CN113132297A - 数据泄露的检测方法及装置 - Google Patents

数据泄露的检测方法及装置 Download PDF

Info

Publication number
CN113132297A
CN113132297A CN201911393401.7A CN201911393401A CN113132297A CN 113132297 A CN113132297 A CN 113132297A CN 201911393401 A CN201911393401 A CN 201911393401A CN 113132297 A CN113132297 A CN 113132297A
Authority
CN
China
Prior art keywords
data
behavior
terminal
leakage
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911393401.7A
Other languages
English (en)
Other versions
CN113132297B (zh
Inventor
郭卓越
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Gridsum Technology Co Ltd
Original Assignee
Beijing Gridsum Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Gridsum Technology Co Ltd filed Critical Beijing Gridsum Technology Co Ltd
Priority to CN201911393401.7A priority Critical patent/CN113132297B/zh
Publication of CN113132297A publication Critical patent/CN113132297A/zh
Application granted granted Critical
Publication of CN113132297B publication Critical patent/CN113132297B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种数据泄露的检测方法及装置,获取终端在发送数据时的终端行为以及数据内容;判断所述终端行为是否为异常行为,并得到第一识别结果;确定所述数据内容是否包含敏感数据,并得到第二识别结果;根据所述第一识别结果和所述第二识别结果,确定所述终端的数据泄露分析结果。在进行终端发送数据分析时,从终端行为和数据内容两个方面进行了分析,相比于仅从数据内容方面分析,降低了泄露行为误报、漏报的概率,从而减少了终端的误报、漏报行为,即减少了终端检测数据泄露的无效分析行为,进而提高了终端识别数据泄露的准确度。

Description

数据泄露的检测方法及装置
技术领域
本发明涉及数据泄露检测领域,更具体的说,涉及一种数据泄露的检测方法及装置。
背景技术
企业在运维过程中,会对企业的重要数据,如商业秘密、商业合同等内容进行重点保护。为了避免企业的重要数据的泄露,设置了终端数据防泄露系统,可以对用户发送数据的数据内容进行检测,检测发送的数据内容中是否存在一些敏感信息,如银行卡号、身份证号等等。但是仅从数据内容进行数据泄露检测,泄露行为误报、漏报概率较大,进而终端的数据泄露的无效分析行为较多,终端识别数据泄露的准确度较低。
发明内容
鉴于上述问题,本发明提供一种克服上述问题或者至少部分地解决上述问题的一种数据泄露的检测方法及装置。
一种数据泄露的检测方法,包括:
获取终端在发送数据时的终端行为以及数据内容;
判断所述终端行为是否为异常行为,并得到第一识别结果;
确定所述数据内容是否包含敏感数据,并得到第二识别结果;
根据所述第一识别结果和所述第二识别结果,确定所述终端的数据泄露分析结果。
可选地,判断所述终端行为是否为异常行为,并得到第一识别结果,包括:
获取行为分析维度,以及所述行为分析维度对应的参考基准数据;所述行为分析维度包括以下至少一种:数据发送方式、协议类型、数据文件类型、数据内容大小、数据接收对象和数据发送时间;
从所述终端行为中获取所述行为分析维度对应的实际数据;
对所述行为分析维度对应的实际数据以及所述参考基准数据进行比较,得到所述行为分析维度对应的偏离度;
依据所述行为分析维度对应的偏离度,确定所述终端行为对应的异常分值;
获取所述参考基准数据对应的参考基准分值范围;
若所述终端行为对应的异常分值未落入相应的参考基准分值范围内,则确定所述第一识别结果为异常行为;
若所述终端行为对应的异常分值落入相应的参考基准分值范围内,则确定所述第一识别结果为非异常行为。
可选地,所述行为分析维度对应的参考基准数据的生成过程包括:
获取所述终端在所述行为分析维度下的历史行为数据;所述历史行为数据为非异常行为数据;
对所述历史行为数据进行数据聚类操作,得到所述行为分析维度对应的参考基准数据;所述数据聚类操作包括数据统计、核密度算法或频繁项集算法。
可选地,确定所述数据内容是否包含敏感数据,并得到第二识别结果,包括:
获取内容审计规则;所述内容审计规则用于识别敏感数据;
依据所述内容审计规则,从所述数据内容中查找是否存在所述敏感数据;
若存在,则确定所述第二识别结果为发生数据内容泄露;
若不存在,则确定所述第二识别结果为未发生数据内容泄露。
可选地,根据所述第一识别结果和所述第二识别结果,确定所述终端的数据泄露分析结果,包括:
若所述第一识别结果为异常行为、且所述第二识别结果为发生数据内容泄露,则确定所述终端的数据泄露分析结果为数据泄露风险达到第一风险等级;
若所述第一识别结果为异常行为、且所述第二识别结果为未发生数据内容泄露,则确定所述终端的数据泄露分析结果为数据泄露风险达到第二风险等级;所述第一风险等级高于所述第二风险等级。
可选地,在所述确定所述终端的数据泄露分析结果为数据泄露风险到第二风险等级之后,还包括:
重新确定所述数据内容是否包含敏感数据,和/或,重新确定所述终端的数据泄露分析结果。
一种数据泄露的检测装置,包括:
数据获取模块,用于获取终端在发送数据时的终端行为以及数据内容;
判断模块,用于判断所述终端行为是否为异常行为,并得到第一识别结果;
确定模块,用于确定所述数据内容是否包含敏感数据,并得到第二识别结果;
泄露分析模块,用于根据所述第一识别结果和所述第二识别结果,确定所述终端的数据泄露分析结果。
可选地,所述判断模块包括:
数据获取子模块,用于获取行为分析维度,以及所述行为分析维度对应的参考基准数据;所述行为分析维度包括以下至少一种:数据发送方式、协议类型、数据文件类型、数据内容大小、数据接收对象和数据发送时间;
数据分析子模块,用于从所述终端行为中获取所述行为分析维度对应的实际数据;
比对子模块,用于对所述行为分析维度对应的实际数据以及所述参考基准数据进行比较,得到所述行为分析维度对应的偏离度;
分值确定子模块,用于依据所述行为分析维度对应的偏离度,确定所述终端行为对应的异常分值;
基准值获取子模块,用于获取所述参考基准数据对应的参考基准分值范围;
异常确定子模块,用于若所述终端行为对应的异常分值未落入相应的参考基准分值范围内,则确定所述第一识别结果为异常行为;若所述终端行为对应的异常分值落入相应的参考基准分值范围内,则确定所述第一识别结果为非异常行为。
一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行上述的数据泄露的检测方法。
一种电子设备,包括至少一个处理器、以及与所述处理器连接的总线和至少一个存储器;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行上述的数据泄露的检测方法。
借由上述技术方案,本发明提供的一种数据泄露的检测方法及装置,在进行终端发送数据时,从终端行为和数据内容两个方面进行了分析,相比于仅从数据内容方面分析,降低了泄露行为误报、漏报的概率,从而减少了终端的误报、漏报行为,即减少了终端检测数据泄露的无效分析行为,进而提高了终端识别数据泄露的准确度。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种终端应用的场景示意图;
图2示出了本发明实施例提供的一种数据泄露的检测方法的方法流程图;
