CN113536246B - 一种文件流动的溯源画像方法及相关装置 - Google Patents
一种文件流动的溯源画像方法及相关装置 Download PDFInfo
- Publication number
- CN113536246B CN113536246B CN202110789688.6A CN202110789688A CN113536246B CN 113536246 B CN113536246 B CN 113536246B CN 202110789688 A CN202110789688 A CN 202110789688A CN 113536246 B CN113536246 B CN 113536246B
- Authority
- CN
- China
- Prior art keywords
- file
- confidential
- document
- flow
- tracing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000012544 monitoring process Methods 0.000 claims abstract description 14
- 230000005540 biological transmission Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 230000006854 communication Effects 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 6
- 230000008569 process Effects 0.000 description 12
- 239000000284 extract Substances 0.000 description 5
- 210000003128 head Anatomy 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 210000003027 ear inner Anatomy 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/16—Program or content traceability, e.g. by watermarking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
- G06F16/148—File search processing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Library & Information Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种文件流动的溯源画像方法,包括:监控网卡的所有网络流量,并解析出携带附件的网络流量;判断所述附件是否为机密文件;若所述附件为机密文件,则从携带所述机密文件的所述网络流量中提取出初始IP、目的IP以及文件信息;根据所述初始IP与所述目的IP描绘文件流动画像,并在所述文件流动画像中附带上所述文件信息。该方法能够对机密文件的流动进行追踪,尽可能的防止机密文件泄露。本申请还公开了一种文件流动的溯源画像装置、设备及计算机可读存储介质,均具有上述技术效果。
Description
技术领域
本申请涉及文件管理技术领域,特别涉及一种文件流动的溯源画像方法;还涉及一种文件流动的溯源画像装置、设备以及计算机可读存储介质。
背景技术
企业在实际生产运作过程中,总会有一些文件属于机密文件,例如,合同,投标书等。这些机密文件的阅读对象不是全体人员,而只针对某些涉密人员。如果涉密人员不规范操作,会导致机密文件随意复制、随意转存。机密文件转存到其他计算机如果无法跟踪,会进一步导致机密文件被更多的人有意或无意的复制与转存,由此造成机密文件到处传播,人人都有可能阅读到机密文件,对企业造成不良影响,甚至影响到企业利益。
因此,如何对机密文件的流动进行追踪,防止机密文件泄露已成为本领域技术人员亟待解决的技术问题。
发明内容
本申请的目的是提供一种文件流动的溯源画像方法,能够对机密文件的流动进行追踪,尽可能的防止机密文件泄露。本申请的另一个目的是提供一种文件流动的溯源画像装置、设备以及计算机可读存储介质,均具有上述技术效果。
为解决上述技术问题,本申请提供了一种文件流动的溯源画像方法,包括:
监控网卡的所有网络流量,并解析出携带附件的网络流量;
判断所述附件是否为机密文件;
若所述附件为机密文件,则从携带所述机密文件的所述网络流量中提取出初始IP、目的IP以及文件信息;
根据所述初始IP与所述目的IP描绘文件流动画像,并在所述文件流动画像中附带上所述文件信息。
可选的,所述判断所述附件是否为机密文件包括:
判断所述附件是否有机密文件的专属标记;
若所述附件有机密文件的专属标记,则所述附件是机密文件;
若所述附件没有机密文件的专属标记,则所述附件不是机密文件。
可选的,所述根据所述初始IP与所述目的IP描绘文件流动画像,并在文件流动画像中附带上所述文件信息包括:
将所述初始IP、所述目的IP以及所述文件信息上传到中心服务器,以使所述中心服务器根据所述初始IP与所述目的IP描绘文件流动画像,并在文件流动画像中附带上所述文件信息。
可选的,还包括:
接收中心服务器下发的接口禁用策略后,禁用连接外部设备的传输接口。
可选的,还包括:
接收中心服务器下发的即时通讯进程与机密文件的对应关系后,禁止所述即时通讯进程读写对应的所述机密文件。
可选的,还包括:
对所述机密文件进行标记。
可选的,所述对所述机密文件进行标记包括:
在所述机密文件的文件头写入专属标记。
为解决上述技术问题,本申请还提供了一种文件流动的溯源画像装置,包括:
监控模块,用于监控网卡的所有网络流量,并解析出携带附件的网络流量;
判断模块,用于判断所述附件是否为机密文件;
提取模块,用于若所述附件为机密文件,则从携带所述机密文件的所述网络流量中提取出初始IP、目的IP以及文件信息;
描绘模块,用于根据所述初始IP与所述目的IP描绘文件流动画像,并在所述文件流动画像中附带上所述文件信息。
为解决上述技术问题,本申请还提供了一种文件流动的溯源画像设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一项所述的文件流动的溯源画像方法的步骤。
为解决上述技术问题,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上任一项所述的文件流动的溯源画像方法的步骤。
本申请所提供的文件流动的溯源画像方法,包括:监控网卡的所有网络流量,并解析出携带附件的网络流量;判断所述附件是否为机密文件;若所述附件为机密文件,则从携带所述机密文件的所述网络流量中提取出初始IP、目的IP以及文件信息;根据所述初始IP与所述目的IP描绘文件流动画像,并在所述文件流动画像中附带上所述文件信息。
可见,本申请所提供的文件流动的溯源画像方法,对计算机网络流量进行监控,对于携带机密文件的网络流量,进一步从网络流量提取初始IP、目的IP以及文件信息,并根据所述初始IP与所述目的IP描绘文件流动画像,由此用户通过查看文件流动画像,可以追溯到机密文件的源头,找到相应的责任人,实现对加密文件流动的追踪,防止机密文件进一步泄露。
本申请所提供的文件流动的溯源画像装置、设备以及计算机可读存储介质均具有上述技术效果。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种文件流动的溯源画像方法的流程示意图;
图2为本申请实施例所提供的一种文件流动画像的示意图;
图3为本申请实施例所提供的一种文件流动的溯源画像装置的示意图;
图4为本申请实施例所提供的一种文件流动的溯源画像设备的示意图。
具体实施方式
本申请的核心是提供一种文件流动的溯源画像方法,能够对机密文件的流动进行追踪,尽可能的防止机密文件泄露。本申请的另一个核心是提供一种文件流动的溯源画像装置、设备以及计算机可读存储介质,均具有上述技术效果。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1为本申请实施例所提供的一种文件流动的溯源画像方法的流程示意图,参考图1所示,该方法包括:
S101:监控网卡的所有网络流量,并解析出携带附件的网络流量;
具体的,针对计算机网络间的文件传输,例如,SVN,FTP,SCP,win共享,http/https的POST上传等,客户端会监控计算机内网卡的所有网络流量,进行流量抓包分析,解析出携带附件的网络流量。
对于进行流量抓包分析,解析出携带附件的网络流量的具体实现方式,本申请在此不做赘述,参考现有的相关技术即可。
S102:判断所述附件是否为机密文件;
具体的,解析出携带附件的网络流量后,进一步判断所携带的附件是否为机密文件,以当携带的附件为机密文件时,进一步进行文件流动画像的绘制。
在一种具体的实施方式中,判断附件是否为机密文件的方式可以为:
判断所述附件是否有机密文件的专属标记;
若所述附件有机密文件的专属标记,则所述附件是机密文件;
若所述附件没有机密文件的专属标记,则所述附件不是机密文件。
具体而言,客户端预先可遍历客户端的目录,选中需要标记的机密文件。所选中的机密文件由客户端写入专属标记。后续当客户端解析出携带附件的网络流量后,通过分析所附件是否有机密文件的专属标记即可判断出网络流量所携带的附件是否为机密文件。
其中,对所述机密文件进行标记的方式可以为:在所述机密文件的文件头写入专属标记。当然,还可以采取其他的标记方式,本申请对此不做唯一限定。
S103:若所述附件为机密文件,则从携带所述机密文件的所述网络流量中提取出初始IP、目的IP以及文件信息;
S104:根据所述初始IP与所述目的IP描绘文件流动画像,并在所述文件流动画像中附带上所述文件信息。
具体的,如果网络流量携带的附件为机密文件,则客户端进一步从携带机密文件的网络流量中提取出初始IP、目的IP以及文件信息,进而根据所述初始IP与所述目的IP描绘文件流动画像,并在所述文件流动画像中附带上所述文件信息,由此用户可以通过查看文件流动画像而追溯机密文件的源头。相反,如果网络流量携带的附件不是机密文件,则表明当前没有机密文件流动,此时则无需进行IP信息、文件信息的提取以及文件流动画像的绘制。
其中,提取的文件信息可以包括文件名称、文件路径、传输时间等。
另外,对于同一个机密文件,若由客户端描绘文件流动画像,则所描绘出的文件流动画像仅仅涉及本客户端与另一个客户端之间的流动,即仅仅涉及机密文件在两个计算机之间的流动,文件流动画像相对单一,无法描绘出机密文件在多个计算机之间的流动。
因此,为了更全面的描绘出机密文件在多个计算机之间的流动,在一种具体的实施方式中,所述根据所述初始IP与所述目的IP描绘文件流动画像,并在文件流动画像中附带上所述文件信息包括:将所述初始IP、所述目的IP以及所述文件信息上传到中心服务器,以使所述中心服务器根据所述初始IP与所述目的IP描绘文件流动画像,并在文件流动画像中附带上所述文件信息。
具体而言,客户端在提取出初始IP、目的IP以及文件信息后,将所提取的初始IP、目的IP以及文件信息上传给中心服务器,进而由中心服务器来描绘文件流动画像。中心服务器可以接收到每个客户端上传的IP信息与文件信息,因此中心服务器能够根据各个客户端所上传的IP信息与文件信息描绘出更全面的文件流动画像。
例如,参考图2所示,图2所示的文件流动画像中包含了5个节点,点击任意一个节点均可查看类似图2中矩形框内的内容。如图2所示,点击IP为192.168.2.1的节点,显示出机密文件为xx项目合同,且该机密文件由IP为192.168.23.31、名为TZC-PC的计算机流出。
进一步,上述实施例所提供的文件流动的溯源画像方法针对的是计算机网络间的文件传输,即对于通过计算机网络进行文件传输的情况可以通过上述方法描绘出文件流动画像,然而对于直接通过客户端的传输接口读取机密文件或通过即时通讯进程读取机密文件的情况,则无法采用上述方案描绘机密文件的文件流动情况,由此会存在机密文件随意转存、复制的风险。
为了防止机密文件通过传输接口泄露,在一种具体的实施方式中,该方法还包括:接收中心服务器下发的接口禁用策略后,禁用连接外部设备的传输接口。
具体而言,用户可以登录中心服务器的web界面,设置接口禁用策略,并由中心服务器将接口禁用策略下发到各个客户端。客户端接收到中心服务器下发的接口禁用策略后,禁用连接外部设置的传输接口,例如,禁用USB接口。通过USB接口等传输接口无法从客户端读取机密文件,使机密文件无法通过USB接口等泄露。
为了防止机密文件通过即时通讯进程泄露,在一种具体的实施方式中,该方法还包括:接收中心服务器下发的即时通讯进程与机密文件的对应关系后,禁止所述即时通讯进程读写对应的所述机密文件。
具体而言,用户可以登录中心服务器的web界面,设置即时通讯进程与机密文件的对应关系。即时通讯进程与机密文件的对应关系是指即时通讯进程与不能读写的机密文件的对应关系。例如,即时通讯进程为QQ.exe,QQ.exe不能读写的机密文件为XX.文件。设置即时通讯进程与机密文件的对应关系后,由中心服务器将此对应关系下发给客户端,进而客户端会禁止所述即时通讯进程读写对应的所述机密文件。例如,客户端禁止QQ.exe读写XX.文件。
上述实施例所提供的文件流动的溯源画像方法具体可以基于EDR(EndpointDetection and Response,终端检测与响应)实现。EDR是一种主动的安全方法,可以实时监控端点,并搜索渗透到防御系统中的威胁。安装EDR服务后,EDR服务可以监控各类文件落地行为、上网行为,可以获知攻击是否进入网络,并在攻击发生时检测攻击路径,帮助在记录的时间内对事件作出反应。
以下通过具体的实施例来阐述基于EDR实现溯源画像的方式:
中心服务器安装RPC(Remote Procedure Call,远程过程调用)服务,中心服务器一直处于监听状态。在中心服务器搭建web服务,管理员可以通过浏览器操作中心服务器。
通过web访问EDR资产管理中心,下载EDR客户端安装包。复制EDR客户端安装包到客户端。安装后,客户端通过RPC与中心服务器连接。用户登录中心服务器的web界面对客户端设置全局的USB端口禁用,新上线的客户端默认USB端口禁用生效。
用户在中心服务器通过遍历客户端的目录,选中需要标注的机密文件。选中的机密文件,客户端的EDR进程会对机密文件的文件头写入专属标记,用于EDR进程进行监控。
用户在中心服务器的Web界面设置即时通讯进程与机密文件的对应关系,并由中心服务器将此对应关系下发给客户端,以使客户端禁止即时通讯进程读写机密文件。
用户在计算机通过SVN,FTP,SCP,win共享,http/https的POST上传等各类网络传输文件时。客户端通过对计算机内网卡的所有网络流量监控。并对每个TCP外联进行流量抓包分析,先解析并判断出携带机密文件的流量;进而从该流量中提取初始IP、目的IP以及文件信息。
客户端将提取出来的初始IP、目的IP以及文件信息上传到中心服务器,中心服务器接收到初始IP、目的IP以及文件信息后,根据初始IP和目的IP描绘文件流动画像,并在画像中附带上本次传输的文件信息。用户在中心服务器可以看到文件流动画像,追溯文件的源头,找到责任人。
综上所述,本申请所提供的文件流动的溯源画像方法,对计算机网络流量进行监控,对于携带机密文件的网络流量,进一步从网络流量提取初始IP、目的IP以及文件信息,并根据所述初始IP与所述目的IP描绘文件流动画像,由此用户通过查看文件流动画像,可以追溯到机密文件的源头,找到相应的责任人,实现对加密文件流动的追踪,防止机密文件进一步泄露。
本申请还提供了一种文件流动的溯源画像装置,下文描述的该装置可以与上文描述的方法相互对应参照。请参考图3,图3为本申请实施例所提供的一种文件流动的溯源画像装置的示意图,结合图3所示,该装置包括:
监控模块10,用于监控网卡的所有网络流量,并解析出携带附件的网络流量;
判断模块20,用于判断所述附件是否为机密文件;
提取模块30,用于若所述附件为机密文件,则从携带所述机密文件的所述网络流量中提取出初始IP、目的IP以及文件信息;
描绘模块40,用于根据所述初始IP与所述目的IP描绘文件流动画像,并在所述文件流动画像中附带上所述文件信息。
在上述实施例的基础上,可选的,所述判断模块20具体用于:
判断所述附件是否有机密文件的专属标记;
若所述附件有机密文件的专属标记,则所述附件是机密文件;
若所述附件没有机密文件的专属标记,则所述附件不是机密文件。
在上述实施例的基础上,可选的,所述描绘模块40具体用于:
将所述初始IP、所述目的IP以及所述文件信息上传到中心服务器,以使所述中心服务器根据所述初始IP与所述目的IP描绘文件流动画像,并在文件流动画像中附带上所述文件信息。
在上述实施例的基础上,可选的,还包括:
接口禁用模块,用于接收中心服务器下发的接口禁用策略后,禁用连接外部设备的传输接口。
在上述实施例的基础上,可选的,还包括:
读写禁止模块,用于接收中心服务器下发的即时通讯进程与机密文件的对应关系后,禁止所述即时通讯进程读写对应的所述机密文件。
在上述实施例的基础上,可选的,还包括:
标记模块,用于对所述机密文件进行标记。
在上述实施例的基础上,可选的,所述标记模块具体用于:
在所述机密文件的文件头写入专属标记。
本申请所提供的文件流动的溯源画像装置,对计算机网络流量进行监控,对于携带机密文件的网络流量,进一步从网络流量提取初始IP、目的IP以及文件信息,并根据所述初始IP与所述目的IP描绘文件流动画像,由此用户通过查看文件流动画像,可以追溯到机密文件的源头,找到相应的责任人,实现对加密文件流动的追踪,防止机密文件进一步泄露。
本申请还提供了一种文件流动的溯源画像设备,参考图4所示,该设备包括存储器1和处理器2。
存储器1,用于存储计算机程序;
处理器2,用于执行计算机程序实现如下的步骤:
监控网卡的所有网络流量,并解析出携带附件的网络流量;判断所述附件是否为机密文件;若所述附件为机密文件,则从携带所述机密文件的所述网络流量中提取出初始IP、目的IP以及文件信息;根据所述初始IP与所述目的IP描绘文件流动画像,并在所述文件流动画像中附带上所述文件信息。
对于本申请所提供的设备的介绍请参照上述方法实施例,本申请在此不做赘述。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如下的步骤:
监控网卡的所有网络流量,并解析出携带附件的网络流量;判断所述附件是否为机密文件;若所述附件为机密文件,则从携带所述机密文件的所述网络流量中提取出初始IP、目的IP以及文件信息;根据所述初始IP与所述目的IP描绘文件流动画像,并在所述文件流动画像中附带上所述文件信息。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本申请所提供的计算机可读存储介质的介绍请参照上述方法实施例,本申请在此不做赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置、设备以及计算机可读存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的文件流动的溯源画像方法、装置、设备以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围。
Claims (10)
1.一种文件流动的溯源画像方法,其特征在于,包括:
监控网卡的所有网络流量,并解析出携带附件的网络流量;
判断所述附件是否为机密文件;
若所述附件为机密文件,则从携带所述机密文件的所述网络流量中提取出初始IP、目的IP以及文件信息;
根据所述初始IP与所述目的IP描绘文件流动画像,并在所述文件流动画像中附带上所述文件信息。
2.根据权利要求1所述的溯源画像方法,其特征在于,所述判断所述附件是否为机密文件包括:
判断所述附件是否有机密文件的专属标记;
若所述附件有机密文件的专属标记,则所述附件是机密文件;
若所述附件没有机密文件的专属标记,则所述附件不是机密文件。
3.根据权利要求1所述的溯源画像方法,其特征在于,所述根据所述初始IP与所述目的IP描绘文件流动画像,并在文件流动画像中附带上所述文件信息包括:
将所述初始IP、所述目的IP以及所述文件信息上传到中心服务器,以使所述中心服务器根据所述初始IP与所述目的IP描绘文件流动画像,并在文件流动画像中附带上所述文件信息。
4.根据权利要求1所述的溯源画像方法,其特征在于,还包括:
接收中心服务器下发的接口禁用策略后,禁用连接外部设备的传输接口。
5.根据权利要求1所述的溯源画像方法,其特征在于,还包括:
接收中心服务器下发的即时通讯进程与机密文件的对应关系后,禁止所述即时通讯进程读写对应的所述机密文件。
6.根据权利要求1所述的溯源画像方法,其特征在于,还包括:
对所述机密文件进行标记。
7.根据权利要求6所述的溯源画像方法,其特征在于,所述对所述机密文件进行标记包括:
在所述机密文件的文件头写入专属标记。
8.一种文件流动的溯源画像装置,其特征在于,包括:
监控模块,用于监控网卡的所有网络流量,并解析出携带附件的网络流量;
判断模块,用于判断所述附件是否为机密文件;
提取模块,用于若所述附件为机密文件,则从携带所述机密文件的所述网络流量中提取出初始IP、目的IP以及文件信息;
描绘模块,用于根据所述初始IP与所述目的IP描绘文件流动画像,并在所述文件流动画像中附带上所述文件信息。
9.一种文件流动的溯源画像设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的文件流动的溯源画像方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的文件流动的溯源画像方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110789688.6A CN113536246B (zh) | 2021-07-13 | 2021-07-13 | 一种文件流动的溯源画像方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110789688.6A CN113536246B (zh) | 2021-07-13 | 2021-07-13 | 一种文件流动的溯源画像方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113536246A CN113536246A (zh) | 2021-10-22 |
| CN113536246B true CN113536246B (zh) | 2024-03-22 |
Family
ID=78127711
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110789688.6A Active CN113536246B (zh) | 2021-07-13 | 2021-07-13 | 一种文件流动的溯源画像方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113536246B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1761209A (zh) * | 2004-04-27 | 2006-04-19 | 微软公司 | 提供网络隔离的系统和方法 |
| JP2007200047A (ja) * | 2006-01-26 | 2007-08-09 | Dainippon Printing Co Ltd | アクセスログ表示システムおよび方法 |
| CN108809803A (zh) * | 2018-04-18 | 2018-11-13 | 北京明朝万达科技股份有限公司 | 一种文件信息防泄密和溯源追踪的方法及系统 |
| CN111125018A (zh) * | 2019-12-15 | 2020-05-08 | 浪潮电子信息产业股份有限公司 | 一种文件异常溯源方法、装置、设备及存储介质 |
| CN111988285A (zh) * | 2020-08-03 | 2020-11-24 | 中国电子科技集团公司第二十八研究所 | 一种基于行为画像的网络攻击溯源方法 |
-
2021
- 2021-07-13 CN CN202110789688.6A patent/CN113536246B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1761209A (zh) * | 2004-04-27 | 2006-04-19 | 微软公司 | 提供网络隔离的系统和方法 |
| JP2007200047A (ja) * | 2006-01-26 | 2007-08-09 | Dainippon Printing Co Ltd | アクセスログ表示システムおよび方法 |
| CN108809803A (zh) * | 2018-04-18 | 2018-11-13 | 北京明朝万达科技股份有限公司 | 一种文件信息防泄密和溯源追踪的方法及系统 |
| CN111125018A (zh) * | 2019-12-15 | 2020-05-08 | 浪潮电子信息产业股份有限公司 | 一种文件异常溯源方法、装置、设备及存储介质 |
| CN111988285A (zh) * | 2020-08-03 | 2020-11-24 | 中国电子科技集团公司第二十八研究所 | 一种基于行为画像的网络攻击溯源方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113536246A (zh) | 2021-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| Dezfoli et al. | Digital forensic trends and future | |
| CN103294950B (zh) | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 | |
| CN104778420A (zh) | 非结构化数据全生命周期的安全管理视图建立方法 | |
| CN106656577B (zh) | 一种app及浏览器的用户行为统计方法及智能路由器 | |
| CN110505235A (zh) | 一种绕过云waf的恶意请求的检测系统及方法 | |
| CN108965296A (zh) | 一种用于智能家居设备的漏洞检测方法及检测装置 | |
| Al-Fannah et al. | Beyond cookie monster amnesia: Real world persistent online tracking | |
| CN103532912A (zh) | 浏览器业务数据的处理方法和装置 | |
| CN109145638B (zh) | 一种获取自加载模块函数的方法及装置 | |
| Lee et al. | Study on systematic ransomware detection techniques | |
| CN104486320A (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| Udipi | The event data management problem: getting the most from network detection and response | |
| Fry et al. | Security Monitoring: Proven Methods for Incident Detection on Enterprise Networks | |
| CN113536246B (zh) | 一种文件流动的溯源画像方法及相关装置 | |
| CN110381047A (zh) | 一种网络攻击面追踪的方法、服务器和系统 | |
| CN114338214B (zh) | 风险控制方法和系统 | |
| CN116055185A (zh) | 分布式网络信息发布系统的主动网络安全防御方法和系统 | |
| CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
| CN111881384B (zh) | 违规外联的取证方法、系统和存储介质 | |
| Bhushan et al. | An overview on handling anti forensic issues in android devices using forensic automator tool | |
| Maciá-Fernández et al. | ISP-enabled behavioral ad targeting without deep packet inspection | |
| Arvind et al. | Network traffic virtualization using wireshark and google maps | |
| Setiyani et al. | Analisis Celah Keamanan E-Learning Perguruan Tinggi Menggunakan Vulnerability Assessment | |
| Dezfouli et al. | Digital forensics trends and future |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |