通过分析HTTP协议识别文件上传操作

一般来讲，绝大多数的文件上传都是通过HTTP协议实现的，比如浏览器上传文件、网盘上传文件等。准确识别文件上传操作并能够对其进行阻断，对数据防泄密（DLP）领域有重要的意义。本文提供了一种识别识别文件上传行为，并对其进行阻断的技术思路。本思路已经应用在Ping32终端安全管理系统中，可以有效的帮助客户识别终端敏感操作，进行审计并支持阻断。

首先，HTTP上传文件需要通过POST方法实现。因为和GET方法相比，POST的数据不展示在URL中会更安全。其次POST传输的数据也无长度限制，所以POST一般应用在用户登录，上传文件等场合。因为在数据防泄密的场景下，上传的文件通常都是比较大的，因此我们可以设定一个阈值，比如识别HTTP POST头中的Content-Length字段，超过指定的阈值，比如10k，即可认为是一个上传文件的操作。