动作,在网络数据包组包之前就获取到准备发送的文件的路径,并将文件副本备份到服务器上。从而提高了对网络传输文件审计的准确率和效率。
【专利附图】
【附图说明】
[0012]图1为本发明实施例一种网络传输文件的审计处理方法的流程图;
【具体实施方式】
[0013]下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
[0014]图1为本发明实施例一种网络传输文件的审计处理方法的流程图。本发明绕过了对网络中数据包的解析操作,回避解密等效率低的做法,通过文件过滤驱动和钩子技术准确识别所有进程中的网络文件传输动作,提供了 一种高效的、准确的网络传输文件的审计处理方法。
[0015]步骤101,构建并安装文件过滤驱动程序,文件过滤驱动程序安装在驱动层。
[0016]具体的,构建文件过滤驱动程序,并将文件过滤驱动程序安装在驱动层,使得文件过滤驱动程序运行在操作系统的内核态中,具有最高的系统权限,可以获取和监控最底层的windows操作系统文件访问操作。
[0017]步骤102,驱动层监控进程中的文件操作,利用文件过滤驱动程序获取进行过操作处理的文件。
[0018]具体的,驱动层监控对文件的读操作或者写操作,以及操作文件的具体进程,其中,文件操作具体指读操作或者写操作。
[0019]步骤103,从文件中提取文件的文件特征数据。
[0020]经过上一步骤获取到进行过操作处理的文件,从而可以提取该文件的文件特征数据,其中文件特征数据可以是文件大小、文件名、文件路径等。
[0021]步骤104,将文件特征数据生成文件列表,并发送到应用层。
[0022]例如,用户A在电脑上对文件1、文件2等多个文件进行过读操作或者写操作,驱动层就会监控到这些文件操作,并利用文件过滤驱动程序获取所有进行过操作处理的文件,其中包括文件1、文件2等,从文件中提取文件大小、文件名、文件路径等文件特征数据,并将这些数据生成文件列表,发送给应用层。
[0023]步骤105,应用层将获取到的用户网络传输文件的关键字与文件列表进行匹配,将匹配到的文件备份到服务器上。
[0024]具体的,当用户进行网络文件传输时,应用层获取网络传输文件的关键字,关键字具体为文件的文件名,与驱动层提交的文件列表中的信息进行匹配,匹配的具体过程包括:首先,依照关键字在文件列表中进行查找;查找到与关键字一致的文件名;根据文件名获得用户网络传输文件的所有文件特征数据。
[0025]因此,通过上述过程可以找到用户网络传输文件,从而获得文件的所有信息,再将文件副本备份到服务器上。
[0026]其中,文件列表中的信息包括文件名、文件大小、文件路径等,用户网络传输文件的关键字是应用层通过钩子技术来获取,应用层利用钩子技术不仅获取了网络传输的文件,也检查了用户的具体操作,区分了用户使用何种应用进行何种操作,例如使用聊天工具传输文件或者只是打开文件。文件除了可以备份到服务器上,如果结合上网行为管理和桌面管理等产品,还可以备份到用户上网行为管理设备上,或者进行其他的操作。
[0027]以审计通过聊天软件skype进行网络传输文件为例,具体审计处理过程如下:
[0028]用户A的电脑中构建并安装了文件过滤驱动程序,一段时间内,用户A对文件1、文件2、文件3等多个本地文件进行了读操作或者写操作。
[0029]电脑操作系统的驱动层监控到用户A对文件1、文件2、文件3等多个本地文件进行过读操作或者写操作,并利用文件过滤驱动程序获取到这些文件。
[0030]下一步,提取这些文件的文件名、文件大小、文件路径等文件特征数据,生成文件列表,发送给应用层。[0031]用户A和用户B同时使用skype客户端,用户A通过skype客户端发送了文件I给用户B,用户A的电脑操作系统的应用层通过对关键代码的钩子操作获取文件I的文件名。
[0032]将获取到的文件名与上一步骤中的文件列表进行匹配,根据匹配的结果,从而获得了文件I的所有文件特征数据(文件大小,文件路径等),还可以将文件I的副本备份到服务器。
[0033]本发明还可以结合上网行为管理和桌面管理等产品,制定对特定文件类型的审计策略,不仅丰富产品的功能,而且多样的策略选择增加了用户对网络文件传输管理的灵活性,易用性。
[0034]以上所述的【具体实施方式】,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的【具体实施方式】而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种网络传输文件的审计处理方法,其特征在于,所述方法包括以下步骤: 构建并安装文件过滤驱动程序,所述文件过滤驱动程序安装在驱动层; 所述驱动层监控进程中的文件操作,利用所述文件过滤驱动程序获取进行过操作处理的文件; 从所述文件中提取所述文件的文件特征数据; 将所述文件特征数据生成文件列表,并发送到应用层; 所述应用层将获取到的用户网络传输文件的关键字与所述文件列表进行匹配,将匹配到的文件备份到服务器上。
2.根据权利要求1所述的方法,其特征在于,所述驱动层监控进程中的文件操作具体为对文件的读操作或者写操作。
3.根据权利要求1所述的方法,其特征在于,所述从所述文件中提取到的所述文件的文件特征数据具体为文件名、文件路径或文件大小。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括,所述应用层利用钩子技术获取所述用户网络传输文件的关键字。
5.根据权利要求1所述的方法,其特征在于,所述网络传输文件的关键字是文件名。
6.根据权利要求1所述的方法,其特征在于,所述应用层将获取到的用户网络传输文件的关键字与所述文件列表进行匹配具体包括: 依照所述关键字在所述文件列表中进行查找; 查找到与所述关键字一致的所述文件名; 利用所述文件名获得所述用户网络传输文件的所有文件特征数据。
【文档编号】H04L29/06GK103685316SQ201310750369
【公开日】2014年3月26日 申请日期:2013年12月31日 优先权日:2013年12月31日
【发明者】杨明磊, 张祺 申请人:北京网康科技有限公司