(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211075907.5 (22)申请日 2022.09.05 (65)同一申请的已公布的文献号 申请公布号 CN 115168908 A (43)申请公布日 2022.10.11 (73)专利权人 深圳市科力锐科技有限公司 地址 518000 广东省深圳市南 山区粤海街 道麻岭社区高新中区科技中2路1号深 圳软件园(2期)14栋204 (72)发明人 程方全　唐亮　 (74)专利代理 机构 深圳市恒程创新知识产权代 理有限公司 4 4542 专利代理师 鄢紫君 (51)Int.Cl. G06F 21/62(2013.01)(56)对比文件 CN 107871089 A,2018.04.0 3 CN 114707145 A,202 2.07.05 CN 113449327 A,2021.09.28 CN 112261007 A,2021.01.2 2 CN 108009445 A,2018.0 5.08 审查员 肖倩 (54)发明名称 文件保护方法、 装置、 设备及存 储介质 (57)摘要 本发明属于文件安全技术领域， 公开了一种 文件保护方法、 装置、 设备及存储介质。 本发明通 过对业务系统中的文件访问请求的访问对象、 访 问权限、 最后修改时间与当前时间之间的时间差 的绝对值、 以及是否会修改访问对象中的已有数 据来确定 该文件访问请求是否具有文件风险， 对 有文件风险的文件访问请求及时拦截， 从而有效 阻止勒索病毒破坏行为， 提高了业务系统的文件 安全性。 权利要求书2页 说明书10页 附图5页 CN 115168908 B 2022.12.06 CN 115168908 B 1.一种文件保护方法， 其特 征在于， 所述文件保护方法包括以下步骤： 捕获对业 务系统中的文件访问请求； 在所述文件访问请求的访问对象为已有文件， 且所述文件访问请求的访问权限包括写 权限时， 获取 所述访问对象的最后修改时间； 判断所述 最后修改时间与当前时间之间的时间差的绝对值是否超过 预设时间差值； 在所述时间差的绝对值超过预设时间差值 时， 判断所述文件访问请求是否会修改访问 对象中的已有数据； 当所述文件访问请求会修改文件中的已有数据时， 对所述文件访问请求进行拦截。 2.如权利要求1所述的文件保护方法， 其特征在于， 所述判断所述最后修改时间与当前 时间之间的时间差的绝对值是否超过 预设时间差值之后， 还 包括： 在所述时间差的绝对值未超过预设时间差值时， 为所述文件访问请求设置修改写标 识， 并对所述文件访问请求进行放行； 在接收到写操作请求时， 判断所述写操作请求的上 下文是否具有修改写标识； 在具有修改写标识时， 对所述写操作请求进行放行。 3.如权利要求1所述的文件保护方法， 其特征在于， 所述判断所述文件访问请求是否会 修改访问对象中的已有数据之后， 还 包括： 当所述文件访问请求不会修改文件中的已有数据时， 为所述文件访问请求设置追加写 标识， 并对所述文件访问请求进行放行； 在接收到写操作请求时， 判断所述写操作请求的上 下文是否具有追加写标识； 在具有追加写标识时， 对所述写操作请求进行放行。 4.如权利要求1所述的文件保护方法， 其特征在于， 所述捕 获对业务系统中的文件访问 请求之后， 还 包括： 在所述文件访问请求的访问对象不为已有文件时， 为所述文件访问请求设置新建标 识， 并对所述文件访问请求进行放行； 在接收到写操作请求时， 判断所述写操作请求的上 下文是否具有新建标识； 在具有新建标识时， 对所述写操作请求进行放行。 5.如权利要求1~4中任一项所述的文件保护方法， 其特征在于， 所述获取所述访问对象 的最后修改时间之前， 还 包括： 判断是否禁用修改功能； 当禁用修改功能时， 将所述文件访 问请求的访 问权限调整为只读权限， 并对调整访 问 权限后的文件访问请求进行放行； 当未禁用修改功能时， 执 行所述获取 所述访问对象的最后修改时间的步骤。 6.如权利要求5所述的文件保护方法， 其特征在于， 所述判断是否禁用修改功能之前， 还包括： 在操作系统启动时获取启动时间， 并注 册一个定时器； 当所述定时器每到达预设时间间隔时， 通过所述预设时间间隔和启动时间计算理论 时 间信息， 并获取 所述操作系统当前的实际时间信息； 若所述理论 时间信息和实际时间信 息之间差值的绝对值超过有预设时间阈值， 则将时 间篡改行为的数量加1；权　利　要　求　书 1/2 页 2 CN 115168908 B 2在所述时间篡改行为的数量超过 预设数量时， 开启禁用修改功能。 7.如权利要求1~4中任一项所述的文件保护方法， 其特征在于， 所述判断所述最后修改 时间与当前时间之间的时间差的绝对值是否超过 预设时间差值之前， 还 包括： 枚举所述 业务系统中的各文件， 获得 各文件的创建时间及最后一次写入时间； 计算各文件的最后一次写入时间与创建时间之间的时间差； 去除各文件的最后一次写入时间与创建时间之间的时间差为负数的部分； 统计剩余各文件的最后一次写入时间与创建时间之间的时间差的平均值或最大值； 将所述平均值或最大值作为预设时间差值。 8.一种文件保护设备， 其特征在于， 所述文件保护设备包括： 存储器、 处理器及存储在 所述存储器上并可在所述处理器上运行的文件保护程序， 所述文件保护程序配置为 实现如 权利要求1至7中任一项所述的文件保护方法的步骤。 9.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有文件保 护程序， 所述文件保护程序被处理器执行时实现如权利要求 1至7中任一项所述的文件保护 方法的步骤。 10.一种文件保护装置， 其特 征在于， 所述文件保护装置包括： 请求捕获模块， 用于捕获对业 务系统中的文件访问请求； 时间获取模块， 用于在所述文件访 问请求的访 问对象为已有文件， 且所述文件访 问请 求的访问权限包括写权限时， 获取 所述访问对象的最后修改时间； 时差判断模块， 用于判断所述最后修改时间与当前时间之间的时间差的绝对值是否超 过预设时间差值； 修改判断模块， 用于在所述时间差超过预设时间差值时， 判断所述文件访 问请求是否 会修改访问对象中的已有数据； 请求拦截模块， 用于当所述文件访 问请求会修改文件中的已有数据时， 对所述文件访 问请求进行拦截。权　利　要　求　书 2/2 页 3 CN 115168908 B 3