CN112019516A - 一种共享文件的访问控制方法、装置、设备及存储介质 - Google Patents
一种共享文件的访问控制方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112019516A CN112019516A CN202010767528.7A CN202010767528A CN112019516A CN 112019516 A CN112019516 A CN 112019516A CN 202010767528 A CN202010767528 A CN 202010767528A CN 112019516 A CN112019516 A CN 112019516A
- Authority
- CN
- China
- Prior art keywords
- access path
- smb protocol
- identifier
- marked
- protocol message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/176—Support for shared access to files; File sharing support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种共享文件的访问控制方法、装置、设备及存储介质,该方法包括:当接收到携带读/写命令的服务器报文块SMB协议报文时,确定所述SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识;其中,所述第一标识是在确定所述TCP流中的访问路径请求命令携带文件访问路径时标记的,所述SMB协议报文用于访问共享文件;所述文件访问路径用于标识所述共享文件;如果确定所述会话结构体中未标记所述第一标识,则丢弃所述SMB协议报文。本申请通过对SMB协议报文所属的TCP流的会话结构体进行标记,从整条TCP流的角度实现对共享文件的访问控制,保证了共享文件的访问安全。
Description
技术领域
本申请涉及网络安全领域,具体涉及一种共享文件的访问控制方法、装置、设备及存储介质。
背景技术
随着科技的进步和网络安全意识水平的提高,网络访问安全越来越受到人们的重视。服务器报文块(server message block;SMB)协议作为内网中常用的文件共享协议,容易被不法分子利用并传播网络病毒。
目前,针对利用SMB协议传播的病毒,采取的防病毒手段是基于传统的杀毒软件或者杀毒设备进行病毒扫描查杀,这种方式依赖于对已知病毒进行逆向分析形成的病毒库,对于利用SMB协议传播的未知病毒无法起到识别和阻断的作用,无法保证网络终端对于共享文件的访问安全性。
发明内容
有鉴于此,本申请提供了一种共享文件的访问控制方法、装置及设备,通过对SMB协议报文所属的TCP流的会话结构体进行标记,从整条TCP流的角度实现对共享文件的访问控制,保证了共享文件的访问安全。
第一方面,为实现上述发明目的,本申请提供了一种共享文件的访问控制方法,该方法包括:
当接收到携带读/写命令的服务器报文块SMB协议报文时,确定所述SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识;其中,所述第一标识是确定所述TCP流中的访问路径请求命令符合预设安全条件时标记的,所述SMB协议报文用于访问共享文件;
如果所述会话结构体中未标记所述第一标识,则丢弃所述SMB协议报文。
一种可选的实施方式中,所述丢弃所述SMB协议报文之前,还包括:
确定所述SMB协议报文对应的发送端的异常次数是否大于预设阈值;
如果所述发送端的异常次数大于所述预设阈值,则执行所述丢弃所述SMB协议报文的步骤,并将所述发送端确定为可疑终端。
一种可选的实施方式中,所述方法还包括:
如果所述发送端的异常次数不大于所述预设阈值,则将所述发送端的异常次数加1;
针对所述SMB协议报文,模拟目的端向所述发送端回复重置命令,以便所述发送端重新发送携带读/写命令的SMB协议报文。
一种可选的实施方式中,所述预设安全条件包括所述访问路径请求命令中包括文件访问路径;
所述当接收到携带读/写命令的SMB协议报文时,确定所述SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识之前,还包括:
在接收到所述TCP流中的访问路径请求命令,且确定所述访问路径请求命令中包括文件访问路径时,在所述TCP流的会话结构体中打上第一标记。
一种可选的实施方式中,所述预设安全条件包括所述访问路径请求命令中包括设备访问路径;
所述当接收到携带读/写命令的SMB协议报文时,确定所述SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识之前,还包括:
在接收到所述TCP流中的访问路径请求命令,且确定所述访问路径请求命令中包括设备访问路径时,在所述TCP流的会话结构体中打上第一标记。
一种可选的实施方式中,所述预设安全条件包括所述访问路径请求命令中包括文件访问路径且所述访问路径请求命令所属的TCP流的会话结构体中标记有第一子标识;
所述当接收到携带读/写命令的SMB协议报文时,确定所述SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识之前,还包括:
在接收到所述TCP流中的访问路径请求命令,且确定所述访问路径请求命令中包括文件访问路径,以及确定所述TCP流的会话结构体中标记有所述第一子标识时,在所述TCP流的会话结构体中打上第一标识;其中,所述第一子标识是在确定所述TCP流中的访问路径请求命令包括设备访问路径时标记的。
一种可选的实施方式中,所述在接收到所述TCP流中的访问路径请求命令,且确定所述访问路径请求命令中包括文件访问路径时,在所述TCP流的会话结构体中打上第一标记之前,还包括:
在预设时间段内,采集来自各个网络设备的携带共享文件访问路径的报文,并将所述网络设备与所述共享文件访问路径的对应关系存储于授权访问路径表中;
相应的,所述文件访问路径包括所述授权访问路径表中与用于发送所述访问路径请求命令的网络设备对应的共享文件访问路径。
第二方面,本申请提供了一种共享文件的访问控制装置,所述装置包括:
第一确定模块,用于在接收到携带读/写命令的服务器报文块SMB协议报文时,确定所述SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识;其中,所述第一标识是确定所述TCP流中的访问路径请求命令符合预设安全条件时标记的,所述SMB协议报文用于访问共享文件;
丢弃模块,用于在所述会话结构体中未标记所述第一标识时,丢弃所述SMB协议报文。
第三方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行如上述任一项所述的方法。
第四方面,本申请还提供了一种设备,包括:存储器,处理器,及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如上述任一项所述的方法。
本申请实施例提供的共享文件的访问控制方法中,网络安全设备在接收到携带读/写命令的服务器报文块SMB协议报文时,确定所述SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识;其中,所述第一标识是确定所述TCP流中的访问路径请求命令符合预设安全条件时标记的,所述SMB协议报文用于访问共享文件;如果所述会话结构体中未标记所述第一标识,则丢弃所述SMB协议报文。本申请通过对SMB协议报文所属的TCP流的会话结构体进行标记,从整条TCP流的角度实现对共享文件的访问控制,保证了共享文件的访问安全。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种共享文件的访问控制方法的流程图;
图2为本申请实施例提供的另一种共享文件的访问控制方法的流程图;
图3为本申请实施例提供的一种共享文件的访问控制装置的结构示意图;
图4为本申请实施例提供的一种共享文件的访问控制设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
服务器报文块(server message block;SMB)协议是内网中常用的文件共享协议,用于实现同一个IP网段的网络设备之间的共享文件访问、读、写等操作。
实际应用中,网络设备之前的共享文件访问之前,首先要实现网络设备之间的针对SMB协议的版本协商、身份验证等交互准备操作。
其中,针对版本协商过程,由共享请求方将本机操作系统支持的所有共享协议版本列表发送至共享提供方,由共享提供方结合自身支持的共享协议版本类型,指定后续双方交互使用的SMB协议版本类型。
针对身份验证过程,由共享请求方向共享提供方发送身份验证信息,由共享提供方针对接收到的身份验证信息对共享请求方的身份进行验证,并将验证结果回复至共享提供方。只有在验证结果为通过验证时,共享请求方与共享提供方才能够基于SMB协议进行后续通信。
其中,共享请求方和共享提供方可以分别是两台计算机,例如为企业内网中的员工电脑等。共享提供方也可以为企业共享盘等,由作为共享请求方的企业员工电脑向企业共享盘发起共享文件的访问请求。
为了保证SMB协议报文的访问安全性,将共享请求方连接至网络安全设备,由网络安全设备对来自共享请求方的SMB协议报文进行监控,通过对SMB协议报文所属的TCP流的会话结构体进行标记,从整条TCP流的角度实现对共享文件的访问控制,保证了共享文件的访问安全。
具体的,本申请提供了一种共享文件的访问控制方法,当网络安全设备接收到携带读/写命令的服务器报文块SMB协议报文时,首先确定所述SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识;其中,所述第一标识是在确定所述TCP流中的访问路径请求命令携带文件访问路径时标记的,所述SMB协议报文用于访问共享文件,文件访问路径用于标识所述共享文件。如果确定所述会话结构体中未标记所述第一标识,则丢弃所述SMB协议报文,从而保证了共享文件的访问安全。
基于此,本申请实施例提供了一种共享文件的访问控制方法,参考图1,为本申请实施例提供的一种共享文件的访问控制方法的流程图,该方法包括:
S101:当接收到携带读/写命令的服务器报文块SMB协议报文时,确定所述SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识。
其中,所述第一标识是在确定所述TCP流中的访问路径请求命令携带文件访问路径时标记的,所述SMB协议报文用于访问共享文件,所述文件访问路径用于标识所述共享文件。
本申请实施例提供的共享文件的访问控制方法应用于网络安全设备中,例如网络安全设备可以包括防火墙设备等。通过在网络安全设备中预先设置目标IP网段,对来自目标IP网段的网络设备的流量进行监控,以确定网络设备是否存在网络访问安全威胁。
本申请实施例中的读/写命令,是指对共享文件的读/写命令,其中,共享文件的读命令用于从共享文件读取数据,而共享文件的写命令用于向共享文件写入数据。
一条TCP流是指基于建立的同一个TCP链接传输的数据,在该TCP链接断开时,该TCP流结束。其中,属于同一条TCP流的报文具有同一个会话结构体。
实际应用中,在利用SMB协议报文对共享文件进行访问的正常流量中,共享请求方首先向共享提供方发送携带设备访问路径的访问路径请求命令,用于请求对共享提供方的设备的访问权限。其次,共享请求方还需要向共享提供方发送携带文件访问路径的访问路径请求命令,用于请求对共享提供方的具体文件的访问权限。在共享提供方为共享请求方提供文件访问路径对应的文件的访问权限后,共享请求方才能够对该文件进行读/写操作。
基于上述正常流量的特点,目前存在一种利用SMB协议报文对共享文件进行访问的第一异常流量。具体的,在第一异常流量中,作为入侵者的共享请求方,由于并不能获知具体文件的文件访问路径,因此,仅能够通过携带设备访问路径的访问路径请求命令入侵共享提供方的设备。通常入侵者利用默认的IPC$/ADMIN$访问路径请求命令实现对共享提供方的设备的入侵。
由于第一异常流量中不会通过携带文件访问路径的访问路径请求命令入侵,因此,网络安全设备监测到的携带文件访问路径的访问路径请求命令为正常流量。基于这一特征,本申请实施例中网络安全设备可以在携带文件访问路径的访问路径请求命令所属的TCP流的会话结构体打上第一标记,以表示该TCP流为正常流量。具体的,在接收到TCP流中的访问路径请求命令,且确定所述访问路径请求命令中包括文件访问路径时,在所述TCP流的会话结构体中打上第一标记。
网络安全设备通过检测该TCP流的会话结构体中是否标记有第一标识,确定是否对携带读/写命令的SMB协议报文放通。具体的,网络安全设备在确定该TCP流的会话结构体中标记有第一标识后,放通该TCP流中携带读/写命令的SMB协议报文,能够保证共享文件的访问安全。
另外,本申请实施例中,网络安全设备也可以在确定TCP流中的访问路径请求命令包括设备访问路径时,在该TCP流的会话结构体中打上第一子标识,设备访问路径用于唯一标识设备,然后在确定访问路径请求命令中包括文件访问路径,且确定其TCP流的会话结构体中标记有第一子标识后,在该TCP流的会话结构体中打上第一标识,表明该TCP流为正常流量。网络安全设备通过检测该TCP流的会话结构体中是否标记有第一标识,确定是否对携带读/写命令的SMB协议报文放通。
另外,本申请实施例中的文件访问路径可以预先存储于网络安全设备的授权访问路径表中,具体的,授权访问路径表中包括网络终端与合法访问路径的对应关系,也就是说,网络终端具有访问与其对应的合法访问路径的权限。因此,网络安全设备在确定访问路径请求命令中是否包括文件访问路径时,可以通过查询授权访问路径表,确定该访问路径请求命令中是否携带该访问路径请求命令的发送端对应的合法访问路径,如果是,则说明该访问路径请求命令属于正常流量,否则说明该访问路径请求命令属于异常流量。
一种可选的实施方式中,可以在预设时间段内,采集来自各个网络设备的携带共享文件访问路径的报文,并将所述文件访问路径作为对应的网络设备的合法访问路径存储于授权访问路径表中。相应的,在接收到携带访问路径请求命令的SMB协议报文时,确定所述访问路径请求命令中是否包括文件访问路径,具体为,在接收到携带访问路径请求命令的SMB协议报文时,在所述授权访问路径表中查询所述SMB协议报文的发送端对应的所述合法访问路径;确定所述访问路径请求命令中是否包括至少一个所述合法访问路径。
本申请实施例中,默认预设时间段内网络设备发送的SMB协议报文属于正常流量,因此,网络安全设备采集到这个时间段内来自各个网络设备的携带共享文件访问路径的报文之后,将共享文件访问路径作为合法访问路径,与对应的建立对应关系,并存储于授权访问路径表中,以将授权访问路径表中的合法问路径作为对应的网络设备的文件访问路径,用于与网络安全设备接收到的SMB协议报文的访问路径请求命令中包括文件访问路径进行匹配。
另外,针对授权访问路径表,本申请实施例可以对其进行手动修改,以满足用户的需求。
基于上述特征,为了保证共享文件的访问安全,本申请实施例中的网络安全设备在接收到携带读/写命令的SMB协议报文时,首先确定该SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识,以确定该TCP流是否为正常流量。
S102:如果确定所述会话结构体中未标记所述第一标识,则丢弃所述SMB协议报文。
本公开实施例中,网络安全设备在确定会话结构体中未标记第一标识时,说明该会话结构体对应的TCP流不是正常流量,此时需要丢弃SMB协议报文,从而保证共享文件的访问安全。
一种可选的实施方式中,网络安全设备在确定会话结构体中标记有第一标识时,说明该会话结构体对应的TCP流是正常流量,网络安全设备对SMB协议报文放通,允许执行SMB协议报文中携带的读/写命令。
另一种可选的实施方式中,为了避免网络安全设备监测出现失误,本申请实施例中网络安全设备在确定会话结构体中未标记第一标识时,首先确定SMB协议报文对应的发送端的异常次数是否大于预设阈值。如果大于,则继续执行丢弃该SMB协议报文的步骤,并将该发送端确定为可疑终端。
例如,网络安全设备在确定会话结构体中未标记第一标识时,首先确定对应的共享请求方设备的异常次数是否大于2,如果是,则将该共享请求方设备确定为可疑终端,后续需要进一步的对该可疑设备的网络安全问题进行检测。另外,针对该携带读/写命令的SMB协议报文,可以直接丢弃,以避免对共享提供方设备造成安全威胁。
另一种可选的实施方式中,如果发送端的异常次数不大于所述预设阈值,说明需要进一步的该发送端是否为可疑终端,此时,需要将发送端的异常次数加1,同时,针对该SMB协议报文,网络安全设备模拟目的端向发送端回复重置命令如tcp rst命令,以便发送端接收到该重置命令后重新发送携带读/写命令的SMB协议报文,网络安全设备基于发送端重新发送的SMB协议报文,进一步的对该发送端是否为可疑终端进行确定。
一种可选的实施方式中,在共享请求方和共享提供方进行版本协商的过程中,本公开实施例接收携带版本标识的SMB协议版本协商报文,然后确定该版本标识是否与报文发送端(也称为共享请求方)的操作系统支持的最高SMB协议版本相同。如果不相同,则说明报文发送端为可疑设备,可能为利用SMB协议传播病毒的设备,因此,本申请实施例在确定该版本标识与报文发送端的操作系统支持的最高SMB协议版本不相同,同时会话结构体中未标记第一标识,则丢弃SMB协议报文,进一步确保了丢弃SMB协议报文的准确性。
本申请实施例提供的共享文件的访问控制方法中,网络安全设备在接收到携带读/写命令的服务器报文块SMB协议报文时,确定所述SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识;其中,所述第一标识是确定所述TCP流中的访问路径请求命令符合预设安全条件时标记的,所述SMB协议报文用于访问共享文件;如果所述会话结构体中未标记所述第一标识,则丢弃所述SMB协议报文。本申请通过对SMB协议报文所属的TCP流的会话结构体进行标记,从整条TCP流的角度实现对共享文件的访问控制,保证了共享文件的访问安全。
为了进一步的对本申请提供的共享文件的访问控制方法进行理解,本申请实施例提供了一种应用场景实施例,参考图2,为本申请实施例提供的一种共享文件的访问控制方法的流程图。
其中,共享请求方为企业内网员工设备A,共享提供方为企业内网员工设备B,设备A和设备B均连接企业内网的网络安全设备C,具体的,在设备A和设备B完成针对SMB协议的版本协商、身份验证等交互准备操作后,设备A请求访问设备B的文件。对于共享文件的访问控制方法,包括:
S201:如果网络安全设备C接收到来自设备A的SMB协议报文,且确定该SMB协议报文携带访问路径请求命令,则确定该访问路径请求命令中是否包括设备访问路径,如果是,则执行S202,否则执行S203。
S202:在该SMB协议报文所属的TCP流的会话结构体中打上第一子标识。
本公开实施例中,在确定该访问路径请求命令中包括设备访问路径时,对该SMB协议报文放通。
S203:确定该SMB协议报文所属的TCP流的会话结构体中是否标记有第一子标识,如果是,则执行S204。
一种可选的实施例中,如果确定该SMB协议报文所属的TCP流的会话结构体中未标记有第一子标识,则可以将该SMB协议报文丢弃。
S204:确定该SMB协议报文中是否包括授权访问路径表中与设备A对应的共享文件访问路径,如果是,则执行S205,否则丢弃该SMB协议报文。
S205:在该SMB协议报文所属的TCP流的会话结构体中打上第一标识。
S210:如果网络安全设备C接收到来自设备A的携带读/写命令的SMB协议报文,则确定该SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识,如果是,则放通该SMB协议报文,否则执行S211。
一种可选的实施方式中,为了避免流量转发驱动模块针对已标记有第一子标识的会话结构体对应的TCP流的后续报文进行异常处理,本申请实施例在接收到该TCP流中的携带读/写命令的SMB协议报文,并且确定该TCP流的会话结构体中已标记有第一标识后,去除该会话结构体中的第一子标识。这样,流量转发驱动模块在接收到该TCP流后续的SMB协议报文时可以进行正常流量转发即可。
另一种可选的实施方式中,流量转发驱动模块在接收到携带设备访问路径的SMB访问路径请求命令(如IPC$/ADMIN$访问路径请求命令)时,在该命令对应的TCP流的会话结构体中打上第一子标识,以便流量转发驱动模块能够基于第一子标识对该TCP流的后续SMB协议报文进行识别和处理。
S211:确定设备A的异常次数是否大于预设阈值,如果是,则将设备A确定为可疑终端,否则执行S212。
S212:针对该SMB协议报文,模拟设备B向设备A回复重置命令,以便设备A重新发送携带读/写命令的SMB协议报文。
本申请实施例提供的共享文件的访问控制方法,通过检测TCP流的会话结构体中是否标记有第一标识,确定是否对携带读/写命令的SMB协议报文放通,从整条TCP流的角度实现对共享文件的访问控制,从而保证了企业内网中网络设备的访问安全,减少企业内网中存在的利用SMB协议传播的病毒。
与上述方法相对应的,本申请还提供了一种共享文件的访问控制装置,参考图3,为本申请实施例提供的一种共享文件的访问控制装置的结构示意图,所述装置包括:
第一确定模块301,用于在接收到携带读/写命令的服务器报文块SMB协议报文时,确定所述SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识;其中,所述第一标识是在确定所述TCP流中的访问路径请求命令携带文件访问路径时标记的,所述SMB协议报文用于访问共享文件;所述文件访问路径用于标识所述共享文件;
丢弃模块302,用于在确定所述会话结构体中未标记所述第一标识时,丢弃所述SMB协议报文。
一种可选的实施方式中,所述装置还包括:
第二确定模块,用于确定所述SMB协议报文对应的发送端的异常次数是否大于预设阈值;
第三确定模块,用于在确定所述发送端的异常次数大于所述预设阈值时,触发所述丢弃模块,并将所述发送端确定为可疑终端。
一种可选的实施方式中,所述装置还包括:
增加模块,用于在所述发送端的异常次数不大于所述预设阈值时,将所述发送端的异常次数加1;
模拟模块,用于针对所述SMB协议报文,模拟目的端向所述发送端回复重置命令,以便所述发送端重新发送携带所述读/写命令的SMB协议报文。
一种可选的实施方式中,所述装置还包括:
第四确定模块,用于在接收到携带访问路径请求命令的SMB协议报文时,确定所述访问路径请求命令中是否包括文件访问路径;
打标识模块,用于在确定所述访问路径请求命令中包括所述文件访问路径时,在所述SMB协议报文所属的TCP流的会话结构体中打上第一标识。
一种可选的实施方式中,所述装置还包括:
第五确定模块,用于确定所述访问路径请求命令对应的会话结构体上是否标记有第一子标识;所述第一子标识是在确定所述访问路径请求命令携带设备访问路径时标记的,所述设备访问路径用于唯一标识设备;
相应的,所述打标识模块,具体用于:
如果确定所述访问路径请求命令中包括所述文件访问路径,且所述会话结构体上标记有所述第一子标识,则在所述SMB协议报文所属的TCP流的会话结构体中打上第一标识。
一种可选的实施方式中,所述装置还包括:
采集模块,用于在预设时间段内,采集来自各个网络设备的携带共享文件访问路径的报文,并将所述文件访问路径作为对应的网络设备的合法访问路径存储于授权访问路径表中;
相应的,所述第四确定模块,包括:
查询子模块,用于在接收到携带访问路径请求命令的SMB协议报文时,在所述授权访问路径表中查询所述SMB协议报文的发送端对应的所述合法访问路径;
确定子模块,用于确定所述访问路径请求命令中是否包括至少一个所述合法访问路径。
一种可选的实施方式中,所述装置还包括:
第一接收模块,用于接收快速流转驱动模块转发的SMB协议报文;其中,所述SMB协议报文是在所述快速流转驱动模块识别到所述SMB协议报文所属的TCP流的会话结构体中标识有第一子标识时转发的,所述第一子标识是在所述快速流转驱动模块确定所述访问路径请求命令携带设备访问路径时标记的;
相应的,所述打标识模块,具体用于:
如果确定所述访问路径请求命令中包括所述文件访问路径,且所述会话结构体上标记有所述第一子标识,则在所述SMB协议报文所属的TCP流的会话结构体中打上第一标识。
一种可选的实施方式中,所述装置还包括:
去除模块,用于将所述会话结构体中标记的所述第一子标识去除。
一种可选的实施方式中,所述装置还包括:
第二接收模块,用于接收携带版本标识的SMB协议版本协商报文;
第六确定模块,用于确定所述版本标识与所述SMB协议版本协商报文对应的发送端的操作系统支持的最高SMB协议版本是否相同;
相应的,所述丢弃模块,具体用于:
如果确定所述版本标识与所述操作系统支持的最高SMB协议版本不相同,且所述会话结构体中未标记所述第一标识,则丢弃所述SMB协议报文。
本申请实施例提供的共享文件的访问控制装置中,在接收到携带读/写命令的服务器报文块SMB协议报文时,确定所述SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识;其中,所述第一标识是确定所述TCP流中的访问路径请求命令符合预设安全条件时标记的,所述SMB协议报文用于访问共享文件;如果所述会话结构体中未标记所述第一标识,则丢弃所述SMB协议报文。本申请实施例通过对SMB协议报文所属的TCP流的会话结构体进行标记,从整条TCP流的角度实现对共享文件的访问控制,保证了共享文件的访问安全。
另外,本申请实施例还提供了一种共享文件的访问控制设备,参见图4所示,可以包括:
处理器401、存储器402、输入装置403和输出装置404。共享文件的访问控制设备中的处理器401的数量可以一个或多个,图4中以一个处理器为例。在本发明的一些实施例中,处理器401、存储器402、输入装置403和输出装置404可通过总线或其它方式连接,其中,图4中以通过总线连接为例。
存储器402可用于存储软件程序以及模块,处理器401通过运行存储在存储器402的软件程序以及模块,从而执行共享文件的访问控制设备的各种功能应用以及数据处理。存储器402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。输入装置403可用于接收输入的数字或字符信息,以及产生与共享文件的访问控制设备的用户设置以及功能控制有关的信号输入。
具体在本实施例中,处理器401会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中,并由处理器401来运行存储在存储器402中的应用程序,从而实现上述共享文件的访问控制方法中的各种功能。
另外,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行上述的共享文件的访问控制方法。
可以理解的是,对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请实施例所提供的一种共享文件的访问控制方法、装置、设备及存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (12)
1.一种共享文件的访问控制方法,其特征在于,所述方法包括:
当接收到携带读/写命令的服务器报文块SMB协议报文时,确定所述SMB协议报文所属的传输控制协议TCP流的会话结构体中是否标记有第一标识;其中,所述第一标识是在确定所述TCP流中的访问路径请求命令携带文件访问路径时标记的,所述SMB协议报文用于访问共享文件;所述文件访问路径用于标识所述共享文件;
如果确定所述会话结构体中未标记所述第一标识,则丢弃所述SMB协议报文。
2.根据权利要求1所述的方法,其特征在于,所述丢弃所述SMB协议报文之前,还包括:
确定所述SMB协议报文对应的发送端的异常次数是否大于预设阈值;
如果所述发送端的异常次数大于所述预设阈值,则执行所述丢弃所述SMB协议报文的步骤,并将所述发送端确定为可疑终端。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
如果所述发送端的异常次数不大于所述预设阈值,则将所述发送端的异常次数加1;
针对所述SMB协议报文,模拟目的端向所述发送端回复重置命令,以便所述发送端重新发送携带所述读/写命令的SMB协议报文。
4.根据权利要求1所述的方法,其特征在于,所述当接收到携带读/写命令的SMB协议报文时,确定所述SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识之前,还包括:
在接收到携带访问路径请求命令的SMB协议报文时,确定所述访问路径请求命令中是否包括文件访问路径;
如果确定所述访问路径请求命令中包括所述文件访问路径,则在所述SMB协议报文所属的TCP流的会话结构体中打上第一标识。
5.根据权利要求4所述的方法,其特征在于,所述在所述SMB协议报文所属的TCP流的会话结构体中打上第一标识之前,还包括:
确定所述访问路径请求命令对应的会话结构体上是否标记有第一子标识;所述第一子标识是在确定所述访问路径请求命令携带设备访问路径时标记的,所述设备访问路径用于唯一标识设备;
相应的,所述如果确定所述访问路径请求命令中包括所述文件访问路径,则在所述SMB协议报文所属的TCP流的会话结构体中打上第一标识,包括:
如果确定所述访问路径请求命令中包括所述文件访问路径,且所述会话结构体上标记有所述第一子标识,则在所述SMB协议报文所属的TCP流的会话结构体中打上第一标识。
6.根据权利要求4或5所述的方法,其特征在于,所述确定所述访问路径请求命令中是否包括文件访问路径之前,还包括:
在预设时间段内,采集来自各个网络设备的携带文件访问路径的报文,并将所述文件访问路径作为对应的网络设备的合法访问路径存储于授权访问路径表中;
相应的,所述在接收到携带访问路径请求命令的SMB协议报文时,确定所述访问路径请求命令中是否包括文件访问路径,包括:
在接收到携带访问路径请求命令的SMB协议报文时,在所述授权访问路径表中查询所述SMB协议报文的发送端对应的所述合法访问路径;
确定所述访问路径请求命令中是否包括至少一个所述合法访问路径。
7.根据权利要求4所述的方法,其特征在于,所述在所述SMB协议报文所属的TCP流的会话结构体中打上第一标识之前,还包括:
接收快速流转驱动模块转发的SMB协议报文;其中,所述SMB协议报文是在所述快速流转驱动模块识别到所述SMB协议报文所属的TCP流的会话结构体中标识有第一子标识时转发的,所述第一子标识是在所述快速流转驱动模块确定所述访问路径请求命令携带设备访问路径时标记的;
相应的,所述如果确定所述访问路径请求命令中包括所述文件访问路径,则在所述SMB协议报文所属的TCP流的会话结构体中打上第一标识,包括:
如果确定所述访问路径请求命令中包括所述文件访问路径,且所述会话结构体上标记有所述第一子标识,则在所述SMB协议报文所属的TCP流的会话结构体中打上第一标识。
8.根据权利要求5或7所述的方法,其特征在于,所述在所述SMB协议报文所属的TCP流的会话结构体中打上第一标识之后,还包括:
将所述会话结构体中标记的所述第一子标识去除。
9.根据权利要求1所述的方法,其特征在于,所述当接收到携带读/写命令的服务器报文块SMB协议报文时,确定所述SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识之前,还包括:
接收携带版本标识的SMB协议版本协商报文;
确定所述版本标识与所述SMB协议版本协商报文对应的发送端的操作系统支持的最高SMB协议版本是否相同;
相应的,所述如果确定所述会话结构体中未标记所述第一标识,则丢弃所述SMB协议报文,包括:
如果确定所述版本标识与所述操作系统支持的最高SMB协议版本不相同,且所述会话结构体中未标记所述第一标识,则丢弃所述SMB协议报文。
10.一种共享文件的访问控制装置,其特征在于,所述装置包括:
第一确定模块,用于在接收到携带读/写命令的服务器报文块SMB协议报文时,确定所述SMB协议报文所属的TCP流的会话结构体中是否标记有第一标识;其中,所述第一标识是在确定所述TCP流中的访问路径请求命令携带文件访问路径时标记的,所述SMB协议报文用于访问共享文件;所述文件访问路径用于标识所述共享文件;
丢弃模块,用于在确定所述会话结构体中未标记所述第一标识时,丢弃所述SMB协议报文。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行如权利要求1-9任一项所述的方法。
12.一种设备,其特征在于,包括:存储器,处理器,及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-9任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010767528.7A CN112019516B (zh) | 2020-08-03 | 2020-08-03 | 一种共享文件的访问控制方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010767528.7A CN112019516B (zh) | 2020-08-03 | 2020-08-03 | 一种共享文件的访问控制方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112019516A true CN112019516A (zh) | 2020-12-01 |
| CN112019516B CN112019516B (zh) | 2023-03-24 |
Family
ID=73499117
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010767528.7A Active CN112019516B (zh) | 2020-08-03 | 2020-08-03 | 一种共享文件的访问控制方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112019516B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113259202A (zh) * | 2021-06-28 | 2021-08-13 | 四川新网银行股份有限公司 | 一种监控不安全文件共享的方法与系统 |
| CN113765877A (zh) * | 2021-02-08 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 会话识别方法、装置、电子设备和计算机可读介质 |
| CN114285646A (zh) * | 2021-12-23 | 2022-04-05 | 北京明朝万达科技股份有限公司 | 一种对基于smb协议的数据防泄漏的方法及装置 |
| CN114553931A (zh) * | 2022-02-23 | 2022-05-27 | 广州小鹏汽车科技有限公司 | 车辆共享存储空间的处理方法、设备、车辆及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080028088A1 (en) * | 2006-07-28 | 2008-01-31 | Microsoft Corporation | Mapping universal plug and play discovered items to an SMB location |
| CN101252585A (zh) * | 2007-05-08 | 2008-08-27 | 飞塔信息科技(北京)有限公司 | 对使用远程文件系统访问协议的数据进行内容过滤的方法与系统 |
| CN101841537A (zh) * | 2010-04-13 | 2010-09-22 | 北京时代亿信科技有限公司 | 一种基于协议代理实现对文件共享访问控制方法及系统 |
| CN104683477A (zh) * | 2015-03-18 | 2015-06-03 | 哈尔滨工程大学 | 一种基于smb协议的共享文件操作过滤方法 |
| CN108418802A (zh) * | 2018-02-02 | 2018-08-17 | 大势至(北京)软件工程有限公司 | 一种共享文件的访问控制方法及系统 |
| CN109376133A (zh) * | 2018-09-26 | 2019-02-22 | 中国平安人寿保险股份有限公司 | 文件访问方法及文件访问系统 |
| CN111066306A (zh) * | 2018-03-27 | 2020-04-24 | 华为技术有限公司 | 在局域网内共享数据的方法及电子设备 |
-
2020
- 2020-08-03 CN CN202010767528.7A patent/CN112019516B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080028088A1 (en) * | 2006-07-28 | 2008-01-31 | Microsoft Corporation | Mapping universal plug and play discovered items to an SMB location |
| CN101252585A (zh) * | 2007-05-08 | 2008-08-27 | 飞塔信息科技(北京)有限公司 | 对使用远程文件系统访问协议的数据进行内容过滤的方法与系统 |
| CN101841537A (zh) * | 2010-04-13 | 2010-09-22 | 北京时代亿信科技有限公司 | 一种基于协议代理实现对文件共享访问控制方法及系统 |
| CN104683477A (zh) * | 2015-03-18 | 2015-06-03 | 哈尔滨工程大学 | 一种基于smb协议的共享文件操作过滤方法 |
| CN108418802A (zh) * | 2018-02-02 | 2018-08-17 | 大势至(北京)软件工程有限公司 | 一种共享文件的访问控制方法及系统 |
| CN111066306A (zh) * | 2018-03-27 | 2020-04-24 | 华为技术有限公司 | 在局域网内共享数据的方法及电子设备 |
| CN109376133A (zh) * | 2018-09-26 | 2019-02-22 | 中国平安人寿保险股份有限公司 | 文件访问方法及文件访问系统 |
Non-Patent Citations (2)
| Title |
|---|
| 王杨等: "基于Samba服务器的管理体系研究与应用", 《计算机应用研究》 * |
| 程丽君等: "一种基于文件访问的安全网关", 《微计算机信息》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113765877A (zh) * | 2021-02-08 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 会话识别方法、装置、电子设备和计算机可读介质 |
| CN113259202A (zh) * | 2021-06-28 | 2021-08-13 | 四川新网银行股份有限公司 | 一种监控不安全文件共享的方法与系统 |
| CN114285646A (zh) * | 2021-12-23 | 2022-04-05 | 北京明朝万达科技股份有限公司 | 一种对基于smb协议的数据防泄漏的方法及装置 |
| CN114285646B (zh) * | 2021-12-23 | 2023-10-20 | 北京明朝万达科技股份有限公司 | 一种对基于smb协议的数据防泄漏的方法及装置 |
| CN114553931A (zh) * | 2022-02-23 | 2022-05-27 | 广州小鹏汽车科技有限公司 | 车辆共享存储空间的处理方法、设备、车辆及系统 |
| CN114553931B (zh) * | 2022-02-23 | 2024-03-08 | 广州小鹏汽车科技有限公司 | 车辆共享存储空间的处理方法、设备、车辆及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112019516B (zh) | 2023-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112019516B (zh) | 一种共享文件的访问控制方法、装置、设备及存储介质 | |
| US11924170B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| US9774601B2 (en) | Security of computer resources | |
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| CN107465648B (zh) | 异常设备的识别方法及装置 | |
| US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
| US8661544B2 (en) | Detecting botnets | |
| CN111651757A (zh) | 攻击行为的监测方法、装置、设备及存储介质 | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| US20160269362A1 (en) | Network security system to intercept inline domain name system requests | |
| JP2014086822A (ja) | 不正アクセス検出方法、ネットワーク監視装置及びプログラム | |
| US11636208B2 (en) | Generating models for performing inline malware detection | |
| US20230354039A1 (en) | Network cyber-security platform | |
| US20210021611A1 (en) | Inline malware detection | |
| CN112165445A (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
| CN112491836B (zh) | 通信系统、方法、装置及电子设备 | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| US11683337B2 (en) | Harvesting fully qualified domain names from malicious data packets | |
| KR20150026187A (ko) | 드로퍼 판별을 위한 시스템 및 방법 | |
| CN108965277B (zh) | 一种基于dns的感染主机分布监测方法与系统 | |
| JP2016157311A (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
| US11863586B1 (en) | Inline package name based supply chain attack detection and prevention |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |