随着计算机网络技术的不断发展,企业信息化普及程度得到了很大提高。在企业内网中越来越多的电子文档保存在计算机中,并逐步取代传统纸质文档。这一改变在给人们工作带来便捷的同时,内网数据安全问题也变得日渐突出,如一些非法入侵者在获取用户权限后对敏感数据未授权访问,导致信息的泄露、窃取和破坏。如何在内网中建立有效的文件安全审计系统成为了众多企业的当务之急。目前国内外现有文件安全审计系统从实现角度来讲,大多数功能都是从应用层来实现的,在实际应用方面暴露了许多不足之处,如应用层加解密给用户在使用文档的过程中带来了诸多不便；文件解密过程中存放在硬盘上的明文易被非法进程访问,其安全性只能依靠单纯的密码学机制来保证,得不到操作系统内核机制的保护；基于应用层的文件实时监控会出现漏报现象以及文件异常审计准确度不高等问题。解决这些问题都需要对相关关键技术进行研究和改进,这也正是本文研究此课题的出发点。本文在深入研究和分析Windows NT文件系统内部运行机理和过滤驱动开发技术的基础上,提出了一种基于内核驱动机制的文件安全审计系统的实现思想。针对基于内核驱动机制的文件安全审计系统关键技术的研究,本文主要取得了如下成果：本文利用Windows文件系统过滤驱动开发技术实现对内网机密文件的透明加解密功能,并通过实验验证了该技术在数据加解密过程中透明、实时和高效性。在文件安全审计系统中使用该技术能有效地协调用户使用方便和数据安全性之间的矛盾。本文通过Windows文件系统过滤驱动层拦截发送到文件系统的I/O请求包来实现对敏感文件的实时监控,并通过实验验证了该方法在文件实时监控中具有较高的准确度和高效性。本文在文件实时监控基础上提出一种主机型可执行文件异常检测新方法。该方法首先对该类文件的结构属性和常规属性进行静态分析,然后对文件实时监控产生的操作日志进行审计来检测主机中异常可执行文件。通过实验验证该方法在识别异常可执行文件过程中有较高的准确率,能及时发现主机中异常可执行文件,起到一定的主动防御作用。