CN109583233A - 数据泄漏监测方法及装置 - Google Patents
数据泄漏监测方法及装置 Download PDFInfo
- Publication number
- CN109583233A CN109583233A CN201811408192.4A CN201811408192A CN109583233A CN 109583233 A CN109583233 A CN 109583233A CN 201811408192 A CN201811408192 A CN 201811408192A CN 109583233 A CN109583233 A CN 109583233A
- Authority
- CN
- China
- Prior art keywords
- finger print
- data
- print data
- target service
- protected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000012544 monitoring process Methods 0.000 title claims abstract description 41
- 238000013461 design Methods 0.000 claims abstract description 15
- 238000012806 monitoring device Methods 0.000 claims description 11
- 238000003860 storage Methods 0.000 claims description 11
- 238000004458 analytical method Methods 0.000 claims description 6
- 239000004744 fabric Substances 0.000 claims description 6
- 230000003321 amplification Effects 0.000 claims description 4
- 238000003199 nucleic acid amplification method Methods 0.000 claims description 4
- 230000002123 temporal effect Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 abstract description 9
- 238000005516 engineering process Methods 0.000 abstract description 8
- 230000008901 benefit Effects 0.000 description 7
- 230000006399 behavior Effects 0.000 description 6
- 238000003780 insertion Methods 0.000 description 4
- 230000037431 insertion Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000009331 sowing Methods 0.000 description 4
- 230000007812 deficiency Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 241001269238 Data Species 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000002513 implantation Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241000984642 Cura Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 235000015220 hamburgers Nutrition 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及计算机技术,公开了一种数据泄漏监测方法及装置,该方法包含根据待保护的目标业务数据,设计相应的指纹数据算法;根据该指纹数据算法,对待保护的目标业务数据进行计算,生成相应的指纹数据;在该待保护的目标业务数据中布放该相应的指纹数据;在多个网络节点对该指纹数据进行监测;若监测到疑似指纹数据,则根据该指纹数据算法对该疑似指纹数据进行验证,若通过验证,则确定该待保护的目标业务数据发生数据泄漏。本发明能够更加及时有效地发现、分析甚至溯源整个数据泄漏过程。
Description
技术领域
本申请涉及计算机领域,特别涉及数据防泄漏技术。
背景技术
近些年来,信息技术的迅猛发展,由于企业安全防护不足和黑产利益的驱动,数据泄漏事件层出不穷,为企业和互联网用户都造成巨大损失。
