CN111581371A

CN111581371A - 一种基于出境数据网络流量的网络安全分析方法和装置

Info

Publication number: CN111581371A
Application number: CN202010376966.0A
Authority: CN
Inventors: 都婧; 刘相晨; 任望; 谢丰; 杨光; 王永涛; 佟鑫
Original assignee: China Information Technology Security Evaluation Center
Current assignee: China Information Technology Security Evaluation Center
Priority date: 2020-05-07
Filing date: 2020-05-07
Publication date: 2020-08-25

Abstract

本发明公开了一种基于出境数据网络流量的网络安全分析方法，包括：接收用户的分析请求；依据所述分析请求，确定待分析出境数据网络流量，和；依据所述分析请求，确定检索关键词；遍历所述待分析出境数据网络流量，查找与所述检索关键词匹配的敏感出境数据。上述的安全分析方法中，通过确定分析请求中的检索关键词和待分析出境数据网络流量，并通过遍历待分析出境数据网络流量，查找与所述检索关键词匹配的敏感出境数据，实现了从底层数据流分析层面对待分析出境数据网络流量的安全分析。

Description

一种基于出境数据网络流量的网络安全分析方法和装置

技术领域

本发明涉及数据处理技术领域，尤其涉及一种基于出境数据网络流量的网络安全分析方法和装置。

背景技术

随着电子商务等相关跨境服务日益频繁，出境数据网络流量越来越大，出境网络流量数据中可能会携带有涉及国家安全、产业安全以及个人隐私权益等敏感流量数据。

目前，针对出境数据网络流量的安全性分析主要集中于评估体系框架的设计、法律规范和实施规则等范畴，缺少一种从底层数据流分析层面对出境数据网络流量进行安全分析的方法。

发明内容

有鉴于此，本发明提供了一种基于出境数据网络流量的网络安全分析方法和装置，用于实现从底层数据流分析层面对出境数据网络流量进行安全分析。具体方案如下：

一种基于出境数据网络流量的网络安全分析方法，包括：

接收用户的分析请求；

依据所述分析请求，确定待分析出境数据网络流量，和；

依据所述分析请求，确定检索关键词；

遍历所述待分析出境数据网络流量，查找与所述检索关键词匹配的敏感出境数据。

上述的方法，可选的，依据所述分析请求，确定待分析出境数据网络流量，包括：

获取所述分析请求中包含的数据标识；

依据所述数据标识，确定待分析数据网络流量；

对所述待分析数据网络流量进行筛选，得到所述待分析出境数据网络流量。

上述的方法，可选的，遍历所述待分析出境数据网络流量，查找与所述检索关键词匹配的敏感出境数据，包括：

遍历所述待分析出境数据网络流量，对所述待分析出境数据网络流量进行协议解析，得到待分析出境网络数据；

解析所述待分析出境网络数据中的数据类型，确定与所述数据类型匹配的检索关键词类型；

依据所述检索关键词类型，采用自然语言识别技术查找所述待分析出境网络数据中的与所述检索关键词匹配的敏感出境数据。

上述的方法，可选的，还包括：

依据预设的匹配规则，对所述敏感出境数据进行匹配，得到目标敏感出境数据；

统计所述待分析出境数据网络流量中所述目标敏感数据的出现次数。

上述的方法，可选的，还包括：

对所述敏感出境数据进行文件追踪、访问追踪和数据库查询追踪。

一种基于出境数据网络流量的网络安全分析装置，包括：

接收模块，用于接收用户的分析请求；

第一确定模块，用于依据所述分析请求，确定待分析出境数据网络流量，和；

第二确定模块，用于依据所述分析请求，确定检索关键词；

查找模块，用于遍历所述待分析出境数据网络流量，查找与所述检索关键词匹配的敏感出境数据。

上述的转置，可选的，所述第一确定模块包括：

标识获取单元，用于获取所述分析请求中包含的数据标识；

流量获取单元，用于依据所述数据标识，确定待分析数据网络流量；

筛选单元，用于对所述待分析数据网络流量进行筛选，得到所述待分析出境数据网络流量。

上述的装置，可选的，所述查找模块包括：

解析单元，用于遍历所述待分析出境数据网络流量，对所述待分析出境数据网络流量进行协议解析，得到待分析出境网络数据；

确定单元，用于解析所述待分析出境网络数据中的数据类型，确定与所述数据类型匹配的检索关键词类型；

查找单元，用于依据所述检索关键词类型，采用自然语言识别技术查找所述待分析出境网络数据中的与所述检索关键词匹配的敏感出境数据。

上述的装置，可选的，还包括：

匹配模块，用于依据预设的匹配规则，对所述敏感出境数据进行匹配，得到目标敏感出境数据；

统计模块，用于统计所述待分析出境数据网络流量中所述目标敏感数据的出现次数。

上述的装置，可选的，还包括：

追踪模块，用于对所述敏感出境数据进行文件追踪、访问追踪和数据库查询追踪。

与现有技术相比，本发明包括以下优点：

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例公开的一种基于出境数据网络流量的网络安全分析方法流程图；

图2为本申请实施例公开的一种基于出境数据网络流量的网络安全分析装置结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

本发明公开了一种基于出境数据网络流量的网络安全分析方法及装置，应用在对出境网络流量的安全分析过程中，现有技术中对出境数据网络流量的安全性分析主要集中于评估体系框架的设计、法律规范和实施规则等范畴，因此，本发明提供了一种基于出境数据网络流量的网络安全分析方法，从底层数据流分析层面对出境数据网络流量进行安全分析，主要通过核心交换机流量镜像采集，根据5W2H模型分析对Radius、未知TCP、未知UDP、SSH、SNMP、JABBER、RTSP、SIP、IMAP、DHCP、WAP、HTTP、POP、TLS、GTPV1、ICMP、FTP、DNS、SMTP、数据库等协议(MySQL、SQL Server、Oracle)分析，并且审计流量中文件内容数据，并对审计出的内容进行全过程追踪，所述分析方法的执行流程如图1所示，包括步骤：

S101、接收用户的分析请求；

本发明实施例中，用户通过发送指令或者触发某一预设操作的方式发送分析请求，其中，所述分析请求中包括待分析出境数据网络流量数据和检索关键词，接收用户发送的分析请求。

S102、依据所述分析请求，确定待分析出境数据网络流量；

本发明实施例中，获取所述分析请求中包含的数据标识，依据所述数据标识，依据所述数据标识，确定待分析数据网络流量，其中，所述数据标识可以为地址信息、数据库信息或者其它优选的标识，本发明实施例中，对所述数据标识的具体存在形式不进行限定。进一步的所述待分析数据网络流量中包含出境数据网络流量和非出境数据网络流量，需要对所述待分析数据网络流量进行筛选，选取所述待分析数据网络流量中的出境数据网络流量，其中，优选的，筛选的原则可以基于待分析数据网络流量中的IP地址进行筛选，也可以采用其它的筛选方法。

S103、依据所述分析请求，确定检索关键词；

本发明实施例中，解析所述分析请求，获取所述解析请求中的检索关键词，其中，获取分析请求中的检索关键词可以是所述分析请求中直接包含所述检索关键词，或者是预先建立检索标识和检索关键词的对应关系，所述解析请求中包含检索标识，获取所述解析请求中的检索标识，依据所述对应关系确定与所述检索标识对应的检索关键词，其中，所述检索关键词与所述待分析数据网络流量所属行业以及具体的情况有关，优选的，可以针对不同的行业预先建立检索关键词库，依据具体的情况，选取对应的检索关键词。

进一步的，针对S102和S103的执行顺序，也可以优先执行S103再执行S102，执行的过程与S102和S103的描述相同，在此不再赘述。

S104、遍历所述待分析出境数据网络流量，查找与所述检索关键词匹配的敏感出境数据。

本发明实施例中，遍历所述待分析出境数据网络流量，对所述待分析出境数据网络流量进行协议解析，得到待分析出境网络数据，其中，协议解析可以实现对下协议分析：HTTP提交(GET、POST)、FTP传输(传输文件)、客户端邮件内容/WEB邮件内容、平台：PC-客户端(Foxmail，Outlook等)、移动端-客户端、收件协议：POP3、IMAP发件协议：SMTP。

对如下邮件附件文件内容的还原：Office文档：MS-Office 97-2003、MS-Office、2007-2016、WPS、TXT、PDF文档、图片文件：PNG、JPEG、BMP、GIF、TIF等格式。

解析所述待分析出境网络数据中的数据类型，确定与所述数据类型匹配的检索关键词类型，其中，所述检索关键词类型可以为：数据库指纹、文件指纹或者正则表达式等，依据所述检索关键词类型，采用自然语言识别技术查找所述待分析出境网络数据中的与所述检索关键词匹配的敏感出境数据。

进一步的，基于所述关键词还可以实现对数据库分析和对文件内容进行分析，其中，针对数据库分析包括：针对MySQL、SQL Server、Oracle11/12/13进行分析，针对文件进行分析包括：对如下文件中涉及到的敏感信息分析：个人信息(自然人的姓名、出生日期、身份证号码、通信通讯联系方式、个人生物识别信息、住址、账号密码、财产状况、位置、行为)、重要数据(地理、自然资源、重要物资储备等数据、基金、生物特征、疾病等数据、宏观统计等重要经济数据、能源、通信、交通、金融、工业、科技等行业重要数据、人群导航位置、大型设备目标位置和移动数据、网络信息系统缺陷、漏洞、防范措施、其他法律、行政法规、部门规章重要数据、超过100万人的个人信息)。

本发明实施例中，所述分析方法主要可以是实现基于数据识别和基于指纹识别的安全分析，其中，针对数据识别，主要包括：

(1)文件内容识别

支持多种文件类型的内容识别，包括市面上常见的文件类型，如：doc/docx、xls/xlsx、pptx、txt/csv、pdf、zip/rar等。

(2)文件压缩识别

对于压缩过的文件类型，系统可以对压缩文件进行穿透，自动识别多层压缩文件里的文件内容和文件类型，并可自定义设置需要穿透的压缩层数。

(3)文件嵌套识别

能够识别各种通过对像插入等多重嵌套的文件内容，如WORD、EXCEL、PPT等。

(4)关键字匹配识别

提供关键字匹配功能，可通过检索关键词对文件内容进行精确匹配和模糊匹配。

(5)正则表达式匹配识别

提供正则表达式匹配功能，用户可以通过自定义设定正则表达式的方式，对敏感数据进行匹配。

针对指纹识别包括：

(1)结构化数据指纹

采用基于数据库指纹技术，支持SQL Server、MySQL、Oracle、DB2等数据库内的数据创建结构化数据指纹标记，用于内容识别匹配，从而实现基于格式化数据的单元格匹配或特定列组合进行敏感数据匹配检测。

(2)非结构化数据指纹

采用基于文件指纹技术，能够对待分析数据网络流量中的所有的电子文件进行扫描和内容识别并生成唯一的指纹标记，用于内容识别匹配。

进一步的基于上述的匹配过程基于自然语言理解相关分析算法，包括内容分类、聚类、主题分析、语义分析、实体识别、启发式搜索引擎等等实现识别匹配。

本发明实施例中，基于上述的安全分析方法，可以建立安全分析系统，其中，所述分析系统功能模块的功能模块如表1所示

表1

其中：

任务管理：用于对待分析出境数据网络流量评估任务进行创建与管理。

本发明实施例中，任务管理用于用户到被检查单位进行数据出境评估任务的主要工作，实现针对个人信息和重要数据两类数据评估任务管理的功能。为系统操作员提供分析业务基础信息的管理入口。系统操作员可通过界面在线进行分析业务基础信息管理，包括增、删、改、查等功能。

用户通过建立任务名称、输入IP(IP段)、选择建立任务分析(协议分析、数据库分析、文件内容分析)实现输出报告。

数据分析：用于查询分析访问日志、还原文件、数据库操作日志相关数据。

本发明实施例中，用户根据各种条件查询流量基本数据，并可以通过一些基本图表分析得到统计分析。实现文件追踪、访问追踪、数据库追踪功能。

(1)文件追踪

通过协议解析，实现源IP、目的IP、文件名、文件MD5、时间等敏感信息匹配查询。

(2)访问追踪

通过协议解析，实现访问形式、访问时间、主机名称、源IP、源端口、目的IP、目的端口等敏感信息匹配查询。

(3)数据库查询追踪

通过对数据库协议进行解析，根据源IP、目的IP、操作类型以及数据库访问操作进行关键字匹配识别等，发现网络中的敏感数据或异常行为。

文件下载：用于还原文件的下载(后缀为非压缩文件需要判断其真实类型)。

流量统计：展示年流量，以及根据时间范围查询流量、频度以及某种日志流量、频度

文件内容统计：根据正则表达式匹配规则、统计还原文件中的个人信息和重要数据的敏感出境数据及出现次数

本发明实施例中，通过定时任务统计文件中包含的个人信息与敏感出境数据次数及详情。

执行过程如下：

(1)从redis中读取packeteye:contentid的值，并查询mysql中gw_restore_log大于packeteye:contentid值的前10条记录(升序排列)；

(2)根据缓存中的个人信息和重要数据字典，循环获取文件内容并统计个人信息重要数据，如果后缀名为空，则进行下一个文件统计；

(3)若后缀为.zip或者.rar，则递归解压文件，循环解压文件，遍历解压后的文件并读取内容(只有后缀为.doc、.docx、xls、xlsx、ppt、pptx、pdf、csv、txt才读取)，并进行拼接；

(4)若后缀不为.zip、.rzr且后缀为.doc、.docx、xls、xlsx、ppt、pptx、pdf、csv、txt，则直接读取；

(5)如果读取内容不为空，则利用正则表达式规则进行统计，并将结果存入ES的gw_content表。

本发明实施例中，基于所述安全分析系统，并结合安全策略评估指标，对数据出境方的安全情况进行综合评估，通过发现安全威胁，降低信息安全风险，洞悉资产脆弱性的方式，实现了对数据安全的事前预防，事中保护和事后响应，防止重大安全事件的发生。安全策略评估指标包括：

(1)资产情况

数据出境方资产情况、数据出境方网络流量分析、数据出境方网络边界分析、数据出境方网络互连分析、数据出境方用户身份认证(虚拟账号信息)。

(2)安全威胁分析

数据出境方遭受的攻击行为(扫描探测、工具投送、漏洞利用、木马下载、远程控制、横向渗透)、数据出境方安全入侵事件、数据出境攻击流量抓包、数据出境方安全事件日志留存、数据出境方病毒样本还原。

(3)安全管理评估

评估发送方管理制度保障能力、具备数据出境安全管理体系，包括但不限于：安全策略、管理制度、数据出境安全操作流程；安全策略管理文件中包含：总体目标、原则、总体框架等；安全管理制度中对出境数据的数量、范围、类型及其敏感程度等进行描述；数据出境安全操作流程包括：数据出境计划、数据出境安全评估报告等。

(4)评估人员管理：

在组织内部指定数据出境安全管理人员，并确保其履行相应职责，包括但不限于：数据出境的审计、评估报告的编写与提交、配合主管部门监督检查、处理有关纠纷等、在组织内部建立数据出境相关人员的培训和考核机制。

(5)审计机制

数据出境安全策略、管理制度、出境操作流程以及安全措施的有效性进行审计，并形成审计结果、审计结果能支持事件的处置、应急响应和事后调查、防止非授权访问、篡改或删除审计记录。

(6)应急处置

制定数据出境安全事件应急预案，应急预案应包含应急处置、安全事件告知和上报等相关内容；定期组织内部相关人员进行应急响应培训和应急演练；当发生数据出境安全事件时，启动应急预案；当发生数据出境安全事件时，应及时将数据出境安全事件的相关情况告知受影响方，难以逐一告知时，应采取合理、有效的方式发布有关的警示信息；当发生数据出境安全事件时，应按照国家有关规定及时向国家网信部门或行业主管部门上报数据出境安全事件，上报内容包括但不限于：安全事件发生的时间、数据类型、数量、范围、可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式；根据相关法律法规变化情况，以及事件处置情况，及时更新应急响应预案。

基于上述研发内容，可支持开展数据出境安全分析评估业务的现场实施工作，提高数据出境安全监测和处置能力。

进一步的，所述安全分析系统的运行的软硬件环境如下：

针对软件环境：本发明基于Linux操作系统，采用微服务模式开发，数据库采用MySql+ElasticSearch+Redis。运行环境推荐在Google Chrome浏览器上运行。

针对硬件环境如表2所示：

表2

硬件	配置要求
		CPU	intel芯片
内存	128GB
		硬盘	500GB

基于上述的一种基于出境数据网络流量的网络安全分析方法，本发明实施例中还提供了一种基于出境数据网络流量的网络安全分析装置，所述分析装置的结构框图如图2所示，包括：

接收模块201、第一确定模块202、第二确定模块203和查找模块204。

其中，

所述接收模块201，用于接收用户的分析请求；

所述第一确定模块202，用于依据所述分析请求，确定待分析出境数据网络流量，和；

所述第二确定模块203，用于依据所述分析请求，确定检索关键词；

所述查找模块204，用于遍历所述待分析出境数据网络流量，查找与所述检索关键词匹配的敏感出境数据。

本发明公开了一种基于出境数据网络流量的网络安全分析装置，包括：接收用户的分析请求；依据所述分析请求，确定待分析出境数据网络流量，和；依据所述分析请求，确定检索关键词；遍历所述待分析出境数据网络流量，查找与所述检索关键词匹配的敏感出境数据。上述的安全分析装置中，通过确定分析请求中的检索关键词和待分析出境数据网络流量，并通过遍历待分析出境数据网络流量，查找与所述检索关键词匹配的敏感出境数据，实现了从底层数据流分析层面对待分析出境数据网络流量的安全分析。

本发明实施例中，所述第一确定模块202包括：

标识获取单元205、流量获取单元206和筛选单元207。

其中，

所述标识获取单元205，用于获取所述分析请求中包含的数据标识；

所述流量获取单元206，用于依据所述数据标识，确定待分析数据网络流量；

所述筛选单元207，用于对所述待分析数据网络流量进行筛选，得到所述待分析出境数据网络流量。

本发明实施例中，所述查找模块204包括：

解析单元208、确定单元209和查找单元210。

其中，

所述解析单元208，用于遍历所述待分析出境数据网络流量，对所述待分析出境数据网络流量进行协议解析，得到待分析出境网络数据；

所述确定单元209，用于解析所述待分析出境网络数据中的数据类型，确定与所述数据类型匹配的检索关键词类型；

所述查找单元210，用于依据所述检索关键词类型，采用自然语言识别技术查找所述待分析出境网络数据中的与所述检索关键词匹配的敏感出境数据。

本发明实施例中，所述分析装置还包括：

匹配模块211和统计模块212。

其中，

所述匹配模块211，用于依据预设的匹配规则，对所述敏感出境数据进行匹配，得到目标敏感出境数据；

所述统计模块212，用于统计所述待分析出境数据网络流量中所述目标敏感数据的出现次数。

本发明实施例中，所述分析装置还包括：追踪模块213。

其中，

所述追踪模块213，用于对所述敏感出境数据进行文件追踪、访问追踪和数据库查询追踪。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

以上对本发明所提供的一种基于出境数据网络流量的网络安全分析方法及装置。进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.一种基于出境数据网络流量的网络安全分析方法，其特征在于，包括：

接收用户的分析请求；

依据所述分析请求，确定待分析出境数据网络流量，和；

依据所述分析请求，确定检索关键词；

2.根据权利要求1所述的方法，其特征在于，依据所述分析请求，确定待分析出境数据网络流量，包括：

获取所述分析请求中包含的数据标识；

依据所述数据标识，确定待分析数据网络流量；

3.根据权利要求1所述的方法，其特征在于，遍历所述待分析出境数据网络流量，查找与所述检索关键词匹配的敏感出境数据，包括：

4.根据权利要求1所述的方法，其特征在于，还包括：

5.根据权利要求1所述的方法，其特征在于，还包括：

6.一种基于出境数据网络流量的网络安全分析装置，其特征在于，包括：

接收模块，用于接收用户的分析请求；

第二确定模块，用于依据所述分析请求，确定检索关键词；

7.根据权利要求6所述的装置，其特征在于，所述第一确定模块包括：

标识获取单元，用于获取所述分析请求中包含的数据标识；

8.根据权利要求6所述的装置，其特征在于，所述查找模块包括：

9.根据权利要求6所述的装置，其特征在于，还包括：

10.根据权利要求6所述的装置，其特征在于，还包括：