专利名称:Windows平台下基于过滤驱动的刻录审计方法
技术领域:
本发明属于计算机系统安全管理技术领域,具体涉及一种Windows平台下基于过滤驱动的刻录审计方法。
背景技术:
光盘作为一种存储介质,因其体积小、容量大、易保存等特点,自面市以来就得到广泛的应用。由于光盘不如USB存储设备容易写入数据,目前,在大部分涉密信息系统中,光盘都被作为涉密信息系统和非涉密信息系统之间进行信息交换的首选介质。即便如此,光盘的使用仍然有一定的安全隐患。在现有技术中,监控用户刻录光盘的行为主要有两种方法一种是在应用层进行API挂钩,通过分析刻录软件的窗口标题等特征获得审计数据;另一种是通过在驱动层拦截所有应用程序的刻录操作来禁用普通的刻录程序,只有技术方案提供的刻录程序才被允许刻录。所有刻录操作都必须且只能由技术方案自身提供的刻录 程序来完成,通过该刻录程序完成对刻录操作的审计。第一种方法和具体的刻录软件密切相关,不同的刻录软件的窗口特征不尽相同,其通用性受到很大的限制。第二种方法对第一种方法有所改善,解决了其通用性问题,但用户必须使用技术方案提供的刻录程序进行刻录,否则刻录审计就会失败。其不足之处在于首先,改变了用户进行刻录操作的方式,用户必须学习使用技术方案提供的刻录程序来完成刻录动作,这样就给用户带来了额外的学习成本。其次,为了兼容不同厂商的刻录机,技术方案提供的刻录程序必须满足标准接口规范,并且提供通用的配置设置。由于普通刻录程序(包括刻录机生产厂商提供的刻录程序)不被允许刻录,导致刻录机的很多技术特性得不到发挥,造成硬件资源的浪费。综上所述,在现有技术中,需要改变用户进行刻录操作的方式来监控刻录行为并获取刻录审计信息。在此种情况下,无法在刻录操作较分散的用户环境中实现监控行为,并且无法充分地利用刻录机的技术特性,造成硬件资源的浪费。因此,需要找到一种方法,能够在不改变用户进行刻录操作的方式,同时又能充分利用刻录机的技术特性的情况下,实现监控行为,获取刻录审计信息。
发明内容
本发明为解决上述现有技术中的不足,提供一种Windows平台下基于过滤驱动的刻录审计方法,在不改变用户执行刻录操作的方式,并且能够充分利用刻录机的技术特性的情况下,实现刻录监控行为,获取刻录审计信息。刻录审计信息包括刻录进程名称、文件名称、文件大小、文件修改日期、文件路径、文件类型、文件所在的计算机IP地址。为解决上述技术问题,本发明采用如下技术方案
Windows平台下基于过滤驱动的刻录审计方法,包含以下步骤
a.安装过滤驱动通过挂载刻录机所使用的功能驱动程序,完成安装过滤驱动;b.捕获刻录操作在用户通过刻录程序发起刻录操作时,过滤驱动捕获刻录操作并获取刻录操作所携带的上下文信息;根据该上下文信息获取刻录操作的基本信息;将刻录操作的基本信息存储在内存中;
所述上下文信息包括SCSI CDB(SCSI Command Descriptor Block,即SCSI命令描述块)、刻录进程ID ;
所述刻录操作的基本信息包括=SCS I命令、SCSI数据块、SCSI数据大小、刻录进程名
称;
所述SCSI数据块包括SCSI数据头、SCSI数据;
C.分析刻录操作通过分析刻录操作的基本信息中的SCSI命令、SCSI数据块,获取文件名称、文件大小、文件修改日期,将文件名称、文件大小、文件修改日期存储在内存中;
d.获取文件路径
用户在刻录文件时,刻录程序首先打开该文件并将该文件中的内容读取到内存中,获取所述刻录程序启动以来打开的所有文件,生成打开文件列表,将打开文件列表中的每个文件与步骤C获取的文件名称匹配,如果匹配成功,则获取文件路径;如果匹配失败,则结束;
将文件路径存储在内存中;
e.获取文件类型和文件所在的计算机IP地址
通过所述文件名称、文件路径获取文件类型、文件所在的计算机IP地址并存储在内存
中;
f.生成审计数据汇总步骤b至步骤e存储在内存中的信息,生成审计数据;
所述审计数据包括刻录进程名称、文件名称、文件大小、文件修改日期、文件路径、文
件类型、文件所在的计算机IP地址。在所述步骤c中,通过分析刻录操作的基本信息中的SCSI命令、SCSI数据块,获取文件名称、文件大小、文件修改日期,进一步包括以下步骤
Cl.根据刻录操作的基本信息中的SCSI命令进行判断,如果SCSI命令是写命令,则继续执行步骤C2 ;如果SCSI命令不是写命令,则结束,即没有发生刻录操作;
c2.获取文件系统类型,通过分析SCSI数据块中的SCSI数据头获取文件系统类型;根据该文件系统类型进行判断,如果该文件系统类型是⑶FS(⑶-ROM File System,即⑶-ROM文件系统),则执行步骤c3 ;如果该文件系统类型是UDF (Universal Disk Format,即通用磁盘格式),则执行步骤c4;
c3.按照CDFS规范,分析SCSI数据块中的SCSI数据,获取文件名称、文件大小、文件修改日期;
c4.按照UDF规范,分析SCSI数据块中的SCSI数据,获取文件名称、文件大小、文件修
改日期。本发明的有益效果在于本发明的Windows平台下基于过滤驱动的刻录审计方法,通过挂载刻录机所使用的功能驱动程序,分析捕获到的刻录操作以及刻录操作所携带的上下文信息,获得刻录审计信息,可针对不同的用户环境,在不改变用户执行刻录操作的方式下,充分利用刻录机的技术特性,实现对刻录操作的监控和审计,可以记录哪台计算机执行了刻录操作,刻录了哪种类型的文件,完整地记录文件属性,有效地防止涉密信息通过刻录方式泄漏和扩散。
图I是本发明的刻录审计方法的流程 图2是本发明的刻录审计方法步骤c的流程 图3是本发明的实施例的刻录审计系统的结构示意图。
具体实施例方式下面将结合附图及实施例,对本发明做进一步详细描述。本发明提供了一种Windows平台下基于过滤驱动的刻录审计方法,其应用场景为局域网环境,如图3所示,该局域网包括服务端计算机301、客户端计算机302。客户端计算机302的操作系统为Windows操作系统,通过客户端计算机302监控刻录行为来获取刻录审计数据,在服务端计算机301上显示审计数据,从而实现刻录审计。例如,客户端计算机302的IP地址为192. 168. O. 85,用户通过客户端计算机302,使用刻录程序 NeroExpress. exe 刻录一个文件路径为 D:\Program Files\Adobe\AdobePhotoshop CS3、文件名称为Photoshop, exe、文件类型为· exe、大小为40M的文件。对文件名称为Photoshop, exe的文件执行刻录整个文件的操作。如图I所示,本发明的Windows平台下基于过滤驱动的刻录审计方法,具体工作步骤如下
a.安装过滤驱动101:在客户端计算机302上,通过挂载刻录机所使用的功能驱动程序,完成安装过滤驱动;
b.捕获刻录操作102:用户在客户端计算机302上通过刻录程序发起刻录操作,刻录文件名称为Photoshop, exe的文件,通过过滤驱动捕获刻录操作并获取刻录操作所携带的上下文信息,包括SCSI CDB (SCSI Command Descriptor Block,即 SCSI 命令描述块)、刻录进程ID1220 ;根据该上下文信息获取刻录操作的基本信息,包括SCSI命令、SCSI数据块、SCSI数据大小、刻录进程名称Nei^Express. exe ;将刻录操作的基本信息存储在内存中;
c.分析刻录操作103:通过分析刻录操作的基本信息中的SCSI命令、SCSI数据,获取文件名称、文件大小、文件修改日期,将文件名称、文件大小、文件修改日期存储在内存中,如图2所示,具体步骤如下
步骤201 :根据刻录操作的基本信息中的SCSI命令进行判断,本实施例是刻录Photoshop, exe文件,因此SCSI命令是写命令,继续执行步骤202,文件可能发生刻录操作;(如果SCSI命令不是写命令,则结束,即文件没有发生刻录操作)
步骤202 :获取文件系统类型,通过分析SCSI数据块中的SCSI数据头获取文件系统类型;本实施例的文件系统类型是⑶FS (⑶-ROM File System,即⑶-ROM文件系统),则执行步骤203 ;(如果该文件系统类型是UDF (Universal Disk Format,即通用磁盘格式),则执行步骤204)
步骤203 :按照CDFS规范,分析SCSI数据块中的SCSI数据,获取文件名称Photoshop,exe、文件大小40M、文件修改日期2012-4-20-8-30-20 ;
步骤204 :按照UDF规范,分析SCSI数据块中的SCSI数据,获取文件名称Photoshop.exe、文件大小40M、文件修改日期2012-4-20-8-30-20 ;
将上述获取的文件名称Photoshop, exe、文件大小40M、文件修改日期2012-4-20-8-30-20存储在内存中;
d.获取文件路径104:用户在刻录文件Photoshop, exe时,刻录程序NeroExpress.exe首先打开该文件并将该文件中的内容读取到内存中,获取所述刻录程序启动以来打开的所有文件,生产打开文件列表,将打开文件列表中的每个文件与步骤c获取的文件名称Photoshop, exe匹配;在本实施例,因为是刻录Photoshop, exe文件,因此打开文件列表中包含Photoshop, exe,因此匹配成功,获取文件路径D: \Program Files\Adobe\AdobePhotoshop CS3 ;(如果匹配失败,则结束,即文件没有发生刻录操作)
将文件路径 D: \Program Files\Adobe\Adobe Photoshop CS3 存储在内存中;
e.获取文件类型和文件所在的计算机IP地址105
通过文件名称 Photoshop, exe、文件路径 D: \Program Files\Adobe\Adobe PhotoshopCS3获取文件类型为.exe、文件所在的计算机IP地址192. 168. 0. 85,并将文件类型为.exe、文件所在的计算机IP地址192. 168. 0. 85存储在内存中;
f.生成审计数据106:汇总步骤b至步骤e存储在内存中的信息,生成审计数据; 所述审计数据包括刻录进程名称NeroExpress. exe、文件名称Photoshop, exe、文件
大小 40M、文件修改日期 2012-4-20-8-30-20、文件路径 D:\Program Files\Adobe\AdobePhotoshop CS3、文件类型· exe、文件所在的计算机IP地址192. 168. 0. 85。客户端计算机302通过TCP协议将监控打印行为获得的审计数据发送至服务端计算机301,在服务端计算机301上显示审计数据,从而实现对刻录操作的审计。
权利要求
1.Windows平台下基于过滤驱动的刻录审计方法,其特征在于,该方法包含以下步骤 a.安装过滤驱动通过挂载刻录机所使用的功能驱动程序,完成安装过滤驱动; b.捕获刻录操作在用户通过刻录程序发起刻录操作时,过滤驱动捕获刻录操作并获取刻录操作所携带的上下文信息;根据该上下文信息获取刻录操作的基本信息;将刻录操作的基本信息存储在内存中; 所述上下文信息包括SCSI CDB(SCSI Command Descriptor Block,即SCSI命令描述块)、刻录进程ID ; 所述刻录操作的基本信息包括=SCSI命令、SCSI数据块、SCSI数据大小、刻录进程名称; 所述SCSI数据块包括SCSI数据头、SCSI数据; C.分析刻录操作通过分析刻录操作的基本信息中的SCSI命令、SCSI数据块,获取文件名称、文件大小、文件修改日期,将文件名称、文件大小、文件修改日期存储在内存中; d.获取文件路径 用户在刻录文件时,刻录程序首先打开该文件并将该文件中的内容读取到内存中,获取所述刻录程序启动以来打开的所有文件,生成打开文件列表,将打开文件列表中的每个文件与步骤C获取的文件名称匹配,如果匹配成功,则获取文件路径;如果匹配失败,则结束; 将文件路径存储在内存中; e.获取文件类型和文件所在的计算机IP地址 通过所述文件名称、文件路径获取文件类型、文件所在的计算机IP地址并存储在内存中; f.生成审计数据汇总步骤b至步骤e存储在内存中的信息,生成审计数据; 所述审计数据包括刻录进程名称、文件名称、文件大小、文件修改日期、文件路径、文件类型、文件所在的计算机IP地址。
2.如权利要求I所述的刻录审计方法,其特征在于所述步骤c中,通过分析刻录操作的基本信息中的SCSI命令、SCSI数据块,获取文件名称、文件大小、文件修改日期,进一步包括以下步骤 Cl.根据刻录操作的基本信息中的SCSI命令进行判断,如果SCSI命令是写命令,则继续执行步骤c2 ;如果SCSI命令不是写命令,则结束,即没有发生刻录操作; c2.获取文件系统类型,通过分析SCSI数据块中的SCSI数据头获取文件系统类型;根据该文件系统类型进行判断,如果该文件系统类型是⑶FS(⑶-ROM File System,即⑶-ROM文件系统),则执行步骤c3 ;如果该文件系统类型是UDF (Universal Disk Format,即通用磁盘格式),则执行步骤c4; c3.按照CDFS规范,分析SCSI数据块中的SCSI数据,获取文件名称、文件大小、文件修改日期; c4.按照UDF规范,分析SCSI数据块中的SCSI数据,获取文件名称、文件大小、文件修改日期。
全文摘要
本发明公开了一种Windows平台下基于过滤驱动的刻录审计方法,该方法包括安装过滤驱动、捕获刻录操作、分析刻录操作、获取文件路径、获取文件类型和文件所在的计算机IP地址、生成审计数据,该方法在不改变用户执行刻录操作的方式下,充分利用刻录机的技术特性,通过基于过滤驱动的方法对刻录操作所携带的刻录信息进行全面审计,能够快速准确地识别出哪台计算机发生了刻录操作,刻录了哪些文件,同时能够获取完整的审计信息,有效地防止涉密信息通过刻录方式泄漏和扩散。
文档编号G06F11/34GK102708317SQ201210133650
公开日2012年10月3日 申请日期2012年5月3日 优先权日2012年5月3日
发明者刘佳琦, 牟流, 金魁 申请人:沈阳通用软件有限公司