| 发明名称 | 计算机文件跟踪方法 | ||
| 摘要 | 本发明涉及一种信息安全技术,特别是计算机文件跟踪方法,至少包括用于存贮程序的存贮介质、控制存贮介质中的程序运行的处理器和存放程序运行中存放过程信息的缓冲单元,其特征是:通过在文件读取内容中提取特征码,当文件写入时根据写入内容匹配,以便判断出文件复制事件的发生;或者在网络发送时根据网络发送内容匹配,以便判断文件发送事件的发生;通过在网络接收数据时,提取特征码,并在文件写入时根据写入内容匹配,以便判断出文件接收事件的发生。它当计算机用户的任意文件被复制或加密复制到其他文件、其他存储媒体时,能够自动识别并进行相应记录;也能够确定文件来自什么网络IP地址并进行记录,对计算机文件进行跟踪。 | ||
| 申请公布号 | CN101872406B | 申请公布日期 | 2012.06.27 |
| 申请号 | CN201010159982.0 | 申请日期 | 2010.04.29 |
| 申请人 | 李贵林 | 发明人 | 李贵林 |
| 分类号 | G06F21/24(2006.01)I | 主分类号 | G06F21/24(2006.01)I |
| 代理机构 | 西安吉盛专利代理有限责任公司 61108 | 代理人 | 鲍燕平 |
| 主权项 | 一种计算机文件跟踪方法,其特征是:通过在文件读取内容中提取特征码,当文件写入时根据写入内容匹配,以便判断出文件复制事件的发生;或者在网络发送时根据网络发送内容匹配,以便判断文件发送事件的发生;通过在网络接收数据时,提取特征码, 并在文件写入时根据写入内容匹配,以便判断出文件接收事件的发生;所述的文件复制事件的发生是在进行文件写入或网络接收文件处理流程时进行识别,包括: 步骤201,进入文件复制事件处理程序;步骤202,获取当前线程ID、当前进程ID和文件写入数据缓冲区;步骤203,根据匹配策略在文件数据集和网络数据集中找出需要匹配的记录,步骤204,将得到的记录与文件写入数据缓冲区中的内容进行匹配;步骤205,检测匹配成功,成功执行步骤206,否则执行步骤207;步骤206,如果匹配的该特征码记录是一个文件数据集记录,根据该特征码记录的文件名、文件所在目录和当前写入文件的文件名、当前写入文件的所在目录、当前进程文件名、当前进程文件所在目录和当前时间信息生成一个精确文件跟踪记录;如果匹配的数据集记录是一个网络数据集记录,则根据该记录的远端IP和当前写入文件的文件名、当前写入文件的所在目录、当前进程文件名、当前进程文件所在目录和当前时间信息生成一个精确文件跟踪记录;进入步骤209;步骤207,不成功,则根据当前线程ID、当前进程ID、当前时间参数和疑似匹配策略找出文件数据集和网络数据集中符合疑似匹配条件的特征码记录,进行疑似匹配;步骤208,是疑似匹配,则根据该特征码记录的文件名、文件所在目录或远端IP、当前写入文件的文件名、当前写入文件的所在目录、当前进程文件名、当前进程文件所在目录和当前时间信息生成一个疑似文件跟踪记录;步骤209,退出; 所述的文件发送事件的发生是在进行网络发送操作时,进行网络文件发送识别,包括:步骤302:获取当前线程ID、当前进程ID、远端IP地址和网络发送数据缓冲区;步骤303:根据匹配策略在文件数据集找出需要匹配的特征码记录;步骤304,将步骤303中得到的特征码记录与网络文件发送时发送数据缓冲区中数据进行特征匹配;步骤305,匹配是否成功;步骤306,匹配成功,则根据当前网络发送的远端IP地址和该特征码记录的文件名、文件的所在目录、当前进程文件名、当前进程文件所在目录和当前时间信息生成一个精确文件跟踪记录,进入步骤309;步骤307,匹配不成功,根据当前线程ID、当前进程ID、当前时间参数和疑似匹配策略找出文件数据集中符合疑似匹配条件的特征码记录;步骤308,根据当前网络发送的远端IP地址、特征码记录的文件名、文件的所在目录、当前进程文件名、当前进程文件所在目录和当前时间信息生成一个疑似文件跟踪记录,给出描述疑似发送文件记录;步骤309,退出。 | ||
| 地址 | 710021 陕西省西安市未央路138号豪盛花园C座2203 | ||