CN112711770A - 敏感行为阻断方法、装置、终端及存储介质 - Google Patents
敏感行为阻断方法、装置、终端及存储介质 Download PDFInfo
- Publication number
- CN112711770A CN112711770A CN201911024289.XA CN201911024289A CN112711770A CN 112711770 A CN112711770 A CN 112711770A CN 201911024289 A CN201911024289 A CN 201911024289A CN 112711770 A CN112711770 A CN 112711770A
- Authority
- CN
- China
- Prior art keywords
- sensitive
- sending
- blocking
- sensitive behavior
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000000903 blocking effect Effects 0.000 title claims abstract description 134
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000004458 analytical method Methods 0.000 claims abstract description 99
- 230000005540 biological transmission Effects 0.000 claims abstract description 14
- 230000006399 behavior Effects 0.000 claims description 231
- 238000004590 computer program Methods 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 8
- 230000003993 interaction Effects 0.000 abstract description 8
- 238000011897 real-time detection Methods 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 48
- 238000010586 diagram Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 9
- 238000001514 detection method Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 208000033748 Device issues Diseases 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种敏感行为阻断方法、装置、终端及存储介质,该方法包括:获取监测的多个终端设备外发文件时的发送记录;基于发送记录生成日志信息,并利用预设接口向分析服务器发送日志信息,日志信息中包括发送记录;接收所述分析服务器利用预设接口返回的指示信息,指示信息基于敏感行为的日志信息生成,指示信息用于指示对敏感行为进行阻断。本申请实施例的管控终端通过利用预设的接口与分析服务器进行数据交互,使得分析服务器利用发送记录对终端设备外发文件的行为进行分析,从而使得管控终端能够利用分析服务器下发的指示信息,进行敏感行为的阻断,实现了敏感行为的实时检测及阻断。
Description
技术邻域
本申请一般涉及计算机技术领域,具体涉及一种敏感行为阻断方法、装置、终端及存储介质。
背景技术
随着计算机技术的发展,在快递行业的企业中,通常利用网络进行数据交互,实现多种业务的实现。在数据交互过程中,会产生大量的具有物流行业特征的数据,如整个包裹的物流运输中,产生包括物流运输中的用户隐私信息以及企业内部绝密信息。
目前,为了防止用户隐私及企业隐私信息泄露,通过传统的检测设备,后期对外发行为数据进行审计,或通过挂接设备检测是否含有敏感信息。采用传统的检测设备,对企业内,所有终端设备产生的数据进行检测。
对于传统的检测设备,无法实时的识别物流行业的敏感行为,并有效进行对应操作行为的阻断,导致物流行业的隐私信息容易泄露。
发明内容
鉴于现有技术中的上述缺陷或不足,期望提供一种敏感行为阻断方法、装置、终端及存储介质,以实现敏感行为的实时阻断。
第一方面,本申请实施例提供一种敏感行为阻断方法,该方法包括:
获取监测的多个终端设备外发文件时的发送记录;
基于该发送记录生成日志信息,并利用预设接口向分析服务器发送该日志信息,该日志信息中包括该发送记录,该日志信息用于指示该分析服务器,基于该发送记录对该终端设备的外发文件时的行为进行分析,确定产生敏感行为的终端设备;
接收该分析服务器利用所述预设接口返回的指示信息,该指示信息包括产生敏感行为的终端设备标识,指示信息用于指示对产生所述敏感行为的终端设备进行阻断。
第二方面,本申请实施例提供一种敏感行为阻断方法,该方法包括:
外发文件时生成外发的文件的发送记录,并向管控终端发送该发送记录;
接收管控终端返回的阻断指令,该阻断指令中包括待阻断的敏感行为的参数,该阻断指令响应指示信息生成,该指示信息由分析服务器基于该发送记录对其外发文件时的行为进行分析,确定外发文件时的行为是敏感行为后生成的;
响应于该阻断指令,对产生该参数对应的敏感行为进行阻断。
第三方面,本申请实施例提供一种敏感行为阻断装置,该装置包括:
获取模块,用于获取监测的多个终端设备外发文件时的发送记录;
发送模块,用于基于该发送记录生成日志信息,并利用预设接口向分析服务器发送该日志信息,该日志信息中包括该发送记录,该日志信息用于指示该分析服务器,基于该发送记录对该终端设备的外发文件时的行为进行分析,确定产生敏感行为的终端设备;
接收模块,用于接收所述分析服务器利用该预设接口返回的指示信息,该指示信息包括产生敏感行为的终端设备标识,该指示信息用于指示对产生所述敏感行为的终端设备进行阻断。
第四方面,本申请实施例提供一种敏感行为阻断装置,该装置包括:
发送模块,用于外发文件时生成外发的文件的发送记录,并向管控终端发送该发送记录;
接收模块,用于接收管控终端返回的阻断指令,该阻断指令中包括待阻断的敏感行为的参数,该阻断指令响应指示信息生成,该指示信息由分析服务器基于该发送记录对其外发文件时的行为进行分析,确定外发文件时的行为是敏感行为后生成的;
限制模块,用于响应于该阻断指令,对产生该参数对应的敏感行为进行阻断。
第五方面,本申请实施例提供一种终端,所述终端包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器用于执行所述程序时实现如第一方面或第二方面所述方法。
第六方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序用于实现如第一方面或第二方面所述方法。
综上,本申请实施例提供的敏感行为阻断方法、装置、终端及存储介质,管控终端通过获取终端设备的外发文件的发送记录,并利用预设的接口与分析服务器进行数据交互,使得分析服务器利用发送记录对终端设备外发文件的行为进行分析,确定产生敏感行为的终端设备,并向管控终端返回指示信息,从而使得管控终端能够对终端设备进行敏感行为的阻断,防止再发生,实现了企业内,敏感行为的准确检测及实时阻断。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本申请的实施例的敏感行为阻断系统的架构示意图;
图2为本申请的实施例的敏感行为阻断方法的流程示意图;
图3为本申请的又一实施例的敏感行为阻断方法的流程示意图;
图4为本申请的又一实施例的敏感行为阻断方法的流程示意图;
图5为本申请的实施例的敏感行为阻断装置的结构示意图;
图6为本申请的实施例的敏感行为阻断装置的结构示意图;
图7为本申请的实施例的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关申请,而非对该申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与申请相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
可以理解,本申请实施例的终端设备的敏感行为阻断,是为了保证企业内部数据的安全,如物流企业中用户隐私信息的安全,对于涉及泄密内部数据或隐私信息的终端设备的外发文件的敏感行为,能够及时阻断,防止再发生。
在上述场景下,如物流行业内,为了方便对物流企业中的终端设备的外发文件的行为的管控,配置了分析服务器及管控终端,该分析服务器对行业内涉及的海量数据进行机器学习分析,以动态构建分析模型,来检测物流行业业务实现过程中,终端设备的进行外发文件的行为是否属于泄密的敏感行为。该管控终端对企业内部所有可能产生敏感行为的终端设备进行管控。基于此,该管控终端上运行有管控平台,对应的,其管控的终端设备上安装有管控平台的客户端。并在管控平台上开发有接口,实现与分析服务器的数据交互,来上传终端设备的外发文件的行为的发送记录,接收分析服务器下发的指示信息,实现对终端设备的敏感行为的实时阻断,如阻断外发文件的具体行为或者直接回收终端设备的操作权限。
本申请实施例中,实现上述敏感行为阻断的系统架构示意图可如图1所示:
该系统可以包括管控终端01、分析服务器02及管控终端01所管控的企业内部员工的终端设备03。
管控终端01可以为计算机等硬件设备,其上运行有控制软件,即作为终端设备的外发行为的管控平台,用于对运行有客户端的终端设备的外发行为进行监测及控制。具体可以通过提供接口,上传所监测到的终端设备的发送记录,接收通过上层的分析服务器分析得到的指示信息,对具有安全威胁的敏感行为或产生该敏感行为的终端进行实时行为阻断。该管控平台可以基于数据泄露防护(Data leakage prevention,DLP)技术实现。
该管控终端上存储有所管控的终端设备的支撑数据,如可以通过管理员录入的方式,依次录入每个终端设备的识别信息;该管控平台上还可以配置有安全策略,用于下发给所管控的终端设备,使得终端设备在进行文件外发时,首先可以利用该安全策略进行敏感信息的判断。在物流行业内,该敏感信息可以为员工账号、结算单号及运单信息等具有物流行业特征的信息。该安全策略可以为基于行业内的基础信息生成,如在物流行业,可以设置员工信息、结算单号及运单信息等具有物流行业特征的信息,以配置生成安全策略,如可以通过企业的管理人员手动输入的方式配置安全策略。
分析服务器02作为上层的大数据引擎服务器,用于通过管控平台提供的接口接收管控终端上传的发送记录,并在对发送记录分析后,向管控平台下发指示信息,以指示管控终端对敏感行为进行阻断。
可以理解,该分析服务器中预先动态的构建有分析模型,对管控终端上报的外发文件的发送记录进行分析,以确定对应的终端设备的外发行为是否涉及敏感数据,即是否为敏感行为。进而根据分析结果,通过管控平台的应用服务器,向管控终端01下发指示信息。
可以理解,在物流行业领域内,该分析模型可以基于物流行业的敏感信息及外发文件的发送记录进行动态构建。如可以通过发送记录及发送文件的类型等构件判别器,以对某条发送记录进行识别。文件的类型可以根据敏感信息进行分类,敏感信息分类,针对快递行业的文件进行分类,并不限于以下类型:员工信息、客户信息、运单信息、加密文档信息、公文信息、流程制度。
终端设备03作为企业的内部员工的操作终端,可以为计算机或手持终端等硬件设备。用于员工进行业务实现,可以产生文件的外发行为,如通过移动硬盘拷贝共享、访问网络或共享共享文件夹的。外发文件如word文档、工程涉及的文件、图片或代码等。终端设备产生的敏感行为可以为对涉及企业秘密文件的外发行为,如对包括客户结算信息等企业秘密的文件,通过互联网,上传到外网的外发行为。
终端设备上运行有与管控终端上的管理服务端对应的客户端,其存储有管控终端下发的敏感信息甄别的安全策略,使得在文件外发时,能够对外发的文件进行初步的分析,以确定是否包括敏感信息。
可以理解,本申请实施例利用该管控平台的协议接口,与上层的分析服务器实现数据交互,以上报其监测的所有终端设备的发送记录,使得分析服务器通过对发送记录的分析,来确定敏感行为对应的发送记录;进而接收分析服务器下发的用于阻断具备安全威胁的敏感行为或产生该敏感行为的终端设备,实现对终端设备的敏感行为的实时阻断。
为了理解和说明,下面通过图2至图7详细解释本申请实施例提供的敏感行为阻断方法、装置、终端及存储介质。
图2为本申请实施例提供的敏感行为阻断方法的流程示意图,该方法由管控终端执行,如图2所示,该方法包括:
S210,管控终端获取监测的多个终端设备外发文件时的发送记录。
S220,管控终端基于该发送记录生成日志信息,并利用预设接口向分析服务器发送该日志信息,该日志信息中包括该发送记录,该日志信息用于指示该分析服务器,基于该发送记录对该终端设备的外发文件时的行为进行分析,确定产生敏感行为的终端设备。
S230,管控终端接收分析服务器利用该预设接口返回的指示信息,该指示信息包括产生敏感行为的终端设备标识,该指示信息用于指示对产生所述敏感行为的终端设备进行阻断。
具体的,管控终端可以监测到终端设备外发文件时,所产生的发送记录。该发送记录可以包括终端设备外发文件的文件名称、终端设备标识、源地址及目标地址等,该目标地址可以为文件共享的地址、浏览器的地址、即时通讯地址或FTP地址等。
在获取到终端设备外发文件的发送记录后,可以基于发送记录生成日志信息,并利用预先开发的接口,将该日志信息上传到分析服务器。如可以基于SysLog协议对截取到的多个终端设备产生的多个发送记录进行整理,以生成日志信息。该日志信息中包括发送记录,还可以包括产生该发送记录的终端设备的标识。该日志信息用于指示分析服务器利用预先构建的分析模型,对上传的日志信息中的发送记录进行分析,以确定发送记录对应的行为是否为具有安全威胁的敏感行为。
当分析服务器分析发现日志信息对应的行为属于敏感行为时,管控终端可以接收到指示信息,该指示信息中可以包括产生该敏感行为的终端设备的标识,还可以包括敏感行为参数,即待阻断的对象标识及阻断对象的具体行为参数。如产生敏感行为的终端设备访问浏览器的行为或者访问共享文件夹的行为的参数。
可以理解,敏感行为是指终端设备的外发文件的行为可能涉及泄密的行为,如物流行业内,运单信息可以在企业内部共享,但是不允许发送到外网,且不允许通过USB接口外发到其他的硬件中。则通过共享对包括运单信息的文件进行外发时,该外发行为不属于敏感行为;通过USB接口或访问外网的方式将包括运单信息的文件进行外发时,该外发行为属于敏感行为。即分析模型可以通过接收到的日志信息中的文件名称中字段及目标地址来确定发送记录对应的外发行为书否属于敏感行为。
可以理解,在管控终端接收到该指示信息后,进而可以根据指示信息,对产生敏感行为的终端设备进行阻断,如直接限制产生该敏感行为的终端设备的所有外发行为,或者仅仅限制与敏感行为对应的操作。
本申请实施例提供的敏感行为阻断方法,管控终端通过获取终端设备的外发文件的发送记录,并利用预设的接口与分析服务器进行数据交互,使得分析服务器利用发送记录对终端设备外发文件的行为进行分析,确定产生敏感行为的终端设备,并向管控终端返回指示信息,从而使得管控终端能够对终端设备进行敏感行为的阻断,防止再发生,实现了企业内,敏感行为的准确检测及实时阻断。
图3所示为本申请又一实施例提供的终端设备行为阻断方法的流程示意图,该方法由终端设备执行,如图3所示,该方法包括:
S310,终端设备外发文件时生成外发的文件的发送记录,并向管控终端发送该发送记录。
S320,终端设备接收管控终端返回的阻断指令,该阻断指令中包括待阻断的敏感行为的参数,该阻断指令响应指示信息生成,该指示信息由分析服务器基于该发送记录对其外发文件时的行为进行分析,确定外发文件时的行为是敏感行为后生成的。
S330,终端设备响应于该阻断指令,对产生该参数对应的敏感行为进行阻断。
具体的,本申请实施例提供的敏感行为阻断方法,终端设备在外发文件时,能够产生外发文件的记录,即发送记录。例如,如通过USB接口外发文件,或通过浏览器上传文件,或通过内部网络共享文件时,可以利用运行的客户端记录终端设备当前外发文件时的源地址、目标地址等信息,如源文件存放磁盘位置,发送至目标地址如文件共享、浏览器、即时通讯及FTP等。
终端设备的客户端在得到发送记录后,可以将该发送记录上传到管控终端,以使得管控终端在截取到该发送记录后,生成日志信息。进而利用预设的接口上传到分析服务器,以供分析服务器对终端设备当前的外发文件的行为进行分析,使得管控终端能够接收到基于分析服务器的分析结果生成的指示信息。当分析服务器分析结果表示外发文件的行为为敏感行为时,该指示信息表示需要阻断该产生该敏感行为的终端设备,具体可以包括该终端设备的标识以及该敏感行为的参数。此时,该终端设备可以接收到管控终端基于该指示信息生成的阻断指令,该阻断指令可以包括待阻断的敏感行为的参数,则该终端设备解析该阻断指令,然后响应该阻断指令,限制敏感行为。如,阻断指令中包括敏感行为的参数,则终端设备解析得到该参数后,可以响应该阻断指令,禁止敏感行为对应的程序。
例如,当解析阻断指令,确定要阻断的行为是USB共享、访问外部网或访问文件共享,则终端设备可以响应该阻断指令,禁用USB接口、禁止访问外部网、禁止访问文件共享或禁止外发邮件。
可以理解,在实际中,当管控终端根据分析服务器返回的指示信息,确定产生敏感行为的终端设备,在进行敏感行为的阻断时,即在向该终端设备下发阻断指令时,可以仅仅禁止该敏感行为的再发生,也可以全面禁止该终端设备,如对收回该终端设备的所有操作权限,即禁止使用FTP协议。如管控终端经过判断,发现某个终端设备产生了多个敏感行为,则可以全面禁止该终端设备。
本申请实施例提供的敏感行为阻断方法,在外发文件时,将产生的发送记录上报到管控终端后,可以接收到管控终端下发的阻断指令,进而可以响应该阻断指令,阻断存在威胁的敏感行为,实现对终端设备的敏感行为的实时检测及阻断。
为了更好的理解本申请实施例提供的敏感行为阻断方法,下面通过图4详细阐述终端设备的敏感行为的具体阻断过程,该方法由终端设备、管控终端及分析服务器执行,该方法包括:
S401,终端设备基于安全策略,分析待外发的文件,确定文件中是否包括敏感信息。
S402,当包括敏感信息时,生成发送记录。
S403,终端设备向管控终端发送该发送记录。
具体的,本申请实施例中,终端设备进行文件外发时,首先可以利用预先存储的安全策略对待外发的文件进行扫描,以甄别该待外发的文件中是否包括敏感信息。
可以理解,如果利用安全策略扫描发现待外发的文件中包括敏感信息,说明待外发的文件不符合企业的保密要求,则终止待外发的文件的外发。可选的,在一种实现方式下,可以将该文件该待外发的文件备份到另外配置的备份服务器中,以供后期查看,取证。
如果利用安全策略扫描发现该待外发的文件不包括敏感信息,则终端设备可以进行该待外发的文件的外发。此时,在终端设备进行文件的外发过程中,可以产生该外发行为的发送记录,即记录该待外发的文件的名称、源地址及目标地址等。并且,可以根据安全策略中的分类,确定待发送的文件的类型,即在发送记录中添加待外发的文件的类型。
可以理解,本申请实例中,在终端设备中存储有管控终端预先下发的安全策略。该安全策略中可以包括多种敏感信息的组合,如在物流行业中,可以配置员工信息、客户信息、运单信息、加密文档信息、公文信息、流程制度等信息作为安全策略。其中的文件类型,可以针对快递行业的文件进行分类,并不限于以下类型:员工信息、客户信息、运单信息、加密文档信息、公文信息及流程制度等。
S404,管控终端接收发送记录。
S405,管控终端基于该发送记录生成日志信息。
S406,管控终端向分析服务器发送该日志信息。
具体的,管控终端在截取到终端设备的外发文件的发送记录后,可以基于该发送记录生成终端设备的发送记录,然后利用预设的接口,将该外发行为的发送记录上报给分析服务器。
例如,终端设备在截取到终端设备的外发行为记录后,可以基于预设的周期,利用SysLog协议对终端设备的外发行为的发送记录进行整理封装,生成日志信息。该日志信息中可以包括多个终端设备的多个外发文件的发送记录,以供分析服务器批量分析。在生成日志信息后,管控终端可以将该日志信息上报到分析服务器。
可选的,在管控终端可以将该日志信息上报到分析服务器时,可以利用预设的API接口进行上传。
S407,分析服务器接收该日志信息,利用预先构建的机器学习模型分析该发送记录,生成指示信息。
S408,分析服务器向管控终端发送该指示信息。
具体的,在分析服务器接收到管控终端上报的终端设备的日志信息后,可以将日志信息输入到预先构建的分析模型中,利用该分析模型对输入的日志信息进行识别,确定日志信息对应的行为中是否存在敏感行为。
可以理解,当分析服务器将日志信息中的所有发送记录都分析完成后,输出分析结果,即分析结果中包括表示某个终端设备的发送记录为敏感行为。然后可以对分析结果进行分析,生成指示信息。即可以分析属于敏感行为的发送记录对应的终端设备,如果多个发送记录都为同一个终端设备,表示该终端设备发生了多个敏感行为,说明该终端设备属于高危状态,则指示信息中的内容可以为表示用于指示对该终端设备禁止使用所有权限的指令,如可以包括该终端设备的权限的参数。如果分析发现某个终端设备仅仅发生了一项敏感行为,如发现有利用文件共享外发敏感文件的行为,则生成的指示信息中的内容可以表示禁止该终端设备使用文件共享的权限,包括禁止部分权限的参数。
可以理解,指示信息中可以包括管控终端所管理的多个终端设备的多个敏感行为的参数,如经过分析服务器分析,发现有多个终端设备发生了敏感行为,并且,部分终端设备发生了多个敏感行为。
在实际中,管控终端利用API接口获取具体的指示信息时,首先可以生成一个URL,发送给分析服务器的阻断管理模块,以获取令牌(token),完成管控终端的身份认证。在对管控终端的身份验证成功后,可以将指示信息返回给管控终端。可以理解,该指示信息中可以包括敏感行为的参数及产生该敏感行为的终端设备的标识。
S409,管控终端接收该指示信息,并解析。
S410,管控终端基于指示信息生成阻断指令。
S411,管控终端向终端设备发送该阻断指令。
具体的,管控终端在接收到分析服务器返回的指示信息,即通过API接口从阻断管理模块获取的指示信息后,可以解析该指示信息,得到敏感行为的参数,以及产生该敏感行为的终端设备的标识。然后可以利用解析到的内容,生成每个产生敏感行为的终端设备的阻断指令,并发送给对应的终端设备。该阻断指令还可以包括终端设备的用户工号、阻断的有效时间。
例如,管控终端在解析得到发生敏感行为的终端设备的标识,以及每个终端设备发生的敏感行为的参数后,可以利用终端设备的标识检索发生敏感行为的终端设备,然后生成每个终端设备对应的阻断指令。如果指示信息表示某个终端设备需要全面禁止,即发生了多个敏感行为,则对应该终端设备生成的阻断指令,用于将该终端进行完全禁止,即禁止所有的外发文件的接口。如果指示信息表示禁止某个终端设备的部分权限,即该终端设备发生了一个或两个敏感行为,则对应该终端设备,所生成的阻断指令,可以仅仅包括发生敏感行为的参数,以禁止发生敏感行为接口,而其他的接口可以正常使用。
S412,终端设备接收该阻断指令。
S413,终端设备响应该阻断指令,对产生敏感行为的参数对应的敏感行为进行阻断。
具体的,在终端设备接收到管控终端发送的阻断指令后,可以解析该阻断指令,得到阻断指令中的内容。进而响应该阻断指令,对产生敏感行为的参数对应的敏感行为进行阻断,如禁止产生敏感行为的接口,或者禁止所有外发行为的接口。
例如,当解析阻断指令,确定要阻断的行为是USB共享、访问外部网或访问文件共享,则终端设备可以响应该阻断指令,禁用USB接口、禁止访问外部网、禁止访问文件共享或禁止外发邮件。
本申请实施例提供的敏感行为阻断方法,管控终端监测通过安全策略扫描确定不包括敏感信息的外发文件的发送记录,进而将监测到的发送记录封装成终端设备的日志信息,发送给分析服务器,使得分析服务器利用预先构建的分析模型,对日志信息进行分析,以确定产生敏感行为所对应的日志信息,并根据敏感行为所对应的日志信息,生成包括敏感行为的参数的指示信息,返回给管控终端,管控终端利用指示信息,生成阻断指令,以下发给产生敏感行为的终端设备,从而使得终端设备进行敏感行为的阻断操作,实现了物流行业敏感行为的实时有效地阻断,保证了企业信息安全。
另一方面,如图5所示,本申请实施例还提供一种敏感行为阻断装置,该装置500包括:
获取模块510,用于获取其监测的多个终端设备外发文件的发送记录
发送模块520,用于基于该发送记录生成日志信息,并利用预设接口向分析服务器发送该日志信息,该日志信息中包括该发送记录,该日志信息用于指示该分析服务器,基于该发送记录对该终端设备的外发文件的行为进行分析,确定产生敏感行为的终端设备。
接收模块530,用于接收所述分析服务器利用所述预设接口返回的指示信息,所述指示信息包括产生敏感行为的终端设备标识,所述指示信息用于指示对产生所述敏感行为的终端设备进行阻断。
可选的,本申请实施例提供的敏感行为阻断装置,还包括:
生成模块540,基于该指示信息生成阻断指令,并向该具备敏感行为的终端设备发送该阻断指令,该阻断指令用于使得具有敏感行为的终端设备对该敏感行为进行阻断,该指示信息及该阻断指令中包括待阻断的敏感行为的参数。
可选的,本申请实施例提供的敏感行为阻断装置,第一发送模块具体用于:
利用API接口向分析服务器发送该日志信息。
可选的,本申请实施例提供的敏感行为阻断装置,还包括:
配置模块550,用于生成安全策略,并向所有的该终端设备发送该安全策略,该安全策略基于基础信息生成,该基础信息至少包括物流信息,基于该基础信息用于指示该终端设备外发文件时,基于该安全策略确定待外发的该文件是否包括敏感信息。
另一方面,如图6所示,本申请又一实施例提供的敏感行为阻断装置的结构示意图,如图6所示,该装置600包括:
生成模块610,用于生成外发文件的发送记录,并向管控终端发送该发送记录;
接收模块620,用于接收管控终端返回的阻断指令,该阻断指令中包括待阻断的敏感行为的参数,该阻断指令是响应指示信息生成的,该指示信息是分析服务器基于该发送记录对其外发文件的行为进行分析,确定具有敏感行为后生成的;
阻断模块630,用于响应于该阻断指令,限制该参数对应的敏感行为。
可选的,本申请实施例提供的敏感行为阻断装置,还包括:
确定模块640,用于基于安全策略,分析待外发的文件,当该文件中不包括敏感信息时,生成该发送记录,该安全策略是基于基础信息生成的,该基础信息至少包括物流信息。
另一方面,本申请实施例还提供终端,该终端包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行该程序时实现如上所述的敏感行为阻断方法。
下面参考图7,其示出了适于用来实现本申请实施例的服务器或终端的计算机系统700的结构示意图。
如图7所示,计算机系统700包括中央处理单元(CPU)101,其可以根据存储在只读存储器(ROM)102中的程序或者从存储部分103加载到随机访问存储器(RAM)103中的程序而执行各种适当的动作和处理。在RAM 103中,还存储有系统100操作所需的各种程序和数据。CPU 101、ROM 102以及RAM 103通过总线104彼此相连。输入/输出(I/O)接口105也连接至总线104。
以下部件连接至I/O接口101:包括键盘、鼠标等的输入部分106;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分107;包括硬盘等的存储部分108;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分109。通信部分109经由诸如因特网的网络执行通信处理。驱动器110也根据需要连接至I/O接口105。可拆卸介质111,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器110上,以便于从其上读出的计算机程序根据需要被安装入存储部分108。
特别地,根据本申请公开的敏感行为阻断的实施例,上文参考图1描述的过程可以被实现为计算机软件程序。例如,本申请公开的敏感行为阻断的实施例包括一种计算机程序产品,其包括有形地包含在机器可读介质上的计算机程序,该计算机程序包含用于执行图1的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分101从网络上被下载和安装,和/或从可拆卸介质111被安装。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种敏感行为阻断实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,前述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,例如,可以描述为:一种处理器包括获取模块、发送模块及接收模块。其中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定,例如,接收模块还可以被描述为“用于接收所述分析服务器利用所述预设接口返回的指示信息,所述指示信息用于指示对所述敏感行为进行阻断”。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中前述装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,前述程序被一个或者一个以上的处理器用来执行描述于本申请的敏感行为阻断方法,具体执行:
获取其监测的多个终端设备外发文件的发送记录;
基于所述发送记录生成日志信息,并利用预设接口向分析服务器发送所述日志信息,所述日志信息中包括所述发送记录,所述日志信息用于指示所述分析服务器,基于所述发送记录对所述终端设备的外发文件的行为进行分析,确定产生敏感行为的终端设备;
接收所述分析服务器利用所述预设接口返回的指示信息,所述指示信息包括产生敏感行为的终端设备标识,所述指示信息用于指示对产生所述敏感行为的终端设备进行阻断。
综上所述,本申请实施例提供的敏感行为阻断方法、装置、终端及存储介质,管控终端通过获取终端设备的外发文件的发送记录,并利用预设的接口与分析服务器进行数据交互,使得分析服务器利用发送记录对终端设备外发文件的行为进行分析,确定产生敏感行为的终端设备,并向管控终端返回指示信息,从而使得管控终端能够对终端设备进行敏感行为的阻断,防止再发生,实现了企业内,敏感行为的准确检测及实时阻断。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本邻域技术人员应当理解,本申请中所涉及的申请范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述申请构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种敏感行为阻断方法,其特征在于,所述方法包括:
获取监测的多个终端设备外发文件时的发送记录;
基于所述发送记录生成日志信息,并利用预设接口向分析服务器发送所述日志信息,所述日志信息中包括所述发送记录,所述日志信息用于指示所述分析服务器,基于所述发送记录对所述终端设备的外发文件时的行为进行分析,确定产生敏感行为的终端设备;
接收所述分析服务器利用所述预设接口返回的指示信息,所述指示信息包括产生敏感行为的终端设备标识,所述指示信息用于指示对产生所述敏感行为的终端设备进行阻断。
2.根据权利要求1所述的敏感行为阻断方法,其特征在于,所述方法还包括:
基于所述指示信息生成阻断指令,并向产生敏感行为的终端设备发送所述阻断指令,所述阻断指令用于使得产生敏感行为的终端设备对所述敏感行为进行阻断,所述指示信息及所述阻断指令中包括待阻断的敏感行为的参数。
3.根据权利要求1或2所述的敏感行为阻断方法,其特征在于,所述利用预设接口向分析服务器发送所述日志信息包括:
利用API接口向分析服务器发送所述日志信息。
4.根据权利要求1或2所述的敏感行为阻断方法,其特征在于,所述方法还包括:
生成安全策略,并向所监测的所述终端设备发送所述安全策略,所述安全策略基于基础信息生成,所述基础信息包括物流信息,所述安全策略用于指示所述终端设备外发文件时,利用所述安全策略确定待外发的所述文件是否包括敏感信息。
5.一种敏感行为阻断方法,其特征在于,所述方法包括:
外发文件时生成外发的文件的发送记录,并向管控终端发送所述发送记录;
接收管控终端返回的阻断指令,所述阻断指令中包括待阻断的敏感行为的参数,所述阻断指令基于指示信息生成,所述指示信息由分析服务器基于所述发送记录对其外发文件时的行为进行分析,确定外发文件时的行为是敏感行为后生成;
响应于所述阻断指令,对产生所述参数对应的敏感行为进行阻断。
6.根据权利要求1所述的敏感行为阻断方法,其特征在于,所述生成外发文件的发送记录包括:
基于安全策略,分析待外发的文件,当所述文件中不包括敏感信息时,进行所述文件的外发,并生成所述发送记录,所述安全策略是基于基础信息生成的,所述基础信息至少包括物流信息。
7.一种敏感行为阻断装置,其特征在于,所述装置包括:
获取模块,用于获取监测的多个终端设备外发文件时的发送记录;
发送模块,用于基于所述发送记录生成日志信息,并利用预设接口向分析服务器发送所述日志信息,所述日志信息中包括所述发送记录,所述日志信息用于指示所述分析服务器,基于所述发送记录对所述终端设备的外发文件时的行为进行分析,确定产生敏感行为的终端设备;
接收模块,用于接收所述分析服务器利用所述预设接口返回的指示信息,所述指示信息包括产生敏感行为的终端设备标识,所述指示信息用于指示对产生所述敏感行为的终端设备进行阻断。
8.一种敏感行为阻断装置,其特征在于,所述装置包括。
发送模块,用于外发文件时生成外发的文件的发送记录,并向管控终端发送所述发送记录;
接收模块,用于接收管控终端返回的阻断指令,所述阻断指令中包括待阻断的敏感行为的参数,所述阻断指令响应指示信息生成,所述指示信息由分析服务器基于所述发送记录对其外发文件时的行为进行分析,确定外发文件时的行为是敏感行为后生成的;
限制模块,用于响应于所述阻断指令,对产生所述参数对应的敏感行为进行阻断。
9.一种终端,其特征在于,所述终端包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器用于执行所述程序时实现如权利要求1-4或权利要求5或6任一项所述的敏感行为阻断方法。
10.一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序用于实现如权利要求1-4或权利要求5或6任一项所述的敏感行为阻断方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911024289.XA CN112711770A (zh) | 2019-10-25 | 2019-10-25 | 敏感行为阻断方法、装置、终端及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911024289.XA CN112711770A (zh) | 2019-10-25 | 2019-10-25 | 敏感行为阻断方法、装置、终端及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112711770A true CN112711770A (zh) | 2021-04-27 |
Family
ID=75540786
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911024289.XA Pending CN112711770A (zh) | 2019-10-25 | 2019-10-25 | 敏感行为阻断方法、装置、终端及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112711770A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113343227A (zh) * | 2021-06-28 | 2021-09-03 | 深信服科技股份有限公司 | 一种泄密行为识别方法、装置、设备、介质 |
| CN113704752A (zh) * | 2021-08-31 | 2021-11-26 | 上海观安信息技术股份有限公司 | 数据泄露行为的检测方法、装置、计算机设备及存储介质 |
| CN114626074A (zh) * | 2022-02-16 | 2022-06-14 | 杭州薮猫科技有限公司 | 一种防护数据泄漏的方法、装置、存储介质及计算机设备 |
| CN114866276A (zh) * | 2022-03-21 | 2022-08-05 | 杭州薮猫科技有限公司 | 异常传输文件的终端检测方法、装置、存储介质及设备 |
| CN117596223A (zh) * | 2024-01-18 | 2024-02-23 | 北京亿赛通科技发展有限责任公司 | 即时通讯软件客户端外发消息管控方法、装置及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005004888A (ja) * | 2003-06-12 | 2005-01-06 | Shinano Kenshi Co Ltd | 光ディスク装置制御プログラムおよびホストコンピュータ |
| CN102904774A (zh) * | 2012-09-28 | 2013-01-30 | 用友软件股份有限公司 | 终端、服务器和服务器性能测试方法 |
| CN103209174A (zh) * | 2013-03-12 | 2013-07-17 | 华为技术有限公司 | 一种数据防护方法、装置及系统 |
| CN103368904A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 移动终端、可疑行为检测及判定系统和方法 |
| CN105553956A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 一种基于敏感信息识别的邮件阻断方法和装置 |
| CN106453448A (zh) * | 2015-08-06 | 2017-02-22 | 北京奇虎科技有限公司 | 用于下载目标文件的方法及装置 |
| CN109218168A (zh) * | 2018-09-26 | 2019-01-15 | 江苏神州信源系统工程有限公司 | 敏感邮件信息的阻断方法和装置 |
-
2019
- 2019-10-25 CN CN201911024289.XA patent/CN112711770A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005004888A (ja) * | 2003-06-12 | 2005-01-06 | Shinano Kenshi Co Ltd | 光ディスク装置制御プログラムおよびホストコンピュータ |
| CN103368904A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 移动终端、可疑行为检测及判定系统和方法 |
| CN102904774A (zh) * | 2012-09-28 | 2013-01-30 | 用友软件股份有限公司 | 终端、服务器和服务器性能测试方法 |
| CN103209174A (zh) * | 2013-03-12 | 2013-07-17 | 华为技术有限公司 | 一种数据防护方法、装置及系统 |
| CN106453448A (zh) * | 2015-08-06 | 2017-02-22 | 北京奇虎科技有限公司 | 用于下载目标文件的方法及装置 |
| CN105553956A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 一种基于敏感信息识别的邮件阻断方法和装置 |
| CN109218168A (zh) * | 2018-09-26 | 2019-01-15 | 江苏神州信源系统工程有限公司 | 敏感邮件信息的阻断方法和装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113343227A (zh) * | 2021-06-28 | 2021-09-03 | 深信服科技股份有限公司 | 一种泄密行为识别方法、装置、设备、介质 |
| CN113704752A (zh) * | 2021-08-31 | 2021-11-26 | 上海观安信息技术股份有限公司 | 数据泄露行为的检测方法、装置、计算机设备及存储介质 |
| CN113704752B (zh) * | 2021-08-31 | 2024-01-26 | 上海观安信息技术股份有限公司 | 数据泄露行为的检测方法、装置、计算机设备及存储介质 |
| CN114626074A (zh) * | 2022-02-16 | 2022-06-14 | 杭州薮猫科技有限公司 | 一种防护数据泄漏的方法、装置、存储介质及计算机设备 |
| CN114866276A (zh) * | 2022-03-21 | 2022-08-05 | 杭州薮猫科技有限公司 | 异常传输文件的终端检测方法、装置、存储介质及设备 |
| CN114866276B (zh) * | 2022-03-21 | 2024-06-11 | 杭州薮猫科技有限公司 | 异常传输文件的终端检测方法、装置、存储介质及设备 |
| CN117596223A (zh) * | 2024-01-18 | 2024-02-23 | 北京亿赛通科技发展有限责任公司 | 即时通讯软件客户端外发消息管控方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11895125B2 (en) | Method and system for forensic data tracking | |
| US12052272B2 (en) | Forensic analysis of computing activity | |
| CN112711770A (zh) | 敏感行为阻断方法、装置、终端及存储介质 | |
| US10896254B2 (en) | Sandbox environment for document preview and analysis | |
| EP3128459B1 (en) | System and method of utilizing a dedicated computer security service | |
| US9063964B2 (en) | Detecting application harmful behavior and grading application risks for mobile devices | |
| US9268935B2 (en) | Smart containerization of mobile computing device resources | |
| WO2018188558A1 (zh) | 账号权限的识别方法及装置 | |
| WO2015096695A1 (zh) | 一种应用程序的安装控制方法、系统及装置 | |
| US8819833B2 (en) | Assured pipeline threat detection | |
| US20200242269A1 (en) | Incident-Driven Introspection For Data Loss Prevention | |
| US10540637B2 (en) | Intelligent, context-based delivery of sensitive email content to mobile devices | |
| CN105550593A (zh) | 一种基于局域网的云盘文件监控方法和装置 | |
| US20220232015A1 (en) | Preventing cloud-based phishing attacks using shared documents with malicious links | |
| KR102475738B1 (ko) | 서버 및 이의 보안 환경에서 사용자 단말 장치의 접속을 지원하는 방법 | |
| CN111641610A (zh) | 远程响应和远程控制方法、装置、设备及存储介质 | |
| CN108875393B (zh) | 客户端数据被截屏的安全实现方法、装置及介质 | |
| CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
| US20240111513A1 (en) | Pausing automatic software updates of virtual machines | |
| CN111181914A (zh) | 一种局域网内部数据安全监控方法、装置、系统和服务器 | |
| CN111241547A (zh) | 一种越权漏洞的检测方法、装置及系统 | |
| CN113596600B (zh) | 直播嵌入程序的安全管理方法、装置、设备及存储介质 | |
| KR102372541B1 (ko) | Ics 통합 보안 관리 시스템 및 방법 | |
| CN113190861A (zh) | SonarQube项目操作权限配置方法及装置 | |
| CN108664802B (zh) | 一种敏感数据保护的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |