CN113285945A - 通信安全监控方法、装置、设备及存储介质 - Google Patents
通信安全监控方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113285945A CN113285945A CN202110546550.3A CN202110546550A CN113285945A CN 113285945 A CN113285945 A CN 113285945A CN 202110546550 A CN202110546550 A CN 202110546550A CN 113285945 A CN113285945 A CN 113285945A
- Authority
- CN
- China
- Prior art keywords
- data
- sensitive word
- ciphertext
- target communication
- communication terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例公开了一种通信安全监控方法、装置、设备及存储介质。其中,方法包括:获取目标通信终端生成的目标通信流量数据;获取目标通信流量数据中的密文数据,对密文数据进行敏感词匹配处理;在确定密文数据中包括敏感词密文数据的情况下,根据目标通信流量数据对目标通信终端进行安全治理处理;其中,敏感词密文数据为目标通信终端根据敏感词数据生成的。本发明实施例可以实现在无需对密文数据进行解密的情况下,对通信终端进行安全监控和治理,消除通信安全监控所面临的技术障碍,降低通信安全监控成本,同时确保通信数据的安全性和隐私性。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种通信安全监控方法、装置、设备及存储介质。
背景技术
随着网络通信技术的迅猛发展,出现越来越多的通信类应用程序。在通信安全领域,通信类应用程序所产生的流量数据备受关注,针对流量数据进行分析与研判以监控网络通信中的违法违规内容,成为通信安全监控的重要内容。在现有技术中,针对通信类应用程序流量数据的分析一般停留在明文数据截取,或基于简单预处理和加密规则匹配,实现对采用已知加密规则进行加密的部分密文数据解密。
然而,面对通信类应用程序所采用的愈发复杂、成熟的加密技术,现有的对密文数据解密的成本呈指数级增长,面临数据分析成本远超收益效果的尴尬境地;且面对成熟的商业化加密方案无法有效应对,几乎无法做到数据内容的全文解密,不能保证数据分析的服务质量;同时,密文数据解密技术需要针对不同应用程序做独立的开发,面对海量的通信类应用程序几乎无法做到并行应对,无法形成一套可移植可快速落地的技术方案。
发明内容
本发明实施例提供一种通信安全监控方法、装置、设备及存储介质,以实现在无需对密文数据进行解密的情况下,对通信终端进行安全监控和治理,消除通信安全监控所面临的技术障碍,降低通信安全监控成本,同时确保通信数据的安全性和隐私性。
第一方面,本发明实施例提供了一种通信安全监控方法,包括:
获取目标通信终端生成的目标通信流量数据;
获取所述目标通信流量数据中的密文数据,对所述密文数据进行敏感词匹配处理;
在确定所述密文数据中包括敏感词密文数据的情况下,根据所述目标通信流量数据对所述目标通信终端进行安全治理处理;其中,所述敏感词密文数据为所述目标通信终端根据敏感词数据生成的。
第二方面,本发明实施例还提供了一种通信安全监控装置,包括:
数据获取模块,用于获取目标通信终端生成的目标通信流量数据;
密文匹配模块,用于获取所述目标通信流量数据中的密文数据,对所述密文数据进行敏感词匹配处理;
安全治理模块,用于在确定所述密文数据中包括敏感词密文数据的情况下,根据所述目标通信流量数据对所述目标通信终端进行安全治理处理;其中,所述敏感词密文数据为所述目标通信终端根据敏感词数据生成的。
第三方面,本发明实施例还提供了一种计算机设备,所述计算机设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明任意实施例所提供的通信安全监控方法。
第四方面,本发明实施例还提供了一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明任意实施例所提供的通信安全监控方法。
本发明实施例通过获取目标通信终端生成的目标通信流量数据,并对该流量数据中的密文数据进行敏感词匹配处理,从而在确定该部分密文数据中包括敏感词密文数据的情况下,对目标通信终端进行安全治理处理,解决了现有技术中的密文解密过程对通信安全监控造成技术障碍以及高技术成本的问题,实现在无需对密文数据进行解密的情况下,对通信终端进行安全监控和治理,消除通信安全监控所面临的技术障碍,降低通信安全监控成本,同时确保通信数据的安全性和隐私性。
附图说明
图1为本发明实施例一提供的一种通信安全监控方法的流程图。
图2为本发明实施例二提供的一种通信安全监控方法的流程图。
图3为本发明实施例二提供的一种通信安全监控方法的流程示意图。
图4为本发明实施例二提供的一种密文数据获取及敏感词匹配处理的流程示意图。
图5为本发明实施例二提供的一种敏感词彩虹表生成方法的流程示意图。
图6为本发明实施例二提供的一种基于密文数据对目标通信终端进行通信安全监控的流程示意图。
图7为本发明实施例三提供的一种通信安全监控装置的结构示意图。
图8为本发明实施例四提供的一种计算机设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。
另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
实施例一
图1是本发明实施例一提供的一种通信安全监控方法的流程图,本实施例可适用于对通信终端进行安全监控和治理的情况,该方法可以由本发明实施例提供的通信安全监控装置来执行,该装置可以由软件和/或硬件的方式来实现,并一般可集成在计算机设备中。相应的,如图1所示,该方法包括如下操作:
S110、获取目标通信终端生成的目标通信流量数据。
其中,目标通信终端可以是任意具有网络通信功能的终端。目标通信流量数据可以是目标通信终端进行网络通信时生成的流量数据。
相应的,目标通信终端例如可以是任意通信类应用程序的客户端,用户可以通过目标通信终端向外发送消息,也可以通过目标通信终端接收消息,以进行网络通信。目标通信终端在实现网络通信的过程中,可以生成目标通信流量数据,以通过目标通信流量数据实现对用户消息的传输。
进一步的,目标通信终端生成的目标通信流量数据中可以包括目标通信终端的标识数据,从而可以根据该标识数据,在全部网络流量数据中识别并获取目标通信流量数据。
可选的,可以采用NTA(Network Traffic Analyzer,网络流量分析)技术,基于旁路监听对全部网络流量数据进行特征指纹分析,识别出目标通信终端所采用的私有通信协议,从而在全部网络流量数据中获取目标通信终端生成的目标通信流量数据。
S120、获取所述目标通信流量数据中的密文数据,对所述密文数据进行敏感词匹配处理。
其中,密文数据可以是目标通信流量数据中采用特定的加密方法进行加密的数据。敏感词匹配处理可以是确定密文数据中是否包括有敏感词密文数据的操作。敏感词密文数据可以是所述目标通信终端根据敏感词数据生成的。敏感词数据可以是任意违法违规的消息内容数据,即敏感词密文数据可以是违法违规的消息内容数据经过目标通信终端所采用的特定加密方法加密后得到的数据。
相应的,目标通信终端可以采用特定的加密方法,将用户需要通过目标通信终端传输的消息的内容数据加密为密文数据,添加至目标通信流量数据中进行传输。具体的,不同目标通信终端可以采用各自专属的加密方法对消息内容数据进行加密,例如可以采用加盐二次哈希算法,则在对其采用的加密方法未知的情况下,无法对其生成的密文数据进行解密,从而即使目标通信流量数据被非法获取,其中的密文数据仍无法被解密,确保了用户的消息内容数据的安全性和隐私性。因此,可以在目标通信流量数据中获取密文数据,并对密文数据进行敏感词匹配处理,确定密文数据中是否包括敏感词密文数据,从而确定目标通信终端传输的消息内容数据中是否包括违法违规的消息内容数据。
需要说明的是,敏感词密文数据可以在对目标通信终端所采用的加密方法未知的情况下获取。可选的,可以通过目标通信终端对敏感词数据进行传输,由于在此过程中,目标通信终端即可根据其特定加密方法对敏感词数据进行加密,生成敏感词数据对应的敏感词密文数据。
S130、在确定所述密文数据中包括敏感词密文数据的情况下,根据所述目标通信流量数据对所述目标通信终端进行安全治理处理。
其中,安全治理处理可以是对目标通信终端的违法违规通信行为进行分析并根据分析结果做出相应处理的操作。
相应的,若确定密文数据中包括敏感词密文数据,则可以说明目标通信终端的通信过程中包括了对敏感词数据的传输,从而可以进一步根据目标通信流量数据对目标通信终端进行安全治理处理,分析目标通信终端的网络通信情况,并根据分析结果对其进行相应的处理。
本发明实施例提供了一种通信安全监控方法,通过获取目标通信终端生成的目标通信流量数据,并对该流量数据中的密文数据进行敏感词匹配处理,从而在确定该部分密文数据中包括敏感词密文数据的情况下,对目标通信终端进行安全治理处理,解决了现有技术中的密文解密过程对通信安全监控造成技术障碍以及高技术成本的问题,实现在无需对密文数据进行解密的情况下,对通信终端进行安全监控和治理,消除通信安全监控所面临的技术障碍,降低通信安全监控成本,同时确保通信数据的安全性和隐私性。
实施例二
图2为本发明实施例二提供的一种通信安全监控方法的流程图。本发明实施例以上述实施例为基础进行具体化,在本发明实施例中,给出了对所述密文数据进行敏感词匹配处理的具体可选的实现方式。
如图2所示,本发明实施例的方法具体包括:
S210、获取目标通信终端生成的目标通信流量数据。
S220、获取所述目标通信流量数据中的密文数据,对所述密文数据进行敏感词匹配处理。
在本发明的一个可选实施例中,S220具体可以包括:
S221、获取所述目标通信流量数据中的密文数据,根据预设加密算法对所述密文数据进行密文转换处理,得到密文转换结果数据。
其中,预设加密算法可以是预先确定的任意可以对密文数据进行加密的算法。密文转换处理可以是采用预设加密算法对密文数据进行加密的操作。密文转换结果数据可以是采用预设加密算法对密文数据进行加密后得到的数据。
相应的,预设加密算法可以包括一种或多种加密算法,可以根据需要预先设定。根据预设加密算法对密文数据进行密文转换处理,可以得到密文转换结果数据,其中,不同密文数据进行密文转换处理后得到的密文转换结果数据不同。
在本发明的一个可选实施例中,所述根据预设加密算法对所述密文数据进行密文转换处理,得到密文转换结果数据,可以包括:根据所述预设加密算法生成所述密文数据对应的彩虹表数据,将所述彩虹表数据确定为所述密文转换结果数据。
相应的,可以依次采用至少两种预设加密算法进行多次加密,生成密文数据对应的彩虹表数据作为密文转换结果数据。示例性的,用于生成彩虹表数据的预设加密算法可以包括哈希函数和归约函数,则交替采用哈希函数和归约函数进行加密,可以形成交替的密码和哈希值,从而形成彩虹表数据。
上述实施方式通过生成彩虹表数据的技术手段,得到密文数据的密文转换结果数据,可以有效避免不同密文数据对应于相同密文转换结果数据从而导致敏感词匹配处理出现错误的风险,同时还可以压缩密文转换结果数据的存储空间。
S222、在确定预设敏感词密文转换表中包括与所述密文转换结果数据匹配的目标敏感词密文转换数据的情况下,确定所述密文数据中包括敏感词密文数据。
其中,所述预设敏感词密文转换表中存储有至少一个所述敏感词数据,以及与各所述敏感词数据分别对应的敏感词密文转换数据。具体的,任意敏感词数据对应的敏感词密文转换数据,可以是根据预设加密算法对该敏感词数据对应的敏感词密文数据进行加密得到的数据。目标敏感词密文转换数据可以是预设敏感词密文转换表中,与密文转换结果数据匹配的敏感词密文转换数据。
相应的,预设敏感词密文转换表可以是预先根据敏感词数据生成的。可以通过查询或遍历等任意方法在预设敏感词密文转换表中获取与密文转换结果数据匹配的目标敏感词密文转换数据,在确定预设敏感词密文转换表中包括目标敏感词密文转换数据的情况下,则可以确定密文数据中包括与该目标敏感词密文转换数据对应的敏感词密文数据。
在本发明的一个可选实施例中,在所述对所述密文数据进行敏感词匹配处理之前,还可以包括:通过所述目标通信终端,获取各所述敏感词数据分别对应的敏感词通信流量数据;获取各所述敏感词通信流量数据中的敏感词密文数据,根据所述预设加密算法对各所述敏感词密文数据进行密文转换处理,得到分别与各所述敏感词对应的敏感词密文转换数据;将各所述敏感词数据与各所述敏感词密文转换数据对应存储至所述预设敏感词密文转换表中。
其中,任意敏感词数据对应的敏感词通信流量数据可以是目标通信终端对该敏感词数据进行传输时生成的通信流量数据。
相应的,可以根据需要,预先选取需要监控的敏感词数据,从而可以通过目标通信终端对各敏感词数据分别进行传输,则在该过程中,目标通信终端可以根据特定的加密方法对各敏感词数据进行加密,得到敏感词密文数据并生成敏感词通信流量数据。
进一步的,通过预设加密算法对敏感词通信流量数据中的敏感词密文数据进行加密,得到与敏感词密文数据一一对应的铭感次密文转换数据,即与敏感词数据一一对应的敏感词密文转换数据,从而可以将敏感词数据与敏感词密文转换数据对应存储,得到预设敏感词密文转换表。
可选的,若密文转换结果数据为密文数据经过预设加密算法进行加密得到的彩虹表数据,则敏感词密文转换数据可以是敏感词密文数据经过同样的预设加密算法进行同样的加密,得到的彩虹表数据。
在本发明的一个可选实施例中,所述敏感词数据,可以包括:敏感词文本数据、敏感词语音数据和敏感词图像数据中的至少一种。
其中,敏感词文本数据可以是文本形式的敏感词数据。敏感词语音数据可以是语音形式的敏感词数据。敏感词图像数据可以是图片或视频等图像形式的敏感词数据。
相应的,敏感词文本数据、敏感词语音数据和敏感词图像数据在通过目标通信终端进行传输的过程中,均可以转换为对应的密文数据,例如可以是二进制字符串形式的密文数据,进而可以根据其对应的密文数据进行敏感词匹配处理。
可选的,敏感词数据还可以根据语种划分,包括中文敏感词数据、英文敏感词数据和其他任意语种的敏感词数据;敏感词数据还可以根据方言划分,包括粤语敏感词数据、闽南语敏感词数据和其他任意方言的敏感词数据。各语种以及各方言的敏感词数据均可以包括对应语种或方言的文本形式敏感词数据和语音形式敏感词数据。
S230、判断所述密文数据中是否包括敏感词密文数据,若是,则可以执行S240,否则,可以执行S250。
S240、根据所述目标通信流量数据对所述目标通信终端进行安全治理处理。
在本发明的一个可选实施例中,所述根据所述目标通信流量数据对所述目标通信终端进行安全治理处理,可以包括:确定所述目标通信流量数据对应的敏感词危害级别以及敏感词通信强度;在确定所述敏感词危害级别和所述敏感词通信强度满足终端治理条件的情况下,对所述目标通信终端进行封堵处理。
其中,敏感词危害级别可以描述目标通信流量数据中的敏感词密文数据对应的敏感词数据违法违规的严重程度。敏感词通信强度可以是目标通信流量数据表征的通信密切程度。终端治理条件可以描述违法违规行为中的敏感词危害级别和敏感词通信强度。封堵处理可以是任意可以禁止目标通信终端进行违法违规行为的操作。
相应的,根据目标通信流量数据中的敏感词密文数据对应的敏感词数据,以及预先确定的各敏感词数据违法违规的严重程度,可以确定目标通信流量数据对应的敏感词危害级别。根据目标通信流量数据的流量大小、其中包括的敏感词密文数据的数量以及大小等数据,可以确定目标通信流量数据的敏感词通信强度。可选的,还可以根据目标通信终端在历史时间中对敏感词数据进行传输的记录确定敏感词通信强度。
进一步的,当目标通信流量数据对应的敏感词危害级别所描述的敏感词违法违规情况足够严重,和/或敏感词通信强度足够高时,可以确定敏感词危害级别以及敏感词通信强度满足终端治理条件,则目标通信终端存在违法违规行为,可以对其进行封堵处理。
在本发明的一个可选实施例中,所述根据所述目标通信流量数据对所述目标通信终端进行安全治理处理,还可以包括:在确定所述敏感词危害级别和所述敏感词通信强度不满足终端治理条件的情况下,对所述目标通信终端进行备案处理。
其中,备案处理可以是对目标通信终端的当前情况进行记录的操作。
相应的,若敏感词危害级别和敏感词通信强度不满足终端治理条件,则可以确定目标通信终端在本次通信中的行为暂不构成违法违规行为,则暂无需对其进行封堵处理。但考虑到本次通信的目标通信流量数据中包括敏感词密文数据,可以对目标通信终端进行备案处理,以记录其本次通信行为,作为当前时间之后的任意一次通信中判断目标通信终端的敏感词通信强度的依据。
可选的,对目标通信终端进行备案处理,可以包括但不限于将目标通信终端、与目标通信终端进行通信的其他终端的终端标识数据、以及对应的敏感词数据对应的写入至预设数据库中进行记录。
S250、确定目标通信流量数据满足通信安全条件。
其中,通信安全条件可以是描述通信流量数据与违法违规行为无关的数据。
相应的,若密文数据中不包括敏感词密文数据,可以说明目标通信终端传输的消息内容数据中不包括敏感词数据,则可以确定目标通信流量数据满足通信安全条件,无需对目标通信流量数据进行进一步分析。
示例性的,图3为本发明实施例提供的一种通信安全监控方法的流程示意图,图4为本发明实施例提供的一种密文数据获取及敏感词匹配处理方法的流程示意图。如图3和图4所示,在一个具体的例子中,移动应用的用户A和用户B之间通过移动应用提供的加密通信服务进行消息传输,在加密通信过程中,可以基于TCP(Transmission ControlProtocol,传输控制协议)层采用NTA流量旁路方法,或基于HTTP/HTTPS(Hyper TextTransfer Protocol/Hyper Text Transfer Protocol over Secure Socket Layer,超文本传输协议/超文本传输安全协议),采用中间人劫持方法采集移动应用通信双方的流量,并转换存储为本地PCAP格式文件,收集的流量包括移动设备通信的所有应用的流量集合。进而通过移动应用协议的指纹特征,从流量集合中识别出该移动应用的通信流量,并过滤获取出该移动应用的密文信息。
进一步的,可以基于敏感词彩虹表对密文信息进行敏感词匹配处理。示例性的,图5为本发明实施例提供的一种敏感词彩虹表生成方法的流程示意图。在一个具体的例子中,如图5所示,选取多语种文字、语音以及图像形式的敏感词数据作为敏感词输入集合,采用端对端移动应用真实通信方式,采集敏感词数据经过移动应用的加密传递后的敏感词密文数据,再采用预设加密算法建立对应的敏感词彩虹表,得到对应的哈希数据,从而建立明文、密文与彩虹表哈希数据之间的对应关系。
因此,可以采用彩虹表建立步骤中所采用的预设加密算法,生成过滤获取的移动应用密文信息建立对应的密文转换数据,得到密文与哈希数据之间的对应关系,并行传递给敏感词匹配程序。示例性的,图6为本发明实施例提供的一种基于密文数据对目标通信终端进行通信安全监控的流程示意图。敏感词匹配程序可以将移动应用密文信息获取阶段生成的内容与预先建立的敏感词彩虹表进行对比计算,判断是否匹配上敏感词数据对应的哈希数据,从而在匹配成功后确定移动应用用户A和用户B之间的通信涉及敏感词,可以根据敏感词危害级别以及该用户之间的通信强度,进行综合研判,从而进行跟踪、封堵等解决措施或备案处理。
本发明实施例提供了一种通信安全监控方法,通过获取目标通信终端生成的目标通信流量数据,并对该流量数据中的密文数据进行敏感词匹配处理,从而在确定该部分密文数据中包括敏感词密文数据的情况下,对目标通信终端进行安全治理处理,解决了现有技术中的密文解密过程对通信安全监控造成技术障碍以及高技术成本的问题,实现在无需对密文数据进行解密的情况下,对通信终端进行安全监控和治理,消除通信安全监控所面临的技术障碍,降低通信安全监控成本,同时确保通信数据的安全性和隐私性。
实施例三
图7为本发明实施例三提供的一种通信安全监控装置的结构示意图,如图7所示,所述装置包括:数据获取模块310、密文匹配模块320和安全治理模块330。
其中,数据获取模块310,用于获取目标通信终端生成的目标通信流量数据。
密文匹配模块320,用于获取所述目标通信流量数据中的密文数据,对所述密文数据进行敏感词匹配处理。
安全治理模块330,用于在确定所述密文数据中包括敏感词密文数据的情况下,根据所述目标通信流量数据对所述目标通信终端进行安全治理处理;其中,所述敏感词密文数据为所述目标通信终端根据敏感词数据生成的。
在本发明实施例的一个可选实施方式中,密文匹配模块320,可以包括:密文转换结果数据获取子模块,用于获取所述目标通信流量数据中的密文数据,根据预设加密算法对所述密文数据进行密文转换处理,得到密文转换结果数据;目标敏感词密文转换数据确定子模块,用于在确定预设敏感词密文转换表中包括与所述密文转换结果数据匹配的目标敏感词密文转换数据的情况下,确定所述密文数据中包括敏感词密文数据;其中,所述预设敏感词密文转换表中存储有至少一个所述敏感词数据,以及与各所述敏感词数据分别对应的敏感词密文转换数据。
在本发明实施例的一个可选实施方式中,密文转换结果数据获取子模块,具体可以用于:根据所述预设加密算法生成所述密文数据对应的彩虹表数据,将所述彩虹表数据确定为所述密文转换结果数据。
在本发明实施例的一个可选实施方式中,所述装置还可以包括:预设敏感词密文转换表生成模块,用于通过所述目标通信终端,获取各所述敏感词数据分别对应的敏感词通信流量数据;获取各所述敏感词通信流量数据中的所述敏感词密文数据,根据所述预设加密算法对各所述敏感词密文数据进行密文转换处理,得到分别与各所述敏感词对应的敏感词密文转换数据;将各所述敏感词数据与各所述敏感词密文转换数据对应存储至所述预设敏感词密文转换表中。
在本发明实施例的一个可选实施方式中,所述敏感词数据,可以包括:敏感词文本数据、敏感词语音数据和敏感词图像数据中的至少一种。
在本发明实施例的一个可选实施方式中,安全治理模块330,具体可以用于:确定所述目标通信流量数据对应的敏感词危害级别以及敏感词通信强度;在确定所述敏感词危害级别和所述敏感词通信强度满足终端治理条件的情况下,对所述目标通信终端进行封堵处理。
在本发明实施例的一个可选实施方式中,安全治理模块330,具体还可以用于:在确定所述敏感词危害级别和所述敏感词通信强度不满足终端治理条件的情况下,对所述目标通信终端进行备案处理。
上述装置可执行本发明任意实施例所提供的通信安全监控方法,具备执行通信安全监控方法相应的功能模块和有益效果。
本发明实施例提供了一种通信安全监控装置,通过获取目标通信终端生成的目标通信流量数据,并对该流量数据中的密文数据进行敏感词匹配处理,从而在确定该部分密文数据中包括敏感词密文数据的情况下,对目标通信终端进行安全治理处理,解决了现有技术中的密文解密过程对通信安全监控造成技术障碍以及高技术成本的问题,实现在无需对密文数据进行解密的情况下,对通信终端进行安全监控和治理,消除通信安全监控所面临的技术障碍,降低通信安全监控成本,同时确保通信数据的安全性和隐私性。
实施例四
图8为本发明实施例四提供的一种计算机设备的结构示意图。图8示出了适于用来实现本发明实施方式的示例性计算机设备12的框图。图8显示的计算机设备12仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图8所示,计算机设备12以通用计算设备的形式表现。计算机设备12的组件可以包括但不限于:一个或者多个处理器16,存储器28,连接不同系统组件(包括存储器28和处理器16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备12访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图8未显示,通常称为“硬盘驱动器”)。尽管图8中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在例如存储器28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
计算机设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该计算机设备12交互的设备通信,和/或与使得该计算机设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,计算机设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与计算机设备12的其它模块通信。应当明白,尽管图8中未示出,可以结合计算机设备12使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理器16通过运行存储在存储器28中的程序,从而执行各种功能应用以及数据处理,实现本发明实施例所提供的通信安全监控方法:获取目标通信终端生成的目标通信流量数据;获取所述目标通信流量数据中的密文数据,对所述密文数据进行敏感词匹配处理;在确定所述密文数据中包括敏感词密文数据的情况下,根据所述目标通信流量数据对所述目标通信终端进行安全治理处理;其中,所述敏感词密文数据为所述目标通信终端根据敏感词数据生成的。
实施例五
本发明实施例五提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时,实现本发明实施例所提供的通信安全监控方法:获取目标通信终端生成的目标通信流量数据;获取所述目标通信流量数据中的密文数据,对所述密文数据进行敏感词匹配处理;在确定所述密文数据中包括敏感词密文数据的情况下,根据所述目标通信流量数据对所述目标通信终端进行安全治理处理;其中,所述敏感词密文数据为所述目标通信终端根据敏感词数据生成的。
可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或计算机设备上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种通信安全监控方法,其特征在于,包括:
获取目标通信终端生成的目标通信流量数据;
获取所述目标通信流量数据中的密文数据,对所述密文数据进行敏感词匹配处理;
在确定所述密文数据中包括敏感词密文数据的情况下,根据所述目标通信流量数据对所述目标通信终端进行安全治理处理;其中,所述敏感词密文数据为所述目标通信终端根据敏感词数据生成的。
2.根据权利要求1所述的方法,其特征在于,所述获取所述目标通信流量数据中的密文数据,对所述密文数据进行敏感词匹配处理,包括:
获取所述目标通信流量数据中的密文数据,根据预设加密算法对所述密文数据进行密文转换处理,得到密文转换结果数据;
在确定预设敏感词密文转换表中包括与所述密文转换结果数据匹配的目标敏感词密文转换数据的情况下,确定所述密文数据中包括敏感词密文数据;
其中,所述预设敏感词密文转换表中存储有至少一个所述敏感词数据,以及与各所述敏感词数据分别对应的敏感词密文转换数据。
3.根据权利要求2所述的方法,其特征在于,所述根据预设加密算法对所述密文数据进行密文转换处理,得到密文转换结果数据,包括:
根据所述预设加密算法生成所述密文数据对应的彩虹表数据,将所述彩虹表数据确定为所述密文转换结果数据。
4.根据权利要求2所述的方法,其特征在于,在所述对所述密文数据进行敏感词匹配处理之前,还包括:
通过所述目标通信终端,获取各所述敏感词数据分别对应的敏感词通信流量数据;
获取各所述敏感词通信流量数据中的所述敏感词密文数据,根据所述预设加密算法对各所述敏感词密文数据进行密文转换处理,得到分别与各所述敏感词对应的敏感词密文转换数据;
将各所述敏感词数据与各所述敏感词密文转换数据对应存储至所述预设敏感词密文转换表中。
5.根据权利要求1所述的方法,其特征在于,所述敏感词数据,包括:敏感词文本数据、敏感词语音数据和敏感词图像数据中的至少一种。
6.根据权利要求1所述的方法,其特征在于,所述根据所述目标通信流量数据对所述目标通信终端进行安全治理处理,包括:
确定所述目标通信流量数据对应的敏感词危害级别以及敏感词通信强度;
在确定所述敏感词危害级别和所述敏感词通信强度满足终端治理条件的情况下,对所述目标通信终端进行封堵处理。
7.根据权利要求6所述的方法,其特征在于,所述根据所述目标通信流量数据对所述目标通信终端进行安全治理处理,还包括:
在确定所述敏感词危害级别和所述敏感词通信强度不满足终端治理条件的情况下,对所述目标通信终端进行备案处理。
8.一种通信安全监控装置,其特征在于,包括:
数据获取模块,用于获取目标通信终端生成的目标通信流量数据;
密文匹配模块,用于获取所述目标通信流量数据中的密文数据,对所述密文数据进行敏感词匹配处理;
安全治理模块,用于在确定所述密文数据中包括敏感词密文数据的情况下,根据所述目标通信流量数据对所述目标通信终端进行安全治理处理;其中,所述敏感词密文数据为所述目标通信终端根据敏感词数据生成的。
9.一种计算机设备,其特征在于,所述计算机设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的通信安全监控方法。
10.一种计算机存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的通信安全监控方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110546550.3A CN113285945B (zh) | 2021-05-19 | 2021-05-19 | 通信安全监控方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110546550.3A CN113285945B (zh) | 2021-05-19 | 2021-05-19 | 通信安全监控方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113285945A true CN113285945A (zh) | 2021-08-20 |
| CN113285945B CN113285945B (zh) | 2022-11-15 |
Family
ID=77279915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110546550.3A Active CN113285945B (zh) | 2021-05-19 | 2021-05-19 | 通信安全监控方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113285945B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113672963A (zh) * | 2021-08-30 | 2021-11-19 | 国家计算机网络与信息安全管理中心 | 一种基于彩虹表的匹配方法、装置、存储介质及电子设备 |
| CN114221816A (zh) * | 2021-12-17 | 2022-03-22 | 恒安嘉新(北京)科技股份公司 | 流量检测方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109327479A (zh) * | 2018-12-14 | 2019-02-12 | 锐捷网络股份有限公司 | 加密流的识别方法及装置 |
| CN110457914A (zh) * | 2019-07-09 | 2019-11-15 | 深圳壹账通智能科技有限公司 | 数据核对方法、装置、计算机设备和存储介质 |
| CN110826319A (zh) * | 2019-10-30 | 2020-02-21 | 维沃移动通信有限公司 | 应用信息的处理方法及终端设备 |
| CN112784596A (zh) * | 2019-11-04 | 2021-05-11 | 北京京东尚科信息技术有限公司 | 一种识别敏感词的方法和装置 |
-
2021
- 2021-05-19 CN CN202110546550.3A patent/CN113285945B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109327479A (zh) * | 2018-12-14 | 2019-02-12 | 锐捷网络股份有限公司 | 加密流的识别方法及装置 |
| CN110457914A (zh) * | 2019-07-09 | 2019-11-15 | 深圳壹账通智能科技有限公司 | 数据核对方法、装置、计算机设备和存储介质 |
| CN110826319A (zh) * | 2019-10-30 | 2020-02-21 | 维沃移动通信有限公司 | 应用信息的处理方法及终端设备 |
| CN112784596A (zh) * | 2019-11-04 | 2021-05-11 | 北京京东尚科信息技术有限公司 | 一种识别敏感词的方法和装置 |
Non-Patent Citations (3)
| Title |
|---|
| WANG YUNLING等: "Secure searchable encryption: a survey", 《JOURNAL OF COMMUNICATIONS AND INFORMATION NETWORKS》 * |
| 翟明芳等: "基于深度学习的加密恶意流量检测研究", 《网络与信息安全学报》 * |
| 陈伟等: "基于载荷特征的加密流量快速识别方法", 《计算机工程》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113672963A (zh) * | 2021-08-30 | 2021-11-19 | 国家计算机网络与信息安全管理中心 | 一种基于彩虹表的匹配方法、装置、存储介质及电子设备 |
| CN114221816A (zh) * | 2021-12-17 | 2022-03-22 | 恒安嘉新(北京)科技股份公司 | 流量检测方法、装置、设备及存储介质 |
| CN114221816B (zh) * | 2021-12-17 | 2024-05-03 | 恒安嘉新(北京)科技股份公司 | 流量检测方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113285945B (zh) | 2022-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10958657B2 (en) | Utilizing transport layer security (TLS) fingerprints to determine agents and operating systems | |
| CN110515678B (zh) | 一种信息处理方法、设备和计算机存储介质 | |
| CN113285945B (zh) | 通信安全监控方法、装置、设备及存储介质 | |
| CN110324416B (zh) | 下载路径跟踪方法、装置、服务器、终端及介质 | |
| CN111586021B (zh) | 一种远程办公业务授权方法、终端及系统 | |
| CN111046405B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN113918999B (zh) | 安全摆渡通道的建立方法、装置、网盘及存储介质 | |
| CN110545542B (zh) | 基于非对称加密算法的主控密钥下载方法、装置和计算机设备 | |
| US10528708B2 (en) | Prevention of unauthorized resource updates | |
| CN114615031A (zh) | 文件存储方法、装置、电子设备及存储介质 | |
| CN112270016B (zh) | 业务数据请求的处理方法、装置及电子设备 | |
| CN110263008B (zh) | 终端离线日志管理系统、方法、设备及存储介质 | |
| CN110995538B (zh) | 网络数据采集方法、装置、系统、设备及存储介质 | |
| CN111062053B (zh) | 生物特征数据的处理方法、装置、设备及介质 | |
| CN114218561A (zh) | 一种弱口令检测方法、终端设备及存储介质 | |
| CN111475779B (zh) | 图像处理方法、装置、设备及存储介质 | |
| CN113672954A (zh) | 特征提取方法、装置和电子设备 | |
| CN112149140A (zh) | 预测方法、装置、设备及存储介质 | |
| US10044685B2 (en) | Securing enterprise data on mobile devices | |
| CN114221816B (zh) | 流量检测方法、装置、设备及存储介质 | |
| KR101511451B1 (ko) | 키보드 입력 정보 암호화 방법 | |
| CN113537361B (zh) | 联邦学习系统中的跨样本特征选择方法及联邦学习系统 | |
| CN114742152A (zh) | 数据分类方法和装置、计算机可读存储介质、电子设备 | |
| CN117812284A (zh) | 一种保护隐私的视频内容审核系统、方法、设备和介质 | |
| CN114417321A (zh) | 应用软件连接数据库的方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |