[发明专利]一种基于云计算的操作记录追踪系统和方法

说明书

技术领域

本发明涉及信息安全领域，尤其涉及的是一种基于云计算的多用户协 同操作记录追踪系统和方法。

背景技术

现今，随着信息化程度的提高及各种适用性技术的不断推出，用户进 行各种与数字信息相关的活动也越发便利，而且不可否认的是，用户与信 息化、数字化的关联也越发紧密。然而与此相随，数字信息犯罪诸如攻击 (尤其是通过互联网)个人电脑、服务器、或者其他计算机化装置的事件 却频繁发生。显然的是，目前地下数字经济已日益产业化、规模化，而且 其相应的犯罪行为也越趋隐蔽化，恶意软件的攻击手段得到了极大的发展。 诸如由以前的单个文件发展为多模块、多组件化的攻击的形式，更甚至多 数恶意软件均具有较强的伪装能力。

随着技术的发展，一些病毒和木马纷纷加强了服务器端的策略控制。 以前只要是病毒和木马发作，就会按照某种规律持续性发作，比如即时发 作，固定时间段发作(黑色星期五病毒)等等。但是现在往往通过服务器 控制病毒和木马的发作时间和规模，比如控制部分IP段发作，或者部分时 间段发作，而且这些发作规则由病毒和木马所属的服务器控制，随时可以 进行调整。甚至一些商业正规软件也利用服务器规则进行一些不可告人的 操作，比如利用用户电脑在后台点击广告，或者偷偷收集与自己无关的用 户信息。这种发作规则灵活控制的策略，导致发现木马和病毒的几率大大 降低。尤其是在进行一些非破坏行为的时候，是所有杀毒软件或者防护软 件无法预报的。比如操作用户电脑访问某个网址，点击某个广告等等行为， 这些均不会被防护软件提示。造成即使被控制为肉鸡，也很难发现的情况。

因此，现有技术存在缺陷，需要改进。

发明内容

本发明所要解决的技术问题是，针对现有技术的不足，提供一种基于 云计算的多用户协同的操作记录追踪系统和方法。

本发明的技术方案如下：

一种多用户协同的操作记录追踪系统，其中，包括：至少一服务器端 以及若干客户端；各所述客户端与至少一所述服务器端网络连接；

所述客户端用于获取其所运行的至少一进程的操作记录及进程信息， 分别计算各进程的哈希值，将各所述哈希值及其对应的操作记录及进程信 息上传到所述服务器端；所述进程信息至少包括该进程所在的客户端信息、 进程的文件名、进程的版本号、进程所属公司名、进程文件大小其中之一；

所述服务器端用于根据所述哈希值将其对应的所述操作记录和所述进 程信息分类存储，并生成报告信息下载到各所述客户端，所述报告信息包 括所述进程在其他客户端所追踪到的操作记录。

所述的操作记录追踪系统，其中，所述客户端包括追踪模块、哈希值 计算模块和上传模块；

所述追踪模块，用于获取至少一所述进程的操作记录及进程信息；所 述哈希值计算模块，用于计算各所述进程的哈希值；所述上传模块，用于 将所述哈希值及其对应的操作记录及进程信息上传到所述服务器端；

所述服务器端包括分类存储模块和分享模块；所述分类存储模块，用 于根据各所述进程的哈希值，将其对应的所述操作记录和所述进程信息存 储到所述服务器端；所述分享模块，用于根据存储在所述服务器端的各所 述进程的所述操作记录和所述进程信息生成所述报告信息，下载到各所述 客户端。

所述的操作记录追踪系统，其中，所述客户端还包括报告模块，所述 报告模块用于根据所述报告信息进行报告。

所述的操作记录追踪系统，其中，所述客户端还包括征询意见模块， 所述征询意见模块与所述追踪模块连接，用于判断接收开始追踪的指令， 是则启动所述追踪模块开始追踪。

所述的操作记录追踪系统，其中，所述分享模块包括操作记录查找单 元、百分比计算单元、报告信息生成单元和下载单元；所述操作记录查找 单元，用于在所述分类存储模块中查找具有相同哈希值的进程，根据其操 作记录及进程信息，生成查找结果；所述百分比计算单元，用于根据所述 查找结果生成操作记录百分比；所述报告信息生成单元用于根据所述操作 记录百分比及所述查找结果生成所述报告信息；所述下载单元用于将所述 报告信息下载到各所述客户端。

一种多用户协同的操作记录追踪方法，应用上述任一所述的操作记录 追踪系统，其中，包括以下步骤：