一般来讲,绝大多数的文件上传都是通过HTTP协议实现的,比如浏览器上传文件、网盘上传文件等。准确识别文件上传操作并能够对其进行阻断,对数据防泄密(DLP)领域有重要的意义。本文提供了一种识别识别文件上传行为,并对其进行阻断的技术思路。本思路已经应用在Ping32终端安全管理系统中,可以有效的帮助客户识别终端敏感操作,进行审计并支持阻断。
首先,HTTP上传文件需要通过POST方法实现。因为和GET方法相比,POST的数据不展示在URL中会更安全。其次POST传输的数据也无长度限制,所以POST一般应用在用户登录,上传文件等场合。因为在数据防泄密的场景下,上传的文件通常都是比较大的,因此我们可以设定一个阈值,比如识别HTTP POST头中的Content-Length字段,超过指定的阈值,比如10k,即可认为是一个上传文件的操作。