CN107645480A - 数据监控方法及系统、装置 - Google Patents
数据监控方法及系统、装置 Download PDFInfo
- Publication number
- CN107645480A CN107645480A CN201610587411.4A CN201610587411A CN107645480A CN 107645480 A CN107645480 A CN 107645480A CN 201610587411 A CN201610587411 A CN 201610587411A CN 107645480 A CN107645480 A CN 107645480A
- Authority
- CN
- China
- Prior art keywords
- data
- mapping table
- file
- network
- data content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种数据监控方法及系统、装置,其中,该方法包括:截获待传输的网络数据;从所述网络数据中提取描述信息,其中,所述描述信息用于描述所述网络数据中携带的数据内容;根据所述描述信息,查找与所述数据内容对应的源数据内容;根据查找到的所述源数据内容,监控所述网络数据。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种数据监控方法及系统、装置。
背景技术
针对通过网络渠道发生的数据泄露行为,现有的解决方案主要有两种:其一,在局域网的网络出口处部署流量扫描装置,通过解析数据包来发现网络流量中是否包含敏感数据;其二,在终端上(个人电脑等)部署客户端程序,扫描特定进程的网络流量。两种方式各有优缺点。
采用网关部署的方式,避开了终端部署方式的软件兼容性以及复杂的客户端维护问题,但却因为增加了网关设备而提升了客户成本,同时网关巨大的网络流量对于系统的并发性和高可用性也是个巨大的挑战。由于网关是企业网络出口,一旦发生故障,将会影响整个企业网络的使用。网关产品还有其天生的缺陷,通常无法简单的将流量与终端用户关联,增加了事件排查的难度。
采用终端部署的方式,将流量过滤的任务分解到各终端,相对于网关产品而言成本低廉。由于是终端部署,通常不会因故障造成全网瘫痪的故障。作为天然的优势,终端产品能够针对特定用户灵活的制定策略,并且能够非常容易的追溯到事件源,但是,该种实现方式仍然需要对网络流量进行解析。以上两种方案过度依赖网络流量包解析的方式来发现并还原其中包含的敏感数据。并且,随着SSL加密技术的广泛应用,以上两种方案不得不面临繁重的解密任务,严重影响事件过滤的效率。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种数据监控方法及系统、装置,以至少解决由于现有的数据泄漏的监控方案需要对通信过程中的网络流量包解析并还原文件,才能实现对文件的监控,导致过滤效率不高的技术问题。
根据本申请实施例的一个方面,提供了一种数据监控方法,包括:截获待传输的网络数据;从所述网络数据中提取描述信息,其中,所述描述信息用于描述所述网络数据中携带的数据内容;根据所述描述信息,查找与所述数据内容对应的源数据内容;根据查找到的所述源数据内容,监控所述网络数据。
根据本申请实施例的又一方面,还提供了一种数据监控系统,包括:终端设备,用于截获待传输的网络数据;从所述网络数据中提取描述信息,其中,所述描述信息用于描述所述网络数据中携带的数据内容;根据所述描述信息,查找与所述数据内容对应的源数据内容;以及根据查找到的所述源数据内容,监控所述网络数据;网络侧设备,用于接收所述网络数据。
根据本申请实施例的再一方面,还提供了一种数据监控装置,包括:获取模块,用于截获待传输的网络数据;提取模块,用于从所述网络数据中提取描述信息,其中,所述描述信息用于描述所述网络数据中携带的数据内容;查询模块,用于根据所述描述信息,查找与所述数据内容对应的源数据内容;监控模块,用于根据查找到的所述源数据内容,监控所述网络数据。
在本申请实施例中,采用从待传输的网络数据中提取描述信息,并依据该描述信息查找所述描述信息所描述数据内容的源数据内容,从而依据该源数据内容监控网络数据的方式,由于不用还原待传输文件,在将网络数据进行传输之前(可以在对通信过程进行加密之前)实现了对数据内容的监控,因此,从而提高了事件过滤的效率,进而解决了由于现有的数据泄漏的监控方案需要对通信过程中的网络流量包解析并还原文件,才能实现对文件的监控,导致过滤效率不高的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本申请实施例的一种数据监控系统的结构示意图;
图2是根据本申请实施例的一种终端设备的结构示意图;
图3是根据本申请实施例的一种计算机设备的结构示意图;
图4a是根据本申请实施例的一种数据监控方法的流程图;
图4b是根据本申请实施例的另一种数据监控方法的流程图;
图5为根据本申请实施例的一种可选的文件访问历史缓存的结构示意图;
图6为根据本申请实施例的一种可选的文件访问历史缓存更新方法的流程示意图;
图7为根据本申请实施例的一种可选的数据监控设备的结构框图;
图8为根据本申请实施例的一种可选的数据监控系统中各个模块的交互过程示意图;
图9为根据本申请实施例的一种数据监控装置的结构框图;
图10为根据本申请实施例的另一种可选的数据监控装置的结构框图;
图11为根据本申请实施例的报文格式的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于理解本申请实施例,以下将本申请实施例中所涉及的技术术语简述如下:
网络数据:是指在互联网或移动通信网络中传输的数据,可以以数据包的形式进行传输。
安全套接层(Secure Sockets Layer,简称为SSL):SSL及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。该技术用于保障在Internet上数据传输的安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截获及窃听。
文件访问记录:应用对指定文件进行访问的相关信息,例如,访问时间、访问路径、访问方式等。
