CN111131183B - 网络安全监控方法、计算机设备及计算机可读存储介质 - Google Patents
网络安全监控方法、计算机设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111131183B CN111131183B CN201911237289.8A CN201911237289A CN111131183B CN 111131183 B CN111131183 B CN 111131183B CN 201911237289 A CN201911237289 A CN 201911237289A CN 111131183 B CN111131183 B CN 111131183B
- Authority
- CN
- China
- Prior art keywords
- information
- network
- event
- information leakage
- exists
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种网络安全监控方法、计算机设备及计算机可读存储介质。本发明通过检测是否存在共享网络事件、未授权外联事件、未授权内联事件、基于简单邮件传输协议的信息泄露事件、基于文件传输类网络应用的信息泄露事件、基于文档共享类网络应用的信息泄露事件,完善了对网络信息泄密事件进行识别的方式方法,并将检测到的网络信息泄露事件通知至网络安全管理终端,有助于网络安全管理终端的所属用户及时对出现的网络信息泄露事件进行处理,降低了信息泄露带来的危害。
Description
技术领域
本申请涉及计算机网络信息安全技术领域,尤其涉及网络安全监控方法、计算机设备及计算机可读存储介质。
背景技术
随着云计算、移动互联网、物联网等网络技术的飞速发展,人与人、人与物、物与物之间的网络连接呈爆炸式的增长。企业、政府、教育、医疗、科研院所等各行各业如火如荼地推行互联网化和移动化,从物联网安保系统到协同办公以及支撑业务运营的IT系统普遍互联,意味着每个联入这个复杂网络设施的个体都在传递并记录着重要的信息和数据。事物的两面性决定了信息共享带来便利和效率提升的同时,也会带来信息泄露或被非法窃取的隐患。
尽管可以采用防火墙、防毒墙、入侵检测、网络威胁感知以及信息分级保护等软硬件技术和管理手段来保护私有网络资产,但是依然很难完全杜绝来自外部和内部有意或无意的网络信息泄露行为,从而导致信息泄漏的情况发生。
发明内容
本发明提供了一种网络安全监控方法、计算机设备及计算机可读存储介质,以解决或者部分解决现有技术中难以完全杜绝来自外部和内部有意或无意的网络信息泄露行为,从而导致信息泄漏的情况发生的技术问题。
为解决上述技术问题,本发明提供了一种网络安全监控方法,所述方法包括:
检测是否存在网络信息泄露事件,所述网络信息泄露事件包括以下任意一种:
共享网络事件、未授权外联事件、未授权内联事件、基于简单邮件传输协议的信息泄露事件、基于文件传输类网络应用的信息泄露事件、基于文档共享类网络应用的信息泄露事件;
若检测到存在网络信息泄露事件,则将检测到的网络信息泄露事件通知至网络安全管理终端。
可选的,所述检测是否存在共享网络事件包括:
检测是否识别到USB无线网卡应用的特征流量;
若识别到USB无线网络应用的特征流量,则确定存在共享网络事件;
或,
检测是否识别到移动终端应用的特征流量;
若识别到移动终端应用的特征流量,则确定存在共享网络事件;
或,
检测在预设时间段内是否识别到多个用户虚拟账号登录同一USB无线网卡应用;
若在预设时间段内识别到多个用户虚拟账号登录同一USB无线网卡应用,则确定存在共享网络事件。
可选的,所述检测是否存在未授权外联事件包括:
检测敏感主机或服务器是否与外网IP地址有上下行流量;
若敏感主机或服务器与外网IP地址有上下行流量,则确定存在未授权外联事件;
或,
检测敏感主机或服务器上是否存在远程连接类应用的特征流量;
若敏感主机或服务器上存在远程连接类应用的特征流量,则确定存在未授权外联事件。
可选的,所述检测是否存在未授权内联事件包括:
检测连接访客WiFi上网的终端与敏感主机或服务器之间是否存在网络访问流量;
若连接访客WiFi上网的终端与敏感主机或服务器之间存在网络访问流量,则确定存在未授权内联事件;
或,
检测是否存在非授权用户访问敏感主机或服务器的上下行流量;
若存在非授权用户访问敏感主机或服务器的上下行流量,则确定存在未授权内联事件。
可选的,所述检测是否存在基于简单邮件传输协议的信息泄露事件包括:
基于简单邮件传输协议对内网流量中未加密邮件进行识别,对识别到的未加密邮件提取邮件标题、邮件正文以及邮件附件;
检索所述邮件标题、邮件正文以及邮件附件中是否存在敏感关键词;
若所述邮件标题、邮件正文以及邮件附件中存在敏感关键词,则确定存在基于简单邮件传输协议的信息泄露事件。
可选的,所述检测是否存在基于文件传输类网络应用的信息泄露事件包括:
检测是否存在文件上传类应用的特征流量;
若存在文件上传类应用的特征流量,则确定存在信息外发行为,并获取所述信息外发信息对应的信息外发内容;
检索所述信息外发内容中是否存在敏感关键词;
若所述信息外发内容中存在敏感关键词,则确定存在基于文件传输类网络应用的信息泄露事件。
可选的,所述检测是否存在基于文档共享类网络应用的信息泄露事件包括:
检测是否存在文档共享类类网络应用的特征流量;
若存在文件上传类应用的特征流量,则确定存在信息外发行为,并获取所述信息外发信息对应的信息外发内容;
检索所述信息外发内容中是否存在敏感关键词;
若所述信息外发内容中存在敏感关键词,则确定存在基于文档共享类网络应用的信息泄露事件。
可选的,所述若检测到存在网络信息泄露事件,则将检测到的网络信息泄露事件通知至网络安全管理终端包括:
若检测到存在共享网络事件,则将所述共享网络事件通知至网络安全管理终端;
若检测到存在未授权外联事件,则统计所述敏感主机或服务器与外网IP地址的上下行流量和/或敏感主机或服务器上存在的远程连接类应用的特征流量的流量大小,得到所述未授权外联事件对应的总流量大小;
根据所述未授权外联事件对应的总流量大小,确定所述未授权外联事件对应的信息泄露程度;
将所述未授权外联事件以及所述未授权外联事件对应的信息泄露程度通知至网络安全管理终端;
若检测到存在未授权内联事件,则统计所述连接访客WiFi上网的终端与敏感主机或服务器之间存在的网络访问流量和/或非授权用户访问敏感主机或服务器的上下行流量的流量大小,得到所述未授权内联事件对应的总流量大小;
根据所述未授权内联事件对应的总流量大小,确定所述未授权内联事件对应的信息泄露程度;
将所述未授权内联事件以及所述未授权内联事件对应的信息泄露程度通知至网络安全管理终端;
若检测到存在基于简单邮件传输协议的信息泄露事件,则对识别到的未加密邮件提取发件人信息、收件人信息、抄送人信息、密送人信息;
根据发件人信息、收件人信息、抄送人信息、密送人信息确定基于简单邮件传输协议的信息泄露事件对应的信息扩散范围;
根据所述邮件标题、邮件正文以及邮件附件中存在的敏感关键词对应的密级程度,确定基于简单邮件传输协议的信息泄露事件对应的信息密级程度;
将所述基于简单邮件传输协议的信息泄露事件以及所述基于简单邮件传输协议的信息泄露事件对应的信息扩散范围及信息密级程度通知至网络安全管理终端;
若检测到存在基于文件传输类网络应用的信息泄露事件,则根据所述信息外发内容中存在的敏感关键词,确定基于文件传输类网络应用的信息泄露事件对应的信息密级程度;
确定所述信息外发行为对应的外发人信息以及所述信息外发内容的数量;
将所述基于文件传输类网络应用的信息泄露事件以及所述基于文件传输类网络应用的信息泄露事件对应的信息密级程度、外发人信息以及所述信息外发内容的数量通知至网络安全管理终端;
若检测到存在基于文档共享类网络应用的信息泄露事件,
则根据所述信息外发内容中存在的敏感关键词,确定基于文档共享类网络应用的信息泄露事件对应的信息密级程度;
确定所述信息外发行为对应的外发人信息以及所述信息外发内容的数量;
将所述基于文档共享类网络应用的信息泄露事件以及所述基于文档共享类网络应用的信息泄露事件对应的信息密级程度、外发人信息以及所述信息外发内容的数量通知至网络安全管理终端。
本发明公开了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述方法的步骤。
本发明公开了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法的步骤。
本发明中,通过检测是否存在共享网络事件、未授权外联事件、未授权内联事件、基于简单邮件传输协议的信息泄露事件、基于文件传输类网络应用的信息泄露事件、基于文档共享类网络应用的信息泄露事件,完善了对网络信息泄密事件进行识别的方式方法,并将检测到的网络信息泄露事件通知至网络安全管理终端,有助于网络安全管理终端的所属用户及时对出现的网络信息泄露事件进行处理,降低了信息泄露带来的危害。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明网络安全监控方法一实施例的流程示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
参照图1,图1为本发明网络安全监控方法一实施例的流程示意图。一实施例中,网络安全监控方法包括:
步骤S10,检测是否存在网络信息泄露事件,所述网络信息泄露事件包括以下任意一种:
共享网络事件、未授权外联事件、未授权内联事件、基于简单邮件传输协议的信息泄露事件、基于文件传输类网络应用的信息泄露事件、基于文档共享类网络应用的信息泄露事件;
其中,检测是否存在共享网络事件包括:
检测是否识别到USB无线网卡应用的特征流量;
若识别到USB无线网络应用的特征流量,则确定存在共享网络事件;
或,
检测是否识别到移动终端应用的特征流量;
若识别到移动终端应用的特征流量,则确定存在共享网络事件;
或,
检测在预设时间段内是否识别到多个用户虚拟账号登录同一USB无线网卡应用;
若在预设时间段内识别到多个用户虚拟账号登录同一USB无线网卡应用,则确定存在共享网络事件。
目前,将内网上网资源通过无线WIFI共享的方式有很多种,例如:目前市售USB免费WIFI只需插入PC USB接口,安装软件后通过简单配置即可将PC本地网络通过无线WIFI共享上网,也可在支持WIFI的电脑上开启本地有线网络共享无线上网功能,亦可布设WIFI无线路由器设备联入内网网络。移动终端或电脑可通过上述方式共享的无线WIFI网络上网,也可访问内网资源,即内网暴露。恶意用户通过破解无线WIFI认证密码即可攻入内网(此类WIFI密码一般加密强度较弱,比较容易破解)。因此,本实施例中,在内网总出口处对进出的网络流量分析识别,捕获USB免费WIFI PC端软件产生的流量特征,通过该特征流量中源目IP/MAC以及端口可定位出实施该行为的内网IP地址和设备MAC号,从而定位到具体实施私自搭建wifi行为的人。为进一步坐实该行为,可以识别连接到该WIFI的移动终端,同理通过流量特征识别的方式,可以基于HTTP包头的User Agent字段获得iOS或Andorid移动终端的特征信息,例如:Dalvik/2.1.0(Linux;U;Android 9;VOG-AL10 Build/HUAWEIVOG-AL10)。也可捕获到移动应用的特征信息,例如:NeteaseMusic 6.4.3/1338(iPhone;iOS 12.4;zh-Hans_US)。更进一步,可以识别同一时段内,通过该无线WIFI登录的虚拟账号,因为在短时间内(例如1分钟或更短)如果发现有多个虚拟账号同时登录(一般可设定为超过5个或更多),则说明有多个用户通过共享的网络登录了自己的虚拟账号,反之证明了这是一个共享的无线WIFI,有很多用户在同时通过它上网。因此,本实施例中,对共享网络事件的识别,通过如下三种方法综合鉴定出该事件:
1.通过USB无线网卡应用特征流量的识别,得知有用户在PC上安装了USB无线网卡。即用户插入USB无线网卡(例如:360免费wifi、小米随身wifi等)到PC后需启动对应的应用程序来共享PC本地网络,通过对USB无线网卡PC端应用程序的网络流量特征进行识别,从而鉴定为通过USB无线网卡共享PC本地网络的行为。
2.通过移动终端应用特征流量的识别,得知有移动终端通过私搭无线路由器上网。即识别移动终端连接到私自搭建的无线路由器后产生的流量,通过对流量中iOS或Android移动应用流量特征,特别是识别到HTTP传输协议数据包User Agent信息字段中与iOS/Android终端或移动应用相关的操作系统及版本、CPU类型、浏览器及版本等信息,从而鉴定为有移动终端接入的行为,即存在共享网络事件。
3.通过多个用户虚拟账号的识别,得知多个用户在通过私搭无线路由器上网。即某一时间段内同一个应用识别到多个用户虚拟账号登录,即存在共享网络事件。
其中,检测是否存在未授权外联事件包括:
检测敏感主机或服务器是否与外网IP地址有上下行流量;
若敏感主机或服务器与外网IP地址有上下行流量,则确定存在未授权外联事件;
或,
检测敏感主机或服务器上是否存在远程连接类应用的特征流量;
若敏感主机或服务器上存在远程连接类应用的特征流量,则确定存在未授权外联事件。
本实施例中,对于敏感主机和服务器,设定其是否可以与外网通联,以及允许访问的白名单用户,从而通过监测违反设定的网络通联行为,鉴定其可能存在信息泄露行为。特别是对访客WIFI的监测,应与内网隔离,即通过访客WIFI上网的终端不可访问到内网主机或服务器,捕获通过访客WIFI与内网主机或服务器通联的行为,从而鉴定其可能已成功攻击获得内网访问权限,存在内网信息泄露行为的风险。因此,本实施例中,通过检测敏感主机或服务器外网通联的流量,即识别该主机或服务器是否与外网IP地址有上下行流量;或,检测敏感主机或服务器远程连接的流量,即识别该主机或服务器上是否有远程连接类应用的特征流量,例如:windows远程连接、SSH、Telnet、向日葵、TeamViewer、AnyDesk等等,若敏感主机或服务器与外网IP地址有上下行流量或敏感主机或服务器上存在远程连接类应用的特征流量,则确定存在未授权外联事件。进一步地,还可以对上述方法所识别到的网络流量大小进行统计,从而量化信息泄露程度。
其中,检测是否存在未授权内联事件包括:
检测连接访客WiFi上网的终端与敏感主机或服务器之间是否存在网络访问流量;
若连接访客WiFi上网的终端与敏感主机或服务器之间存在网络访问流量,则确定存在未授权内联事件;
或,
检测是否存在非授权用户访问敏感主机或服务器的上下行流量;
若存在非授权用户访问敏感主机或服务器的上下行流量,则确定存在未授权内联事件。
本实施例中,通过对连接访客WIFI上网终端与内网主机或服务器是否存在网络访问流量,从而鉴定为其通过非法攻击或破解手段侵入内网并与内网主机或服务器有访问行为;或检测敏感主机或服务器遭受非法用户的访问流量,即识别非授权用户访问敏感主机或服务器的上下行流量。若连接访客WiFi上网的终端与敏感主机或服务器之间存在网络访问流量,或存在非授权用户访问敏感主机或服务器的上下行流量,则确定存在未授权内联事件。进一步地,还可以对上述方法所识别到的网络流量大小进行统计,从而量化信息泄露程度。
其中,检测是否存在基于简单邮件传输协议的信息泄露事件包括:
基于简单邮件传输协议对内网流量中未加密邮件进行识别,对识别到的未加密邮件提取邮件标题、邮件正文以及邮件附件;
检索所述邮件标题、邮件正文以及邮件附件中是否存在敏感关键词;
若所述邮件标题、邮件正文以及邮件附件中存在敏感关键词,则确定存在基于简单邮件传输协议的信息泄露事件。
目前无论是web网页邮箱还是通过邮箱代理软件收发企业内部邮件,都会要求对邮箱加密,以防止信息泄露。因此对网络流量中未加密的邮件识别,可以发现通过明文邮件导致信息泄露的事件。在捕获到明文邮件的基础上,加上对内容的敏感性做分级筛查,进而可以定位出分级信息的泄露源头邮箱和扩散的范围(收件者、抄送对象、密件发送对象)。因此,本实施例中,基于SMTP简单邮件传输协议对内网流量中未加密邮件进行识别,对识别到的未加密邮件提取发件人、收件人、抄送、密送、邮件标题、邮件正文、邮件附件、密码等信息,从而鉴定该发件人邮箱为未加密邮箱;对未加密邮件标题、正文、附件按敏感关键字词检索,如识别出敏感信息从而鉴定为信息泄露行为,即存在基于简单邮件传输协议的信息泄露事件。进一步地,还可以对敏感关键字、词、段落按主题分组,主题设定密级程度,从而识别出不同密级程度的基于简单邮件传输协议的信息泄露事件。
其中,检测是否存在基于文件传输类网络应用的信息泄露事件包括:
检测是否存在文件上传类应用的特征流量;
若存在文件上传类应用的特征流量,则确定存在信息外发行为,并获取所述信息外发信息对应的信息外发内容;
检索所述信息外发内容中是否存在敏感关键词;
若所述信息外发内容中存在敏感关键词,则确定存在基于文件传输类网络应用的信息泄露事件。
目前有越来越多的用户青睐易用、高效协作的云应用,用来存储和处理个人或企业的数据,例如:通过GitHub在线管理源代码、上传文档资料到云盘分享;同时也存在将文档上传到文档分享平台获取资源下载积分、为工作便利直接在敏感服务器上开设远程连接等行为。因此,对于文件传输类的应用以及文档共享类的网络应用特征流量的识别,对外发内容的敏感性做分级筛查,进而可以定位出分级信息的泄露源头和扩散的范围。因此,本实施例中,通过对文件上传类的应用流量特征识别,例如:GitHub、印象笔记、有道云笔记、百度网盘、360云盘、腾讯微云、115网盘、京东云盘、163网盘等,从而鉴定出信息外发行为;对信息外发内容(例如:文档名称、文档内容)按敏感关键字词检索,如识别出敏感信息从而鉴定为信息泄露行为,即存在基于文件传输类网络应用的信息泄露事件。进一步地,还可以对敏感关键字、词、段落按主题分组,主题设定密级程度,从而识别出不同密级程度的信息泄露行为。并按信息泄露的密级程度,对发送人和外发内容数量进行统计,从而鉴定出信息泄露的人和扩散程度。
其中,检测是否存在基于文档共享类网络应用的信息泄露事件包括:
检测是否存在文档共享类类网络应用的特征流量;
若存在文件上传类应用的特征流量,则确定存在信息外发行为,并获取所述信息外发信息对应的信息外发内容;
检索所述信息外发内容中是否存在敏感关键词;
若所述信息外发内容中存在敏感关键词,则确定存在基于文档共享类网络应用的信息泄露事件。
本实施例中,通过对文件共享类的应用流量特征识别,例如:道客巴巴、百度文库等,从而鉴定出信息外发行为;对信息外发内容(例如:文档名称、文档内容)按敏感关键字词检索,如识别出敏感信息从而鉴定为信息泄露行为,即存在基于文档共享类网络应用的信息泄露事件。进一步地,还可以对敏感关键字、词、段落按主题分组,主题设定密级程度,从而识别出不同密级程度的信息泄露行为,并按信息泄露的密级程度,对发送人和外发内容数量进行统计,从而鉴定出信息泄露的人和扩散程度。
步骤S20,若检测到存在网络信息泄露事件,则将检测到的网络信息泄露事件通知至网络安全管理终端。
本实施例中,若检测到存在共享网络事件、未授权外联事件、未授权内联事件、基于简单邮件传输协议的信息泄露事件、基于文件传输类网络应用的信息泄露事件、基于文档共享类网络应用的信息泄露事件中的至少一种时,将检测到的网络信息泄露事件通知至网络安全管理终端,以供网络安全管理终端的所属用户能及时对出现的网络信息泄露事件进行处理,降低了信息泄露带来的危害。
一实施例中,步骤S20包括:
若检测到存在共享网络事件,则将所述共享网络事件通知至网络安全管理终端;
本实施例中,若检测到存在共享网络事件,则将共享网络事件通知至网络安全管理终端。例如,发送共享网络事件对应的编号至网络安全管理终端,以供网络安全管理终端的所述用户知晓当前发生了共享网络事件,并对共享网络事件进行处理。
若检测到存在未授权外联事件,则统计所述敏感主机或服务器与外网IP地址的上下行流量和/或敏感主机或服务器上存在的远程连接类应用的特征流量的流量大小,得到所述未授权外联事件对应的总流量大小;
根据所述未授权外联事件对应的总流量大小,确定所述未授权外联事件对应的信息泄露程度;
将所述未授权外联事件以及所述未授权外联事件对应的信息泄露程度通知至网络安全管理终端;
本实施例中,若检测到存在未授权外联事件,则对敏感主机或服务器与外网IP地址的上下行流量和/或敏感主机或服务器上存在的远程连接类应用的特征流量的流量大小进行统计,得到未授权外联事件对应的总流量大小,并根据总流量大小确定未授权外联事件对应的信息泄露程度,从而将未授权外联事件以及未授权外联事件对应的信息泄露程度通知至网络安全管理终端。例如,信息泄露程度分为一级、二级和三级,且设置一级对应数值区间1,二级对应数值区间2,三级对应数值区间3。若总流量大小处于区间1,则当前的信息泄露程度为一级,则将未授权外联事件的编号以及信息泄露程度为一级的编号发送给网络安全管理终端,以供网络安全管理终端的所述用户知晓当前发生了未授权外联事件,且信息泄露程度为一级,并作出应对处理。
若检测到存在未授权内联事件,则统计所述连接访客WiFi上网的终端与敏感主机或服务器之间存在的网络访问流量和/或非授权用户访问敏感主机或服务器的上下行流量的流量大小,得到所述未授权内联事件对应的总流量大小;
根据所述未授权内联事件对应的总流量大小,确定所述未授权内联事件对应的信息泄露程度;
将所述未授权内联事件以及所述未授权内联事件对应的信息泄露程度通知至网络安全管理终端;
本实施例中,若检测到存在未授权内联事件,则统计连接访客WiFi上网的终端与敏感主机或服务器之间存在的网络访问流量和/或非授权用户访问敏感主机或服务器的上下行流量的流量大小,得到未授权内联事件对应的总流量大小,并根据未授权内联事件对应的总流量大小,确定未授权内联事件对应的信息泄露程度,从而将未授权内联事件以及未授权内联事件对应的信息泄露程度通知至网络安全管理终端。例如,信息泄露程度分为一级、二级和三级,且设置一级对应数值区间1,二级对应数值区间2,三级对应数值区间3。若总流量大小处于区间1,则当前的信息泄露程度为一级,则将未授权内联事件的编号以及信息泄露程度为一级的编号发送给网络安全管理终端,以供网络安全管理终端的所述用户知晓当前发生了未授权内联事件,且信息泄露程度为一级,并作出应对处理。
若检测到存在基于简单邮件传输协议的信息泄露事件,则对识别到的未加密邮件提取发件人信息、收件人信息、抄送人信息、密送人信息;
根据发件人信息、收件人信息、抄送人信息、密送人信息确定基于简单邮件传输协议的信息泄露事件对应的信息扩散范围;
根据所述邮件标题、邮件正文以及邮件附件中存在的敏感关键词对应的密级程度,确定基于简单邮件传输协议的信息泄露事件对应的信息密级程度;
将所述基于简单邮件传输协议的信息泄露事件以及所述基于简单邮件传输协议的信息泄露事件对应的信息扩散范围及信息密级程度通知至网络安全管理终端;
本实施例中,若检测到存在基于简单邮件传输协议的信息泄露事件,则进一步从未加密邮件提取发件人信息、收件人信息、抄送人信息、密送人信息,从而确定基于简单邮件传输协议的信息泄露事件对应的信息扩散范围,并根据邮件标题、邮件正文以及邮件附件中存在的敏感关键词对应的密级程度,确定基于简单邮件传输协议的信息泄露事件对应的信息密级程度。从而将基于简单邮件传输协议的信息泄露事件的编号、信息扩散范围及信息密级程度通知至网络安全管理终端,以供网络安全管理终端的所述用户知晓当前发生了基于简单邮件传输协议的信息泄露事件,且知晓信息扩散范围及信息密级程度,从而进行相应处理。
若检测到存在基于文件传输类网络应用的信息泄露事件,则根据所述信息外发内容中存在的敏感关键词,确定基于文件传输类网络应用的信息泄露事件对应的信息密级程度;
确定所述信息外发行为对应的外发人信息以及所述信息外发内容的数量;
将所述基于文件传输类网络应用的信息泄露事件以及所述基于文件传输类网络应用的信息泄露事件对应的信息密级程度、外发人信息以及所述信息外发内容的数量通知至网络安全管理终端;
本实施例中,若检测到存在基于文件传输类网络应用的信息泄露事件,则根据信息外发内容中存在的敏感关键词所在的分组,根据分组的主题确定基于文件传输类网络应用的信息泄露事件对应的信息密级程度,且确定信息外发行为对应的外发人信息以及信息外发内容的数量,然后将基于文件传输类网络应用的信息泄露事件以及基于文件传输类网络应用的信息泄露事件对应的信息密级程度、外发人信息以及信息外发内容的数量通知至网络安全管理终端,以供网络安全管理终端的所述用户知晓当前发生了基于文件传输类网络应用的信息泄露事件,且泄漏的信息的密级程度以及外发人信息和信息外发内容的数量,从而进行相应处理。
若检测到存在基于文档共享类网络应用的信息泄露事件,
则根据所述信息外发内容中存在的敏感关键词,确定基于文档共享类网络应用的信息泄露事件对应的信息密级程度;
确定所述信息外发行为对应的外发人信息以及所述信息外发内容的数量;
将所述基于文档共享类网络应用的信息泄露事件以及所述基于文档共享类网络应用的信息泄露事件对应的信息密级程度、外发人信息以及所述信息外发内容的数量通知至网络安全管理终端。
本实施例中,若检测到存在基于文档共享类网络应用的信息泄露事件,则根据信息外发内容中存在的敏感关键词所在的分组,根据分组的主题确定基于文档共享类网络应用的信息泄露事件对应的信息密级程度,且确定信息外发行为对应的外发人信息以及信息外发内容的数量,然后将基于文档共享类网络应用的信息泄露事件以及基于文档共享类网络应用的信息泄露事件对应的信息密级程度、外发人信息以及信息外发内容的数量通知至网络安全管理终端,以供网络安全管理终端的所述用户知晓当前发生了基于文档共享类网络应用的信息泄露事件,且泄漏的信息的密级程度以及外发人信息和信息外发内容的数量,从而进行相应处理。
本实施例中,通过检测是否存在共享网络事件、未授权外联事件、未授权内联事件、基于简单邮件传输协议的信息泄露事件、基于文件传输类网络应用的信息泄露事件、基于文档共享类网络应用的信息泄露事件,完善了对网络信息泄密事件进行识别的方式方法,并将检测到的网络信息泄露事件通知至网络安全管理终端,有助于网络安全管理终端的所属用户及时对出现的网络信息泄露事件进行处理,降低了信息泄露带来的危害。
基于与前述实施例中同样的发明构思,本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前文任一所述方法的步骤。
本发明计算机可读存储介质的具体实施例与上述网络安全监控方法的各个实施例基本相同,在此不做赘述。
基于与前述实施例中同样的发明构思,本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现前文任一所述方法的步骤。
本发明计算机设备的具体实施例与上述网络安全监控方法的各个实施例基本相同,在此不做赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网关、代理服务器、系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
Claims (8)
1.一种网络安全监控方法,其特征在于,所述方法包括:
检测是否存在网络信息泄露事件,所述网络信息泄露事件包括以下任意一种:
共享网络事件、未授权外联事件、未授权内联事件、基于简单邮件传输协议的信息泄露事件、基于文件传输类网络应用的信息泄露事件、基于文档共享类网络应用的信息泄露事件;
所述共享网络事件包括USB无线网卡应用或移动终端应用或在预设时间段内多个用户虚拟账号登录同一USB无线网卡应用;
所述未授权外联事件包括敏感主机或服务器与外网IP地址有上下行流量;或,敏感主机或服务器上存在远程连接类应用;
所述未授权内联事件包括连接访客WiFi上网的终端与敏感主机或服务器之间存在网络访问;或,非授权用户访问敏感主机或服务器;
所述基于文件传输类网络应用的信息泄露事件包括文件上传类应用中信息外发内容存在敏感关键词;
所述基于文档共享类网络应用的信息泄露事件包括文档共享类网络应用中信息外发内容存在敏感关键词;
所述检测是否存在基于简单邮件传输协议的信息泄露事件包括:
基于简单邮件传输协议对内网流量中未加密邮件进行识别,对识别到的未加密邮件提取邮件标题、邮件正文以及邮件附件;
检索所述邮件标题、邮件正文以及邮件附件中是否存在敏感关键词;
若所述邮件标题、邮件正文以及邮件附件中存在敏感关键词,则确定存在基于简单邮件传输协议的信息泄露事件;
若检测到存在网络信息泄露事件,则将检测到的网络信息泄露事件通知至网络安全管理终端;
所述若检测到存在网络信息泄露事件,则将检测到的网络信息泄露事件通知至网络安全管理终端包括:
若检测到存在共享网络事件,则将所述共享网络事件通知至网络安全管理终端;
若检测到存在未授权外联事件,则统计所述敏感主机或服务器与外网IP地址的上下行流量和/或敏感主机或服务器上存在的远程连接类应用的特征流量的流量大小,得到所述未授权外联事件对应的总流量大小;
根据所述未授权外联事件对应的总流量大小,确定所述未授权外联事件对应的信息泄露程度;
将所述未授权外联事件以及所述未授权外联事件对应的信息泄露程度通知至网络安全管理终端;
若检测到存在未授权内联事件,则统计连接访客WiFi上网的终端与敏感主机或服务器之间存在的网络访问流量和/或非授权用户访问敏感主机或服务器的上下行流量的流量大小,得到所述未授权内联事件对应的总流量大小;
根据所述未授权内联事件对应的总流量大小,确定所述未授权内联事件对应的信息泄露程度;
将所述未授权内联事件以及所述未授权内联事件对应的信息泄露程度通知至网络安全管理终端;
若检测到存在基于简单邮件传输协议的信息泄露事件,则对识别到的未加密邮件提取发件人信息、收件人信息、抄送人信息、密送人信息;
根据发件人信息、收件人信息、抄送人信息、密送人信息确定基于简单邮件传输协议的信息泄露事件对应的信息扩散范围;
根据所述邮件标题、邮件正文以及邮件附件中存在的敏感关键词对应的密级程度,确定基于简单邮件传输协议的信息泄露事件对应的信息密级程度;
将所述基于简单邮件传输协议的信息泄露事件以及所述基于简单邮件传输协议的信息泄露事件对应的信息扩散范围及信息密级程度通知至网络安全管理终端;
若检测到存在基于文件传输类网络应用的信息泄露事件,则根据所述信息外发内容中存在的敏感关键词,确定基于文件传输类网络应用的信息泄露事件对应的信息密级程度;
确定信息外发行为对应的外发人信息以及所述信息外发内容的数量;
将所述基于文件传输类网络应用的信息泄露事件以及所述基于文件传输类网络应用的信息泄露事件对应的信息密级程度、外发人信息以及所述信息外发内容的数量通知至网络安全管理终端;
若检测到存在基于文档共享类网络应用的信息泄露事件,
则根据所述信息外发内容中存在的敏感关键词,确定基于文档共享类网络应用的信息泄露事件对应的信息密级程度;
确定所述信息外发行为对应的外发人信息以及所述信息外发内容的数量;
将所述基于文档共享类网络应用的信息泄露事件以及所述基于文档共享类网络应用的信息泄露事件对应的信息密级程度、外发人信息以及所述信息外发内容的数量通知至网络安全管理终端。
2.如权利要求1所述的方法,其特征在于,所述检测是否存在共享网络事件包括:
检测是否识别到USB无线网卡应用的特征流量;
若识别到USB无线网卡应用的特征流量,则确定存在共享网络事件;
或,
检测是否识别到移动终端应用的特征流量;
若识别到移动终端应用的特征流量,则确定存在共享网络事件;
或,
检测在预设时间段内是否识别到多个用户虚拟账号登录同一USB无线网卡应用;
若在预设时间段内识别到多个用户虚拟账号登录同一USB无线网卡应用,则确定存在共享网络事件。
3.如权利要求2所述的方法,其特征在于,所述检测是否存在未授权外联事件包括:
检测敏感主机或服务器是否与外网IP地址有上下行流量;
若敏感主机或服务器与外网IP地址有上下行流量,则确定存在未授权外联事件;
或,
检测敏感主机或服务器上是否存在远程连接类应用的特征流量;
若敏感主机或服务器上存在远程连接类应用的特征流量,则确定存在未授权外联事件。
4.如权利要求3所述的方法,其特征在于,所述检测是否存在未授权内联事件包括:
检测连接访客WiFi上网的终端与敏感主机或服务器之间是否存在网络访问流量;
若连接访客WiFi上网的终端与敏感主机或服务器之间存在网络访问流量,则确定存在未授权内联事件;
或,
检测是否存在非授权用户访问敏感主机或服务器的上下行流量;
若存在非授权用户访问敏感主机或服务器的上下行流量,则确定存在未授权内联事件。
5.如权利要求4所述的方法,其特征在于,所述检测是否存在基于文件传输类网络应用的信息泄露事件包括:
检测是否存在文件上传类应用的特征流量;
若存在文件上传类应用的特征流量,则确定存在信息外发行为,并获取信息外发信息对应的信息外发内容;
检索所述信息外发内容中是否存在敏感关键词;
若所述信息外发内容中存在敏感关键词,则确定存在基于文件传输类网络应用的信息泄露事件。
6.如权利要求5所述的方法,其特征在于,所述检测是否存在基于文档共享类网络应用的信息泄露事件包括:
检测是否存在文档共享类网络应用的特征流量;
若存在文档共享类网络应用的特征流量,则确定存在信息外发行为,并获取所述信息外发信息对应的信息外发内容;
检索所述信息外发内容中是否存在敏感关键词;
若所述信息外发内容中存在敏感关键词,则确定存在基于文档共享类网络应用的信息泄露事件。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-6任一项所述方法的步骤。
8.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-6任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911237289.8A CN111131183B (zh) | 2019-12-05 | 2019-12-05 | 网络安全监控方法、计算机设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911237289.8A CN111131183B (zh) | 2019-12-05 | 2019-12-05 | 网络安全监控方法、计算机设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111131183A CN111131183A (zh) | 2020-05-08 |
| CN111131183B true CN111131183B (zh) | 2022-05-31 |
Family
ID=70496180
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911237289.8A Active CN111131183B (zh) | 2019-12-05 | 2019-12-05 | 网络安全监控方法、计算机设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111131183B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112565196A (zh) * | 2020-11-10 | 2021-03-26 | 杭州神甲科技有限公司 | 具有网络监控能力的数据防泄漏方法、装置及存储介质 |
| CN114338106B (zh) * | 2021-12-16 | 2023-02-21 | 北京中科网威信息技术有限公司 | 网络传输协议入侵检测方法、系统、电子设备和存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355459A (zh) * | 2008-08-29 | 2009-01-28 | 北京理工大学 | 一种基于可信协议的网络监控方法 |
| CN105471823A (zh) * | 2014-09-03 | 2016-04-06 | 阿里巴巴集团控股有限公司 | 一种敏感信息处理方法、装置、服务器及安全判定系统 |
| CN105553956A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 一种基于敏感信息识别的邮件阻断方法和装置 |
| CN106034303A (zh) * | 2015-03-10 | 2016-10-19 | 阿里巴巴集团控股有限公司 | 一种信息的防伪造方法、信息识别方法及装置 |
| CN107645480A (zh) * | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 数据监控方法及系统、装置 |
| CN107733834A (zh) * | 2016-08-10 | 2018-02-23 | 中国移动通信集团甘肃有限公司 | 一种数据泄露防护方法及装置 |
| CN108052833A (zh) * | 2017-12-11 | 2018-05-18 | 北京明朝万达科技股份有限公司 | 一种可执行文件数据防泄漏扫描方法、系统及网关 |
| US10079835B1 (en) * | 2015-09-28 | 2018-09-18 | Symantec Corporation | Systems and methods for data loss prevention of unidentifiable and unsupported object types |
| CN110089087A (zh) * | 2016-12-16 | 2019-08-02 | 亚马逊技术有限公司 | 敏感数据的跨网络安全数据摄取 |
-
2019
- 2019-12-05 CN CN201911237289.8A patent/CN111131183B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355459A (zh) * | 2008-08-29 | 2009-01-28 | 北京理工大学 | 一种基于可信协议的网络监控方法 |
| CN105471823A (zh) * | 2014-09-03 | 2016-04-06 | 阿里巴巴集团控股有限公司 | 一种敏感信息处理方法、装置、服务器及安全判定系统 |
| CN106034303A (zh) * | 2015-03-10 | 2016-10-19 | 阿里巴巴集团控股有限公司 | 一种信息的防伪造方法、信息识别方法及装置 |
| US10079835B1 (en) * | 2015-09-28 | 2018-09-18 | Symantec Corporation | Systems and methods for data loss prevention of unidentifiable and unsupported object types |
| CN105553956A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 一种基于敏感信息识别的邮件阻断方法和装置 |
| CN107645480A (zh) * | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 数据监控方法及系统、装置 |
| CN107733834A (zh) * | 2016-08-10 | 2018-02-23 | 中国移动通信集团甘肃有限公司 | 一种数据泄露防护方法及装置 |
| CN110089087A (zh) * | 2016-12-16 | 2019-08-02 | 亚马逊技术有限公司 | 敏感数据的跨网络安全数据摄取 |
| CN108052833A (zh) * | 2017-12-11 | 2018-05-18 | 北京明朝万达科技股份有限公司 | 一种可执行文件数据防泄漏扫描方法、系统及网关 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111131183A (zh) | 2020-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10084816B2 (en) | Protocol based detection of suspicious network traffic | |
| US10212134B2 (en) | Centralized management and enforcement of online privacy policies | |
| US9501639B2 (en) | Methods, systems, and media for baiting inside attackers | |
| US20120084866A1 (en) | Methods, systems, and media for measuring computer security | |
| Giani et al. | Data exfiltration and covert channels | |
| US20240045965A1 (en) | Disarming malware in protected content | |
| US12003537B2 (en) | Mitigating phishing attempts | |
| CN111131183B (zh) | 网络安全监控方法、计算机设备及计算机可读存储介质 | |
| Lu et al. | Integrating traffics with network device logs for anomaly detection | |
| Carter et al. | Intrusion prevention fundamentals | |
| Souppaya et al. | User’s Guide to Telework and Bring Your Own Device (BYOD) Security | |
| Nelson et al. | Social engineering for security attacks | |
| Nair et al. | Security attacks in internet of things | |
| Mohtasebi et al. | A mitigation approach to the privacy and malware threats of social network services | |
| Kwecka | Application layer covert channel analysis and detection | |
| Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
| Bijalwan | Network Forensics: Privacy and Security | |
| Modi et al. | Design and implementation of RESTFUL API based model for vulnerability detection and mitigation | |
| Warmer | Detection of web based command & control channels | |
| JP2013069016A (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
| Nabi et al. | An Overview of Firewall Types, Technologies, and Functionalities | |
| CN114072798A (zh) | 内联恶意软件检测 | |
| Liu | Ethical Hacking of a Smart Video Doorbell | |
| Fleming et al. | Network intrusion and detection: An evaluation of snort | |
| Louis-Jean | Defending the Home Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |