电子文件作为数字化社会中承载各种信息的重要载体,它的安全性至关重要。对保密系统中电子文件的创建、使用、销毁的操作监控是电子文件安全操作管理的关键技术之一。当前Windows系统中的文件操作监控多采用在应用程序中进行挂钩的方式来实现。这种方式存在着监控信息不全面、效率不高且需要对不同应用程序开发不同的软件,增加了文件操作监控软件开发的复杂度。通过中间驱动程序进行文件操作监控,在实现上具有更好的灵活性,但由于底层驱动中会产生的大量庞杂信息,从中提取并快速地识别出实际文件操作仍较为困难,因此高效准确的基于驱动的文件操作识别方法的研究具有重要的应用价值。本文在详细介绍了基于Windows中间层驱动的文件操作监控方法的基础上,提出了基于特征IRP字母序列的文件操作识别方法,并解决了特征IRP序列提取、整合及异步处理,文件操作的识别方法等关键问题。相比传统方法,本论文方法在识别的覆盖率和判定的准确性方面均有提高。论文的主要工作如下：(1)总结归纳了Windows驱动层文件监控的相关理论和技术,详细介绍了文件系统驱动和文件系统过滤驱动的定义,工作原理及其主要用途；(2)介绍了主要的已有文件操作识别方法,对其各自优缺点进行了分析,并从实现复杂度、识别覆盖率、识别效率和扩展能力四个方面对这三种方法进行了比较；(3)在IRP的数据结构和IRP的处理过程分析的基础上,构建了特征IRP序列,给出了特征IRP序列的提取过程,建立了IRP序列异步处理及整合方法；(4)通过实验给出了多种典型应用程序文件操作对应的特征IRP字母序列,提出了基于AC-BM匹配算法和特征IRP字母序列的文件操作识别方法,相关实验表明本章所给出的新方法在识别率以及执行效率方面均能令人满意。论文最后分析了已有研究中存在的不足,并对未来的研究内容进行了展望。