网盘:又称网络U盘、网络硬盘,是由互联网公司推出的在线存储服务,向用户提供文件的存储、访问、备份、共享等文件管理等功能。用户可以把网盘看成一个放在网络上的硬盘或U盘,不管你是在家中、单位或其它任何地方,只要你连接到因特网,你就可以管理、编辑网盘里的文件。不需要随身携带,更不怕丢失。
实施例1
在相关技术中,终端设备利用网络进行文件传输时,在一些特定场景中需要进行数据监控,以防止敏感文件(例如内部机密文件)的泄露,例如,在企业内部,为防止企业内部机密文件的泄露,需要对机密文件的外发行为(例如通过电子邮件向外部发送文件的行为)进行实时监控,目前,主要有两种实现方式:(1)在局域网的网络出口处部署流量扫描装置,通过解析数据包来还原要传输的文件以发现网络流量中是否包含敏感数据;(2)在终端上(个人电脑等)部署客户端程序,扫描特定进程的网络流量。但是,上述两种方案均需要对网络流量包进行解析并还原要传输的文件,以确定外发文件中是否包含敏感数据,这样便增加了由于还原要传输的文件的时间,并且由于可能会涉及到对通信过程中网络流量包的解密,影响了泄密事件的过滤效率。而本申请实施例提供的数据监控系统可以在进行通信传输前对待传输文件进行监控,一旦发现可疑行为,便可以进行拦截。
具体地,本实施例中提供一种数据监控系统,如图1所示,该数据监控系统包括但不限于:终端设备10和网络侧设备12,其中:
终端设备10,用于截获待传输的网络数据;从上述网络数据中提取描述信息,其中,上述描述信息用于描述上述网络数据中携带的数据内容;根据上述描述信息,查找与上述数据内容对应的源数据内容;以及根据查找到的上述源数据内容,监控上述网络数据。可选地,对于上述网络数据的监控可以通过以下过程实现:判断所述源数据内容中是否存在指定类型数据,如果存在,则确定所述源数据内容的类型为指定类型,如果不存在,则确定所述源数据内容的类型不是所述指定类型。这样,确定所述源数据内容的类型后,可以针对不同类型对网络数据作不同的处理,例如:在确定源数据内容的类型为指定类型(包括但不限于敏感数据、机密数据等)时,阻止所述网络数据的传输行为;在确定所述源数据内容的类型不是上述指定类型时,则允许将上述网络数据发送至网络侧设备。可选地,上述描述信息可用于指示所述待传输文件的位置信息,例如在终端本地的存储位置,上述描述信息还可以为数据内容的标识、大小、MD5值等,但不限于此。
可选地,上述数据内容的表现形式可以为URL、流数据、文件等,但不限于此。
可选地,上述描述信息携带于网络数据的字段中,例如在上述网络数据为超文件传输协议(HyperText Transfer Protocol,简称为HTTP)格式的数据包时,上述描述信息可以依据应用的不同携带于不同的字段中,例如,在通过126电子邮箱转发文件时,上述指定参数可以携带于attachment字段中。需要说明的是,组成上述网络数据的数据包的格式可以为:报文头+有效载荷数据,其中,上述文件信息携带于上述报文头中。其中,上述文件信息包括但不限于待传输文件的文件名、文件大小、哈希值。
如下图所示,以126邮箱发送附件(文件名为testfile.txt)为例,http报文头中包含了发送附件的关键参数:文件名、大小以及文件修改时间等信息。具体地,
如图11所示,在126邮箱的请求头报文中,相对于没有添加附件的报文,在requestheaders中增加了以下字段:
Mail–Upload-length:10;Mail–Upload-modtime:1468575123525;Mail–Upload-name:testfile.txt;Mail–Upload-size:10;Mail–Upload-type:0。
需要说明的是,截获上述网络数据的时间节点可以为上传文件过程中截获,也可以在将文件上传至网络侧后,但是还未被发送至接收方时截获(本地已经触发网络数据的发送,但是,还未发送至网络链路中)。具体可以根据应用不同或者预设规则不同灵活调整。
例如,在通过电子邮箱发送文件过程中,在接收到用户对文件的选择指令后,开始上传选择的文件,此时将文件进行封装,得到网络数据,然后对截获的网络数据进行解析,得到文件标识等文件信息,然后依据该文件信息找到对应的文件访问记录,并对从该文件访问记录中找到对应的文件访问路径,依据该文件访问路径找到(终端本地存储)源文件,并进行扫描;判断该文件中是否包括敏感数据,如果包括,则确定该文件为敏感文件,该文件的外发行为属于涉嫌泄露敏感数据行为,对此次外传发行为进行拦截;如果不包括上述敏感数据,则说明该文件属于非敏感文件,允许将上述文件进行外发。
又例如,使用Outlook邮箱时,在将本地的文件上传至Outlook后,触发发送邮件的操作过程中,截获对文件进行封装后得到的网络数据包,然后依据和上述举例类似的方案在安装Outlook应用的终端中查找上述文件(例如在D盘中查找),进一步判断查找到的文件是否为敏感文件,从而判断本次文件外发行为是否属于泄密行为,具体参见上面所举实例的说明,此处不再赘述。
又例如,在向网盘中上传文件时,在通过浏览器选中某个文件后,触发上传(upload)进程(例如通过点击网盘中设置的上传按钮触发),此时,截获对上述文件进行封装后的网络数据,对该网络数据进行解析,得到外发文件参数,然后依据该外发文件参数找到相应的文件(存储在本地磁盘中的文件),然后判断该文件是否属于敏感文件,进而判断此次文件外发行为是否属于泄密行为,其中,依据上述外发文件参数查找相应的文件以及判断上述文件是否为敏感文件的处理过程和上述在电子邮箱中发送文件时的处理过程类似,此处不再赘述。
其中,终端设备10在查找与上述描述信息对应的待传输文件时,为查找到该待传输的网络数据需要获取数据内容的访问路径,该访问路径可以从存储的历史记录中查询,例如可以从一般的存储器或缓存中查找访问记录,并从上述访问记录中获取上述网络数据的文件访问路径,这样便可以依据该访问路径查找到上述网络数据中描述信息所对应的源数据内容,从而实现对源数据内容进行扫描,以判断待传输的网络数据中是否存在指定类型的数据。其中,为了进一步提高过滤效率,可以将上述文件访问记录存储在缓存中,即从缓存中查找上述文件访问记录。
可选地,终端设备10,还用于在上述判断结果指示存在上述指定类型数据时,确定上述待传输文件为上述指定类型的文件;以及在上述判断结果指示不存在上述指定类型数据时,确定上述待传输文件不是上述指定类型的文件。
