CN115250206B - 一种共享风险告警方法及电子设备 - Google Patents

一种共享风险告警方法及电子设备 Download PDF

Info

Publication number
CN115250206B
CN115250206B CN202211165674.8A CN202211165674A CN115250206B CN 115250206 B CN115250206 B CN 115250206B CN 202211165674 A CN202211165674 A CN 202211165674A CN 115250206 B CN115250206 B CN 115250206B
Authority
CN
China
Prior art keywords
shared
information
host
asset
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211165674.8A
Other languages
English (en)
Other versions
CN115250206A (zh
Inventor
吴宗锦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honor Device Co Ltd
Original Assignee
Honor Device Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honor Device Co Ltd filed Critical Honor Device Co Ltd
Priority to CN202211165674.8A priority Critical patent/CN115250206B/zh
Publication of CN115250206A publication Critical patent/CN115250206A/zh
Application granted granted Critical
Publication of CN115250206B publication Critical patent/CN115250206B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种共享风险告警方法及电子设备,涉及计算机技术领域。该方法可以高效、精准地筛选存在泄密风险的电子设备,并及时提醒相应的资产责任人进行整改,减少泄密风险。该方法包括获取网段信息,网段信息包括至少一个电子设备的IP地址;基于至少一个电子设备中第二设备的IP地址、第一共享路径以及资产责任人信息生成共享风险数据表,共享风险数据表包括IP地址、第一共享路径及资产责任人信息的对应关系,第一共享路径的共享对象为所有人,第二设备为至少一个电子设备中包括第一共享路径的电子设备;基于共享风险数据表,向资产责任人信息指示的资产责任人发送风险告警,风险告警包括资产责任人信息对应的第一共享路径。

Description

一种共享风险告警方法及电子设备
技术领域
本申请涉及计算机技术领域,尤其涉及一种共享风险告警方法及电子设备。
背景技术
目前,越来越多企业或个人在日常办公时通过Windows操作系统的共享功能与他人共享文件。基于该共享功能,用户可以设置共享路径以及共享对象。该共享路径下的资源可以开放给共享对象,供共享对象任意查看。如此,当共享路径为某个磁盘或者共享对象为所有人(everyone)时,存在较大的泄密风险。
为了减小泄密风险,通常由安全人员人工确认每台主机是否存在泄密风险并进行告警。但企业的主机数量众多,人工检测效率较低且非常耗时。同时,安全人员仅能排查处于开机状态下的主机,而各主机的开机时间不一定,容易导致排查过程中存在遗漏。另外,这种排查方法安全人员无法直接将主机关联到对应的责任人,不利于后续进行告警以及督促整改。
发明内容
本申请实施例提供一种共享风险告警方法及电子设备,用于高效、精准地识别出存在泄密风险的电子设备,并进行风险告警。
为达到上述目的,本申请的实施例采用如下技术方案:
第一方面,提供了一种共享风险告警方法,应用于第一设备,方法包括:获取网段信息,网段信息包括至少一个电子设备的IP地址;基于至少一个电子设备中第二设备的IP地址、第一共享路径以及资产责任人信息生成共享风险数据表,共享风险数据表包括IP地址、第一共享路径及资产责任人信息的对应关系,第一共享路径的共享对象为所有人,第二设备为至少一个电子设备中包括第一共享路径的电子设备;基于共享风险数据表,向资产责任人信息指示的资产责任人发送风险告警,风险告警包括资产责任人信息对应的第一共享路径。
可以理解地,包括第一共享路径的电子设备即为存在泄密风险的电子设备。本申请可以从多个电子设备中筛选出存在泄密风险的电子设备(即第二设备),并进一步获取该电子设备的资产责任人信息。然后主动向对应的资产责任人进行风险告警,以减少共享资源泄密的风险。这种方法比较高效,可以减少遗漏存在泄密风险的电子设备的情况;同时能够直接关联到对应的资产责任人,有利于及时提醒资产责任人进行整改,减少泄密风险。
在第一方面提供的一种实施方式中,方法还包括:从至少一个电子设备中确定第二设备。
在第一方面提供的一种实施方式中,从至少一个电子设备中确定第二设备,包括:向在线设备发送第一探测报文,在线设备为至少一个电子设备中在线的设备;接收在线设备发送的第一响应报文;获取在线设备的共享资源信息,共享资源信息用于指示在线设备的共享路径;向在线设备中的目标设备发送第二探测报文,目标设备为在线设备中共享资源信息不为空的电子设备,第二探测报文包括目标设备的IP地址以及目标设备的共享路径;接收目标设备发送的第二响应报文,第二响应报文携带有共享路径的共享对象信息,共享对象信息用于指示共享路径的共享对象;若目标设备包括第一共享路径,将目标设备确定为第二设备。
也即,可以通过基于SMB协议的报文交互的方式确定从多个电子设备中确定第二设备。
在第一方面提供的一种实施方式中,方法还包括:获取第二设备的资产责任人信息。
在第一方面提供的一种实施方式中,获取第二设备的资产责任人信息,包括:向第二设备发送第三探测报文;接收第二设备的第三响应报文,第三响应报文包括第二设备的主机信息;基于主机信息在资产信息中查询得到第二设备的资产责任人信息。
在第一方面提供的一种实施方式中,主机信息包括第二设备的媒体存取控制位地址、主机名称以及网上基本输入输出系统信息。
在第一方面提供的一种实施方式中,方法还包括:确定至少一个电子设备中的在线设备。
在第一方面提供的一种实施方式中,确定至少一个电子设备中的在线设备,包括:基于网段信息,向至少一个电子设备分别发送第四探测报文;若接收到任意一个电子设备发送的第四响应报文,将任意一个电子设备确定为在线设备。
在第一方面提供的一种实施方式中,获取网段信息,包括:定时获取网段信息。如此,第一设备可以定时筛选存在泄密风险的电子设备,从而定时进行风险告警,进一步降低泄密风险。
在第一方面提供的一种实施方式中,第一探测报文、第一响应报文、第二探测报文、第二响应报文为基于服务器信息块协议的报文。
在第一方面提供的一种实施方式中,第三探测报文、第三响应报文为基于网上基本输入输出系统信息协议的报文。
在第一方面提供的一种实施方式中,第四探测报文、第四响应报文为基于网络控制报文协议的报文。
第二方面,提供了一种共享风险告警方法,应用于资源共享系统,资源共享系统包括第一设备和第二设备,方法包括:第一设备获取网段信息,网段信息包括第二设备的IP地址;第一设备向第二设备发送第四探测报文;第二设备向第一设备发送第四响应报文;第一设备向第二设备发送第一探测报文;第二设备向第一设备发送第一响应报文;第一设备获取第二设备的共享资源信息,共享资源信息用于指示第二设备的共享路径;若第二设备的共享资源信息不为空,第一设备向第二设备发送第二探测报文,第二探测报文包括第二设备的IP地址和共享路径;第二设备向第一设备发送第二响应报文,第二响应报文携带有第二设备的共享路径的共享对象信息,共享对象信息用于指示共享路径的共享对象;若第二设备包括第一共享路径,第一共享路径为共享对象为所有人的共享路径,第一设备向第二设备发送第三探测报文;第二设备向第一设备发送第三响应报文,第三响应报文包括第二设备的主机信息;第一设备基于第二设备的主机信息在资产信息中查询得到第二设备的资产责任人信息;第一设备基于第二设备的IP地址、第一共享路径以及资产责任人信息生成共享风险数据表,共享风险数据表包括IP地址、第一共享路径及资产责任人信息的对应关系;第一设备基于共享风险数据表,向资产责任人信息指示的资产责任人发送风险告警,风险告警包括资产责任人信息对应的第一共享路径。
第三方面,提供了一种电子设备,包括处理器,处理器和存储器耦合,存储器存储有程序指令,当存储器存储的程序指令被处理器执行时使得电子设备实现第一方面、第二方面中任一项的方法。
第四方面,提供了一种计算机可读存储介质,包括计算机指令;当计算机指令在电子设备上运行时,使得电子设备执行如第一方面、第二方面中任一项的方法。
第五方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机可以执行上述第一方面、第二方面中任一项所述的共享风险告警方法。
第六方面,提供了一种装置(例如,该装置可以是芯片系统),该装置包括处理器,用于支持第一设备实现上述第一方面、第二方面中所涉及的功能。在一种可能的设计中,该装置还包括存储器,该存储器,用于保存电子设备必要的程序指令和数据。该装置是芯片系统时,可以由芯片构成,也可以包含芯片和其他分立器件。
其中,第二方面至第六方面中任一种设计方式所带来的技术效果可参见第一方面中不同设计方式所带来的技术效果,此处不再赘述。
附图说明
图1为本申请实施例提供的一种资源共享系统的结构示意图;
图2为本申请实施例提供的一种电子设备的结构示意图;
图3为本申请实施例提供的一种共享风险告警方法的流程图;
图4为ICMP报文的格式图;
图5为主机间的交互示意图;
图6为本申请实施例提供的另一种共享风险告警方法的流程图;
图7为本申请实施例提供的芯片系统的结构示意图。
具体实施方式
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
本申请实施例一种资源共享系统。如图1所示,为本申请实施例提供的一种资源共享系统的结构示意图。该资源共享系统包括多个电子设备及路由器。多个电子设备可通过路由器接入同一局域网中。例如,多个电子设备可以为某公司下连接同一内网的多个电子设备。需要说明的是,图1中的多个电子设备可以相同,也可以不同。多个电子设备可以是个人计算机(personal computer,PC)、台式计算机、服务器、平板电脑、手机等,在此不做具体限制。
上述多个电子设备中的每个电子设备都可以进行资源共享。共享的资源可以包括文件、打印机和串行端口等。同时,每个电子设备可以访问其他电子设备共享的资源。在进行资源共享时,电子设备可以设置共享资源的共享对象,该共享对象可以为指定的电子设备,例如为IP地址192.168.1.2所指示的电子设备,或者共享对象为该资源共享系统内的所有电子设备(即所有人everyone)。
由于将共享资源共享给everyone(即共享资源的共享对象为everyone)时,有较大泄密风险。现有技术中通常会有专门的安全人员对资源共享系统内的每台电子设备进行排查,以确认每台电子设备的资源共享情况。当安全人员排查出资源共享情况存在泄密风险时,需要人工发出风险告警。但资源共享系统所包括的电子设备的数量众多,人工排查的效率低下,较为耗时。同时,安全人员仅能排查处于开机状态下的电子设备,但每台电子设备的开机时间并不一定,这容易导致排查过程中存在遗漏。另外,这种排查方法安全人员无法直接将主机关联到对应的责任人,不利于后续进行告警以及督促整改。
有鉴于此,本申请实施例提供了一种共享风险告警方法,可以获取多个电子设备的资源共享情况并根据该资源共享情况从多个电子设备中筛选出存在泄密风险的电子设备,以及在获取存在泄密风险的电子设备的资产责任人信息后,主动向对应的资产责任人进行风险告警,以减少共享资源泄密的风险。这种方法比较高效,可以减少遗漏存在泄密风险的电子设备的情况;同时能够直接关联到对应的资产责任人,有利于及时提醒资产责任人进行整改,减少泄密风险。
下面对本申请实施例提供的电子设备进行描述。图2示出了本申请实施例提供的一种电子设备的结构示意图。如图2所示,该电子设备包括处理器211、存储器212及输入输出(input/output,I/O)接口213。I/O接口213用于与其他电子设备进行通信。例如,通过I/O接口213向其他电子设备发送探测报文,接收其他电子设备发送的响应报文等。
处理器211是电子设备的运算核心和控制核心,它可以是中央处理器(centralprocessing unit,CPU),也可以是其他特定的集成电路。处理器211还可以是其他通用处理器、数字信号处理器(digital signal processing,DSP)、专用集成电路(applicationspecific integrated circuit,ASIC)、现场可编程门阵列(field programmable gatearray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。实际应用中,电子设备也可以包括多个处理器。处理器211中可以包括一个或多个处理器核(core)。在处理器211中安装有操作系统和其他软件程序,从而处理器211能够实现对存储器212及各种PCIe设备的访问。
处理器211通过双倍速率(double data rate,DDR)总线或者其他类型的总线和存储器212相连。存储器212是电子设备的主存(main memory)。存储器212通常用来存放操作系统中各种正在运行的软件、从其他电子设备接收的输入数据以及将来发送给电子设备的输出结果等。为了提高处理器211的访问速度,存储器212需要具备访问速度快的优点。在传统的计算机设备中,通常采用动态随机存取存储器(dynamic random access memory,DRAM)作为存储器212。除了DRAM之外,存储器212还可以是其他随机存取存储器,例如静态随机存取存储器(static random access memory,SRAM)等。另外,存储器212也可以是只读存储器(read only memory,ROM)。而对于只读存储器,举例来说,可以是可编程只读存储器(programmable read only memory,PROM)、可抹除可编程只读存储器(erasableprogrammable read only memory,EPROM)等。本实施例不对存储器212的数量和类型进行限定。
可以理解的是,本实施例示意的结构并不构成对电子设备的具体限定。在另一些实施例中,电子设备可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
下面,将以资源共享系统包括主机A和主机B,主机A为进行共享风险告警的电子设备,主机B为进行资源共享的电子设备为例,结合附图说明本申请实施例提供的共享风险告警方法。
图3示出了本申请实施例提供的一种共享风险告警方法的流程图。该共享风险告警方法应用于资源共享系统。如图3所示,该共享风险告警方法包括:S301~S315。
S301,主机A获取网段信息。
可以理解地,用户可预先配置路由器。该路由器被配置有局域网的网段信息。局域网的网段信息包括该局域网所包含的所有IP地址。例如,主机A获取的网段信息为192.168.1.1/23,则该网段信息包括510个IP地址,510个IP地址包括:192.168.0.1-192.168.1.254。其中,每个IP地址可对应一个电子设备。配置完成后,主机A可从路由器处获取网段信息,以确定可以进行资源共享的设备。
在本申请实施例中,该网段信息包括主机B的IP地址(例如为192.168.1.1)。如此,主机A可基于主机B的IP地址向主机B发送报文、数据等。
S302,主机A基于主机B的IP地址,向主机B发送ICMP探测报文。
控制报文协议(internet control message protocol,ICMP)用于在IP主机、路由器之间传递控制消息,控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。其中,主机A向主机B发送ICMP探测报文的目的在于确认主机B是否可到达,换句话说,确认主机B是否在线。若主机A发送的ICMP探测报文可到达主机B,则表明主机B在线;若主机A发送的ICMP探测报文无法达到主机B,则表明主机B不在线。
ICMP报文包括多种类型,多种类型包括差错、查询等,且不同类型的ICMP报文具有不同的作用。例如差错报文用于传递错误的原因,查询报文用于查询网络是否通畅、主机是否可到达等。也就是说,本申请实施例中的ICMP探测报文是一种ICMP查询报文。
如图4所示,为ICMP报文的格式。ICMP报文包括类型(type)、代码(code)、校验和(checksum)、标识符(identifier)、序列号(sequence number)以及数据(data)共6个部分。其中,类型占用8比特(bit)位,用于标识ICMP报文的类型。例如,类型字段值为0表示该ICMP报文为回送应答(echo reply)报文(一种ICMP查询报文);类型字段值为8则表明该ICMP报文为回送请求(echo request)报文(一种ICMP查询报文);类型字段值为11则表明该ICMP报文为一种ICMP差错报文。代码占用8bit位,其可根据ICMP差错报文的类型,进一步分析错误的原因,代码值不同对应的错误也不相同。例如,类型字段值为11且代码字段值为0,表示错误原因为数据在传输过程中超时了。校验和占用16bit位,ICMP报文发送到目的地后需要对ICMP报文做一个校验,用于查询ICMP报文是否存在错误。该标识符占用16bit位,用于对每个发送的ICMP报文进行标识。序列号占用16bit位,用于对发送的每一个ICMP报文进行编号。该数据则为ICMP报文中携带的数据。
例如,一个ICMP报文可以为:
Type:8(Echo (ping) request)
Code:0
Checksum:0xefa3[correct]
[Checksum Status:Good]
Identifier(BE):1484(0x05cc)
Identifier(LE):52229(0xcc05)
Sequence number(BE):656(0x290)
Sequence number(LE):36866(0x9002)
其中,Type为8表明该ICMP报文为ICMP echo request探测报文。
在本申请实施例中,该ICMP探测报文可以为ICMP echo request探测报文。可选的,该ICMP探测报文也可以称为第四探测报文,或者为其他名称,在此不做具体限制。
S303,主机B向主机A发送ICMP响应报文。
如图5所示,主机A可通过路由器1、路由器2及路由器3向主机B发送ICMP探测报文。若主机B未开机或未正常连接网络(即主机B不在线),则主机无法接收到主机A发送的ICMP探测报文。若主机B已开机且正常连接网络(即主机B在线),则主机B能够正常接收到主机A发送的ICMP探测报文。主机B接收到该ICMP探测报文后,可向主机A发送ICMP响应报文,以表明主机B已接收到ICMP探测报文。也就是说,主机A接收到主机B发送的ICMP响应报文后,便可以确定主机B在线。
在一种可选的实施例中,该ICMP探测报文可以为ICMP echo reply响应报文。该ICMP echo reply响应报文的类型字段值为0。可选的,该ICMP响应报文也可以称为第四响应报文,或者为其他名称,在此不做具体限制。
S304,主机A向主机B发送SMB探测报文A。
主机A确定主机B在线后,可进一步获取主机B的共享资源信息。在主机A获取主机B的共享资源信息前,需要先与主机B建立文件分享连接。在本申请实施例中,主机A可基于服务器信息块(server message block,SMB)协议与主机B建立文件分享连接。主机A与主机B成功建立文件分享连接后,主机A可以访问主机B的共享资源。共享资源包括主机B所共享的文件等。
SMB协议是一种在局域网上共享文件和打印机的一种通信协议,它为局域网的不同主机之间提供文件及打印机等资源的共享服务。通过SMB协议,客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及对服务器的应用程序提出服务请求。通过SMB协议,客户端应用程序还可以访问服务器上的打印机等资源。SMB协议包括多个版本,例如SMB2.0、SMB3.0等。
SMB报文可包括negotiate protocol request请求数据报、session setuprequest请求数据报、tree connect rerquest数据报等。negotiate protocol request请求数据报用于列出该客户端(例如主机A)所支持的所有SMB协议版本(例如SMB2.0、SMB3.0等),服务器(例如主机B)接收到该请求后,可以列出希望使用的协议版本;如果没有可使用的协议版本则返回0XFFFFH。在确定协议以后,客户端可向服务器发起一个用户或共享的认证,这个过程可通过发送session setup request请求数据报实现的,该session setuprequest中可携带有用户名和密码。服务器可通过发送session setup response应答数据报来允许或拒绝本次连接。在客户端希望访问服务器的共享资源时,可向服务器发送该tree connect rerquest数据报,该tree connect rerquest数据报中携带有该客户端希望访问的共享资源的名称。当客户端不确定服务器上有哪些共享资源时,可以请求与服务器建立空连接。之后服务器可发送tree connect response应答数据报以表示此次连接是否被接受或拒绝。
在本申请实施例中,该SMB探测报文A可以为基于SMB2的tree connect request数据报。该SMB探测报文A中携带有主机B的IP地址,并以“Tree:\\192.168.1.1\IPC$”的方式写入该SMB探测报文A中,以表明与主机B建立空连接。可选的,该SMB探测报文A也可以称为第一探测报文,或者其他名称,在此不做具体限制。
S305,主机B向主机A发送SMB响应报文A。
在本申请实施例中,该SMB响应报文A用于指示主机B接受主机A的文件分享连接请求。该SMB响应报文A可以为基于SMB2的tree connect response应答数据报。可选的,该SMB响应报文A也可以称为第一响应报文,或者其他名称,在此不做具体限制。
在其他实施方式中,若主机B不希望与主机A连接,主机B也可以向主机A发送指示不接受连接的tree connect response应答数据报,在此不做具体限制。
S306,主机A获取主机B的共享资源信息。
具体的,主机A接收到该SMB响应报文A后,便与主机B建立文件分享连接。通过该文件分享连接,主机A可获取主机B的共享资源信息。共享资源信息包括主机B上的共享路径及该共享路径的类型。例如,共享资源信息包括:C、D、python,且C、D、python的类型均为磁盘(disk)。其中,C指示主机B共享C盘下的所有文件,python指主机B共享python文件夹下的所有文件。可选的,若主机B上不包括任何共享文件,则该共享资源信息可以为空。
S307,主机A向主机B发送SMB探测报文B。
该SMB探测报文B携带有主机B的IP地址和共享路径,用于获取该IP地址下的共享路径的共享对象信息。该共享对象信息用于指示共享路径的共享对象为特定的主机或所有主机(everyone)。可选的,该共享对象信息还可包括共享对象的IP地址。
需要说明的是,当主机B包括多个共享路径时,该SMB探测报文B携带有多个共享路径。例如,主机A根据主机B的共享资源信息确定主机B包括2个共享路径,分别为C盘和python,则主机A可以生成携带有C盘和python这两个共享路径的SMB探测报文B,以分别获取C盘和python这两个共享路径的详细信息。
在一种可选的实施方式中,该SMB探测报文B可以为SMB2的Find Request File:SMB2_FIND_ID_BOTH_DIRECTORY_INFO探测报文。其中,该SMB探测报文B也可以称为第二探测报文,或者其他名称,在此不做具体限制。
S308,主机B向主机A发送SMB响应报文B。
该SMB响应报文B包括共享路径的详细信息。在一种可选的实施方式中,该SMB响应报文B可以为SMB2的Find Response:SMB2_FIND_ID_BOTH_DIRECTORY_INFO响应报文。其中,该SMB响应报文B也可以称为第二响应报文,或者其他名称,在此不做具体限制。
S309,主机A判断主机B是否包括第一共享路径。
其中,第一共享路径为共享对象为everyone的共享路径。具体的,主机A接收到SMB响应报文B后,可以从SMB响应报文B中获取共享路径的详细信息。主机A可通过该详细信息确定对应的共享路径是否为everyone。
若主机A判断主机B包括第一共享路径,则执行S310;若主机A判断主机B不包括第一共享路径,则可结束流程。
可以理解地,若主机A判断主机B包括第一共享路径,则表明主机B上存在共享对象为everyone的共享路径,即主机B存在泄密的风险,需要进行告警;若主机A判断主机B不包括第一共享路径,则表明主机B上不存在共享对象为everyone的共享路径,即主机B泄密风险较小,无需进行告警。
S310,主机A向主机B发送NBNS探测报文。
主机A确定主机B存在泄密风险后,可进一步获取主机信息。其中,主机信息可包括主机的媒体存取控制位(media access control,MAC)地址、主机名以及网上基本输入输出系统(network basic input/output system,NetBIOS)信息等。
在本申请实施例中,主机A可通过向主机B发送NBNS探测报文的方式获取主机B的主机信息。NetBIOS一般指用于局域网通信的一套应用程序接口(application programinterface,API)。NetBIOS可以提供三种软件服务,分别为:NetBIOS命名服务(NetBIOSname service,NBNS)、NetBIOS数据报(NetBIOS datagram)、NetBIOS会话服务(NetBIOSsession service)。其中,NBNS用于将NetBIOS名称映射到IP地址上,以实现通过NetBIOS名称查询主机。NetBIOS数据报可以发送到特定的地点,或组中所有成员,或广播到整个局域网。与其它数据服务相比,NetBIOS数据报是无连接。NetBIOS会话服务提供给用户程序一种面向连接,可靠的,完全双重的信息服务。NetBIOS会话的建立需要双方预定的合作。一个程序先发出listen命令后,其他程序才可以发出call命令。
在本申请实施例中,该NBNS探测报文可以为NBNS的Name query NBSTAT探测报文,用于获取主机B的主机信息。可选的,该NBNS探测报文也可以称为第三探测报文,或者其他名称,在此不做具体限制。
S311,主机B向主机A发送NBNS响应报文。
该NBNS响应报文中携带有主机B的主机信息。该主机B的主机信息包括主机B的NetBIOS信息、主机名称、MAC地址等。在一种可选的实施方式中,该NBNS响应报文可以为NBNS的Name response NBSTAT探测报文。可选的,该NBNS探测报文也可以称为第三探测报文,或者其他名称,在此不做具体限制。
S312,主机A从NBNS响应报文中获取主机B的主机信息。
主机A接收到NBNS响应报文后,可以对NBNS响应报文进行解析得到主机B的主机信息。
S313,主机A基于主机B的主机信息确定主机B的资产责任人信息。
主机A获取主机B的主机信息后,可进一步获取风险责任人信息。通常地,主机A可维护有资产信息。该资产信息可包括主机信息与资产责任人信息的对应关系。该资产责任人信息可以包括主机名称、使用人的工号、部门等信息。主机A可基于该主机B的主机信息与资产信息进行匹配,若资产信息中存在与主机B的主机信息匹配的主机信息,则将该主机信息对应的资产责任人信息作为主机B的资产责任人信息。
示例性的,资产信息可包括表1中的对应关系。
表1
Figure 521725DEST_PATH_IMAGE001
具体的,主机A可以查询该资产信息中是否包括主机A从NBNS响应报文中解析得到的主机信息所包括的任意一个信息。例如,主机A可以查询资产信息中是否包括主机B的MAC地址、主机名称或者NetBIOS信息。若该资产信息中包括主机B的MAC地址、主机名称或者NetBIOS信息,则主机B可以基于主机信息与资产责任人信息的对应关系,查询得到主机B的资产责任人信息。
又或者,主机A可以先基于主机B的MAC地址在资产信息中查询,并将与该MAC地址匹配的资产责任人信息(包括工号、用户名、部门等信息)作为该主机B的资产责任人信息。若该资产信息中不存在与主机B的MAC地址匹配的MAC地址,则主机A还可以基于该主机B的NetBIOS信息在资产信息中查询,并将与该NetBIOS信息的资产责任人信息作为该主机B的资产责任人信息。
S314,主机A基于主机B的IP地址、第一共享路径、资产责任人信息生成共享风险数据表。
该共享风险数据表包括IP地址、第一共享路径、资产责任人信息的对应关系。如此,主机A可以通过主机B的IP地址查找到使用主机B的用户(即资产责任人)。
S315,主机A向主机B的资产责任人发送风险告警。
该风险告警包括资产责任人对应的第一共享路径,以及对应的提示信息。例如,该风险告警的内容可以为“您对C盘及python文件夹进行了共享,且共享对象为everyone,请您确保共享文件不涉及涉密资料”。
在本申请实施例中,该主机A可以邮件或者通讯软件的方式向主机B的资产责任人发送风险告警。
可以理解地,S301~S315仅以资源共享系统包括主机A和主机B为例说明了共享风险告警方法。在一种可选的实施方式中,共享风险告警方法还可应用于包括主机A和多个电子设备的资源共享系统。
图6示出了本申请实施例提供的另一种共享风险告警方法的流程图。该共享风险告警方法应用于资源共享系统。如图6所示,该共享风险告警方法包括:S601~S606。
S601,主机A获取网段信息。
网段信息包括多个电子设备的IP地址。
S602,主机A确定多个电子设备中的在线设备。
其中,在线设备即为多个电子设备中已开机且网络连接正常的电子设备。具体的,主机A可基于该网段信息,向多个电子设备分别发送ICMP探测报文(也可称为第四探测报文)。若主机A接收到任意一个电子设备发送的ICMP响应报文(也可称为第四响应报文),则将该任意一个电子设备确定为在线设备。其中,关于ICMP探测报文和ICMP响应报文的内容参见前述实施例中S302~S303的相关内容,在此不再赘述。
例如,网段信息中包括主机B、主机C、主机D及主机E的IP地址。则主机A可基于该网段信息分别向主机B、主机C、主机D及主机E发送ICMP探测报文。若主机A仅接收到主机B、主机C、主机D的ICMP响应报文,未接收到主机E的ICMP响应报文,则主机A可以将主机B、主机C、主机D确定为在线设备(即确定主机B、主机C、主机D在线)。
S603,主机A确定在线设备中的第二设备。
其中,第二设备为上述在线设备中存在泄密风险的电子设备。其中,对于在线设备中的每个电子设备,主机A可基于S304~309确定该设备是否为第二设备。具体的,主机A可向每个在线设备发送SMB探测报文A(也可称为第一探测报文),并接收每个在线设备发送的SMB响应报文A(也可以称为第一响应报文)。然后,主机A可获取每个在线设备的共享资源信息,并基于每个在线设备的共享资源信息从在线设备中确定目标设备。目标设备为在线设备中共享资源信息指示其进行了资源共享(或者可以理解为包括共享路径)的电子设备。接着,主机A可以向每个目标设备发送至少一个SMB探测报文B(也可以称为第二探测报文),接收到每个目标设备发送的至少一个SMB响应报文B(也可以称为第二响应报文)。主机A可以通过SMB响应报文B确定目标设备是否包括共享对象为所有人的共享路径。若目标设备包括共享对象为所有人的共享路径,则将目标设备确定为第二设备。
示例性的,在线设备包括主机B、主机C、主机D。主机A可分别向主机B、主机C、主机D发送SMB响应报文A1、SMB响应报文A2、SMB响应报文A3。主机A接收到主机B、主机C、主机D发送的SMB响应报文A1、SMB响应报文A2及SMB响应报文A3后,可获取主机B的共享资源信息1、主机C的共享资源信息2以及主机D的共享资源信息3。假设共享资源信息1包括共享路径1、共享路径2、共享路径3,共享资源信息2包括共享路径4,共享资源信息3包括共享路径5、共享路径6。则主机A可向主机B发送SMB探测报文B1,该SMB探测报文B1携带有共享路径1、共享路径2、共享路径3,以及主机B的IP地址。主机A向主机C发送SMB探测报文B2,SMB探测报文B2携带有共享路径4及主机C的IP地址。主机A向主机D发送SMB探测报文B3,该SMB探测报文B3携带有共享路径5、共享路径6,以及主机D的IP地址。主机A可接收主机B发送的SMB响应报文B1,以分别获取共享路径1、共享路径2、共享路径3的共享对象信息。主机A可接收主机C发送的SMB响应报文B2,以获取共享路径4的共享对象信息。主机A可接收主机D发送的SMB响应报文B3,以分别获取共享路径5、共享路径6的共享对象信息。例如,若上述共享对象信息指示共享路径1、共享路径2、共享路径4及共享路径5的共享对象均为everyone,则可以确定包括共享路径1、共享路径2的主机B,包括共享路径4的主机C以及包括共享路径5的主机D为存在泄密风险的设备(即第二设备)。又例如,若上述共享对象信息指示共享路径1、共享路径2及共享路径5的共享对象均为everyone,则可以确定包括共享路径1、共享路径2的主机B,以及包括共享路径5的主机D为存在泄密风险的设备(即第二设备)。
S604,主机A获取第二设备的资产责任人信息。
主机A可向第二设备发送NBNS探测报文(也可以称为第三探测报文),以及接收第二设备发送的NBNS响应报文(也可以称为第三响应报文)。然后主机A可以从NBNS响应报文中获取第二设备的主机信息,并基于第二设备的主机信息获取第二设备的资产责任人信息。具体的,主机A获取第二设备的资产责任人信息的过程可以参考S311~S313,在此不再赘述。
S605,主机A基于第二设备的IP地址、第一共享路径以及资产责任人信息生成共享风险数据表。
其中,共享风险数据表包括IP地址、第一共享路径及资产责任人的对应关系。示例性的,该共享风险数据表可以如表2所示:
表2
Figure 907707DEST_PATH_IMAGE002
示例性的,IP地址为192.168.1.1的设备的机器名称为主机B,其包括C和python两个共享路径,该设备的MAC地址为00-1A-2B-3C-4D-56。
S606,主机A基于共享风险数据表,向资产责任人信息指示的资产责任人发送风险告警。
可选的,主机A可定时获取网段信息,以便定时筛选存在泄密风险的电子设备以及进行风险告警。
综上所述,本申请实施例提供一种共享风险告警方法,可以获取多个电子设备的资源共享情况并根据该资源共享情况从多个电子设备中筛选出存在泄密风险的电子设备,以及在获取存在泄密风险的电子设备的资产责任人信息后,主动向对应的资产责任人进行风险告警。这种方法不仅效率高,还可以减少遗漏存在泄密风险的电子设备的情况。同时能够直接关联到对应的资产责任人,有利于及时提醒资产责任人进行整改,减少泄密风险。
本申请实施例还提供一种芯片系统,如图7所示,该芯片系统包括至少一个处理器701和至少一个接口电路702。处理器701和接口电路702可通过线路互联。例如,接口电路702可用于从其它装置(例如,电子设备的存储器)接收信号。又例如,接口电路702可用于向其它装置(例如处理器701)发送信号。
例如,接口电路702可读取电子设备中存储器中存储的指令,并将该指令发送给处理器701。当所述指令被处理器701执行时,可使得电子设备执行上述实施例中的各个步骤。
当然,该芯片系统还可以包含其他分立器件,本申请实施例对此不作具体限定。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质包括计算机指令,当所述计算机指令在电子设备(如图1所示的电子设备)上运行时,使得电子设备执行上述方法实施例中电子设备执行的各个功能或者步骤。
本申请实施例还提供一种计算机程序产品,当所述计算机程序产品在计算机上运行时,使得所述计算机执行上述方法实施例中电子设备执行的各个功能或者步骤。
通过以上实施方式的描述,所属领域的技术人员可以清楚地了解到,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上内容,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (13)

1.一种共享风险告警方法,其特征在于,应用于第一设备,所述方法包括:
获取网段信息,所述网段信息包括至少一个电子设备的IP地址;
向在线设备发送第一探测报文,所述在线设备为所述至少一个电子设备中在线的设备;
接收所述在线设备发送的第一响应报文;
获取所述在线设备的共享资源信息,所述共享资源信息用于指示所述在线设备的共享路径;
向所述在线设备中的目标设备发送第二探测报文,所述目标设备为所述在线设备中共享资源信息不为空的电子设备,所述第二探测报文包括所述目标设备的IP地址以及所述目标设备的共享路径;
接收所述目标设备发送的第二响应报文,所述第二响应报文携带有所述共享路径的共享对象信息,所述共享对象信息用于指示所述共享路径的共享对象;
若所述目标设备包括第一共享路径,将所述目标设备确定为第二设备,所述第一共享路径为共享对象为所有人的路径;
基于所述第二设备的IP地址、所述第一共享路径以及资产责任人信息生成共享风险数据表,所述共享风险数据表包括所述IP地址、所述第一共享路径及所述资产责任人信息的对应关系;
基于所述共享风险数据表,向所述资产责任人信息指示的资产责任人发送风险告警,所述风险告警包括所述资产责任人信息对应的第一共享路径。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述第二设备的资产责任人信息。
3.根据权利要求2所述的方法,其特征在于,所述获取所述第二设备的资产责任人信息,包括:
向所述第二设备发送第三探测报文;
接收所述第二设备的第三响应报文,所述第三响应报文包括所述第二设备的主机信息;
基于所述主机信息在资产信息中查询得到第二设备的所述资产责任人信息。
4.根据权利要求3所述的方法,其特征在于,所述主机信息包括所述第二设备的媒体存取控制位地址、主机名称以及网上基本输入输出系统信息。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述至少一个电子设备中的在线设备。
6.根据权利要求5所述的方法,其特征在于,所述确定所述至少一个电子设备中的在线设备,包括:
基于所述网段信息,向所述至少一个电子设备分别发送第四探测报文;
若接收到任意一个电子设备发送的第四响应报文,将所述任意一个电子设备确定为所述在线设备。
7.根据权利要求1-6中任意一项所述的方法,其特征在于,所述获取网段信息,包括:
定时获取所述网段信息。
8.根据权利要求1所述的方法,其特征在于,所述第一探测报文、所述第一响应报文、所述第二探测报文、所述第二响应报文为基于服务器信息块协议的报文。
9.根据权利要求3所述的方法,其特征在于,所述第三探测报文、所述第三响应报文为基于网上基本输入输出系统信息协议的报文。
10.根据权利要求6所述的方法,其特征在于,所述第四探测报文、所述第四响应报文为基于网络控制报文协议的报文。
11.一种共享风险告警方法,其特征在于,应用于资源共享系统,所述资源共享系统包括第一设备和第二设备,所述方法包括:
所述第一设备获取网段信息,所述网段信息包括第二设备的IP地址;
所述第一设备向所述第二设备发送第四探测报文;
所述第二设备向所述第一设备发送第四响应报文;
所述第一设备向所述第二设备发送第一探测报文;
所述第二设备向所述第一设备发送第一响应报文;
所述第一设备获取所述第二设备的共享资源信息,所述共享资源信息用于指示所述第二设备的共享路径;
若所述第二设备的共享资源信息不为空,所述第一设备向所述第二设备发送第二探测报文,所述第二探测报文包括所述第二设备的IP地址和共享路径;
所述第二设备向所述第一设备发送第二响应报文,所述第二响应报文携带有所述第二设备的共享路径的共享对象信息,所述共享对象信息用于指示所述共享路径的共享对象;
若所述第二设备包括第一共享路径,所述第一共享路径为共享对象为所有人的共享路径,所述第一设备向所述第二设备发送第三探测报文;
所述第二设备向所述第一设备发送第三响应报文,所述第三响应报文包括所述第二设备的主机信息;
所述第一设备基于第二设备的主机信息在资产信息中查询得到第二设备的资产责任人信息;
所述第一设备基于第二设备的IP地址、第一共享路径以及资产责任人信息生成共享风险数据表,所述共享风险数据表包括所述IP地址、所述第一共享路径及所述资产责任人信息的对应关系;
所述第一设备基于所述共享风险数据表,向所述资产责任人信息指示的资产责任人发送风险告警,所述风险告警包括所述资产责任人信息对应的第一共享路径。
12.一种电子设备,其特征在于,包括处理器,所述处理器和存储器耦合,所述存储器存储有程序指令,当所述存储器存储的程序指令被所述处理器执行时使得所述电子设备实现权利要求1-11中任一项所述的方法。
13.一种计算机可读存储介质,其特征在于,包括计算机指令;
当所述计算机指令在电子设备上运行时,使得所述电子设备执行如权利要求1-11中任一项所述的方法。
CN202211165674.8A 2022-09-23 2022-09-23 一种共享风险告警方法及电子设备 Active CN115250206B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211165674.8A CN115250206B (zh) 2022-09-23 2022-09-23 一种共享风险告警方法及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211165674.8A CN115250206B (zh) 2022-09-23 2022-09-23 一种共享风险告警方法及电子设备

Publications (2)

Publication Number Publication Date
CN115250206A CN115250206A (zh) 2022-10-28
CN115250206B true CN115250206B (zh) 2023-03-24

Family

ID=83699944

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211165674.8A Active CN115250206B (zh) 2022-09-23 2022-09-23 一种共享风险告警方法及电子设备

Country Status (1)

Country Link
CN (1) CN115250206B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117560202A (zh) * 2023-06-20 2024-02-13 荣耀终端有限公司 一种网络资产探测方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109858243A (zh) * 2018-12-29 2019-06-07 北京奇安信科技有限公司 追踪病毒来源的方法和装置
CN111861203A (zh) * 2020-07-20 2020-10-30 苏州易卖东西信息技术有限公司 一种基于电商新零售业务设计的细粒度权限控制管理方法
CN111931171A (zh) * 2020-08-10 2020-11-13 深信服科技股份有限公司 一种共享文件安全防护方法、装置、设备及存储介质
CN113259202A (zh) * 2021-06-28 2021-08-13 四川新网银行股份有限公司 一种监控不安全文件共享的方法与系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109858243A (zh) * 2018-12-29 2019-06-07 北京奇安信科技有限公司 追踪病毒来源的方法和装置
CN111861203A (zh) * 2020-07-20 2020-10-30 苏州易卖东西信息技术有限公司 一种基于电商新零售业务设计的细粒度权限控制管理方法
CN111931171A (zh) * 2020-08-10 2020-11-13 深信服科技股份有限公司 一种共享文件安全防护方法、装置、设备及存储介质
CN113259202A (zh) * 2021-06-28 2021-08-13 四川新网银行股份有限公司 一种监控不安全文件共享的方法与系统

Also Published As

Publication number Publication date
CN115250206A (zh) 2022-10-28

Similar Documents

Publication Publication Date Title
US7987266B2 (en) Failover in proxy server networks
WO2021121370A1 (zh) 用于消息队列的消息丢失检测方法和装置
US8171125B2 (en) Scalable distributed storage and delivery
US5857188A (en) Management of client requests in a client-server environment
WO2021088254A1 (zh) 一种用户态网络文件系统双栈访问方法、装置及设备
US9634966B2 (en) Integrated two-way communications between database client users and administrators
US7945676B2 (en) Processing requests transmitted using a first communication protocol directed to an application that uses a second communication protocol
EP1952589B1 (en) Sending routing data based on times that servers joined a cluster
US20080184354A1 (en) Single sign-on system, information terminal device, single sign-on server, single sign-on utilization method, storage medium, and data signal
US20050086340A1 (en) System and methods for robust discovery of servers and services in a heterogeneous environment
US7451209B1 (en) Improving reliability and availability of a load balanced server
CN115250206B (zh) 一种共享风险告警方法及电子设备
US20230262026A1 (en) Data transmission system and method for edge computing and computer readable medium thereof
US20080205376A1 (en) Redundant router having load sharing functionality
US6519625B1 (en) Uniform network access
CN113242299A (zh) 多数据中心的容灾系统、方法、计算机设备及介质
WO2023241331A1 (zh) 物联网系统及其认证与通信方法、相关设备
EP3896931B1 (en) Spark shuffle-based remote direct memory access system and method
CN113169999A (zh) 基于位置与用户装置安全地共享文件
WO2009012697A1 (fr) Procédé et appareil d'inspection des informations de configuration
US10015093B2 (en) Communication transmission system for communication protocol failures
US20120102368A1 (en) Communicating errors between an operating system and interface layer
CN115604160A (zh) 网络检测处理方法及装置、电子设备、存储介质
WO2018121353A1 (zh) 数据通路的测试方法、测试服务器及测试系统
CN115361443B (zh) 一种报文处理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant