一种文件传输控制方法、装置、设备及可读存储介质与流程

1.本技术涉及存储安全技术领域，特别是涉及一种文件传输控制方法、装置、设备及可读存储介质。


背景技术：

2.公司内部或机构内部的关键文件，内部文件，核心文件等机密文件会随着公司的运营，机构的运转逐渐增多。这些文档经过定稿后封板后，基本不再修改。随着而来的就是如何存储，如何防止外泄的问题。
3.通常将文件存放在svn，ftp等文件存储服务器上，然后再通过分配不同用户的不同权限访问这些机密文件，也可以通过限制某些ip的登录服务器来减少访问机密文件的可能。但是，这种访问限制策略，无法防止存在有权限的用户或白名单ip登录，通过外设或网络传输的方式，导致机密文件的外泄。
4.综上所述，如何有效地解决文件防泄漏等问题，是目前本领域技术人员急需解决的技术问题。


技术实现要素：

5.本技术的目的是提供一种文件传输控制方法、装置、设备及可读存储介质，通过对网络传输进行有效监管，将非法网络传输进行阻断，从而保护机密文件不被泄漏。
6.为解决上述技术问题，本技术提供如下技术方案：
7.一种文件保护方法，包括：
8.对目标网卡的所有外联进行流量抓包，得到流量包；
9.从所述流量包中筛选出带有文件后缀名的目标流量包；
10.对多个所述目标流量包中同一文件名称的流量分片进行合并处理，得到完整文件；
11.若所述完整文件为机密文件，则获取所述完整文件对应的目的端信息；
12.若所述目的端信息与外联白名单不匹配，则阻断所述完整文件对应的网络传输。
13.优选地，所述获取所述完整文件对应的目的端信息，包括：
14.从所述完整文件对应的目标流量包中获取目的端信息；所述目的端信息包括目的ip地址和/或目的mac地址。
15.优选地，还包括：
16.接收并解析文件复制请求，确定出待复制的目标文件和外设存储；
17.判断所述目标文件是否为机密文件；
18.如果是，则验证所述外设存储是否在外设存储白名单中；
19.若在，则向所述外设存储复制所述目标文件；若不在，则禁止复制所述目标文件至所述外设存储。
20.优选地，所述外设存储不在所述外设存储白名单，还包括：
21.对所述外设存储进行注册；
22.如果注册成功，则向所述外设存储复制所述目标文件；
23.如果注册失败，则禁止复制所述目标文件至所述外设存储。
24.优选地，判断所述目标文件是否为机密文件，包括：
25.计算所述目标文件的目标md5值；
26.若所述目标md5值在机密文件对应的md5值中，则确定所述目标文件为机密文件。
27.优选地，判断所述目标文件是否为机密文件，包括：
28.读取所述目标文件的头文件信息；
29.若所述头文件信息中具有机密标识，则确定所述目标文件为机密文件。
30.优选地，还包括：
31.从edr中心服务器中下载白名单；
32.标注并锁定机密文件。
33.一种文件传输控制装置，包括：
34.抓包模块，用于对目标网卡的所有外联进行流量抓包，得到流量包；
35.流量包筛选模块，用于从所述流量包中筛选出带有文件后缀名的目标流量包；
36.文件合并模块，用于对多个所述目标流量包中同一文件名称的流量分片进行合并处理，得到完整文件；
37.信息获取模块，用于若所述完整文件为机密文件，则获取所述完整文件对应的目的端信息；
38.传输阻断模块，用于若所述目的端信息与外联白名单不匹配，则阻断所述完整文件对应的网络传输。
39.一种电子设备，包括：
40.存储器，用于存储计算机程序；
41.处理器，用于执行所述计算机程序时实现上述文件传输控制方法的步骤。
42.一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述文件传输控制方法的步骤。
43.应用本技术实施例所提供的方法，对目标网卡的所有外联进行流量抓包，得到流量包；从流量包中筛选出带有文件后缀名的目标流量包；对多个目标流量包中同一文件名称的流量分片进行合并处理，得到完整文件；若完整文件为机密文件，则获取完整文件对应的目的端信息；若目的端信息与外联白名单不匹配，则阻断完整文件对应的网络传输。
44.首先，针对需要目标网卡的所有外联都进行流量抓包，然后对所得的流量包进行筛选，留下带有文件后缀名的目标流量包。对目标流量包中涉及提一个文件名称的流量分片进行合并处理，进而得到正在传输/即将传输的完整文件。检验一下该完整文件是否为机密文件，如果是机密文件，则进一步获取该完整文件对应的目的端信息，如果的端信息与外联白名单不匹配，则直接将完整文件对应的网络传输进行阻断，从而保障属于机密文件的完整文件不被非法传输，保护机密文件不被泄漏。
45.相应地，本技术实施例还提供了与上述文件传输控制方法相对应的文件传输控制装置、设备和可读存储介质，具有上述技术效果，在此不再赘述。
附图说明
46.为了更清楚地说明本技术实施例或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
47.图1为本技术实施例中一种文件传输控制方法的实施流程图；
48.图2为本技术实施例中一种文件传输控制方法的具体实施示意图；
49.图3为本技术实施例中一种多维度文件保护实施示意图；
50.图4为本技术实施例中一种文件传输控制装置的结构示意图；
51.图5为本技术实施例中一种电子设备的结构示意图；
52.图6为本技术实施例中一种电子设备的具体结构示意图。
具体实施方式
53.为了使本技术领域的人员更好地理解本技术方案，下面结合附图和具体实施方式对本技术作进一步的详细说明。显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
54.请参考图1，图1为本技术实施例中一种文件传输控制方法的流程图，该方法可以应用到具有文件传输的任一终端中。下面以应用于edr客户端中对文件传输控制方法进行举例说明。其中，edr(endpoint detection response，端点检测与响应)是一种主动的安全方法，可以实时监控端点，并搜索渗透到公司防御系统中的威胁。
55.该方法包括以下步骤：
56.s101、对目标网卡的所有外联进行流量抓包，得到流量包。
57.edr客户端可以对其载体计算机中的网卡进行流量抓包。为了避免文件泄漏，在本实施例中，在对目标网卡进行流量抓包处理时，可对目标网卡的所有外联都进行流量抓包，进而得到待传输/正在传输的若干流量包。
58.s102、从流量包中筛选出带有文件后缀名的目标流量包。
59.一般地，携带了文件的流量包会含有文件后缀名，而本实施例也主要是为了防止机密文件的泄漏，因而可首先从若干流量包中筛选出带有文件后缀名的目标流量包。在本实施例中，对于文件后缀名可以具有为机密文件对应的文件类型的后缀名(如docx，doc，xlsx，xls，pptx，ppt，txt等)。
60.s103、对多个目标流量包中同一文件名称的流量分片进行合并处理，得到完整文件。
61.在筛选好目标流量包之后，考虑到文件一般都需要进行分片，从而实现传输。为了有效甄别文件是否为机密文件，还需将目标流量包中文件对应的零散流量分片进行合并处理。具体的，对于如何将同一文件名称的流量分别进行合并处理，从而得到完整文件，可以参考文件分片传输与文件分片合并的具体实现方案，在此不再一一赘述。
62.需要注意的是，若一个目标流量包即对应了一个完整文件，则无需进行合并处理。对于需要合并处理的文件，对其涉及的目标流量包的数量不做限定。即，对完整文件的具体
大小不做限定。
63.s104、若完整文件为机密文件，则获取完整文件对应的目的端信息。
64.在本实施例中，可以预先为机密文件打上标签，也可以预先将机密文件对应的唯一标识(如md5值)进行统一记录，在得到完整文件之后，便可基于文件标签或统一记录的机密文件唯一标识确定该完整文件是否为机密文件。
65.其中，md5值即利用md5算法对文件进行计算后得到的输出内容。md5(message digest algorithm 5，消息摘要算法第5版)算法的输入是一个任意长度的字符串(长度大于等于0，在本实施例中具体为文件)，输出是一个128比特(bit)(或者说16个bytes)的字符串(即md5值)。
66.确定该完整文件是机密文件之后，便可获取该完整文件对应的目的端信息。该目的端信息即指本次抓包识别得到的传输该完整文件对应的目的端的相关信息。
67.具体的，从完整文件对应的目标流量包中获取目的端信息；目的端信息包括目的ip地址和/或目的mac地址。即，目的端信息可以仅为传输该完整文件所对应的目的端的ip地址，也可以仅为传输该完整文件所对应的目的端的mac地址，当然也可以对应包括目的端的ip地址和mac地址。具体的，目的ip地址和目的mac地址可以直接从目标流量包中的五元组信息中解析得到。
68.s105、若目的端信息与外联白名单不匹配，则阻断完整文件对应的网络传输。
69.在本实施例中，可以预先设置一个外联白名单，在外联白名单中记录允许机密文件传输的外联终端的相关信息，如ip地址，或mac地址。