图3示出了本发明实施例提供的另一种数据泄露的检测方法的方法流程图;
图4示出了本发明实施例提供的一种数据泄露的检测装置的结构示意图;
图5示出了本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种数据泄露的检测方法,参照图1,该检测方法可以应用于设置在终端,如手机、电脑、个人计算机PC等中的终端数据防泄露系统。此外,该检测检测方法也可以应用于与终端相连接的统一管理平台&用户异常行为分析平台,此时终端采集的数据输出至统一管理平台&用户异常行为分析平台进行分析。统一管理平台&用户异常行为分析平台可以连接不同网段的终端,可以实现多个终端的数据泄露分析。该检测方法具体应用于哪一设备,依据具体使用场景来定。下述实施例均以应用于统一管理平台&用户异常行为分析平台为进行数据泄露检测的执行端为例进行举例说明。终端数据防泄露系统,也可以是终端数据防泄露软件,是基于内容的敏感信息识别过滤的数据保护产品,从文档打印、移动介质拷贝、光盘刻录、网络外发等途径对数据流出方向进行实时管控,扫描发现处置磁盘上存储的敏感信息,防止敏感数据泄露,保护用户数据安全。其中,敏感信息可以是商业秘密、商业合同编号、指纹、银行卡号、项目名称等等。终端数据防泄露系统通过中心管理平台统一管理终端的策略和参数,基于内容识别和策略匹配技术对终端存储和外发的敏感信息进行管控,但存在过于依赖统一下发的监控策略,仅能从内容维度对用户的数据存储和流转进行监测和管控等问题。
在此基础上,本发明实施例对数据泄露的检测方法做进一步的改进,可以从用户行为和内容识别两个方面进行数据泄露的检测。具体的,参照图1,数据泄露的检测方法可以包括:
S11、获取终端在发送数据时的终端行为以及数据内容。
通过终端数据防泄露软件采集终端的IP地址、终端的唯一标识ID号、终端网卡的MAC地址等能够唯一标识该用户组织机构信息的数据。
其中,发送数据既可以为向外网发送数据(简称外发数据),也可以为在内网中进行数据发送,在本申请文件中主要以外发数据进行解释,凡涉及外发数据之处,可以认为也适用于内网发送数据。终端外发数据行为实质上体现了用户的外发数据行为,用户控制终端进行外发数据操作。终端数据防泄露软件采集用户行为数据,具体包括数据发送方式(打印、U盘拷贝、刻录、邮件发送、网络共享拷贝、IM发送、浏览器上传)、协议类型(包括FTP协议、HTTP协议、SMTP协议等)、数据文件类型、数据内容大小、数据接收对象和数据发送时间等,并发送到用户异常行为分析平台。其中,数据文件类型包括word、PDF、Excel等类型。数据内容大小是指数据内容的大小,如10M等等。数据接收对象是指该数据内容被发送到哪里,如发送到一个公共邮箱或一个私人邮箱等等。
如晚上10点发送了一个包括10M的word文档使用的协议为SMTP协议的邮件给用户A,则数据发送方式为邮件发送,协议类型为SMTP协议,数据文件类型为word,数据内容大小为10M,数据接收对象为用户A,数据发送时间为晚上10点。
用户外发的数据内容可以通过终端数据防泄露系统进行采集,并发送至用户异常行为分析平台。
S12、判断所述终端行为是否为异常行为,并得到第一识别结果。
其中,异常行为表征存在数据泄露行为,即从用户行为角度分析是否存在数据泄露。
S13、确定所述数据内容是否包含敏感数据,并得到第二识别结果。
本实施例中,从用户行为和数据内容两个方面进行了数据泄露的分析,步骤S12是从用户行为方面进行分析,步骤S13是从数据内容方面进行分析。步骤S12是分析该终端行为,也即用户行为是否为数据泄露行为。
步骤S13的具体实现过程为:
1)获取内容审计规则;所述内容审计规则用于识别敏感数据。
2)依据所述内容审计规则,从所述数据内容中查找是否存在所述敏感数据。
3)若存在,则确定所述第二识别结果为发生数据内容泄露;若不存在,则确定所述第二识别结果为未发生数据内容泄露。
在实际应用中,为了从数据内容方面进行数据泄露分析,预先设定了一些预设泄露数据,也即敏感数据,敏感数据指的是关键词、正则表达式、数据标识符、结构化指纹、非结构化指纹等数据。如可以是上述的商业秘密、商业合同编号、指纹、银行卡号、项目名称等等,依据这些敏感数据建成内容审计规则。
然后依据该内容审计规则,查询数据内容,确定其是否包括敏感数据,若不包括,则用户行为未存在数据泄露行为,即未发生数据内容泄露,若包括,则用户行为存在数据泄露行为,即发生数据内容泄露。
举例来说,今天签署了一份商业合同,合同编号为“123456789”,然后晚上有人外发一封邮件,邮件中的word的内容包括“123456789”,则认为发送邮件的人存在数据泄露行为。
S14、根据所述第一识别结果和所述第二识别结果,确定所述终端的数据泄露分析结果。
从用户行为和数据内容两个方面进行了数据泄露的分析,分别得到第一识别结果和第二识别结果,然后就可以基于第一识别结果和所述第二识别结果,来确定所述终端的数据泄露分析结果。
详细来说,若所述第一识别结果为异常行为、且所述第二识别结果为数据内容泄露,则说明用户很有可能在泄露数据,此时确定所述终端的数据泄露分析结果为数据泄露风险达到第一风险等级。
本实施例中,根据数据泄露风险的高低预先设定了多个风险等级,如第一风险等级、第二风险等级、第三风险等级等等。不同的风险等级表征数据泄露的风险程度不同,第一风险等级、第二风险等级、第三风险等级的数据泄露风险程度依次递减。
在确定了所述终端的数据泄露分析结果为数据泄露风险达到第一风险等级之后,还可以输出表征第一风险等级的第一标识,进而技术人员可以根据第一标识知道本次用户外发数据的数据泄露等级。并且,该用户事件会被标记成高危事件,进而有效提升系统审计准确率,降低误报率。
若所述第一识别结果为异常行为、且所述第二识别结果为未发生数据内容泄露,则说明用户有可能在泄露数据,确定所述终端的数据泄露分析结果为数据泄露风险达到第二风险等级;所述第一风险等级高于所述第二风险等级。
此时,由于从用户行为和数据内容两个方面分析得到的结果不同,从用户行为角度分析出存在数据泄露风险,但是从数据内容角度未发现泄露风险,则此时可以重新确定所述数据内容是否包含敏感数据,即再次确认是否包括敏感数据,以剔除由于设备运行不稳定而带来的敏感数据识别结果不准确的情况出现。此外,还可以更换敏感策略信息的内容,以进行更精准的识别。
另外,也可以人工重新确定所述终端外发数据的数据泄露分析结果。也可以是用户异常行为分析平台再次确认终端外发数据的数据泄露分析结果,来得到第二次的数据泄露分析结果。上述两种方式可以择一执行,也可以都执行,对此不做限定。
综上所述,对于同一外发事件,如果命中了内容审计策略且同时被系统判定为行为异常,则该条事件会被标记为高危事件,有效提升系统审计准确率,降低误报率。
如果某外发事件没有命中内容审计策略,但是被标记为异常行为的,会被重新审计,防止漏报情况发生。
本实施例中,在进行终端发送数据时,从终端行为和数据内容两个方面进行了分析,相比于仅从数据内容方面分析,降低了泄露行为误报、漏报的概率,从而减少了终端的误报、漏报行为,即减少了终端检测数据泄露的无效分析行为,进而提高了终端识别数据泄露的准确度。其中,该方案不仅可用于向外部发送数据时使用,另外,也可以将用户异常行为分析技术应用到企业内网终端用户数据防泄露系统,提高企业内网用户数据泄露防护的识别准确度,降低误报率。
上述提及了“判断所述终端行为是否为异常行为,并得到第一识别结果”,现对其具体实现过程进行分析。参照图3,可以包括:
S21、获取行为分析维度,以及所述行为分析维度对应的参考基准数据。
所述行为分析维度包括以下至少一种:数据发送方式、协议类型、数据文件类型、数据内容大小、数据接收对象和数据发送时间。数据发送方式、所述数据内容类型、所述数据内容大小以及所述数据接收对象、数据发送时间已经在上述实施例中进行了介绍,请参照上述实施例中的内容。
在实际应用中,需要提前构建行为分析维度对应的参考基准数据,具体构建过程可以是:
获取所述终端在所述行为分析维度下的历史行为数据,对所述历史行为数据进行数据统计或数据聚类操作,得到所述行为分析维度对应的参考基准数据。其中,数据聚类操作可以包括数据统计、核密度算法或频繁项集算法。
具体的,可以采集该用户使用该终端的历史一个月的数据,即历史行为数据,该所述历史行为数据为非异常行为数据,也就是采集的不具有数据泄露现象的用户的历史数据,这样才可以建立行为基准。
采集的数据可以包括:数据发送方式(打印、U盘拷贝、刻录、邮件发送、网络共享拷贝、IM(Instant Messaging,即时通信系统,常见IM软件有QQ、微信、钉钉等)发送、浏览器上传)、数据文件类型、数据内容大小、协议类型、数据接收对象、数据发送时间等维度,分别建立行为基线。
建立行为基线的过程,即是数据聚类或数据统计的过程,具体的,可以采用数据统计、核密度估计算法或者频繁项集等聚类方法实现。
数据统计算法是基于数据发送时间、数据发送方式、数据文件类型、数据内容大小、协议类型、数据接收对象等维度分别建立概率模型,然后计算出本次数据外发行为属于正常行为的概率。
核密度算法是一种从数据样本本身出发研究数据分布特征的方法。根据数据样本的分布,计算出数据的分布函数。
频繁项集算法是一种寻找数据集中项与项之间紧密联系程度的算法。根据支持度与置信度寻找关系紧密的多项组合。使用FP-growth算法(Frequent-Pattern Growth),是一个同FP树优化的频繁项集算法,能够极大的减小训练开销。
通过上述的数据聚类,可以得到行为分析维度对应的参考基准数据,该参考基准数据实质上体现了用户的在正常行为,也即用户在正常工作、非数据泄露的行为。举例来说,用户外发数据一般采用邮件发送和IM发送两种方式,并且时间基本在8.30-17.30。外发数据的内容类型一般是word、Excel和PPT,外发数据的大小一般是10M之内等等。
S22、从所述终端行为中获取得到所述行为分析维度对应的实际数据。
具体的,每一行为分析维度对应的实际数据,也即上述的该终端外发数据时的所述数据发送方式、所述数据文件类型、以及所述数据内容大小、协议类型、数据接收对象以及数据发送时间,如晚上10点发送了一个包括10M的word文档使用的协议为SMTP协议的邮件给用户A,则数据发送方式为邮件发送,数据文件类型为word,数据内容大小为10M,数据接收对象为A,协议类型为SMTP协议,数据发送时间为晚上10点。
S23、对所述行为分析维度对应的实际数据以及所述参考基准数据进行比较,得到所述行为分析维度对应的偏离度。
在实际应用中,行为分析维度可以是上述的一种或多种,对于每一种行为分析维度,将用户的实际数据和参考基准数据进行匹配比较,得到偏离度。偏离度可以分为0和1,若实际数据在参考基准数据内,则偏离度为0,若实际数据未在参考基准数据内,则偏离度为1。
并且,每一种行为分析维度可以设置其权重,如数据发送时间的权重为0.5,数据内容大小的权重为0.4。设置权重是因为不同的行为对数据泄露的影响不同,所以为每一行为分析维度设置其对应的权重,权重值可以是技术人员根据实际情况依据经验确定。
S24、依据所述行为分析维度对应的偏离度,确定所述终端行为对应的异常分值。
本实施例中,将各个所述行为分析维度对应的偏离度与权重值相乘后相加,即可得到所述终端行为对应的异常分值。
S25、获取所述参考基准数据对应的参考基准分值范围。
本实施例中的,参考基准数据对应的参考基准分值范围是技术人员根据使用的场景确定的。
S26、判断终端行为对应的异常分值是否落入相应的参考基准分值范围内;若是,执行步骤S27;若否,执行步骤S28。
S27、确定所述第一识别结果为非异常行为。
S28、确定所述第一识别结果为异常行为。
在实际应用中,得到终端行为对应的异常分值后,分数越高,行为越异常,若所述终端行为对应的异常分值未在相应的参考基准分值范围内,即超出了正常范围,则确定所述第一识别结果为异常行为。若所述终端行为对应的异常分值在相应的参考基准分值范围内,即未超出正常范围,则确定所述第一识别结果为非异常行为。
仍以上述例子为例,在晚上10点发送了一个包括20M的word文档使用的协议为HTTP协议的邮件给用户A,则数据发送方式为邮件发送,数据文件类型为word,数据内容大小为20M,协议类型为HTTP协议,数据发送时间为晚上10点。
参考基准数据是:用户外发数据一般采用邮件发送和IM发送两种方式,外发数据的内容类型一般是word、Excel和PPT,外发数据的大小一般是10M之内,协议类型为SMTP协议,数据发送时间为8.30-17.30。
数据发送方式为邮件发送,在邮件发送和IM发送两种方式内,行为正常,即异常分值为0,设定权重为0.2。
数据文件类型为word,在word、Excel和PPT内,行为正常,即异常分值为0,设定权重为0.2。
邮件发送时间为晚上10点,未在8.30-17.30内。因此,数据发送时间异常,异常分值为1,假设该数据发送时间的预设权重系数为0.5。
数据内容大小异常,异常分值为1,假设该数据内容大小的预设权重系数为0.4。
同理,协议类型也异常,异常分值为1,假设该协议类型的预设权重系数为0.4。
该用户行为的异常分值为0*0.2+0*0.2+1*0.5+1*0.4+1*0.4=1.3,假设预设的正常行为分值范围为小于0.7,则确定该用户的行为是异常行为。
上述即为通过用户行为进行数据泄露行为的分析,将用户行为的分析结果与数据内容的分析结果结合,即可得到最终的数据泄露结果。
本实施例中,通过终端数据防泄露系统采集用户的行为数据,从终端活动时间、数据发送方式(打印、U盘共享拷贝、刻录、邮件发送、网络拷贝、IM发送、浏览器上传)、数据文件类型、数据内容大小、协议类型、数据接收对象以及数据发送时间维度对用户行为进行智能化分析和挖掘,有效解决内容审计维度单一,漏报、误报率高的问题,更加全面、有效的保护企业数据安全,及时发现内部人员有意或者无意的泄露企业的数据资产的行为。另外,通过终端用户的历史行为数据构建针对每个用户多维度行为基线,将当前用户的行为数据与该用户的行为基线进行比较,从而判断出当前用户行为是否异常。
可选地,在上述数据泄露的检测方法的实施例的基础上,本发明的另一实施例提供了一种数据泄露的检测,参照图4,可以包括:
数据获取模块11,用于获取终端在发送数据时的终端行为以及数据内容;
判断模块12,用于判断所述终端行为是否为异常行为,并得到第一识别结果;
确定模块13,用于确定所述数据内容是否包含敏感数据,并得到第二识别结果;
泄露分析模块14,用于根据所述第一识别结果和所述第二识别结果,确定所述终端的数据泄露分析结果。
进一步,所述确定模块包括:
规则获取子模块,用于获取内容审计规则;所述内容审计规则用于识别敏感数据;
数据查找子模块,用于依据所述内容审计规则,从所述数据内容中查找是否存在所述敏感数据;
泄露分析子模块,用于若存在,则确定所述第二识别结果为发生数据内容泄露,若不存在,则确定所述第二识别结果为未发生数据内容泄露。
进一步,泄露分析模块用于根据所述第一识别结果和所述第二识别结果,确定所述终端的数据泄露分析结果时,具体用于:
若所述第一识别结果为异常行为、且所述第二识别结果为发生数据内容泄露,则确定所述终端的数据泄露分析结果为数据泄露风险达到第一风险等级;
若所述第一识别结果为异常行为、且所述第二识别结果为未发生数据内容泄露,则确定所述终端的数据泄露分析结果为数据泄露风险达到第二风险等级;所述第一风险等级高于所述第二风险等级。
进一步,还包括:
重新确定所述数据内容是否包含敏感数据,和/或,重新确定所述终端的数据泄露分析结果。
本实施例中,在进行终端发送数据时,从终端行为和数据内容两个方面进行了分析,相比于仅从数据内容方面分析,降低了泄露行为误报、漏报的概率,从而减少了终端的误报、漏报行为,即减少了终端检测数据泄露的无效分析行为,进而提高了终端识别数据泄露的准确度。另外,可以将用户异常行为分析技术应用到企业内网终端用户数据防泄露系统,提高企业内网用户数据泄露防护的识别准确度,降低误报率。
需要说明的是,本实施例中的各个模块和子模块的工作过程,请参照上述实施例中的相应说明,在此不再赘述。
在上述实施例的基础上,所述判断模块包括:
数据获取子模块,用于获取行为分析维度,以及所述行为分析维度对应的参考基准数据;所述行为分析维度包括以下至少一种:数据发送方式、协议类型、数据文件类型、数据内容大小、数据接收对象和数据发送时间;
