一种数据审计方法、装置、电子设备及存储介质转让专利
申请号 : CN201911236415.8
文献号 : CN111090623B
文献日 : 2021-08-13
发明人 : 张志强
申请人 : 深信服科技股份有限公司
摘要 :
权利要求 :
1.一种数据审计方法,其特征在于,包括:记录外发文件进程对应的事件创建序列;其中,所述事件创建序列包括事件种类和创建时间;
判断所述事件创建序列是否符合外发文件特征库中的事件创建规则;
若是,则生成所述事件创建序列对应的外发文件审计日志;
当检测到所述外发文件审计日志包括异常信息时,执行所述异常信息对应的处理操作;
其中,所述外发文件进程包括存储设备外发进程、蓝牙外发进程、隔空投送进程、即时通信进程和浏览器外发进程中任一项进程或任几项进程的组合,所述存储设备外发进程包括桌面服务助手进程、文件拷贝进程和文件移动进程中任一项进程或任几项进程的组合。
2.根据权利要求1所述数据审计方法,其特征在于,在记录外发文件进程对应的事件创建序列之前,还包括:
查询存储设备的设备挂载路径;
相应的,当所述外发文件进程包括所述存储设备外发进程时,判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括:根据所述设备挂载路径判断所述事件创建序列是否符合外发文件特征库中的事件创建规则。
3.根据权利要求2所述数据审计方法,其特征在于,根据所述设备挂载路径判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括:当所述外发文件进程包括桌面服务助手进程时,根据所述设备挂载路径判断所述桌面服务助手进程对应的事件创建序列中是否包括第一事件序列;若包括所述第一事件序列则判定符合所述外发文件特征库中的事件创建规则;其中,所述第一事件序列包括第一读取事件和第一文本写入事件,所述第一读取事件对应的文件名与第一文本写入事件对应的文件名相同,所述第一文本写入事件的设备路径为所述设备挂载路径。
4.根据权利要求2所述数据审计方法,其特征在于,根据所述设备挂载路径判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括:当所述外发文件进程包括文件拷贝进程时,根据所述设备挂载路径判断所述文件拷贝进程对应的事件创建序列中是否包括第二事件序列;若包括所述第二事件序列则判定符合所述外发文件特征库中的事件创建规则;其中,所述第二事件序列包括第二读取事件和第一文件长度截取事件,所述第二读取事件的创建时间早于所述第一文件长度截取事件,所述第一文件长度截取事件的设备路径为所述设备挂载路径。
5.根据权利要求2所述数据审计方法,其特征在于,根据所述设备挂载路径判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括:当所述外发文件进程包括文件移动进程时,根据所述设备挂载路径判断所述文件移动进程对应的事件创建序列中是否包括第三事件序列;若包括所述第三事件序列则判定符合所述外发文件特征库中的事件创建规则;其中,所述第三事件序列包括第三读取事件和第二文件长度截取事件,所述第三读取事件的创建时间早于所述第二文件长度截取事件,所述第二文件长度截取事件的设备路径为所述设备挂载路径。
6.根据权利要求2所述数据审计方法,其特征在于,所述查询存储设备的设备挂载路径包括:
查询硬盘分区信息,并将所述硬盘分区信息中包括目标字段的挂载点作为目标设备挂载点;
获取所述目标设备挂载点对应的存储设备标识,并将设备目录中与所述存储设备标识对应的挂载路径作为所述存储设备的设备挂载路径。
7.根据权利要求1所述数据审计方法,其特征在于,判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括:当所述外发文件进程包括蓝牙外发进程时,判断所述蓝牙外发进程对应的事件创建序列中是否包括内存同步事件;
若是,则判定所述蓝牙外发进程对应的事件创建序列符合外发文件特征库中的事件创建规则。
8.根据权利要求1所述数据审计方法,其特征在于,判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括:当所述外发文件进程包括隔空投送外发进程时,判断所述隔空投送外发进程对应的事件创建序列是否符合外发文件特征库中的隔空投送事件创建规则;其中,所述隔空投送事件创建规则为所述隔空投送外发进程对应的事件创建序列包括第三读取事件和文件描述符修改事件,第三读取事件或文件描述符修改事件对应的文件夹不为目标系统文件夹;
若是,则判定所述隔空投送外发进程对应的事件创建序列符合外发文件特征库中的事件创建规则。
9.根据权利要求1所述数据审计方法,其特征在于,判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括:当所述外发文件进程包括即时通信进程时,判断所述即时通信进程对应的事件创建序列中是否符合即时通信外发事件规则;其中,所述即时通信外发事件规则为所述通信进程对应的事件创建序列包括第四读取事件,且不包括重命名事件,所述第四读取事件不为读取图片格式文件对应的事件;
若是,则判定所述即时通信进程对应的事件创建序列符合外发文件特征库中的事件创建规则。
10.根据权利要求1所述数据审计方法,其特征在于,判断所述事件创建序列是否符合外发文件特征库中的事件创建规则包括:当所述外发文件进程包括浏览器外发进程时,判断所述事件创建序列是否符合外发文件特征库中的第一浏览器外发事件创建规则或第二浏览器外发事件创建规则;其中,所述第一浏览器外发事件创建规则为所述浏览器外发进程对应的事件创建序列包括获取目标文件属性和所述目标文件所在的文件夹属性的连续文件系统属性获取事件,所述浏览器外发进程对应的事件创建序列不包括系统文件夹访问事件;所述第二浏览器外发事件创建规则为所述浏览器外发进程对应的事件创建序列包括第五读取事件,所述第五读取事件不为读取资源文件对应的读取事件、打开选择文件的弹框对应的读取事件、在弹框中选中文件对应的读取事件或下载文件对应的读取事件;
若是,则判定所述浏览器外发进程对应的事件创建序列符合外发文件特征库中的事件创建规则。
11.根据权利要求1至10任一项所述数据审计方法,其特征在于,生成所述事件创建序列对应的外发文件审计日志包括:确定所述事件创建序列对应的用户身份标识、事件类型、外发文件进程标识和被外发文件的文件路径;
根据所述用户身份标识、所述事件类型、所述外发文件进程标识和所述被外发文件的文件路径生成所述外发文件审计日志。
12.一种数据审计装置,其特征在于,包括:序列记录模块,用于记录外发文件进程对应的事件创建序列;其中,所述事件创建序列包括事件种类和创建时间;
判断模块,用于判断所述事件创建序列是否符合外发文件特征库中的事件创建规则;
审计模块,用于当所述事件创建序列符合外发文件特征库中的事件创建规则时,生成所述事件创建序列对应的外发文件审计日志;
异常处理模块,用于当检测到所述外发文件审计日志包括异常信息时,执行所述异常信息对应的处理操作;
其中,所述外发文件进程包括存储设备外发进程、蓝牙外发进程、隔空投送进程、即时通信进程和浏览器外发进程中任一项进程或任几项进程的组合,所述存储设备外发进程包括桌面服务助手进程、文件拷贝进程和文件移动进程中任一项进程或任几项进程的组合。
13.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1至11任一项所述数据审计方法的步骤。
14.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上权利要求1至11任一项所述数据审计方法的步骤。
说明书 :
一种数据审计方法、装置、电子设备及存储介质
技术领域
背景技术
发文件的具体内容。
析的事件类型单一,对于外发产生复杂事件识别率较低。
发明内容
外发进程包括桌面服务助手进程、文件拷贝进程和文件移动进程中任一项进程或任几项进
程的组合。
列则判定符合所述外发文件特征库中的事件创建规则;其中,所述第一事件序列包括第一
读取事件(即第一读取事件)和第一文本写入事件,所述第一读取事件对应的文件名与第一
文本写入事件对应的文件名相同,所述第一文本写入事件的设备路径为所述设备挂载路
径。
符合所述外发文件特征库中的事件创建规则;其中,所述第二事件序列包括第二读取事件
和第一文件长度截取事件,所述第二读取事件的创建时间早于所述第一文件长度截取事
件,所述第一文件长度截取事件的设备路径为所述设备挂载路径。
符合所述外发文件特征库中的事件创建规则;其中,所述第三事件序列包括第三读取事件
和第二文件长度截取事件,所述第三读取事件的创建时间早于所述第二文件长度截取事
件,所述第二文件长度截取事件的设备路径为所述设备挂载路径。
送事件创建规则为所述隔空投送外发进程对应的事件创建序列包括第三读取事件和文件
描述符修改事件,第三读取事件或文件描述符修改事件对应的文件夹不为目标系统文件
夹;
进程对应的事件创建序列包括第四读取事件,且不包括重命名事件,所述第四读取事件不
为读取图片格式文件对应的事件;
所述第一浏览器外发事件创建规则为所述浏览器外发进程对应的事件创建序列包括获取
目标文件属性和所述目标文件所在的文件夹属性的连续文件系统属性获取事件,所述浏览
器外发进程对应的事件创建序列不包括系统文件夹访问事件;所述第二浏览器外发事件创
建规则为所述浏览器外发进程对应的事件创建序列包括第五读取事件,所述第五读取事件
不为读取资源文件对应的读取事件、打开选择文件的弹框对应的读取事件、在弹框中选中
文件对应的读取事件或下载文件对应的读取事件;
骤。
文件特征库中的事件创建规则;若是,则生成所述事件创建序列对应的外发文件审计日志;
当检测到所述外发文件审计日志包括异常信息时,执行所述异常信息对应的处理操作。。
以判断是否存在文件外发事件。本申请通过将时间创建序列与外发文件特征库中的事件创
建规则进行匹配,若匹配成功则说明时间创建序列中包括外发文件进程外发文件时创建的
时间序列,进而可以根据时间创建序列生成对应的外发文件审计日志。本申请基于外发文
件进程的事件创建序列判断是否存在文件外发行为,能够提高外发文件审计精准度,扩大
外发文件审计范围。本申请同时还提供了一种数据审计装置、一种电子设备和一种存储设
备,具有上述有益效果,在此不再赘述。
附图说明
员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
具体实施方式
本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员
在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
算机B外发文件,笔记本电脑A可以通过蓝牙功能向智能手机C外发文件,笔记本电脑A可以
通过通用串行总线向移动硬盘D外发文件,笔记本电脑A可以通过通用网络向某网站的服务
器E外发文件。
即实现外发文件行为的进程,每一种外发文件方式都可以具有其对应的外发文件进程。进
程是一个具有一定独立功能的程序关于某个数据集合的一次运行活动。进程是操作系统动
态执行的基本单元,在计算机操作系统中,进程既是基本的分配单元,也是基本的执行单
元。外发文件进程是计算机中将本地文件发送至其他设备的程序的实例。具体的,本实施例
中所提到的外发文件进程包括可以存储设备外发进程、蓝牙外发进程、隔空投送外发进程
(即可以是AirDrop外发进程)、即时通信进程或浏览器外发进程,当然本实施例中的外发文
件进程可以包括上述多种进程。可以理解的是,存储设备外发进程为向U盘、移动硬盘等存
储设备传输文件的进程;蓝牙外发进程为通过蓝牙技术向其他设备传输文件的进程;隔空
投送外发进程为通过AirDrop(即可以是隔空投送)向其他设备传输文件的进程;即时通信
进程为通过InstantMessaging(IM)技术向其他设备传输文件的进程;浏览器外发进程为通
过电子设备的浏览器向其他设备传输文件的进程。进一步的,上述存储设备外发进程包括
Desktop Services Helper进程(即可以是桌面服务助手进程)、文件拷贝进程和文件移动
进程中任一项进程或任几项进程的组合。
和每一事件的创建时间。
时标准的事件创建规则,事件创建规则中记录有外发文件行为对应的事件种类和创建顺
序。
征库中的事件创建规则。举例说明上述过程,例如外发文件特征库中包括三条事件创建规
则:第一事件创建规则为先后创建事件A、事件B和事件C,第二事件创建规则为先后创建事
件A、事件D和事件C,第三事件创建规则为先后创建事件A、事件C和事件B;若外发送文件进
程在第1秒创建事件A、在第2秒创建事件C,在第3秒创建事件B,此时可以判定外发文件进程
对应的事件创建序列符合第三事件创建规则,说明外发文件进程执行了文件外发操作。
条事件创建规则均不符合时,说明外发文件进程没有执行文件外发操作,可以结束本实施
例的操作流程。作为一种可行的实施方式,本实施例S101中所记录的外发文件进程对应的
事件创建序列可以为,目标时间段内外发文件进程对应的事件创建序列,若目标时间段对
应的事件创建序列与外发文件特征库中不与任意一条事件创建规则符合,可以记录目标时
间段之后的其他目标时间段内的外发文件进程对应的事件创建序列并重新进入S102的判
断操作。
志的过程可以包括:确定所述事件创建序列对应的用户身份标识、事件类型、外发文件进程
标识和被外发文件的文件路径;根据所述用户身份标识、所述事件类型、所述外发文件进程
标识和所述被外发文件的文件路径生成所述外发文件审计日志。
设置异常信息对应的处理操作,例如当异常信息为向黑名单中的用户发送文本信息时,执
行的处理操作可以包括生成异常报警信息,异常报警信息可以包括发送文本信息的用户的
用户名、发送时间、发送内容等信息,执行的处理操作还可以将发送文本信息的用户添加至
监控对象名单中,以便对监控对象名单中用户的操作行为进行监控。
可以判断是否存在文件外发事件。本实施例通过将时间创建序列与外发文件特征库中的事
件创建规则进行匹配,若匹配成功则说明时间创建序列中包括外发文件进程外发文件时创
建的时间序列,进而可以根据时间创建序列生成对应的外发文件审计日志。本实施例基于
外发文件进程的事件创建序列判断是否存在文件外发行为,能够提高外发文件审计精准
度,扩大外发文件审计范围。
径。本实施例还可以存在更新存储设备挂载表的操作,当检测到新挂载的存储设备时,可以
查询该存储设备的设备挂载路径,并在存储设备挂载表中添加新挂载的存储设备及设备挂
载路径的对应关系。当然本实施例还可以查询硬盘分区信息,并将所述硬盘分区信息中包
括目标字段的挂载点作为目标设备挂载点。在获取所述目标设备挂载点对应的存储设备标
识后,可以将/Volumes目录(即可以是设备目录)中与所述存储设备标识对应的挂载路径作
为所述存储设备的设备挂载路径。存储设备标识可以为用户为存储设备自定义的名称,也
可以为存储设备自身的序列号。具体的,目标字段可以为external physical(外部物理设
备),即若某一挂载点的硬盘分区信息显示该挂载点连接的是外部物理设备,则说明该挂载
点为目标设备挂载点。/Volumes目录为U盘、移动硬盘等存储设备挂载目录。
命令行mv。最后,电子设备向存储设备外发文件的外发类型可以是文件或者是文件夹。
Services Helper(桌面服务帮助)进程的2个事件确定,即
出现open/read/creat事件。当这两个事件对应的文件名相同时,认为发生了拷贝。
件序列;若包括所述第一事件序列,则判定符合所述外发文件特征库中的事件创建规则;其
中,所述第一事件序列包括第一open/read事件(即第一读取事件)和第一open/write/
creat事件,所述第一open/read事件对应的文件名与第一open/write/creat事件对应的文
件名相同,所述第一open/write/creat事件的usb_path路径(即可以是设备路径)为所述设
备挂载路径。
拷贝或同时拷贝大量文件时,第一个open/read事件与第一个open/write/creat/trunc事
件是配对的。那么只需要将open/read事件保存下来,遇到一个open/write/creat/trunc事
件就输出一条审计日志即可。
则判定符合所述外发文件特征库中的事件创建规则;其中,所述第二事件序列包括第二
open/read事件(即可以是第二读取事件)和第一open/write/creat/trunc事件,所述第二
open/read事件的创建时间早于所述第一open/write/creat/trunc事件,所述第一open/
write/creat/trunc事件(即可以是第一文件长度截取事件)的usb_path路径为所述设备挂
载路径。当所述外发文件进程包括文件移动进程时,根据所述设备挂载路径判断所述文件
移动进程对应的事件创建序列中是否包括第三事件序列;若包括所述第三事件序列则判定
符合所述外发文件特征库中的事件创建规则;其中,所述第三事件序列包括第三open/read
事件(即可以是第三读取事件)和第二open/write/creat/trunc事件(即可以是第二文件长
度截取事件),所述第三open/read事件的创建时间早于所述第二open/write/creat/trunc
事件,所述第二open/write/creat/trunc事件的usb_path路径为所述设备挂载路径。
存在监控存储设备插入的操作,若检测到存储设备挂载于电子设备,可以执行存储设备外
发进程对应的事件创建序列的相关操作。
检测到U盘插入时,判断与U盘拷贝相关的进程产生的事件是否符合外发特征,若是,则输出
外发文件审计日志;若否,则继续获取实时获取各个进程产生事件。下面通过一个具体的实
施例说明在MAC OS的计算机上监控U盘插入的实施方式:在MAC OS的计算机上U盘、移动硬
盘等存储设备都是挂载在/Volumes目录下的,那么只要确定其下的设备是U盘,那么路径带
有/Volumes/USB_NAME/的都是U盘的文件。监控U盘的插入,可以通过以下方式实现:首先用
diskutil list命令得到MAC上挂在的所有设备,其中U盘带有’(external,physical)’字
段,通过过滤这’(external,physical)’字段可以得到U盘的挂载点/dev/diskxx。然后,可
以使用mount|grep/dev/disk2从挂载的设备列表中获取U盘列表。最后,进入/Volumes目录
将其中的每个设备名字加上/Volumes/前缀,判断这个字符串是否在刚才返回的设备列表
中,若是则判断该设备为U盘。
以下步骤:当所述外发文件进程包括蓝牙外发进程时,判断所述蓝牙外发进程对应的事件
创建序列中是否包括fsync事件(即可以是内存同步事件);若是,则判定所述蓝牙外发进程
对应的事件创建序列符合外发文件特征库中的事件创建规则。
的文件。
括以下步骤:判断所述隔空投送外发进程对应的事件创建序列是否符合外发文件特征库中
的隔空投送事件创建规则;其中,所述隔空投送事件创建规则为所述隔空投送外发进程对
应的事件创建序列包括第三open/read事件和fcntl事件(即可以是文件描述符修改事件),
第三open/read事件或fcntl事件对应的文件夹不为目标系统文件夹;若是,则判定所述隔
空投送外发进程对应的事件创建序列符合外发文件特征库中的事件创建规则。
以下步骤:判断所述即时通信进程对应的事件创建序列中是否符合即时通信外发事件规
则;其中,所述即时通信外发事件规则为所述通信进程对应的事件创建序列包括第四open/
read事件(即可以是第四读取事件),且不包括rename事件(即可以是重命名事件),所述第
四open/read事件不为读取图片格式文件对应的事件;若是,则判定所述即时通信进程对应
的事件创建序列符合外发文件特征库中的事件创建规则。
的open/read事件标识外发行为,然后过滤掉非外发产生的open/read事件。首先,即时通信
进程读取自带的资源文件(均为图片格式)时会产生open/read事件,解决办法是不审计图
片格式的外发,只审计手动指定的文件后缀名。其次,接收文件也会产生open/read事件,解
决办法是如果open/read前面有个文件名相同的rename事件,那么这是接收的事件,不作审
计。
以下步骤:判断所述事件创建序列是否符合外发文件特征库中的第一浏览器外发事件创建
规则或第二浏览器外发事件创建规则;其中,所述第一浏览器外发事件创建规则为所述浏
览器外发进程对应的事件创建序列包括获取目标文件属性和所述目标文件所在的文件夹
属性的连续getattrlist事件(即可以是文件系统属性获取事件),所述浏览器外发进程对
应的事件创建序列不包括系统文件夹访问事件;所述第二浏览器外发事件创建规则为所述
浏览器外发进程对应的事件创建序列包括第五open/read事件(即第五读取事件),所述第
五open/read事件不为读取资源文件对应的open/read事件、打开选择文件的弹框对应的
open/read事件、在弹框中选中文件对应的open/read事件或下载文件对应的open/read事
件;若是,则判定所述浏览器外发进程对应的事件创建序列符合外发文件特征库中的事件
创建规则。
列,可以对这些文件夹做过滤。
况有:读取资源文件、打开选择文件的弹框、在弹框中选中文件、下载文件。可以通过以下方
式识别浏览器外发事件序列中的无关事件:
行审计:
的事件。
载文件产生的事件。
电子设备的审计日志保存在/var/audit,与审计相关的配置在/private/etc/security,在
这里可以找到支持审计的事件类型外发审计只与文件相关,因此在程序中配置fr,fw,fm,
fc这四种类型。此外,MAC OS的电子设备提供了读取日志的管道/dev/auditpipe,可以实时
读取产生的日志。日志内容包括执行操作的用户,事件类型,产生事件的进程和操作的文件
等。外发文件审计日志记录的内容可以包括当前用户为root,进程DesktopServices操作了
文件/Volumes/.../444.rtf,操作类型是open/write。通过管道/dev/auditpipe读取的事
件会先保存在一个缓存区中,最大可同时保存1024个事件,容量是比较小的。所以获取事件
的线程处理事件时不能有太耗时的操作,否则会造成缓存区溢出,事件丢失从而导致漏审。
可以判断是否存在文件外发事件。本实施例通过将时间创建序列与外发文件特征库中的事
件创建规则进行匹配,若匹配成功则说明时间创建序列中包括外发文件进程外发文件时创
建的时间序列,进而可以根据时间创建序列生成对应的外发文件审计日志。本实施例基于
外发文件进程的事件创建序列判断是否存在文件外发行为,能够提高外发文件审计精准
度,扩大外发文件审计范围。
备外发进程包括Desktop Services Helper进程、文件拷贝进程和文件移动进程中任一项
进程或任几项进程的组合。
建规则的模块。
否包括第一事件序列;若包括所述第一事件序列则判定符合所述外发文件特征库中的事件
创建规则;其中,所述第一事件序列包括第一open/read事件和第一open/write/creat事
件,所述第一open/read事件对应的文件名与第一open/write/creat事件对应的文件名相
同,所述第一open/write/creat事件的usb_path路径为所述设备挂载路径;
第二事件序列则判定符合所述外发文件特征库中的事件创建规则;其中,所述第二事件序
列包括第二open/read事件和第一open/write/creat/trunc事件,所述第二open/read事件
的创建时间早于所述第一open/write/creat/trunc事件,所述第一open/write/creat/
trunc事件的usb_path路径为所述设备挂载路径;
第三事件序列则判定符合所述外发文件特征库中的事件创建规则;其中,所述第三事件序
列包括第三open/read事件和第二open/write/creat/trunc事件,所述第三open/read事件
的创建时间早于所述第二open/write/creat/trunc事件,所述第二open/write/creat/
trunc事件的usb_path路径为所述设备挂载路径。
对应的事件创建序列符合外发文件特征库中的事件创建规则。
创建规则;其中,所述隔空投送事件创建规则为所述隔空投送外发进程对应的事件创建序
列包括第三open/read事件和fcntl事件,第三open/read事件或fcntl事件对应的文件夹不
为目标系统文件夹;若是,则判定所述隔空投送外发进程对应的事件创建序列符合外发文
件特征库中的事件创建规则。
信外发事件规则为所述通信进程对应的事件创建序列包括第四open/read事件,且不包括
rename事件,所述第四open/read事件不为读取图片格式文件对应的事件;若是,则判定所
述即时通信进程对应的事件创建序列符合外发文件特征库中的事件创建规则。
器外发事件创建规则;其中,所述第一浏览器外发事件创建规则为所述浏览器外发进程对
应的事件创建序列包括获取目标文件属性和所述目标文件所在的文件夹属性的连续
getattrlist事件,所述浏览器外发进程对应的事件创建序列不包括系统文件夹访问事件;
所述第二浏览器外发事件创建规则为所述浏览器外发进程对应的事件创建序列包括第五
open/read事件,所述第五open/read事件不为读取资源文件对应的open/read事件、打开选
择文件的弹框对应的open/read事件、在弹框中选中文件对应的open/read事件或下载文件
对应的open/read事件;若是,则判定所述浏览器外发进程对应的事件创建序列符合外发文
件特征库中的事件创建规则。
事件类型、所述外发文件进程标识和所述被外发文件的文件路径生成所述外发文件审计日
志。
Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种
可以存储程序代码的介质。
步骤。当然所述电子设备还可以包括各种网络接口,电源等组件。请参见图6,图6为本申请
实施例所提供的一种电子设备的结构示意图,本实施例的电子设备可以包括:处理器2101
和存储器2102。
器件等。
能的程序:
等;存储数据区可存储根据计算机的使用过程中所创建的数据。
言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明
即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还
可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围
内。
之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意
在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那
些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者
设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排
除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。