[发明专利]一种记录局域网文件传输路径和分布情况的方法及系统

说明书

本发明提出了一种记录局域网文件传输路径和分布情况的方法及系统，将主机文件的监控同网络层面文件传输监控相结合，将监控数据汇总到服务器进行关联分析，生成文件在局域网主机之间的传输路径和分布情况。本发明弥补了现有技术中不能有效对文件传输进行双向监控，并精确生成传输路径、分析文件分布的不足。本发明可为分析文件在主机之间的扩散情况进行回溯提供基础，即使文件已经被删除，其历史传输路径仍得以记录，且通过本发明可以获取病毒文件在主机的分布情况，为清除病毒提供依据，有效减少处置时间。

技术领域

本发明涉及网络文件监控技术领域，尤其涉及一种记录局域网文件传输路径和分布情况的方法及系统。

背景技术

随着APT(Advanced Persistent Threat，高级持续性威胁)攻击的产生，网络入侵变得更加难以防御。攻击者有针对性构造的病毒越来越容易绕过主机安全软件的检测而进入主机，并可以利用正常的软件或网络通道在局域网中传播。当安全软件更新了病毒库可以检测到病毒文件时，其可能已经扩散到局域网的多台主机之中。如果提前记录文件在局域网主机之间的传输路径并统计分布情况，则可以对分析被入侵的过程和事后的处置提供依据。

目前主机上安全软件的边界监控主要是单向的，即只能监控文件进入到主机，但无法监控文件传输出主机。同时，虽然能监控到文件进入，但无法知道文件来自哪台主机。因此现有安全软件只相当于记录了有文件进入主机这种“点”事件，但无法形成文件在主机间传输路径的“线”。同时现有的主机监控，如针对移动存储设备、浏览器下载、IM即时聊天工具的监控等，由于很难将市面上所有的浏览器、IM工具等都监控到，同时这些软件的更新也可能造成既有监控点的失效，因此很难监控到全部的文件进入主机的情况。

在网络层面，可以基于VDS(Virus Detection System，网络病毒监控系统)类设备对局域网内交换机的流量进行监控，并分析出流量中传输的文件，及来源主机IP和目的主机IP。这种方式虽然可以形成文件在主机间传输路径的“线”，但这只是一种有文件传输行为发生的记录，而目的主机是否成功接收文件、在需要分析入侵事件时文件是否还存在于主机之上等问题是网络监控无法确定的。

发明内容

针对上述现有技术中存在的缺陷，本发明提出了一种记录局域网文件传输路径和分布情况的方法及系统，将主机文件的监控同网络层面文件传输监控相结合，将监控数据汇总到服务器进行关联分析，生成文件在局域网主机之间的传输路径和分布情况。

具体发明内容包括：

一种记录局域网文件传输路径和分布情况的方法，包括：

监控局域网主机上文件的新建和删除，记录主机上各文件的文件信息，并计算各文件的唯一标识；所述文件信息包括：文件名称，文件大小，文件格式、文件所在路径等文件属性信息；

将各文件的文件信息、唯一标识，以及相应文件所在主机的主机信息上报到服务器，并在服务器上创建文件状态表；

监控局域网中的文件传输，记录传输信息，并将传输信息上报到服务器；

基于传输信息，建立文件传输路径表与文件传输路径图；

对文件传输路径表中的每条记录，根据目的主机IP地址和唯一标识，与文件状态表中对应的文件所在主机IP地址和唯一标识的记录进行匹配，若匹配成功，则认为该条记录对应的文件传输成功；若匹配失败，则判断文件传输路径表中相应记录所对应的文件状态是否为新建文件，若是新建文件，且状态变化时间在文件传输时间之后的规定时间内，则认为该条记录对应的文件传输成功；否则认为该条记录对应的文件传输失败，并在文件传输路径表中将该条记录删除；

在文件传输路径图中标记文件状态；