数据分析子模块,用于从所述终端行为中获取所述行为分析维度对应的实际数据;
比对子模块,用于对所述行为分析维度对应的实际数据以及所述参考基准数据进行比较,得到所述行为分析维度对应的偏离度;
分值确定子模块,用于依据所述行为分析维度对应的偏离度,确定所述终端行为对应的异常分值;
基准值获取子模块,用于获取所述参考基准数据对应的参考基准分值范围;
异常确定子模块,用于若所述终端行为对应的异常分值未落入相应的参考基准分值范围内,则确定所述第一识别结果为异常行为;若所述终端行为对应的异常分值落入相应的参考基准分值范围内,则确定所述第一识别结果为非异常行为。
进一步,还包括基准数据生成模块,所述基准数据生成模块用于:
获取所述终端在所述行为分析维度下的历史行为数据;所述历史行为数据为非异常行为数据,对所述历史行为数据进行数据聚类操作,得到所述行为分析维度对应的参考基准数据;所述数据聚类操作包括数据统计、核密度算法或频繁项集算法。
本实施例中,通过终端数据防泄露系统采集用户的行为数据,从终端活动时间、数据发送方式(打印、U盘共享拷贝、刻录、邮件发送、网络拷贝、IM发送、浏览器上传)、数据文件类型、数据内容大小、协议类型、数据接收对象以及数据发送时间维度对用户行为进行智能化分析和挖掘,有效解决内容审计维度单一,漏报、误报率高的问题,更加全面、有效的保护企业数据安全,及时发现内部人员有意或者无意的泄露企业的数据资产的行为。另外,通过终端用户的历史行为数据构建针对每个用户多维度行为基线,将当前用户的行为数据与该用户的行为基线进行比较,从而判断出当前用户行为是否异常。
需要说明的是,本实施例中的各个模块和子模块的工作过程,请参照上述实施例中的相应说明,在此不再赘述。
所述数据泄露的检测装置包括处理器和存储器,上述数据获取模块、判断模块、确定模块和泄露分析模块等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来提高企业内网用户数据泄露防护的识别准确度。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述数据泄露的检测方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述数据泄露的检测方法。
本发明实施例提供了一种设备70,参照图5,设备70包括至少一个处理器701、以及与处理器连接的总线703和至少一个存储器702;其中,处理器701、存储器702通过总线703完成相互间的通信;处理器701用于调用存储器702中的程序指令,以执行上述的数据泄露的检测方法。本文中的设备70可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:
一种数据泄露的检测方法,包括:
获取终端在发送数据时的终端行为以及数据内容;
判断所述终端行为是否为异常行为,并得到第一识别结果;
确定所述数据内容是否包含敏感数据,并得到第二识别结果;
根据所述第一识别结果和所述第二识别结果,确定所述终端的数据泄露分析结果。
进一步,判断所述终端行为是否为异常行为,并得到第一识别结果,包括:
获取行为分析维度,以及所述行为分析维度对应的参考基准数据;所述行为分析维度包括以下至少一种:数据发送方式、协议类型、数据文件类型、数据内容大小、数据接收对象和数据发送时间;
从所述终端行为中获取所述行为分析维度对应的实际数据;
对所述行为分析维度对应的实际数据以及所述参考基准数据进行比较,得到所述行为分析维度对应的偏离度;
依据所述行为分析维度对应的偏离度,确定所述终端行为对应的异常分值;
获取所述参考基准数据对应的参考基准分值范围;
若所述终端行为对应的异常分值未落入相应的参考基准分值范围内,则确定所述第一识别结果为异常行为;
若所述终端行为对应的异常分值落入相应的参考基准分值范围内,则确定所述第一识别结果为非异常行为。
进一步,所述行为分析维度对应的参考基准数据的生成过程包括:
获取所述终端在所述行为分析维度下的历史行为数据;所述历史行为数据为非异常行为数据;
对所述历史行为数据进行数据聚类操作,得到所述行为分析维度对应的参考基准数据;所述数据聚类操作包括数据统计、核密度算法或频繁项集算法。
进一步,确定所述数据内容是否包含敏感数据,并得到第二识别结果,包括:
获取内容审计规则;所述内容审计规则用于识别敏感数据;
依据所述内容审计规则,从所述数据内容中查找是否存在所述敏感数据;
若存在,则确定所述第二识别结果为发生数据内容泄露;
若不存在,则确定所述第二识别结果为未发生数据内容泄露。
进一步,根据所述第一识别结果和所述第二识别结果,确定所述终端的数据泄露分析结果,包括:
若所述第一识别结果为异常行为、且所述第二识别结果为发生数据内容泄露,则确定所述终端的数据泄露分析结果为数据泄露风险达到第一风险等级;
若所述第一识别结果为异常行为、且所述第二识别结果为未发生数据内容泄露,则确定所述终端的数据泄露分析结果为数据泄露风险达到第二风险等级;所述第一风险等级高于所述第二风险等级。
进一步,在所述确定所述终端的数据泄露分析结果为数据泄露风险到第二风险等级之后,还包括:
重新确定所述数据内容是否包含敏感数据,和/或,重新确定所述终端的数据泄露分析结果。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
在一个典型的配置中,设备包括一个或多个处理器(CPU)、存储器和总线。设备还可以包括输入/输出接口、网络接口等。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种数据泄露的检测方法,其特征在于,包括:
获取终端在发送数据时的终端行为以及数据内容;
判断所述终端行为是否为异常行为,并得到第一识别结果;
确定所述数据内容是否包含敏感数据,并得到第二识别结果;
根据所述第一识别结果和所述第二识别结果,确定所述终端的数据泄露分析结果。
2.根据权利要求1所述的检测方法,其特征在于,判断所述终端行为是否为异常行为,并得到第一识别结果,包括:
获取行为分析维度,以及所述行为分析维度对应的参考基准数据;所述行为分析维度包括以下至少一种:数据发送方式、协议类型、数据文件类型、数据内容大小、数据接收对象和数据发送时间;
从所述终端行为中获取所述行为分析维度对应的实际数据;
对所述行为分析维度对应的实际数据以及所述参考基准数据进行比较,得到所述行为分析维度对应的偏离度;
依据所述行为分析维度对应的偏离度,确定所述终端行为对应的异常分值;
获取所述参考基准数据对应的参考基准分值范围;
若所述终端行为对应的异常分值未落入相应的参考基准分值范围内,则确定所述第一识别结果为异常行为;
若所述终端行为对应的异常分值落入相应的参考基准分值范围内,则确定所述第一识别结果为非异常行为。
3.根据权利要求2所述的检测方法,其特征在于,所述行为分析维度对应的参考基准数据的生成过程包括:
获取所述终端在所述行为分析维度下的历史行为数据;所述历史行为数据为非异常行为数据;
对所述历史行为数据进行数据聚类操作,得到所述行为分析维度对应的参考基准数据;所述数据聚类操作包括数据统计、核密度算法或频繁项集算法。
4.根据权利要求3所述的检测方法,其特征在于,确定所述数据内容是否包含敏感数据,并得到第二识别结果,包括:
获取内容审计规则;所述内容审计规则用于识别敏感数据;
依据所述内容审计规则,从所述数据内容中查找是否存在所述敏感数据;
若存在,则确定所述第二识别结果为发生数据内容泄露;
若不存在,则确定所述第二识别结果为未发生数据内容泄露。
5.根据权利要求4所述的检测方法,其特征在于,根据所述第一识别结果和所述第二识别结果,确定所述终端的数据泄露分析结果,包括:
若所述第一识别结果为异常行为、且所述第二识别结果为发生数据内容泄露,则确定所述终端的数据泄露分析结果为数据泄露风险达到第一风险等级;
若所述第一识别结果为异常行为、且所述第二识别结果为未发生数据内容泄露,则确定所述终端的数据泄露分析结果为数据泄露风险达到第二风险等级;所述第一风险等级高于所述第二风险等级。
6.根据权利要求5所述的检测方法,其特征在于,在所述确定所述终端的数据泄露分析结果为数据泄露风险到第二风险等级之后,还包括:
重新确定所述数据内容是否包含敏感数据,和/或,重新确定所述终端的数据泄露分析结果。
7.一种数据泄露的检测装置,其特征在于,包括:
数据获取模块,用于获取终端在发送数据时的终端行为以及数据内容;
判断模块,用于判断所述终端行为是否为异常行为,并得到第一识别结果;
确定模块,用于确定所述数据内容是否包含敏感数据,并得到第二识别结果;
泄露分析模块,用于根据所述第一识别结果和所述第二识别结果,确定所述终端的数据泄露分析结果。
8.根据权利要求7所述的检测装置,其特征在于,所述判断模块包括:
数据获取子模块,用于获取行为分析维度,以及所述行为分析维度对应的参考基准数据;所述行为分析维度包括以下至少一种:数据发送方式、协议类型、数据文件类型、数据内容大小、数据接收对象和数据发送时间;
数据分析子模块,用于从所述终端行为中获取所述行为分析维度对应的实际数据;
比对子模块,用于对所述行为分析维度对应的实际数据以及所述参考基准数据进行比较,得到所述行为分析维度对应的偏离度;
分值确定子模块,用于依据所述行为分析维度对应的偏离度,确定所述终端行为对应的异常分值;
基准值获取子模块,用于获取所述参考基准数据对应的参考基准分值范围;
异常确定子模块,用于若所述终端行为对应的异常分值未落入相应的参考基准分值范围内,则确定所述第一识别结果为异常行为;若所述终端行为对应的异常分值落入相应的参考基准分值范围内,则确定所述第一识别结果为非异常行为。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行如权利要求1-6中任一项所述的数据泄露的检测方法。
10.一种电子设备,其特征在于,包括至少一个处理器、以及与所述处理器连接的总线和至少一个存储器;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行权利要求1至6中任意一项所述的数据泄露的检测方法。
CN201911393401.7A 2019-12-30 2019-12-30 数据泄露的检测方法及装置 Active CN113132297B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911393401.7A CN113132297B (zh) 2019-12-30 2019-12-30 数据泄露的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911393401.7A CN113132297B (zh) 2019-12-30 2019-12-30 数据泄露的检测方法及装置

Publications (2)

Publication Number Publication Date
CN113132297A true CN113132297A (zh) 2021-07-16
CN113132297B CN113132297B (zh) 2023-04-18

Family

ID=76767611

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911393401.7A Active CN113132297B (zh) 2019-12-30 2019-12-30 数据泄露的检测方法及装置

Country Status (1)

Country Link
CN (1) CN113132297B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114430344A (zh) * 2022-01-24 2022-05-03 东北大学 基于工控流量和威胁情报关联分析的攻击组织识别方法
CN114513369A (zh) * 2022-04-18 2022-05-17 远江盛邦(北京)网络安全科技股份有限公司 基于深度报文检测的物联网行为分析方法及系统
CN114595271A (zh) * 2022-02-24 2022-06-07 贵州具京网络科技有限公司 一种大数据挖掘方法及系统
CN114884742A (zh) * 2022-06-02 2022-08-09 深圳市斑点猫软件有限公司 一种基于隐私计算技术的业务数据共享方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150242856A1 (en) * 2014-02-21 2015-08-27 International Business Machines Corporation System and Method for Identifying Procurement Fraud/Risk
CN107733834A (zh) * 2016-08-10 2018-02-23 中国移动通信集团甘肃有限公司 一种数据泄露防护方法及装置
CN108011809A (zh) * 2017-12-04 2018-05-08 北京明朝万达科技股份有限公司 基于用户行为和文档内容的数据防泄漏分析方法及系统
CN109525558A (zh) * 2018-10-22 2019-03-26 深信服科技股份有限公司 数据泄露检测方法、系统、装置及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150242856A1 (en) * 2014-02-21 2015-08-27 International Business Machines Corporation System and Method for Identifying Procurement Fraud/Risk
CN107733834A (zh) * 2016-08-10 2018-02-23 中国移动通信集团甘肃有限公司 一种数据泄露防护方法及装置
CN108011809A (zh) * 2017-12-04 2018-05-08 北京明朝万达科技股份有限公司 基于用户行为和文档内容的数据防泄漏分析方法及系统
CN109525558A (zh) * 2018-10-22 2019-03-26 深信服科技股份有限公司 数据泄露检测方法、系统、装置及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李涛等: "移动终端的多维度隐私泄露评估模型研究", 《计算机学报》, vol. 41, no. 9, 30 September 2018 (2018-09-30), pages 3 - 5 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114430344A (zh) * 2022-01-24 2022-05-03 东北大学 基于工控流量和威胁情报关联分析的攻击组织识别方法
CN114430344B (zh) * 2022-01-24 2022-09-30 东北大学 基于工控流量和威胁情报关联分析的攻击组织识别方法
CN114595271A (zh) * 2022-02-24 2022-06-07 贵州具京网络科技有限公司 一种大数据挖掘方法及系统
CN114595271B (zh) * 2022-02-24 2022-12-13 北京中数睿智科技有限公司 一种大数据挖掘方法及系统
CN114513369A (zh) * 2022-04-18 2022-05-17 远江盛邦(北京)网络安全科技股份有限公司 基于深度报文检测的物联网行为分析方法及系统
CN114513369B (zh) * 2022-04-18 2022-07-08 远江盛邦(北京)网络安全科技股份有限公司 基于深度报文检测的物联网行为分析方法及系统
CN114884742A (zh) * 2022-06-02 2022-08-09 深圳市斑点猫软件有限公司 一种基于隐私计算技术的业务数据共享方法及系统
CN114884742B (zh) * 2022-06-02 2024-03-29 深圳市斑点猫软件有限公司 一种基于隐私计算技术的业务数据共享方法及系统

Also Published As

Publication number Publication date
CN113132297B (zh) 2023-04-18

Similar Documents

Publication Publication Date Title
CN113132297B (zh) 数据泄露的检测方法及装置
CN110399925B (zh) 账号的风险识别方法、装置及存储介质
US9392463B2 (en) System and method for detecting anomaly in a handheld device
CN107169499B (zh) 一种风险识别方法及装置
CN108650225B (zh) 一种远程安全监测设备、系统及远程安全监测方法
CN104798079A (zh) 自动资产关键度评估
CN109299147B (zh) 数据库访问处理方法、装置、计算机设备和存储介质
CN109446768B (zh) 应用访问行为异常检测方法及系统
CN112003838A (zh) 网络威胁的检测方法、装置、电子装置和存储介质
CN116366374B (zh) 基于大数据的电网网络管理的安全评估方法、系统及介质
US20230418943A1 (en) Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same
CN111742309A (zh) 自动数据库查询负载评估和自适应处理
CN113553583A (zh) 信息系统资产安全风险评估方法与装置
CN111756745A (zh) 告警方法、告警装置及终端设备
CN114866296A (zh) 入侵检测方法、装置、设备及可读存储介质
CN115189937A (zh) 一种用于客户端数据的安全防护方法及装置
CN114969840A (zh) 数据防泄漏方法和装置
CN117609992A (zh) 一种数据泄密检测方法、装置及存储介质
CN117478433A (zh) 一种网络与信息安全动态预警系统
CN113051571B (zh) 一种误报漏洞的检测方法、装置及计算机设备
CN112565228A (zh) 一种客户端网络分析方法及装置
CN117035391A (zh) 风险识别方法以及装置
KR20090115496A (ko) 접근패턴 분석을 통한 개인정보 유출 시도의 실시간 탐지방법 및 시스템
CN115065512A (zh) 一种账号登录方法、系统、装置、电子设备以及存储介质
CN114428704A (zh) 全链路分布式监控的方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant