CN108023882B - 一种协同数据防泄漏方法及系统 - Google Patents

一种协同数据防泄漏方法及系统 Download PDF

Info

Publication number
CN108023882B
CN108023882B CN201711262332.7A CN201711262332A CN108023882B CN 108023882 B CN108023882 B CN 108023882B CN 201711262332 A CN201711262332 A CN 201711262332A CN 108023882 B CN108023882 B CN 108023882B
Authority
CN
China
Prior art keywords
data
detection
access node
network
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711262332.7A
Other languages
English (en)
Other versions
CN108023882A (zh
Inventor
李静华
喻波
王志海
秦凯
王玮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wondersoft Technology Co Ltd
Original Assignee
Beijing Wondersoft Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wondersoft Technology Co Ltd filed Critical Beijing Wondersoft Technology Co Ltd
Priority to CN201711262332.7A priority Critical patent/CN108023882B/zh
Publication of CN108023882A publication Critical patent/CN108023882A/zh
Application granted granted Critical
Publication of CN108023882B publication Critical patent/CN108023882B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种协同数据防泄漏方法及系统,该方法包括以下步骤:采集主机产生的网络流量数据,结合数据防泄漏策略,建立并训练敏感数据模型;终端捕获主机产生的网络流量数据并将其重定向发送至最优接入节点;接入节点根据该网络流量数据决定是否与目标地址建立加密通信链路;接入节点根据当前检测节点运行状态与其他参考数据选择合适的检测节点并下发检测任务;检测节点结合检测策略与所述敏感数据模型实时识别敏感数据并反馈至接入节点;接入节点结合反馈结果与管控策略决定是否对该网络流量数据进行管控。通过本发明的技术方案,能够识别并及时管控敏感外传数据,提高数据防泄漏系统对数据的安全防护能力。

Description

一种协同数据防泄漏方法及系统
技术领域
本发明涉及数据安全领域,具体涉及泄漏系统网关与终端协同完成主机加密网络流量分析与检测的方法及系统。
背景技术
伴随计算机科学的高速发展,互联网技术的应用范围越来越广泛,信息系统互联带给各行各业的效益也日渐明显。但随之而来的数据泄露问题对信息与互联的广泛开展形成了障碍。数据防泄漏系统作为数据全生命周期的安全防护措施也面临众多挑战。其中,信息系统中主机侧利用加密网络流量通信,躲避数据防泄漏系统的检测与发现,已成为主动数据泄露的一种有效方式。对此,北京明朝万达科技股份有限公司提出一种基于数据防泄漏系统网关与终端协同,对主机侧产生的加密网络流量进行主动分析与检测的方法。
目前,数据防泄漏系统普遍具备网关与终端两种部署模式,也有部分系统已应用混合部署模式。终端在主机侧形成面向主机、较为全面的数据防泄漏功能,包括移动设备管控、网络流量管控、进程管控等;网关在网络流量出口处对流入流出数据进行管控,避免数据通过网络外泄。
分析传统数据防泄漏系统,可以发现:
网关侧一般只能拦截、分析并检测明文传输的网络流量,主机侧产生的加密流量受加密通信证书或秘钥获取等技术限制,网关侧无法有效获得应用层信息(包括协议与传输内容等),导致出现数据通过加密网络流量泄露的场景。
另一方面,数据防泄漏终端可通过成熟技术拦截并获取主机侧传输网络流量(明文或加密)并进行内容分析。但受限于深入内容分析与检测对主机正常运行可能造成的性能影响,当前防泄漏终端仅进行非常初步的分析操作。
同时,混合部署模式(包括网关与终端)仅是将网关与终端简单组合在一起进行部署,网关与终端在设计时未视为整体,未进行有效联动,从而协同达到数据防泄漏的目的。现有数据防泄漏系统的运行模式如图1所示。
综上所述,现有数据防泄漏系统在加密网络流量分析与检测方面存在不足,即网关参与度低(无法有效分析加密网络流量)、终端分析力低(无法深入分析加密流量内容)与协同性差(网关与终端未能有效联动完成加密流量的数据防泄漏)。其中,终端分析力可通过应用高效的数据分析算法实现,但在高网络流量的场景下可能占用较多主机系统资源,对正常用户操作造成干扰,影响工作效率,制约生产力。同时,该方式扩展性较差,对资源的使用效率很低。
因此,迫切需要提高数据防泄漏系统网关与终端的协同能力,通过终端在主机侧拦截、捕获并转发加密网络流量,网关侧分析、检测管控与转发的形式,在不大幅降低主机侧正常使用性能的前提下,提高对网络流量尤其是加密网络流量的内容分析与检测能力,从而提高数据防泄漏系统的网络防护能力。
本发明使用加密网络流量捕获、高并发低延时流量重定向与基于机器学习的分布式流量内容分析技术,在用户低感知的情况下对主机侧传输的网络流量数据进行协同分析与检测,识别并及时管控敏感外传数据,提高数据防泄漏系统对数据的安全防护能力。
发明内容
为解决上述技术问题,本发明提供了一种协同数据防泄漏方法,该方法包括以下步骤:
1)采集主机产生的网络流量数据,结合数据防泄漏策略,建立并训练敏感数据模型;
2)终端捕获主机产生的网络流量数据并将其重定向发送至最优接入节点;
3)接入节点根据该网络流量数据决定是否与目标地址建立加密通信链路;
4)接入节点根据当前检测节点运行状态与其他参考数据选择合适的检测节点并下发检测任务;
5)检测节点结合检测策略与所述敏感数据模型实时识别敏感数据并反馈至接入节点;
6)接入节点结合反馈结果与管控策略决定是否对该网络流量数据进行管控。
根据本发明的实施例,优选的,所述步骤2)通过以下方式选择最优接入节点:
终端通获得与自声明的接入节点之间的网络运行状态;
终端利用历史数据与预设参数计算获得接入节点与网络未来一段时间内的状态预测结果;
终端根据状态预测结果与网络运行状态选择最合适的接入节点。。
根据本发明的实施例,优选的,所述步骤4)通过以下方式选择合适的检测节点:
接入节点获得与自声明的检测节点之间的网络运行状态;
接入节点利用历史数据与预设参数计算获得与检测节点之间的连接状态预测结果;
接入节点根据网络运行状态与连接状态预测结果选择最合适的检测节点。
根据本发明的实施例,优选的,所述步骤3)中,接入节点周期性发布自身运行信息与运行状态。
