一种基于smb协议的共享文件操作过滤方法

一种基于smb协议的共享文件操作过滤方法
【技术领域】
[0001]本发明涉及一种文件过滤的方法，尤其是涉及一种基于SMB协议的共享文件操作过滤方法。
【背景技术】
[0002]随着计算机网络技术的飞速发展，信息的获取、共享和传播变得更加方便，但是也增加了信息泄密的风险。政府和企业内部，重要文件在多人间流转共享，增加了泄露数据的可能。如何有效地对共享文件进行安全管理，成为当前政府和企业关注的焦点和研宄的热点。
[0003]对于文件操作行为的监控和管理可以通过文件操作过滤技术实现，这是一种有效的文件监控手段。基于Windows文件操作系统，文件操作过滤技术主要依靠拦截尚未到达指定驱动的文件操作请求，并通过专门的处理手段优先分析和处理这些请求达到过滤操作行为的目的，作为一种典型的文件过滤驱动，其可以工作在文件系统驱动的上层或者下层，如果工作在文件系统驱动的上层，则可以在文件系统驱动之前先获得到用户的请求，从而对请求进行前期处理；如果工作在文件系统驱动的下层，则驱动程序在文件系统驱动对请求处理之后，在网络设备或者磁盘存储设备获得文件数据之前对其进行处理。
[0004]本发明所提出的文件操作过滤技术，能够记录Windows系统内各类文件的基本操作行为，例如文件的创建，读，写，添加，修改等等。同时，对文件系统增加了透明的附加功會K。
[0005](I)仅仅基于文件过滤驱动的监控技术只能对本地单机系统内的目标文件进行监管，无法有效地识别出新下载到本机的文件，监管粒度较差；(2)已知的文件监控系统普遍实行全域监控，缺少有效过滤规则，增加系统负担；(3)用户往往需要安装特定的客户端访问浏览器，且监控系统的升级维护需要对客户端进行逐个操作。针对上述三点问题，本发明提出了一种兼具共享资源的下载监控和本地监控双重策略的文件操作过滤技术，能够对局域网内的共享文件访问行为进行监控。

【发明内容】

[0006]本发明的目的是提供一种基于SMB协议的共享文件操作过滤方法。
[0007]本发明的目的是这样实现的:
[0008](I)保持对系统139、445端口的监听和数据包分析，Windows的文件共享多基于TCP协议实现，并使用139、445端口 ；
[0009](2)对于所有捕捉的数据包进行IP过滤、SMB级过滤、获取文件名逐级操作；
[0010](3)将符合自定义监控规则的文件类型及对应文件名称自动加入操作过滤监听列表;
[0011](4)网络数据包转入本地监控，系统继续监听本地驱动器进程，获取文件创建消息，获得新创建的文件名；
[0012](5)将本地新创建文件与监听列表中文件进行名称、容量基本信息比对，若相同则认为是合法下载操作并对该文件进行透明加密操作；
[0013](6)常驻系统监听本地进程，获取文件的操作消息，若为监控列表中文件，当文件被打开时需验证用户权限，验证成功透明解密文件，不成功则拒绝访问并给出提示。
[0014]本发明的有益效果在于:不同于已有的文件操作管控技术，本方法不但能对本地文件进行有效管理，还可以对来自通过共享方式应用和下载的文件加以监管；基于应用层协议的分析过滤策略和操作系统内核过滤驱动，使得操作透明，难以干扰，安全性高；在监管过程中，使用透明加解密算法对文件加以保护，用户无需介入和学习，具有较好的体验性；本方法实现了对剪切板、截屏软件、快捷键等一揽子拷贝复制的拦截，保证资源安全性。
【附图说明】
[0015]图1为文件操作过滤部署环境示意图。
[0016]图2为SMB协议监听分析流程图。
[0017]图3为SMB级消息过滤关键代码。
[0018]图4为文件本地化监控原理图。
【具体实施方式】
[0019]下面结合附图对本发明做进一步描述。
[0020]本方法为共享文件下载的监控以及离线使用的全生命周期管理提供了行之有效的解决方案。在文件被下载到本地的第一时间内该方法通过监听和解析SMB协议报文内容捕获到监控文件，并对其进行并行的加密操作；在保证资源安全基础上，整个过滤操作对用户透明，确保资源的监控粒度。
[0021]本发明是一种共享文件操作过滤方法，通过协议分析、内核驱动过滤以及安全组合策略实现对于目标文件生命周期内操作行为的管理和控制。其工作流程如下:
[0022]保持对系统139、445端口的监听和数据包分析，Windows的文件共享多基于TCP协议实现，并使用139、445端口 ；
[0023]对于所有捕捉的数据包进行IP过滤、SMB级过滤、获取文件名等逐级操作；
[0024]将符合自定义监控规则的文件类型及对应文件名称自动加入操作过滤监听列表;
[0025]网络数据包转入本地监控，系统继续监听本地驱动器进程，获取文件创建消息，获得新创建的文件名；
[0026]将本地新创建文件与监听列表中文件进行名称、容量等基本信息比对，若相同则认为是合法下载操作并对该文件进行透明加密操作；
[0027]常驻系统监听本地进程，获取文件的操作消息，若为监控列表中文件，当文件被打开时需验证用户权限，验证成功透明解密文件，不成功则拒绝访问并给出提示；
[0028]上述基于SMB协议文件操作过滤方法适用于WindowsXP、Windows7以及Windows8系列32位及64位操作系统。可应用于对共享资源有安全管控需求的场合，整个操作流程实现透明化追踪和处理，无需用户操作和配置，仅需一键安装推送插件即可。
[0029]本发明是以文件共享及操作过滤规则为基础，提出了基于SMB协议的文件使用管控机制，在实现文件网络化过滤功能的基础上，全部操作对用户透明，并具有良好的用户体验。
[0030]本发明是一种文件操作过滤方法，通过程序设计、信息安全策略实现文件安全操作的管理和控制。其工作流程如下:
[0031]a)系统保持对139、445端口监听和数据包分析；
[0032]b)对数据包进行常规过滤、IP过滤、SMB级过滤、文件名分析四级过滤；
[0033]c)将确定的文件名称加入文件操作过滤的监听列表中；
[0034]d)监听本地驱动器进程，在文件保存到本地时获取创建消息，得到新创建文件名；
[0035]e)将新创建文件名与监听列表中文件进行比对，若相同则认为是下载操作，对该文件进行加密操作；
[0036]f)监听本地驱动器进程，获取文件打开消息，若为加密列表中文件，验证用户权限，解密文件；
[0037]以基于SMB协议的文件操作过滤系统为例，详细说明本发明的技术方案和创新点。本例是一个以C#(其他高级编程语言亦可，具有通用性)语言编写的文件操作过滤系统，实现用户从共享服务器下载至本地应用的文件操作监管，系统网络示意图如图1所示。
[0038]本方法中网络过滤部分是基于SMB协议的，系统网络驱动嗅探程序提取所有访问本机的数据包，由于访问量较大，为了快速、精确的定位来自共享服务器的文件，系统定义了四层过滤规则，过滤流程如图2所示。系统需要监控的共享文件使用SMB协议，而SMB协议是基于底层TCP协议传输的，通常使用端口 139、445。第一层过滤为常规过滤，共享文件数据长度至少为I个字符，如果长度小于I个字符的直接丢弃；长度超过I个字符的数据进入第二层过滤。第二层过滤为IP过滤(网络层分析)，首先分析数据包头的源地址部分，如果源地址为共享服务器IP地址，则文件进入下一层过滤，否则直接将数据包丢弃。第三层过滤为SMB级过滤(应用层分析)，SMB协议数据报头为32字节，其中前4字节为协议字段，协议要求这四个字节分别为字符串“\xFF”、“S”、“M”、“B”，因此若字段为0x424d53fT，可直接判定此数据包为SMB数据包，进入下一层过滤，实现代码见图3。第四层过滤为文件格式过滤，将特定格式文件的名称加入文件控制列表file_list_temp中，格式不符的数据包将被丢弃。在整个工作过程中，网络过滤部分始终重复上述操作，符合过滤规则的文件会被自动加入文件监控列表。
[0039]通过网络过滤下载到本地的文件，主要通过文件监控列表管理，并基于Windows文件过滤驱动实现，监控功能运行在驱动级，原理如图4所示。watcher_Created()函数能够监视文件的创建动作，并获取文件创建消息，并过滤掉不符合规则的文件格式。通过本地过滤规则所创建的文件名与网络过滤文件列表中的文件进行比对，如果文件名相同默认此文件为共享服务器下载下来的目标文件，自动加入fi le_list监视列表中。
[0040]系统对从共享服务器下载的文件进行加密操作，加密后的文件名变为“文件名.crypt”。当文件过滤系统监测到fi le_l ist列表中的文件被打开时，系统会验证当前用户权限，若用户具有相应权限，系统会将文件透明解密。若用户无权限，系统会屏蔽该操作。
【主权项】
1.一种基于SMB协议的共享文件操作过滤方法，其特征在于，包括如下步骤: (1)保持对系统139、445端口的监听和数据包分析，Windows的文件共享多基于TCP协议实现，并使用139、445端口 ； (2)对于所有捕捉的数据包进行IP过滤、SMB级过滤、获取文件名逐级操作； (3)将符合自定义监控规则的文件类型及对应文件名称自动加入操作过滤监听列表； (4)网络数据包转入本地监控，系统继续监听本地驱动器进程，获取文件创建消息，获得新创建的文件名； (5)将本地新创建文件与监听列表中文件进行名称、容量基本信息比对，若相同则认为是合法下载操作并对该文件进行透明加密操作； (6)常驻系统监听本地进程，获取文件的操作消息，若为监控列表中文件，当文件被打开时需验证用户权限，验证成功透明解密文件，不成功则拒绝访问并给出提示。
【专利摘要】本发明涉及一种文件过滤的方法，尤其是涉及一种基于SMB协议的共享文件操作过滤方法。本发明包括：保持对系统139、445端口的监听和数据包分析；对于所有捕捉的数据包进行IP过滤、SMB级过滤、获取文件名逐级操作；将符合自定义监控规则的文件类型及对应文件名称自动加入操作过滤监听列表；网络数据包转入本地监控，系统继续监听本地驱动器进程，获取文件创建消息，获得新创建的文件名；将本地新创建文件与监听列表中文件进行名称、容量基本信息比对；常驻系统监听本地进程，获取文件的操作消息。本方法基于应用层协议的分析过滤策略和操作系统内核过滤驱动，使得操作透明，难以干扰，安全性高。
【IPC分类】H04L29-08
【公开号】CN104683477
【申请号】CN201510117533
【发明人】孙建国, 李佳楠, 李博权
【申请人】哈尔滨工程大学
【公开日】2015年6月3日
【申请日】2015年3月18日