70.具体的，可以从edr中心服务器中下载白名单；标注并锁定机密文件。其中，白名单可具体指外联白名单，也可以具体指外联白名单和外设存储白名单。标注机密文件即指事先标记好哪些文件为机密文件。锁定机密文件即指不再允许对其进行修改。
71.在得到目的端信息之后，将该目的端信息与外联白名单进行对应匹配查找。例如，目标的信息为目标ip地址，在外联白名单中找到了该目标ip地址，则确定匹配成功；目的端信息为目标mac地址，在外联白名单中找到了该mac地址，则确定匹配成功；目的端地址为目标ip地址 目标mac地址的组合，在外联白名单中找到了该组合，则确定匹配成功。
72.在从外联白名单中找到与目的端信息匹配的内容时，则确定向目的端信息对应的终端传输该完整文件是合法的，此时可对完整文件对应的目标流量包进行放行；否则，确定相目的端信息对应的终端传输该完整文件是非法的，此时阻断该完整文件对应的网络传输，即拦截完整文件对应的目标流量包的传输。
73.应用本技术实施例所提供的方法，对目标网卡的所有外联进行流量抓包，得到流量包；从流量包中筛选出带有文件后缀名的目标流量包；对多个目标流量包中同一文件名称的流量分片进行合并处理，得到完整文件；若完整文件为机密文件，则获取完整文件对应的目的端信息；若目的端信息与外联白名单不匹配，则阻断完整文件对应的网络传输。
74.首先，针对需要目标网卡的所有外联都进行流量抓包，然后对所得的流量包进行筛选，留下带有文件后缀名的目标流量包。对目标流量包中涉及提一个文件名称的流量分片进行合并处理，进而得到正在传输/即将传输的完整文件。检验一下该完整文件是否为机密文件，如果是机密文件，则进一步获取该完整文件对应的目的端信息，如果的端信息与外联白名单不匹配，则直接将完整文件对应的网络传输进行阻断，从而保障属于机密文件的
完整文件不被非法传输，保护机密文件不被泄漏。
75.需要说明的是，基于上述实施例，本技术实施例还提供了相应的改进方案。在优选/改进实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考，相应的有益效果也可相互参照，在本文的优选/改进实施例中不再一一赘述。
76.在本技术中的一种具体实施方式中，考虑到文件的传输不仅有网络传输，还有外设存储(如优盘、硬盘等)的拷贝传输。因而，在上述实施例的基础上，还提出对外设存储对应的拷贝传输进行有效控制，从外设存储的拷贝传输这一维度，对机密文件进行有效的防泄漏保护。
77.请参考图2，图2为本技术实施例中一种文件传输控制方法的具体实施示意图。具体的实现过程，包括：
78.s201、接收并解析文件复制请求，确定出待复制的目标文件和外设存储。
79.在本实施例中，可以接收并解析文件复制请求，从而确定出需要进行复制的目标文件，以及目标文件复制到哪个外设存储中。在本实施例中，外设存储可以为优盘、优盘等常见的计算机外部可移动的存储设备。
80.s202、判断目标文件是否为机密文件。
81.确定出待复制的目标文件之后，首先确定该目标文件是否为机密文件。
82.在本实施例中，判断完整文件是否为机密文件的方式包括但不限于以下两种方式：
83.方式1：基于md5值进行判断，具体实现过程，包括：
84.步骤一、计算目标文件的目标md5值；
85.步骤二、若目标md5值在机密文件对应的md5值中，则确定目标文件为机密文件。
86.为便于描述，下面将上述两个步骤结合起来进行说明。
87.首先，计算出目标文件的目标md5值。然后，读取机密文件对应的md5值，并检测该目标md5值是否在机密文件对应的md5值中，如果在，则确定目标文件为机密文件，反之，则确定目标文件为非机密文件。
88.方式2：基于头文件信息来确定目标文件是否为机密文件，具体实现过程，包括：
89.步骤一、读取目标文件的头文件信息；
90.步骤二、若头文件信息中具有机密标识，则确定目标文件为机密文件。
91.为便于描述，下面将上述两个步骤结合起来进行说明。
92.需要注意的是，实施方式2中，需要在头文件信息的自定义字段预先定义出机密标识。如此，便可通过读取目标文件的头文件信息，判断其是否具有对应的机密标识的方式，来确定目标文件是否为机密文件。
93.若目标文件是机密文件，则进入步骤s203中，如果目标文件非机密文件，则可直接将其拷贝至外设存储中，即进入步骤s204的操作。
94.s203、验证外设存储是否在外设存储白名单中。
95.为方便管理，在本实施例中，可以预先设置好外设存储白名单，在该外设存储白名单中记录合法注册的外设存储，即允许拷贝机密文件的外设存储。
96.确定目标文件为机密文件后，便可验证该外设存储是否在外设存储白名单中，如果是，则表明本次拷贝目标文件是合法的，后续执行步骤s204的操作，否则是非法的，后续
执行步骤s205的操作。
97.s204、向外设存储复制目标文件。
98.即允许本次向外设存储复制目标文件。
99.s205、禁止复制目标文件至外设存储。
100.即仅在本次向外设存储复制目标文件。
101.优选地，考虑到在实际应用中，随着实际需求的不断变化，可能会需要向外设存储白名单之外的外设存储拷贝机密文件。为应对此需求，在本实施例中，还可以向外设存储白名单注册新的外设存储。具体的，外设存储不在外设存储白名单，还可以执行以下步骤：
102.步骤一、对外设存储进行注册；
103.步骤二、如果注册成功，则向外设存储复制目标文件；
104.步骤三、如果注册失败，则禁止复制目标文件至外设存储。
105.为便于描述，下面将上述三个步骤结合起来进行说明。
106.对外设存储进行注册，即尝试将外设存储添加至外设存储白名单中。或注册后的外设存储将自动添加至外设存储白名单中。
107.注册是否通过，可以采用人工审计的方式进行。在注册成功的情况下，则表明该外设存储可以合法取得目标文件，因而可向该外设存储复制目标文件；在注册失败的情况下，则表明该外设存储无法合法取得目标文件，因而可禁止向该外设存储复制目标文件。
108.在实际应用中，对机密文件进行网络传输维度和文件复制拷贝至外设存储的维度的防泄漏维护的策略可以同时启动，从而实现全方位的保护。为了便于本领域技术人员更好地理解如何具体实施，下面结合具体的应用场景为例，对文件传输控制方法进行详细说明。
109.请参考图3，图3为本技术实施例中一种多维度文件保护实施示意图。
110.在实施文件传输控制方法之前，需进行以下预备工作：
111.1、部署edr中心服务器软件，通过web服务访问edr资产管控中心。下载edr客户端安装包。
112.2、在需要监控的计算机上安装edr客户端软件，建立客户端与中心的通信连接。
113.3、用户登录中心服务器web界面，对客户端设置外联白名单ip或ip段。
114.4、用户在中心服务器通过遍历客户端的目录，选中需要标注的机密文件(通过对文件名称加文件md5匹配等方式进行标注)。选中的机密文件用客户端进程进行独占模式占用，即不可再编辑。另外，设置不允许同一文件落地。即不可对机密文件在本地磁盘复制。
115.5、外设存储(如：u盘)连接到服务器后，先通过客户端发起注册外设存储到中心服务器，中心服务器接收到注册申请后，人工审批。审批通过后，该外设存储即为外设存储白名单。
116.上述准备工作完成之后，便可实施本技术实施例所提供的文件传输控制方法。
117.即，用户插入外设存储(如：u盘)，复制机密文件到外设存储内的具体实施：客户端进程先判断该外设存储是否经过注册，如果没有注册则不允许复制操作。如果注册则允许复制操作，即允许将机密文件复制到外设存储。用户未注册的外设存储，可以在客户端界面发起申请注册操作。中心服务器接收到外设存储注册信息后，经过人工审批。人工审批通过即为白名单注册过的外设存储，则可以存储机密文件。
118.用户在计算机传输文件，通过svn，ftp，scp，邮件附件，http/https的post上传等各类网络传输。edr客户端通过对计算机内网卡的所有网络流量监控。并对每个tcp外联进行流量抓包分析。先解析出是否带有附件的机密文件的流量，即客户端进程会对每个tcp外联的流量进行解析，将tcp流量带文件后缀名的流量单独处理，并对多个流量中同一文件名称的流量分片进行合并处理，将合并出来的流量提取成一个完整的文件，再判断文件的md5值来判断该完整文件是否为机密文件；如果是机密文件再对该流量的目的ip提取，否则就丢弃该流量数据。通过解析出来的目的ip和mac地址中的至少一项，再匹配外联白名单，是否存在白名单库内，若存在，则表示该网上传输的目的为白名单地址即可以允许该网络传输。若不存在，则阻断该网络传输，不允许传输。
119.相应于上面的方法实施例，本技术实施例还提供了一种文件传输控制装置，下文描述的文件传输控制装置与上文描述的文件传输控制方法可相互对应参照。
120.参见图4所示，该装置包括以下模块：
121.抓包模块101，用于对目标网卡的所有外联进行流量抓包，得到流量包；
122.流量包筛选模块102，用于从流量包中筛选出带有文件后缀名的目标流量包；
123.文件合并模块103，用于对多个目标流量包中同一文件名称的流量分片进行合并处理，得到完整文件；
124.信息获取模块104，用于若完整文件为机密文件，则获取完整文件对应的目的端信息；
125.传输阻断模块105，用于若目的端信息与外联白名单不匹配，则阻断完整文件对应的网络传输。
126.应用本技术实施例所提供的装置，对目标网卡的所有外联进行流量抓包，得到流量包；从流量包中筛选出带有文件后缀名的目标流量包；对多个目标流量包中同一文件名称的流量分片进行合并处理，得到完整文件；若完整文件为机密文件，则获取完整文件对应的目的端信息；若目的端信息与外联白名单不匹配，则阻断完整文件对应的网络传输。
127.首先，针对需要目标网卡的所有外联都进行流量抓包，然后对所得的流量包进行筛选，留下带有文件后缀名的目标流量包。对目标流量包中涉及提一个文件名称的流量分片进行合并处理，进而得到正在传输/即将传输的完整文件。检验一下该完整文件是否为机密文件，如果是机密文件，则进一步获取该完整文件对应的目的端信息，如果的端信息与外联白名单不匹配，则直接将完整文件对应的网络传输进行阻断，从而保障属于机密文件的完整文件不被非法传输，保护机密文件不被泄漏。
128.在本技术的一种具体实施方式中，信息获取模块104，具体用于从完整文件对应的目标流量包中获取目的端信息；目的端信息包括目的ip地址和/或目的mac地址。
129.在本技术的一种具体实施方式中，还包括：
130.拷贝传输控制模块，用于接收并解析文件复制请求，确定出待复制的目标文件和外设存储；判断目标文件是否为机密文件；如果是，则验证外设存储是否在外设存储白名单中；若在，则向外设存储复制目标文件；若不在，则禁止复制目标文件至外设存储。
131.在本技术的一种具体实施方式中，拷贝传输控制模块，还用于外设存储不在外设存储白名单，对外设存储进行注册；如果注册成功，则向外设存储复制目标文件；如果注册失败，则禁止复制目标文件至外设存储。
132.在本技术的一种具体实施方式中，拷贝传输控制模块，具体用于计算目标文件的目标md5值；若目标md5值在机密文件对应的md5值中，则确定目标文件为机密文件。
133.在本技术的一种具体实施方式中，拷贝传输控制模块，具体用于读取目标文件的头文件信息；若头文件信息中具有机密标识，则确定目标文件为机密文件。
134.在本技术的一种具体实施方式中，还包括：
135.预处理模块，用于从edr中心服务器中下载白名单；标注并锁定机密文件。
136.相应于上面的方法实施例，本技术实施例还提供了一种电子设备，下文描述的一种电子设备与上文描述的一种文件传输控制方法可相互对应参照。
137.参见图5所示，该电子设备包括：
138.存储器332，用于存储计算机程序；
139.处理器322，用于执行计算机程序时实现上述方法实施例的文件传输控制方法的步骤。
140.具体的，请参考图6，图6为本实施例提供的一种电子设备的具体结构示意图，该电子设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processing units，cpu)322(例如，一个或一个以上处理器)和存储器332，存储器332存储有一个或一个以上的计算机应用程序342或数据344。其中，存储器332可以是短暂存储或持久存储。存储在存储器332的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地，中央处理器322可以设置为与存储器332通信，在电子设备301上执行存储器332中的一系列指令操作。
141.电子设备301还可以包括一个或一个以上电源326，一个或一个以上有线或无线网络接口350，一个或一个以上输入输出接口358，和/或，一个或一个以上操作系统341。
142.上文所描述的文件传输控制方法中的步骤可以由电子设备的结构实现。
143.相应于上面的方法实施例，本技术实施例还提供了一种可读存储介质，下文描述的一种可读存储介质与上文描述的一种文件传输控制方法可相互对应参照。
144.一种可读存储介质，可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述方法实施例的文件传输控制方法的步骤。
145.该可读存储介质具体可以为u盘、移动硬盘、只读存储器(read
‑
only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
146.本领域技术人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。