一种终端网络监控分析文件传播与分布的方法及系统与流程

本发明实施例涉及网络检测领域，尤其涉及一种终端网络监控分析文件传播与分布的方法及系统。

背景技术：

目前传统的企业安全业务系统，只会记录发现威胁文件信息、处理威胁文件信息等。当面临内网内的威胁文件大规模爆发时无法定位文件源头、文件传播等问题。其中文件传播是指文件在网络内流向、分发方式，分发方式是指文件在网络内存在的位置。

技术实现要素：

基于上述存在的问题，本发明实施例提供一种终端网络监控分析文件传播与分布的方法及系统，用以解决网内出现病毒大爆发、疑似apt攻击时，无法定位文件源头、文件分布情况导致处置不及时影响网内业务系统等问题。

本发明实施例公开一种终端网络监控分析文件传播与分布的方法。

终端开启网络监控，监控终端内网络情况；有文件通过网络进入所述终端，所述终端捕获文件信息和网络信息；所述终端将捕获的所述文件信息和所述网络信息上报至服务端，所述服务端根据上报的所述文件信息和所述网络信息绘制文件传播与分布图。

进一步的，所述文件信息包括：文件名、文件路径、文件大小、文件md5、文件特征；所述网络信息包括：源ip、源端口、目的ip、目的端口、使用进程。

进一步的，将所述文件信息和所述网络信息保存于服务端后台数据库中。

进一步的，有文件通过网络进入所述终端，所述终端捕获文件信息和网络信息后，还包括；判断所述文件信息是否有效，若是则将捕获的所述文件信息和所述网络信息上报至服务端；否则将文件md5赋值给文件特征再上报至服务端。

进一步的，所述终端将捕获的所述文件信息和所述网络信息上报至服务端，所述服务端根据上报的所述文件信息和所述网络信息绘制文件传播与分布图之后，还包括：服务端管理员可以提取某一文件，查看该文件的传播与分布情况，并对该文件进行清除、隔离、卸载、禁用的处置。

本发明实施例公开一种终端网络监控分析文件传播与分布的系统。

包括服务端和终端，服务端和终端通过数据传输管理单元和数据传输单元建立数据连接关系；所述服务端包括绘制单元、数据传输管理单元；所述终端包括监控单元、捕获单元、数据传输单元；

监控单元：终端开启网络监控，用于监控终端内网络情况；

捕获单元：用于有文件通过网络进入所述终端，所述终端捕获文件信息和网络信息；

绘制单元：用于接收终端捕获并上报的所述文件信息和所述网络信息，并根据所述文件信息和网络信息绘制文件传播与分布图。

进一步的，所述文件信息包括：文件名、文件路径、文件大小、文件md5、文件特征；所述网络信息包括：源ip、源端口、目的ip、目的端口、使用进程。

进一步的，该系统还包括存储单元：用于将所述文件信息和所述网络信息保存于服务端后台数据库中。

进一步的，该系统还包括判断单元：用于判断有文件通过网络进入所述终端，所述终端捕获文件信息和网络信息后，所述文件信息是否有效，若是则将捕获的所述文件信息和所述网络信息上报至服务端；否则将文件md5赋值给文件特征再上报至服务端。

进一步的，该系统包括处置单元：用于所述终端将捕获的所述文件信息和所述网络信息上报至服务端，所述服务端根据上报的所述文件信息和所述网络信息绘制文件传播与分布图之后，服务端管理员可以提取某一文件，查看该文件的传播与分布情况，并对该文件进行清除、隔离、卸载、禁用的处置。

与现有技术相比，本发明实施例提供的一种终端网络监控分析文件传播与分布的方法及系统，至少实现了如下的有益效果：

终端开启网络监控，监控终端内网络情况；有文件通过网络进入所述终端，所述终端捕获文件信息和网络信息；所述终端将捕获的所述文件信息和所述网络信息上报至服务端，所述服务端根据上报的所述文件信息和所述网络信息绘制文件传播与分布图。本发明实施例利用文件信息结合网络信息进行全网内文件的态势感知，同时可以随时对网内文件做出快速应急响应操作。端点侧的网络监控技术结合服务端进行控制并处置网络内文件传播与分布的方法，避免了网内出现病毒大爆发、疑似apt攻击时，无法定位文件源头、文件分布情况导致处置不及时影响网内业务系统等问题。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一实施例提供的一种终端网络监控分析文件传播与分布的方法流程图；

图2为本发明又一实施例提供的一种终端网络监控分析文件传播与分布的方法流程图；

图3为本发明一实施例提供的一种终端网络监控分析文件传播与分布的系统结构图。

具体实施方式

为了使本发明的目的，技术方案和优点更加清楚，下面结合附图，对本发明实施例提供的终端网络监控分析文件传播与分布的方法的具体实施方式进行详细地说明。应当理解，下面所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。并且在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

本发明实施例的核心思想在于：

终端开启网络监控，监控终端内网络情况；有文件通过网络进入所述终端，所述终端捕获文件信息和网络信息；所述终端将捕获的所述文件信息和所述网络信息上报至服务端，所述服务端根据上报的所述文件信息和所述网络信息绘制文件传播与分布图。

图1为本发明的实施例提供的终端网络监控分析文件传播与分布的方法的流程图。

本发明实施例提供的终端网络监控分析文件传播与分布的方法包括：

步骤11，终端开启网络监控，监控终端内网络情况；

步骤12，有文件通过网络进入所述终端，所述终端捕获文件信息和网络信息；

其中，有文件通过网络进入终端可以是网络下载、即时通讯传输等。文件信息包括：文件名、文件路径、文件大小、文件md5、文件特征；网络信息包括：源ip、源端口、目的ip、目的端口、使用进程。

步骤13，所述终端将捕获的所述文件信息和所述网络信息上报至服务端，所述服务端根据上报的所述文件信息和所述网络信息绘制文件传播与分布图。

服务端管理员可以提取某一文件，查看该文件的传播与分布情况，并对该文件进行清除、隔离、卸载、禁用的处置。

利用文件信息结合网络信息进行全网内文件的态势感知，同时可以随时对网内文件做出快速应急响应操作。端点侧的网络监控技术结合服务端进行控制并处置网络内文件传播与分布的方法，避免了网内出现病毒大爆发、疑似apt攻击时，无法定位文件源头、文件分布情况导致处置不及时影响网内业务系统等问题。

图2为本发明的又一实施例提供的终端网络监控分析文件传播与分布的方法的流程图。

步骤21，终端开启网络监控，监控终端内网络情况；

步骤22，有文件通过网络进入所述终端，所述终端捕获文件信息和网络信息；

步骤23，判断所述文件信息是否有效，若是则将捕获的所述文件信息和所述网络信息上报至服务端；否则将文件md5赋值给文件特征再上报至服务端。

文件信息的有效性，是指在某些情况下，终端不能捕获到文件特征，因此将文件md5赋值给文件特征。例如，当文件被独占时，提取不到文件特征，此时便可将将文件md5赋值给文件特征，然后上报至服务端。

步骤24，终端将捕获的所述文件信息和所述网络信息上报至服务端，所述服务端根据上报的所述文件信息和所述网络信息绘制文件传播与分布图。

步骤25，服务端管理员可以提取某一文件，查看该文件的传播与分布情况，并对该文件进行清除、隔离、卸载、禁用的处置。

步骤26，将所述文件信息和所述网络信息保存于服务端后台数据库中。

保存文件信息和网络信息可以更好的向管理员展现文件分布、传播态势。

为更清楚说明本发明实施例的优势，给出以下具体实施案例：

某高校爆发大面积木马病毒感染高达100台机器以上。管理员可以根据查看分布图以及传播途径，快速定位威胁来源。并将分布在网内的木马病毒进行清除。

某部门单位管理员通过查看文件分布与传播图，发现某一文件在凌晨1点通过一境外ip进入网内a终端，并在2点左右，在局域网进行大面积传播，且网内杀毒软件没有预报威胁。管理员通过查看文件源头并根据其可疑行为进行判定疑似被入侵预警。

某部爆发勒索者病毒，该勒索者病毒通过网内445端口进行传播，管理员可通过筛选445端口网络传播分布数据，查看网内传播情况以及感染情况。根据网内分布情况可以进行快速追踪威胁源头并进行处置。

某行管理员通过文件分布与传播图，发现a终端每天在凌晨3点时会向局域网内终端80、22等端口进行数据请求并像境外某ip发送数据，网内安全软件没有进行告警。管理员可以快速查看问题发生源头并根据其可以行为进行告警与清除。

本发明一实施例提供的一种终端网络监控分析文件传播与分布的系统结构图，如图3所示。包括：

服务端和终端，服务端和终端通过数据传输管理单元01和数据传输单元11建立数据连接关系；所述服务端包括绘制单元02、处置单元03、存储单元04、数据传输管理单元01；所述终端包括监控单元12、捕获单元13、判断单元14、数据传输单元11；

监控单元12：终端开启网络监控，用于监控终端内网络情况；

捕获单元13：用于有文件通过网络进入所述终端，所述终端捕获文件信息和网络信息；

绘制单元02：用于所述终端将捕获的所述文件信息和所述网络信息上报至服务端，所述服务端根据上报的所述文件信息和所述网络信息绘制文件传播与分布图。

所述文件信息包括：文件名、文件路径、文件大小、文件md5、文件特征；所述网络信息包括：源ip、源端口、目的ip、目的端口、使用进程。

服务端还包括存储单元04：用于将所述文件信息和所述网络信息保存于服务端后台数据库中。

终端还包括判断单元14：用于判断有文件通过网络进入所述终端，所述终端捕获文件信息和网络信息后，所述文件信息是否有效，若是则将捕获的所述文件信息和所述网络信息上报至服务端；否则将文件md5赋值给文件特征再上报至服务端。

服务端还包括处置单元03：用于所述终端将捕获的所述文件信息和所述网络信息上报至服务端，所述服务端根据上报的所述文件信息和所述网络信息绘制文件传播与分布图之后，服务端管理员可以提取某一文件，查看该文件的传播与分布情况，并对该文件进行清除、隔离、卸载、禁用的处置。

本发明实施例公开一种终端网络监控分析文件传播与分布的方法及系统，所述方法包括：终端开启网络监控，监控终端内网络情况；有文件通过网络进入所述终端，所述终端捕获文件信息和网络信息；所述终端将捕获的所述文件信息和所述网络信息上报至服务端，所述服务端根据上报的所述文件信息和所述网络信息绘制文件传播与分布图。利用文件信息结合网络信息进行全网内文件的态势感知，同时可以随时对网内文件做出快速应急响应操作。端点侧的网络监控技术结合服务端进行控制并处置网络内文件传播与分布的方法，避免了网内出现病毒大爆发、疑似apt攻击时，无法定位文件源头、文件分布情况导致处置不及时影响网内业务系统等问题。

本发明实施例公开一种终端网络监控分析文件传播与分布的方法及系统。显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。