CN111814144B - 一种泄露数据处理方法、装置、设备及介质 - Google Patents
一种泄露数据处理方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN111814144B CN111814144B CN202010674353.5A CN202010674353A CN111814144B CN 111814144 B CN111814144 B CN 111814144B CN 202010674353 A CN202010674353 A CN 202010674353A CN 111814144 B CN111814144 B CN 111814144B
- Authority
- CN
- China
- Prior art keywords
- host
- information
- data leakage
- host information
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims description 16
- 238000012545 processing Methods 0.000 claims abstract description 59
- 238000000034 method Methods 0.000 claims abstract description 38
- 238000004590 computer program Methods 0.000 claims description 11
- 230000000694 effects Effects 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 6
- 238000012856 packing Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本申请公开了一种泄露数据处理方法、装置、设备、介质,数据泄露追踪装置预先在目标内网中预设主机上部署诱饵文件,所述诱饵文件用于在运行的情况下采集本端的主机信息,该方法包括:接收运行所述诱饵文件的主机发送的告警信息,其中,告警信息包括第一主机信息以及第二主机信息,第一主机信息为目标内网中部署所述诱饵文件的主机的主机信息,第二主机信息为运行诱饵文件的主机的主机信息;根据第一主机信息和第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露;如果所述目标内网中存在数据泄露,则进行数据泄露处理操作。这样能够在数据泄露之后,进行数据泄露处理操作,以降低数据泄露带来的损失,且泄露数据处理效果较好。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种泄露数据处理方法、装置、设备、介质。
背景技术
目前的数据防泄漏方法主要是在文件传输过程中对流量进行实时监控来发现是否存在数据泄露行为,若发现为数据泄露行为,则予以拦截阻断,并进行相应的告警等。然而,在实际过程中,黑客使用各种各样的绕过方式躲避流量检测,例如,对要窃取的文件进行加密压缩后再传输等,这会使得这种通过对流量进行检测以防止数据泄露方法的数据泄露行为的检测率较低,从而造成数据防泄漏效果较差,且一旦数据泄露之后并没有相应的处理方法可以减少泄露带来的损失。
发明内容
有鉴于此,本申请的目的在于提供一种泄露数据处理方法、装置、设备、介质,能够在数据泄露之后,进行数据泄露处理操作,以降低数据泄露带来的损失,且泄露数据处理果较好。其具体方案如下:
第一方面,本申请公开了一种泄露数据处理方法,应用于数据泄露追踪装置,所述数据泄露追踪装置预先在目标内网中预设主机上部署诱饵文件,所述诱饵文件用于在运行的情况下采集本端的主机信息,该方法包括:
接收运行所述诱饵文件的主机发送的告警信息,其中,所述告警信息包括第一主机信息以及第二主机信息,所述第一主机信息为所述目标内网中部署所述诱饵文件的主机的主机信息,所述第二主机信息为运行所述诱饵文件的主机的主机信息;
根据所述第一主机信息和所述第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露;
如果所述目标内网中存在数据泄露,则进行数据泄露处理操作。
可选地,所述根据所述第一主机信息和所述第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露,包括:
判断所述第一主机信息和所述第二主机信息是否相同;
如果所述第一主机信息和所述第二主机信息不相同,则向所述第一主机信息对应的主机发送数据泄露提示信息;
根据接收到的数据泄露风险信息确定所述目标内网中是否存在数据泄露,其中,所述数据泄露风险信息为所述第一主机信息对应的主机根据所述数据泄露提示信息反馈的信息。
可选地,所述根据所述第一主机信息和所述第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露,包括:
判断所述第一主机信息和所述第二主机信息是否相同;
如果所述第一主机信息和所述第二主机信息不相同,则判断所述第二主机信息是否在预设信任主机列表中;
如果所述第二主机信息不在预设信任主机列表中,则判定所述目标内网中存在数据泄露。
可选地,所述判断所述第一主机信息和所述第二主机信息是否相同之后,还包括:
如果所述第一主机信息和所述第二主机信息相同,则判断所述第一主机信息对应的主机类型是否为服务器;
如果所述第一主机信息对应的主机类型为服务器,则向所述第一主机信息对应的主机发送数据泄露提示信息;
根据接收到的数据泄露风险信息确定所述目标内网中是否存在数据泄露,其中,所述数据泄露风险信息为所述第一主机信息对应的主机根据所述数据泄露提示信息反馈的信息。
可选地,所述进行数据泄露处理操作,包括:
控制所述第一主机信息对应的主机断网隔离,以便防止所述第一主机信息对应的主机被恶意操作。
可选地,所述进行数据泄露处理操作,包括:
向所述第二主机信息对应的主机发送数据删除指令,以便所述第二主机信息对应的主机在接收到所述数据删除指令后删除所述诱饵文件同目录下的所有文件。
可选地,所述进行数据泄露处理操作,包括:
根据所述第二主机信息确定对应的主机。
第二方面,本申请公开了一种数据泄露追踪装置,所述数据泄露追踪装置预先在目标内网中预设主机上部署诱饵文件,所述诱饵文件用于在运行的情况下采集本端的主机信息,包括:
信息接收模块,用于接收运行所述诱饵文件的主机发送的告警信息,其中,所述告警信息包括第一主机信息以及第二主机信息,所述第一主机信息为所述目标内网中部署所述诱饵文件的主机的主机信息,所述第二主机信息为运行所述诱饵文件的主机的主机信息;
数据泄露确定模块,用于根据所述第一主机信息和所述第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露;
数据泄露处理模块,用于在所述目标内网中存在数据泄露时,则进行数据泄露处理操作。
第三方面,本申请公开了一种电子设备,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现前述公开的泄露数据处理方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的泄露数据处理方法。
可见,本申请先接收运行所述诱饵文件的主机发送的告警信息,其中,所述告警信息包括第一主机信息以及第二主机信息,所述第一主机信息为所述目标内网中部署所述诱饵文件的主机的主机信息,所述第二主机信息为运行所述诱饵文件的主机的主机信息;根据所述第一主机信息和所述第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露;如果所述目标内网中存在数据泄露,则进行数据泄露处理操作。由此可见,在诱饵文件被打开时,便会运行并向数据泄露追踪装置发送告警信息,所述数据泄露追踪装置在接收到所述告警信息之后,根据所述告警信息中的第一主机信息和第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露,如果所述目标内网中存在数据泄露,则进行数据泄露处理操作。这样能够在数据泄露之后进行数据泄露处理操作,以降低数据泄露带来的损失,且泄露数据处理效果较好。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种泄露数据处理方法流程图;
图2为本申请公开的一种具体的泄露数据处理方法流程图;
图3为本申请公开的一种诱饵文件部署图;
图4为本申请公开的一种利用IP地址定位主机的结果图;
图5为本申请公开的一种泄露数据处理方法流程图;
图6为本申请公开的一种数据泄露追踪装置结构示意图;
图7为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1所示,本申请实施例公开了一种泄露数据处理方法,应用于数据泄露追踪装置,所述数据泄露追踪装置预先在目标内网中预设主机上部署诱饵文件,所述诱饵文件用于在运行的情况下采集本端的主机信息,该方法包括:
步骤S11:接收运行所述诱饵文件的主机发送的告警信息,其中,所述告警信息包括第一主机信息以及第二主机信息,所述第一主机信息为所述目标内网中部署所述诱饵文件的主机的主机信息,所述第二主机信息为运行所述诱饵文件的主机的主机信息
在具体的应用中,当诱饵文件被打开时,会运行并采集本端的主机信息,并基于采集到的主机信息向所述泄露数据追踪装置发送告警信息,所以所述泄露数据追踪装置需要接收所述告警信息,其中,所述告警信息中包括第一主机信息以及第二主机信息,所述第一主机信息为目标内网中部署所述诱饵文件的主机信息,所述第二主机信息为运行所述诱饵文件的主机的主机信息。具体的,就是当诱饵文件被打开时,会运行信息采集程序以采集当前所处主机的第二主机信息,并从所述诱饵文件中获取部署所述诱饵文件的主机的第一主机信息,利用所述第一主机信息和所述第二主机信息生成告警信息,将所述告警信息发送给所述泄露数据追踪装置,所述泄露数据追踪装置接收运行所述诱饵文件的主机发送的告警信息。所述主机信息包括但不限于主机名、用户名。
运行所述诱饵文件的主机可以向所述数据泄露追踪装置发送告警信息,是因为所述预设诱饵文件在运行之后,会触发信息采集程序,采集本端的主机信息,并基于采集到的主机信息向数据泄露追踪装置发送告警信息。
在具体的实施过程中,所述第一主机信息中包括第一主机名和第一用户名,所述第二主机信息中包括第二主机名和第二用户名时,可以确定打开所述诱饵文件的主机和部署所述诱饵文件的主机是否相同,以及打开所述诱饵文件的用户名和部署所述诱饵文件的用户名是否相同,以便确定是否存在数据泄露风险。
步骤S12:根据所述第一主机信息和所述第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露。
可以理解的是,在接收到所述告警信息之后,还需要根据所述第一主机信息和所述第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露。具体的,可以先判断所述第一主机信息和所述第二主机信息是否相同,以确定所述目标内网中是否存在数据泄露。也即,判断打开所述诱饵文件的主机和部署所述诱饵文件的主机是否相同,以确定是否存在数据泄露。除通过判断所述第一主机信息和所述第二主机信息是否相同,来确定是否存在数据泄露之外,还可以通过判断所述第一主机信息和所述第二主机信息对应的主机是否都属于所述目标内网,来确定所述目标内网中是否存在数据泄露。
步骤S13:如果所述目标内网中存在数据泄露,则进行数据泄露处理操作。
判断所述目标内网是否存在数据泄露之后,如果所述目标内网中存在数据泄露,则进行数据泄露处理操作,其中,所述数据泄露处理操作包括但不限于泄露数据删除等,在此不做具体限定,可以根据实际情况确定,以减小数据泄露带来的损失。
可见,本申请先接收运行所述诱饵文件的主机发送的告警信息,其中,所述告警信息包括第一主机信息以及第二主机信息,所述第一主机信息为所述目标内网中部署所述诱饵文件的主机的主机信息,所述第二主机信息为运行所述诱饵文件的主机的主机信息;根据所述第一主机信息和所述第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露;如果所述目标内网中存在数据泄露,则进行数据泄露处理操作。由此可见,在诱饵文件被打开时,便会运行并向数据泄露追踪装置发送告警信息,所述数据泄露追踪装置在接收到所述告警信息之后,根据所述告警信息中的第一主机信息和第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露,如果所述目标内网中存在数据泄露,则进行数据泄露处理操作。这样能够在数据泄露之后进行数据泄露处理操作,以降低数据泄露带来的损失,且泄露数据处理效果较好。
参见图2所示,本申请实施例公开了一种具体的泄露数据处理方法,应用于数据泄露追踪装置,所述数据泄露追踪装置预先在预设主机上设置诱饵文件,所述诱饵文件用于在运行的情况下收集本端的主机信息,该方法包括:
步骤S21:预先在目标内网中预设主机上部署诱饵文件。
在实际应用中,需要预先在目标内网中预设主机上部署诱饵文件,以便在黑客入侵主机时,诱惑黑客打开所述诱饵文件或将所述诱饵文件下载到对应的黑客主机上。所述预设诱饵文件包括诱饵文档文件和诱饵可执行文件。在将所述诱饵文件设置到预设主机上之前,还需要获取诱饵文件,包括:获取其他数据泄露追踪装置中保存的诱饵文件作为所述当前数据泄露追踪装置的诱饵文件;或,获取技术人员导入的诱饵文件。
所述诱饵文件包括诱饵文档文件和诱饵可执行文件。所述诱饵文档文件的格式包括但不限于doc、docx、ppt、pptx、xls、xlsx、pdf,所述诱饵可执行文件格式包括但不限于exe。所述诱饵文档文件中包括宏代码,以便在所述诱饵文档文件被打开之后,所述宏代码可以运行,以下载信息采集程序,并运行所述信息采集程序,以搜集当前所处主机的信息。所述诱饵可执行文件被打开之后,也可以下载信息采集程序,并运行所述信息采集程序,以搜集当前所处主机的信息。所述诱饵文档文件的文件标题以及内容伪装成业务相关的敏感话题,例如:《公司2020年股权分配》、《2020年工资单》、《公司合作伙伴名单》、《2020年负债金额》、《服务器账号名密码》等等。所述可执行文件的文件名称伪装成业务相关的敏感话题,并将所述可执行文件的图标替换成文档图标等并将后缀名隐藏起来。例如,图3所示的目录下,目录中的“公司2020财务报表.pdf”实质上是一个诱饵可执行文件。
所述预先在目标内网中预设主机上部署诱饵文件,具体可以为根据预设诱饵文件部署规则,将所述诱饵文件部署在预设主机上,以便利用所述诱饵文件追踪泄露数据。其中,所述预设诱饵文件部署规则包括需要部署诱饵文件的主机类型以及部署诱饵文件的目录。部署诱饵文件的主机类型一般可以为运行关键业务的主机,如:数据库服务器、管理层人员主机、档案服务器等,因为这些主机上的信息对黑客来说才是重要,也往往是黑客攻击的最终目标。部署诱饵文件的目录一般可以为预设主机上的一些常用目录,也就是黑客极容易搜索到的目录,包括:下载目录、桌面目录、用户目录、文档目录、C盘根目录、D盘根目录、及除以上目录之外的预设主机上的随机选3个目录。
在实际应用中,所述预先在目标内网中预设主机上部署诱饵文件,包括:先根据所述预设诱饵文件部署规则确定出所述预设主机;然后将所述预设主机的主机名和用户名保存到所述诱饵文件中;将所述诱饵文件发送到所述预设主机,以便所述预设主机将接收到的所述诱饵文件保存到预先确定出的目录下。在所述根据所述预设诱饵文件部署规则确定出所述预设主机之前,还包括:获取需要设置诱饵文件的主机信息,其中,所述主机信息包括主机类型、IP地址、主机名以及对应的用户名。然后便可以根据所述预设诱饵文件部署规则和所述主机类型确定出所述预设主机。然后将所述预设主机的主机名和用户名保存到所述诱饵文件中。再利用所述预设主机对应的IP地址将所述诱饵文件发送到所述预设主机,所述预设主机在接收到所述诱饵文件之后,将所述诱饵文件保存在预先确定出的目录下。预先确定出的目录可以包括下载目录、桌面目录、用户目录、文档目录、C盘根目录、D盘根目录、及除以上目录之外的预设主机上的随机选3个目录。
在将所述诱饵文件保存到预先确定的目录下之后,还需要将诱饵文件的创建时间及修改时间改为同目录文件相仿的时间,以达到伪装的目的。
步骤S22:接收运行所述诱饵文件的主机发送的告警信息,其中,所述告警信息包括第一主机信息以及第二主机信息,所述第一主机信息为所述目标内网中部署所述诱饵文件的主机的主机信息,所述第二主机信息为运行所述诱饵文件的主机的主机信息。
步骤S23:根据所述第一主机信息和所述第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露。
在接收到所述告警信息之后,根据所述第一主机信息和所述第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露。
在第一种具体的实施方式中,所述根据所述第一主机信息和所述第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露,包括:判断所述第一主机信息和所述第二主机信息是否相同;如果所述第一主机信息和所述第二主机信息不相同,则向所述第一主机信息对应的主机发送数据泄露提示信息;根据接收到的数据泄露风险信息确定所述目标内网中是否存在数据泄露,其中,所述数据泄露风险信息为所述第一主机信息对应的主机根据所述数据泄露提示信息反馈的信息。
具体的,就是判断所述第一主机信息和所述第二主机信息是否相同;如果所述第一主机信息和所述第二主机信息不相同,则从本地保存的内网主机名、用户名以及主机IP地址对应表中确定出所述第一主机信息对应的主机IP地址,利用所述第一主机信息对应的主机IP地址向所述第一主机信息对应的主机发送数据泄露提示信息;在所述第一主机信息对应的主机接收到所述数据泄露提示信息之后,获取用户的反馈结果,将所述反馈结果作为数据泄露风险信息发送到本地,本地根据接收到的所述数据泄露风险信息确定所述目标内网中是否存在数据泄露。例如,在所述第一主机信息对应的主机接收到所述数据泄露提示信息之后,向用户显示所述数据泄露提示信息,用户选择忽略所述数据泄露提示信息,则获取用户的反馈结果为忽略所述数据泄露提示信息,所述预设泄露数据追踪装置接收到所述反馈结果对应的数据泄露风险信息之后,确定所述目标内网中不存在数据泄露。
如果所述第一主机信息和所述第二主机信息相同,则表明诱饵文件在部署主机上被打开,判断所述第一主机信息对应的主机类型是否为服务器,如果是,则向所述第一主机信息对应的主机发送数据泄露提示信息,并根据接收到的数据泄露风险信息确定所述目标内网中是否存在数据泄露。如果不是,则先判定为没有数据泄露。因为一般服务器的数据敏感度会高于个人主机,所以在所述第一主机信息对应的主机类型为服务器,先发送数据泄露提示信息,以便服务器侧及时作出处理。具体的,就是如果所述第一主机信息和所述第二主机信息相同,且所述第一主机信息对应的主机类型为服务器,可以向所述第一主机信息对应的主机发送数据泄露提示信息,以便服务器管理人员判断是否存在数据泄露。
在第二种具体的实施方式中,所述根据所述第一主机信息和所述第二主机信息确定所述目标内网中是否存在数据泄露,包括:判断所述第一主机信息和所述第二主机信息是否相同;如果所述第一主机信息和所述第二主机信息不相同,则判断所述第二主机信息是否在预设信任主机列表中;如果所述第二主机信息不在预设信任主机列表中,则判定所述目标内网中存在数据泄露。
具体的,就是判断所述第一主机信息和所述第二主机信息是否相同;如果所述第一主机信息和所述第二主机信息不相同,则判断所述第二主机信息是否在预设信任主机列表中,其中,所述预设信任主机列表存储所述目标内网中的个人主机信息,不包括所述目标内网中的服务器的信息。如果所述第二主机信息在预设信任主机列表中,则一般为所述目标内网之间的主机相互访问时不下心打开。如果所述第二主机信息不在预设信任主机列表中,则判定目标内网中存在数据泄露。
如果所述第一主机信息和所述第二主机信息相同,则表明诱饵文件在部署主机上被打开,判断所述第一主机信息对应的主机类型是否为服务器,如果是,则向所述第一主机信息对应的主机发送数据泄露提示信息,并根据接收到的数据泄露风险信息确定所述目标内网中是否存在数据泄露。如果不是,则先判定为没有数据泄露。具体的,就是如果所述第一主机信息和所述第二主机信息相同,且所述第一主机信息对应的主机类型为服务器,可以向所述第一主机信息对应的主机发送数据泄露提示信息,以便服务器管理人员判断是否存在数据泄露。
步骤S24:如果所述目标内网中存在数据泄露,则控制所述第一主机信息对应的主机断网隔离,以便防止所述第一主机信息对应的主机被恶意操作。
如果所述目标内网中存在数据泄露,则进行数据泄露处理操作,具体的,可以先控制所述第一主机信息对应的主机断网隔离,以便防止所述第一主机信息对应的主机被恶意操作。这样在第一主机信息对应的主机存在数据泄露之后,先对所述第一主机信息对应的主机进行断网隔离,可以防止黑客继续恶意操作所述第一主机信息对应的主机,以免造成更大的损失。
步骤S25:向所述第二主机信息对应的主机发送数据删除指令,以便所述第二主机信息对应的主机在接收到所述数据删除指令后删除所述诱饵文件同目录下的所有文件。
在所述目标内网中存在数据泄露时,则进行数据泄露处理操作,具体的,包括向所述第二主机信息对应的主机发送数据删除指令,以便所述第二主机信息对应的主机程序在接收到所述数据删除指令后删除所述诱饵文件同目录下的所有文件。也即,在确定目标内网中存在数据泄露之后,便可以向所述第二主机信息对应的主机发送数据删除指令,以便将已经泄露到黑客主机上的数据删除。
步骤S26:根据所述第二主机信息确定对应的主机。
在实际应用中,所述预设诱饵文件运行之后还可以对所述第二主机信息对应的IP地址进行采集,并将采集到的所述第二主机信息对应的IP地址返回到本地,所以可以根据所述第二主机信息确定所述第二主机信息对应的主机的IP地址,也即确定出所述第二主机信息对应的主机。
进一步的,本地在确定出所述第二主机信息对应的IP地址之后,还可以利用所述IP地址进行主机定位,以确定出所述第二主机信息对应的主机的位置。所述位置可以是地理位置。这可以为侦破网络犯罪等提供便利。
参见图4所示,利用IP地址确定主机位置的结果图。搜索IP为182.151.234.168,得到该IP可能分布的地区的精度、维度、半径以及详细地址。
参见图5所示,为泄露数据处理流程图。先在内网中的主机上放置诱饵文件,在黑客窃取文件之后,其中,窃取的文件中包括诱饵文件,当黑客在其个人电脑上打开诱饵文件时,采集所处主机的信息,基于采集到的信息和诱饵文件中的信息向泄露数据追踪装置发送告警信息,所述泄露数据追踪装置在接收到所述告警信息之后,确定内网中是否存在数据泄露,如果存在,则将存在数据泄露的主机断网隔离,然后下发远程数据擦除指令,删除诱饵文件同目录下的所有文件。
参见图6所示,本申请实施例公开了一种数据泄露追踪装置,所述数据泄露追踪装置预先在目标内网中预设主机上部署诱饵文件,所述诱饵文件用于在运行的情况下采集本端的主机信息,包括:
信息接收模块11,用于接收运行所述诱饵文件的主机发送的告警信息,其中,所述告警信息包括第一主机信息以及第二主机信息,所述第一主机信息为所述目标内网中部署所述诱饵文件的主机的主机信息,所述第二主机信息为运行所述诱饵文件的主机的主机信息;
数据泄露确定模块12,用于根据所述第一主机信息和所述第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露;
数据泄露处理模块13,用于在所述目标内网中存在数据泄露时,则进行数据泄露处理操作。
可见,本申请先接收运行所述诱饵文件的主机发送的告警信息,其中,所述告警信息包括第一主机信息以及第二主机信息,所述第一主机信息为所述目标内网中部署所述诱饵文件的主机的主机信息,所述第二主机信息为运行所述诱饵文件的主机的主机信息;根据所述第一主机信息和所述第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露;如果所述目标内网中存在数据泄露,则进行数据泄露处理操作。由此可见,在诱饵文件被打开时,便会运行并向数据泄露追踪装置发送告警信息,所述数据泄露追踪装置在接收到所述告警信息之后,根据所述告警信息中的第一主机信息和第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露,如果所述目标内网中存在数据泄露,则进行数据泄露处理操作。这样能够在数据泄露之后进行数据泄露处理操作,以降低数据泄露带来的损失,且泄露数据处理效果较好。
具体的,所述数据泄露确定模块12,包括:
第一判断单元,用于判断所述第一主机信息和所述第二主机信息是否相同;
第一提示信息发送单元,用于在所述第一主机信息和所述第二主机信息不相同时,则向所述第一主机信息对应的主机发送数据泄露提示信息;
第一数据泄露确定单元,用于根据接收到的数据泄露风险信息确定所述目标内网中是否存在数据泄露,其中,所述数据泄露风险信息为所述第一主机信息对应的主机根据所述数据泄露提示信息反馈的信息。
具体的,所述数据泄露确定模块12,包括:
第二判断单元,用于判断所述第一主机信息和所述第二主机信息是否相同;
第三判断单元,用于在所述第一主机信息和所述第二主机信息不相同时,则判断所述第二主机信息是否在预设信任主机列表中;
第二数据泄露确定单元,用于在所述第二主机信息不在预设信任主机列表中时,则判定所述目标内网中存在数据泄露。
进一步的,所述数据泄露确定模块12,包括:
第四判断单元,用于在所述第一主机信息和所述第二主机信息相同时,则判断所述第一主机信息对应的主机类型是否为服务器;
第二提示信息发送单元,用于在所述第一主机信息对应的主机类型为服务器时,则向所述第一主机信息对应的主机发送数据泄露提示信息;
第三数据泄露确定单元,用于根据接收到的数据泄露风险信息确定所述目标内网中是否存在数据泄露,其中,所述数据泄露风险信息为所述第一主机信息对应的主机根据所述数据泄露提示信息反馈的信息。
进一步的,所述数据泄露处理模块13,包括:
断网控制单元,用于控制所述第一主机信息对应的主机断网隔离,以便防止所述第一主机信息对应的主机被恶意操作。
进一步的,所述数据泄露处理模块13,包括:
信息发送单元,用于向所述第二主机信息对应的主机发送数据删除指令,以便所述第二主机信息对应的主机在接收到所述数据删除指令后删除所述诱饵文件同目录下的所有文件。
在实际应用中,所述数据泄露追踪装置,还包括:
主机确定模块,用于根据所述第二主机信息确定对应的主机。
参见图7所示,为本申请实施例提供的一种电子设备20的结构示意图,该电子设备20可以实现前述实施例中公开的泄露数据处理方法步骤。
通常,本实施例中的电子设备20包括:处理器21和存储器22。
其中,处理器21可以包括一个或多个处理核心,比如四核心处理器、八核心处理器等。处理器21可以采用DSP(digital signal processing,数字信号处理)、FPGA(field-programmable gate array,现场可编程们阵列)、PLA(programmable logic array,可编程逻辑阵列)中的至少一种硬件来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(central processing unit,中应处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以集成有GPU(graphics processing unit,图像处理器),GPU用于负责显示屏所需要显示的图像的渲染和绘制。一些实施例中,处理器21可以包括AI(artificialintelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器22可以包括一个或多个计算机可读存储介质,计算机可读存储介质可以是非暂态的。存储器22还可以包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器22至少用于存储以下计算机程序221,其中,该计算机程序被处理器21加载并执行之后,能够实现前述任一实施例中公开的泄露数据处理方法步骤。另外,存储器22所存储的资源还可以包括操作系统222和数据223等,存储方式可以是短暂存储也可以是永久存储。其中,操作系统222可以是Windows、Unix、Linux等。数据223可以包括各种各样的数据。
在一些实施例中,电子设备20还可包括有显示屏23、输入输出接口24、通信接口25、传感器26、电源27以及通信总线28。
本技术领域人员可以理解,图7中示出的结构并不构成对电子设备20的限定,可以包括比图示更多或更少的组件。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述任一实施例中公开的泄露数据处理方法。
其中,关于上述泄露数据处理方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得一系列包含其他要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的一种泄露数据处理方法、装置、设备、介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (9)
1.一种泄露数据处理方法,其特征在于,应用于数据泄露追踪装置,所述数据泄露追踪装置预先在目标内网中预设主机上部署诱饵文件,所述诱饵文件用于在运行的情况下采集本端的主机信息,该方法包括:
接收运行所述诱饵文件的主机发送的告警信息,其中,所述告警信息包括第一主机信息以及第二主机信息,所述第一主机信息为所述目标内网中部署所述诱饵文件的主机的主机信息,所述第二主机信息为运行所述诱饵文件的主机的主机信息;
判断所述第一主机信息和所述第二主机信息是否相同;如果所述第一主机信息和所述第二主机信息相同,则判断所述第一主机信息对应的主机类型是否为服务器;如果所述第一主机信息对应的主机类型为服务器,则向所述第一主机信息对应的主机发送数据泄露提示信息;根据接收到的数据泄露风险信息确定所述目标内网中是否存在数据泄露,其中,所述数据泄露风险信息为所述第一主机信息对应的主机根据所述数据泄露提示信息反馈的信息;
如果所述目标内网中存在数据泄露,则进行数据泄露处理操作。
2.根据权利要求1所述的泄露数据处理方法,其特征在于,所述根据所述第一主机信息和所述第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露,包括:
判断所述第一主机信息和所述第二主机信息是否相同;
如果所述第一主机信息和所述第二主机信息不相同,则向所述第一主机信息对应的主机发送数据泄露提示信息;
根据接收到的数据泄露风险信息确定所述目标内网中是否存在数据泄露,其中,所述数据泄露风险信息为所述第一主机信息对应的主机根据所述数据泄露提示信息反馈的信息。
3.根据权利要求1所述的泄露数据处理方法,其特征在于,所述根据所述第一主机信息和所述第二主机信息的匹配结果确定所述目标内网中是否存在数据泄露,包括:
判断所述第一主机信息和所述第二主机信息是否相同;
如果所述第一主机信息和所述第二主机信息不相同,则判断所述第二主机信息是否在预设信任主机列表中;
如果所述第二主机信息不在预设信任主机列表中,则判定所述目标内网中存在数据泄露。
4.根据权利要求1所述的泄露数据处理方法,其特征在于,所述进行数据泄露处理操作,包括:
控制所述第一主机信息对应的主机断网隔离,以便防止所述第一主机信息对应的主机被恶意操作。
5.根据权利要求1所述的泄露数据处理方法,其特征在于,所述进行数据泄露处理操作,包括:
向所述第二主机信息对应的主机发送数据删除指令,以便所述第二主机信息对应的主机在接收到所述数据删除指令后删除所述诱饵文件同目录下的所有文件。
6.根据权利要求1所述的泄露数据处理方法,其特征在于,所述进行数据泄露处理操作,包括:
根据所述第二主机信息确定对应的主机。
7.一种数据泄露追踪装置,其特征在于,所述数据泄露追踪装置预先在目标内网中预设主机上部署诱饵文件,所述诱饵文件用于在运行的情况下采集本端的主机信息,包括:
信息接收模块,用于接收运行所述诱饵文件的主机发送的告警信息,其中,所述告警信息包括第一主机信息以及第二主机信息,所述第一主机信息为所述目标内网中部署所述诱饵文件的主机的主机信息,所述第二主机信息为运行所述诱饵文件的主机的主机信息;
数据泄露确定模块,用于判断所述第一主机信息和所述第二主机信息是否相同;如果所述第一主机信息和所述第二主机信息相同,则判断所述第一主机信息对应的主机类型是否为服务器;如果所述第一主机信息对应的主机类型为服务器,则向所述第一主机信息对应的主机发送数据泄露提示信息;根据接收到的数据泄露风险信息确定所述目标内网中是否存在数据泄露,其中,所述数据泄露风险信息为所述第一主机信息对应的主机根据所述数据泄露提示信息反馈的信息;
数据泄露处理模块,用于在所述目标内网中存在数据泄露时,则进行数据泄露处理操作。
8.一种电子设备,其特征在于,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现权利要求1至6任一项所述的泄露数据处理方法。
9.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的泄露数据处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010674353.5A CN111814144B (zh) | 2020-07-14 | 2020-07-14 | 一种泄露数据处理方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010674353.5A CN111814144B (zh) | 2020-07-14 | 2020-07-14 | 一种泄露数据处理方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111814144A CN111814144A (zh) | 2020-10-23 |
| CN111814144B true CN111814144B (zh) | 2023-11-07 |
Family
ID=72842477
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010674353.5A Active CN111814144B (zh) | 2020-07-14 | 2020-07-14 | 一种泄露数据处理方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111814144B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107154939A (zh) * | 2017-05-10 | 2017-09-12 | 深信服科技股份有限公司 | 一种数据追踪的方法及系统 |
| CN107169361A (zh) * | 2017-06-15 | 2017-09-15 | 深信服科技股份有限公司 | 一种数据泄露的检测方法及系统 |
| CN107612924A (zh) * | 2017-09-30 | 2018-01-19 | 北京奇虎科技有限公司 | 基于无线网络入侵的攻击者定位方法及装置 |
| CN108509802A (zh) * | 2018-02-28 | 2018-09-07 | 郑州信大捷安信息技术股份有限公司 | 一种应用程序数据防泄密方法和装置 |
| WO2019046147A1 (en) * | 2017-08-31 | 2019-03-07 | Observeit Ltd | RISK MANAGEMENT OF EXFILTRATION OF DATA |
| CN109525558A (zh) * | 2018-10-22 | 2019-03-26 | 深信服科技股份有限公司 | 数据泄露检测方法、系统、装置及存储介质 |
| CN110071929A (zh) * | 2019-04-28 | 2019-07-30 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
| CN110826070A (zh) * | 2019-11-12 | 2020-02-21 | 深信服科技股份有限公司 | 一种诱饵文件的隐藏方法、装置、电子设备及存储介质 |
| CN110855698A (zh) * | 2019-11-19 | 2020-02-28 | 成都知道创宇信息技术有限公司 | 一种终端信息获得方法、装置、服务器及存储介质 |
| CN110944014A (zh) * | 2019-12-18 | 2020-03-31 | 北京天融信网络安全技术有限公司 | 终端数据安全主动防御方法及装置 |
| CN111030963A (zh) * | 2018-10-09 | 2020-04-17 | 华为技术有限公司 | 文档追踪方法、网关设备及服务器 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9830463B2 (en) * | 2016-01-22 | 2017-11-28 | Google Llc | Systems and methods for detecting sensitive information leakage while preserving privacy |
| US11093611B2 (en) * | 2017-06-25 | 2021-08-17 | ITsMine Ltd. | Utilization of deceptive decoy elements to identify data leakage processes invoked by suspicious entities |
-
2020
- 2020-07-14 CN CN202010674353.5A patent/CN111814144B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107154939A (zh) * | 2017-05-10 | 2017-09-12 | 深信服科技股份有限公司 | 一种数据追踪的方法及系统 |
| CN107169361A (zh) * | 2017-06-15 | 2017-09-15 | 深信服科技股份有限公司 | 一种数据泄露的检测方法及系统 |
| WO2019046147A1 (en) * | 2017-08-31 | 2019-03-07 | Observeit Ltd | RISK MANAGEMENT OF EXFILTRATION OF DATA |
| CN107612924A (zh) * | 2017-09-30 | 2018-01-19 | 北京奇虎科技有限公司 | 基于无线网络入侵的攻击者定位方法及装置 |
| CN108509802A (zh) * | 2018-02-28 | 2018-09-07 | 郑州信大捷安信息技术股份有限公司 | 一种应用程序数据防泄密方法和装置 |
| CN111030963A (zh) * | 2018-10-09 | 2020-04-17 | 华为技术有限公司 | 文档追踪方法、网关设备及服务器 |
| CN109525558A (zh) * | 2018-10-22 | 2019-03-26 | 深信服科技股份有限公司 | 数据泄露检测方法、系统、装置及存储介质 |
| CN110071929A (zh) * | 2019-04-28 | 2019-07-30 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
| CN110826070A (zh) * | 2019-11-12 | 2020-02-21 | 深信服科技股份有限公司 | 一种诱饵文件的隐藏方法、装置、电子设备及存储介质 |
| CN110855698A (zh) * | 2019-11-19 | 2020-02-28 | 成都知道创宇信息技术有限公司 | 一种终端信息获得方法、装置、服务器及存储介质 |
| CN110944014A (zh) * | 2019-12-18 | 2020-03-31 | 北京天融信网络安全技术有限公司 | 终端数据安全主动防御方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 公司内网安全分析与研究;唐毅;;电子世界(08);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111814144A (zh) | 2020-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9588848B2 (en) | System and method of restoring modified data | |
| US9596257B2 (en) | Detection and prevention of installation of malicious mobile applications | |
| EP3404948B1 (en) | Centralized selective application approval for mobile devices | |
| US20160267290A1 (en) | Information viewing method, device, system and storage medium | |
| CA2604199C (en) | System and method for detecting peer-to-peer network software | |
| EP1862005B1 (en) | Application identity and rating service | |
| US10079835B1 (en) | Systems and methods for data loss prevention of unidentifiable and unsupported object types | |
| WO2015096695A1 (zh) | 一种应用程序的安装控制方法、系统及装置 | |
| US8950005B1 (en) | Method and system for protecting content of sensitive web applications | |
| US20140007249A1 (en) | Privacy Control in a Social Network | |
| US9614826B1 (en) | Sensitive data protection | |
| US20060161966A1 (en) | Method and system for securing a remote file system | |
| CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
| JP2010026662A (ja) | 情報漏洩防止システム | |
| US10225284B1 (en) | Techniques of obfuscation for enterprise data center services | |
| CN107770125A (zh) | 一种网络安全应急响应方法及应急响应平台 | |
| US10318272B1 (en) | Systems and methods for managing application updates | |
| Pokharel et al. | Mobile cloud security: An adversary model for lightweight browser security | |
| US9245132B1 (en) | Systems and methods for data loss prevention | |
| US9239907B1 (en) | Techniques for identifying misleading applications | |
| CN111814144B (zh) | 一种泄露数据处理方法、装置、设备及介质 | |
| US10079856B2 (en) | Rotation of web site content to prevent e-mail spam/phishing attacks | |
| CN111711656A (zh) | 一种具有安全功能的网络边缘存储装置 | |
| WO2023124041A1 (zh) | 一种勒索病毒检测方法以及相关系统 | |
| CN107786413B (zh) | 一种浏览电子邮件的方法及用户终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |