一种用于区分读取文件的假正读事件与真正事件的计算机化处理方法和装置,包括:确定从文件读取的数据的量;在数据的量超过阈值的情况下,生成真正读事件,否则在满足判定条件的情况下生成假正读事件,以及一种用于执行该方法的装置。
【技术实现步骤摘要】
【国外来华专利技术】
本公开一般性地涉及在计算机系统中访问文件,并且更具体地,涉及文件读事件。
技术介绍
在计算机系统中监视文件访问是本领域已知的。例如,显示实时文件系统、注册表和进程/线程活动的进程监视(Process Monitor for),或者监视文件系统操作(诸如为读、写、以及创建)的中的通知(Inotify in)。
技术实现思路
所公开的主题的一个示例性实施例为一种用于区分读取文件的假正读事件与真正事件的计算机化处理方法,包括确定从文件读取的数据的量;在从文件读取的数据的量超过阈值的情况下生成真正读事件,否则在满足判定条件的情况下生成假正读事件。所公开的主题的另一示例性实施例为一种用于区分读取文件的假正读事件与真正事件的计算机化处理方法,包括:如果文件的相继的段被读取,则生成真正读事件,否则生成假正读事件。所公开的主题的又一示例性实施例为一种用于区分读取文件的假正读事件与真正事件的计算机化处理装置,包括:将文件存储在其中的数据存储设备;链接到数据存储设备的控制器,控制器配置成响应于从文件读取的数据的量来生成读取文件的假正读事件与真正事件。在本公开的上下文中,没有限制的,术语“真正读(true positive read)”事件、“真读(true read)”事件或“真(ture)”事件可互换地使用,并且类似的术语“假正读(false positive read)”事件、“假读(false read)”事件或“假(false)”事件可互换地使用。附图说明在下面的附图中说明了所公开的主题的某些非限制性的示例性实施例或特征。一般性地使用同样的附图标记来标记出现在一个或多个附图中的相同的或复制的或等价的或类似的结构、元素、或部分,可选地具有额外的一个字母或多个字母以区分类似的对象或对象的变型,并且将不重复标记和/或描述。为呈现的方便或清楚而选择图中示出的组件和特征的尺寸,并且图中示出的组件和特征的尺寸不一定示为真实比例或尺寸。为了方便或清楚,某些元素或结构未示出或仅仅部分地和/或使用不同的景象或从不同的视角示出。对之前给出的元素的引用是隐含的,而不一定进一步引用它们在其中出现的附图或描述。图1示意性地说明了根据所公开的主题的示例性实施例的具有存储组件的分布式系统;图2示意性地说明了根据所公开的主题的示例性实施例的具有读取段的文件和具有对应于读取段的设置比特的整数;以及图3说明了根据所公开的主题的示例性实施例的用于确定真正读事件和假正读事件的操作的概述。具体实施方式由所公开的主题来处理的一个技术问题是在计算机系统中区分由或代表计算机系统的用户或操作者进行的有意的文件读取,对照由或代表应用程序或辅助程序做出的其它读访问。至少根据某些观测,假定在由或代表用户进行的有意的文件读取(诸如为用于查看或拷贝)中,读取整个文件或至少大部分的文件。另一方面,在由或代表应用程序或辅助程序做出的读访问中,相对于文件长度,仅仅读取一部分的文件或小比例的文件,诸如用于一般仅从文件读取一些部分的如下操作:预览、或进行文件访问以搜索、或打开目录看内容、或防病毒访问。根据所公开的主题的一个技术方案是一种存储文件或链接到文件存储器以及配置成测量对文件的哪部分进行了读取的计算机系统或其一部分。当读取文件时,生成一个或多个读事件并且确定正在读的文件的长度、以及(可选地)文件中的偏移。如果读取的文件的部分比特定阈值大,则将读访问认为是真正读事件;否则,将读访问认为是假正读事件,并且(至少可选地)由此忽略读事件。在某些实施例中,阈值不是绝对的,而是可以为一个因子(诸如为文件容量)或多个因子的函数。在某些实施例中,替代或除了由阈值来进行确定,在最后连续地读取文件的多节或多段而不留未读段,或间歇地读取各文件段的情况下分别认定真和假正事件。注意到,至少在某些实施例中,文件存储器为更大的系统(诸如为分布式系统)的单独的组件,并且因而读请求不提供关于调用程序或其它数据的信息(其用以确定读访问的请求程序或类型)。所公开的主题的潜在的技术效果是将文件读事件提供为要么真读事件要么假读事件的计算机系统或存储系统。如这里所使用的术语“最后”暗含在文件读取结束之后和/或在满足下文说明的判定条件之后。下面给出实践本公开的实施例的一般的非限制性的观点。观点概述了本公开的实施例的示例性实践,提供了用于变型和/或替代性的和/或扩展实施例的构造基础,其中某些随后描述。图1示意性地说明了根据所公开的主题的示例性实施例的具有存储组件100和其余的系统120的分布式系统。存储组件100包括连接到存储设备104的计算机102,两者之间的交互由双箭头106所指示。计算机102(可选地与额外的或辅助的装置)还表示为控制器。存储组件100(代表任意数量的存储组件100)与其余的系统120互连,后者代表任意分布式系统,并且两者之间的互连由双箭头108代表。在某些实施例中,其余的系统120发送读请求到存储组件100。由计算机102接收请求,其中,该计算机102转发请求到存储设备104以执行实际的读操作。在某些实施例中,基于请求,计算机102接收和/或确定请求的详细内容,诸如将访问什么文件、起读文件的偏移或多个偏移、从多个偏移读取的段的量和/或执行从存储设备104读取所必需的任意其它信息。一般性地,将从存储设备104读取的文件的内容传回其余的系统120。在存储设备104完成所请求的读取之上,存储组件100通过计算机102生成在真正读与假正读事件之间区分的一个或多个读事件。在某些实施例中,存储组件100和其余的系统120根据如下场景来操作。因为存储组件100与其余的系统120分离,所以由存储组件100接收的请求包括仅仅读操作本身所必要的参数,而没有其它信息以指示发起请求的是什么程序、或什么类型的程序、或程序或软件或应用的性质。除非另有规定,没有限制的,假定以上场景用于这里的描述。在某些实施例中,如下面所述,控制器配置成响应于从文件读取的数据的量来生成读取文件的假正读事件和真正事件。在某些实施例中,计算机102作为芯片或电子板而与存储设备104集成,得到形成“智能”存储设备,诸如具有智能控制器的磁盘。在某些实施例中,计算机102远离存储设备104并且两个装置之间被链接。一般性地,当读取整个文件时、或相对于文件本文档来自技高网...
【技术保护点】
一种用于区分读取文件的假正读事件与真正事件的计算机化处理方法,包括:确定从文件读取的数据的量;以及在从文件读取的数据的量超过阈值的情况下,生成真正读事件,否则在满足判定条件的情况下生成假正读事件。
【技术特征摘要】
【国外来华专利技术】2012.01.24 US 13/356,6581.一种用于区分读取文件的假正读事件与真正事件的计算机化处理方
法,包括:
确定从文件读取的数据的量;以及
在从文件读取的数据的量超过阈值的情况下,生成真正读事件,否则在
满足判定条件的情况下生成假正读事件。
2.根据权利要求1所述的用于区分读取文件的假正读事件与真正事件
的计算机化处理方法,其中判定条件包括以下中的一个或多个:从文件进行
读取的特定的预定次数、所确定的从文件进行读取的次数、自第一次读取文
件后的特定的预定时延、所确定的自第一次读取文件后的时延、或其任意组
合。
3.根据权利要求1所述的用于区分读取文件的假正读事件与真正事件
的计算机化处理方法,其中至少根据文件容量来确定阈值。
4.根据权利要求1所述的用于区分读取文件的假正读事件与真正事件
的计算机化处理方法,其中根据公式、查找表、或其组合来确定阈值。
5.根据权利要求4所述的用于区分读取文件的假正读事件与真正事件
的计算机化处理方法,其中所述公式为:
T=max(1,min(32,32-16*log(K2/K)*S/K))
其中:
T为以KB计的阈值,
K为以KB计的用于读取整个文件的文件最小容量;
K2为...
【专利技术属性】
技术研发人员:雅各布·费特尔松,奥哈德·科尔库斯,戴维·巴斯,伊扎尔·卡伊萨,多伦·戈尔德施泰因,奥伦·戴维,
申请(专利权)人:VARONIS系统公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。