例如,2013年东航等航空公司疑泄漏乘客信息泄漏用户行程,部分用户反映受诈骗影响行程安排。又例如,2015年网易邮箱账号疑似数据泄漏,造成部分Iphone手机用户账户安全受到牵连。又例如,2018年1月3日,美国国土安全部通知247167名员工,2014年在那里工作的人员中有一个数据库存在“泄漏事件”。2002-2014年期间,受到调查的人员也受到数据丢失的影响。泄漏的数据包括姓名、社会安全号码和工作人员的职位。2017年5月官方首次发现泄漏行为,但花了大半年确认之后到2018年初才公布。又例如,2018年4月,Fackbook泄漏大量用户数据,扎克伯格承认其22亿用户的公开数据已被第三方实体所盗用。
可见,安全防护不足会造成企业和互联网用户的巨大损失。
因此,为防止敏感数据的泄漏,企业已经积极采取了多项措施进行防范,包括加强数据权限管理、采用数据加密技术和购买使用数据防泄漏产品等。
但是,以上几种措施仍存在各自缺陷。具体的,例如,加强数据权限管理仍难以从根本上杜绝和防范数据泄漏风险;采用数据加密技术常常对业务和性能产生较大影响;购买和使用数据防泄漏产品往往需要新增外来设备并依靠第三方平台标记和管理敏感数据,系统侵入明显,也增加了数据泄漏风险。
另一方面,目前主流数据防泄漏(DLP)解决方案主要由数据标识、数据监控、数据保护和数据管理几部分组成,以平台化、模板化加强数据管理为基础,通过显式定义被保护敏感数据并标记,通过标记监测数据泄漏事件。
上述方案仍然存在不足,一是往往需要新增网络设备完成数据监测,二是需要显式的定义或标识敏感数据,三是需要依赖第三方平台集中管理敏感数据或数据标识,这些都额外增加了数据泄漏的风险,尤其是难以适用于同公司核心业务紧密相关的敏感数据防护。
因此,需要能够更加有效地发现、分析甚至溯源整个数据泄漏过程的技术方案,特别是对于核心账户数据相关表的防泄漏方案。
发明内容
本申请的目的在于提供一种数据泄漏监测方法及装置,能够更加有效地发现、分析甚至溯源整个数据泄漏过程的技术方案,特别是对于核心账户数据相关表的防泄漏方案。
为了解决上述问题,本申请公开了一种数据泄漏监测方法,包括:
根据待保护的目标业务数据,设计相应的指纹数据算法;
根据该指纹数据算法,对待保护的目标业务数据进行计算,生成相应的指纹数据;
在该待保护的目标业务数据中布放该相应的指纹数据;
在多个网络节点对该指纹数据进行监测;
若监测到疑似指纹数据,则根据该指纹数据算法对该疑似指纹数据进行验证,若通过验证,则确定该待保护的目标业务数据发生数据泄漏。
在一个优选例中,还包含以下步骤:
当确定该待保护的目标业务数据发生数据泄漏时,根据该指纹数据算法,对发生泄漏的指纹数据解密,并根据该解密后的指纹数据确定该待保护的目标业务数据泄漏发生的信息。
在一个优选例中,该指纹数据算法用于生成一组同该待保护的目标业务数据的格式一致的指纹数据。
在一个优选例中,该根据待保护的目标业务数据,设计相应的指纹数据算法的步骤中,基于该目标业务数据的类型和场景设计相应的指纹数据算法。
在一个优选例中,该根据待保护的目标业务数据,设计相应的指纹数据算法的步骤中,对用户账号、和/或密码数据设计相应的指纹数据算法。
在一个优选例中,该根据该指纹数据算法,对待保护的目标业务数据进行计算,生成相应的指纹数据的步骤中,预先设置、和/或调整所需生成的指纹数据的具体数量。
在一个优选例中,该在该待保护的目标业务数据中布放该相应的指纹数据的步骤中,按随机的方式布放该指纹数据,使该指纹数据均匀地分布在待防护的目标业务数据中。
在一个优选例中,该在该待保护的目标业务数据中布放该相应的指纹数据的步骤中,对高危用户数据布放的指纹数据多于对非高危用户数据布放的指纹数据。
在一个优选例中,该在多个网络节点对该指纹数据进行监测的步骤中,持续地在多个可能发生数据泄漏的网络节点对该指纹数据进行监测。
在一个优选例中,该待保护的目标业务数据泄漏发生的信息包括发生数据泄漏的时间信息和机房信息。
本申请还公开了一种数据泄漏监测装置,包括:
指纹数据算法设计模块,用于根据待保护的目标业务数据,设计相应的指纹数据算法;
指纹数据生成模块,用于根据该指纹数据算法,对待保护的目标业务数据进行计算,生成相应的指纹数据;
指纹数据布放模块,用于在该待保护的目标业务数据中布放该相应的指纹数据;
指纹数据监测模块,用于在多个网络节点对该指纹数据进行监测;
指纹数据验证模块,用于若监测到疑似指纹数据,则根据该指纹数据算法对该疑似指纹数据进行验证,若通过验证,则确定该待保护的目标业务数据发生数据泄漏。
在一个优选例中,还包含:
数据泄漏分析模块,用于当确定该待保护的目标业务数据发生数据泄漏时,根据该指纹数据算法,对发生泄漏的指纹数据解密,并根据该解密后的指纹数据判断该待保护的目标业务数据泄漏发生的信息。
本申请还公开了一种数据泄漏监测设备,包括:
存储器,用于存储计算机可执行指令;以及,
处理器,用于在执行该计算机可执行指令时实现如前文描述的方法中的步骤。
本申请还公开了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现如前文描述的方法中的步骤。
本申请实施方式中,通过设计、布放和验证“指纹数据”,能够实现对待保护的目标业务数据泄漏的监测和追溯。该方法无需引入第三方设备或产品(自行生成和布放),无需显式标识敏感数据(隐蔽性更高),无需直接管理敏感信息(其他方案需要显式标识和集中存储敏感信息用于监测和比对,本方案管理实际无业务风险的“指纹数据”),是一种静默、被动的数据泄漏监测和检测方法,可实现对无法预测的泄漏风险进行监测和发现,弥补主动防泄漏措施的不足,大大缩短发生泄漏后的排查和分析周期。
本申请的说明书中记载了大量的技术特征,分布在各个技术方案中,如果要罗列出本申请所有可能的技术特征的组合(即技术方案)的话,会使得说明书过于冗长。为了避免这个问题,本申请上述发明内容中公开的各个技术特征、在下文各个实施方式和例子中公开的各技术特征、以及附图中公开的各个技术特征,都可以自由地互相组合,从而构成各种新的技术方案(这些技术方案均因视为在本说明书中已经记载),除非这种技术特征的组合在技术上是不可行的。例如,在一个例子中公开了特征A+B+C,在另一个例子中公开了特征A+B+D+E,而特征C和D是起到相同作用的等同技术手段,技术上只要择一使用即可,不可能同时采用,特征E技术上可以与特征C相组合,则,A+B+C+D的方案因技术不可行而应当不被视为已经记载,而A+B+C+E的方案应当视为已经被记载。
附图说明
图1是根据本申请第一实施方式的数据泄漏监测方法流程示意图;
图2是根据本申请第一实施方式的数据泄漏监测方法过程示意图;
图3是根据本申请第二实施方式的数据泄漏监测装置的结构示意图。
具体实施方式
在以下的叙述中,为了使读者更好地理解本申请而提出了许多技术细节。但是,本领域的普通技术人员可以理解,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。
部分概念的说明:
指纹数据:指基于被监测的目标数据字段特点而生成的一组具备一定特征的数据,用于帮助监测目标数据是否已经泄漏。指纹数据与待保护的目标业务数据的格式一致。指纹数据具有隐蔽性高、可辨识、可验证的特性。
拖库:拖库本来是数据库领域的术语,指从数据库中导出数据。到了黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客将数据库中的表数据全部盗走的行为。
撞库:撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户账号。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
下面概要说明本申请的部分创新点:
本发明基于企业需要加强保护的目标业务数据,以一种特定算法生成一组同目标数据格式一致的特征数据,通过监测和验证这些数据即可帮助发现、分析甚至溯源整个泄漏过程。尤其适合于核心账户数据相关表的防泄漏。
进一步地,该方法根据被防护的目标数据特征选取特定算法,以一次一密的方式生成一组“指纹数据”,随机布放到被防护目标数据中;通过线上线下监测该类“指纹数据”,达到对敏感数据泄漏的监测;通过对监测到疑似泄漏的“指纹数据”进行“解密”,验证泄漏并分析可能的泄漏途径。
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请的实施方式作进一步地详细描述。
本申请的第一实施方式涉及一种数据泄漏监测方法,图1是本实施例的数据泄漏监测方法的主要步骤示意图,图2是本实施例的数据泄漏监测方法的过程示意图。
如图1和图2所示,本申请的一个实施例的数据泄漏检测方法包含以下步骤:
步骤101:算法设计
具体的,在本步骤中,根据待保护的目标业务数据,设计相应的指纹数据算法。
具体的,指纹数据算法用于以一种特定算法生成一组同待保护的目标业务数据的格式一致的特征数据,即,指纹数据。换句话说,指纹数据的格式与待保护的目标业务数据的格式是一致的。
需指出,在本发明实施例中,可以基于目标业务数据的具体特点和具体场景,设计相应的指纹数据算法。例如,针对用户账号可以使用具备一定规律的字符串作为指纹数据,对于密码字段可以使用插入日期作为密码明文用于后续泄露时间的判断等。
这样做的好处在于,能够针对不同数据的具体情况(例如数据类型),以及不同的应用场景,提供更加灵活的设计方案,使根据该指纹数据算法生成的指纹数据能够能有效地发现和防止数据泄漏。
具体的,基于敏感数据,即,目标业务数据的特点,以及这种具体的目标业务数据的泄漏高发场景,针对性地设计“指纹数据”的生成规则,即,指纹数据算法。通过该算法,生成具有隐蔽性高、可辨识、可验证的特性的特殊数据,即,指纹数据。
其中,“隐蔽性高”是指普通人员(即,不了解该算法机制的人员)无法分辨指纹数据与待防护的目标业务数据之间的差别,在这种情况下,普通人员无法区别对待该类数据。
其中,“可辨识”是指该类数据对于特定管理人员(即,了解和掌握该算法机制的人员)可以区分和标识,尤其是,可以使用自动化方法进行辨识,进而使得待防护的目标业务数据可以被持续的针对性监测。
其中,“可验证”是指在监测过程中,一旦发现这些“指纹数据”中的一条或多条,可通过上述对应的指纹数据算法进行验证,如果通过验证,则确认指纹数据已遭泄漏。
需指出,在本发明的一些实施例中,有一些指纹数据算法还能够进一步帮助追溯数据泄漏的可能途径和源头。
这样做的好处是,不但及时发现数据泄漏的情况,并且能够进一步分析追溯泄漏的原因和源头,更迅速有效地杜绝数据泄漏情况。
举例来说,对于用户账号和密码数据,如果对用户账户数据的存储位置进行编号区分(北京机房、上海机房等),加密后作为密码字段的一部分,一旦监测到疑似泄漏数据,则通过解密恢复后可得出具体哪几个物理机房发生了数据泄漏。
换句话说,在本实施例中,指纹数据算法用于利用诸如账号、密码、邮箱等字段,“植入”用于后续验证和分析所需要的关键信息。其中,“植入”的含义可以具体理解为“插入”,换句话说,就是“插入可用于后续帮助验证和分析泄漏单的信息”。例如“对未来可能接触到该类敏感数据的人群进行标识,将标识加密后写入密码字段,一旦发现疑似泄漏数据,可通过统计该标识来判断泄漏是否与某一人群强相关”。
这样做的好处在于,可以以一种相对隐蔽的方式保留辅助验证信息到待保护的目标业务数据中。
需指出,之所以使用以上几个字段是因为可以更好地隐藏和携带额外信息,但本发明的实施例不限于此,也可以根据数据和场景的具体情况,选择其它字段进行计算,生成指纹数据。
例如,部分中文字段中也可以使用生僻字来进行信息隐藏,或者还可以使用“特定组合规律的字母串作为账号”来进行信息隐藏。
又例如,在本实施例中,根据待防护的目标业务数据特点(例如:账号、手机号、支付交易记录、地址等),以及可能的泄漏场景(拖库、内部人员泄漏、第三方泄漏)等进行针对性设计。
在本申请的实施例中,以一次一密的方式生成指纹数据,换句话说,每生成一批指纹数据,均使用不同的密钥/规则来生成指纹数据。
这样做的好处在于,能够使指纹数据在不同的数据和不同场景下,具有更好地隐秘性,能够有效地防止长期使用一个密钥或规则而被恶意者通过长期监测、收集和分析而破解,进而造成数据泄漏。
步骤102:指纹数据生成
具体的,在本步骤中,根据所述指纹数据算法,对待保护的目标业务数据进行计算,生成相应的指纹数据。
需指出,在本发明的实施例中,可以根据待保护的目标业务数据的数据量,预先设置和调整所需生成的指纹数据的具体数量。
这样做的原因在于,一方面需要考虑指纹数据的数据量越大越不容易出现漏判,即,指纹数据越多,占比越大,能够用于帮助发现数据泄漏的可能性就越大;反之越小;但另一方面还需要考虑指纹数据但也浪费存储空间,因此需要根据数据的具体特点,以及具体的应用场景,合理设置和调整指纹数据的数量。
需指出,在本说明书中提到的业务敏感数据,其具体含义是从业务角度看,不希望被第三方获取到的数据。
步骤103:指纹数据布放
具体的,在本步骤中,在所述待保护的目标业务数据中布放所述相应的指纹数据。
具体的,在本步骤中,按预定设定的规则,将生成的所述“指纹数据”分布到待防护的目标业务数据中,使得当产生一定数量级的数据泄漏时,有“指纹数据”包含在所述泄漏的数据中。
需指出,在本实施例中,按随机的方式“播撒”上述指纹数据,使其均匀分布在待防护的目标业务数据中。
这样做的好处在于,能够保证一旦产生一定数量级的数据泄漏,就一定会有“指纹数据”包含其中。
需指出,在本申请的其它实施例中,“播撒”方式并不限于随机方式,也可以根据需要灵活调整“播撒”方式。
举例来说,对高危用户数据,可以布放相对非高危用户数据更多的指纹数据,即,布放密度高于其它目标业务数据:例如,账户余额超过100万的客户、一个月内无任何操作的不活跃用户,等。
上述这种播撒方式的好处在于,以更小的冗余数据和存储空间,提高对待保护的业务目标数据的防护,更高效的降低数据泄漏风险。
步骤104:指纹数据监测
具体的,在多个网络节点对所述指纹数据进行监测。
需指出,在本实施例中,是持续地在多个可能发生数据泄漏的网络节点对所述指纹数据进行监测。
具体的,这些网络节点包括线上系统交互接口和线下的黑灰产市场。线上监测是指,在互联网上进行监测。例如,不断扫描和分析公司网络边界出口处的数据,监测是否包含指纹数据。线下监测是例如监测一些黑灰产交易中活动的数据包是否包含指纹数据。
如果监测到疑似泄漏指纹数据,则进入步骤105。
步骤105:验证疑似指纹数据
具体的,若监测到疑似指纹数据,则根据所述指纹数据算法对所述疑似指纹数据进行验证,若通过验证,则确定所述待保护的目标业务数据发生数据泄漏。
需指出,疑似指纹数据是指通过持续监测发现的、尚未确定是否泄露的“指纹数据”,需要对其通过先前设计的算法进行验证以确定泄露是否发生。
在本实施例中,根据平台上存储的指纹数据,对检测到的所述指纹数据进行验证,确定是否发生数据泄漏。
具体的,可以通过以下方式进行验证:
先将根据指纹数据算法生成的指纹数据存储在平台上,当监测到疑似指纹数据时,将监测到的疑似指纹数据与平台存储的“指纹数据”进行匹配、解密、校验关键信息正确性等。
更具体的,上述的匹配是指判断是否是指纹数据,例如前面例子中提到的,是否为预设好的生僻字组合、特定字母组合等。
更具体的,解密后校验关键信息是指解密后能够获得该指纹数据的诸如插入时间等关键信息。
步骤106:分析
具体的,在本步骤中,当确定所述待保护的目标业务数据发生数据泄漏时,根据所述指纹数据算法,对发生泄漏的指纹数据解密,并根据所述解密后的指纹数据确定所述待保护的目标业务数据泄漏发生的信息。
举例来说,如解密密码字段后得出2015080805,20150808代表2015年8月8日插入的该条指纹数据,数据泄漏应该发生在这日期之后;05代表上海机房,说明上海机房存储的数据很可能已遭到泄漏。换句话说,待保护的目标业务数据泄漏发生的信息包括发生数据泄漏的时间信息以及机房信息。
换句话说,本步骤是依据前期“指纹数据”的生成规则,对部分携带较多信息量的字段进行恢复与判断,例如通过密码字段中的日期判断大概的泄漏事件。
这样做的好处是,能够通过“指纹数据”的按照一定的规律,针对性布放,实现泄漏渠道的初步判定等。
本实施方式可以更有效地发现数据泄漏并进行分析甚至溯源整个泄漏过程,并且,不需要依靠第三方平台,避免了由于第三方平台引起的数据泄漏风险。并且,也不需要新增网络设备完成数据监测。并且,也不需要显式的定义或表示敏感数据。进一步提高对企业核心业务紧密相关的敏感数据的防护能力。
本申请的第二实施方式涉及一种数据泄漏监测装置,其结构如图3所示,该数据泄漏监测装置包括:指纹数据算法设计模块、指纹数据生成模块、指纹数据布放模块、指纹数据监测模块、指纹数据验证模块,以及数据泄漏分析模块。具体地:
指纹数据算法设计模块,用于根据待保护的目标业务数据,设计相应的指纹数据算法。
指纹数据生成模块,用于根据所述指纹数据算法,对待保护的目标业务数据进行计算,生成相应的指纹数据。
指纹数据布放模块,用于在所述待保护的目标业务数据中布放所述相应的指纹数据。
指纹数据监测模块,用于在多个网络节点对所述指纹数据进行监测。
指纹数据验证模块,用于若监测到疑似指纹数据,则根据所述指纹数据算法对所述疑似指纹数据进行验证,若通过验证,则确定所述待保护的目标业务数据发生数据泄漏。
数据泄漏分析模块,用于当确定所述待保护的目标业务数据发生数据泄漏时,根据所述指纹数据算法,对发生泄漏的指纹数据解密,并根据所述解密后的指纹数据判断所述待保护的目标业务数据泄漏发生的信息。
第一实施方式是与本实施方式相对应的方法实施方式,第一实施方式中的技术细节可以应用于本实施方式,本实施方式中的技术细节也可以应用于第一实施方式。
需要说明的是,本领域技术人员应当理解,上述数据泄漏监测装置的实施方式中所示的各模块的实现功能可参照前述数据泄漏监测方法的相关描述而理解。上述数据泄漏监测装置的实施方式中所示的各模块的功能可通过运行于处理器上的程序(可执行指令)而实现,也可通过具体的逻辑电路而实现。本申请实施例上述数据泄漏监测装置如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
相应地,本申请实施方式还提供一种计算机存储介质,其中存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现本申请的各方法实施方式。
此外,本申请实施方式还提供一种数据泄漏监测设备,其中包括用于存储计算机可执行指令的存储器,以及,处理器;该处理器用于在执行该存储器中的计算机可执行指令时实现上述各方法实施方式中的步骤。其中,该处理器可以是中央处理单元(CentralProcessing Unit,简称“CPU”),还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,简称“DSP”)、专用集成电路(Application Specific IntegratedCircuit,简称“ASIC”)等。前述的存储器可以是只读存储器(read-only memory,简称“ROM”)、随机存取存储器(random access memory,简称“RAM”)、快闪存储器(Flash)、硬盘或者固态硬盘等。本发明各实施方式所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
需要说明的是,在本专利的申请文件中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本专利的申请文件中,如果提到根据某要素执行某行为,则是指至少根据该要素执行该行为的意思,其中包括了两种情况:仅根据该要素执行该行为、和根据该要素和其它要素执行该行为。多个、多次、多种等表达包括2个、2次、2种以及2个以上、2次以上、2种以上。
在本申请提及的所有文献都被认为是整体性地包括在本申请的公开内容中,以便在必要时可以作为修改的依据。此外应理解,在阅读了本申请的上述公开内容之后,本领域技术人员可以对本申请作各种改动或修改,这些等价形式同样落于本申请所要求保护的范围。
Claims (14)
1.一种数据泄漏监测方法,其特征在于,包括:
根据待保护的目标业务数据,设计相应的指纹数据算法;
根据所述指纹数据算法,对所述待保护的目标业务数据进行计算,生成相应的指纹数据;
在所述待保护的目标业务数据中布放所述相应的指纹数据;
在多个网络节点对所述指纹数据进行监测;
若监测到疑似指纹数据,则根据所述指纹数据算法对所述疑似指纹数据进行验证,若通过验证,则确定所述待保护的目标业务数据发生数据泄漏。
2.如权利要求1所述的方法,其特征在于,还包含以下步骤:
当确定所述待保护的目标业务数据发生数据泄漏时,根据所述指纹数据算法,对发生泄漏的指纹数据解密,并根据所述解密后的指纹数据确定所述待保护的目标业务数据泄漏发生的信息。
3.如权利要求1所述的方法,其特征在于,所述指纹数据算法用于生成一组同所述待保护的目标业务数据的格式一致的指纹数据。
4.如权利要求1所述的方法,其特征在于,所述根据待保护的目标业务数据,设计相应的指纹数据算法的步骤中,基于所述目标业务数据的类型和场景设计相应的指纹数据算法。
5.如权利要求1所述的方法,其特征在于,所述根据待保护的目标业务数据,设计相应的指纹数据算法的步骤中,对用户账号、和/或密码数据设计相应的指纹数据算法。
6.如权利要求1所述的方法,其特征在于,所述根据所述指纹数据算法,对待保护的目标业务数据进行计算,生成相应的指纹数据的步骤中,预先设置、和/或调整所需生成的指纹数据的具体数量。
7.如权利要求1所述的方法,其特征在于,所述在所述待保护的目标业务数据中布放所述相应的指纹数据的步骤中,按随机的方式布放所述指纹数据,使所述指纹数据均匀地分布在待防护的目标业务数据中。
8.如权利要求1所述的方法,其特征在于,所述在所述待保护的目标业务数据中布放所述相应的指纹数据的步骤中,对高危用户数据布放的指纹数据多于对非高危用户数据布放的指纹数据。
9.如权利要求1所述的方法,其特征在于,所述在多个网络节点对所述指纹数据进行监测的步骤中,持续地在多个可能发生数据泄漏的网络节点对所述指纹数据进行监测。
10.如权利要求2所述的方法,其特征在于,所述待保护的目标业务数据泄漏发生的信息包括发生数据泄漏的时间信息和机房信息。
11.一种数据泄漏监测装置,其特征在于,包括:
指纹数据算法设计模块,用于根据待保护的目标业务数据,设计相应的指纹数据算法;
指纹数据生成模块,用于根据所述指纹数据算法,对所述待保护的目标业务数据进行计算,生成相应的指纹数据;
指纹数据布放模块,用于在所述待保护的目标业务数据中布放所述相应的指纹数据;
指纹数据监测模块,用于在多个网络节点对所述指纹数据进行监测;
指纹数据验证模块,用于若监测到疑似指纹数据,则根据所述指纹数据算法对所述疑似指纹数据进行验证,若通过验证,则确定所述待保护的目标业务数据发生数据泄漏。
12.如权利要求11所述的装置,其特征在于,还包含:
数据泄漏分析模块,用于当确定所述待保护的目标业务数据发生数据泄漏时,根据所述指纹数据算法,对发生泄漏的指纹数据解密,并根据所述解密后的指纹数据判断所述待保护的目标业务数据泄漏发生的信息。
13.一种数据泄漏监测设备,其特征在于,包括:
存储器,用于存储计算机可执行指令;以及,
处理器,用于在执行所述计算机可执行指令时实现如权利要求1至10中任意一项所述的方法中的步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器执行时实现如权利要求1至10中任意一项所述的方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811408192.4A CN109583233A (zh) | 2018-11-23 | 2018-11-23 | 数据泄漏监测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811408192.4A CN109583233A (zh) | 2018-11-23 | 2018-11-23 | 数据泄漏监测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109583233A true CN109583233A (zh) | 2019-04-05 |
Family
ID=65923863
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811408192.4A Pending CN109583233A (zh) | 2018-11-23 | 2018-11-23 | 数据泄漏监测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109583233A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113434871A (zh) * | 2021-07-15 | 2021-09-24 | 支付宝(杭州)信息技术有限公司 | 一种信息泄露的检测方法、装置及设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103336927A (zh) * | 2013-06-07 | 2013-10-02 | 杭州世平信息科技有限公司 | 一种基于数据分类的数据防泄漏方法及其系统 |
| US9146704B1 (en) * | 2011-09-07 | 2015-09-29 | Trend Micro Incorporated | Document fingerprinting for mobile phones |
| CN105678188A (zh) * | 2016-01-07 | 2016-06-15 | 杨龙频 | 数据库防泄露协议识别方法及装置 |
| CN105893859A (zh) * | 2016-04-15 | 2016-08-24 | 宝利九章(北京)数据技术有限公司 | 用于数据泄露防护的方法和系统 |
| CN107169361A (zh) * | 2017-06-15 | 2017-09-15 | 深信服科技股份有限公司 | 一种数据泄露的检测方法及系统 |
| CN107944294A (zh) * | 2017-11-24 | 2018-04-20 | 云易天成(北京)安全科技开发有限公司 | 基于布隆过滤器过滤数据库数据的数据防泄漏方法及设备 |
| CN108154211A (zh) * | 2017-11-22 | 2018-06-12 | 阿里巴巴集团控股有限公司 | 二维码生成、业务处理方法、装置和设备以及二维码 |
-
2018
- 2018-11-23 CN CN201811408192.4A patent/CN109583233A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9146704B1 (en) * | 2011-09-07 | 2015-09-29 | Trend Micro Incorporated | Document fingerprinting for mobile phones |
| CN103336927A (zh) * | 2013-06-07 | 2013-10-02 | 杭州世平信息科技有限公司 | 一种基于数据分类的数据防泄漏方法及其系统 |
| CN105678188A (zh) * | 2016-01-07 | 2016-06-15 | 杨龙频 | 数据库防泄露协议识别方法及装置 |
| CN105893859A (zh) * | 2016-04-15 | 2016-08-24 | 宝利九章(北京)数据技术有限公司 | 用于数据泄露防护的方法和系统 |
| CN107169361A (zh) * | 2017-06-15 | 2017-09-15 | 深信服科技股份有限公司 | 一种数据泄露的检测方法及系统 |
| CN108154211A (zh) * | 2017-11-22 | 2018-06-12 | 阿里巴巴集团控股有限公司 | 二维码生成、业务处理方法、装置和设备以及二维码 |
| CN107944294A (zh) * | 2017-11-24 | 2018-04-20 | 云易天成(北京)安全科技开发有限公司 | 基于布隆过滤器过滤数据库数据的数据防泄漏方法及设备 |
Non-Patent Citations (1)
| Title |
|---|
| 杨秋华等: "政务云环境下数据共享安全保障框架研究", 《通信技术》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113434871A (zh) * | 2021-07-15 | 2021-09-24 | 支付宝(杭州)信息技术有限公司 | 一种信息泄露的检测方法、装置及设备 |
| CN113434871B (zh) * | 2021-07-15 | 2023-03-14 | 支付宝(杭州)信息技术有限公司 | 一种信息泄露的检测方法、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ahmed et al. | False data injection attack (FDIA): an overview and new metrics for fair evaluation of its countermeasure | |
| US11276022B2 (en) | Enhanced system and method for identity evaluation using a global score value | |
| US10187369B2 (en) | Systems and methods to authenticate users and/or control access made by users on a computer network based on scanning elements for inspection according to changes made in a relation graph | |
| US10965668B2 (en) | Systems and methods to authenticate users and/or control access made by users based on enhanced digital identity verification | |
| US10250583B2 (en) | Systems and methods to authenticate users and/or control access made by users on a computer network using a graph score | |
| US9888007B2 (en) | Systems and methods to authenticate users and/or control access made by users on a computer network using identity services | |
| CN108885666B (zh) | 用于检测和防止伪冒的系统和方法 | |
| CN105262779B (zh) | 身份认证方法、装置及系统 | |
| US8880435B1 (en) | Detection and tracking of unauthorized computer access attempts | |
| US9584543B2 (en) | Method and system for web integrity validator | |
| US7673793B2 (en) | Fraud analyst smart cookie | |
| JP4954979B2 (ja) | 詐欺監視、検出、および階層状ユーザ認証のためのシステムおよび方法 | |
| US11743245B2 (en) | Identity access management using access attempts and profile updates | |
| CN105264537A (zh) | 使用装置证实进行生物计量验证的系统和方法 | |
| JP2017507552A (ja) | クライアント側のスコアベース認証を与える方法及び装置 | |
| CN114003903B (zh) | 一种网络攻击追踪溯源方法及装置 | |
| US11575670B2 (en) | Adaptive user authentication | |
| CN113657989A (zh) | 用于早期商户违约欺诈检测的系统、方法和计算机可访问介质 | |
| US20210051176A1 (en) | Systems and methods for protection from phishing attacks | |
| Neale et al. | The case for zero trust digital forensics | |
| CN109583233A (zh) | 数据泄漏监测方法及装置 | |
| Abi Din et al. | Boxer: Preventing fraud by scanning credit cards | |
| Abraham et al. | A survey on preventing crypto ransomware using machine learning | |
| Zhou et al. | Beware of your screen: Anonymous fingerprinting of device screens for off-line payment protection | |
| Sijan et al. | A review on e-banking security in Bangladesh: An empirical study |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20201012 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman, British Islands Applicant after: Innovative advanced technology Co.,Ltd. Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman, British Islands Applicant before: Advanced innovation technology Co.,Ltd. Effective date of registration: 20201012 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman, British Islands Applicant after: Advanced innovation technology Co.,Ltd. Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands Applicant before: Alibaba Group Holding Ltd. |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190405 |
|
| RJ01 | Rejection of invention patent application after publication |