CN111181914A - 一种局域网内部数据安全监控方法、装置、系统和服务器 - Google Patents
一种局域网内部数据安全监控方法、装置、系统和服务器 Download PDFInfo
- Publication number
- CN111181914A CN111181914A CN201910936347.XA CN201910936347A CN111181914A CN 111181914 A CN111181914 A CN 111181914A CN 201910936347 A CN201910936347 A CN 201910936347A CN 111181914 A CN111181914 A CN 111181914A
- Authority
- CN
- China
- Prior art keywords
- authentication
- engine
- data
- data content
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种局域网内部数据安全监控方法、装置、系统和服务器,属于网络安全技术领域。一方面,本申请采用多种类型的鉴定引擎根据数据内容的信息对数据内容进行鉴定,可以充分利用不同种类的鉴定引擎的特点,对数据内容存在的多种风险进行鉴定,有利于提高风险鉴定的准确性和保障局域网内部数据的安全性。并且,本申请从数据存储中心获取数据内容的信息,提升了安全鉴定的覆盖面和广度。另一方面,本申请应用于设置在局域网内部的风险鉴定服务器上,对局域网内部的数据内容进行风险鉴定,无需将局域网内部数据传输至外网的公有云端进行鉴定,可以保证局域网内部数据不被泄露至外网,有利于保证局域网内部数据的保密性。
Description
技术领域
本申请涉及网络安全技术领域,更具体地说,涉及一种局域网内部数据安全监控方法、装置、系统和服务器。
背景技术
随着企业信息化程度不断提高,企业内网中的电子文件和数据在存储和使用过程中的安全风险也日趋严峻。
现有技术中主要有两种方式来保障电子文件的安全。第一种方式为在企业内部的每台计算机上安装杀毒软件,依靠杀毒软件定期扫描计算机本地存储的电子文件。该方式只在计算机上安装杀毒软件,无法保障企业内网中的其他电子文件(如生产系统中的电子文件等)的安全。
第二种方式为将企业内网中的电子文件上传至企业外部的公有云服务器进行病毒查杀。该方式需要将企业内网中的电子文件传输至企业外部的外网中,难以满足企业内部的文件保密性和私密性要求。并且,如果企业内网与外网之间设置了网络隔离,该方式会破坏企业内网的隔离环境,使原本设置的网络隔离出现漏洞,给企业内网带来安全隐患。
同时,现有技术中的上述两种方式仅用于鉴定电子文件中是否存在病毒木马风险,无法鉴定电子文件中是否存在的其他安全问题,如文件的文本内容是否安全等。
发明内容
为解决现有存在的技术问题,本申请实施例提供一种局域网内部数据安全监控方法、装置、系统和服务器,不仅可以对局域网内部数据进行多维度的安全鉴定,而且在鉴定过程中可以保证局域网内部数据不被泄露至外网。
为达到上述目的,本申请实施例的技术方案是这样实现的:
本申请实施例提供了一种局域网内部数据安全监控方法,应用于设置在局域网内部的风险鉴定服务器,所述方法包括:
从所述局域网内部的数据存储中心获取需要进行安全鉴定的数据内容的信息;
根据获取的数据内容的信息生成任务列表;所述任务列表中包括多项鉴定任务,每条数据内容的信息对应一项鉴定任务;
按设定规则从引擎集合中确定任务列表中的每项鉴定任务对应的鉴定引擎;所述引擎集合中包括多种类型的鉴定引擎,不同类型的鉴定引擎用于检测数据内容的不同特征,每种类型的鉴定引擎的数量为一个或多个;每项鉴定任务对应至少一种鉴定引擎;
通过确定的鉴定引擎对任务列表中的每项鉴定任务相应的数据内容进行鉴定;
根据各个鉴定引擎对同一数据内容的鉴定结果,生成所述数据内容的综合风险值。
在一种可选的实施例中,所述按设定规则从引擎集合中确定任务列表中的每项鉴定任务对应的鉴定引擎,包括:
根据每项鉴定任务的数据内容的数据类型确定对应的鉴定引擎;或者
根据每项鉴定任务的数据内容的存储位置确定对应的鉴定引擎。
在一种可选的实施例中,通过确定的鉴定引擎对任务列表中的每项鉴定任务相应的数据内容进行鉴定,包括:
将每项鉴定任务添加至对应的鉴定引擎的消息队列中,以使鉴定引擎根据消息队列中的鉴定任务包含的数据内容的信息对相应的数据内容进行鉴定。
在一种可选的实施例中,所述根据各个鉴定引擎对同一数据内容的鉴定结果,生成所述数据内容的综合风险值,包括:
根据各个鉴定引擎输出的鉴定结果及各自对应的权重值,生成所述数据内容的综合风险值。
第二方面,本申请实施例提供了一种局域网内部数据安全监控装置,应用于设置在局域网内部的风险鉴定服务器,所述装置包括:
数据信息获取单元,用于从所述局域网内部的数据存储中心获取需要进行安全鉴定的数据内容的信息;
列表生成单元,用于根据获取的数据内容的信息生成任务列表;所述任务列表中包括多项鉴定任务,每条数据内容的信息对应一项鉴定任务;
任务调度单元,用于按设定规则从引擎集合中确定任务列表中的每项鉴定任务对应的鉴定引擎,并通过确定的鉴定引擎对任务列表中的每项鉴定任务相应的数据内容进行鉴定;所述引擎集合中包括多种类型的鉴定引擎,不同类型的鉴定引擎用于检测数据内容的不同特征,每种类型的鉴定引擎的数量为一个或多个;每项鉴定任务对应至少一种鉴定引擎;
结果汇总单元,用于根据各个鉴定引擎对同一数据内容的鉴定结果,生成所述数据内容的综合风险值。
第三方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时,实现上述第一方面的局域网内部数据安全监控方法。
第四方面,本申请实施例提供了一种服务器,包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,当所述计算机程序被所述处理器执行时,使得所述处理器实现上述第一方面的局域网内部数据安全监控方法。
第五方面,本申请实施例提供了一种局域网内部数据安全监控系统,包括设置在局域网内部的多个用户终端、业务服务器、数据存储中心和风险鉴定服务器,所述业务服务器和所述多个用户终端均与所述数据存储中心连接,所述数据存储中心与所述风险鉴定服务器连接;所述风险鉴定服务器采用上述第四方面所述的服务器。
本申请实施例的局域网内部数据安全监控方法、装置、系统和服务器,从局域网内部的数据存储中心获取需要进行安全鉴定的数据内容的信息,调用多种类型的鉴定引擎根据数据内容的信息对数据内容进行鉴定,对多种类型的鉴定引擎的鉴定结果进行综合,确定数据内容的综合风险值。一方面,可以充分利用不同种类的鉴定引擎的特点,对数据内容进行多维度的安全鉴定,有利于提高安全鉴定的准确性和保障局域网内部数据的安全性。并且,由于数据存储中心统一存储局域网内部的所有数据和文件,从数据存储中心获取数据内容的信息,可以对局域网内部的几乎所有数据和文件进行安全鉴定,提升了安全鉴定的覆盖面和广度。另一方面,上述方法应用于设置在局域网内部的风险鉴定服务器上,对局域网内部的数据内容进行风险鉴定,无需将局域网内部数据传输至外网的公有云端进行鉴定,可以保证局域网内部数据不被泄露至外网,有利于保证局域网内部数据的保密性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种局域网内部数据安全监控系统的结构示意图;
图2为本申请实施例提供的一种局域网内部数据安全监控方法的流程示意图;
图3~图7为本申请实施例提供的一种局域网内部数据安全监控方法的界面展示图;
图8为本申请实施例提供的一种局域网内部数据安全监控方法中实时鉴定功能的流程示意图;
图9为本申请实施例提供的一种局域网内部数据安全监控装置的结构示意图;
图10为本申请实施例提供的另一种局域网内部数据安全监控装置的结构示意图;
图11为本申请实施例提供的一种服务器的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
需要说明的是,本申请的文件中涉及的术语“包括”和“具有”以及它们的变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
以下对本申请实施例中的部分用语进行解释说明,以便于本领域技术人员理解。
(1)局域网:一种私有的区域网络,通过网络连接设备和网络传输介质将一定区域内的计算机、生产设备、业务服务器和数据库服务器等连接组成。其中,一定区域可以是一个企业、一个机构、一个组织单位或一个工厂等;网络连接设备可以包括但不限于网卡、集线器、交换机、无线路由器等;网络传输介质可以包括但不限于网线,如同轴电缆、双绞线或光缆等。局域网安装便捷、扩展方便、传输速度快、性能稳定、并且具有封闭性。在局域网内,可以实现文件管理、应用软件共享、打印机共享等功能,在使用过程当中,通过维护局域网内部网络安全,能够有效地保护文件和数据等资料的安全,保证局域网内部网络能够正常稳定的运行。
(2)数据存储中心:可以理解为局域网内部的数据库服务器,与局域网内部的计算机、生产设备和业务服务器等连接,用于统一存储局域网内部的各种文件和数据,包括各个计算机、生产设备和业务服务器所使用或上传的数据,以及浏览网页的日志记录等。
(3)业务服务器:企业或机构内部用于进行业务管理或控制生产设备的服务器,可以将业务或生产过程中的文件和数据实时上传至数据存储中心。
(4)用户终端:可以是办公用计算机,也可以是可移动的电子设备,可以通过虚拟机登录数据存储中心,从数据存储中心获取需要使用的数据并将发生变化的数据实时上传至数据存储中心。
(5)数据内容:可以包括但不限于文件和数据等各种类型的资料;其中,文件可以包括可执行文件、系统文件、文档文件或图片文件等不同类型的文件;数据主要指以记录(如上网日志记录等)或字段为单位保存的数据内容。
下面结合附图及具体实施例对本申请作进一步详细的说明。
为了在保障局域网内部数据的保密性的前提下,对局域网内部数据存在的安全风险进行有效鉴定,本申请实施例提供了一种局域网内部数据安全监控方法、装置、系统和服务器。下文首先介绍本申请实施例的一种局域网内部数据安全监控系统。
如图1所示,该安全监控系统包括设置在局域网内部的多个用户终端100、业务服务器200、数据存储中心300和风险鉴定服务器400。其中,数据存储中心300可以包括一台或多台数据存储服务器,用于统一存储局域网内部的各种文件和数据。多个用户终端100和业务服务器200均与数据存储中心300连接,数据存储中心300与风险鉴定服务器400连接。
可选地,多个用户终端100可以通过有线连接或无线连接的方式与数据存储中心300连接,业务服务器200也可以通过有线连接或无线连接的方式与数据存储中心300连接。数据存储中心300可以是基于私有云技术搭建的私有云平台,为局域网内的用户提供计算、管理、资源调度和数据存储等服务。数据存储中心用于统一存储局域网内部的各种文件和数据,用户终端和业务服务器可以实时向数据存储中心上传文件和数据。因此数据存储中心存储有海量的文件和数据。风险鉴定服务器400可以是数据存储中心300内的一台服务器,也可以是独立设置于数据存储中心300之外的一台服务器,通过有线或无线的方式与数据存储中心300中的任意一台数据存储服务器连接。风险鉴定服务器400用于对存储在数据存储中心300的文件或数据进行安全鉴定,保障局域网内部的文件和数据的安全。
示例性地,如果该局域网为生产企业的局域网,用户终端100可以是企业内的员工所使用的办公计算机,业务服务器200可以是控制平台服务器或工作站的服务器,与所控制的生产设备连接,控制生产设备在生产过程中正常运行。如果该局域网为机构(如医院、银行等)的局域网,用户终端100可以是机构内的工作人员所使用的办公计算机,工作人员可以使用办公计算机作为终端为客户提供各种业务办理服务。业务服务器200可以是为业务办理服务提供支持并进行管理的后台服务器。
企业或机构的局域网内部与外部的互联网之间设置有网络隔离设备500和防火墙。其中,网络隔离设备500可以是安全隔离网闸(GAP)或单向光闸等。单向光闸可以采用物理层的单向分光传输技术,从最底层切断通信双方的“握手”,形成无反馈的单向传输,也可以采用具有纯单向性的数据二极管(Data Diode)实现数据的单向传输,使外网的数据可以传输到局域网内部,局域网内部网络无法传输数据到外网,从而防止数据泄密,保证局域网内部网络免受外网的攻击。防火墙也是可以将局域网内部网络与外网相对隔绝的一道保护屏障,以保护局域网内部的数据资料和信息的安全性。
在本申请实施例中,风险鉴定服务器400中部署有局域网内部数据安全监控装置,可以从局域网内部的数据存储中心获取需要进行安全鉴定的数据内容的信息,根据获取的数据内容的信息生成任务列表。所述任务列表中可以包括多项鉴定任务,每条数据内容的信息对应一项鉴定任务。局域网内部数据安全监控装置按设定规则从引擎集合中确定任务列表中的每项鉴定任务对应的鉴定引擎,通过确定的各个鉴定引擎对鉴定任务相相应的数据内容进行鉴定;根据各个鉴定引擎对同一数据内容的鉴定结果,生成该数据内容的综合风险值。其中,引擎集合中包括多种类型的鉴定引擎,不同类型的鉴定引擎用于检测数据内容的不同特征,每种类型的鉴定引擎的数量为一个或多个;每项鉴定任务对应至少一种鉴定引擎。例如,引擎集合中可以包括以下鉴定引擎中的至少两种:病毒检测引擎、内容检测引擎、规则检测引擎;所述病毒检测引擎包括反病毒引擎、云引擎以及文件沙箱引擎中的至少一种。
本申请实施例的局域网内部数据安全监控系统,采用多个种类引擎对局域网内部的数据内容进行安全鉴定,可以充分利用不同种类的鉴定引擎的特点,对数据内容存在的多种风险进行鉴定,有利于提高风险鉴定的准确性和保障局域网内部数据的安全性。并且,由于数据存储中心统一存储局域网内部的所有数据和文件,从数据存储中心获取数据内容的信息,可以对局域网内部的几乎所有数据和文件进行安全鉴定,提升了安全鉴定的覆盖面和广度。在局域网内部设置风险鉴定服务器局域网内部的文件或数据进行安全鉴定,与传统的在每台计算机上安装杀毒软件相比,还可以降低每台计算机的计算资源和电力资源的消耗。同时,由于风险鉴定服务器位于局域网内部,无需将局域网内部数据传输至外网的公有云端进行鉴定,可以保证局域网内部数据不被泄露至外网,有利于保证局域网内部数据的保密性。
以下详细介绍本申请实施例提供的局域网内部数据安全监控方法,该方法应用于上述系统中的风险鉴定服务器400。在一个实施例中,如图2所示,该方法包括如下步骤:
步骤S201,从局域网内部的数据存储中心获取需要进行安全鉴定的数据内容的信息。
上文中已经介绍,数据存储中心用于统一存储局域网内部的各种文件和数据,用户终端和业务服务器可以实时向数据存储中心上传文件和数据。数据内容可以是文件,也可以是数据或其它类型的存储资料。
风险鉴定服务器具有与数据存储中心对接的接口,该接口可以是任意形式的接口,该接口可以从数据存储中心主动拉取数据内容,也可以被动接收数据存储中心推送的数据内容,获取数据内容的信息,包括数据内容的数据类型、数据内容的标识和存储位置等。以数据内容是文件为例,数据内容的信息可以包括文件类型、文件名和文件的存储位置等信息。
风险鉴定服务器可以定时或按照设定间隔时长从数据存储中心获取需要进行安全鉴定的数据内容的信息,上述间隔时长可以由用户设定;也可以响应用户的安全鉴定指令从数据存储中心获取需要进行安全鉴定的数据内容的信息。其中,需要进行安全鉴定的数据内容一般是数据存储中心存储的全部数据内容,在一些实施例中,也可以是用户指定的存储区域内存储的数据内容。
例如,当数据安全监控程序在风险鉴定服务器上运行时,风险鉴定服务器的显示界面上可以显示全路径扫描和部分路径扫描的选项供用户选择,若用户选择全路径扫描,则对数据存储中心存储的全部数据内容进行安全鉴定;若用户选择部分路径扫描,则让用户选择指定区域,对用户指定的存储区域内存储的数据内容进行安全鉴定。
步骤S202,根据获取的数据内容的信息生成任务列表。
其中,任务列表中包括多项鉴定任务,每条数据内容的信息对应一项鉴定任务。仍以数据内容是文件为例,在一些实施例中,该文件对应的鉴定任务中包括该文件的信息,如文件名、文件类型、文件的创建或修改时间和文件的存储位置等。在另一些实施例中,该文件对应的鉴定任务中包括该文件的其它信息,如文件的大小,文件的属性信息等。
示例性地,可以针对获取的每条数据内容的信息逐一生成对应的鉴定任务,然后将生成的鉴定任务组成任务列表。生成一条数据内容的信息对应的鉴定任务的过程如下:假设该数据内容为文件,数据内容的信息包括:该文件的文件名为XX资料,文件类型为文档文件,文件的创建时间为X年X月X日,文件的存储位置为X计算机/X磁盘/X文件夹。将数据内容的各个信息分别对应添加至该数据内容对应的鉴定任务中的指定位置,即可生成一项鉴定任务。例如,可以将文件名“XX资料”添加至对应的鉴定任务中第二列的位置,将文件类型“文档文件”添加至对应的鉴定任务中第三列的位置,将文件的创建时间“X年X月X日”添加至对应的鉴定任务中第四列的位置,将文件的存储位置“X计算机/X磁盘/X文件夹”添加至对应的鉴定任务中第五列的位置。依照上述步骤可以生成获取的每条数据内容对应的鉴定任务,将生成的多项鉴定任务组成任务列表。
根据上述方法生成的任务列表的部分内容参见表1所示,表1中的一行内容代表一项鉴定任务。
表1
| 鉴定任务编号 | 数据名称 | 数据类型 | 创建时间 | 存储位置 |
| 鉴定任务1 | XX资料 | 文档文件 | X年X月X日 | X计算机/X磁盘/X文件夹 |
| 鉴定任务2 | XX应用 | 可执行文件 | X年X月X日 | X服务器/X分区/X文件夹 |
| …… | …… | …… | …… | …… |
| 鉴定任务n | XX记录 | 日志记录 | X年X月X日 | X计算机/X分区/X文件夹 |
步骤S203,按设定规则从引擎集合中确定任务列表中的每项鉴定任务对应的鉴定引擎。
其中,引擎集合中包括多种类型的鉴定引擎,不同类型的鉴定引擎用于检测数据内容的不同特征,每种类型的鉴定引擎的数量为一个或多个;每项鉴定任务对应至少一种鉴定引擎。例如,鉴定引擎包括以下引擎中的至少两种:病毒检测引擎、内容检测引擎、规则检测引擎。其中,病毒检测引擎用于检测文件中是否包含病毒特征;内容检测引擎用于对文件中的文字或图片内容进行检测,确定文件中是否涉及色情、暴力或其它与工作不相关甚至相背离的内容;规则检测引擎用于检测数据中是否存在异常数据特征,如用户的上网日志记录中是否包含访问不被允许的网址的记录或用户经常使用的活跃资源是否存在异常特征等。
在一些实施例中,可以按照设定规则分别确定任务列表中的每项鉴定任务对应的鉴定引擎,如可以根据某项鉴定任务的数据内容的数据类型或存储位置确定该数据内容对应的鉴定引擎,数据内容的数据类型和存储位置均可以从数据内容的信息中获得。
步骤S204,通过确定的鉴定引擎对任务列表中的每项鉴定任务相应的数据内容进行鉴定。
确定每项鉴定任务的数据内容对应的鉴定引擎之后,将每项鉴定任务添加至对应的鉴定引擎的消息队列中,以使鉴定引擎根据消息队列中的鉴定任务包含的数据内容的信息对相应的数据内容进行鉴定。
可以理解的是,任务列表中的有些鉴定任务可能通过所有的鉴定引擎进行鉴定,有些鉴定任务可能通过部分鉴定引擎进行鉴定,有些鉴定任务可能只通过某一个鉴定引擎进行鉴定。
步骤S205,根据各个鉴定引擎对同一数据内容的鉴定结果,生成该数据内容的综合风险值。
各个鉴定引擎完成对某个数据内容的鉴定之后,返回对该数据内容的鉴定结果。可以根据各个鉴定引擎输出的鉴定结果及各自对应的权重值,生成该数据内容的综合风险值。
本申请实施例提供的局域网内部数据安全监控方法,采用多个种类引擎对局域网内部的数据内容进行安全鉴定,可以充分利用不同种类的鉴定引擎的特点,对数据内容存在的多种风险进行鉴定,有利于提高风险鉴定的准确性和保障局域网内部数据的安全性。并且,由于数据存储中心统一存储局域网内部的所有数据和文件,从数据存储中心获取数据内容的信息,可以对局域网内部的几乎所有数据和文件进行安全鉴定,提升了安全鉴定的覆盖面和广度。在局域网内部设置风险鉴定服务器局域网内部的文件或数据进行安全鉴定,与传统的在每台计算机上安装杀毒软件相比,还可以降低每台计算机的计算资源和电力资源的消耗。同时,由于风险鉴定服务器位于局域网内部,无需将局域网内部数据传输至外网的公有云端进行鉴定,可以保证局域网内部数据不被泄露至外网,有利于保证局域网内部数据的保密性。
在一些实施例中,得到每条数据内容的综合风险值之后,上述方法还可以包括,根据每条数据内容的综合风险值进行安全风险展示。具体地,可以对综合风险值高于设定阈值的数据内容进行安全风险展示。在另一些实施例中,可以显示完成鉴定的数据内容的总数和综合风险值高于设定阈值的数据内容的数量,响应用户的风险查看操作,对综合风险值高于设定阈值的数据内容进行安全风险展示。
在一个具体的实施例中,引擎集合中可以包括病毒检测引擎、内容检测引擎和规则检测引擎三种类型的鉴定引擎。其中,病毒检测引擎可以包括反病毒引擎、云引擎以及文件沙箱引擎中的至少一种。
反病毒引擎用于根据本地存储的第一病毒特征库中的病毒特征信息数据内容是否包含病毒特征。反病毒引擎的检测对象一般是文件,可以检测文件中是否包含病毒特征或确定该文件是否是病毒文件。此处的病毒指计算机病毒,主要是编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒具有寄生性、传染性、隐蔽性、破坏性、多样性等特点。目前计算机病毒的分类包括蠕虫病毒、木马、脚本病毒等。
反病毒引擎可以包括文件解析模块和病毒扫描模块。文件解析模块用于对被检测文件进行预处理,例如,对于压缩包格式的文件进行解压缩,对于加壳的文件进行脱壳等。文件解析模块还可以对被检测文件进行解析,获取文件特征,并将获取的文件特征发送给病毒扫描模块。病毒扫描模块用于将文件特征与病毒特征库中的病毒特征信息进行比对,根据比对结果确定被检测文件的鉴定结果。病毒特征信息主要是指能够用于对病毒文件进行标记的描述性信息,可以包括但不限于是MD5值、数字签名、存储路径、文件名称、文件版本号、文件大小、文件摘要信息及文件类型等,也可以是上述各信息中至少两种信息的组合,例如可以是文件名称和文件类型的组合。
云引擎是将云计算技术应用于反病毒领域得到的一种病毒查杀引擎,用于根据云端服务器存储的第二病毒特征库中的病毒特征信息检测数据内容是否包含病毒特征。云引擎的病毒查杀原理和病毒查杀逻辑与反病毒引擎相似,不同之处在于云引擎一般部署在云端服务器上,病毒特征库保存在云端服务器上。由于云端服务器的存储和计算能力均远强于终端计算机,因此云引擎的病毒特征库中保存有更多的病毒特征信息,病毒特征信息更全面。在本申请实施例中,云引擎和上述反病毒引擎仅部署在风险鉴定服务器上,风险鉴定服务器可以理解为一种私有云的云端服务器。
文件沙箱引擎用于构造虚拟机环境对可执行文件进行运行分析,根据运行分析结果确定可执行文件中是否包含病毒行为特征。病毒行为特征主要是指能够在文件运行时对病毒文件特性予以标注的描述性信息,包括但不仅限于是“修改注册表”、“修改开机选项”、“篡改浏览器设置”等。如果检测的是一个安装包,文件沙箱引擎会释放出安装包中的可执行文件在进行深度分析,从而使检测更为全面。文件沙箱引擎构造虚拟机环境,可以采用多个虚拟机对不同的可执行文件进行处理,每个虚拟机都是一个相对独立的执行环境,能安全隔离各个可执行文件的运行分析时。当可执行文件在文件沙箱引擎进行运行时,会触发自身的一些行为,文件沙箱引擎会判断这些行为的特征是否符合病毒行为特征,并根据判断结果确定可执行文件的鉴定结果。
文件沙箱引擎可以检测数据存储中心中存储的可执行文件,识别漏洞攻击、钓鱼邮件、小型论坛中携带的勒索病毒等,还可以阻止局域网内部使用FTP服务或内部通讯工具等文件分享方式造成的恶意文件横向传播。
内容检测引擎用于检测对被检测文件中的文字或图片内容进行检测,提取被检测文件中的文件或图片,与预存的敏感文字样本或敏感图片样本进行比对,识别被检测文件中是否包含敏感文字或敏感图片,例如,涉及色情或暴力内容的文字或图片等。在一些实施例中,内容检测引擎还可以检测被检测文件中是否包含与工作不相关甚至相背离的内容。
规则检测引擎主要用于检测数据存储中心保存的数据中是否存在异常数据,所述异常数据可以是与预设非法数据相符的数据,也可以是与预设合法数据不符的数据。如用户的上网日志记录中是否包含访问不被允许的网址的记录或用户经常使用的活跃资源是否存在异常等。
上述各鉴定引擎所使用的病毒特征库或敏感内容特征库等可以定时或不定时进行更新,可以在线或离线更新上述特征库。例如,可以通过专用的物理链路或离线脚本工具获取最新的病毒特征库。
在一些实施例中,可以根据局域网内部环境的需要设置更多类型或更少类型的鉴定引擎,具有灵活的可操控性和可扩展性。每一种鉴定引擎可以设置一个引擎或多个引擎,例如病毒检测引擎可以包括反病毒引擎和云引擎等,还可以部署不同厂家、不同版本的病毒检测引擎。每个鉴定引擎彼此独立,对应设置有自己的消息队列,从消息队列中获取待检测的数据内容的信息,根据数据内容的信息从数据内容的存储位置获取待检测的数据内容。例如,某数据内容的存储位置为“X计算机/X磁盘/X文件夹”,则鉴定引擎可以从数据内容的信息指示的该存储位置获取待检测的数据内容,并对获取的数据内容进行检测。
具体地,在上述步骤S203中,不同的实施例中可以设定不同的规则,按设定规则确定任务列表中的每项鉴定任务对应的鉴定引擎。不同企业或机构的局域网环境不同,所采用的鉴定引擎的种类和数量都有可能不同,因此设定的规则也不同。
譬如,在一些实施例中,可以根据每项鉴定任务的数据内容的数据类型确定对应的鉴定引擎。示例性地,如果某项数据内容的数据类型是文件,则可以确定该数据内容对应的鉴定引擎包括反病毒引擎、云引擎、文件沙箱引擎、内容检测引擎和规则检测引擎;如果某项数据内容的数据类型是数据,则可以确定该数据内容对应的鉴定引擎为规则检测引擎。在一种可选的实施例中,还可以对数据类型进行更为细致的划分,例如,如果某项数据内容的数据类型是视频文件,则可以确定该数据内容对应的鉴定引擎包括反病毒引擎、云引擎和内容检测引擎;如果某项数据内容的数据类型是可执行文件,则可以确定该数据内容对应的鉴定引擎包括文件沙箱引擎、内容检测引擎和规则检测引擎;如果某项数据内容的数据类型是文档文件,则可以确定该数据内容对应的鉴定引擎包括反病毒引擎、云引擎、内容检测引擎和规则检测引擎;如果某项数据内容的数据类型是图片文件,则可以确定该数据内容对应的鉴定引擎包括内容检测引擎和规则检测引擎;如果某项数据内容的数据类型是系统文件,则可以确定该数据内容对应的鉴定引擎包括反病毒引擎、云引擎、文件沙箱引擎、内容检测引擎和规则检测引擎;如果某项数据内容的数据类型是上网日志记录,则可以确定该数据内容对应的鉴定引擎为规则检测引擎。
在另一些实施例中,可以根据每项鉴定任务的数据内容的存储位置确定对应的鉴定引擎。例如,如果某项数据内容的存储位置位于用来保存系统文件的重点文件夹内,则可以确定该数据内容对应的鉴定引擎包括反病毒引擎、云引擎、文件沙箱引擎、内容检测引擎和规则检测引擎;如果某项数据内容的存储位置位于一般文件夹内,则可以确定该数据内容对应的鉴定引擎包括反病毒引擎、云引擎、文件沙箱引擎和内容检测引擎;如果某项数据内容的存储位置位于上网日志记录文件夹内,则可以确定该数据内容对应的鉴定引擎为规则检测引擎。
可以理解的是,在一些实施例中,还可以结合每项鉴定任务的数据内容的数据类型和存储位置确定对应的鉴定引擎。
除上述设定规则之外,在另一些实施例中,还可以根据每项鉴定任务的数据内容的数据大小或生成时间等信息确定对应的鉴定引擎。具体根据数据内容的哪种信息或者哪几种信息的组合确定对应的鉴定引擎可以根据实际需要进行确定,本申请实施例对此不作限定。
确定每项鉴定任务的数据内容对应的鉴定引擎之后,将每项鉴定任务添加至对应的鉴定引擎的消息队列中。每个鉴定引擎从自己对应的消息队列中获取鉴定任务,鉴定任务的数据内容的信息中包含数据内容的存储位置,鉴定引擎根据数据内容的信息从数据内容的存储位置获取该数据内容,对获取的数据进行鉴定,并输出鉴定结果。
以反病毒引擎为例,反病毒引擎从其对应的消息队列中获取一个鉴定任务,根据该鉴定任务的数据内容的信息确定数据内容的存储位置,从数据内容的存储位置获取该数据内容,或称为被检测文件。反病毒引擎扫描被检测文件,判断文件特征是否与病毒特征库中的病毒特征信息相匹配,根据匹配结果确定并输出被检测文件的鉴定结果,完成对该数据内容的鉴定过程。然后反病毒引擎从其对应的消息队列中获取并执行下一个鉴定任务。
各个鉴定引擎完成对某个数据内容的鉴定之后,返回对该数据内容的鉴定结果。在上述步骤S205中,可选地,可以根据各个鉴定引擎的鉴定结果中风险值最高的鉴定结果生成该数据内容的综合风险值;还可以根据各个鉴定引擎输出的鉴定结果及各自对应的权重值,生成该数据内容的综合风险值。各个鉴定引擎对应的权重值决定了各个鉴定引擎所返回的鉴定结果对于最后的综合风险值的影响力度,权重值越大的鉴定引擎所返回的鉴定结果的越重要,其对于最后的综合风险值的影响就越大。在确定综合风险值时,会重点参考权重值较大的鉴定引擎的鉴定结果。例如,在多个权重值较小的鉴定引擎的鉴定结果表示被检测的数据内容文件安全,而权重值较大的鉴定引擎的鉴定结果表示该被检测的数据内容存在安全隐患时,该被检测的数据内容的综合风险值可能仍会较高,即可能仍会确认该被检测的数据内容存在安全隐患。
其中,各个鉴定引擎对应的权重值是根据需要或试验值预先设定的。示例性地,可以将病毒特征信息数量更多的鉴定引擎对应的权重值设置为大于病毒特征信息数量更少的鉴定引擎对应的权重值;或者,可以将病毒特征库或风险特征库更新时间更接近当前时间的鉴定引擎对应的权重值设置得更大;或者,可以将风险鉴定成功率更高或者误报率更低的鉴定引擎对应的权重值设置得更大。
得到一条数据内容的综合风险值,判断该综合风险值是否高于设定阈值。若综合风险值高于设定阈值,则认为该数据内容存在安全隐患,标记该数据内容的安全属性为黑;若综合风险值不高于设定阈值,则认为该数据内容不存在安全隐患,标记该数据内容的安全属性为白。将每条涉及内容的黑白属性保存至数据存储中心进行存储,并在显示界面上进行展示。
在一些实施例中,可以对综合风险值高于设定阈值的数据内容进行安全风险展示。如图3所示,可以设置鉴定详情页面,在该页面上仅显示综合风险值高于设定阈值的数据内容的相关信息,还可以显示这些数据内容的风险详情,通过风险详情,能够将数据内容存在的风险的详细信息展示给用户,帮助用户快速解决安全风险。在图3所示的界面中,还可以显示完成鉴定的数据内容的总数以及新增的一些实时上传文件的动态态势和存量的历史文档的动态态势。
在另一些实施例中,可以显示完成鉴定的数据内容的总数和综合风险值高于设定阈值的数据内容的数量,响应用户的风险查看操作,对综合风险值高于设定阈值的数据内容进行安全风险展示。如图4所示的界面,可以显示扫描文件总数和发现风险数,用户点击发现风险数区域后,再显示综合风险值高于设定阈值的数据内容及对应的风险详情。在图4所示的界面中,还可以分别显示新增文档的鉴定结果情况和存量文档的鉴定结果情况,以及各个鉴定引擎的引擎状态。
可选地,在部分实施例中,还可以根据用户设置对综合风险值高于设定阈值的数据内容进行处理。例如,可以对综合风险值高于设定阈值的数据内容进行隔离,以防止该数据内容感染其它文件或数据;或者,通过邮件或短信告警的方式对综合风险值高于设定阈值的数据内容进行告警,具体的告警方式可以由用户设置。例如,用户可以通过图5所示的系统管理页面设置告警方式和告警人员的联系信息。通过系统管理页面,还可以设置不同用户的不同权限,查看风险的告警信息,设置各个鉴定引擎的病毒特征库的自动更新周期,以及手动对存在安全隐患的数据内容进行隔离处理等。
为了方便用户连接各个鉴定引擎的运行情况,在一些实施例中,还可以在各个鉴定引擎执行鉴定任务的过程中,展示各个鉴定引擎正在执行的鉴定任务及鉴定进程。例如,通过图6所示的引擎管理页面会展示当前设置的鉴定引擎的配置信息以及各个鉴定引擎的工作状态和详细扫描速度情况。
考虑到在实际使用中,用户可能有单独扫描某个文件的需求,例如用户发现可疑风险文件后,可能需要通过鉴定软件确定该文件是否存在安全风险。为了满足用户的上述需求,在一种可选的实施例中,还提供了图7所示的实时鉴定页面,用户可以通过实时鉴定页面主动上传可疑风险文件,以确认该文件是否有安全风险。在该实施例中,上述方法还包括如图8所示的如下步骤:
步骤S801,响应用户上传待检测文件的操作,通过多个鉴定引擎分别对待检测文件进行鉴定。
接收到用户通过图7所示的实时鉴定页面上传的待检测文件,先将待检测文件保存在指定位置,根据待检测文件的信息生成鉴定任务,参照上述步骤S203中的设定规则确定该鉴定任务对应的鉴定引擎,将鉴定任务添加至确定的鉴定引擎的消息队列中,以使鉴定引擎分别对待检测文件进行鉴定。具体地说,可以将鉴定任务并行添加至各个鉴定引擎的消息队列;也可以按照顺序将鉴定任务依次添加至各个鉴定引擎的消息队列中;还可以获取各个鉴定引擎的实时状态,先将鉴定任务添加至处于空闲状态的鉴定引擎的消息队列中,当剩余部分鉴定引擎由工作状态转变为空闲状态时,再将鉴定任务添加至该鉴定引擎的消息队列中,直至待检测文件已被各鉴定引擎均进行了鉴定。需要说明的是,在本申请实施例中,不同的鉴定引擎可同时进行工作。
各个鉴定引擎从各自对应的消息队列中获取待检测文件的信息,根据待检测文件的信息从上述指定位置获取待检测文件,对待检测文件进行鉴定,并输出鉴定结果。
步骤S802,根据各个鉴定引擎对待检测文件的鉴定结果,生成待检测文件的综合风险值。
例如,可以参照上述步骤S204的方法,根据各个鉴定引擎输出的鉴定结果及各自对应的权重值,生成该待检测文件的综合风险值,具体过程在此不再赘述。
步骤S803,根据待检测文件的综合风险值展示进行待检测文件的风险信息。
待得到待检测文件的综合风险值后,可以根据综合风险值确定待检测文件的安全属性。如果待检测文件的安全属性为白,则可以在实时鉴定页面上直接显示该待检测文件不存在安全隐患。如果待检测文件的安全属性为黑,则可以在实时鉴定页面上显示该待检测文件存在安全隐患,还可以展示具体的安全隐患为何种风险。
上述局域网内部数据安全监控方法,使用多种类型的鉴定引擎,可以根据具体的需求对多个鉴定引擎的鉴定结果进行综合,充分利用不同鉴定引擎的特点,对局域网内部存储的文件和数据进行鉴定,提高安全鉴定的覆盖广度和准确性,并且,基于私有云部署,离线进行安全鉴定,保障了内网环境的安全性。
与上述局域网内部数据安全监控方法基于同一发明构思,本申请实施例还提供了一种局域网内部数据安全监控装置。图9为本申请实施例的提供的局域网内部数据安全监控装置的结构示意图,该应用于设置在局域网内部的风险鉴定服务器,如图1所示的风险鉴定服务器400。如图9所示,该局域网内部数据安全监控装置包括数据信息获取单元91、列表生成单元92、任务调度单元93和结果汇总单元94。其中,
数据信息获取单元91,用于从局域网内部的数据存储中心获取需要进行安全鉴定的数据内容的信息;
列表生成单元92,用于根据获取的数据内容的信息生成任务列表;其中,任务列表中包括多项鉴定任务,每条数据内容的信息对应一项鉴定任务;
任务调度单元93,用于按设定规则从引擎集合中确定任务列表中的每项鉴定任务对应的鉴定引擎,并通过确定的鉴定引擎对任务列表中的每项鉴定任务相应的数据内容进行鉴定;所述引擎集合中包括多种类型的鉴定引擎,不同类型的鉴定引擎用于检测数据内容的不同特征,每种类型的鉴定引擎的数量为一个或多个;每项鉴定任务对应至少一种鉴定引擎;
结果汇总单元94,用于根据各个鉴定引擎对同一数据内容的鉴定结果,生成该数据内容的综合风险值;
在一些实施例中,引擎集合中包括以下鉴定引擎中的至少两种:病毒检测引擎、内容检测引擎、规则检测引擎;所述病毒检测引擎包括反病毒引擎、云引擎以及文件沙箱引擎中的至少一种。
在一种可选的实施例中,如图10所示,鉴定引擎可以包括反病毒引擎、云引擎、文件沙箱引擎、内容检测引擎和规则检测引擎。每个鉴定引擎彼此独立,对应设置有自己的消息队列。
其中,反病毒引擎用于根据第一病毒特征库中存储的病毒特征信息检测数据内容是否包含病毒特征;云引擎用于根据第二病毒特征库中存储的病毒特征信息检测数据内容是否包含病毒特征;文件沙箱引擎用于构造虚拟机环境并对数据内容中的可执行文件进行运行分析,并根据运行分析结果确定可执行文件是否包含病毒行为特征;内容检测引擎用于检测数据内容中是否包含预设的敏感文字或敏感图片;规则检测引擎用于检测数据内容中是否存在异常数据。
可选地,任务调度单元93还可以用于,将每项鉴定任务添加至对应的鉴定引擎的消息队列中,以使鉴定引擎根据消息队列中的鉴定任务包含的数据内容的信息对相应的数据内容进行鉴定。
可选地,任务调度单元93还可以用于,根据每项鉴定任务的数据内容的数据类型确定对应的鉴定引擎;或者,根据每项鉴定任务的数据内容的存储位置确定对应的鉴定引擎。
在一种可选的实施例中,如图10所示,上述装置还可以包括展示单元95和风险处理单元96。
展示单元95,用于根据每条数据内容的综合风险值进行安全风险展示。
风险处理单元96,用于根据用户设置对综合风险值高于设定阈值的数据内容进行隔离或告警。
在一种可选的实施例中,结果汇总单元94还可以用于,根据各个鉴定引擎输出的鉴定结果及各自对应的权重值,生成数据内容的综合风险值。
可选地,展示单元95还可以用于,对综合风险值高于设定阈值的数据内容进行安全风险展示;或者,显示完成鉴定的数据内容的总数和综合风险值高于设定阈值的数据内容的数量;响应用户的风险查看操作,对综合风险值高于设定阈值的数据内容进行安全风险展示。
可选地,展示单元95还可以用于,在各个鉴定引擎执行鉴定任务的过程中,展示各个鉴定引擎正在执行的鉴定任务及鉴定进程。
可选地,任务调度单元93还可以用于,响应用户上传待检测文件的操作,通过多个鉴定引擎分别对待检测文件进行鉴定;根据各个鉴定引擎对待检测文件的鉴定结果,生成待检测文件的综合风险值;根据待检测文件的综合风险值展示所述进行待检测文件的风险信息。
本申请实施例提供的局域网内部数据安全监控装置,提供了一种综合性的解决企业或机构内网文件和数据安全的解决方案,与传统的杀毒软件方案相比,带来了显著提升了数据的安全性和保密性,并且具有一站式可拓展性。首先在安全性上,本申请实施例提供了针对海量文件存储和大量文件实时上传等企业可能存在的局域网内部环境,进行全量覆盖的扫描能力,可以极大得提升安全鉴定的覆盖范围,显著提升安全鉴定的生产力。其次,在保密性上,本申请实施例是基于离线私有云部署,所有组件都可以离线自动化提供安全扫描服务,不破坏企业内网的隔离性,极大的满足了企业对于绝对保密性和网络安全性的要求。再次,在一站式拓展性上,本申请实施例通过一套的安全鉴定装置,以统一的扫描接入接口和可任意扩展的分布式多维引擎调度模块,来实现对于企业或机构透明的统一鉴定服务。对于企业或机构来说,任何的文件或数据相关的安全风险都可以基于该安全鉴定装置解决,不需要部署多套安全解决方案去解决数据安全问题,极大地降低了企业采购安全解决方案的成本,也降低了企业或机构部署和维护这些解决方案的难度,也降低了企业对于安全运维的人力成本。并且本装置可以调整鉴定引擎的种类和数量,对于未来文件上的任意新增风险,本装置都能快速插入新增的鉴定引擎,来升级本装置的能力,对于企业或机构的后续要求也提供了极低的成本来支持,为企业或机构的可持续安全发展带来了显著的提升效果。
与上述局域网内部数据安全监控方法基于同一发明构思,本申请实施例还提供了一种服务器,该服务器可以是图1中所示的风险鉴定服务器400。图11示出了本申请实施例提供的服务器的结构示意图;如图11所示,本申请实施例中的服务器110包括存储器112以及一个或多个处理器111。
存储器112,用于存储处理器111执行的计算机程序。存储器112可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及上述局域网内部数据安全监控装置的计算机程序等;存储数据区可用于暂存待鉴定的数据内容或数据内容的鉴定结果等。
存储器112可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器112也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器112是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器112可以是上述存储器的组合。
处理器111,可以包括一个或多个中央处理单元(central processing unit,CPU)或者为数字处理单元等等。处理器111调用存储器112中存储的计算机程序时实现上述局域网内部数据安全监控方法。
本申请实施例的服务器110还可以包括通讯设备113、显示器114和输入设备115等。服务器110通过通讯设备113与数据存储中心进行数据传输,从数据存储中心获取需要进行鉴定的数据内容。
在一些实施例中,显示器114可以采用图11所示的方式直接与处理器111连接。在另一些实施例中,显示器114也可以是其它外部设备的显示器,服务器110与其它外部设备连接,通过其显示器114显示鉴定任务相关的信息,如鉴定结果等。
同理,在一些实施例中,输入设备115也可以采用图11所示的方式直接与处理器111连接。在另一些实施例中,输入设备115也可以是其它外部设备的输入设备,服务器110与其它外部设备连接。输入设备115主要用于获取用户的输入操作,输入设备115可以为鼠标、键盘或触摸屏等输入设备。
本申请实施例中不限定上述存储器112、通讯设备113、显示器114以及输入设备115与处理器111之间的具体连接介质。本申请实施例在图11中存储器112、通讯设备113、显示器114以及输入设备115与处理器111之间通过总线116连接,为便于表示,图11中仅用一条实线表示总线116,但并不表示仅有一根总线或一种类型的总线。
存储器112中存储有计算机存储介质,所述计算机存储介质中存储有计算机可执行指令,所述计算机可执行指令用于实现本申请实施例的局域网内部数据安全监控方法。处理器111用于执行上述局域网内部数据安全监控方法。
具体地,处理器111可以用于:从局域网内部的数据存储中心获取需要进行安全鉴定的数据内容的信息;
根据获取的数据内容的信息生成任务列表;其中,任务列表中包括多项鉴定任务,每条数据内容的信息对应一项鉴定任务;
按设定规则从引擎集合中确定任务列表中的每项鉴定任务对应的鉴定引擎;所述引擎集合中包括多种类型的鉴定引擎,不同类型的鉴定引擎用于检测数据内容的不同特征,每种类型的鉴定引擎的数量为一个或多个;每项鉴定任务对应至少一种鉴定引擎;
通过确定的鉴定引擎对任务列表中的每项鉴定任务相应的数据内容进行鉴定;
根据各个鉴定引擎对同一数据内容的鉴定结果,生成所述数据内容的综合风险值。
在一些实施例中,上述引擎集合中包括以下鉴定引擎中的至少两种:病毒检测引擎、内容检测引擎、规则检测引擎;所述病毒检测引擎包括反病毒引擎、云引擎以及文件沙箱引擎中的至少一种。
可选地,处理器111具体可以用于,将每项鉴定任务添加至对应的鉴定引擎的消息队列中,以使鉴定引擎根据消息队列中的鉴定任务包含的数据内容的信息对相应的数据内容进行鉴定。
可选地,处理器111具体可以用于,根据每项鉴定任务的数据内容的数据类型确定对应的鉴定引擎;或者,根据每项鉴定任务的数据内容的存储位置确定对应的鉴定引擎。
可选地,处理器111还可以用于,根据每条数据内容的综合风险值进行安全风险展示。
可选地,处理器111具体可以用于,对综合风险值高于设定阈值的数据内容进行安全风险展示;或者,显示完成鉴定的数据内容的总数和综合风险值高于设定阈值的数据内容的数量;响应用户的风险查看操作,对综合风险值高于设定阈值的数据内容进行安全风险展示。
在一种可选的实施例中,处理器111还可以用于,根据用户设置对综合风险值高于设定阈值的数据内容进行隔离或告警。
可选地,处理器111具体可以用于,根据各个鉴定引擎输出的鉴定结果及各自对应的权重值,生成数据内容的综合风险值。
可选地,处理器111具体可以用于,在各个鉴定引擎执行鉴定任务的过程中,展示各个鉴定引擎正在执行的鉴定任务及鉴定进程。
可选地,处理器111还可以用于,响应用户上传待检测文件的操作,通过多个鉴定引擎分别对待检测文件进行鉴定;根据各个鉴定引擎对待检测文件的鉴定结果,生成待检测文件的综合风险值;根据待检测文件的综合风险值展示所述进行待检测文件的风险信息。
本申请实施例还提供了一种计算机存储介质,所述计算机存储介质中存储有计算机可执行指令,所述计算机可执行指令用于实现本申请任一实施例所述的局域网内部数据安全监控方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
Claims (15)
1.一种局域网内部数据安全监控方法,其特征在于,应用于设置在局域网内部的风险鉴定服务器,所述方法包括:
从所述局域网内部的数据存储中心获取需要进行安全鉴定的数据内容的信息;
根据获取的数据内容的信息生成任务列表;所述任务列表中包括多项鉴定任务,每条数据内容的信息对应一项鉴定任务;
按设定规则从引擎集合中确定任务列表中的每项鉴定任务对应的鉴定引擎;所述引擎集合中包括多种类型的鉴定引擎,不同类型的鉴定引擎用于检测数据内容的不同特征,每种类型的鉴定引擎的数量为一个或多个;每项鉴定任务对应至少一种鉴定引擎;
通过确定的鉴定引擎对任务列表中的每项鉴定任务相应的数据内容进行鉴定;
根据各个鉴定引擎对同一数据内容的鉴定结果,生成所述数据内容的综合风险值。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在各个鉴定引擎执行鉴定任务的过程中,展示各个鉴定引擎正在执行的鉴定任务及鉴定进程。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据每条数据内容的综合风险值进行安全风险展示。
4.根据权利要求3所述的方法,其特征在于,所述根据每条数据内容的综合风险值进行安全风险展示,包括:
对综合风险值高于设定阈值的数据内容进行安全风险展示;或者
显示完成鉴定的数据内容的总数和综合风险值高于设定阈值的数据内容的数量;响应用户的风险查看操作,对综合风险值高于设定阈值的数据内容进行安全风险展示。
5.根据权利要求3所述的方法,其特征在于,所述根据每条数据内容的综合风险值进行安全风险展示之后,所述方法包括:
根据用户设置对综合风险值高于设定阈值的数据内容进行隔离或告警。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应用户上传待检测文件的操作,通过多个鉴定引擎分别对所述待检测文件进行鉴定;
根据各个鉴定引擎对所述待检测文件的鉴定结果,生成所述待检测文件的综合风险值;
根据所述待检测文件的综合风险值展示所述进行待检测文件的风险信息。
7.根据权利要求1~6中任一项所述的方法,其特征在于,所述引擎集合中包括以下鉴定引擎中的至少两种:病毒检测引擎、内容检测引擎、规则检测引擎;所述病毒检测引擎包括反病毒引擎、云引擎以及文件沙箱引擎中的至少一种;所述反病毒引擎用于根据第一病毒特征库中存储的病毒特征信息检测数据内容是否包含病毒特征;所述云引擎用于根据第二病毒特征库中存储的病毒特征信息检测数据内容是否包含病毒特征;所述文件沙箱引擎用于构造虚拟机环境并对数据内容中的可执行文件进行运行分析,并根据运行分析结果确定可执行文件是否包含病毒行为特征;所述内容检测引擎用于检测数据内容中是否包含预设的敏感文字或敏感图片;所述规则检测引擎用于检测数据内容中是否存在异常数据。
8.一种局域网内部数据安全监控装置,其特征在于,应用于设置在局域网内部的风险鉴定服务器,所述装置包括:
数据信息获取单元,用于从所述局域网内部的数据存储中心获取需要进行安全鉴定的数据内容的信息;
列表生成单元,用于根据获取的数据内容的信息生成任务列表;所述任务列表中包括多项鉴定任务,每条数据内容的信息对应一项鉴定任务;
任务调度单元,用于按设定规则从引擎集合中确定任务列表中的每项鉴定任务对应的鉴定引擎,并通过确定的鉴定引擎对任务列表中的每项鉴定任务相应的数据内容进行鉴定;所述引擎集合中包括多种类型的鉴定引擎,不同类型的鉴定引擎用于检测数据内容的不同特征,每种类型的鉴定引擎的数量为一个或多个;每项鉴定任务对应至少一种鉴定引擎;
结果汇总单元,用于根据各个鉴定引擎对同一数据内容的鉴定结果,生成所述数据内容的综合风险值。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括展示单元,用于:
在各个鉴定引擎执行鉴定任务的过程中,展示各个鉴定引擎正在执行的鉴定任务及鉴定进程;或者,
根据每条数据内容的综合风险值进行安全风险展示。
10.根据权利要求9所述的装置,其特征在于,所述展示单元还用于:
对综合风险值高于设定阈值的数据内容进行安全风险展示;或者
显示完成鉴定的数据内容的总数和综合风险值高于设定阈值的数据内容的数量;响应用户的风险查看操作,对综合风险值高于设定阈值的数据内容进行安全风险展示。
11.根据权利要求9所述的装置,其特征在于,所述装置还包括风险处理单元,用于:
根据用户设置对综合风险值高于设定阈值的数据内容进行隔离或告警。
12.根据权利要求8所述的装置,其特征在于,所述任务调度单元还用于:
响应用户上传待检测文件的操作,通过多个鉴定引擎分别对所述待检测文件进行鉴定;
根据各个鉴定引擎对所述待检测文件的鉴定结果,生成所述待检测文件的综合风险值;
根据所述待检测文件的综合风险值展示所述进行待检测文件的风险信息。
13.一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,其特征在于:所述计算机程序被处理器执行时,实现权利要求1~7任一项所述的方法。
14.一种服务器,其特征在于,包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,当所述计算机程序被所述处理器执行时,使得所述处理器实现权利要求1~7任一项所述的方法。
15.一种局域网内部数据安全监控系统,其特征在于,包括设置在局域网内部的多个用户终端、业务服务器、数据存储中心和风险鉴定服务器,所述业务服务器和所述多个用户终端均与所述数据存储中心连接,所述数据存储中心与所述风险鉴定服务器连接;所述风险鉴定服务器采用权利要求14所述的服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910936347.XA CN111181914B (zh) | 2019-09-29 | 2019-09-29 | 一种局域网内部数据安全监控方法、装置、系统和服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910936347.XA CN111181914B (zh) | 2019-09-29 | 2019-09-29 | 一种局域网内部数据安全监控方法、装置、系统和服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111181914A true CN111181914A (zh) | 2020-05-19 |
| CN111181914B CN111181914B (zh) | 2022-08-02 |
Family
ID=70650038
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910936347.XA Active CN111181914B (zh) | 2019-09-29 | 2019-09-29 | 一种局域网内部数据安全监控方法、装置、系统和服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111181914B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111865969A (zh) * | 2020-07-17 | 2020-10-30 | 江苏润易联信息技术有限公司 | 适于金融信息的安全传输方法和系统 |
| CN116405321A (zh) * | 2023-06-02 | 2023-07-07 | 中航信移动科技有限公司 | 一种网络数据获取方法、电子设备及存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003077071A2 (en) * | 2002-03-08 | 2003-09-18 | Ciphertrust, Inc. | Systems and methods for enhancing electronic communication security |
| CN1949720A (zh) * | 2006-09-08 | 2007-04-18 | 中山大学 | 一种分布式网络入侵检测系统 |
| CN102970272A (zh) * | 2011-09-01 | 2013-03-13 | 腾讯科技(深圳)有限公司 | 用于病毒检测的方法、装置和云服务器 |
| CN103634317A (zh) * | 2013-11-28 | 2014-03-12 | 北京奇虎科技有限公司 | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 |
| CN106161455A (zh) * | 2016-07-25 | 2016-11-23 | 恒安嘉新(北京)科技有限公司 | 一种多模块和引擎分布式云管理系统及检测方法 |
| CN106650436A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN106713332A (zh) * | 2016-12-30 | 2017-05-24 | 山石网科通信技术有限公司 | 网络数据的处理方法、装置和系统 |
| CN107506932A (zh) * | 2017-08-29 | 2017-12-22 | 广州供电局有限公司 | 电网风险场景并行计算方法和系统 |
| CN108737425A (zh) * | 2018-05-24 | 2018-11-02 | 北京凌云信安科技有限公司 | 基于多引擎漏洞扫描关联分析的脆弱性管理系统 |
| CN208227074U (zh) * | 2018-02-09 | 2018-12-11 | 鼎信信息科技有限责任公司 | 电力监控系统网络安全监测终端 |
| CN109361713A (zh) * | 2018-12-17 | 2019-02-19 | 深信服科技股份有限公司 | 互联网风险监控方法、装置、设备及存储介质 |
-
2019
- 2019-09-29 CN CN201910936347.XA patent/CN111181914B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003077071A2 (en) * | 2002-03-08 | 2003-09-18 | Ciphertrust, Inc. | Systems and methods for enhancing electronic communication security |
| CN1949720A (zh) * | 2006-09-08 | 2007-04-18 | 中山大学 | 一种分布式网络入侵检测系统 |
| CN102970272A (zh) * | 2011-09-01 | 2013-03-13 | 腾讯科技(深圳)有限公司 | 用于病毒检测的方法、装置和云服务器 |
| CN103634317A (zh) * | 2013-11-28 | 2014-03-12 | 北京奇虎科技有限公司 | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 |
| CN106161455A (zh) * | 2016-07-25 | 2016-11-23 | 恒安嘉新(北京)科技有限公司 | 一种多模块和引擎分布式云管理系统及检测方法 |
| CN106650436A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN106713332A (zh) * | 2016-12-30 | 2017-05-24 | 山石网科通信技术有限公司 | 网络数据的处理方法、装置和系统 |
| CN107506932A (zh) * | 2017-08-29 | 2017-12-22 | 广州供电局有限公司 | 电网风险场景并行计算方法和系统 |
| CN208227074U (zh) * | 2018-02-09 | 2018-12-11 | 鼎信信息科技有限责任公司 | 电力监控系统网络安全监测终端 |
| CN108737425A (zh) * | 2018-05-24 | 2018-11-02 | 北京凌云信安科技有限公司 | 基于多引擎漏洞扫描关联分析的脆弱性管理系统 |
| CN109361713A (zh) * | 2018-12-17 | 2019-02-19 | 深信服科技股份有限公司 | 互联网风险监控方法、装置、设备及存储介质 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111865969A (zh) * | 2020-07-17 | 2020-10-30 | 江苏润易联信息技术有限公司 | 适于金融信息的安全传输方法和系统 |
| CN116405321A (zh) * | 2023-06-02 | 2023-07-07 | 中航信移动科技有限公司 | 一种网络数据获取方法、电子设备及存储介质 |
| CN116405321B (zh) * | 2023-06-02 | 2023-08-15 | 中航信移动科技有限公司 | 一种网络数据获取方法、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111181914B (zh) | 2022-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11714906B2 (en) | Reducing threat detection processing by applying similarity measures to entropy measures of files | |
| US10762206B2 (en) | Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security | |
| US10102372B2 (en) | Behavior profiling for malware detection | |
| US10523609B1 (en) | Multi-vector malware detection and analysis | |
| EP3251043B1 (en) | Methods and systems for identifying potential enterprise software threats based on visual and non-visual data | |
| US10482260B1 (en) | In-line filtering of insecure or unwanted mobile device software components or communications | |
| US10079854B1 (en) | Client-side protective script to mitigate server loading | |
| US8918882B2 (en) | Quantifying the risks of applications for mobile devices | |
| US9652597B2 (en) | Systems and methods for detecting information leakage by an organizational insider | |
| US8578174B2 (en) | Event log authentication using secure components | |
| TW201642135A (zh) | 文件檢測方法、裝置及系統 | |
| US20120272317A1 (en) | System and method for detecting infectious web content | |
| US20190222587A1 (en) | System and method for detection of attacks in a computer network using deception elements | |
| CN111163094B (zh) | 网络攻击检测方法、网络攻击检测装置、电子设备和介质 | |
| US11334666B2 (en) | Attack kill chain generation and utilization for threat analysis | |
| CN111181914B (zh) | 一种局域网内部数据安全监控方法、装置、系统和服务器 | |
| Mohata et al. | Mobile malware detection techniques | |
| US20230094119A1 (en) | Scanning of Content in Weblink | |
| WO2023124041A1 (zh) | 一种勒索病毒检测方法以及相关系统 | |
| WO2021015941A1 (en) | Inline malware detection | |
| CN114598546B (zh) | 应用防御方法、装置、设备、介质和程序产品 | |
| US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
| Hovmark et al. | Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |