CN111090835B - 一种文件衍生图的构建方法及装置 - Google Patents

一种文件衍生图的构建方法及装置 Download PDF

Info

Publication number
CN111090835B
CN111090835B CN201911242913.3A CN201911242913A CN111090835B CN 111090835 B CN111090835 B CN 111090835B CN 201911242913 A CN201911242913 A CN 201911242913A CN 111090835 B CN111090835 B CN 111090835B
Authority
CN
China
Prior art keywords
file
node
employee
nodes
graph
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911242913.3A
Other languages
English (en)
Other versions
CN111090835A (zh
Inventor
金波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alipay Hangzhou Information Technology Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN201911242913.3A priority Critical patent/CN111090835B/zh
Publication of CN111090835A publication Critical patent/CN111090835A/zh
Application granted granted Critical
Publication of CN111090835B publication Critical patent/CN111090835B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/16File or folder operations, e.g. details of user interfaces specifically adapted to file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Abstract

本说明书公开了一种文件衍生图的构建方法及装置。所述方法包括针对任一待监测文件,执行以下图初始化操作:创建对应于该文件当前版本的文件节点F0,确定对应于该当前版本当前存储设备的设备节点D(F0),创建F0和D(F0)之间的边;监测到预设的文件衍生操作后,针对该衍生操作执行以下图更新操作:创建对应于衍生后版本的文件节点Fn,根据该衍生后版本的当前存储设备,确定对应的设备节点D(Fn);创建Fn和D(Fn)之间的边,创建Fn‑1和Fn之间的边,所述Fn‑1为衍生前版本对应的文件节点。本方法通过模型构建,构建出文件衍生图,用于表示文件与存储设备之间的存储关系,因此可以定位存储包含私有数据的文件的设备,从而定位泄露私有数据的设备。

Description

一种文件衍生图的构建方法及装置
技术领域
本说明书实施例涉及信息安全领域,尤其涉及一种文件衍生图的构建方法及装置。
背景技术
企业中许多设备包含敏感文件,例如商业机密文件或隐私文件,企业针对这些敏感文件具有防泄漏的安全需求,既能让这些敏感文件在企业内部设备之间传输,又不会泄露到外部。为了使这些敏感文件不会被泄露出去,存在许多防泄漏策略。但现有的防泄漏策略无法保证所有敏感文件不被泄露,当敏感文件被泄露后,为了针对泄露敏感文件的设备或员工制定补救措施,例如下载补丁或警告员工,通常需要先定位泄露敏感文件的设备或员工。
然而,现有的防泄漏策略都无法定位泄露敏感文件的设备或员工,企业只能在发生敏感文件泄露的情况下逐个排查企业内部的所有设备和员工,耗时耗力。
发明内容
为了能够定位泄露敏感文件的设备或员工,本申请公开了一种文件衍生图的构建方法及装置。技术方案如下:
一种文件衍生图的构建方法,所述文件衍生图包括文件节点及设备节点,每个文件节点对应一个文件版本,每个设备节点对应一个存储设备,所述构建方法包括:
针对任一待监测文件,执行以下图初始化操作:
创建对应于该文件当前版本的文件节点F0;确定对应于该当前版本当前存储设备的设备节点D(F0);创建F0和D(F0)之间的边;
监测到预设的文件衍生操作后,针对该衍生操作执行以下图更新操作:
创建对应于衍生后版本的文件节点Fn;根据该衍生后版本的当前存储设备,确定对应的设备节点D(Fn);创建Fn和D(Fn)之间的边;创建Fn-1和Fn之间的边,所述Fn-1为衍生前版本对应的文件节点;
其中,确定设备节点包括:在图中创建新的设备节点、或复用图中已有的设备节点。
一种文件衍生图的构建装置,所述文件衍生图包括文件节点及设备节点,每个文件节点对应一个文件版本,每个设备节点对应一个存储设备,所述装置包括:
初始化单元,用于针对任一待监测文件,执行以下图初始化操作:
创建对应于该文件当前版本的文件节点F0;确定对应于该当前版本当前存储设备的设备节点D(F0);创建F0和D(F0)之间的边;
更新单元,用于当监测到预设的文件衍生操作后,针对该衍生操作执行以下图更新操作:
创建对应于衍生后版本的文件节点Fn;根据该衍生后版本的当前存储设备,确定对应的设备节点D(Fn);创建Fn和D(Fn)之间的边;创建Fn-1和Fn之间的边,所述Fn-1为衍生前版本对应的文件节点;
其中,确定设备节点包括:在图中创建新的设备节点、或复用图中已有的设备节点。
通过上述技术方案,可以动态构建出文件衍生图,从而监控文件流转,刻画出存储设备之间的文件流转关系,在敏感文件泄露时,可以方便高效地定位泄露敏感文件的存储设备。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本说明书实施例提供的一种文件衍生图;
图2是本说明书实施例提供的另一种文件衍生图;
图3是本说明书实施例提供的另一种文件衍生图;
图4是本说明书实施例提供的另一种文件衍生图;
图5是本说明书实施例提供的另一种文件衍生图;
图6是本说明书实施例提供的一种文件衍生图的构建方法的流程示意图;
图7是本说明书实施例提供的一种文件关联设备定位方法的流程示意图;
图8是本说明书实施例提供的另一种文件关联设备定位方法的流程示意图;
图9是本说明书实施例提供的一种目标设备存储文件查询方法的流程示意图;
图10是本说明书实施例提供的一种目标员工持有文件查询方法的流程示意图;
图11是本说明书实施例提供的一种潜在风险识别方法的流程示意图;
图12是本说明书实施例提供的另一种潜在风险识别方法的流程示意图;
图13是本说明书实施例提供的一种文件衍生图的构建装置的结构示意图;
图14是本说明书实施例提供的一种文件关联设备定位装置的结构示意图;
图15是本说明书实施例提供的另一种文件关联设备定位装置的结构示意图;
图16是本说明书实施例提供的一种目标设备存储文件查询装置的结构示意图;
图17是本说明书实施例提供的一种目标员工持有文件查询装置的结构示意图;
图18是本说明书实施例提供的一种潜在风险识别装置的结构示意图;
图19是本说明书实施例提供的另一种潜在风险识别装置的结构示意图;
图20是用于配置本说明书实施例方法的一种设备的结构示意图。
具体实施方式
企业中许多设备包含私有数据,即敏感文件,例如商业机密文件或员工隐私文件,企业并不希望这些敏感文件泄露出去,同时需要这些文件在企业内部的设备之间传输,以用于执行业务操作。因此企业针对这些敏感文件具有一种防泄漏的安全需求,既能让这些敏感文件在企业内部设备之间传输,又不会泄露到外部。
为了使这些敏感文件不会被泄露出去,存在许多并不完善的防泄漏策略,例如,企业每台设备上都安装有防泄漏程序,防泄漏程序记录了所有敏感文件内容的数字摘要。当员工在企业内部设备上对某一文件进行复制或发送操作时,防泄漏程序会计算该文件的内容数字摘要,并验证该内容数字摘要是否与任一敏感文件内容的数字摘要相同,若相同,则停止员工的操作,以使敏感文件不会被泄露。
但这些防泄漏策略并不能完全保护所有敏感文件不被泄露,例如:若敏感文件内容被编辑修改,则敏感文件内容的数字摘要发生变化,防泄漏程序没有记录修改后的敏感文件新的数字摘要,所以该新的数字摘要与所有防泄漏程序记录的敏感文件内容的数字摘要都不同,导致员工针对该敏感文件的操作不受防泄漏程序的限制,修改后的敏感文件可以被复制或发送,从而泄露敏感文件。
由于无法保证所有敏感文件不被泄露,当敏感文件被泄露后,为了防止未泄露的其他敏感文件通过相同的漏洞泄露出去,通常需要先定位泄露敏感文件的设备或员工,然后针对泄露敏感文件的设备或员工制定补救措施。然而,即使敏感文件通过某一漏洞泄露,目前已有的防泄漏策略都无法定位泄露敏感文件的设备或员工,从而无法针对泄露敏感文件的设备或员工制定补救措施。企业只能在发生敏感文件泄露的情况下逐个排查企业内部的所有设备和员工,耗时耗力。
由于计算机文件存在可编辑性及可复制性,因此对于一个敏感文件F0,无论是对其编辑后得到的编辑版本(假设为F1)被泄露,还是对其复制后得到的复制版本(假设为F2)被泄露,都应视为等同于F0被泄露。可以理解的是:这里的“编辑”具体可以包括有修改的编辑行为、无修改的编辑行为、“另存为”等操作;“复制”可以包括:在同一设备内部进行文件复制、在不同设备之间及进行文件传输,等等。
为便于描述,将会导致编辑版本或复制版本产生的操作(例如编辑、复制、传输等)统称为“衍生操作”,将衍生操作得到的新文件称为衍生文件。可以理解的是,每次衍生操作都会对应一组“衍生前版本-衍生后版本”,一个文件的初始版本F0经历n次衍生操作后,相应会得到n个不同的衍生版本,任一衍生版本可能是由F0直接衍生得到,也可能是由F0间接衍生得到(即由F0的后代衍生得到)。
为了定位泄露敏感文件的设备或员工,本说明书实施例提出,以“图结构”的方式构建文件、设备及员工的关系模型,本说明书将这种图结构称为文件衍生图,下面对文件衍生图的基本组成进行介绍:
文件衍生图可以包括文件节点、设备节点和员工节点共3类节点,以及文件节点之间的边、设备节点之间的边、文件节点与设备节点之间的边和员工节点与设备节点之间的边。其中,文件节点、设备节点以及对应的边是组成文件衍生图的必要部分,员工节点以及对应的边是可选部分。
其中,每个文件节点可以对应于一个文件的衍生版本,每个设备节点可以对应一个设备,该设备可以是存储设备,每个员工节点可以对应一位员工。
文件节点之间的边可以表示两个文件节点对应的两个衍生版本之间存在衍生关系,且都是同一个文件的不同衍生版本,例如文件节点之间的边为有向边,由文件节点A指向文件节点B,这条有向边可以表示A和B对应的文件版本之间存在直接衍生关系,A对应衍生前版本,B对应衍生后版本,A和B都是同一文件的不同衍生版本。
设备节点之间的边可以表示两个设备节点对应的两个存储设备之间存在过文件传输的关系,例如设备节点之间的边为有向边,由设备节点X指向设备节点Y的边表示:X对应的设备曾向Y对应的设备发送过文件。
文件节点与设备节点之间的边可以表示该文件节点对应的文件衍生版本存储在该设备节点对应的存储设备上。
员工节点与设备节点之间的边可以表示该员工节点对应的员工使用过该设备节点对应的存储设备。
为了方便描述,对于同一文件的不同版本对应的文件节点,采用Fn表示,其中n为自然数。例如,F0、F1、F2分别表示同一文件的不同版本对应的三个文件节点。对于不同文件的不同版本对应的文件节点,采用Y-Fn表示,其中Y表示文件。例如,A-F0表示文件A的某版本对应的文件节点,B-F1表示文件B的某版本对应的文件节点。
对于不同的设备节点,由于同一设备可以存储多个文件版本,而同一文件版本存储在一个设备上,因此规定D(X)表示设备节点,其中X表示不同的文件节点,则D(X)表示存储对应于X的文件版本的设备对应的设备节点。例如,D(F0)表示存储对应于F0的文件版本的设备对应的设备节点,D(A-F0)表示存储对应于A-F0的文件版本的设备对应的设备节点。
对于不同的员工节点,由于同一员工可以使用多个设备,因此规定A[Z]表示员工节点,其中Z表示不同的设备节点,则A[Z]表示使用过Z对应的设备的员工对应的员工节点。例如A[D(F0)]表示使用过D(F0)对应的设备的员工对应的员工节点。
需要说明的是,上述Fn、D(X)、A[Z]等代称只是为了方便描述,并不能限制本说明书和权利要求的范围。
为了方便描述,针对同一个特定文件的不同衍生版本,最基本的文件衍生图可以只记录文件和设备的关系,至少包括文件节点、设备节点、文件节点之间的边以及设备节点和文件节点之间的边。如图1所示,为本说明书实施例提供的一种文件衍生图。文件节点之间的边以及设备节点和文件节点之间的边都为有向边。其中F0、F1和F2分别对应于同一文件的三个衍生版本,F0存储在D(F0)对应的设备上,F1和F2存储在D(F1)对应的设备上。
更优选的一种文件衍生图还包括设备节点之间的边。如图2所示,为本说明书实施例提供的另一种文件衍生图。其中D(F0)和D(F1)之间存在一条由D(F0)指向D(F1)的有向边。
更优选的一种文件衍生图可以记录文件、设备和员工的关系,包括文件节点、设备节点、员工节点、文件节点之间的边、设备节点和文件节点之间的边、设备节点之间的边以及设备节点和员工节点之间的边。如图3所示,为本说明书实施例提供的另一种文件衍生图。其中A[D(F0)]对应的员工曾经使用过D(F0)对应的设备,A[D(F1)]对应的员工曾经使用过D(F1)对应的设备。
更优选的一种文件衍生图中,节点之间的一条或多条边具有时间属性,可以表征具体的时间信息,便于根据文件衍生图获得对应的时间信息。每个节点具有唯一标识,便于根据标识查询节点。
而针对多个文件,构建出的文件衍生图可以具有两种形式,不同的文件对应的图结构可以统一在同一个图结构中,也可以在不同的图结构中。如图4所示,为本说明书实施例提供的另一种文件衍生图,文件A和文件B对应的图结构在不同的图结构中。如图5所示,为本说明书实施例提供的另一种文件衍生图,文件A和文件B对应的图结构在同一个图结构中。
对于构建出的文件衍生图,可以根据泄露的敏感文件衍生版本确定对应的文件节点,从而可以通过图计算的方法得到该敏感文件的所有衍生版本,从而还可以通过图计算的方法确定所有存储过该敏感文件的任一衍生版本的存储设备。逐个排查确定的存储设备,从而可以定位到泄露敏感文件的设备,进一步可以通过图计算的方法确定使用过该设备的员工,逐个排查确定的员工,从而可以定位到泄露敏感文件的员工。
可以看出,通过构建文件衍生图,可以很快确定存储过敏感文件的设备,从而高效定位泄露敏感文件的设备或员工。
为了使本领域技术人员更好地理解本说明书实施例中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行详细地描述,显然,所描述的实施例仅仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于保护的范围。
下面结合说明书附图对本说明书实施例作进一步详细描述。
如图6所示,为本说明书实施例提供的一种文件衍生图的构建方法的流程示意图,文件衍生图中至少包括文件节点及设备节点,每个文件节点对应一个文件版本,每个设备节点对应一个存储设备。为描述方便,以下构建方法仅涉及某个特定文件的不同版本。涉及多个文件的情形可以理解为以下方法的重复执行。
所述构建方法可以包括以下步骤:
S101:针对任一待监测文件,创建对应于该文件当前版本的文件节点F0;确定对应于该当前版本当前存储设备的设备节点D(F0),创建F0和D(F0)之间的边。
针对任意一个待监测文件,在图中创建节点作为对应于该文件当前版本的文件节点F0。需要解释的是,每一个待监测文件对应的图中都存在F0,并不专属于某个特定的待监测文件。对于确定待监测文件,可以预先制定一些匹配条件,对于满足匹配条件的文件都认为是待监测文件。例如,某一特定时刻之后创建的文件,或者带有特定标记的文件,或者所有文件都确定为待监测文件。待监测文件的确定并不是某一时刻进行的,而是持续进行的。例如,匹配条件是某一特定时刻之后创建的文件,则某一特定时刻之后新创建的文件都被确定为待监测文件。
确定对应于该待监测文件当前版本的当前存储设备的设备节点D(F0)。其中,确定设备节点包括:在图中创建新的节点作为设备节点,或者复用图中已有的节点作为设备节点。
创建F0和D(F0)之间的边。由于文件不能独立于存储设备存在,因此在图中每创建一个新的文件节点,一定要创建该文件节点与某一设备节点之间的边。
作为一种示例,文件衍生图中还可以包括员工节点,每个员工节点可以对应于一个员工。在确定了对应于该待监测文件当前版本的当前存储设备的设备节点D(F0)后,可以根据对应于该存储设备的归属员工,确定对应的员工节点A[D(F0)],再创建D(F0)和A[D(F0)]之间的边。
其中确定员工节点包括:在同一个图中创建新的节点作为员工节点,或者复用图中已有的节点作为员工节点。
通过在文件衍生图中加入员工节点,可以直接定位泄露敏感文件的员工。
作为另一种示例,文件衍生图中的文件节点可以具有文件标识,用于文件节点的查找,所述文件标识具体可以是该文件节点对应的文件版本内容的数字摘要或文件名;设备节点也可以具有设备标识,用于设备节点的查找,所述设备标识具体可以是该设备节点对应的存储设备的MAC地址、IP地址或企业内部自定义的设备唯一识别码;员工节点也可以具有员工标识,用于员工节点的查找,所述员工标识具体可以是该员工节点对应的员工工号、身份证号或员工账号。
作为另一种示例,节点之间一条或多条边可以具有时间属性,用于检查时间信息。其中F0和D(F0)之间的边可以具有时间属性,其时间属性可以表征该待监测文件的创建时间,时间属性的形式可以是日期和时刻,也可以是相对于某一固定时刻的时长,只要能够表征该待监测文件的创建时间即可。D(F0)和A[D(F0)]之间的边也可以具有时间属性,其时间属性可以表征A[D(F0)]对应的员工使用D(F0)对应的存储设备的时间段,时间属性的形式可以是该员工开始使用该存储设备的时刻和使用时长,也可以是该员工开始使用该存储设备的时刻和结束使用该存储设备的时刻,只要能够表征使用该存储设备的时间段即可。例如,员工利用员工账号登录某计算机的时刻和退出登录该计算机的时刻。通过在文件衍生图上的边加上时间属性,可以在定位到泄露敏感文件的设备或员工后,方便地得到泄露敏感文件的时间。
作为另一种示例,节点之间一条或多条边可以是有向边。文件节点之间的边可以是有向边,从而很方便地得到文件衍生版本的前后关系。
S102:监测到预设的文件衍生操作后,创建对应于衍生后版本的文件节点Fn;根据该衍生后版本的当前存储设备,确定对应的设备节点D(Fn);创建Fn和D(Fn)之间的边;创建Fn-1和Fn之间的边,所述Fn-1为衍生前版本对应的文件节点。
持续监测是否存在预设的文件衍生操作发生,其中预设的文件衍生操作可以包括待监测文件的复制、传输和编辑,其中编辑包括有修改的编辑和无修改的编辑。
如果监测到预设的文件衍生操作后,则在同一个图中创建对应于衍生后版本的文件节点Fn,根据该衍生后版本的当前存储设备,确定对应的设备节点D(Fn),在同一个图中创建Fn和D(Fn)之间的边,在同一个图中创建Fn-1和Fn之间的边,所述Fn-1为衍生前版本对应的文件节点。需要解释的是,对于同一个待监测文件而言,创建的节点和边都在同一个图中。即对于每次执行本步骤创建的节点和边而言,F0、Fn、D(F0)、D(Fn)、F0和D(F0)之间的边、Fn和D(Fn)之间的边以及Fn-1和Fn之间的边都在同一个图中。其中,确定设备节点包括:在图中创建新的节点作为设备节点,或者复用图中已有的节点作为设备节点。例如,如果D(Fn)和D(Fn-1)为不同的设备节点,则创建新的节点作为D(Fn);如果D(Fn)和D(Fn-1)为相同的设备节点,则复用D(Fn-1)作为D(Fn)。
然后重复执行S102,继续监测是否存在预设的文件衍生操作发生。
作为一种示例,如果D(Fn)和D(Fn-1)为不同的设备节点,则创建D(Fn-1)和D(Fn)之间的边。D(Fn-1)和D(Fn)之间的边表示D(Fn-1)对应的存储设备和D(Fn)对应的存储设备之间存在过待监测文件的传输。通过设备节点之间的边,可以方便地分析设备节点对应的存储设备的设备交互情况。
作为另一种示例,文件衍生图还可以包括员工节点,每个员工节点对应一个员工。如果D(Fn)为新创建的节点,则可以根据对应于D(Fn)的存储设备的归属员工,确定对应的员工节点A[D(Fn)],创建D(Fn)和A[D(Fn)]之间的边。
其中,确定员工节点包括:在图中创建新的节点作为员工节点、或复用图中已有的节点作为员工节点。由于存储设备并不会自主进行操作,因此在图中,每新建一个设备节点,一定创建该设备节点与某一员工节点之间的边。通过在文件衍生图中加入员工节点,可以直接定位泄露敏感文件的员工。
作为另一种示例,文件衍生图中的文件节点可以具有文件标识,用于文件节点的查找,所述文件标识具体可以是该文件节点对应的文件版本内容的数字摘要或文件名;设备节点也可以具有设备标识,用于设备节点的查找,所述设备标识具体可以是该设备节点对应的存储设备的MAC地址、IP地址或企业内部自定义的设备唯一识别码;员工节点也可以具有员工标识,用于员工节点的查找,所述员工标识具体可以是该员工节点对应的员工工号、身份证号或员工账号。
作为另一种示例,节点之间一条或多条边可以具有时间属性,用于检查时间信息。其中Fn和D(Fn)之间的边、Fn-1和Fn之间的边以及D(Fn-1)和D(Fn)之间的边都可以具有时间属性,其时间属性都可以表征得到Fn的衍生操作的发生时间,时间属性的形式可以是日期和时刻,也可以是相对于某一固定时刻的时长,只要能够表征得到Fn的衍生操作的发生时间即可。D(Fn)和A[D(Fn)]之间的边也可以具有时间属性,其时间属性可以表征A[D(Fn)]对应的员工使用D(Fn)对应的存储设备的时间段,时间属性的形式可以是该员工开始使用该存储设备的时刻和使用时长,也可以是该员工开始使用该存储设备的时刻和结束使用该存储设备的时刻,只要能够表征使用该存储设备的时间段即可。
作为另一种示例,节点之间一条或多条边可以是有向边。文件节点之间的边可以是有向边,从而很方便地得到文件衍生版本的前后关系;设备节点之间的边可以是有向边,从而很方便地得到设备节点对应的存储设备之间的交互关系。
上述构建方法是仅涉及同一特定文件的不同衍生版本的构建方法,而涉及多个文件的构建方法可以是多个文件构建不同的文件衍生图的构建方法,并不复用设备节点和员工节点,如图4所示,为本实施例提供的另一种文件衍生图;也可以是多个文件构建同一个文件衍生图的构建方法,复用设备节点或员工节点,如图5所示,为本实施例提供的另一种文件衍生图。
多个文件构建不同的文件衍生图可以通过一个文件版本对应的文件节点,直接获取到该文件节点所在文件衍生图中所有的文件节点对应的文件版本,即同一个文件的所有衍生版本,方便查找。
而多个文件构建同一个文件衍生图可以通过复用设备节点或员工节点,减少冗余存储,也可以较为全面地分析多个文件和设备的关系。
通过上述构建方法,可以动态构建出文件衍生图,从而监控文件流转,刻画出存储设备之间的文件流转关系,在敏感文件泄露时,可以方便高效地定位泄露敏感文件的存储设备或员工。还可以根据文件标识、设备标识或员工标识直接查找对应的节点,查询方便。还可以根据不同的待监测文件构建各自的文件衍生图,从而方便得到同一待监测文件的所有版本。还可以通过文件衍生图上的边的时间属性直接得到操作发生的时间信息,便于追责和保存证据。
如图7所示,为本说明书实施例提供的一种文件关联设备定位方法的流程示意图,该方法可以基于第一个实施例构建的任一文件衍生图实现。所述构建方法可以包括以下步骤:
S201:获得待检测的文件,将该文件的版本确定为目标版本。
获取需要检测的文件,该文件可以是敏感文件的某一版本,将该文件的版本确定为目标版本。
作为一种示例,待检测的文件可以是确认已被泄露的敏感文件版本,或者是希望调查关联设备的某一文件版本。
S202:在文件衍生图中,确定目标版本的关联节点集合;所述目标版本的关联节点集合中包括:对应于所述目标版本的文件节点F,以及通过文件节点之间的边与F直接相连或间接相连的文件节点。
确定目标版本对应的文件节点,使用F代称该文件节点。在文件衍生图中,将通过文件节点之间的边与F直接相连或间接相连的文件节点都添加到关联节点集合中。所述通过文件节点之间的边与F直接相连或间接相连的文件节点表示,能够通过一条或多条文件节点之间的边连接到F的文件节点。
作为一种示例,具体可以通过文件标识,例如文件内容的数字摘要,确定目标版本对应的文件节点。由于不同版本的文件内容不同,其数字摘要也不同,因此可以唯一标识文件节点。即通过所述待检测文件的文件标识在文件衍生图中查找具有相同文件标识的文件节点,作为所述目标版本的文件节点。
作为另一种示例,当文件衍生图是仅针对一个待监测文件构建的时候,确定目标版本对应的文件节点,也就确定了该文件节点所在的文件衍生图,可以直接将该文件衍生图中的全部文件节点添加到关联节点集合中。
作为另一种示例,当文件衍生图中所有文件节点之间的边为有向边,且该有向边是连接衍生前版本对应的文件节点和衍生后版本对应的文件节点的有向边,可以表征文件衍生版本的先后关系。可以根据确定通过文件节点之间的边与F直接相连或间接相连的文件节点,以及该文件节点之间的边,得到文件节点对应的文件版本之间的衍生先后关系。进一步方便对待检测文件的分析。
S203:针对关联节点集合中的每个节点Fx,将D(Fx)对应的存储设备添加到待检测文件的关联设备集合中。
在文件衍生图中,针对关联节点集合中的每个节点,都通过边直接和一个设备节点相连,将该设备节点对应的存储设备添加到待检测文件的关联设备集合中即可。待检测文件的关联设备可以是存储过待检测文件某一衍生版本的存储设备。
作为一种示例,当文件衍生图是仅针对一个待监测文件构建的时候,可以直接将该文件衍生图中的全部设备节点对应的存储设备添加到待检测文件的关联设备集合中。
作为另一种示例,当文件衍生图中存在设备节点之间的边,且所有设备节点之间的边为有向边,且该有向边是连接对应发送文件的存储设备的设备节点和对应接收文件的存储设备的设备节点的有向边,可以表征设备发送和接收文件的关系,从而得到设备节点对应的存储设备之间的交互关系。进一步方便对待检测文件的关联设备的分析。
通过本实施例可以基于构建出的文件衍生图查找到待检测文件对应的所有文件衍生版本,从而查找到所有存储过待检测文件某一衍生版本的存储设备。
如图8所示,为本说明书实施例提供的另一种文件关联设备定位方法的流程示意图,该方法可以基于第一个实施例构建的包含设备节点之间的有向边的任一文件衍生图实现,且设备节点之间的边可以具有文件属性,该文件属性可以表征两个设备节点对应的存储设备之间传输过的文件。具体步骤可以包括:
S301:获得待检测的文件,将该文件的版本确定为目标版本。
获取需要检测的文件,该文件可以是敏感文件的某一版本,将该文件的版本确定为目标版本。
作为一种示例,待检测的文件可以是确认已被泄露的敏感文件版本,或者是希望调查关联设备的某一文件版本。
S302:在文件衍生图中,确定与目标版本对应的文件节点通过边直接相连的设备节点为目标设备节点。
S303:将与目标设备节点通过表征所述待检测的文件的设备节点之间的边直接相连或间接相连的设备节点添加到待检测文件的关联设备集合中。
其中,所述通过设备节点之间的边与目标设备节点直接相连或间接相连的设备节点表示,能够通过一条或多条设备节点之间的边连接到目标设备节点的设备节点。
作为一种示例,表征所述待检测的文件可以是通过待检测文件的文件名或固定不变的文件标识唯一表征该待检测的文件。
通过本实施例可以基于构建出的文件衍生图更快查找到所有存储过待检测文件某一衍生版本的存储设备。
如图9所示,为本说明书实施例提供的一种目标设备存储文件查询方法的流程示意图,该方法可以基于第一个实施例构建的任一文件衍生图实现。所述构建方法可以包括以下步骤:
S401:确定对应于目标设备的设备节点为目标设备节点。
在文件衍生图的所有设备节点中,将对应于目标设备的设备节点作为目标设备节点。
作为一种示例,每台存储设备都具有唯一的设备标识,例如MAC地址、IP地址、设备唯一名称或企业自定义的设备唯一识别符。每个设备节点都带有对应的存储设备的设备标识,以便于查找。由于设备标识能够唯一标识对应的一台存储设备,因此可以通过设备标识确定唯一对应的设备节点。确定目标设备节点的步骤,具体可以是在文件衍生图的所有设备节点中,查找带有与目标设备的设备标识相同的设备标识的设备节点,作为目标设备节点。
S402:针对与所述目标设备节点通过边直接相连的每个文件节点,将对应于该文件节点的文件版本添加到目标设备存储文件集合中。
文件衍生图中,每个文件节点都会与一个设备节点通过边相连,表示该文件节点对应的文件版本存储在该设备节点对应的存储设备上。因此,与目标设备节点通过边直接相连的所有文件节点对应的文件版本,都曾经存储在目标设备中。
通过本实施例可以基于构建出的文件衍生图查找到待检测设备存储过的所有文件版本,从而方便对该设备的检测。
如图10所示,为本说明书实施例提供的一种目标员工持有文件查询方法的流程示意图,该方法可以基于第一个实施例构建的包含员工节点的任一文件衍生图实现。所述构建方法可以包括以下步骤:
S501:确定对应于目标员工的员工节点为目标员工节点。
在文件衍生图的所有员工节点中,将对应于目标员工的员工节点作为目标员工节点。
作为一种示例,每位员工都具有唯一的员工标识,例如员工工号、员工身份证号、企业自定义的员工唯一识别符或员工账号。每个员工节点都带有对应的员工标识,以便于查找。由于员工标识能够唯一标识对应的一位员工,因此可以通过员工标识确定唯一对应的员工节点。确定目标员工节点的步骤,具体可以是在文件衍生图的所有员工节点中,查找带有与目标员工的员工标识相同的员工标识的员工节点,作为目标员工节点。
S502:确定与所述目标员工节点通过边直接相连的每个设备节点,针对与该设备节点通过边直接相连的每个文件节点,将对应于该文件节点的文件版本添加到目标员工持有文件集合中。
由于设备不能独立于员工执行操作,因此在文件衍生图中每个设备节点至少通过边连接一个员工节点,该边表示该员工节点对应的员工使用过该设备节点对应的存储设备,而存储设备上存储的文件即为该员工持有的文件。
通过本实施例可以基于构建出的文件衍生图查找到待检测员工持有的所有文件版本,从而方便对该员工的检测。
如图11所示,为本说明书实施例提供的一种潜在风险识别方法的流程示意图,该方法可以基于第一个实施例构建的任一文件衍生图实现。所述构建方法可以包括以下步骤:
S601:针对文件衍生图中的每个设备节点,判断该设备节点在预设时间段内新增边的条数是否大于预设阈值。
作为一种示例,新增的边可以是设备节点之间的边,和/或设备节点与文件节点之间的边。其中设备节点之间新增边表示两个设备节点对应的存储设备之间在预设时间段内存在交互,设备节点与文件节点之间新增边表示预设时间段内该设备节点的对应的存储设备存储了该文件节点对应的文件版本。
作为另一种示例,预设时间段可以是50秒,预设阈值可以是500,本领域技术人员可以根据实际需求进行设定。
S602:若该设备节点在预设时间段内新增边的条数大于预设阈值,则识别该设备节点对应的存储设备存在潜在风险。
当该设备节点在预设时间段内新增边的条数较多时,则可能是在预设时间段内存储了较多的文件,或者接收了较多文件,或者发送了较多文件,或者与多个其他设备进行交互。当新增边的条数大于某一预设的阈值后,可以认为该设备节点对应存储设备传输的文件多于正常情况,认为该存储设备存在潜在风险,需要进一步针对该存储设备进行分析,以确认是否存在真实的风险。
通过本实施例,可以通过文件衍生图提前预防风险的发生,从而减少风险带来的损失。
如图12所示,为本说明书实施例提供的另一种潜在风险识别方法的流程示意图,该方法可以基于第一个实施例构建的包含员工节点的任一文件衍生图实现。所述构建方法可以包括以下步骤:
S701:针对文件衍生图中的每个员工节点,判断该员工节点在预设时间段内新增边的条数是否大于预设阈值。
由于在文件衍生图中,员工节点只与设备节点通过边相连,该边表示该员工节点对应的员工使用过该设备节点对应的存储设备。因此新增边表示,预设时间内该员工节点对应的员工使用了该设备节点对应的存储设备。
S702:若该员工节点在预设时间段内新增边的条数大于预设阈值,则识别该员工节点对应的员工存在潜在风险。
若该员工节点在预设时间段内新增边的条数大于预设阈值,则表示该员工节点对应的员工在预设时间段内使用了大量的存储设备,因此判断该员工存在潜在风险,需要进一步针对该员工进行分析,以确认是否存在真实的风险。
通过本实施例,可以通过文件衍生图提前预防风险的发生,从而减少风险带来的损失。
如图13所示,为本说明书实施例提供的一种文件衍生图的构建装置的结构示意图,文件衍生图中至少包括文件节点及设备节点,每个文件节点对应一个文件版本,每个设备节点对应一个存储设备。为描述方便,以下构建装置仅涉及某个特定文件的不同版本。涉及多个文件的情形可以理解为对以下装置的重复利用。
所述构建装置可以包括:
初始化单元801:用于针对任一待监测文件,创建对应于该文件当前版本的文件节点F0;确定对应于该当前版本当前存储设备的设备节点D(F0),创建F0和D(F0)之间的边。
针对任意一个待监测文件,在图中创建节点作为对应于该文件当前版本的文件节点F0。需要解释的是,每一个待监测文件对应的图中都存在F0,并不专属于某个特定的待监测文件。对于确定待监测文件,可以预先制定一些匹配条件,对于满足匹配条件的文件都认为是待监测文件。
确定对应于该待监测文件当前版本的当前存储设备的设备节点D(F0)。其中,确定设备节点包括:在图中创建新的节点作为设备节点,或者复用图中已有的节点作为设备节点。
创建F0和D(F0)之间的边。由于文件不能独立于存储设备存在,因此在图中每创建一个新的文件节点,一定要创建该文件节点与某一设备节点之间的边。
作为一种示例,文件衍生图中还可以包括员工节点,每个员工节点可以对应于一个员工。初始化单元801还用于,在确定了对应于该待监测文件当前版本的当前存储设备的设备节点D(F0)后,可以根据对应于该存储设备的归属员工,确定对应的员工节点A[D(F0)],再创建D(F0)和A[D(F0)]之间的边。
其中确定员工节点包括:在同一个图中创建新的节点作为员工节点,或者复用图中已有的节点作为员工节点。
通过在文件衍生图中加入员工节点,可以直接定位泄露敏感文件的员工。
作为另一种示例,节点之间一条或多条边可以具有时间属性,用于检查时间信息。其中F0和D(F0)之间的边可以具有时间属性,其时间属性可以表征该待监测文件的创建时间,时间属性的形式可以是日期和时刻,也可以是相对于某一固定时刻的时长,只要能够表征该待监测文件的创建时间即可。D(F0)和A[D(F0)]之间的边也可以具有时间属性,其时间属性可以表征A[D(F0)]对应的员工使用D(F0)对应的存储设备的时间段,时间属性的形式可以是该员工开始使用该存储设备的时刻和使用时长,也可以是该员工开始使用该存储设备的时刻和结束使用该存储设备的时刻,只要能够表征使用该存储设备的时间段即可。
更新单元802:用于监测到预设的文件衍生操作后,创建对应于衍生后版本的文件节点Fn;根据该衍生后版本的当前存储设备,确定对应的设备节点D(Fn);创建Fn和D(Fn)之间的边;创建Fn-1和Fn之间的边,所述Fn-1为衍生前版本对应的文件节点。
持续监测是否存在预设的文件衍生操作发生,其中预设的文件衍生操作可以包括待监测文件的复制、传输和编辑,其中编辑包括有修改的编辑和无修改的编辑。
如果监测到预设的文件衍生操作后,则在同一个图中创建对应于衍生后版本的文件节点Fn,根据该衍生后版本的当前存储设备,确定对应的设备节点D(Fn),在同一个图中创建Fn和D(Fn)之间的边,在同一个图中创建Fn-1和Fn之间的边,所述Fn-1为衍生前版本对应的文件节点。需要解释的是,对于同一个待监测文件而言,创建的节点和边都在同一个图中。即对于每次更新单元802创建的节点和边而言,F0、Fn、D(F0)、D(Fn)、F0和D(F0)之间的边、Fn和D(Fn)之间的边以及Fn-1和Fn之间的边都在同一个图中。其中,确定设备节点包括:在图中创建新的节点作为设备节点,或者复用图中已有的节点作为设备节点。例如,如果D(Fn)和D(Fn-1)为不同的设备节点,则创建新的节点作为D(Fn);如果D(Fn)和D(Fn-1)为相同的设备节点,则复用D(Fn-1)作为D(Fn)。
更新单元802继续监测是否存在预设的文件衍生操作发生。
作为一种示例,如果D(Fn)和D(Fn-1)为不同的设备节点,则创建D(Fn-1)和D(Fn)之间的边。D(Fn-1)和D(Fn)之间的边表示D(Fn-1)对应的存储设备和D(Fn)对应的存储设备之间存在过待监测文件的传输。通过设备节点之间的边,可以方便地分析设备节点对应的存储设备的设备交互情况。
作为另一种示例,文件衍生图还可以包括员工节点,每个员工节点对应一个员工。更新单元802还用于,如果D(Fn)为新创建的节点,则可以根据对应于D(Fn)的存储设备的归属员工,确定对应的员工节点A[D(Fn)],创建D(Fn)和A[D(Fn)]之间的边。
其中,确定员工节点包括:在图中创建新的节点作为员工节点、或复用图中已有的节点作为员工节点。由于存储设备并不会自主进行操作,因此在图中,每新建一个设备节点,一定创建该设备节点与某一员工节点之间的边。通过在文件衍生图中加入员工节点,可以直接定位泄露敏感文件的员工。
作为另一种示例,节点之间一条或多条边可以具有时间属性,用于检查时间信息。其中Fn和D(Fn)之间的边、Fn-1和Fn之间的边以及D(Fn-1)和D(Fn)之间的边都可以具有时间属性,其时间属性都可以表征得到Fn的衍生操作的发生时间,时间属性的形式可以是日期和时刻,也可以是相对于某一固定时刻的时长,只要能够表征得到Fn的衍生操作的发生时间即可。D(Fn)和A[D(Fn)]之间的边也可以具有时间属性,其时间属性可以表征A[D(Fn)]对应的员工使用D(Fn)对应的存储设备的时间段,时间属性的形式可以是该员工开始使用该存储设备的时刻和使用时长,也可以是该员工开始使用该存储设备的时刻和结束使用该存储设备的时刻,只要能够表征使用该存储设备的时间段即可。
上述构建装置是仅涉及同一特定文件的不同衍生版本的构建装置,而涉及多个文件的构建装置可以是多个文件构建不同的文件衍生图的构建装置,并不复用设备节点和员工节点,如图4所示,为本实施例提供的另一种文件衍生图;也可以是多个文件构建同一个文件衍生图的构建装置,复用设备节点或员工节点,如图5所示,为本实施例提供的另一种文件衍生图。
多个文件构建不同的文件衍生图可以通过一个文件版本对应的文件节点,直接获取到该文件节点所在文件衍生图中所有的文件节点对应的文件版本,即同一个文件的所有衍生版本,方便查找。
而多个文件构建同一个文件衍生图可以通过复用设备节点或员工节点,减少冗余存储,也可以较为全面地分析多个文件和设备的关系。
通过上述构建装置,可以动态构建出文件衍生图,从而监控文件流转,刻画出存储设备之间的文件流转关系,在敏感文件泄露时,可以方便高效地定位泄露敏感文件的存储设备或员工。还可以根据文件标识、设备标识或员工标识直接查找对应的节点,查询方便。还可以根据不同的待监测文件构建各自的文件衍生图,从而方便得到同一待监测文件的所有版本。还可以通过文件衍生图上的边的时间属性直接得到操作发生的时间信息,便于追责和保存证据。
如图14所示,为本说明书实施例提供的一种文件关联设备定位装置的结构示意图,该装置可以基于第一个实施例构建的任一文件衍生图执行操作。所述构建装置可以包括:
文件获取单元901:用于获得待检测的文件,将该文件的版本确定为目标版本。
文件节点确定单元902:用于在文件衍生图中,确定目标版本的关联节点集合;所述目标版本的关联节点集合中包括:对应于所述目标版本的文件节点F,以及通过文件节点之间的边与F直接相连或间接相连的文件节点。
关联设备定位单元903:用于针对关联节点集合中的每个节点Fx,将D(Fx)对应的存储设备添加到待检测文件的关联设备集合中。
如图15所示,为本说明书实施例提供的另一种文件关联设备定位装置的结构示意图,该装置可以基于第一个实施例构建的包含设备节点之间的有向边的任一文件衍生图执行操作,且设备节点之间的边具有文件属性,该文件属性可以表征两个设备节点对应的存储设备之间传输过的文件。具体包括:
文件版本确定单元1001:用于获得待检测的文件,将该文件的版本确定为目标版本。
获取需要检测的文件,将该文件的版本确定为目标版本。
设备节点确定单元1002:在文件衍生图中,确定与目标版本对应的文件节点通过边直接相连的设备节点为目标设备节点。
关联设备确定单元1003:用于将与目标设备节点通过表征所述待检测的文件的设备节点之间的边直接相连或间接相连的设备节点添加到待检测文件的关联设备集合中。
如图16所示,为本说明书实施例提供的一种目标设备存储文件查询装置的结构示意图,该装置可以基于第一个实施例构建的任一文件衍生图执行操作。所述构建装置可以包括:
设备节点确定单元1101:用于确定对应于目标设备的设备节点为目标设备节点。
存储文件查询单元1102:用于针对与所述目标设备节点通过边直接相连的每个文件节点,将对应于该文件节点的文件版本添加到目标设备存储文件集合中。
如图17所示,为本说明书实施例提供的一种目标员工持有文件查询装置的结构示意图,该装置可以基于第一个实施例构建的包含员工节点的任一文件衍生图执行操作。所述构建装置可以包括:
员工节点确定单元1201:用于确定对应于目标员工的员工节点为目标员工节点。
持有文件查询单元1202:用于确定与所述目标员工节点通过边直接相连的每个设备节点,针对与该设备节点通过边直接相连的每个文件节点,将对应于该文件节点的文件版本添加到目标员工持有文件集合中。
如图18所示,为本说明书实施例提供的一种潜在风险识别装置的结构示意图,该装置可以基于第一个实施例构建的任一文件衍生图执行操作。所述构建装置可以包括:
设备节点判断单元1301:用于针对文件衍生图中的每个设备节点,判断该设备节点在预设时间段内新增边的条数是否大于预设阈值。
作为一种示例,新增的边可以是设备节点之间的边,和/或设备节点与文件节点之间的边。其中设备节点之间新增边表示两个设备节点对应的存储设备之间在预设时间段内存在交互,设备节点与文件节点之间新增边表示预设时间段内该设备节点的对应的存储设备存储了该文件节点对应的文件版本。
设备风险识别单元1302:用于若该设备节点在预设时间段内新增边的条数大于预设阈值,则识别该设备节点对应的存储设备存在潜在风险。
当该设备节点在预设时间段内新增边的条数较多时,则可能是在预设时间段内存储了较多的文件,或者接收了较多文件,或者发送了较多文件,或者与多个其他设备进行交互。当新增边的条数大于某一预设的阈值后,可以认为该设备节点对应的设备传输的文件多于正常情况,认为该存储设备存在潜在风险,需要进一步针对该设备进行分析,以确认是否存在真实的风险。
通过本实施例,可以通过文件衍生图提前预防风险的发生,从而减少风险带来的损失。
如图19所示,为本说明书实施例提供的另一种潜在风险识别装置的结构示意图,该装置可以基于第一个实施例构建的包含员工节点的任一文件衍生图执行操作。所述构建装置可以包括:
员工节点判断单元1401:用于针对文件衍生图中的每个员工节点,判断该员工节点在预设时间段内新增边的条数是否大于预设阈值。
由于在文件衍生图中,员工节点只与设备节点通过边相连,该边表示该员工节点对应的员工使用过该设备节点对应的存储设备。因此新增边表示,预设时间内该员工节点对应的员工使用了该设备节点对应的存储设备。
员工风险识别单元1402:用于若该员工节点在预设时间段内新增边的条数大于预设阈值,则识别该员工节点对应的员工存在潜在风险。
若该员工节点在预设时间段内新增边的条数大于预设阈值,则表示该员工节点对应的员工在预设时间段内使用了大量的存储设备,因此判断该员工存在潜在风险,需要进一步针对该员工进行分析,以确认是否存在真实的风险。
通过本实施例,可以通过文件衍生图提前预防风险的发生,从而减少风险带来的损失。
本说明书实施例还提供一种计算机设备,其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行所述程序时实现一种文件衍生图的构建方法,和/或一种文件关联设备定位方法,和/或一种目标设备存储文件查询方法,和/或一种目标员工持有文件查询方法,和/或一种潜在风险识别方法。
其中,一种文件衍生图的构建方法、一种文件关联设备定位方法、一种目标设备存储文件查询方法、一种目标员工持有文件查询方法以及一种潜在风险识别方法可以在同一个计算机设备上实现,也可以在不同的计算机设备上实现。
图20示出了本说明书实施例所提供的一种更为具体的实现一种文件衍生图的构建方法,和/或一种文件关联设备定位方法,和/或一种目标设备存储文件查询方法,和/或一种目标员工持有文件查询方法,和/或一种潜在风险识别方法的计算设备硬件结构示意图,该设备可以包括:处理器2010、存储器2020、输入/输出接口2030、通信接口2040和总线2050。其中处理器2010、存储器2020、输入/输出接口2030和通信接口2040通过总线2050实现彼此之间在设备内部的通信连接。
处理器2010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器2020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器2020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器2020中,并由处理器2010来调用执行。
输入/输出接口2030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口2040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线2050包括一通路,在设备的各个组件(例如处理器2010、存储器2020、输入/输出接口2030和通信接口2040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器2010、存储器2020、输入/输出接口2030、通信接口2040以及总线2050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本说明书实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现一种文件衍生图的构建方法,和/或一种文件关联设备定位方法,和/或一种目标设备存储文件查询方法,和/或一种目标员工持有文件查询方法,和/或一种潜在风险识别方法。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本说明书实施例可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本说明书实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本说明书实施例各个实施例或者实施例的某些部分所述的方法。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,在实施本说明书实施例方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅是本说明书实施例的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本说明书实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本说明书实施例的保护。

Claims (23)

1.一种文件衍生图的构建方法,所述文件衍生图包括文件节点及设备节点,每个文件节点对应一个文件版本,每个设备节点对应一个设备,所述构建方法包括:
针对任一待监测文件,执行以下图初始化操作:
创建对应于该文件当前版本的文件节点F0;确定对应于该当前版本当前存储设备的设备节点D(F0);创建F0和D(F0)之间的边;
监测到预设的文件衍生操作后,针对该衍生操作执行以下图更新操作:
创建对应于衍生后版本的文件节点Fn;根据该衍生后版本的当前存储设备,确定对应的设备节点D(Fn);创建Fn和D(Fn)之间的边;创建Fn-1和Fn之间的边,所述Fn-1为衍生前版本对应的文件节点;
其中,确定设备节点包括:在图中创建新的设备节点、或复用图中已有的设备节点;
针对所构建的文件衍生图,根据泄露的敏感文件衍生版本确定对应的文件节点,并通过图计算的方式确定该敏感文件的所有衍生版本,以及所有存储过该敏感文件任一衍生版本的存储设备;在所确定的设备中确定泄露该敏感文件的泄露设备。
2.根据权利要求1所述的方法,所述图更新操作还包括:
如果D(Fn)和D(Fn-1)为不同的设备节点,则创建D(Fn-1)和D(Fn)之间的边。
3.根据权利要求2所述的方法,所述文件衍生图还包括员工节点,每个员工节点对应一个员工;
所述图初始化操作还包括:
根据对应于D(F0)的存储设备的归属员工,确定对应的员工节点A[D(F0)];
创建D(F0)和A[D(F0)]之间的边;
所述图更新操作还包括:
如果D(Fn)为新创建的节点,则进一步确定对应的员工节点A[D(Fn)];
创建D(Fn)和A[D(Fn)]之间的边;
其中,确定员工节点包括:在图中创建新的员工节点、或复用图中已有的员工节点。
4.根据权利要求1所述的方法,节点之间一条或多条边具有时间属性;其中:
所述F0和D(F0)之间的边的时间属性表征该文件的创建时间;
所述Fn和D(Fn)之间的边、Fn-1和Fn之间的边以及D(Fn-1)和D(Fn)之间的边的时间属性表征得到Fn的衍生操作的发生时间。
5.根据权利要求3所述的方法,员工节点和设备节点之间一条或多条边具有时间属性;其中:
所述D(Fn)和A[D(Fn)]之间的边的时间属性表征A[D(Fn)]对应的员工使用D(Fn)对应的存储设备的时间段。
6.一种基于权利要求1至5任一项所述方法构建的文件衍生图的文件关联设备定位方法,所述方法包括:
获得待检测的文件,将该文件的版本确定为目标版本;
在文件衍生图中,确定目标版本的关联节点集合;所述目标版本的关联节点集合中包括:对应于所述目标版本的文件节点F,以及通过文件节点之间的边与F直接相连或间接相连的文件节点;
针对关联节点集合中的每个节点Fx,将D(Fx)对应的存储设备添加到待检测文件的关联设备集合中。
7.一种基于权利要求1至5任一项所述方法构建的文件衍生图的目标设备存储文件查询方法,所述方法包括:
确定对应于所述目标设备的设备节点为目标设备节点;
针对与所述目标设备节点通过边直接相连的每个文件节点,将对应于该文件节点的文件版本添加到目标设备存储文件集合中。
8.一种基于权利要求3或5所述方法构建的文件衍生图的目标员工持有文件查询方法,所述方法包括:
确定对应于所述目标员工的员工节点为目标员工节点;
确定与所述目标员工节点通过边直接相连的每个设备节点,针对与该设备节点通过边直接相连的每个文件节点,将对应于该文件节点的文件版本添加到目标员工持有文件集合中。
9.一种基于权利要求1至5任一项所述方法构建的文件衍生图的潜在风险识别方法,所述方法包括:
针对所述文件衍生图中的每个设备节点,若该设备节点在预设时间段内新增边的条数大于预设阈值,则识别该设备节点对应的存储设备存在潜在风险。
10.根据权利要求9所述的方法,所述新增边具体为:
设备节点之间的边,和/或设备节点与文件节点之间的边。
11.一种基于权利要求3所述方法构建的文件衍生图的潜在风险识别方法,所述方法包括:
针对所述文件衍生图中的每个员工节点,若该员工节点在预设时间段内新增边的条数大于预设阈值,则识别该员工节点对应的员工存在潜在风险。
12.一种文件衍生图的构建装置,所述文件衍生图包括文件节点及设备节点,每个文件节点对应一个文件版本,每个设备节点对应一个存储设备,所述装置包括:
初始化单元,用于针对任一待监测文件,执行以下图初始化操作:
创建对应于该文件当前版本的文件节点F0;确定对应于该当前版本当前存储设备的设备节点D(F0);创建F0和D(F0)之间的边;
更新单元,用于当监测到预设的文件衍生操作后,针对该衍生操作执行以下图更新操作:
创建对应于衍生后版本的文件节点Fn;根据该衍生后版本的当前存储设备,确定对应的设备节点D(Fn);创建Fn和D(Fn)之间的边;创建Fn-1和Fn之间的边,所述Fn-1为衍生前版本对应的文件节点;
其中,确定设备节点包括:在图中创建新的设备节点、或复用图中已有的设备节点;
确定单元,用于针对所构建的文件衍生图,根据泄露的敏感文件衍生版本确定对应的文件节点,并通过图计算的方式确定该敏感文件的所有衍生版本,以及所有存储过该敏感文件任一衍生版本的存储设备;在所确定的设备中确定泄露该敏感文件的泄露设备。
13.根据权利要求12所述的装置,所述更新单元执行的图更新操作还包括:
如果D(Fn)和D(Fn-1)为不同的设备节点,则创建D(Fn-1)和D(Fn)之间的边。
14.根据权利要求13所述的装置,所述文件衍生图还包括员工节点,每个员工节点对应一个员工;
所述初始化单元执行的图初始化操作还包括:
根据对应于D(F0)的存储设备的归属员工,确定对应的员工节点A[D(F0)];
创建D(F0)和A[D(F0)]之间的边;
所述更新单元执行的图更新操作还包括:
如果D(Fn)为新创建的节点,则进一步确定对应的员工节点A[D(Fn)];
创建D(Fn)和A[D(Fn)]之间的边;
其中,确定员工节点包括:在图中创建新的员工节点、或复用图中已有的员工节点。
15.根据权利要求12所述的装置,节点之间一条或多条边具有时间属性;其中:
所述F0和D(F0)之间的边的时间属性表征该文件的创建时间;
所述Fn和D(Fn)之间的边、Fn-1和Fn之间的边以及D(Fn-1)和D(Fn)之间的边的时间属性表征得到Fn的衍生操作的发生时间。
16.根据权利要求14所述的装置,员工节点和设备节点之间一条或多条边具有时间属性;其中:
所述D(Fn)和A[D(Fn)]之间的边的时间属性表征A[D(Fn)]对应的员工使用D(Fn)对应的存储设备的时间段。
17.一种基于权利要求12至16任一项所述装置构建的文件衍生图的文件关联设备定位装置,所述装置包括:
文件获取单元,用于获得待检测的文件,将该文件的版本确定为目标版本;
文件节点确定单元,用于在文件衍生图中,确定目标版本的关联节点集合;所述目标版本的关联节点集合中包括:对应于所述目标版本的文件节点F,以及通过文件节点之间的边与F直接相连或间接相连的文件节点;
关联设备定位单元,用于针对关联节点集合中的每个节点Fx,将D(Fx)对应的存储设备添加到待检测文件的关联设备集合中。
18.一种基于权利要求12至16任一项所述装置构建的文件衍生图的目标设备存储文件查询装置,所述装置包括:
设备节点确定单元,用于确定对应于所述目标设备的设备节点为目标设备节点;
存储文件查询单元,用于针对与所述目标设备节点通过边直接相连的每个文件节点,将对应于该文件节点的文件版本添加到目标设备存储文件集合中。
19.一种基于权利要求14或16所述装置构建的文件衍生图的目标员工持有文件查询装置,所述装置包括:
员工节点确定单元,用于确定对应于所述目标员工的员工节点为目标员工节点;
持有文件查询单元,用于确定与所述目标员工节点通过边直接相连的每个设备节点,针对与该设备节点通过边直接相连的每个文件节点,将对应于该文件节点的文件版本添加到目标员工持有文件集合中。
20.一种基于权利要求12或13所述装置构建的文件衍生图的潜在风险识别装置,所述装置包括:
设备节点判断单元,用于针对所述文件衍生图中的每个设备节点,判断该设备节点在预设时间段内新增边的条数是否大于预设阈值;
设备风险识别单元,用于若该设备节点在预设时间段内新增边的条数大于预设阈值,则识别该设备节点对应的存储设备存在潜在风险。
21.根据权利要求20所述的装置,所述新增边具体为:
设备节点之间的边,和/或设备节点与文件节点之间的边。
22.一种基于权利要求14所述装置构建的文件衍生图的潜在风险识别装置,所述装置包括:
员工节点判断单元,用于针对所述文件衍生图中的每个员工节点,判断该员工节点在预设时间段内新增边的条数是否大于预设阈值;
员工风险识别单元,用于若该员工节点在预设时间段内新增边的条数大于预设阈值,则识别该员工节点对应的员工存在潜在风险。
23.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现如权利要求1至11任一项所述的方法。
CN201911242913.3A 2019-12-06 2019-12-06 一种文件衍生图的构建方法及装置 Active CN111090835B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911242913.3A CN111090835B (zh) 2019-12-06 2019-12-06 一种文件衍生图的构建方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911242913.3A CN111090835B (zh) 2019-12-06 2019-12-06 一种文件衍生图的构建方法及装置

Publications (2)

Publication Number Publication Date
CN111090835A CN111090835A (zh) 2020-05-01
CN111090835B true CN111090835B (zh) 2022-04-19

Family

ID=70394990

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911242913.3A Active CN111090835B (zh) 2019-12-06 2019-12-06 一种文件衍生图的构建方法及装置

Country Status (1)

Country Link
CN (1) CN111090835B (zh)

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7529726B2 (en) * 2005-08-22 2009-05-05 International Business Machines Corporation XML sub-document versioning method in XML databases using record storages
JP4876734B2 (ja) * 2006-06-22 2012-02-15 富士ゼロックス株式会社 文書利用管理システム及び方法、文書管理サーバ及びそのプログラム
TWI320534B (en) * 2006-06-23 2010-02-11 Qisda Corp State synchronization systems and methods
US8386437B2 (en) * 2009-04-02 2013-02-26 Xerox Corporation Apparatus and method for document collection and filtering
CN101996161B (zh) * 2009-08-28 2016-01-20 北大方正集团有限公司 一种电子文档的历史版本数据处理方法及装置
CA2769773C (en) * 2011-11-04 2018-01-09 Gemcom Software International Inc. System and method for data communication over a network
CN103064635B (zh) * 2012-12-19 2016-08-24 华为技术有限公司 分布式存储方法和分布式存储装置
CN103914486B (zh) * 2013-01-08 2017-02-15 邓寅生 文档的搜索及展现的系统
CN103164515B (zh) * 2013-03-01 2015-03-25 傅如毅 计算机系统涉密文件知识库搜索方法
US9495373B2 (en) * 2013-12-06 2016-11-15 International Business Machines Corporation File versions within content addressable storage
CN103886253B (zh) * 2014-03-26 2018-01-19 香港中文大学深圳研究院 一种检测数据泄漏的方法、设备及系统
US9910936B2 (en) * 2014-08-01 2018-03-06 Riffyn, Inc. Systems and methods for process design and analysis
CN104156278B (zh) * 2014-08-01 2017-06-27 江苏大学 一种文件版本控制系统及其方法
CN104199900B (zh) * 2014-08-26 2017-09-26 中国航天科工集团第二研究院七〇六所 基于文件轨迹追踪树的审计分析方法
CN107180092B (zh) * 2017-05-15 2020-10-23 中国科学院上海微系统与信息技术研究所 一种文件系统的控制方法、装置及终端
CN107526777B (zh) * 2017-07-21 2021-01-01 创新先进技术有限公司 一种基于版本号对文件进行处理的方法及设备
CN107678776A (zh) * 2017-08-09 2018-02-09 上海壹账通金融科技有限公司 多模块版本依赖关系构建方法、装置、服务器和存储介质
CN109800560B (zh) * 2018-12-19 2021-06-11 同盾控股有限公司 一种设备识别方法和装置
CN109784051B (zh) * 2018-12-29 2021-01-15 360企业安全技术(珠海)有限公司 信息安全防护方法、装置及设备
CN109871233B (zh) * 2019-02-13 2022-05-17 南京南瑞继保电气有限公司 一种云编程文件管理方法及装置、设备、存储介质
CN114205206B (zh) * 2019-08-19 2023-12-05 蘑菇物联技术(深圳)有限公司 基于在线配置和动态下发配置文件的方法

Also Published As

Publication number Publication date
CN111090835A (zh) 2020-05-01

Similar Documents

Publication Publication Date Title
US10454942B2 (en) Managed clone applications
GB2568410B (en) Detecting vulnerable applications
US10834091B2 (en) Systems and methods for role-based computer security configurations
US20150161390A1 (en) Fast and accurate identification of message-based api calls in application binaries
US10956383B2 (en) Device backup and wipe
US9910724B2 (en) Fast and accurate identification of message-based API calls in application binaries
CN104036194A (zh) 一种应用程序中泄露隐私数据的漏洞检测方法及装置
CN109815695A (zh) 进程安全的检测方法、装置及设备
US10951790B1 (en) Systems and methods for authenticating an image
WO2015029195A1 (ja) 模擬装置、情報生成装置、模擬方法及び模擬プログラム
US11531716B2 (en) Resource distribution based upon search signals
JP2011233081A (ja) アプリケーション判定システムおよびプログラム
CN109784051A (zh) 信息安全防护方法、装置及设备
US9686310B2 (en) Method and apparatus for repairing a file
CN110990878B (zh) 一种隐私数据衍生图的构建方法
CN111090835B (zh) 一种文件衍生图的构建方法及装置
JP6018344B2 (ja) 動的読み込みコード解析装置、動的読み込みコード解析方法及び動的読み込みコード解析プログラム
JP2004054779A (ja) アクセス権管理システム
CN111104690B (zh) 文档监测方法、装置、服务器及存储介质
CN113076429A (zh) 基于关系图谱的企业信息查询方法及装置
US11611570B2 (en) Attack signature generation
CN112437075A (zh) 数据处理方法、装置、设备和存储介质
CN111638902A (zh) 一种云端的api统一管理方法及装置
CN114154155B (zh) 目标程序生成方法、勒索程序检测方法、装置、设备
KR102609300B1 (ko) 블록체인을 이용한 sbom 관리 시스템 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40029293

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant