本发明专利技术涉及一种信息安全技术,特别是计算机文件跟踪方法,至少包括用于存贮程序的存贮介质、控制存贮介质中的程序运行的处理器和存放程序运行中存放过程信息的缓冲单元,其特征是:通过在文件读取内容中提取特征码,当文件写入时根据写入内容匹配,以便判断出文件复制事件的发生;或者在网络发送时根据网络发送内容匹配,以便判断文件发送事件的发生;通过在网络接收数据时,提取特征码,并在文件写入时根据写入内容匹配,以便判断出文件接收事件的发生。它当计算机用户的任意文件被复制或加密复制到其他文件、其他存储媒体时,能够自动识别并进行相应记录;也能够确定文件来自什么网络IP地址并进行记录,对计算机文件进行跟踪。
【技术实现步骤摘要】
本专利技术涉及一种信息安全技术,特别是。
技术介绍
在计算机应用已经高度发达的今日社会中,信息安全尤其是计算机文件的安全已 经成为一个非常显著的社会需求。这主要包括两个课题其一是如何保护计算机文件的安 全,防止文件被非法窃取;其二是如何检查、发现和追踪失窃的计算机文件。针对第一个课题已经有大量的技术研究和方案,其主要实现思路是文件内容加密 和文件访问控制这两种方案,这些均能在一定程度上实现文件的保护。针对后一个课题,即如何实现文件的跟踪,是一个世界性难题。也就是说,当任意 文件被复制、加密复制、网络发送或加密网络发送到其他文件、其他存储媒体、共享文件夹 或者网络上其他主机、邮件服务器等事件发生时,如何确定被复制或发送的内容来自什么 文件,从而断言文件的去向,以及当文件从网络上下载到本地时,如何确定文件来自什么IP地址,从而断言文件的来源。
技术实现思路
本专利技术的目的之一是提供一种,以便当计算机用户的任意 文件被复制或加密复制到其他文件、其他存储媒体时,能够自动识别并进行相应记录。本专利技术的目的之二是当计算机用户通过网络发送或加密网络发送任意文件到网 络上其他主机、邮件服务器等处时,能够确定这个文件发送到什么网络,该网络IP地址并 进行记录;或者当用户从网络上接受文件到本地保存时,能够确定该文件来自什么网络IP 地址并进行记录,对计算机文件进行跟踪。本专利技术的技术方案是一种,至少包括用于存贮程序的存贮 介质、控制存贮介质中的程序运行的处理器和存放程序运行中存放过程信息的缓冲单元, 其特征是通过在文件读取内容中提取特征码,当文件写入时根据写入内容匹配,以便判 断出文件复制事件的发生;或者在网络发送时根据网络发送内容匹配,以便判断文件发送 事件的发生;通过在网络接收数据时,提取特征码,并在文件写入时根据写入内容匹配,以 便判断出文件接收事件的发生。在文件读取内容中提取特征码,包括步骤102,从文件读取的数据缓冲区中提取读 取特征码;步骤103,将步骤102中提取的特征码和文件名、文件所在目录、线程ID、进程ID、当前 时间等信息生成文件数据集记录;步骤104,根据文件数据集更新策略和记录内容判断需要添加新的特征码记录或者更 新原有相关特征码记录;如果添加新的特征码记录,进入步骤105,添加特征码记录到文件数据集中;而后进入 步骤107 ;如果更新原有相关特征码记录,则进入步骤106,更新文件数据集中与本记录相关的那 个特征码记录后进入步骤107 ; 步骤107,退出。所述的文件复制事件的发生和网络接收文件发生是在进行文件写入处理流程时 进行识别,包括 步骤202,获取当前线程ID、当前进程ID和文件写入数据缓冲区; 步骤203,根据匹配策略在文件数据集和网络数据集中找出需要匹配的记录, 步骤204,将得到的记录与文件写入数据缓冲区中的内容进行匹配; 步骤205,检测匹配成功,成功执行步骤206,否则执行步骤207 ; 步骤206,如果匹配的该特征码记录是一个文件数据集记录,根据该特征码记录的文件 名、文件所在目录和当前写入文件的文件名、当前写入文件的所在目录、当前进程文件名、 当前进程文件所在目录和当前时间等信息生成一个精确文件跟踪记录;如果匹配的数据集 记录是一个网络数据集记录,则根据该记录的远端IP和当前写入文件的文件名、当前写入 文件的所在目录、当前进程文件名、当前进程文件所在目录和当前时间等信息生成一个精 确文件跟踪记录;进入步骤209 ;步骤207,不成功,则根据当前线程ID、当前进程ID、当前时间等参数和疑似匹配策略 找出文件数据集和网络数据集中符合疑似匹配条件的特征码记录,进行疑似匹配;步骤208,是疑似匹配,则根据该特征码记录的文件名、文件所在目录或远端IP、当前 写入文件的文件名、当前写入文件的所在目录、当前进程文件名、当前进程文件所在目录和 当前时间等信息生成一个疑似文件跟踪记录; 步骤209,结束。所述的文件发送事件的发生是在进行网络发送操作时,进行网络文件发送识别, 包括步骤302 获取当前线程ID、当前进程ID、远端IP地址和网络发送数据缓冲区;步骤303 根据匹配策略在文件数据集找出需要匹配的特征码记录; 步骤304,将步骤303中得到的特征码记录与网络文件发送时发送数据缓冲区中数据 进行特征匹配;步骤305,匹配是否成功;步骤306,匹配成功,则根据当前网络发送的远端IP地址和该特征码记录的文件名、文 件的所在目录、当前进程文件名、当前进程文件所在目录和当前时间等信息生成一个精确 文件跟踪记录,进入步骤309 ;步骤307,匹配不成功,根据当前线程ID、当前进程ID、当前时间等参数和疑似匹配策 略找出文件数据集中符合疑似匹配条件的特征码记录;步骤308,根据当前网络发送的远端IP地址、特征码记录的文件名、文件的所在目录、 当前进程文件名、当前进程文件所在目录和当前时间等信息生成一个疑似文件跟踪记录, 给出描述疑似发送文件记录; 步骤309,退出。所述的网络接收事件的发生是在进行网络接收操作时,提取特征码,并在文件写 入时,进行匹配,包括步骤402 从网络接收的数据缓冲区中提取特征码;步骤403,将步骤402中提取的特征码和远端IP地址、线程ID、进程ID、当前时间等信 息生成网络接收数据集记录;步骤404,根据网络数据集的更新策略判断网络数据集需要添加新的特征码记录或者 更新原有相关特征码记录;步骤405,需要添加新的特征码记录,则添加特征码记录到网络数据集中,进入步骤407 ;步骤406,当需要更新原有相关特征码,则更新网络数据集; 步骤407,退出。所述的提取特征码的方法是从文件读取的内容中或者从网络接收的内容中直接 复制其中的一段数据或者多段数据作为特征码的方法,或根据文件读取的内容或者从网络 接收的内容中的部分或者全部数据为计算依据,使用算法计算出一个结果值,然后以该结 果值作为特征码的方法。所述的算法包含但不限于crc或md5。所述的文件数据集的更新策略包括1)读取的文件名为关键字的特征码记录更新策略,即同一文件的读取内容特征只保留 一条记录,新的特征码纪录覆盖相同文件的旧纪录,或者直接丢弃新的特征码纪录,仍保留 原有特征码记录;2)被读取的文件名+读取发生时间为关键字的特征码记录更新策略,即同一文件的每 次读取的内容特征均产生一个新特征码记录;3)线程ID+被读取的文件名为关键字的特征码记录更新策略,即相同线程对相同文件 的读取只产生一个特征码记录;同一线程对同一文件多次读取时,新的记录覆盖旧记录,或 者直接丢弃新记录,仍保留原有记录;4)进程ID+被读取的文件名+读取发生时间为关键字的特征码记录更新策略,即任何 线程对任何文件的每次读取,均产生一个新的特征码记录。所述的网络数据集的更新策略包括1)线程ID+网络远端IP地址为关键字的更新策略,即同一线程对同一远端主机(IP) 的每次数据接收只保留一条特征码记录,新的记录直接覆盖旧记录;2)线程ID+网络远端IP地址+数据接收时间为关键字的更新策略,即任意线程对任 意远端主机的每次数据接收均产生一条新的特征码记录。所述的特征匹配包括1)以线程为单位进行关联匹配,即在进行内容匹配时,仅仅匹配本线程读取、接收的内 本文档来自技高网...
【技术保护点】
一种计算机文件跟踪方法,至少包括用于存贮程序的存贮介质、控制存贮介质中的程序运行的处理器和存放程序运行中存放过程信息的缓冲单元,其特征是:通过在文件读取内容中提取特征码,当文件写入时根据写入内容匹配,以便判断出文件复制事件的发生;或者在网络发送时根据网络发送内容匹配,以便判断文件发送事件的发生;通过在网络接收数据时,提取特征码,并在文件写入时根据写入内容匹配,以便判断出文件接收事件的发生。
【技术特征摘要】
【专利技术属性】
技术研发人员:李贵林,
申请(专利权)人:李贵林,
类型:发明
国别省市:87[中国|西安]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。