所述源数据内容为按照预定路径存储的数据内容,该预定路径可以是终端本地的磁盘路径,例如C盘、D盘等,也可以为网盘。在本申请的一个优选实施例中,可以是本地的访问路径,这样可以实现不用对数据内容进行解析,在外发之前便可以进行敏感文件的识别,以实现拦截。
在本申请的一个可选实施例中,上述缓存中包括:第一类映射表和第二类映射表;其中,上述第一类映射表和上述第二类映射表均包括上述文件访问记录的标识以及上述文件访问记录,且与上述第一类映射表中上述文件访问记录对应的访问时间晚于与上述第二类映射表中文件访问记录对应的访问时间。为了节省缓存空间和保证搜索效率,第一类映射表和第二类映射表的类型(或身份)是可以互换的,以保证在上述第一类映射表中的访问记录总是比第二类映射表中的访问记录“新”,此时可以通过以下处理过程实现:存储的上述文件访问记录的数量大于预设阈值时,清空上述第二类映射表中的文件访问记录,并将上述第二类映射表作为上述第一类映射表。
在一个可选实施例中,上述终端设备,还用于截获上述数据内容的访问请求,判断所述第一类映射表中和所述第二类映射表中是否存在与所述访问请求对应的文件访问记录;如果第一类映射表中存在,则更新所述第一类映射表中的文件访问记录;如果第二类映射表中存在,则删除所述第二类映射表中与所述访问请求对应的文件访问记录。
可选地,上述终端设备,还用于在确定上述源数据内容为指定类型时,对上述待传输的网络数据进行拦截处理。
网络侧设备12,用于接收上述网络数据。
在本申请的一个可选实施例中,如图2所示,上述终端设备10可以通过其包括的以下结构实现,但不限于此:
处理器100,用于截获待传输的网络数据;从所述网络数据中提取描述信息,其中,所述描述信息用于描述所述网络数据中携带的数据内容;根据所述描述信息,查找与所述数据内容对应的源数据内容;以及根据查找到的所述源数据内容,监控所述网络数据;
网卡102,用于将所述网络数据传输至网络。
需要说明的是,上述图1所示数据监控系统和图2所示终端设备的优选或可选实施例可以参见以下方法实施例中的描述,此处不再赘述。
基于上述数据监控系统和终端设备,本申请实施例,还提供了一种数据监控的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例所提供的方法实施例可以在移动终端、计算机设备或者类似的运算装置中执行。以运行在图2中所示的终端设备10为例,如图3所示,上述终端设备除了包括处理器100和网卡102之外,还可以包括存储器104,其中,网卡102还可以被其它有线通信模块或无线通信模块等传输装置106代替。
如图3所示,终端设备10可以包括一个或多个(图中仅示出一个)处理器100(处理器100可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解,图3所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,终端设备10还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的数据监控方法对应的程序指令/模块,处理器100通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的数据监控方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器100远程设置的存储器,这些远程存储器可以通过网络连接至终端设备10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括终端设备10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在上述运行环境下,本申请提供了如图4a所示的数据监控方法。该数据监控方法可以适用于网络通信加密的场景(即有些网站将数据包加密以后通过网络传输出去),常见的加密技术如SSL加密等。本申请提供的数据监控方法相对于相关技术中的方案,可以在通信加密前进行监控拦截,可以减少由于解密而导致的文件过滤效率低的问题。
图4a是根据本申请实施例的数据监控方法的流程图。如图4a所示,该方法包括步骤S402-S408:
步骤S402,截获待传输的网络数据。
步骤S404,从所述网络数据中提取描述信息,其中,所述描述信息用于描述所述网络数据中携带的数据内容。
可选地,上述描述信息可以承载在上述网络数据的字段中,需要说明的是,该字段依据应用的不同可以有不同的名称,例如对于126邮箱而言,该字段可以为http协议数据中的attachment字段。此时,步骤S404中提取描述的过程可以表现为对上述网络数据进行解析,并从解析后得到的网络数据中提取出上述字段,但是,步骤S404的实现形式并不限于此。
在依据上述描述信息查找上述待传输的网络数据时,可以依据上述描述信息获取待传输的网络数据的访问路径;并依据该访问路径查找上述描述信息所描述数据内容的源数据内容,其中,该访问路径的获取方式有多种,例如,可以从缓存中获取与上述描述信息对应的文件访问记录,从上述文件访问记录中获取所述访问路径,但不限于该实现方式。
其中,上述文件访问记录可以存储于缓存(可以称为文件访问历史缓存)中,且为预定时间段内的文件访问记录(又称为文件访问历史记录)。
以浏览器传输文件为例,上述文件访问历史缓存用于存储浏览器进程访问文件的历史记录。随着用户使用浏览器时间增加,文件访问历史缓存的数据量将会不断地增大,一方面,膨胀的历史缓存将消耗掉可观的物理存储空间,而且随着时间的推移,旧的访问记录将会失效,继续存储在缓存库中是浪费有限的存储资源;另一方面,庞大的缓存库将严重影响其搜索效率。鉴于上述原因,缓存库在保证良好的搜索性能的同时,还需要具备淘汰陈旧记录的机制。
为解决上述问题,在本申请的一个可选实施例中,上述文件访问历史记录可以以映射表的形式存在,并且,存在两类映射表:第一类映射表和第二类映射表;其中,所述第一类映射表包括第一类文件访问记录,所述第二类映射表包括第二类文件访问记录,且所述第一类文件访问记录对应的访问时间晚于所述第二类文件访问记录对应的访问时间。可选地,上述第一类映射表和上述第二类映射表均包括上述文件访问记录的标识以及上述文件访问记录。例如在同一日,第一类映射表中存储的文件访问记录对应的时间为16:00-19:00,而第二类映射表中存储的文件访问记录所对应的时间为10:00-15:00。
