[发明专利]计算机文件跟踪方法

说明书

技术领域

本发明涉及一种信息安全技术，特别是计算机文件跟踪方法。

背景技术

在计算机应用已经高度发达的今日社会中，信息安全尤其是计算机文件的安全已经成为一个非常显著的社会需求。这主要包括两个课题：其一是如何保护计算机文件的安全，防止文件被非法窃取；其二是如何检查、发现和追踪失窃的计算机文件。

针对第一个课题已经有大量的技术研究和方案，其主要实现思路是文件内容加密和文件访问控制这两种方案，这些均能在一定程度上实现文件的保护。

针对后一个课题，即如何实现文件的跟踪，是一个世界性难题。也就是说，当任意文件被复制、加密复制、网络发送或加密网络发送到其他文件、其他存储媒体、共享文件夹或者网络上其他主机、邮件服务器等事件发生时，如何确定被复制或发送的内容来自什么文件，从而断言文件的去向，以及当文件从网络上下载到本地时，如何

确定文件来自什么IP地址，从而断言文件的来源。

发明内容

本发明的目的之一是提供一种计算机文件跟踪方法,以便当计算机用户的任意文件被复制或加密复制到其他文件、其他存储媒体时，能够自动识别并进行相应记录。

本发明的目的之二是当计算机用户通过网络发送或加密网络发送任意文件到网络上其他主机、邮件服务器等处时，能够确定这个文件发送到什么网络，该网络IP地址并进行记录；或者当用户从网络上接受文件到本地保存时，能够确定该文件来自什么网络IP地址并进行记录,对计算机文件进行跟踪。

本发明的技术方案是：一种计算机文件跟踪方法，至少包括用于存贮程序的存贮介质、控制存贮介质中的程序运行的处理器和存放程序运行中存放过程信息的缓冲单元，其特征是：通过在文件读取内容中提取特征码，当文件写入时根据写入内容匹配,以便判断出文件复制事件的发生；或者在网络发送时根据网络发送内容匹配，以便判断文件发送事件的发生；通过在网络接收数据时，提取特征码,并在文件写入时根据写入内容匹配,以便判断出文件接收事件的发生。

在文件读取内容中提取特征码，包括步骤102，从文件读取的数据缓冲区中提取读取特征码；

步骤103，将步骤102中提取的特征码和文件名、文件所在目录、线程ID、进程ID、当前时间等信息生成文件数据集记录；

步骤104，根据文件数据集更新策略和记录内容判断需要添加新的特征码记录或者更新原有相关特征码记录；

如果添加新的特征码记录，进入步骤105，添加特征码记录到文件数据集中；而后进入步骤107；

如果更新原有相关特征码记录，则进入步骤106，更新文件数据集中与本记录相关的那个特征码记录后进入步骤107；

步骤107，退出。

所述的文件复制事件的发生和网络接收文件发生是在进行文件写入处理流程时进行识别，包括：

步骤202，获取当前线程ID、当前进程ID和文件写入数据缓冲区；

步骤203，根据匹配策略在文件数据集和网络数据集中找出需要匹配的记录，

步骤204，将得到的记录与文件写入数据缓冲区中的内容进行匹配；

步骤205，检测匹配成功，成功执行步骤206，否则执行步骤207；

步骤206，如果匹配的该特征码记录是一个文件数据集记录，根据该特征码记录的文件名、文件所在目录和当前写入文件的文件名、当前写入文件的所在目录、当前进程文件名、当前进程文件所在目录和当前时间等信息生成一个精确文件跟踪记录；如果匹配的数据集记录是一个网络数据集记录，则根据该记录的远端IP和当前写入文件的文件名、当前写入文件的所在目录、当前进程文件名、当前进程文件所在目录和当前时间等信息生成一个精确文件跟踪记录；进入步骤209；

步骤207，不成功，则根据当前线程ID、当前进程ID、当前时间等参数和疑似匹配策略找出文件数据集和网络数据集中符合疑似匹配条件的特征码记录，进行疑似匹配；

步骤208，是疑似匹配，则根据该特征码记录的文件名、文件所在目录或远端IP、当前写入文件的文件名、当前写入文件的所在目录、当前进程文件名、当前进程文件所在目录和当前时间等信息生成一个疑似文件跟踪记录；

步骤209，结束。

所述的文件发送事件的发生是在进行网络发送操作时，进行网络文件发送识别，包括：步骤302：获取当前线程ID、当前进程ID、远端IP地址和网络发送数据缓冲区；

步骤303：根据匹配策略在文件数据集找出需要匹配的特征码记录；

步骤304，将步骤303中得到的特征码记录与网络文件发送时发送数据缓冲区中数据进行特征匹配；

步骤305，匹配是否成功；