本發(fā)明實施例公開一種終端網絡監(jiān)控分析文件傳播與分布的方法及系統(tǒng)，所述方法包括：終端開啟網絡監(jiān)控，監(jiān)控終端內網絡情況；有文件通過網絡進入所述終端，所述終端捕獲文件信息和網絡信息；所述終端將捕獲的所述文件信息和所述網絡信息上報至服務端，所述服務端根據上報的所述文件信息和所述網絡信息繪制文件傳播與分布圖。利用文件信息結合網絡信息進行全網內文件的態(tài)勢感知，同時可以隨時對網內文件做出快速應急響應操作。端點側的網絡監(jiān)控技術結合服務端進行控制并處置網絡內文件傳播與分布的方法，避免了網內出現病毒大爆發(fā)、疑似APT攻擊時，無法定位文件源頭、文件分布情況導致處置不及時影響網內業(yè)務系統(tǒng)等問題。

技術領域

本發(fā)明實施例涉及網絡檢測領域，尤其涉及一種終端網絡監(jiān)控分析文件傳播與分布的方法及系統(tǒng)。

背景技術

目前傳統(tǒng)的企業(yè)安全業(yè)務系統(tǒng)，只會記錄發(fā)現威脅文件信息、處理威脅文件信息等。當面臨內網內的威脅文件大規(guī)模爆發(fā)時無法定位文件源頭、文件傳播等問題。其中文件傳播是指文件在網絡內流向、分發(fā)方式，分發(fā)方式是指文件在網絡內存在的位置。

發(fā)明內容

基于上述存在的問題，本發(fā)明實施例提供一種終端網絡監(jiān)控分析文件傳播與分布的方法及系統(tǒng)，用以解決網內出現病毒大爆發(fā)、疑似APT攻擊時，無法定位文件源頭、文件分布情況導致處置不及時影響網內業(yè)務系統(tǒng)等問題。

本發(fā)明實施例公開一種終端網絡監(jiān)控分析文件傳播與分布的方法。

終端開啟網絡監(jiān)控，監(jiān)控終端內網絡情況；有文件通過網絡進入所述終端，所述終端捕獲文件信息和網絡信息；所述終端將捕獲的所述文件信息和所述網絡信息上報至服務端，所述服務端根據上報的所述文件信息和所述網絡信息繪制文件傳播與分布圖。

進一步的，所述文件信息包括：文件名、文件路徑、文件大小、文件MD5、文件特征；所述網絡信息包括：源IP、源端口、目的IP、目的端口、使用進程。

進一步的，將所述文件信息和所述網絡信息保存于服務端后臺數據庫中。

進一步的，有文件通過網絡進入所述終端，所述終端捕獲文件信息和網絡信息后，還包括；判斷所述文件信息是否有效，若是則將捕獲的所述文件信息和所述網絡信息上報至服務端；否則將文件MD5賦值給文件特征再上報至服務端。

進一步的，所述終端將捕獲的所述文件信息和所述網絡信息上報至服務端，所述服務端根據上報的所述文件信息和所述網絡信息繪制文件傳播與分布圖之后，還包括：服務端管理員可以提取某一文件，查看該文件的傳播與分布情況，并對該文件進行清除、隔離、卸載、禁用的處置。

本發(fā)明實施例公開一種終端網絡監(jiān)控分析文件傳播與分布的系統(tǒng)。

包括服務端和終端，服務端和終端通過數據傳輸管理單元和數據傳輸單元建立數據連接關系；所述服務端包括繪制單元、數據傳輸管理單元；所述終端包括監(jiān)控單元、捕獲單元、數據傳輸單元；

監(jiān)控單元：終端開啟網絡監(jiān)控，用于監(jiān)控終端內網絡情況；

捕獲單元：用于有文件通過網絡進入所述終端，所述終端捕獲文件信息和網絡信息；

繪制單元：用于接收終端捕獲并上報的所述文件信息和所述網絡信息，并根據所述文件信息和網絡信息繪制文件傳播與分布圖。

進一步的，所述文件信息包括：文件名、文件路徑、文件大小、文件MD5、文件特征；所述網絡信息包括：源IP、源端口、目的IP、目的端口、使用進程。

進一步的，該系統(tǒng)還包括存儲單元：用于將所述文件信息和所述網絡信息保存于服務端后臺數據庫中。