其中,上述文件访问历史记录的来源可以有多种,例如可以通过截获上述待传输文件的访问请求获取,具体地,在从待传输的网络数据中提取描述信息之前,截获所述待传输文件的访问请求,判断所述第一类映射表中和所述第二类映射表中是否存在与所述访问请求对应的文件访问记录;如果第一类映射表中存在,则更新所述第一类映射表中的访问记录;如果第二类映射表中存在,则删除所述第二类映射表中与所述访问请求对应的记录。
为保证第一类映射表中的文件访问记录对应的时间总是晚于第二类映射表中文件访问记录对应的时间,在上述第一类映射表中存储的上述文件访问记录的数量大于预设阈值时,清空上述第二类映射表中的文件访问记录,并互换所述第一类映射表和第二类映射表的类型,即将映射表a由第二类映射表变为上述第一类映射表,将映射表b由所述第一类映射表变为第二类映射表,这样,可以始终保证第一类映射表存储的文件访问记录是最新的。
为便于理解上述第一类映射表和第二类映射表,以下结合具体实例详细说明。
如图5所示,缓存中的历史记录主要由两个映射表,即活动映射表(即第一类映射表)和影子映射表(即第二类映射表)组成。活动映射表和影子映射表存储结构、容量完全一致,二者只是逻辑概念上的差异,由活动映射表索引指定的表即为活动活动的映射表,而另外一个则自然成为影子表。映射表主键为文件访问信息某个具有标识性的字段,值为文件访问信息本身。根据搜索性能的要求,映射表可以采用哈希表或红黑树等结构存储键值对。
图6展示了缓存中文件访问记录的更新流程。如图6所示,该流程包括以下处理步骤:
步骤S602,插入文件访问记录,即向缓存中添加新的文件访问记录;
步骤S604,搜索历史记录,即可以依次在两个表中搜索该文件访问记录,如果发现活动映射表中存在该文件访问记录,则转步骤S606;如果发现影子映射表中存在相同记录,则转步骤S608;(实际上这两步操作相当于,将影子表中的记录移动到活动映射表中,之所以如此,是为了确保活动映射表中记录总是比影子表中的新);
步骤S606,更新记录相关属性并结束本次操作;
步骤S608,将影子映射表中的文件访问记录删除,转步骤S610;
步骤S610,在活动映射表中插入文件访问记录,即将步骤S602中所提及的文件访问记录(即新的文件访问记录)添加到活动映射表中。事实上,步骤S606和S608中的操作步骤相当于,将影子表中的记录移动到活动映射表中,之所以如此,是为了确保活动映射表中记录总是比影子表中的新,即活动映射表中文件访问记录的时间晚于影子映射表中文件记录的时间。
步骤S612,判断活动映射表中是否已经满载。由于活动映射表中增加了新记录,为了保证缓存库的大小,此时需要检查活动表是否已经满载,如果是转步骤S614,否则,更新结束,结束此次操作。
步骤S614,清除影子映射表中所有记录,并置换活动映射表表与影子映射表的身份。由于影子映射表中存储的记录总是较活动映射表中旧(即活动映射表中的记录的时间要晚于影子映射表中记录的时间),所以可以保证,每次清除影子表中记录,总是淘汰掉较旧的历史记录,并且每次最多淘汰掉整个缓存库一半(具体可以根据实际情况灵活设定)的记录。若未满载,则结束本次操作;如果活动映射表和影子映射表中均无相关记录,则将该记录添加到活动表中,并执行如前所述的活动表满载检查。
当向缓存中添加新的文件访问记录时,首先依次在两个表中搜索该文件访问记录,如果发现活动映射表中存在该文件访问记录,则更新记录相关属性并结束本次操作;如果发现影子映射表中存在相同记录,则将影子映射表中的文件访问记录删除,将新记录添加到活动映射表中(实际上这两步操作相当于,将影子表中的记录移动到活动映射表中,之所以如此,是为了确保活动映射表中记录总是比影子表中的新),由于活动表中增加了新记录,为了保证缓存库的大小,此时需要检查活动表是否已经满载,若满载,则清除影子映射表中所有记录,并置换活动映射表表与影子映射表的身份(由于影子映射表中存储的记录总是较活动映射表中旧(即活动映射表中的记录的时间要晚于影子映射表中记录的时间),所以可以保证,每次清除影子映射表中记录,总是淘汰掉较旧的历史记录,并且每次最多淘汰掉整个缓存库一半的记录),若未满载,则结束本次操作;如果活动映射表和影子映射表表中均无相关记录,则将该记录添加到活动映射表中,并执行如前所述的活动映射表满载检查。
步骤S406,根据所述描述信息,查找与所述数据内容对应的源数据内容;
步骤408,根据查找到的所述源数据内容,监控所述网络数据;
可选地,依据上述判断结果确定上述源数据内容是否为指定类型之后,在确定上述源数据内容为指定类型时,对上述待传输的网络数据进行拦截处理,即对传输上述待传输文的网络数据的行为进行拦截。其中,在判断上述源数据内容的类型时,可以通过判断源数据内容中是否包括指定类型的信息来判断,例如,在包括指定类型的信息时,则判定源数据内容为指定类型,否则,判定源数据内容不是指定类型。
可选地,上述指定类型可以表现为涉及文件泄露的敏感数据,例如将特定类型的文件作为重点监控对象,在检测到该特定类型的数据时,则认为该文件为敏感文件,同时,认为此次对上述待传输文件的传输行为属于文件泄露行为。
为便于理解图4a所示步骤,以下结合本申请的一个可选实施例详细说明,如图4b所示,本申请实施例提供的数据监控方法包括以下处理步骤:
步骤S1,浏览器进程从终端的本地硬盘中读取文件,该行为作为文件访问记录存储至缓存中;
步骤S2,浏览器对上述文件进行封装后,得到网络数据;
步骤S3,在触发发送该网络数据,但是还未发送至网络链路中时,截获上述网络数据包;
步骤S4,对截获的网络数据包进行解析,得到指定参数,并依据该指定参数查找上述缓存中的文件访问记录;
步骤S5,从文件访问记录中查找上述文件的访问路径,并依据该访问路径查找到上述文件;
步骤S6,对查找到的文件进行扫描,确定文件中是否存在敏感数据,如果存在,则确定文件属于敏感文件,需要对本次文件外发行为进行拦截,否则,确定文件属于非敏感文件,正常发送上述文件。
本申请实施例提供的数据监控方法还可以通过图7所示的数据监控设备(相当于终端设备10)实现,如图7所示,该数据监控设备包括以下模块:
文件扫描引擎70:根据制定的策略,检查文件属性、内容,并将详细的扫描结果反馈给事件仲裁器。
事件仲裁器72:用于判定一次网络通信是否涉嫌外发文件,启动文件扫描引擎扫描文件,根据扫描结果,通过网络协议解析器通知网络流量过滤器,采取对应措施。
网络协议解析器74:解析网络数据包,抽取出必要的字段,交由事件仲裁器做后续处理,并将仲裁器返回结果传递到网络流量过滤器。
网络流量过滤器76:截获网络流量,送交网络协议解析器解析,并根据返回结果,执行相应的操作。
文件访问过滤器78:捕获浏览器进程所有的文件访问行为,并将文件访问相关信息送交文件访问历史缓存作相应处理后存档;
文件访问历史缓存80:缓存浏览器一段时间内的文件访问历史记录,因此,缓存库具有一定的时效性。除此之外,网络协议解析器需要根据解析结果中特定字段,从缓存中查询详细的文件访问信息,所以缓存库需要维持良好的查询、更新和插入性能。
文件泄露事件库82:存储事件仲裁器裁定的文件泄露事件信息。
图8示出了上述各个模块的信息交互过程。如图8所示,当用户通过浏览器上传文件时,整个过程将分为两步,首先进程访问文件系统,读取文件内容,而这一行为将被文件访问过滤器捕获,并报给文件访问历史缓存,具体步骤可以参见以下泄密事件的检测原理说明中的步骤(1)-(4);然后,浏览器进程将发起网络操作,构造网络数据包,发送数据,发送的网络数据包将被网络流量过滤器捕获并镜像拷贝送交网络协议解析器分析,网络协议解析器获得必要的外传文件参数,交由事件仲裁器判定事件性质。事件仲裁器根据相关信息,扫描文件,根据扫描结果判定该文件外发行为是否涉嫌泄密,并将结果存入文件泄漏事件库,具体参见以下泄密事件的检测原理说明中的步骤(5)-(9)。
以下是与图8对应的检测步骤:
(1)浏览器发起访问硬盘文件的I/O请求,该请求被文件访问过滤器捕获,转到步骤(2);
(2)文件访问过滤器将该事件异步通知文件访问历史缓存,由步骤(3)完成后续处理,文件访问过滤器继续将I/O请求结果传递给浏览器进程,转步骤(4);
(3)收到文件访问过滤器的异步通知,更新历史记录缓存;
(4)浏览器完成文件访问,转步骤(5);
(5)浏览器进程发起网络I/O请求,该请求被网络流量过滤器捕获,网络流量过滤装器将数据包镜像拷贝异步送交网络协议解析器,转步骤(8)继续处理,网络流量过滤装器将网络I/O请求继续传递到网卡设备,转步骤(6);
(6)网卡完成浏览器网络I/O请求,处理结果返回浏览器,转步骤(7);
(7)浏览器完成本次网络请求;
(8)网络协议解析器解析网络数据包,并根据相关字段,从文件访问历史记录缓存中检索浏览器上传文件的相关信息,将必要的信息交由事件仲裁器作后续处理,转步骤(9);
(9)根据事件仲裁器上报的信息,使用文件扫描引擎扫描文件,根据文件扫描引擎返回结果,判定该次文件外传行为是否涉嫌泄露敏感数据,对于确定的泄露行为,将事件添加到文件泄漏事件库中,完成本次浏览器外传文件行为监控;
在本申请实施例中,由于在将网络数据进行传输之前(即对通信过程进行加密之前)实现了对文件的监控,因此,达到了在对待传输文件进行通信加密前进行过滤的目的,从而提高了事件过滤的效率,进而解决了由于现有的数据泄漏的监控方案需要对通信过程中的网络流量包解析并还原文件,才能实现对文件的监控,导致过滤效率不高的技术问题。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例2
根据本申请实施例,还提供了一种用于实施上述数据监控方法的装置,如图9所示,该装置包括:
获取模块900,用于截获待传输的网络数据;
提取模块902,用于从所述网络数据中提取描述信息,其中,所述描述信息用于描述所述网络数据中携带的数据内容;
查询模块904,用于根据所述描述信息,查找与所述数据内容对应的源数据内容;
监控模块906,用于根据查找到的所述源数据内容,监控所述网络数据。
可选地,查询模块904,还用于依据上述描述信息获取上述待传输的网络数据的访问路径;并依据该访问路径查找上述待传输的网络数据。其中,查询模块902,可以从缓存中获取与上述描述信息对应的文件访问记录,从上述文件访问记录中获取上述访问路径。其中,上述描述信息可以表现为参数的形式,但不限于此。
可选地,上述缓存中包括:第一类映射表和第二类映射表;其中,上述第一类映射表和上述第二类映射表均包括上述文件访问记录的标识以及上述文件访问记录,且与上述第一类映射表中上述文件访问记录对应的访问时间晚于与上述第二类映射表中文件访问记录对应的访问时间。
可选地,如图10所示,上述装置还可以包括但不限于:截获模块908,用于截获上述数据内容的访问请求,并将与上述访问请求对应的文件访问记录存储至上述第一类映射表,以对上述缓存的历史记录进行更新。
可选地,如图10所示,上述装置还包括但不限于:更新模块910,用于在上述第一类映射表中存储的上述文件访问记录的数量大于预设阈值时,清空上述第二类映射表中的文件访问记录,并互换第一类映射表和第二类映射表的类型。
需要说明的是,本申请实施例中所涉及的各个模块是可以通过软件或硬件的形式来实现的,对于后者,可以表现为以下实现形式:上述各个模块位于同一处理器中;或者,上述各个模块以任意组合的形式位于不同的处理器中。
实施例4
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例1所提供的数据监控方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机设备群中的任意一个计算机设备中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:截获待传输的网络数据;从所述网络数据中提取描述信息,其中,所述描述信息用于描述所述网络数据中携带的数据内容;根据所述描述信息,查找与所述数据内容对应的源数据内容;根据查找到的所述源数据内容,监控所述网络数据。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (17)
1.一种数据监控方法,其特征在于,包括:
截获待传输的网络数据;
从所述网络数据中提取描述信息,其中,所述描述信息用于描述所述网络数据中携带的数据内容;
根据所述描述信息,查找与所述数据内容对应的源数据内容;
根据查找到的所述源数据内容,监控所述网络数据。
2.根据权利要求1所述的方法,其特征在于,根据所述描述信息,查找与所述数据内容对应的源数据内容,包括:
依据所述描述信息获取所述数据内容的访问路径;并依据该访问路径查找所述源数据内容。
