一种文件流动的溯源画像方法及相关装置与流程

1.本技术涉及文件管理技术领域，特别涉及一种文件流动的溯源画像方法；还涉及一种文件流动的溯源画像装置、设备以及计算机可读存储介质。


背景技术：

2.企业在实际生产运作过程中，总会有一些文件属于机密文件，例如，合同，投标书等。这些机密文件的阅读对象不是全体人员，而只针对某些涉密人员。如果涉密人员不规范操作，会导致机密文件随意复制、随意转存。机密文件转存到其他计算机如果无法跟踪，会进一步导致机密文件被更多的人有意或无意的复制与转存，由此造成机密文件到处传播，人人都有可能阅读到机密文件，对企业造成不良影响，甚至影响到企业利益。
3.因此，如何对机密文件的流动进行追踪，防止机密文件泄露已成为本领域技术人员亟待解决的技术问题。


技术实现要素：

4.本技术的目的是提供一种文件流动的溯源画像方法，能够对机密文件的流动进行追踪，尽可能的防止机密文件泄露。本技术的另一个目的是提供一种文件流动的溯源画像装置、设备以及计算机可读存储介质，均具有上述技术效果。
5.为解决上述技术问题，本技术提供了一种文件流动的溯源画像方法，包括：
6.监控网卡的所有网络流量，并解析出携带附件的网络流量；
7.判断所述附件是否为机密文件；
8.若所述附件为机密文件，则从携带所述机密文件的所述网络流量中提取出初始ip、目的ip以及文件信息；
9.根据所述初始ip与所述目的ip描绘文件流动画像，并在所述文件流动画像中附带上所述文件信息。
10.可选的，所述判断所述附件是否为机密文件包括：
11.判断所述附件是否有机密文件的专属标记；
12.若所述附件有机密文件的专属标记，则所述附件是机密文件；
13.若所述附件没有机密文件的专属标记，则所述附件不是机密文件。
14.可选的，所述根据所述初始ip与所述目的ip描绘文件流动画像，并在文件流动画像中附带上所述文件信息包括：
15.将所述初始ip、所述目的ip以及所述文件信息上传到中心服务器，以使所述中心服务器根据所述初始ip与所述目的ip描绘文件流动画像，并在文件流动画像中附带上所述文件信息。
16.可选的，还包括：
17.接收中心服务器下发的接口禁用策略后，禁用连接外部设备的传输接口。
18.可选的，还包括：
19.接收中心服务器下发的即时通讯进程与机密文件的对应关系后，禁止所述即时通讯进程读写对应的所述机密文件。
20.可选的，还包括：
21.对所述机密文件进行标记。
22.可选的，所述对所述机密文件进行标记包括：
23.在所述机密文件的文件头写入专属标记。
24.为解决上述技术问题，本技术还提供了一种文件流动的溯源画像装置，包括：
25.监控模块，用于监控网卡的所有网络流量，并解析出携带附件的网络流量；
26.判断模块，用于判断所述附件是否为机密文件；
27.提取模块，用于若所述附件为机密文件，则从携带所述机密文件的所述网络流量中提取出初始ip、目的ip以及文件信息；
28.描绘模块，用于根据所述初始ip与所述目的ip描绘文件流动画像，并在所述文件流动画像中附带上所述文件信息。
29.为解决上述技术问题，本技术还提供了一种文件流动的溯源画像设备，包括：
30.存储器，用于存储计算机程序；
31.处理器，用于执行所述计算机程序时实现如上任一项所述的文件流动的溯源画像方法的步骤。
32.为解决上述技术问题，本技术还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上任一项所述的文件流动的溯源画像方法的步骤。
33.本技术所提供的文件流动的溯源画像方法，包括：监控网卡的所有网络流量，并解析出携带附件的网络流量；判断所述附件是否为机密文件；若所述附件为机密文件，则从携带所述机密文件的所述网络流量中提取出初始ip、目的ip以及文件信息；根据所述初始ip与所述目的ip描绘文件流动画像，并在所述文件流动画像中附带上所述文件信息。
34.可见，本技术所提供的文件流动的溯源画像方法，对计算机网络流量进行监控，对于携带机密文件的网络流量，进一步从网络流量提取初始ip、目的ip以及文件信息，并根据所述初始ip与所述目的ip描绘文件流动画像，由此用户通过查看文件流动画像，可以追溯到机密文件的源头，找到相应的责任人，实现对加密文件流动的追踪，防止机密文件进一步泄露。
35.本技术所提供的文件流动的溯源画像装置、设备以及计算机可读存储介质均具有上述技术效果。
附图说明
36.为了更清楚地说明本技术实施例中的技术方案，下面将对现有技术和实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
37.图1为本技术实施例所提供的一种文件流动的溯源画像方法的流程示意图；
38.图2为本技术实施例所提供的一种文件流动画像的示意图；
39.图3为本技术实施例所提供的一种文件流动的溯源画像装置的示意图；
40.图4为本技术实施例所提供的一种文件流动的溯源画像设备的示意图。
具体实施方式
41.本技术的核心是提供一种文件流动的溯源画像方法，能够对机密文件的流动进行追踪，尽可能的防止机密文件泄露。本技术的另一个核心是提供一种文件流动的溯源画像装置、设备以及计算机可读存储介质，均具有上述技术效果。
42.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
43.请参考图1，图1为本技术实施例所提供的一种文件流动的溯源画像方法的流程示意图，参考图1所示，该方法包括：
44.s101：监控网卡的所有网络流量，并解析出携带附件的网络流量；
45.具体的，针对计算机网络间的文件传输，例如，svn，ftp，scp，win共享，http/https的post上传等，客户端会监控计算机内网卡的所有网络流量，进行流量抓包分析，解析出携带附件的网络流量。
46.对于进行流量抓包分析，解析出携带附件的网络流量的具体实现方式，本技术在此不做赘述，参考现有的相关技术即可。
47.s102：判断所述附件是否为机密文件；
48.具体的，解析出携带附件的网络流量后，进一步判断所携带的附件是否为机密文件，以当携带的附件为机密文件时，进一步进行文件流动画像的绘制。
49.在一种具体的实施方式中，判断附件是否为机密文件的方式可以为：
50.判断所述附件是否有机密文件的专属标记；
51.若所述附件有机密文件的专属标记，则所述附件是机密文件；
52.若所述附件没有机密文件的专属标记，则所述附件不是机密文件。
53.具体而言，客户端预先可遍历客户端的目录，选中需要标记的机密文件。所选中的机密文件由客户端写入专属标记。后续当客户端解析出携带附件的网络流量后，通过分析所附件是否有机密文件的专属标记即可判断出网络流量所携带的附件是否为机密文件。
54.其中，对所述机密文件进行标记的方式可以为：在所述机密文件的文件头写入专属标记。当然，还可以采取其他的标记方式，本技术对此不做唯一限定。
55.s103：若所述附件为机密文件，则从携带所述机密文件的所述网络流量中提取出初始ip、目的ip以及文件信息；
56.s104：根据所述初始ip与所述目的ip描绘文件流动画像，并在所述文件流动画像中附带上所述文件信息。
57.具体的，如果网络流量携带的附件为机密文件，则客户端进一步从携带机密文件的网络流量中提取出初始ip、目的ip以及文件信息，进而根据所述初始ip与所述目的ip描绘文件流动画像，并在所述文件流动画像中附带上所述文件信息，由此用户可以通过查看文件流动画像而追溯机密文件的源头。相反，如果网络流量携带的附件不是机密文件，则表
detection and response，终端检测与响应)实现。edr是一种主动的安全方法，可以实时监控端点，并搜索渗透到防御系统中的威胁。安装edr服务后，edr服务可以监控各类文件落地行为、上网行为，可以获知攻击是否进入网络，并在攻击发生时检测攻击路径，帮助在记录的时间内对事件作出反应。
69.以下通过具体的实施例来阐述基于edr实现溯源画像的方式：
70.中心服务器安装prc(remote procedure call，远程过程调用)服务，中心服务器一直处于监听状态。在中心服务器搭建web服务，管理员可以通过浏览器操作中心服务器。
71.通过web访问edr资产管理中心，下载edr客户端安装包。复制edr客户端安装包到客户端。安装后，客户端通过rpc与中心服务器连接。用户登录中心服务器的web界面对客户端设置全局的usb端口禁用，新上线的客户端默认usb端口禁用生效。
72.用户在中心服务器通过遍历客户端的目录，选中需要标注的机密文件。选中的机密文件，客户端的edr进程会对机密文件的文件头写入专属标记，用于edr进程进行监控。
73.用户在中心服务器的web界面设置即时通讯进程与机密文件的对应关系，并由中心服务器将此对应关系下发给客户端，以使客户端禁止即时通讯进程读写机密文件。
74.用户在计算机通过svn，ftp，scp，win共享，http/https的post上传等各类网络传输文件时。客户端通过对计算机内网卡的所有网络流量监控。并对每个tcp外联进行流量抓包分析，先解析并判断出携带机密文件的流量；进而从该流量中提取初始ip、目的ip以及文件信息。
75.客户端将提取出来的初始ip、目的ip以及文件信息上传到中心服务器，中心服务器接收到初始ip、目的ip以及文件信息后，根据初始ip和目的ip描绘文件流动画像，并在画像中附带上本次传输的文件信息。用户在中心服务器可以看到文件流动画像，追溯文件的源头，找到责任人。
76.综上所述，本技术所提供的文件流动的溯源画像方法，对计算机网络流量进行监控，对于携带机密文件的网络流量，进一步从网络流量提取初始ip、目的ip以及文件信息，并根据所述初始ip与所述目的ip描绘文件流动画像，由此用户通过查看文件流动画像，可以追溯到机密文件的源头，找到相应的责任人，实现对加密文件流动的追踪，防止机密文件进一步泄露。
77.本技术还提供了一种文件流动的溯源画像装置，下文描述的该装置可以与上文描述的方法相互对应参照。请参考图3，图3为本技术实施例所提供的一种文件流动的溯源画像装置的示意图，结合图3所示，该装置包括：
78.监控模块10，用于监控网卡的所有网络流量，并解析出携带附件的网络流量；
79.判断模块20，用于判断所述附件是否为机密文件；
80.提取模块30，用于若所述附件为机密文件，则从携带所述机密文件的所述网络流量中提取出初始ip、目的ip以及文件信息；
81.描绘模块40，用于根据所述初始ip与所述目的ip描绘文件流动画像，并在所述文件流动画像中附带上所述文件信息。
82.在上述实施例的基础上，可选的，所述判断模块20具体用于：
83.判断所述附件是否有机密文件的专属标记；
84.若所述附件有机密文件的专属标记，则所述附件是机密文件；
85.若所述附件没有机密文件的专属标记，则所述附件不是机密文件。
86.在上述实施例的基础上，可选的，所述描绘模块40具体用于：
87.将所述初始ip、所述目的ip以及所述文件信息上传到中心服务器，以使所述中心服务器根据所述初始ip与所述目的ip描绘文件流动画像，并在文件流动画像中附带上所述文件信息。
88.在上述实施例的基础上，可选的，还包括：
89.接口禁用模块，用于接收中心服务器下发的接口禁用策略后，禁用连接外部设备的传输接口。
90.在上述实施例的基础上，可选的，还包括：
91.读写禁止模块，用于接收中心服务器下发的即时通讯进程与机密文件的对应关系后，禁止所述即时通讯进程读写对应的所述机密文件。
92.在上述实施例的基础上，可选的，还包括：
93.标记模块，用于对所述机密文件进行标记。
94.在上述实施例的基础上，可选的，所述标记模块具体用于：
95.在所述机密文件的文件头写入专属标记。
96.本技术所提供的文件流动的溯源画像装置，对计算机网络流量进行监控，对于携带机密文件的网络流量，进一步从网络流量提取初始ip、目的ip以及文件信息，并根据所述初始ip与所述目的ip描绘文件流动画像，由此用户通过查看文件流动画像，可以追溯到机密文件的源头，找到相应的责任人，实现对加密文件流动的追踪，防止机密文件进一步泄露。
97.本技术还提供了一种文件流动的溯源画像设备，参考图4所示，该设备包括存储器1和处理器2。
98.存储器1，用于存储计算机程序；
99.处理器2，用于执行计算机程序实现如下的步骤：
100.监控网卡的所有网络流量，并解析出携带附件的网络流量；判断所述附件是否为机密文件；若所述附件为机密文件，则从携带所述机密文件的所述网络流量中提取出初始ip、目的ip以及文件信息；根据所述初始ip与所述目的ip描绘文件流动画像，并在所述文件流动画像中附带上所述文件信息。
101.对于本技术所提供的设备的介绍请参照上述方法实施例，本技术在此不做赘述。
102.本技术还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时可实现如下的步骤：
103.监控网卡的所有网络流量，并解析出携带附件的网络流量；判断所述附件是否为机密文件；若所述附件为机密文件，则从携带所述机密文件的所述网络流量中提取出初始ip、目的ip以及文件信息；根据所述初始ip与所述目的ip描绘文件流动画像，并在所述文件流动画像中附带上所述文件信息。
104.该计算机可读存储介质可以包括：u盘、移动硬盘、只读存储器(read
‑
only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
105.对于本技术所提供的计算机可读存储介质的介绍请参照上述方法实施例，本技术
在此不做赘述。
106.说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置、设备以及计算机可读存储介质而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
107.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
108.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd
‑
rom、或技术领域内所公知的任意其它形式的存储介质中。
109.以上对本技术所提供的文件流动的溯源画像方法、装置、设备以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围。