基于文件轨迹追踪树的审计分析方法
【专利摘要】基于文件轨迹追踪树的审计分析方法属于电子文件安全管控领域。电子文件安全管控系统的数据库中动态存储着数以千万计的文件标签信息,需要研究出一种高效可靠的标签信息审计分析技术以满足大数据量、动态更新、多维流转情况下的电子文件审计需要。文件轨迹追踪树处在数据库层和审计分析层之间,在从更新中的数据库表提取出标签信息之后,经过一定的数据关联、划分和重组,形成具有文件轨迹传播树图样式的数据存储结构体,每一棵“树”的顶点代表文件创建者,其子节点则代表文件的传播范围,“树枝”则代表传播轨迹。随后审计分析层则直接对文件轨迹追踪树进行操作,减少了计算量。
【专利说明】基于文件轨迹追踪树的审计分析方法
【技术领域】
[0001]基于文件轨迹追踪树的审计分析方法属于电子文件安全管控领域。
【背景技术】
[0002]为了易于观察及审计某文件及其副本文件的流转过程,提出一种名为“文件轨迹追踪树”的数据结构体表示方法,简化审计分析的工作量。文件轨迹追踪树在从更新中的数据库表提取出所需信息之后,经过一定的数据关联、划分和重组,形成具有文件轨迹传播树图样式的数据存储结构体,每一棵“树”的顶点代表文件创建者,其子节点则代表文件的传播范围,“树枝”则代表传播轨迹。
[0003]电子文件安全管控系统的核心功能之一是通过对文件添加标签信息并实时更新标签信息来追踪文件的流转轨迹,在每个流转节点审计用户对文件的操作,包括文件在本地的编辑状态、在用户间的流转状态、在部门间的扩散范围等。
[0004]电子文件安全管控系统的数据库中动态存储着数以千万计的文件标签信息,由于文件编辑和流转的需要,每条标签信息都处于不停更新的状态。传统的数据库查询和审计方法能够解决大量“静态”数据的检索和分析,但是在本系统的应用模式下,如此频繁更新的“动态”标签信息将会成为准确追踪和全面审计的一大挑战。因此需要研究出一种高效可靠的标签信息审计分析技术以满足大数据量、动态更新、多维流转情况下的电子文件审计需要。
[0005]针对上述需求提出一种名为“文件轨迹追踪树”的数据结构体表示方法,以此来简化审计分析的工作量。文件轨迹追踪树处在数据库层和审计分析层之间,在从更新中的数据库表提取出标签信息之后,经过一定的数据关联、划分和重组,形成具有文件轨迹传播树图样式的数据存储结构体,每一棵“树”的顶点代表文件创建者,其子节点则代表文件的传播范围,“树枝”则代表传播轨迹。随后审计分析层则直接对文件轨迹追踪树进行操作,减少了计算量。
【发明内容】
[0006]一种用于观察展现文件传播轨迹的树结构(称文件轨迹追踪树),其特征在于:树内节点结构体包括每个文件接收者对该文件及其产生的副本文件的操作行为的统计;树内节点结构体中包括由该文件衍生出的副本文件的相关属性信息;能根据该树结构得知该文件及由其衍生出的多个副本文件的传播轨迹。
[0007]—种使用文件轨迹追踪树针对文件操作以及传播记录的审计方法,其特征在于:利用树形图表示文件的传播轨迹;利用文件轨迹追踪树内节点结构体表示对文件及由其衍生出的副本文件的操作等其他属性;利用树内节点审计文件流转次数。
[0008]基于文件轨迹追踪树的审计分析方法,其特征在于:
[0009]当一个文件产生的时候,系统会为文件创建一个标签,标签内容包含有文件的唯一 ID,不论对其进行什么操作,文件的唯一 ID不变,若存在复制、保存或另存为操作的时候会生成一个新的副本,且所述的保存代表对文件修改后的保存而不是接收时的保存,接收时出现的保存或者覆盖不会生成新副本;通过文件副本ID进行区分,文件副本ID在保存、另存为和复制的操作中被创建,一个文件副本只有一个文件副本ID,其在发送、打印、修改操作中不会改变,文件副本能生成新的文件副本;若存在删除操作,该文件的标签记录不会被删除;每个文件副本也会生成自己的标签;
[0010]通过对某文件名称的查询,得知想要查询的文件ID,关联操作表、用户表、文件表和数据字典,构建该文件的传播轨迹表;传播轨迹表至少包括文件ID、文件名、文件副本ID、文件副本名、操作ID、操作名称、操作时间、操作用户ID、用户名和层级;通过判断操作ID是否为“发送”的代号,构造层级信息,每当操作为发送时,会同时写入发送者和接收者的信息记录,选取其中的操作用户ID即“发送者ID接收者ID”,按发送时间的先后顺序将“发送者ID接收者ID”前添加标号即为“m发送者ID接收者ID”,m表示第m个发送者或接收者,以此构造层级信息;
[0011]依据文件的传播轨迹表构建某文件的传播轨迹树,根据操作名称判定是否为根节点,若为“创建”则为根节点,其余为子节点;根据文件传播轨迹表中的文件及其副本的层级信息构造文件轨迹追踪树,对文件及由该文件生成的副本文件的流转过程进行全程跟踪记录,以树节点代表文件或副本文件,树节点结构体内包含该文件或副本文件的常规属性及操作记录,操作记录是一个三列η行的表格,三列分别记录操作者、操作类型、操作时间;η表示操作次数;每个树节点的孩子节点代表该文件发送到的其他用户,树节点之间的连线即树枝信息包含所发送的文件及其文件ID ;
[0012]构造传播轨迹树的具体步骤如下:
[0013]I)将文件创建者作为树的根节点;
[0014]2)选取文件本身的层级信息,生成树的一颗子树Α,层级信息中每个发送者ID前的标号对应的接收者ID也添加为此发送者的孩子节点,此时每个节点的孩子节点中会有一个是重复的,删除其中没有子节点的孩子节点;
[0015]3)选取所有文件副本中文件副本ID最短的层级信息,锁定副本的创建人ID,选取子树A中发送者ID或接收者ID与副本的创建人ID相同的节点,判断其副本的创建时间与子树A中各节点的接收时间,若创建时间晚于接收时间,则以该节点为子树根节点,生成树的另多颗子树,方法与步骤2)相同;
[0016]4)选取文件副本中文件副本ID次短的层级信息,接着具体步骤和3)相同;一直到遍历完所有的文件副本,完成文件轨迹追踪树的生成。
【专利附图】
【附图说明】
[0017]图1产生的文件轨迹追踪树实例图。
【具体实施方式】
[0018]步骤一
[0019]首先,文件轨迹追踪树生成工具根据收集到的网络中文件的传播信息以及对文件的操作信息,对其进行建表整理。具体操作步骤如下:
[0020]安装该电子文件系统的计算机产生新文件或对文件进行操作时,会即时上传文件信息以及操作信息。管理员对某文件进行查询轨迹操作时(也可以进行其他操作),输入所要查询的文件名称,系统将提示该文件的最初版本以及其他副本(提示信息包括文件副本名称、对该文件的操作、操作人信息以及操作时间等信息),管理员根据自己需求确定以该文件或该文件某副本为树的根节点,进而确定生成文件轨迹追踪树。此时计算机将对该文件或该文件某副本进行文件传播轨迹表的建立,建立该表的目的是为了生成文件轨迹追踪树。
[0021]形成文件轨迹追踪树的数据来源于数据库中的操作表、人员表等数据库表。
[0022]当一个文件产生的时候,系统会为文件创建一个标签,标签内容包含有文件的唯一 ID,不论对其进行什么操作(包括重命名、修改、保存、打印、发送、复制、另存为等操作),文件的唯一 ID不变,若存在复制、保存(本篇的保存代表对文件修改后的保存而不是接收时的保存,接收时出现的保存或者覆盖不会生成新副本)或另存为操作的时候会生成一个新的副本,可以通过文件副本ID进行区分,文件副本ID在修改后的保存、另存为和复制的操作中被创建,一个文件副本只有一个文件副本ID,其在发送、打印、修改等其他操作中不会改变,文件副本还可以生成新的文件副本。若存在删除操作,该文件的标签记录不会被删除。每个文件副本也会生成自己的标签,根据文件ID可搜索该文件以及基于该文件ID的所有文件副本的传播轨迹。
[0023]通过对某文件名称的查询,得知想要查询的文件ID,关联操作表、用户表、文件表等信息,构建该文件的传播轨迹表。(每个表中的加粗属性字段都将出现在为了创建文件轨迹追踪树而生成的新表中,也可以按需增加和删除未加粗属性字段。)
[0024]表1文件实体说明
[0025]
【权利要求】
1.基于文件轨迹追踪树的审计分析方法,其特征在于: 当一个文件产生的时候,系统会为文件创建一个标签,标签内容包含有文件的唯一 ID,不论对其进行什么操作,文件的唯一 ID不变,若存在复制、保存或另存为操作的时候会生成一个新的副本,且所述的保存代表对文件修改后的保存而不是接收时的保存,接收时出现的保存或者覆盖不会生成新副本;通过文件副本ID进行区分,文件副本ID在保存、另存为和复制的操作中被创建,一个文件副本只有一个文件副本ID,其在发送、打印、修改操作中不会改变,文件副本能生成新的文件副本;若存在删除操作,该文件的标签记录不会被删除;每个文件副本也会生成自己的标签; 通过对某文件名称的查询,得知想要查询的文件ID,关联操作表、用户表、文件表和数据字典,构建该文件的传播轨迹表;传播轨迹表至少包括文件ID、文件名、文件副本ID、文件副本名、操作ID、操作名称、操作时间、操作用户ID、用户名和层级;通过判断操作ID是否为“发送”的代号,构造层级信息,每当操作为发送时,会同时写入发送者和接收者的信息记录,选取其中的操作用户ID即“发送者ID接收者ID”,按发送时间的先后顺序将“发送者ID接收者ID”前添加标号即为“m发送者ID接收者ID”,m表示第m个发送者或接收者,以此构造层级信息; 依据文件的传播轨迹表构建某文件的传播轨迹树,根据操作名称判定是否为根节点,若为“创建”则为根节点,其余为子节点;根据文件传播轨迹表中的文件及其副本的层级信息构造文件轨迹追踪树,对文件及由该文件生成的副本文件的流转过程进行全程跟踪记录,以树节点代表文件或副本文件,树节点结构体内包含该文件或副本文件的常规属性及操作记录,操作记录是一个三列η行的表格,三列分别记录操作者、操作类型、操作时间;η表示操作次数;每个树节点的孩子节点代表该文件发送到的其他用户,树节点之间的连线即树枝信息包含所发送的文件及其文件ID ; 构造传播轨迹树的具体步骤如下: 1)将文件创建者作为树的根节点; 2)选取文件本身的层级信息,生成树的一颗子树Α,层级信息中每个发送者ID前的标号对应的接收者ID也添加为此发送者的孩子节点,此时每个节点的孩子节点中会有一个是重复的,删除其中没有子节点的孩子节点; 3)选取所有文件副本中文件副本ID最短的层级信息,锁定副本的创建人ID,选取子树A中发送者ID或接收者ID与副本的创建人ID相同的节点,判断其副本的创建时间与子树A中各节点的接收时间,若创建时间晚于接收时间,则以该节点为子树根节点,生成树的另多颗子树,方法与步骤2)相同; 4)选取文件副本中文件副本ID次短的层级信息,接着具体步骤和3)相同;一直到遍历完所有的文件副本,完成文件轨迹追踪树的生成。
【文档编号】G06F17/30GK104199900SQ201410426326
【公开日】2014年12月10日 申请日期:2014年8月26日 优先权日:2014年8月26日
【发明者】周益周, 曾淑娟, 陈志浩 申请人:中国航天科工集团第二研究院七〇六所