3.根据权利要求2所述的方法,其特征在于,依据所述描述信息获取所述数据内容的访问路径,包括:
从缓存中获取与所述描述信息对应的文件访问记录,从所述文件访问记录中获取所述访问路径。
4.根据权利要求3所述的方法,其特征在于,所述缓存中包括:第一类映射表和第二类映射表;其中,所述第一类映射表包括第一类文件访问记录,所述第二类映射表包括第二类文件访问记录,且所述第一类文件访问记录对应的访问时间晚于所述第二类文件访问记录对应的访问时间。
5.根据权利要求4所述的方法,其特征在于,从所述网络数据中提取文件信息之前,所述方法还包括:
截获所述数据内容的访问请求,判断所述第一类映射表中和所述第二类映射表中是否存在与所述访问请求对应的文件访问记录;
如果第一类映射表中存在,则更新所述第一类映射表中的文件访问记录;如果第二类映射表中存在,则删除所述第二类映射表中与所述访问请求对应的文件访问记录。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:在所述第一类映射表中存储的所述文件访问记录的数量大于预设阈值时,清空所述第二类映射表中的文件访问记录,并互换所述第一类映射表和第二类映射表的类型。
7.根据权利要求1所述的方法,其特征在于,截获待传输的网络数据,包括:
在将所述网络数据上传至网络侧的过程中截获所述网络数据;或者
在将所述网络数据上传至网络侧后且在将所述网络数据发送至接收方之前截获所述网络数据。
8.根据权利要求1所述的方法,其特征在于,根据查找到的所述源数据内容,监控所述网络数据,包括:
判断所述源数据内容中是否存在指定类型数据,如果存在,则确定所述源数据内容的类型为指定类型,如果不存在,则确定所述源数据内容的类型不是所述指定类型。
9.根据权利要求1至8中任一项所述的方法,其特征在于,所述描述信息携带于所述网络数据的报文头的指定字段中。
10.根据权利要求1至8中任一项所述的方法,其特征在于,所述源数据内容为按照预定路径存储的数据内容。
11.一种数据监控系统,其特征在于,包括:
终端设备,用于截获待传输的网络数据;从所述网络数据中提取描述信息,其中,所述描述信息用于描述所述网络数据中携带的数据内容;根据所述描述信息,查找与所述数据内容对应的源数据内容;以及根据查找到的所述源数据内容,监控所述网络数据;
网络侧设备,用于接收所述网络数据。
12.根据权利要求11所述的数据监控系统,其特征在于,所述终端设备,还用于依据所述描述信息获取所述数据内容的访问路径;并依据该访问路径查找所述源数据内容。
13.根据权利要求12所述的数据监控系统,其特征在于,所述终端设备,还用于从缓存中获取与所述描述信息对应的文件访问记录,从所述文件访问记录中获取所述访问路径。
14.根据权利要求13所述的数据监控系统,其特征在于,所述缓存中包括:第一类映射表和第二类映射表;其中,所述第一类映射表包括第一类文件访问记录,所述第二类映射表包括第二类文件访问记录,且所述第一类文件访问记录对应的访问时间晚于所述第二类文件访问记录对应的访问时间。
15.根据权利要求14所述的数据监控系统,其特征在于,所述终端设备,还用于截获所述数据内容的访问请求,判断所述第一类映射表中和所述第二类映射表中是否存在与所述访问请求对应的文件访问记录;如果第一类映射表中存在,则更新所述第一类映射表中的文件访问记录;如果第二类映射表中存在,则删除所述第二类映射表中与所述访问请求对应的文件访问记录。
16.根据权利要求14所述的数据监控系统,其特征在于,所述终端设备,还用于在所述第一类映射表中存储的所述文件访问记录的数量大于预设阈值时,清空所述第二类映射表中的文件访问记录,并互换所述第一类映射表和第二类映射表的类型。
17.一种数据监控装置,其特征在于,包括:
获取模块,用于截获待传输的网络数据;
提取模块,用于从所述网络数据中提取描述信息,其中,所述描述信息用于描述所述网络数据中携带的数据内容;
查询模块,用于根据所述描述信息,查找与所述数据内容对应的源数据内容;
监控模块,用于根据查找到的所述源数据内容,监控所述网络数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610587411.4A CN107645480B (zh) | 2016-07-22 | 2016-07-22 | 数据监控方法及系统、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610587411.4A CN107645480B (zh) | 2016-07-22 | 2016-07-22 | 数据监控方法及系统、装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107645480A true CN107645480A (zh) | 2018-01-30 |
| CN107645480B CN107645480B (zh) | 2021-04-30 |
Family
ID=61109718
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610587411.4A Active CN107645480B (zh) | 2016-07-22 | 2016-07-22 | 数据监控方法及系统、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107645480B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108171081A (zh) * | 2018-02-01 | 2018-06-15 | 云易天成(北京)安全科技开发有限公司 | 一种基于文件上传的文件过滤方法、介质及设备 |
| CN109688166A (zh) * | 2019-02-28 | 2019-04-26 | 新华三信息安全技术有限公司 | 一种异常外发行为检测方法及装置 |
| CN110311946A (zh) * | 2019-05-10 | 2019-10-08 | 国网浙江省电力有限公司宁波供电公司 | 基于云雾计算的业务数据安全处理方法、装置及系统 |
| CN111131183A (zh) * | 2019-12-05 | 2020-05-08 | 任子行网络技术股份有限公司 | 网络安全监控方法、计算机设备及计算机可读存储介质 |
| CN111542056A (zh) * | 2020-05-22 | 2020-08-14 | 济南三泽信息安全测评有限公司 | 移动通讯安全智能监测方法、系统及装置 |
| CN112422739A (zh) * | 2020-11-10 | 2021-02-26 | 南京中孚信息技术有限公司 | 一种基于对移动终端接收的文件内容实时监控方法及系统 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101013445A (zh) * | 2007-02-14 | 2007-08-08 | 白杰 | 一种目标文件的确定方法和装置 |
| CN102006588A (zh) * | 2010-12-28 | 2011-04-06 | 北京安天电子设备有限公司 | 智能手机网络行为监控的方法和系统 |
| WO2011156679A1 (en) * | 2010-06-11 | 2011-12-15 | M86 Security, Inc. | System and method for blocking the transmission of sensitive data using dynamic data tainting |
| CN102420837A (zh) * | 2009-11-10 | 2012-04-18 | 浙江省公众信息产业有限公司 | 基于ndis的方法及系统 |
| CN102467618A (zh) * | 2010-11-04 | 2012-05-23 | 上海宝信软件股份有限公司 | 局域网内共享文件操作的审计系统及方法 |
| CN102902909A (zh) * | 2012-10-10 | 2013-01-30 | 北京奇虎科技有限公司 | 一种防止文件被篡改的系统和方法 |
| CN102982279A (zh) * | 2012-11-07 | 2013-03-20 | 北京奇虎科技有限公司 | 计算机辅助设计病毒感染防止系统和方法 |
| CN103327183A (zh) * | 2013-06-13 | 2013-09-25 | 中国科学院信息工程研究所 | 基于标签的安卓用户隐私数据黑盒防护方法及系统 |
| CN104268082A (zh) * | 2014-09-26 | 2015-01-07 | 北京国双科技有限公司 | 浏览器的压力测试方法和装置 |
| CN104967543A (zh) * | 2015-06-28 | 2015-10-07 | 国网山东济阳县供电公司 | 一种数据考核校验的系统及其方法 |
| CN105430195A (zh) * | 2015-12-31 | 2016-03-23 | 中科创达软件股份有限公司 | 一种数据发送方法 |
| CN105681298A (zh) * | 2016-01-13 | 2016-06-15 | 成都安信共创检测技术有限公司 | 公共信息平台中的数据安全异常监测方法及系统 |
| CN105743925A (zh) * | 2016-04-19 | 2016-07-06 | 浙江宇视科技有限公司 | 一种数据传输控制方法及视频监控系统 |
| CN105743732A (zh) * | 2015-12-28 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种记录局域网文件传输路径和分布情况的方法及系统 |
-
2016
- 2016-07-22 CN CN201610587411.4A patent/CN107645480B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101013445A (zh) * | 2007-02-14 | 2007-08-08 | 白杰 | 一种目标文件的确定方法和装置 |
| CN102420837A (zh) * | 2009-11-10 | 2012-04-18 | 浙江省公众信息产业有限公司 | 基于ndis的方法及系统 |
| WO2011156679A1 (en) * | 2010-06-11 | 2011-12-15 | M86 Security, Inc. | System and method for blocking the transmission of sensitive data using dynamic data tainting |
| CN102467618A (zh) * | 2010-11-04 | 2012-05-23 | 上海宝信软件股份有限公司 | 局域网内共享文件操作的审计系统及方法 |
| CN102006588A (zh) * | 2010-12-28 | 2011-04-06 | 北京安天电子设备有限公司 | 智能手机网络行为监控的方法和系统 |
| CN102902909A (zh) * | 2012-10-10 | 2013-01-30 | 北京奇虎科技有限公司 | 一种防止文件被篡改的系统和方法 |
| CN102982279A (zh) * | 2012-11-07 | 2013-03-20 | 北京奇虎科技有限公司 | 计算机辅助设计病毒感染防止系统和方法 |
| CN103327183A (zh) * | 2013-06-13 | 2013-09-25 | 中国科学院信息工程研究所 | 基于标签的安卓用户隐私数据黑盒防护方法及系统 |
| CN104268082A (zh) * | 2014-09-26 | 2015-01-07 | 北京国双科技有限公司 | 浏览器的压力测试方法和装置 |
| CN104967543A (zh) * | 2015-06-28 | 2015-10-07 | 国网山东济阳县供电公司 | 一种数据考核校验的系统及其方法 |
| CN105743732A (zh) * | 2015-12-28 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种记录局域网文件传输路径和分布情况的方法及系统 |
| CN105430195A (zh) * | 2015-12-31 | 2016-03-23 | 中科创达软件股份有限公司 | 一种数据发送方法 |
| CN105681298A (zh) * | 2016-01-13 | 2016-06-15 | 成都安信共创检测技术有限公司 | 公共信息平台中的数据安全异常监测方法及系统 |
| CN105743925A (zh) * | 2016-04-19 | 2016-07-06 | 浙江宇视科技有限公司 | 一种数据传输控制方法及视频监控系统 |
Non-Patent Citations (2)
| Title |
|---|
| 吴非等: "基于Web日志挖掘的门户流量分析系统规划与设计", 《通信管理与技术》 * |
| 赵方等: "基于业务流程的Web应用监控系统研究", 《计算机工程》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108171081A (zh) * | 2018-02-01 | 2018-06-15 | 云易天成(北京)安全科技开发有限公司 | 一种基于文件上传的文件过滤方法、介质及设备 |
| CN109688166A (zh) * | 2019-02-28 | 2019-04-26 | 新华三信息安全技术有限公司 | 一种异常外发行为检测方法及装置 |
| CN110311946A (zh) * | 2019-05-10 | 2019-10-08 | 国网浙江省电力有限公司宁波供电公司 | 基于云雾计算的业务数据安全处理方法、装置及系统 |
| CN111131183A (zh) * | 2019-12-05 | 2020-05-08 | 任子行网络技术股份有限公司 | 网络安全监控方法、计算机设备及计算机可读存储介质 |
| CN111131183B (zh) * | 2019-12-05 | 2022-05-31 | 任子行网络技术股份有限公司 | 网络安全监控方法、计算机设备及计算机可读存储介质 |
| CN111542056A (zh) * | 2020-05-22 | 2020-08-14 | 济南三泽信息安全测评有限公司 | 移动通讯安全智能监测方法、系统及装置 |
| CN111542056B (zh) * | 2020-05-22 | 2021-06-15 | 济南三泽信息安全测评有限公司 | 移动通讯安全智能监测方法、系统及装置 |
| CN112422739A (zh) * | 2020-11-10 | 2021-02-26 | 南京中孚信息技术有限公司 | 一种基于对移动终端接收的文件内容实时监控方法及系统 |
| CN112422739B (zh) * | 2020-11-10 | 2022-03-29 | 南京中孚信息技术有限公司 | 一种基于对移动终端接收的文件内容实时监控方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107645480B (zh) | 2021-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107645480A (zh) | 数据监控方法及系统、装置 | |
| WO2021196911A1 (zh) | 基于人工智能的网络安全防护方法、装置、电子设备 | |
| CN112738128B (zh) | 一种新型蜜罐组网方法及蜜罐系统 | |
| US9602527B2 (en) | Security threat detection | |
| CN113328992B (zh) | 一种基于流量分析的动态蜜网系统 | |
| EP3354000B1 (fr) | Equipement pour offrir des services de résolution de noms de domaine | |
| US11876829B2 (en) | Method for emulating a known attack on a target computer network | |
| CN110213212A (zh) | 一种设备的分类方法和装置 | |
| CN106657025A (zh) | 网络攻击行为检测方法及装置 | |
| CN107241301A (zh) | 防御反射攻击的方法、装置和系统 | |
| CN105450619A (zh) | 恶意攻击的防护方法、装置和系统 | |
| TW200951757A (en) | Malware detection system and method | |
| CN107395782A (zh) | 一种基于代理池的ip限制受控源信息抓取方法 | |
| CN105103496A (zh) | 用于提取和保存用于分析网络通信的元数据的系统和方法 | |
| CN106453229B (zh) | 用于检测对域名系统记录系统的更新的方法、系统和介质 | |
| CN107342968A (zh) | 网页服务器的攻击检测方法、装置及系统 | |
| CN105939337A (zh) | Dns缓存投毒的防护方法及装置 | |
| CN107147622A (zh) | Https加密网址的过滤方法、装置及其计算机设备 | |
| CN109587156A (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| CN107294924A (zh) | 漏洞的检测方法、装置和系统 | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| CN110266673A (zh) | 基于大数据的安全策略优化处理方法和装置 | |
| CN112434304A (zh) | 防御网络攻击的方法、服务器及计算机可读存储介质 | |
| CN108566358A (zh) | 一种基于iPhone手机下的iOS系统网络通信拦截方法及系统 | |
| Lorimer et al. | OUStralopithecus: Overt user simulation for censorship circumvention |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |