一种基于驱动过滤技术的动态文件监控和保护系统的制作方法
【专利说明】一种基于驱动过滤技术的动态文件监控和保护系统
[0001]
技术领域
[0002]本发明属于计算机安全技术领域,涉及一种文件监控与保护系统,具体涉及Windows平台中文件访问情况统计、访问权限的问题。
[0003]
【背景技术】
[0004]文件系统是计算机系统中最重要的部分之一,几乎所有的计算机用户都要和文件系统打交道。这样对文件系统的监控和保护必然成为一个不可忽视的部分。但是现在由操作系统或其他第三方软件提供的日志或文件权限控制不能很好的满足个性化的配置要求,或无法动态配置造成了不必要的麻烦。
[0005]当前文件系统监控主要有以下几种,它们都存在一定的缺陷;
1.使用日志系统统计文件的访问情况。这取决于日志系统安全性和稳定性,如果是本地日志系统则可能存在绕过日志系统或删除日志的情况;
2.操作系统自带的文件权限控制。较难实现统一配置,而且不能对不存在的文件进行规则设定;
3.其它第三方基于WindowsAPI的文件监控系统。由于这些系统位于应用层不可避免的会降低运行速度,而且可能无法获知某些系统文件的访问情况;
4.难以实现规则、配置、信息存储分离,造成使用不方便或难以应用到网络环境之中,并且可扩展性不强。
[0006]
【发明内容】
[0007]为了解决上述的技术问题,本发明提出了一种综合运用多种技术以实现动态文件监控和保护的系统。
[0008]本发明所采用的技术方案是:一种基于驱动过滤技术的动态文件监控和保护系统,由驱动模块和客户端部分组成;所述的客户端用于提供可视化的操作界面并负责数据库操作同时向用户展示相关信息;所述的驱动模块为完成文件系统监控和保护的主体,承担规则匹配、文件请求分析、文件请求拦截、向客户端发送信息的功能;所述的驱动模块和客户端之间的通信通过发送消息进行,只要满足规定格式的消息都能被正确接收并解释;其特征在于:所述的驱动模块包括上层驱动单元、驱动主体单元和下层驱动单元,采用驱动过滤技术,采用基于分桶和字典树的匹配算法实现规则匹配,实现驱动模块与客户端完整的通信格式定义,适用于多模可扩展的实时环境配置。
[0009]本发明采用一套完善的通信规则与驱动进行交互,与驱动进行信息交互。实现了各个功能模块间的松耦合,在满足接口要求的情况下可以方便的进行二次开发。
[0010]作为优选,所述的文件监控用于文件访问的控制和文件访问信息的保存,包括阻止对文件的读/写操作、保存文件访问记录、将文件内容进行转存、记录规则变化历史信息。
[0011]作为优选,所述的阻止对文件的读/写操作,其具体实现过程为:在驱动主体单元中规则匹配成功且规则中规定阻止读/写操作,则将该文件请求设置为非法请求,直接返回上层驱动单元不向下层驱动单元传递该请求。
[0012]作为优选,所述的保存文件访问记录,其具体实现过程为:在驱动主体单元中规则匹配成功且规则中规定保存文件访问记录,则将该文件文件名、路径发送到客户端,客户端接收到消息后将相应信息保存到本地或远程数据库中;驱动主体单元则继续将该请求发送到下层驱动单元继续处理。如果保存到本地则可能要处理重入问题。
[0013]作为优选,所述的规则匹配是指将文件访问请求的路径与规则项进行一一匹配,以决定是否采用该规则项规定的操作;匹配的过程采用基于分桶和字典树的匹配算法,其具体实现包括以下子步骤:
步骤1:针对盘符进行分组,将不同盘符的规则分配到不同的组中;
步骤2:将各个组中的第一层路径做成字典树,每个字典树的分支指向下一层路径的分组,下一层路径分组中采用字典序对路径进行排序提高查找效率。
[0014]本算法结合了哈希和字典树的优势,同时考虑了数据结构的复杂性。该算法的缺点是:
1.添加/删除规则项需要较多操作来保持数据结构的完整性。
[0015]2.相对来说占用较多存储空间。
[0016]该算法的优点是:采用分组和排序后能极大提高查询速度。
[0017]通过对应用场景的分析,即文件系统监控器一般来说更多时候需要做查询匹配操作,添加/删除操作只在配置时候才产生,而且增加的存储空间只是规则项的一小部分,事实上该算法的优点产生的作用是完全大于缺点的。
[0018]作为优选,所述的匹配算法匹配成功的标准为:文件请求的路径与规则项路径完全相同,且规则项路径是文件请求的路径的前缀。也就是说这里采用的方式是子文件/文件夹继承父文件夹的规则。这样做能简化规则的设置的过程也能实现规则的嵌套,如子文件可以有比父文件夹更强的控制规则,但对于子文件的规则不用包含父文件夹的规则。
[0019]作为优选,所述的驱动模块与客户端完整的通信格式,因驱动模块到客户端的消息格式和客户端到驱动模块的消息格式不同,故采用的是非对称设计;所述的驱动模块到客户端的消息格式,其通信数据结构包括操作码、临时文件存放路径和源文件存放路径;所述的操作码指明该消息针对的操作类型;所述的临时文件存放路径只有在操作码指示的操作为转存操作时才有意义,复用部分的具体含义与操作码相关;所述的源文件路径指明该操作对应的路径;所述的客户端到驱动模块的消息格式,其通信数据结构包括操作码、状态码和路径;所述的操作码指明该消息针对的操作类型;所述的路径指明该操作对应的文件路径。
[0020]作为优选,所述的驱动模块到客户端的消息格式和客户端到驱动模块的消息格式,在不同的上下文环境中消息中的字段能代表不同的含义,通过字段复用压缩消息的长度。
[0021]作为优选,所述的多模可扩展的实时环境配置,指所述的文件监控和保护系统能配置于多种物理环境中且能动态对控制规则进行配置,配置实时生效无需重新启动系统;当规则的生效与文件访问发生冲突时,其处理过程为:已经访问的文件不受刚生效规则的影响,规则生效后访问的文件受规则的控制。
[0022]本发明实现多模可扩展性主要是基于系统中各个功能模块的松耦合性实现的,系统中的各个功能模块只通过消息通信,不直接调用对方的功能,即调用者和被调用者无需知道对方的真实位置(位于本机还是网络上某台主机),找到真实位置的过程交由TCP/IP的路由机制完成,采用该技术也实现了高可扩展性,即每个功能模块可以相互独立的修改扩充只要满足功能模块间通信规则即可。
[0023]作为优选,所述的多种物理环境包括单机和联网。
[0024]本发明采用了客户端-驱动体系架构,并综合运用多种技术。实现了对文件系统的监控,并提供动态更新规则的功能。一方面本发明在驱动中处理文件请求更有效率,避免过度影响用户对计算机的使用。另一方面本发明定义了完整的通信规则也提高了可扩展性,比如可以由用户方自行开发客户端,从而更贴近用户使用习惯。需要说明的是客户端和驱动不一定安装到同一主机,即本系统可适应多种配置环境。
[0025]本发明致力于为企业、团队提供一个方便统一设置和方便易用的文件系统监控器。管理员只要设置统一的规则就能对每个用户对文件访问进行监控,保障了机密信息不外泄的同时不影响用户对系统的使用。由于该发明的核心部分位于驱动模块,使得破解的难度增大,在提高效率的同时保障了安全性。
[0026]与以往工作相比,本发明有自己的独特之处,主要表现为:
1.将文件的访问控制在驱动模块中实现加快了运行速度,避免影响一般使用。支持动态配置免去配置时候的麻烦;
2.高可扩展性可支持用户自定义,各个组件进行了分类并采用消息通信,方便进行二次开发;
3.结合了数据库,将信息保存到远程数据库方便日后查看,同时便于利用数据库提供的各种功能(如数据挖掘、条件查询等)。
[0027]本发明的有益效果为:
1.易用性,方便管理员进行统一配置,并且能对网络环境有良好的支持,进行少量修改即可支持远程配置;
2.高效性,监控和保护操作在驱动模块中完成避免了客户端和驱动模块切换带来的时间开销。同时驱动模块能获得更多的信息,避免某些文件的遗漏;
3.本系统与网络结合,支持将相关数据保存到远程数据库中,避免了单机系统中带来的不稳定性。同时方便日后的数据分析和查询。
[0028]综上所述,本发明非常适合对文件使用需要监控和保护并希望进行统一管理的大型企业或团队。由于本发明基于驱动完成并定义了一套完善的驱动和客户端的通信规则,提高了可扩展性,并集成了数据库