基于Windows中间层驱动的电子文件操作识别方法

摘要

电子文件作为数字化社会中承载各种信息的重要载体，它的安全性至关重要。对保密系统中电子文件的创建、使用、销毁的操作监控是电子文件安全操作管理的关键技术之一。当前Windows系统中的文件操作监控多采用在应用程序中进行挂钩的方式来实现。这种方式存在着监控信息不全面、效率不高且需要对不同应用程序开发不同的软件，增加了文件操作监控软件开发的复杂度。通过中间驱动程序进行文件操作监控，在实现上具有更好的灵活性，但由于底层驱动中会产生的大量庞杂信息，从中提取并快速地识别出实际文件操作仍较为困难，因此高效准确的基于驱动的文件操作识别方法的研究具有重要的应用价值。
　　 本文在详细介绍了基于Windows中间层驱动的文件操作监控方法的基础上，提出了基于特征IRP字母序列的文件操作识别方法，并解决了特征IRP序列提取、整合及异步处理，文件操作的识别方法等关键问题。相比传统方法，本论文方法在识别的覆盖率和判定的准确性方面均有提高。论文的主要工作如下:
　　 (1)总结归纳了Windows驱动层文件监控的相关理论和技术，详细介绍了文件系统驱动和文件系统过滤驱动的定义，工作原理及其主要用途;
　　 (2)介绍了主要的已有文件操作识别方法，对其各自优缺点进行了分析，并从实现复杂度、识别覆盖率、识别效率和扩展能力四个方面对这三种方法进行了比较;
　　 (3)在IRP的数据结构和IRP的处理过程分析的基础上，构建了特征IRP序列，给出了特征IRP序列的提取过程，建立了IRP序列异步处理及整合方法;
　　 (4)通过实验给出了多种典型应用程序文件操作对应的特征IRP字母序列，提出了基于AC-BM匹配算法和特征IRP字母序列的文件操作识别方法，相关实验表明本章所给出的新方法在识别率以及执行效率方面均能令人满意。
　　 论文最后分析了已有研究中存在的不足，并对未来的研究内容进行了展望。

目录

声明

摘要

1 绪论

1．1 研究背景和意义

1．2 国内外研究现状

1．3 研究内容

1．4 论文的组织结构

2 相关理论与技术基础

2．1 WDM简介

2．2 文件系统驱动

2．2．1 文件系统驱动概念

2．2．2 文件系统驱动工作原理

2．3 过滤驱动

2．3．1 过滤驱动概念

2．3．2 过滤驱动工作过程

2．4 文件系统过滤驱动

2．4．1 文件系统过滤驱动的工作原理

2．4．2 文件系统过滤驱动的应用

2．5 本章小结

3 文件操作监控主要方法分析与比较

3．1 基于Windows API的方法

3．1．1 实现原理

3．1．2 存在的优缺点

3．2 基于API HOOK的方法

3．2．1 实现原理

3．2．2 存在的优缺点

3．3 基于中间层驱动程序的方法

3．3．1 实现原理

3．3．2 存在的优缺点

3．4 几种识别方法的对比分析

3．5 本章小结

4 特征IRP序列提取与分析

4．1 I／O请求包

4．1．1 I／O请求包的结构

4．1．2 IRP的层次传递结构

4．1．3 IRP的处理过程

4．2 特征IRP序列的提取

4．2．1 特征IRP序列

4．2．2 特征IRP序列的提取过程

4．3 特征IRP序列的整合及异步处理

4．3．1 特征IRP序列的整合

4．3．2 特征IRP序列的异步处理

4．4 驱动程序与应用程序之间的通信

4．5 本章小结

5 文件操作识别方法

5．1 特征IRP字母序列

5．1．1 特征IRP字母序列的生

5．1．2 特征IRP字母序列与文件操作的对应关系

5．2 特征IRP字母序列的匹配算法

5．2．1 模式匹配概述

5．2．2 特征IRP字母序列的匹配

5．3 实验结果与分析

5．3．1 实验步骤

5．3．2 实验结果

5．3．3 实验结果分析

5．4 本章小结

6 总结与展望

6．1 研究总结

6．2 研究展望

致谢

参考文献