一种文件衍生图的构建方法及装置制造方法及图纸

本说明书公开了一种文件衍生图的构建方法及装置。所述方法包括针对任一待监测文件，执行以下图初始化操作：创建对应于该文件当前版本的文件节点F0，确定对应于该当前版本当前存储设备的设备节点D(F0)，创建F0和D(F0)之间的边；监测到预设的文件衍生操作后，针对该衍生操作执行以下图更新操作：创建对应于衍生后版本的文件节点Fn，根据该衍生后版本的当前存储设备，确定对应的设备节点D(Fn)；创建Fn和D(Fn)之间的边，创建Fn‑1和Fn之间的边，所述Fn‑1为衍生前版本对应的文件节点。本方法通过模型构建，构建出文件衍生图，用于表示文件与存储设备之间的存储关系，因此可以定位存储包含私有数据的文件的设备，从而定位泄露私有数据的设备。

A construction method and device of file derivative graph

【技术实现步骤摘要】
一种文件衍生图的构建方法及装置
本说明书实施例涉及信息安全领域，尤其涉及一种文件衍生图的构建方法及装置。
技术介绍
企业中许多设备包含敏感文件，例如商业机密文件或隐私文件，企业针对这些敏感文件具有防泄漏的安全需求，既能让这些敏感文件在企业内部设备之间传输，又不会泄露到外部。为了使这些敏感文件不会被泄露出去，存在许多防泄漏策略。但现有的防泄漏策略无法保证所有敏感文件不被泄露，当敏感文件被泄露后，为了针对泄露敏感文件的设备或员工制定补救措施，例如下载补丁或警告员工，通常需要先定位泄露敏感文件的设备或员工。然而，现有的防泄漏策略都无法定位泄露敏感文件的设备或员工，企业只能在发生敏感文件泄露的情况下逐个排查企业内部的所有设备和员工，耗时耗力。
技术实现思路
为了能够定位泄露敏感文件的设备或员工，本申请公开了一种文件衍生图的构建方法及装置。技术方案如下：一种文件衍生图的构建方法，所述文件衍生图包括文件节点及设备节点，每个文件节点对应一个文件版本，每个设备节点对应一个存储设备，所述构建方法包括：针对任一待监测文件，执行以下图初始化操作：创建对应于该文件当前版本的文件节点F0；确定对应于该当前版本当前存储设备的设备节点D(F0)；创建F0和D(F0)之间的边；监测到预设的文件衍生操作后，针对该衍生操作执行以下图更新操作：创建对应于衍生后版本的文件节点Fn；根据该衍生后版本的当前存储设备，确定对应的设备节点D(Fn)；创建Fn和D(Fn)之间的边；创建Fn-1和Fn之间的边，所述Fn-1为衍生前版本对应的文件节点；其中，确定设备节点包括：在图中创建新的设备节点、或复用图中已有的设备节点。一种文件衍生图的构建装置，所述文件衍生图包括文件节点及设备节点，每个文件节点对应一个文件版本，每个设备节点对应一个存储设备，所述装置包括：初始化单元，用于针对任一待监测文件，执行以下图初始化操作：创建对应于该文件当前版本的文件节点F0；确定对应于该当前版本当前存储设备的设备节点D(F0)；创建F0和D(F0)之间的边；更新单元，用于当监测到预设的文件衍生操作后，针对该衍生操作执行以下图更新操作：创建对应于衍生后版本的文件节点Fn；根据该衍生后版本的当前存储设备，确定对应的设备节点D(Fn)；创建Fn和D(Fn)之间的边；创建Fn-1和Fn之间的边，所述Fn-1为衍生前版本对应的文件节点；其中，确定设备节点包括：在图中创建新的设备节点、或复用图中已有的设备节点。通过上述技术方案，可以动态构建出文件衍生图，从而监控文件流转，刻画出存储设备之间的文件流转关系，在敏感文件泄露时，可以方便高效地定位泄露敏感文件的存储设备。附图说明为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书实施例中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。图1是本说明书实施例提供的一种文件衍生图；图2是本说明书实施例提供的另一种文件衍生图；图3是本说明书实施例提供的另一种文件衍生图；图4是本说明书实施例提供的另一种文件衍生图；图5是本说明书实施例提供的另一种文件衍生图；图6是本说明书实施例提供的一种文件衍生图的构建方法的流程示意图；图7是本说明书实施例提供的一种文件关联设备定位方法的流程示意图；图8是本说明书实施例提供的另一种文件关联设备定位方法的流程示意图；图9是本说明书实施例提供的一种目标设备存储文件查询方法的流程示意图；图10是本说明书实施例提供的一种目标员工持有文件查询方法的流程示意图；图11是本说明书实施例提供的一种潜在风险识别方法的流程示意图；图12是本说明书实施例提供的另一种潜在风险识别方法的流程示意图；图13是本说明书实施例提供的一种文件衍生图的构建装置的结构示意图；图14是本说明书实施例提供的一种文件关联设备定位装置的结构示意图；图15是本说明书实施例提供的另一种文件关联设备定位装置的结构示意图；图16是本说明书实施例提供的一种目标设备存储文件查询装置的结构示意图；图17是本说明书实施例提供的一种目标员工持有文件查询装置的结构示意图；图18是本说明书实施例提供的一种潜在风险识别装置的结构示意图；图19是本说明书实施例提供的另一种潜在风险识别装置的结构示意图；图20是用于配置本说明书实施例方法的一种设备的结构示意图。具体实施方式企业中许多设备包含私有数据，即敏感文件，例如商业机密文件或员工隐私文件，企业并不希望这些敏感文件泄露出去，同时需要这些文件在企业内部的设备之间传输，以用于执行业务操作。因此企业针对这些敏感文件具有一种防泄漏的安全需求，既能让这些敏感文件在企业内部设备之间传输，又不会泄露到外部。为了使这些敏感文件不会被泄露出去，存在许多并不完善的防泄漏策略，例如，企业每台设备上都安装有防泄漏程序，防泄漏程序记录了所有敏感文件内容的数字摘要。当员工在企业内部设备上对某一文件进行复制或发送操作时，防泄漏程序会计算该文件的内容数字摘要，并验证该内容数字摘要是否与任一敏感文件内容的数字摘要相同，若相同，则停止员工的操作，以使敏感文件不会被泄露。但这些防泄漏策略并不能完全保护所有敏感文件不被泄露，例如：若敏感文件内容被编辑修改，则敏感文件内容的数字摘要发生变化，防泄漏程序没有记录修改后的敏感文件新的数字摘要，所以该新的数字摘要与所有防泄漏程序记录的敏感文件内容的数字摘要都不同，导致员工针对该敏感文件的操作不受防泄漏程序的限制，修改后的敏感文件可以被复制或发送，从而泄露敏感文件。由于无法保证所有敏感文件不被泄露，当敏感文件被泄露后，为了防止未泄露的其他敏感文件通过相同的漏洞泄露出去，通常需要先定位泄露敏感文件的设备或员工，然后针对泄露敏感文件的设备或员工制定补救措施。然而，即使敏感文件通过某一漏洞泄露，目前已有的防泄漏策略都无法定位泄露敏感文件的设备或员工，从而无法针对泄露敏感文件的设备或员工制定补救措施。企业只能在发生敏感文件泄露的情况下逐个排查企业内部的所有设备和员工，耗时耗力。由于计算机文件存在可编辑性及可复制性，因此对于一个敏感文件F0，无论是对其编辑后得到的编辑版本(假设为F1)被泄露，还是对其复制后得到的复制版本(假设为F2)被泄露，都应视为等同于F0被泄露。可以理解的是：这里的“编辑”具体可以包括有修改的编辑行为、无修改的编辑行为、“另存为”等操作；“复制”可以包括：在同一设备内部进行文件复制、在不同设备之间及进行文件传输，等等。为便于描述，将会导致编辑版本或复制版本产生的操作(例如编辑、复制、传输等)统称为“衍生操作”，将衍生操作得到的新文件称为衍生文件。可以理解的是，每次衍生操本文档来自技高网...

【技术保护点】
1.一种文件衍生图的构建方法，所述文件衍生图包括文件节点及设备节点，每个文件节点对应一个文件版本，每个设备节点对应一个设备，所述构建方法包括：/n针对任一待监测文件，执行以下图初始化操作：/n创建对应于该文件当前版本的文件节点F0；确定对应于该当前版本当前存储设备的设备节点D(F0)；创建F0和D(F0)之间的边；/n监测到预设的文件衍生操作后，针对该衍生操作执行以下图更新操作：/n创建对应于衍生后版本的文件节点Fn；根据该衍生后版本的当前存储设备，确定对应的设备节点D(Fn)；创建Fn和D(Fn)之间的边；创建Fn-1和Fn之间的边，所述Fn-1为衍生前版本对应的文件节点；/n其中，确定设备节点包括：在图中创建新的设备节点、或复用图中已有的设备节点。/n

【技术特征摘要】
1.一种文件衍生图的构建方法，所述文件衍生图包括文件节点及设备节点，每个文件节点对应一个文件版本，每个设备节点对应一个设备，所述构建方法包括：
针对任一待监测文件，执行以下图初始化操作：
创建对应于该文件当前版本的文件节点F0；确定对应于该当前版本当前存储设备的设备节点D(F0)；创建F0和D(F0)之间的边；
监测到预设的文件衍生操作后，针对该衍生操作执行以下图更新操作：
创建对应于衍生后版本的文件节点Fn；根据该衍生后版本的当前存储设备，确定对应的设备节点D(Fn)；创建Fn和D(Fn)之间的边；创建Fn-1和Fn之间的边，所述Fn-1为衍生前版本对应的文件节点；
其中，确定设备节点包括：在图中创建新的设备节点、或复用图中已有的设备节点。


2.根据权利要求1所述的方法，所述图更新操作还包括：
如果D(Fn)和D(Fn-1)为不同的设备节点，则创建D(Fn-1)和D(Fn)之间的边。


3.根据权利要求2所述的方法，所述文件衍生图还包括员工节点，每个员工节点对应一个员工；
所述图初始化操作还包括：
根据对应于D(F0)的存储设备的归属员工，确定对应的员工节点A[D(F0)]；
创建D(F0)和A[D(F0)]之间的边；
所述图更新操作还包括：
如果D(Fn)为新创建的节点，则进一步确定对应的员工节点A[D(Fn)]；
创建D(Fn)和A[D(Fn)]之间的边；
其中，确定员工节点包括：在图中创建新的员工节点、或复用图中已有的员工节点。


4.根据权利要求1所述的方法，节点之间一条或多条边具有时间属性；其中：
所述F0和D(F0)之间的边的时间属性表征该文件的创建时间；
所述Fn和D(Fn)之间的边、Fn-1和Fn之间的边以及D(Fn-1)和D(Fn)之间的边的时间属性表征得到Fn的衍生操作的发生时间。


5.根据权利要求3所述的方法，员工节点和设备节点之间一条或多条边具有时间属性；其中：
所述D(Fn)和A[D(Fn)]之间的边的时间属性表征A[D(Fn)]对应的员工使用D(Fn)对应的存储设备的时间段。


6.一种基于权利要求1至5任一项所述方法构建的文件衍生图的文件关联设备定位方法，所述方法包括：
获得待检测的文件，将该文件的版本确定为目标版本；
在文件衍生图中，确定目标版本的关联节点集合；所述目标版本的关联节点集合中包括：对应于所述目标版本的文件节点F，以及通过文件节点之间的边与F直接相连或间接相连的文件节点；
针对关联节点集合中的每个节点Fx，将D(Fx)对应的存储设备添加到待检测文件的关联设备集合中。


7.一种基于权利要求1至5任一项所述方法构建的文件衍生图的目标设备存储文件查询方法，所述方法包括：
确定对应于所述目标设备的设备节点为目标设备节点；
针对与所述目标设备节点通过边直接相连的每个文件节点，将对应于该文件节点的文件版本添加到目标设备存储文件集合中。


8.一种基于权利要求3或5所述方法构建的文件衍生图的目标员工持有文件查询方法，所述方法包括：
确定对应于所述目标员工的员工节点为目标员工节点；
确定与所述目标员工节点通过边直接相连的每个设备节点，针对与该设备节点通过边直接相连的每个文件节点，将对应于该文件节点的文件版本添加到目标员工持有文件集合中。


9.一种基于权利要求1至5任一项所述方法构建的文件衍生图的潜在风险识别方法，所述方法包括：
针对所述文件衍生图中的每个设备节点，若该设备节点在预设时间段内新增边的条数大于预设阈值，则识别该设备节点对应的存储设备存在潜在风险。


10.根据权利要求9所述的方法，所述新增边具体为：
设备节点之间的边，和/或设备节点与文件节点之间的边。


11.一种基于权利要求3所述方法构建的文件衍生图的潜在风险识别方法，所述方法包括：
针对所述文件衍生图中的每个员工节点，若该员工节点在预设时间段内新增边的条数大于预设阈值，则识别该员工节点对应的员工存在潜在风险。


12.一种文件衍生图的构建装置，所述文件衍生图包括文件节点及设备节点，每个文件节点对应一个文件版本，每个设备节点对应一个存储设备，所述装置包括：
初始化单元，用于针对任一待监测文件，执行以下图初始化操作：
创建对应于该文件当前版本的文件节点F0；确定对应于该当前版本当前存储设备的设备节点D(F0)；创建F0和...

【专利技术属性】
技术研发人员：金波，
申请(专利权)人：支付宝杭州信息技术有限公司，
类型：发明
国别省市：浙江;33