根据本发明的实施例,优选的,所述步骤3)中,检测节点周期性发布自身运行信息与运行状态。
根据本发明的实施例,优选的,所述步骤4)中所述检测节点结合检测策略与所述敏感数据模型实时识别敏感数据包括以下步骤:
获得网络流量数据中的重要元数据信息,包括但不限于源主机信息、各个端口号、目标URL;
根据预设参数对元数据进行匹配,若命中管控策略,则直接返回相应结果;
通过多次接收网络流量数据,从而完整获得传输的数据信息,并通过模拟较大延迟传输来避免影响正常链路通信;
使用所述敏感数据模型对完整数据进行识别,判断是否包含敏感数据信息,输出判断结果;
对所述判断结果使用聚类方式判断网络流量离群度,对较高离群度的数据要求人工介入判断,并将判断结果反馈至所述敏感数据模型进行优化。
为解决上述技术问题,本发明提供了一种协同数据防泄漏系统,该系统包括:主机、位于主机侧的终端以及数据网关,所述数据网关包括接入节点和检测节点;
该终端包括:
接入探测模块,动态探测网关接入节点的运行信息,提供最优选择;
流量重定向模块,将主机产生的网络流量数据动态重定向至最优网关接入节点;
所述接入点包括:
节点调度模块,动态探测网络内接入节点与检测节点的相关运行信息并反馈至终端;
流量接入模块,实时接收终端重定向的网络流量数据并建立会话管理模式;
流量检测管理模块,动态分配并管理网络流量数据检测任务;
流量转发模块,将通过检测不需要管控的网络流量数据转发至真正的目标地址;
流量管控模块,根据网络流量数据检测结果与管控策略,管控网络流量数据;
所述检测节点包括:
流量检测执行模块,负责执行网络流量数据检测,识别网络流量数据中的敏感数据。
根据本发明的实施例,优选的,该终端还包括:
管控通知模块,及时将网关接入节点的流量管控信息通知主机用户。
根据本发明的实施例,优选的,所述接入点还包括:
加密通信模块,按照主机网络流量需求识别加密需求,实现SSL/TLS安全连接管理。
根据本发明的实施例,优选的,所述接入节点还包括:
网关日志模块,记录并存储网络流量数据接入与检测日志。
为解决上述技术问题,本发明提供了一种协同数据防泄漏系统,该系统包括:位于主机侧的终端以及数据网关,通过所述终端以及数据网关协同实现对主机发送的网络流量数据中的敏感数据检测和管控;
所述终端以及数据网关分别具有一计算机可读程序存储介质,所述计算机可读程序存储介质存储有计算机程序,通过分别执行所述计算机程序,执行上述一所述的方法。
采用本发明的技术方案,数据防泄漏系统部署在主机侧的终端将主机产生的传输层网络流量动态重定向至网关侧节点,由网关侧节点对流量进行实时内容分析与检测后,根据具体场景建立基于SSL/TLS的安全连接并双向转发数据,达到系统分析并检测主机加密网络流量的目的。该过程对主机侧用户操作无影响,基本实现无感知检测。网关侧可及时检测发现敏感网络流量或不适合外传的数据,从而采取对应措施,避免发生数据泄露事件,提高数据防泄漏系统的综合性能。
附图说明
图1为现有数据防泄漏系统的混合部署模式。
图2为本发明的主机侧终端组成结构。
图3为本发明的网关侧组成结构。
图4为本发明的整体工作流程。
图5为本发明的接入节点选择流程。
图6是本发明的检测节点选择流程。
图7是本发明的流量内容检测流程。
图8是应用本发明的实施例。
具体实施方式
下面结合附图以及具体实施例对本发明作进一步的说明,但本发明的保护范围并不限于此。
<加密网络流量协同检测系统>
图2为本发明的主机侧终端组成结构,软件方面除原有数据防泄漏组件外,还包括本发明要求的接入探测模块、流量重定向模块(包括SPI、Hook、驱动及转发等功能)及用于用户通知的管控通知模块。
图3为本发明的网关侧组成结构,除原有数据防泄漏网关组件外,还包括本发明要求加入的接入节点(节点调度模块、流量接入模块、加密通信模块、流量检测管理模块、流量转发模块、流量管控模块与网关日志模块)及检测节点(流量检测执行模块)。
现有技术中的网关无法获得加密流量的应用层信息,但本发明利用部署在主机上的终端组件,可获得这类信息并以此为基础,由本方案中的网关侧组件(接入节点与检测节点)对加密流量进行解密。
本发明提供一种应用于混合部署模式数据防泄漏系统的加密网络流量协同分析与检测子系统,该子系统包括:
接入探测模块,部署于主机终端,动态探测网关接入节点的运行信息,提供最优选择;
流量重定向模块,部署于主机终端,将主机产生的网络流量动态重定向至最优网关接入节点;
管控通知模块,部署于主机终端,及时将网关接入节点的流量管控信息通知主机用户;
节点调度模块,部署于网关侧接入节点,动态探测网内接入节点与检测节点的相关运行信息并反馈至终端;
流量接入模块,部署于网关侧接入节点,实时接收主机终端重定向的网络流量并建立会话管理模式;
加密通信模块,部署于网关侧接入节点,按照主机流量需求识别加密需求,实现
SSL/TLS安全连接管理;
流量检测管理模块,部署于网关侧接入节点,动态分配并管理流量检测任务;
流量检测执行模块,部署于网关侧检测节点,负责执行流量检测,识别网络流量的敏感数据;
流量转发模块,部署于网关侧接入节点,将通过检测不需要管控的网络流量转发至真正的目标地址;
流量管控模块,部署于网关侧接入节点,根据流量检测结果与相应策略,管控网络流量;
网关日志模块,部署于网关侧各类型节点,记录并存储流量接入与检测日志。
<加密网络流量协同检测方法>
本发明提供了一种通过数据防泄漏系统网关与终端协同完成主机加密网络流量分析与检测的方法,该方法包括以下步骤:
流量检测功能训练,采集大量主机产生的网络流量数据,结合由数据防泄漏系统控制台下发的数据防泄漏策略,建立针对该运行区域(例如针对不同部门或不同子网等)与业务的敏感数据模型;
终端周期性探测可用最优网关侧接入节点,确保低延时重定向能力;
对于最优接入节点的选择,可以根据多重参考因素值进行考虑,例如终端与接入节点的传输延时、接入节点的当前连接数、接入节点的当前任务数等,通过固定或动态计算模型得到结果;判断标准可以动态调整,例如延时最低等。
终端捕获主机产生的网络流量并重定向发送至网关侧接入节点;
接入节点通过会话管理机制对接入的重定向网络流量进行管理;
接入节点根据该会话网络流量是否为加密流量决定是否与目标地址建立加密通信链路;
所述会话管理机制指对网络流量的完整传输周期(连接、传输与断开)进行管理,包括连接管理(流量源主机接入认证与识别)、传输管理(接入流量的源识别、数据接收与发送)及断开管理(连接断开与接入资源回收)。
所述网络流量指主机产生的所有网络连接传输的流量,会话网络流量指传输层某个连接(例如某个TCP连接)的完整传输周期(连接、传输与断开)中产生的流量;所有会话网络流量构成了网络流量。
接入节点根据当前检测节点运行状态与其他参考数据择优选择合适的检测节点并下发检测任务;
检测节点根据由数据防泄漏系统控制台下发的检测策略结合敏感数据模型实时识别敏感数据并反馈至接入节点;
接入节点根据反馈的流量检测结果,结合由数据防泄漏系统控制台下发的管控策略决定是否对该会话网络流量进行管控及管控形式;
接入节点将不需要执行禁止管控措施的网络流量转发至目标链路;
接入节点进行流量日志记录并通知主机侧终端提示管控信息。
所述方法需要包括主机侧终端、网关侧接入节点与网关侧检测节点。
主机侧流量重定向方式包括SPI、Hook及驱动。
主机侧加密流量通信方式包括HTTPS(基于SSL/TLS)、普通加密代理(SOCKSoverSSL/TLS)及类ShadowSocks加密代理。
类ShadowSocks加密代理需使用文件监控或进程监控手段获得加密秘钥。
网关侧各类型节点提供固定与动态两种接入方式。
网关侧检测节点提供基于正则表达式与多种机器学习算法结合的检测方法。
下面结合图4,具体描述本发明整体工作流程,包括以下方法步骤:
流量检测训练,根据业务类型与需求建立并训练敏感数据模型,利用现有数据防泄漏系统,获得、分析并检测网内流量,通过分类方法训练并优化前述模型;该步骤需要所有组件(终端、接入节点及检测节点)参与执行
接入节点探测,为确保较低的重定向延时,终端需不断探测并获得重定向性能最优的网关侧接入节点;
流量重定向,终端捕获主机的网络流量并重定向发送至最优网关侧接入节点;
流量接入,网关侧接入节点获得重定向的主机网络流量并建立会话式流量接入管理模式;
加密链路管理,对加密网络流量建立与主机对应的加密通信链路;
检测任务下发,接入节点根据一系列运行参数与当前状态择优选择合适的检测节点并下发检测任务;
流量检测,检测节点对获得的网络流量进行基于正则表达式与机器学习的敏感数据识别;
流量管控,接入节点根据流量检测的结果,结合管控策略,判断需要执行的管控措施;
流量转发,不需要传输管控的流量转发至对应的目标链路;
日志记录与反馈,进行流量接入与检测日志记录并通知主机相应的管控信息。
图5为本发明接入节点选择流程,包括以下方法步骤:
节点自声明,接入节点周期性发布自身运行信息与运行状态;
网内状态探测,终端通过网络方式探测并获得与接入节点之间的网络运行状态;
状态预测,终端利用历史数据与预设参数计算获得网络状态预测结果及接入节点的运行状态预测结果;
接入节点选择,终端使用探测与预测获得的接入节点运行状态与网内状态选择最合适的接入节点。
图6为本发明检测节点选择流程,包括以下方法步骤:
节点自声明,检测节点周期性发布自身运行信息与运行状态;
节点间状态探测,接入节点通过网络方式探测并获得与自声明的检测节点之间的网络运行状态;
状态预测,接入节点利用历史数据与预设参数计算获得网络状态预测结果及检测节点的运行状态预测结果;
检测节点选择,接入节点使用探测与预测获得的检测节点运行状态与节点间状态选择最合适的检测节点。
图7为本发明流量内容检测流程,包括以下方法步骤:
流量元数据提取,获得流量包中的重要元数据信息,如源主机信息、各个端口、目标URL等;
元数据检测,根据预设参数对元数据进行匹配,若命中管控策略则直接返回相应结果;
流量数据提取,尝试通过多次接收流量数据完整获得传输的数据信息,如完整文件等,可通过模拟较大延迟传输来避免影响正常链路通信;
敏感数据检测,使用先期建立的敏感数据模型对完整数据进行识别,判断是否包含敏感数据信息;
模型反馈,对模型输出结果使用聚类方式判断流量离群度,对较高离群度的数据要求事后人工介入判断,并将判断结果反馈至敏感数据模型进行优化。
<实施例>
如图8所示,某小型企业客户基于本发明方法升级了已使用混合模式部署运行的数据防泄漏系统,基于新系统重新构建了主机侧网络流量分析与检测机制。该机制基于主机侧数据防泄漏终端,将主机产生的加密网络流量接入网关侧,由网关侧对网络流量完成实时流量内容分析与检测,有效识别敏感数据,及时执行预定应对措施,避免数据泄露事件的发生。网关侧除了已部署的数据防泄漏系统相关服务器,还添加了如下服务器:
2台用于主机加密网络流量接入与转发(接入节点)的虚拟服务器;
2台用于网络流量实时内容检测(检测节点)的虚拟服务器;
该数据防泄漏系统中基于网关与终端协同的加密网络流量检测子系统工作正常,经过测算,在部署200台终端的场景下,主机网络流量操作增加延时15ms,但提供对主机加密网络流量(尤其是HTTPS传输)的检测能力,在提高数据防泄漏能力的情况下未显著增加操作延时,导致对用户正常操作造成影响。
采用本发明的技术方案,数据防泄漏系统仅需对终端部分组件进行升级,将加密网络流量重定向至接入网关侧,在用户无感知无显著影响的前提下,利用高扩展能力的检测节点(服务器)对主机产生的流量进行实时分析与检测。在识别敏感数据流量传输时,及时应对,执行相关流量管控策略,有效管控可能泄露的数据传输,降低数据泄露事件的发生几率。同时,通过使用有效的相关节点探测机制,从接入与检测两方面降低因数据网内转发导致的高延时,避免对用户造成影响,降低工作效率。
采用本发明的技术方案,数据防泄漏系统部署在主机侧的终端将主机产生的传输层网络流量动态重定向至网关侧节点,由网关侧节点对流量进行实时内容分析与检测后,根据具体场景建立基于SSL/TLS的安全连接并双向转发数据,达到系统分析并检测主机加密网络流量的目的。该过程对主机侧用户操作无影响,基本实现无感知检测。网关侧可及时检测发现敏感网络流量或不适合外传的数据,从而采取对应措施,避免发生数据泄露事件,提高数据防泄漏系统的综合性能。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应保护在本发明的保护范围之内。

Claims (9)

1.一种协同数据防泄漏方法,其特征在于,该方法包括以下步骤:
1)采集主机产生的网络流量数据,结合数据防泄漏策略,建立并训练敏感数据模型;
2)终端捕获主机产生的网络流量数据并将其重定向发送至最优接入节点;
3)接入节点根据该网络流量数据决定是否与目标地址建立加密通信链路;
4)将主机产生的加密网络流量数据接入网关侧,接入节点根据当前检测节点运行状态与其他参考数据选择合适的检测节点并下发检测任务,包括:
获得网络流量数据中的重要元数据,包括源主机信息、各个端口号、目标URL;
根据预设参数对元数据进行匹配,若命中管控策略,则直接返回相应结果;
通过多次接收网络流量数据,从而完整获得传输的数据信息,并通过模拟延迟传输来避免影响正常链路通信;
使用所述敏感数据模型对完整数据进行识别,判断是否包含敏感数据信息,输出判断结果;
对所述判断结果使用聚类方式判断网络流量离群度;
5)检测节点结合检测策略与所述敏感数据模型实时识别敏感数据并反馈至接入节点;
6)接入节点结合反馈结果与管控策略决定是否对该网络流量数据进行管控。
2.根据权利要求1所述的方法,所述步骤2)通过以下方式选择最优接入节点:
终端获得与自声明的接入节点之间的网络运行状态;
终端利用历史数据与预设参数计算获得网络状态预测结果及接入节点的运行状态预测结果;
终端根据网络状态预测结果及接入节点的运行状态预测结果选择最合适的接入节点。
3.根据权利要求1或2所述的方法,所述步骤4)通过以下方式选择合适的检测节点:
接入节点获得与自声明的检测节点之间的网络运行状态;
接入节点利用历史数据与预设参数计算获得网络状态预测结果及检测节点的运行状态预测结果;
接入节点根据网络状态预测结果及检测节点的运行状态预测结果选择最合适的检测节点。
4.根据权利要求3所述的方法,所述步骤3)中,接入节点和检测节点周期性发布自身运行信息与运行状态。
5.一种协同数据防泄漏系统,其特征在于,该系统包括:主机、位于主机侧的终端以及数据网关,所述数据网关包括接入节点和检测节点;
该终端包括:
接入探测模块,动态探测网关接入节点的运行信息,提供最优选择;
流量重定向模块,将主机产生的网络流量数据动态重定向至最优网关接入节点;
网关侧接入模块,将主机产生的加密网络流量数据接入网关侧;
所述接入节点包括:
节点调度模块,动态探测网络内接入节点与检测节点的相关运行信息并反馈至终端;
流量接入模块,实时接收终端重定向的网络流量数据并建立会话管理模式;
流量检测管理模块,动态分配并管理网络流量数据检测任务;
流量转发模块,将通过检测不需要管控的网络流量数据转发至真正的目标地址;
流量管控模块,根据网络流量数据检测结果与相应管控策略,管控网络流量数据;
获取信息模块,获得网络流量数据中的重要元数据,包括源主机信息、各个端口号、目标URL;
结果返回模块,根据预设参数对元数据进行匹配,若命中管控策略,则直接返回相应结果;
模拟模块,通过多次接收网络流量数据,从而完整获得传输的数据信息,并通过模拟延迟传输来避免影响正常链路通信;
离群度计算模块,使用敏感数据模型对完整数据进行识别,判断是否包含敏感数据信息,输出判断结果;对所述判断结果使用聚类方式判断网络流量离群度;
所述检测节点包括:
流量检测执行模块,负责执行网络流量数据检测,识别网络流量数据中的敏感数据。
6.根据权利要求5所述的系统,其特在于,该终端还包括:
管控通知模块,及时将网关接入节点的流量管控信息通知主机用户。
7.根据权利要求5所述的系统,其特在于,所述接入节点还包括:
加密通信模块,按照主机网络流量需求识别加密需求,实现SSL/TLS安全连接管理。
8.根据权利要求5所述的系统,其特在于,所述接入节点还包括:
网关日志模块,记录并存储网络流量数据接入与检测日志。
9.一种协同数据防泄漏系统,其特征在于,该系统包括:位于主机侧的终端以及数据网关,通过所述终端以及数据网关协同实现对主机发送的网络流量数据中的敏感数据检测和管控;所述终端以及数据网关分别具有一计算机可读程序存储介质,所述计算机可读程序存储介质存储有计算机程序,通过分别执行所述计算机程序,执行权利要求1-4之一所述的方法。
CN201711262332.7A 2017-12-04 2017-12-04 一种协同数据防泄漏方法及系统 Active CN108023882B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711262332.7A CN108023882B (zh) 2017-12-04 2017-12-04 一种协同数据防泄漏方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711262332.7A CN108023882B (zh) 2017-12-04 2017-12-04 一种协同数据防泄漏方法及系统

Publications (2)

Publication Number Publication Date
CN108023882A CN108023882A (zh) 2018-05-11
CN108023882B true CN108023882B (zh) 2020-09-25

Family

ID=62078499

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711262332.7A Active CN108023882B (zh) 2017-12-04 2017-12-04 一种协同数据防泄漏方法及系统

Country Status (1)

Country Link
CN (1) CN108023882B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110113315B (zh) * 2019-04-12 2022-06-14 平安科技(深圳)有限公司 一种业务数据的处理方法及设备
CN111711598B (zh) * 2020-04-23 2022-07-05 中国电子科技网络信息安全有限公司 一种面向大规模ssl/tls加密会话流的敏感数据检测系统
CN111756732B (zh) * 2020-06-23 2022-07-12 北京明朝万达科技股份有限公司 数据扫描、管控方法及装置、电子设备、可读存储介质
CN117914930B (zh) * 2024-03-15 2024-07-12 苔花科迈(西安)信息技术有限公司 煤矿井下基于网络状态检测的移动设备运行方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102012985A (zh) * 2010-11-19 2011-04-13 国网电力科学研究院 一种基于数据挖掘的敏感数据动态识别方法
CN104980440A (zh) * 2015-06-23 2015-10-14 南京邮电大学 基于内容过滤和多Agent协作的有源配电网大数据传输方法
WO2017064705A1 (en) * 2015-10-14 2017-04-20 Minereye Ltd. Method of identifying and tracking sensitive data and system thereof
CN107122669A (zh) * 2017-04-28 2017-09-01 北京北信源软件股份有限公司 一种评估数据泄露风险的方法和装置
CN107368542A (zh) * 2017-06-27 2017-11-21 山东华软金盾软件股份有限公司 一种涉密数据的涉密等级评定方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8484549B2 (en) * 2009-05-26 2013-07-09 Palantir Technologies, Inc. Visualizing data model sensitivity to variations in parameter values

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102012985A (zh) * 2010-11-19 2011-04-13 国网电力科学研究院 一种基于数据挖掘的敏感数据动态识别方法
CN104980440A (zh) * 2015-06-23 2015-10-14 南京邮电大学 基于内容过滤和多Agent协作的有源配电网大数据传输方法
WO2017064705A1 (en) * 2015-10-14 2017-04-20 Minereye Ltd. Method of identifying and tracking sensitive data and system thereof
CN107122669A (zh) * 2017-04-28 2017-09-01 北京北信源软件股份有限公司 一种评估数据泄露风险的方法和装置
CN107368542A (zh) * 2017-06-27 2017-11-21 山东华软金盾软件股份有限公司 一种涉密数据的涉密等级评定方法

Also Published As

Publication number Publication date
CN108023882A (zh) 2018-05-11

Similar Documents

Publication Publication Date Title
CN108023882B (zh) 一种协同数据防泄漏方法及系统
CN107347047B (zh) 攻击防护方法和装置
CN105991412B (zh) 消息推送方法及装置
US20020112061A1 (en) Web-site admissions control with denial-of-service trap for incomplete HTTP requests
Arshad et al. A novel framework for collaborative intrusion detection for m2m networks
CN114244570A (zh) 终端非法外联监测方法、装置、计算机设备和存储介质
CN104506548A (zh) 一种数据包重定向装置、虚拟机安全保护方法及系统
CN112787975B (zh) 一种接入设备类型确定方法、设备及系统
US20030074434A1 (en) Determination of message source in network communications
CN105429975A (zh) 一种基于云终端的数据安全防御系统、方法及云终端安全系统
US20190036793A1 (en) Network service implementation method, service controller, and communications system
WO2015027931A1 (en) Method and system for realizing cross-domain remote command
US20160099891A1 (en) Packet processing method, apparatus and system
CN116634100B (zh) 一种基于ipc的信息交互方法及系统
US11048539B2 (en) Transitioning virtual machines to an inactive state
CN116319028A (zh) 一种反弹shell攻击拦截方法和装置
US10506021B2 (en) Method and device for providing communication connection for a plurality of candidate applications in a mobile device
KR101369980B1 (ko) 이기종 네트워크 기반 데이터 동시 전송 서비스 방법 및 이에 적용되는 장치
US7467207B1 (en) Balancing communication load in a system based on determination of user-user affinity levels
CN105791205B (zh) 一种防止ddos攻击的方法和装置
CN108449252B (zh) 一种访问日志的转储方法及装置
CN112351044A (zh) 一种基于大数据的网络安全系统
CN106941474B (zh) 一种会话初始协议服务器过载控制方法、服务器
CN104468063B (zh) 一种业务报文的处理方法和设备
KR102599524B1 (ko) 네트워크 보안 모니터링 장치 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant