[发明专利]计算机文件跟踪方法

权利要求书

1.一种计算机文件跟踪方法，至少包括用于存贮程序的存贮介质、控制存贮介质中的程序运行的处理器和存放程序运行中存放过程信息的缓冲单元，其特征是：通过在文件读取内容中提取特征码，当文件写入时根据写入内容匹配,以便判断出文件复制事件的发生；或者在网络发送时根据网络发送内容匹配，以便判断文件发送事件的发生；通过在网络接收数据时，提取特征码,并在文件写入时根据写入内容匹配,以便判断出文件接收事件的发生。

2.根据权利要求1所述的一种计算机文件跟踪方法，其特征是：所述的在文件读取内容中提取特征码，包括：

步骤102，从文件读取的数据缓冲区中提取读取特征码；

步骤103，将步骤102中提取的特征码和文件名、文件所在目录、线程ID、进程ID、当前时间等信息生成文件数据集记录；

步骤104，根据文件数据集更新策略和记录内容判断需要添加新的特征码记录或者更新原有相关特征码记录；

如果添加新的特征码记录，进入步骤105，添加特征码记录到文件数据集中；而后进入步骤107；

如果更新原有相关特征码记录，则进入步骤106，更新文件数据集中与本记录相关的那个特征码记录后进入步骤107；

步骤107，退出。

3.根据权利要求1所述的一种计算机文件跟踪方法，其特征是：所述的文件复制事件的发生和网络接收文件发生是在进行文件写入处理流程时进行识别，包括：

步骤202，获取当前线程ID、当前进程ID和文件写入数据缓冲区；

步骤203，根据匹配策略在文件数据集和网络数据集中找出需要匹配的记录，

步骤204，将得到的记录与文件写入数据缓冲区中的内容进行匹配；

步骤205，检测匹配成功，成功执行步骤206，否则执行步骤207；

步骤206，如果匹配的该特征码记录是一个文件数据集记录，根据该特征码记录的文件名、文件所在目录和当前写入文件的文件名、当前写入文件的所在目录、当前进程文件名、当前进程文件所在目录和当前时间等信息生成一个精确文件跟踪记录；如果匹配的数据集记录是一个网络数据集记录，则根据该记录的远端IP和当前写入文件的文件名、当前写入文件的所在目录、当前进程文件名、当前进程文件所在目录和当前时间等信息生成一个精确文件跟踪记录；进入步骤209；

步骤207，不成功，则根据当前线程ID、当前进程ID、当前时间等参数和疑似匹配策略找出文件数据集和网络数据集中符合疑似匹配条件的特征码记录，进行疑似匹配；

步骤208，是疑似匹配，则根据该特征码记录的文件名、文件所在目录或远端IP、当前写入文件的文件名、当前写入文件的所在目录、当前进程文件名、当前进程文件所在目录和当前时间等信息生成一个疑似文件跟踪记录；

步骤209，退出。

4.根据权利要求1所述的一种计算机文件跟踪方法，其特征是：所述的文件发送事件的发生是在进行网络发送操作时，进行网络文件发送识别，包括：

步骤302：获取当前线程ID、当前进程ID、远端IP地址和网络发送数据缓冲区；

步骤303：根据匹配策略在文件数据集找出需要匹配的特征码记录；

步骤304，将步骤303中得到的特征码记录与网络文件发送时发送数据缓冲区中数据进行特征匹配；

步骤305，匹配是否成功；

步骤306，匹配成功，则根据当前网络发送的远端IP地址和该特征码记录的文件名、文件的所在目录、当前进程文件名、当前进程文件所在目录和当前时间等信息生成一个精确文件跟踪记录，进入步骤309；

步骤307，匹配不成功，根据当前线程ID、当前进程ID、当前时间等参数和疑似匹配策略找出文件数据集中符合疑似匹配条件的特征码记录；

步骤308，根据当前网络发送的远端IP地址、特征码记录的文件名、文件的所在目录、当前进程文件名、当前进程文件所在目录和当前时间等信息生成一个疑似文件跟踪记录，给出描述疑似发送文件记录；

步骤309，退出。