基于文件轨迹追踪树的审计分析方法.pdf

摘要
申请专利号：	CN201410426326.0	申请日：	2014.08.26
公开号：	CN104199900A	公开日：	2014.12.10
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G06F 17/30申请日:20140826\|\|\|公开
IPC分类号：	G06F17/30; G06Q40/00(2012.01)I	主分类号：	G06F17/30
申请人：	中国航天科工集团第二研究院七〇六所
发明人：	周益周; 曾淑娟; 陈志浩
地址：	100854 北京市海淀区永定路51号142信箱406分箱4号
优先权：
专利代理机构：	北京思海天达知识产权代理有限公司 11203	代理人：	刘萍
PDF下载：	PDF下载

内容摘要

基于文件轨迹追踪树的审计分析方法属于电子文件安全管控领域。电子文件安全管控系统的数据库中动态存储着数以千万计的文件标签信息，需要研究出一种高效可靠的标签信息审计分析技术以满足大数据量、动态更新、多维流转情况下的电子文件审计需要。文件轨迹追踪树处在数据库层和审计分析层之间，在从更新中的数据库表提取出标签信息之后，经过一定的数据关联、划分和重组，形成具有文件轨迹传播树图样式的数据存储结构体，每一棵“树”的顶点代表文件创建者，其子节点则代表文件的传播范围，“树枝”则代表传播轨迹。随后审计分析层则直接对文件轨迹追踪树进行操作，减少了计算量。

权利要求书

1. 基于文件轨迹追踪树的审计分析方法，其特征在于：
当一个文件产生的时候，系统会为文件创建一个标签，标签内容包含有文件的唯一ID，不论对其进行什么操作，文件的唯一ID不变，若存在复制、保存或另存为操作的时候会生成一个新的副本，且所述的保存代表对文件修改后的保存而不是接收时的保存，接收时出现的保存或者覆盖不会生成新副本；通过文件副本ID进行区分，文件副本ID在保存、另存为和复制的操作中被创建，一个文件副本只有一个文件副本ID，其在发送、打印、修改操作中不会改变，文件副本能生成新的文件副本；若存在删除操作，该文件的标签记录不会被删除；每个文件副本也会生成自己的标签；
通过对某文件名称的查询，得知想要查询的文件ID，关联操作表、用户表、文件表和数据字典，构建该文件的传播轨迹表；传播轨迹表至少包括文件ID、文件名、文件副本ID、文件副本名、操作ID、操作名称、操作时间、操作用户ID、用户名和层级；通过判断操作ID是否为“发送”的代号，构造层级信息，每当操作为发送时，会同时写入发送者和接收者的信息记录，选取其中的操作用户ID即“发送者ID接收者ID”，按发送时间的先后顺序将“发送者ID接收者ID”前添加标号即为“m发送者ID接收者ID”，m表示第m个发送者或接收者，以此构造层级信息；
依据文件的传播轨迹表构建某文件的传播轨迹树，根据操作名称判定是否为根节点，若为“创建”则为根节点，其余为子节点；根据文件传播轨迹表中的文件及其副本的层级信息构造文件轨迹追踪树，对文件及由该文件生成的副本文件的流转过程进行全程跟踪记录，以树节点代表文件或副本文件，树节点结构体内包含该文件或副本文件的常规属性及操作记录，操作记录是一个三列n行的表格，三列分别记录操作者、操作类型、操作时间；n表示操作次数；每个树节点的孩子节点代表该文件发送到的其他用户，树节点之间的连线即树枝信息包含所发送的文件及其文件ID；
构造传播轨迹树的具体步骤如下：
1)将文件创建者作为树的根节点；
2)选取文件本身的层级信息，生成树的一颗子树A，层级信息中每个发送者ID前的标号对应的接收者ID也添加为此发送者的孩子节点，此时每个节点的孩子节点中会有一个是重复的，删除其中没有子节点的孩子节点；
3)选取所有文件副本中文件副本ID最短的层级信息，锁定副本的创建人ID，选取子树A中发送者ID或接收者ID与副本的创建人ID相同的节点，判断其副本的创建时间与子树A中各节点的接收时间，若创建时间晚于接收时间，则以该节点为子树根节点，生成树的另多颗子树，方法与步骤2)相同；
4)选取文件副本中文件副本ID次短的层级信息，接着具体步骤和3)相同；一直到遍历完所有的文件副本，完成文件轨迹追踪树的生成。

说明书

基于文件轨迹追踪树的审计分析方法
技术领域
基于文件轨迹追踪树的审计分析方法属于电子文件安全管控领域。
背景技术
为了易于观察及审计某文件及其副本文件的流转过程，提出一种名为“文件轨迹追踪树”的数据结构体表示方法，简化审计分析的工作量。文件轨迹追踪树在从更新中的数据库表提取出所需信息之后，经过一定的数据关联、划分和重组，形成具有文件轨迹传播树图样式的数据存储结构体，每一棵“树”的顶点代表文件创建者，其子节点则代表文件的传播范围，“树枝”则代表传播轨迹。
电子文件安全管控系统的核心功能之一是通过对文件添加标签信息并实时更新标签信息来追踪文件的流转轨迹，在每个流转节点审计用户对文件的操作，包括文件在本地的编辑状态、在用户间的流转状态、在部门间的扩散范围等。
电子文件安全管控系统的数据库中动态存储着数以千万计的文件标签信息，由于文件编辑和流转的需要，每条标签信息都处于不停更新的状态。传统的数据库查询和审计方法能够解决大量“静态”数据的检索和分析，但是在本系统的应用模式下，如此频繁更新的“动态”标签信息将会成为准确追踪和全面审计的一大挑战。因此需要研究出一种高效可靠的标签信息审计分析技术以满足大数据量、动态更新、多维流转情况下的电子文件审计需要。
针对上述需求提出一种名为“文件轨迹追踪树”的数据结构体表示方法，以此来简化审计分析的工作量。文件轨迹追踪树处在数据库层和审计分析层之间，在从更新中的数据库表提取出标签信息之后，经过一定的数据关联、划分和重组，形成具有文件轨迹传播树图样式的数据存储结构体，每一棵“树”的顶点代表文件创建者，其子节点则代表文件的传播范围，“树枝”则代表传播轨迹。随后审计分析层则直接对文件轨迹追踪树进行操作，减少了计算量。
发明内容
一种用于观察展现文件传播轨迹的树结构(称文件轨迹追踪树)，其特征在于：树内节点结构体包括每个文件接收者对该文件及其产生的副本文件的操作行为的统计；树内节点结构体中包括由该文件衍生出的副本文件的相关属性信息；能根据该树结构得知该文件及由其衍生出的多个副本文件的传播轨迹。
一种使用文件轨迹追踪树针对文件操作以及传播记录的审计方法，其特征在于：利用树形图表示文件的传播轨迹；利用文件轨迹追踪树内节点结构体表示对文件及由其衍生出的副本文件的操作等其他属性；利用树内节点审计文件流转次数。
基于文件轨迹追踪树的审计分析方法，其特征在于：
当一个文件产生的时候，系统会为文件创建一个标签，标签内容包含有文件的唯一ID，不论对其进行什么操作，文件的唯一ID不变，若存在复制、保存或另存为操作的时候会生成一个新的副本，且所述的保存代表对文件修改后的保存而不是接收时的保存，接收时出现的保存或者覆盖不会生成新副本；通过文件副本ID进行区分，文件副本ID在保存、另存为和复制的操作中被创建，一个文件副本只有一个文件副本ID，其在发送、打印、修改操作中不会改变，文件副本能生成新的文件副本；若存在删除操作，该文件的标签记录不会被删除；每个文件副本也会生成自己的标签；
通过对某文件名称的查询，得知想要查询的文件ID，关联操作表、用户表、文件表和数据字典，构建该文件的传播轨迹表；传播轨迹表至少包括文件ID、文件名、文件副本ID、文件副本名、操作ID、操作名称、操作时间、操作用户ID、用户名和层级；通过判断操作ID是否为“发送”的代号，构造层级信息，每当操作为发送时，会同时写入发送者和接收者的信息记录，选取其中的操作用户ID即“发送者ID接收者ID”，按发送时间的先后顺序将 “发送者ID接收者ID”前添加标号即为“m发送者ID接收者ID”，m表示第m个发送者或接收者，以此构造层级信息；
依据文件的传播轨迹表构建某文件的传播轨迹树，根据操作名称判定是否为根节点，若为“创建”则为根节点，其余为子节点；根据文件传播轨迹表中的文件及其副本的层级信息构造文件轨迹追踪树，对文件及由该文件生成的副本文件的流转过程进行全程跟踪记录，以树节点代表文件或副本文件，树节点结构体内包含该文件或副本文件的常规属性及操作记录，操作记录是一个三列n行的表格，三列分别记录操作者、操作类型、操作时间；n表示操作次数；每个树节点的孩子节点代表该文件发送到的其他用户，树节点之间的连线即树枝信息包含所发送的文件及其文件ID；
构造传播轨迹树的具体步骤如下：
1)将文件创建者作为树的根节点；
2)选取文件本身的层级信息，生成树的一颗子树A，层级信息中每个发送者ID前的标号对应的接收者ID也添加为此发送者的孩子节点，此时每个节点的孩子节点中会有一个是重复的，删除其中没有子节点的孩子节点；
3)选取所有文件副本中文件副本ID最短的层级信息，锁定副本的创建人ID，选取子树A中发送者ID或接收者ID与副本的创建人ID相同的节点，判断其副本的创建时间与子树A中各节点的接收时间，若创建时间晚于接收时间，则以该节点为子树根节点，生成树的另多颗子树，方法与步骤2)相同；
4)选取文件副本中文件副本ID次短的层级信息，接着具体步骤和3)相同；一直到遍历完所有的文件副本，完成文件轨迹追踪树的生成。
附图说明
图1产生的文件轨迹追踪树实例图。
具体实施方式
步骤一
首先，文件轨迹追踪树生成工具根据收集到的网络中文件的传播信息以及对文件的操作信息，对其进行建表整理。具体操作步骤如下：
安装该电子文件系统的计算机产生新文件或对文件进行操作时，会即时上传文件信息以及操作信息。管理员对某文件进行查询轨迹操作时(也可以进行其他操作)，输入所要查询的文件名称，系统将提示该文件的最初版本以及其他副本(提示信息包括文件副本名称、对该文件的操作、操作人信息以及操作时间等信息)，管理员根据自己需求确定以该文件或该文件某副本为树的根节点，进而确定生成文件轨迹追踪树。此时计算机将对该文件或该文件某副本进行文件传播轨迹表的建立，建立该表的目的是为了生成文件轨迹追踪树。
形成文件轨迹追踪树的数据来源于数据库中的操作表、人员表等数据库表。
当一个文件产生的时候，系统会为文件创建一个标签，标签内容包含有文件的唯一ID，不论对其进行什么操作(包括重命名、修改、保存、打印、发送、复制、另存为等操作)，文件的唯一ID不变，若存在复制、保存(本篇的保存代表对文件修改后的保存而不是接收时的保存，接收时出现的保存或者覆盖不会生成新副本)或另存为操作的时候会生成一个新的副本，可以通过文件副本ID进行区分，文件副本ID在修改后的保存、另存为和复制的操作中被创建，一个文件副本只有一个文件副本ID，其在发送、打印、修改等其他操作中不会改变，文件副本还可以生成新的文件副本。若存在删除操作，该文件的标签记录不会被删除。每个文件副本也会生成自己的标签，根据文件ID可搜索该文件以及基于该文件ID的所有文件副本的传播轨迹。
通过对某文件名称的查询，得知想要查询的文件ID，关联操作表、用户表、文件表等信息，构建该文件的传播轨迹表。(每个表中的加粗属性字段都将出现在为了创建文件轨迹追踪树而生成的新表中，也可以按需增加和删除未加粗属性字段。)
表1 文件实体说明

属性主键外键父实体名称文件ID 是否文件名否否文件副本ID 否否文件副本名否否拥有者ID 否是用户表大小否否创建时间否否修改时间否否访问时间否否位置否否操作ID 否是操作表层级否否

表2 用户实体说明
属性主键外键父实体名称用户ID 是否密级否否联系方式否否用户名否否部门ID 否是部门表

表3 操作实体说明
属性主键外键父实体名称

操作ID 是否 - 文件ID 否是文件表操作用户ID 否是用户表操作时间否否

表4 部门实体说明
属性主键外键父实体名称部门ID 是否部门名称否否

表5 数据字典实体说明
属性主键外键父实体名称创建否否另存为否否打印否否复制否否 - 重命名否否删除否否发送否否修改后保存否否

以文件ID查找文件传播轨迹，根据以上五个表中的某些字段构造的新表如下：
表6 依据某文件ID查找到该文件的传播轨迹表
属性主键外键父实体名称文件ID 是否文件名否否文件副本ID 否否

文件副本名否否操作ID 否是操作表操作名称否是数据字典操作时间否否操作用户ID 否是用户表用户名否否层级否否

依据上表构建某文件的传播轨迹树，构建该树的关键在于知道其根节点以及每个节点的孩子节点，根据操作名称判定是否为根节点，若为“创建”则为根节点，其余为子节点。得到其根节点，但还需要知道其孩子节点。先了解一下每个属性的格式：
文件ID：“机器编号”+“创建文件时间编号”，例如机器编号为“999”，创建文件时间为“2014-01-0109：30：59”，其文件ID号码则为“99920140101093059”；(该编码格式也可以按其他方法设计。)
文件名：文件名称；
文件副本ID：基于文件(或其副本)修改后得到的文件副本，其ID格式为：该文件(或其副本)的ID+一个随机的三位数；(该编码格式也可以按其他方法设计。)
文件副本名：文件副本名称；
操作ID：包括创建、保存、另存为、打印、复制、重命名、删除、发送的代号或按照时间顺序的代号组合，比如：<“创建的代号”+“打印的代号”+“发送的代号”>；(“创建的代号”本身是一串整形数字，使用整形数字为了加快数据库对表的搜索速度，其代号对应的操作可以在“操作字典”中查询)
操作名称：包括创建、保存、另存为、打印、复制、重命名、删除、发送操作；
操作时间：操作者对文件的操作时间，比如：<“创建的时间”+“打印的时间”+“发送的时间”>；
操作用户ID：操作者的ID，格式为5位数字，比如：<“创建者的ID”+“打印者的ID”+“发送者ID接收者ID接收者ID……”>；(该编码格式也可以按其他方法设计。)
用户名：操作者名称；
层级：记录文件传播轨迹，只有操作ID为发送的代号时层级信息才更新。其格式为：<“操作者P1”+“操作者P2”+……+“操作者PX”>，其中，不相邻的操作者可以相同。
一个文件传播轨迹表将会有一个文件ID、一个文件名、一条层级记录，其余项均如文件副本ID、文件副本名、操作ID、操作名称、操作时间、操作用户ID、用户名可有多条。
通过判断操作ID是否为“发送”的代号，可以构造层级信息，每当操作为发送时，会同时写入操作用户(发送者、接收者)的信息记录，选取其中的操作用户ID即“发送者ID接收者ID”，按发送时间的先后顺序将“发送者ID接收者ID”前添加标号即为“m发送者ID接收者ID”，即1、2、3、4，以此构造层级信息，比如：<“1发送者ID”+“2发送者ID”+……>。
1.选取树形数据结构作为文件传播轨迹的数据结构及表达方法，对文件及由该文件生成的副本文件的流转过程进行全程跟踪记录，以树节点代表文件或副本文件，树节点结构体内包含该文件或副本文件的常规属性及操作记录，操作记录是一个三列n行的表格，分别记录操作者、操作类型、操作时间。每个树节点的孩子节点代表该文件发送到的其他用户，树节点之间的连线即树枝信息包含所发送的文件及其文件ID。
2.通过对文件信息及文件操作信息的记录采集、整理，形成生成文件轨迹追踪树的传播轨迹表。
3.数据表中的层级信息记录的设计可以直接生成树的某条路径，通过步骤二中构造树的具体实施步骤中的逻辑设计进而生成整棵树。
步骤二
由数据库中新生成的文件传播轨迹表生成相应的文件轨迹追踪树。
根据文件传播轨迹表中的文件及其副本的层级信息构造文件轨迹追踪树，该树的节点信息结构体包括发送人信息(具体包括其部门以及联系方式等)、发送时间、接收时间、文件属于第几个副本(通过文件副本ID长度判断)、发送人对其进行的操作信息。
构造树的具体实施步骤如下：
1)将文件创建者作为树的根节点；
2)选取文件本身(即非文件副本)的层级信息，生成树的一颗子树A，层级信息中每个发送者ID前的标号对应的接收者ID也添加为此发送者的孩子节点，此时每个节点的孩子节点中会有一个是重复的，删除其中没有子节点的孩子节点；
3)选取所有文件副本中文件副本ID最短的层级信息，锁定副本的创建人ID，选取子树A中发送者ID或接收者ID与副本的创建人ID相同的节点，判断其副本的创建时间与子树A中各节点的接收时间，若创建时间晚于接收时间，则以该节点为子树根节点，生成树的另多棵子树，方法与步骤2相同。
4)选取文件副本中文件副本ID次短的层级信息，接着具体步骤和3相同。一直到遍历完所有的文件副本，完成文件轨迹追踪树的生成。
另，存在以下一种情况，对于文件X来说，若D将X发给B和C，B接收X后也将其发给C(而且C没有选择另存为成为另一个文件)，C对X进行修改后并发送给其他用户，对于此树的生成存在冗余的子树，因为D的孩子C和B的孩子C在步骤3、4中生成的树是相同的，相同的树应进行相应的解释或者颜色的变化处理，从而方便用户进行对树的查看与判断。
步骤三
最后，用户可以根据自定义筛选条件对文件进行审计。
具体包括以下三点：
1.文件传播轨迹追踪
通过树的结构可直观的看到该文件的传播轨迹，以及哪个人对该文件进行了什么操作。
2.文件流转次数审计
通过判断文件轨迹追踪树的节点数目可确定文件流转的次数，需要将冗余的子树节点进行删除后统计节点总数。
3.文件操作审计
树的每个节点结构体中包括操作信息，包含此节点操作人对该文件的所有操作信息，通过统计文件或者文件某副本的所有节点的节点信息，可得知对该文件或其某副本的各种类型操作的次数。
对文件轨迹追踪树进行应用，除了直观的看到某文件及由该文件产生的副本文件的传播轨迹之外，还可以根据用户需求对文件进行审计。具体在步骤三中。
最终产生的文件轨迹追踪树实例如图1所示：
通过检索文件名为安全生产指南的文件，根据产生的每个文件的信息，选择由赵生于2014-01-0109:30:59创建的版本，然后生成该文件的文件轨迹树。
单击节点会出现图右边的节点信息，单击节点之间的连线会出现所发送的文件ID与文件名。
文件由赵生发送给李南与孙雯，李南接着将文件发送给周程和吴辉，孙雯也将文件发送给吴辉，吴辉经过修改后发送回李南。吴辉是在发送文件给李南之前接收到李南与孙雯发给他的文件，所以此处出现冗余现象，可以进行颜色填充或者文字描述等相关告知用户的行为。

资源描述

《基于文件轨迹追踪树的审计分析方法.pdf》由会员分享，可在线阅读，更多相关《基于文件轨迹追踪树的审计分析方法.pdf（9页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104199900A43申请公布日20141210CN104199900A21申请号201410426326022申请日20140826G06F17/30200601G06Q40/0020120171申请人中国航天科工集团第二研究院七六所地址100854北京市海淀区永定路51号142信箱406分箱4号72发明人周益周曾淑娟陈志浩74专利代理机构北京思海天达知识产权代理有限公司11203代理人刘萍54发明名称基于文件轨迹追踪树的审计分析方法57摘要基于文件轨迹追踪树的审计分析方法属于电子文件安全管控领域。电子文件安全管控系统的数据库中动态存储着数以千万计的文件标签信息，需要研究。

2、出一种高效可靠的标签信息审计分析技术以满足大数据量、动态更新、多维流转情况下的电子文件审计需要。文件轨迹追踪树处在数据库层和审计分析层之间，在从更新中的数据库表提取出标签信息之后，经过一定的数据关联、划分和重组，形成具有文件轨迹传播树图样式的数据存储结构体，每一棵“树”的顶点代表文件创建者，其子节点则代表文件的传播范围，“树枝”则代表传播轨迹。随后审计分析层则直接对文件轨迹追踪树进行操作，减少了计算量。51INTCL权利要求书1页说明书6页附图1页19中华人民共和国国家知识产权局12发明专利申请权利要求书1页说明书6页附图1页10申请公布号CN104199900ACN104199900A1/1。

3、页21基于文件轨迹追踪树的审计分析方法，其特征在于当一个文件产生的时候，系统会为文件创建一个标签，标签内容包含有文件的唯一ID，不论对其进行什么操作，文件的唯一ID不变，若存在复制、保存或另存为操作的时候会生成一个新的副本，且所述的保存代表对文件修改后的保存而不是接收时的保存，接收时出现的保存或者覆盖不会生成新副本；通过文件副本ID进行区分，文件副本ID在保存、另存为和复制的操作中被创建，一个文件副本只有一个文件副本ID，其在发送、打印、修改操作中不会改变，文件副本能生成新的文件副本；若存在删除操作，该文件的标签记录不会被删除；每个文件副本也会生成自己的标签；通过对某文件名称的查询，得知想要查。

4、询的文件ID，关联操作表、用户表、文件表和数据字典，构建该文件的传播轨迹表；传播轨迹表至少包括文件ID、文件名、文件副本ID、文件副本名、操作ID、操作名称、操作时间、操作用户ID、用户名和层级；通过判断操作ID是否为“发送”的代号，构造层级信息，每当操作为发送时，会同时写入发送者和接收者的信息记录，选取其中的操作用户ID即“发送者ID接收者ID”，按发送时间的先后顺序将“发送者ID接收者ID”前添加标号即为“M发送者ID接收者ID”，M表示第M个发送者或接收者，以此构造层级信息；依据文件的传播轨迹表构建某文件的传播轨迹树，根据操作名称判定是否为根节点，若为“创建”则为根节点，其余为子节点；根。

5、据文件传播轨迹表中的文件及其副本的层级信息构造文件轨迹追踪树，对文件及由该文件生成的副本文件的流转过程进行全程跟踪记录，以树节点代表文件或副本文件，树节点结构体内包含该文件或副本文件的常规属性及操作记录，操作记录是一个三列N行的表格，三列分别记录操作者、操作类型、操作时间；N表示操作次数；每个树节点的孩子节点代表该文件发送到的其他用户，树节点之间的连线即树枝信息包含所发送的文件及其文件ID；构造传播轨迹树的具体步骤如下1将文件创建者作为树的根节点；2选取文件本身的层级信息，生成树的一颗子树A，层级信息中每个发送者ID前的标号对应的接收者ID也添加为此发送者的孩子节点，此时每个节点的孩子节点中会。

6、有一个是重复的，删除其中没有子节点的孩子节点；3选取所有文件副本中文件副本ID最短的层级信息，锁定副本的创建人ID，选取子树A中发送者ID或接收者ID与副本的创建人ID相同的节点，判断其副本的创建时间与子树A中各节点的接收时间，若创建时间晚于接收时间，则以该节点为子树根节点，生成树的另多颗子树，方法与步骤2相同；4选取文件副本中文件副本ID次短的层级信息，接着具体步骤和3相同；一直到遍历完所有的文件副本，完成文件轨迹追踪树的生成。权利要求书CN104199900A1/6页3基于文件轨迹追踪树的审计分析方法技术领域0001基于文件轨迹追踪树的审计分析方法属于电子文件安全管控领域。背景技术0002。

7、为了易于观察及审计某文件及其副本文件的流转过程，提出一种名为“文件轨迹追踪树”的数据结构体表示方法，简化审计分析的工作量。文件轨迹追踪树在从更新中的数据库表提取出所需信息之后，经过一定的数据关联、划分和重组，形成具有文件轨迹传播树图样式的数据存储结构体，每一棵“树”的顶点代表文件创建者，其子节点则代表文件的传播范围，“树枝”则代表传播轨迹。0003电子文件安全管控系统的核心功能之一是通过对文件添加标签信息并实时更新标签信息来追踪文件的流转轨迹，在每个流转节点审计用户对文件的操作，包括文件在本地的编辑状态、在用户间的流转状态、在部门间的扩散范围等。0004电子文件安全管控系统的数据库中动态存储着。

8、数以千万计的文件标签信息，由于文件编辑和流转的需要，每条标签信息都处于不停更新的状态。传统的数据库查询和审计方法能够解决大量“静态”数据的检索和分析，但是在本系统的应用模式下，如此频繁更新的“动态”标签信息将会成为准确追踪和全面审计的一大挑战。因此需要研究出一种高效可靠的标签信息审计分析技术以满足大数据量、动态更新、多维流转情况下的电子文件审计需要。0005针对上述需求提出一种名为“文件轨迹追踪树”的数据结构体表示方法，以此来简化审计分析的工作量。文件轨迹追踪树处在数据库层和审计分析层之间，在从更新中的数据库表提取出标签信息之后，经过一定的数据关联、划分和重组，形成具有文件轨迹传播树图样式的数。

9、据存储结构体，每一棵“树”的顶点代表文件创建者，其子节点则代表文件的传播范围，“树枝”则代表传播轨迹。随后审计分析层则直接对文件轨迹追踪树进行操作，减少了计算量。发明内容0006一种用于观察展现文件传播轨迹的树结构称文件轨迹追踪树，其特征在于树内节点结构体包括每个文件接收者对该文件及其产生的副本文件的操作行为的统计；树内节点结构体中包括由该文件衍生出的副本文件的相关属性信息；能根据该树结构得知该文件及由其衍生出的多个副本文件的传播轨迹。0007一种使用文件轨迹追踪树针对文件操作以及传播记录的审计方法，其特征在于利用树形图表示文件的传播轨迹；利用文件轨迹追踪树内节点结构体表示对文件及由其衍生出的。

10、副本文件的操作等其他属性；利用树内节点审计文件流转次数。0008基于文件轨迹追踪树的审计分析方法，其特征在于0009当一个文件产生的时候，系统会为文件创建一个标签，标签内容包含有文件的唯一ID，不论对其进行什么操作，文件的唯一ID不变，若存在复制、保存或另存为操作的时候说明书CN104199900A2/6页4会生成一个新的副本，且所述的保存代表对文件修改后的保存而不是接收时的保存，接收时出现的保存或者覆盖不会生成新副本；通过文件副本ID进行区分，文件副本ID在保存、另存为和复制的操作中被创建，一个文件副本只有一个文件副本ID，其在发送、打印、修改操作中不会改变，文件副本能生成新的文件副本；若存。

11、在删除操作，该文件的标签记录不会被删除；每个文件副本也会生成自己的标签；0010通过对某文件名称的查询，得知想要查询的文件ID，关联操作表、用户表、文件表和数据字典，构建该文件的传播轨迹表；传播轨迹表至少包括文件ID、文件名、文件副本ID、文件副本名、操作ID、操作名称、操作时间、操作用户ID、用户名和层级；通过判断操作ID是否为“发送”的代号，构造层级信息，每当操作为发送时，会同时写入发送者和接收者的信息记录，选取其中的操作用户ID即“发送者ID接收者ID”，按发送时间的先后顺序将“发送者ID接收者ID”前添加标号即为“M发送者ID接收者ID”，M表示第M个发送者或接收者，以此构造层级信息；。

12、0011依据文件的传播轨迹表构建某文件的传播轨迹树，根据操作名称判定是否为根节点，若为“创建”则为根节点，其余为子节点；根据文件传播轨迹表中的文件及其副本的层级信息构造文件轨迹追踪树，对文件及由该文件生成的副本文件的流转过程进行全程跟踪记录，以树节点代表文件或副本文件，树节点结构体内包含该文件或副本文件的常规属性及操作记录，操作记录是一个三列N行的表格，三列分别记录操作者、操作类型、操作时间；N表示操作次数；每个树节点的孩子节点代表该文件发送到的其他用户，树节点之间的连线即树枝信息包含所发送的文件及其文件ID；0012构造传播轨迹树的具体步骤如下00131将文件创建者作为树的根节点；00142。

13、选取文件本身的层级信息，生成树的一颗子树A，层级信息中每个发送者ID前的标号对应的接收者ID也添加为此发送者的孩子节点，此时每个节点的孩子节点中会有一个是重复的，删除其中没有子节点的孩子节点；00153选取所有文件副本中文件副本ID最短的层级信息，锁定副本的创建人ID，选取子树A中发送者ID或接收者ID与副本的创建人ID相同的节点，判断其副本的创建时间与子树A中各节点的接收时间，若创建时间晚于接收时间，则以该节点为子树根节点，生成树的另多颗子树，方法与步骤2相同；00164选取文件副本中文件副本ID次短的层级信息，接着具体步骤和3相同；一直到遍历完所有的文件副本，完成文件轨迹追踪树的生成。附图。

14、说明0017图1产生的文件轨迹追踪树实例图。具体实施方式0018步骤一0019首先，文件轨迹追踪树生成工具根据收集到的网络中文件的传播信息以及对文件的操作信息，对其进行建表整理。具体操作步骤如下0020安装该电子文件系统的计算机产生新文件或对文件进行操作时，会即时上传文件说明书CN104199900A3/6页5信息以及操作信息。管理员对某文件进行查询轨迹操作时也可以进行其他操作，输入所要查询的文件名称，系统将提示该文件的最初版本以及其他副本提示信息包括文件副本名称、对该文件的操作、操作人信息以及操作时间等信息，管理员根据自己需求确定以该文件或该文件某副本为树的根节点，进而确定生成文件轨迹追踪树。

15、。此时计算机将对该文件或该文件某副本进行文件传播轨迹表的建立，建立该表的目的是为了生成文件轨迹追踪树。0021形成文件轨迹追踪树的数据来源于数据库中的操作表、人员表等数据库表。0022当一个文件产生的时候，系统会为文件创建一个标签，标签内容包含有文件的唯一ID，不论对其进行什么操作包括重命名、修改、保存、打印、发送、复制、另存为等操作，文件的唯一ID不变，若存在复制、保存本篇的保存代表对文件修改后的保存而不是接收时的保存，接收时出现的保存或者覆盖不会生成新副本或另存为操作的时候会生成一个新的副本，可以通过文件副本ID进行区分，文件副本ID在修改后的保存、另存为和复制的操作中被创建，一个文件副本。

16、只有一个文件副本ID，其在发送、打印、修改等其他操作中不会改变，文件副本还可以生成新的文件副本。若存在删除操作，该文件的标签记录不会被删除。每个文件副本也会生成自己的标签，根据文件ID可搜索该文件以及基于该文件ID的所有文件副本的传播轨迹。0023通过对某文件名称的查询，得知想要查询的文件ID，关联操作表、用户表、文件表等信息，构建该文件的传播轨迹表。每个表中的加粗属性字段都将出现在为了创建文件轨迹追踪树而生成的新表中，也可以按需增加和删除未加粗属性字段。0024表1文件实体说明0025属性主键外键父实体名称文件ID是否文件名否否文件副本ID否否文件副本名否否拥有者ID否是用户表大小否否创建时。

17、间否否修改时间否否访问时间否否位置否否操作ID否是操作表层级否否0026表2用户实体说明0027属性主键外键父实体名称用户ID是否密级否否联系方式否否用户名否否部门ID否是部门表0028表3操作实体说明0029说明书CN104199900A4/6页6属性主键外键父实体名称操作ID是否文件ID否是文件表操作用户ID否是用户表操作时间否否00300031表4部门实体说明0032属性主键外键父实体名称部门ID是否部门名称否否0033表5数据字典实体说明0034属性主键外键父实体名称创建否否另存为否否打印否否复制否否重命名否否删除否否发送否否修改后保存否否0035以文件ID查找文件传播轨迹，根据以上五。

18、个表中的某些字段构造的新表如下0036表6依据某文件ID查找到该文件的传播轨迹表0037属性主键外键父实体名称文件ID是否文件名否否文件副本ID否否文件副本名否否操作ID否是操作表操作名称否是数据字典操作时间否否操作用户ID否是用户表用户名否否层级否否00380039依据上表构建某文件的传播轨迹树，构建该树的关键在于知道其根节点以及每个节点的孩子节点，根据操作名称判定是否为根节点，若为“创建”则为根节点，其余为子节点。得到其根节点，但还需要知道其孩子节点。先了解一下每个属性的格式0040文件ID“机器编号”“创建文件时间编号”，例如机器编号为“999”，创建文件时间为“201401010930。

19、59”，其文件ID号码则为“99920140101093059”；该编码格式也可以按其他方法设计。0041文件名文件名称；0042文件副本ID基于文件或其副本修改后得到的文件副本，其ID格式为该文件或其副本的ID一个随机的三位数；该编码格式也可以按其他方法设计。说明书CN104199900A5/6页70043文件副本名文件副本名称；0044操作ID包括创建、保存、另存为、打印、复制、重命名、删除、发送的代号或按照时间顺序的代号组合，比如；“创建的代号”本身是一串整形数字，使用整形数字为了加快数据库对表的搜索速度，其代号对应的操作可以在“操作字典”中查询0045操作名称包括创建、保存、另存为、打。

20、印、复制、重命名、删除、发送操作；0046操作时间操作者对文件的操作时间，比如；0047操作用户ID操作者的ID，格式为5位数字，比如；该编码格式也可以按其他方法设计。0048用户名操作者名称；0049层级记录文件传播轨迹，只有操作ID为发送的代号时层级信息才更新。其格式为，其中，不相邻的操作者可以相同。0050一个文件传播轨迹表将会有一个文件ID、一个文件名、一条层级记录，其余项均如文件副本ID、文件副本名、操作ID、操作名称、操作时间、操作用户ID、用户名可有多条。0051通过判断操作ID是否为“发送”的代号，可以构造层级信息，每当操作为发送时，会同时写入操作用户发送者、接收者的信息记录，。

21、选取其中的操作用户ID即“发送者ID接收者ID”，按发送时间的先后顺序将“发送者ID接收者ID”前添加标号即为“M发送者ID接收者ID”，即1、2、3、4，以此构造层级信息，比如。00521选取树形数据结构作为文件传播轨迹的数据结构及表达方法，对文件及由该文件生成的副本文件的流转过程进行全程跟踪记录，以树节点代表文件或副本文件，树节点结构体内包含该文件或副本文件的常规属性及操作记录，操作记录是一个三列N行的表格，分别记录操作者、操作类型、操作时间。每个树节点的孩子节点代表该文件发送到的其他用户，树节点之间的连线即树枝信息包含所发送的文件及其文件ID。00532通过对文件信息及文件操作信息的记录。

22、采集、整理，形成生成文件轨迹追踪树的传播轨迹表。00543数据表中的层级信息记录的设计可以直接生成树的某条路径，通过步骤二中构造树的具体实施步骤中的逻辑设计进而生成整棵树。0055步骤二0056由数据库中新生成的文件传播轨迹表生成相应的文件轨迹追踪树。0057根据文件传播轨迹表中的文件及其副本的层级信息构造文件轨迹追踪树，该树的节点信息结构体包括发送人信息具体包括其部门以及联系方式等、发送时间、接收时间、文件属于第几个副本通过文件副本ID长度判断、发送人对其进行的操作信息。0058构造树的具体实施步骤如下00591将文件创建者作为树的根节点；00602选取文件本身即非文件副本的层级信息，生成树。

23、的一颗子树A，层级信息中每个发送者ID前的标号对应的接收者ID也添加为此发送者的孩子节点，此时每个节点的孩子节点中会有一个是重复的，删除其中没有子节点的孩子节点；说明书CN104199900A6/6页800613选取所有文件副本中文件副本ID最短的层级信息，锁定副本的创建人ID，选取子树A中发送者ID或接收者ID与副本的创建人ID相同的节点，判断其副本的创建时间与子树A中各节点的接收时间，若创建时间晚于接收时间，则以该节点为子树根节点，生成树的另多棵子树，方法与步骤2相同。00624选取文件副本中文件副本ID次短的层级信息，接着具体步骤和3相同。一直到遍历完所有的文件副本，完成文件轨迹追踪树的。

24、生成。0063另，存在以下一种情况，对于文件X来说，若D将X发给B和C，B接收X后也将其发给C而且C没有选择另存为成为另一个文件，C对X进行修改后并发送给其他用户，对于此树的生成存在冗余的子树，因为D的孩子C和B的孩子C在步骤3、4中生成的树是相同的，相同的树应进行相应的解释或者颜色的变化处理，从而方便用户进行对树的查看与判断。0064步骤三0065最后，用户可以根据自定义筛选条件对文件进行审计。0066具体包括以下三点00671文件传播轨迹追踪0068通过树的结构可直观的看到该文件的传播轨迹，以及哪个人对该文件进行了什么操作。00692文件流转次数审计0070通过判断文件轨迹追踪树的节点数目。

25、可确定文件流转的次数，需要将冗余的子树节点进行删除后统计节点总数。00713文件操作审计0072树的每个节点结构体中包括操作信息，包含此节点操作人对该文件的所有操作信息，通过统计文件或者文件某副本的所有节点的节点信息，可得知对该文件或其某副本的各种类型操作的次数。0073对文件轨迹追踪树进行应用，除了直观的看到某文件及由该文件产生的副本文件的传播轨迹之外，还可以根据用户需求对文件进行审计。具体在步骤三中。0074最终产生的文件轨迹追踪树实例如图1所示0075通过检索文件名为安全生产指南的文件，根据产生的每个文件的信息，选择由赵生于20140101093059创建的版本，然后生成该文件的文件轨迹树。0076单击节点会出现图右边的节点信息，单击节点之间的连线会出现所发送的文件ID与文件名。0077文件由赵生发送给李南与孙雯，李南接着将文件发送给周程和吴辉，孙雯也将文件发送给吴辉，吴辉经过修改后发送回李南。吴辉是在发送文件给李南之前接收到李南与孙雯发给他的文件，所以此处出现冗余现象，可以进行颜色填充或者文字描述等相关告知用户的行为。说明书CN104199900A1/1页9图1说明书附图CN104199900A。

展开阅读全文