一、通过分析HTTP协议识别文件上传操作

一般来讲，绝大多数的文件上传都是通过HTTP协议实现的，比如浏览器上传文件、网盘上传文件等。准确识别文件上传操作并能够对其进行阻断，对数据防泄密（DLP）领域有重要的意义。

本文提供了一种识别文件上传行为，并对其进行阻断的技术思路。本思路已经应用在AnyView（网络警）网络监控软件终端安全管理系统中，可以有效的帮助客户识别终端敏感操作，进行审计并支持阻断。

首先，HTTP上传文件需要通过POST方法实现。因为和GET方法相比，POST的数据不展示在URL中会更安全。其次POST传输的数据也无长度限制，所以POST一般应用在用户登录，上传文件等场合。

因为在数据防泄密的场景下，上传的文件通常都是比较大的，因此我们可以设定一个阈值，比如识别HTTP POST头中的Content-Length字段，超过指定的阈值，比如10k，即可认为是一个上传文件的操作。

二、使用局域网管理软件,限制员工安装软件

某客户有这样的一个需求，就是给员工设置好电脑后，希望通过我们的局域网管理软件进行限制，不让员工再安装其他软件。

这样做的好处是，一方面可以禁止员工安装一些和工作无关的软件，比如视频、炒股之类的，另一方面是可以避免因为安装一些来源不可靠的软件导致系统中毒。由于这位客户和厦门天锐科技之间有过多次合作，对厦门天锐科技的软件质量也是非常的认可，所以我们不敢怠慢，立即组织工程师对可行性进行研究。

要想禁止安装软件，那么第一步要做的就是如何识别软件安装包。其实稍有使用电脑的经验的朋友就会发现，安装包不外乎有以下特点：

1.扩展名是exe或者msi
2.单个exe文件大小通常大于1MB
3.文件名有setup或者installer等单词
4.文件描述属性有setup、installer、安装程序等词汇

当我们对搜集到的大量安装程序分析后，发现第二点并不具备明显的特征性。如果常用电脑的朋友会发现，Windows在安装软件的时候如果软件不兼容，会弹出程序兼容性助手界面，如下图：

这也就是说Windows本身有一套机制是可以识别安装程序的。找出系统时如何是别的对于完成局域网管理软件中的这个功能肯定是非常有帮助的。

通过查阅大量资料我们发现，其实Windows的这一套机制正式我们上面提出的第4点，同时这项技术也被用在Windows Vista之后的系统中的UAC功能。具体可以参考MSDN中的这篇文章《New UAC Technologies for Windows Vista》。

the following attributes are checked to determine whether it is an installer:
Filename includes keywords like “install,” “setup,” “update,” etc.
Keywords in the following Versioning Resource fields: Vendor, Company Name, Product Name, File Description, Original Filename, Internal Name, and Export Name
Keywords in the side-by-side application manifest embedded in the executable
Keywords in specific StringTable entries linked in the executable
Key attributes in the resource file data linked in the executable
Targeted sequences of bytes within the executable

有了这些特征，就可以识别大部分安装包了。但是对产品的精益求精一直是厦门天锐科技的坚持不懈追求的目标之一，在安装包检测上，厦门天锐科技还设计了一套独有的检测算法，然而考虑到技术机密，这里就不说了。

借助这么多的理论分析，限制软件安装的功能已经研发出来了，用户下载最新版本的局域网监控专家就可以体验。

非常简单，我们只要先把这款软件的管理端装在管理者自己的电脑上，然后将员工端装在员工电脑上就可以了。整个安装过程也非常快捷，管理端用不了两分钟，员工更是只几十秒就可以了。

AnyView（网络警）网络监控软件局域网监控软件可以自行抓取电脑屏幕并保存。现在打开管理端软件，在左侧点击你想要查看的员工电脑，然后在右侧就可以查看你想要查看的任何信息了。“使用记录”——“屏幕记录”下就保存着员工电脑固定间隔时间下的抓取的桌面截图，大致浏览一下就可以知道员工一天中大多数时间是花在了工作上还是与工作无关的事情上。