CN113704752B - 数据泄露行为的检测方法、装置、计算机设备及存储介质 - Google Patents
数据泄露行为的检测方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN113704752B CN113704752B CN202111015940.4A CN202111015940A CN113704752B CN 113704752 B CN113704752 B CN 113704752B CN 202111015940 A CN202111015940 A CN 202111015940A CN 113704752 B CN113704752 B CN 113704752B
- Authority
- CN
- China
- Prior art keywords
- sensitive
- record
- target
- determining
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 230000006399 behavior Effects 0.000 claims abstract description 84
- 230000002159 abnormal effect Effects 0.000 claims description 13
- 230000008569 process Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 8
- 238000004422 calculation algorithm Methods 0.000 claims description 6
- 238000010276 construction Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 abstract description 27
- 238000005516 engineering process Methods 0.000 description 26
- 235000021018 plums Nutrition 0.000 description 9
- 238000012544 monitoring process Methods 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000035945 sensitivity Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000009133 cooperative interaction Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种数据泄露行为的检测方法、装置、计算机设备及存储介质,涉及信息技术领域,主要在于能够提高内网用户数据泄露行为的检测精度。其中方法包括:当监听到数据库输出数据时,对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录;获取所述输出数据对应的操作日志,基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录;基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征;基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为。本发明适用于数据泄露行为的检测。
Description
技术领域
本发明涉及信息技术领域,尤其是涉及一种数据泄露行为的检测方法、装置、计算机设备及存储介质。
背景技术
随着信息技术的飞速发展,计算机和网络已成为日常办公、通讯交流和协作互动的必备工具,信息系统在提高人们工作效率的同时,也对信息的存储和访问控制提出了安全需求,因此如何有效地防止数据库的敏感信息泄露也成为了当前亟待解决的安全问题。
目前,通常采用DLP(Data leakage prevention,数据泄露防护)技术监控数据的输入和输出,防止敏感数据被泄露。然而,在采用DLP技术检测数据的过程中,如果内网用户通过加密技术,改装数据库的sql语句,则很容易绕开DLP技术的检测,进而造成数据库中敏感数据的泄露,因此,这种DLP技术无法对内网用户的数据泄露行为进行有效检测,即对内网用户的数据泄露行为检测精度较低。
发明内容
本发明提供了一种数据泄露行为的检测方法、装置、计算机设备及存储介质,主要在于能够提高内网用户数据泄露行为的检测精度。
根据本发明的第一个方面,提供一种数据泄露行为的检测方法,包括:
当监听到数据库输出数据时,对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录;
获取所述输出数据对应的操作日志,基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录;
基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征;
基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为。
根据本发明的第二个方面,提供一种数据泄露行为的检测装置,包括:
第一确定单元,用于当监听到数据库输出数据时,对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录;
第二确定单元,用于获取所述输出数据对应的操作日志,基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录;
构建单元,用于基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征;
判定单元,用于基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为。
根据本发明的第三个方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:
当监听到数据库输出数据时,对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录;
获取所述输出数据对应的操作日志,基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录;
基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征;
基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为。
根据本发明的第四个方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以下步骤:
当监听到数据库输出数据时,对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录;
获取所述输出数据对应的操作日志,基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录;
基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征;
基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为。
本发明提供的一种数据泄露行为的检测方法、装置、计算机设备及存储介质,与目前采用DLP技术防止数据被泄露的方式相比,本方明当监听到数据库输出数据时,能够对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录,与此同时,获取所述输出数据对应的操作日志,基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录,并基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征,最终基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为。由此通过对输出数据的操作日志进行解析,获取目标操作对象对应的第二敏感操作记录,能够构建目标操作对象对应的敏感特征,通过该敏感特征对数据泄露行为进行检测,能够有效地识别出内网用户绕过DLP监控进行数据泄露的行为,提高了内网用户数据泄露行为的检测精度,进而能够有效防止数据库中的敏感信息被泄露。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1示出了本发明实施例提供的一种数据泄露行为的检测方法流程图;
图2示出了本发明实施例提供的另一种数据泄露行为的检测方法流程图;
图3示出了本发明实施例提供的一种数据泄露行为的检测装置的结构示意图;
图4示出了本发明实施例提供的另一种数据泄露行为的检测装置的结构示意图;
图5示出了本发明实施例提供的一种计算机设备的实体结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
目前,在采用DLP技术检测数据的过程中,如果内网用户通过加密技术,改装数据库的sql语句,则很容易绕开DLP技术的检测,进而造成数据库中敏感数据的泄露,因此,这种DLP技术无法对内网用户的数据泄露行为进行有效检测,即对内网用户的数据泄露行为检测精度较低。
为了解决上述问题,本发明实施例提供了一种数据泄露行为的检测方法,如图1所示,所述方法包括:
101、当监听到数据库输出数据时,对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录。
其中,数据泄露扫描为采用DLP扫描技术检测数据库的输出数据中是否包含敏感数据,该敏感数据具体包括用户的身份ID、地址、邮箱、手机号等隐私信息,目标操作对象为对输出数据进行敏感数据泄露操作的用户,第一敏感操作记录为目标操作对象进行敏感数据泄露时针对数据库的操作记录,第一敏感操作记录中记录有目标操作对象对应的敏感操作语句(sql语句),敏感操作列信息和敏感操作表信息,敏感操作列信息和敏感操作表信息具体可以是目标操作对象所泄露的敏感数据对应的列名和表名。此外,通过DLP扫描技术可以检测出一个或者多个进行敏感数据泄露操作的目标操作对象,一个目标操作对象也可能存在多条第一敏感操作记录。
为了克服现有技术中DLP扫描技术无法对内网用户的数据泄露行为进行有效检测的缺陷,本发明实施例通过DLP扫描技术获取目标操作对象对应的第一敏感操作记录,同时通过对输出数据的操作日志进行解析,获取目标操作对象的第二敏感操作记录,并利用第一敏感操作记录和第二敏感操作记录,构建目标操作对象对应的敏感特征,依据该敏感特征能够有效检测出目标操作对象是否存在数据泄露行为,进而提高了内网用户数据泄露行为的检测精度。本发明实施例主要应用于对内网用户的数据泄露行为进行检测的场景,本发明实施例的执行主体为能够对内网用户的数据泄露行为进行检测的装置或者设备,具体可以设置在服务器一侧。
具体地,装置侧会实时对数据库进行监听,当监听到数据库输出数据时,对输出数据进行DLP扫描,检测输出数据中是否包含敏感数据,如果输出数据中包含敏感数据,则获取该敏感数据对应的操作日志,并对该敏感数据的操作日志进行解析,确定该敏感数据对应的目标操作对象、敏感操作语句(sql语句)、敏感操作表信息、敏感操作列信息和时间戳等,进而将敏感操作语句(sql语句)、敏感操作表信息、敏感操作列信息和时间戳,确定为目标操作对象对应的第一敏感操作记录,如表1所示,通过DLP扫描技术检测出目标操作对象包括张三和李四,张三对应两条第一敏感操作记录,这两条第一敏感操作记录中涉及敏感操作表信息TA,以及敏感操作列信息TA.a和TA.b,李四对应一条第一敏感操作记录,这一条第一敏感操作记录中涉及敏感操作表信息TB和敏感操作列信息TB.a。由此按照上述方式能够获取利用DLP检测技术扫描出的目标操作对象及其对应的第一敏感操作记录,以便后续利用该第一敏感操作记录构建目标操作对象对应的敏感特征。
表1
102、获取所述输出数据对应的操作日志,基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录。
其中,目标操作对象可以有一条或者多条第二敏感操作记录,第二敏感操作记录对应的条数通常会大于或者等于第一敏感操作记录对应的条数,此外,第二敏感操作记录中同样记录有目标操作对象对应的敏感操作语句(sql语句)、敏感操作表信息、敏感操作列信息和时间戳。
对于本发明实施例,由于内网用户通过加密技术很可能绕过DLP技术的检测泄露敏感数据,因此通过DLP技术扫描确定的目标操作对象对应的第一敏感操作记录很可能存在缺失,甚至可能没有检测出进行数据泄露的目标操作对象,基于此,本发明实施例会获取所有输出数据对应的数据操作日志,通过对该数据操作日志进行解析,确定输出数据对应的数据操作记录,该数据操作记录中包括正常数据的操作记录,也包括敏感数据的操作记录,从数据操作记录中识别出所有敏感数据的操作记录,并将其确定为目标操作对象对应的第二敏感操作记录,由此本发明实施例通过构建第二敏感操作记录,能够克服第一敏感操作记录存在缺失的缺陷,针对从数据操作记录中识别出第二敏感操作记录的具体过程,见步骤202和203。
具体地,第二敏感操作记录的内容如表2所示,通过对输出数据的所有操作日志进行解析,能够获取输出数据对应的数据操作记录,进而能够识别出数据操作记录中的第二敏感操作记录,该第二敏感操作记录中目标操作对象包括张三和李四,张三对应两条第二敏感操作记录,这两条第二敏感操作记录中涉及敏感操作表信息TA,以及敏感操作列信息TA.a和TA.b,李四对应三条第二敏感操作记录,这三条第二敏感操作记录中涉及敏感操作表TB,以及敏感操作列信息TB.a和TB.b,通过将表2和表1进行对比可以发现,张三的第一敏感操作记录和第二敏感操作记录完全相同,而李四缺少了两条第一敏感操作记录,即在DLP扫描过程中,并没有检测出李四所有的数据泄露行为,由此可知,本发明实施例通过构建第二敏感操作记录,能够有效检测出内网用户通过加密技术绕过DLP扫描进行数据泄露的行为。
表2
103、基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征。
其中,敏感特征包括扫描表数量占比、扫描列数量占比和扫描记录占比。对于本发明实施例,由于第二敏感操作记录中可能也会存在正常数据对应的操作记录,即误报记录,因此如果仅根据第二敏感操作记录,识别内网用户的数据泄露行为,可能会导致数据泄露行为的识别精度不高,因此本发明实施例结合第一敏感操作记录和第二敏感操作记录,构建目标操作对象对应的敏感特征,基于该敏感特征,判定目标操作对象是否存在数据泄露行为,从而能够进一步提高对内网用户数据泄露行为的识别精度。
对于本发明实施例,为了构建目标操作对象对应的敏感特征,步骤103具体包括:根据所述第一敏感操作记录和所述第二敏感操作记录,确定所述目标操作对象对应的扫描表数量占比、扫描列数量占比和扫描记录占比;将所述扫描表数量占比、所述扫描列数量占比和所述扫描记录占比,确定为所述目标操作对象对应的敏感特征。进一步地,所述根据所述第一敏感操作记录和所述第二敏感操作记录,确定所述目标操作对象对应的扫描表数量占比、扫描列数量占比和扫描记录占比,包括:确定所述第一敏感操作记录对应的扫描列数量、扫描表数量和第一操作记录数量,以及所述第二敏感操作记录对应的敏感列数量、敏感表数量和第二操作记录数量;根据所述扫描列数量和所述敏感列数量,确定所述目标操作对象对应的扫描列数量占比;根据所述扫描表数量和所述敏感表数量,确定所述目标操作对象对应的扫描表数量占比;根据所述第一操作记录数量和所述第二操作记录数量,确定所述目标操作对象对应的扫描记录占比。
如表1和表2所示,根据张三对应的第一敏感操作记录,可知张三所涉及的敏感操作表信息为TA,敏感操作列信息为TA.a和TA.b,因此能够确定在DLP检测过程中,张三被扫描出的表数量为1,即扫描表数量为1,同理能够确定张三被扫描出的列数量为2,即扫描列数量为2,此外,由于张三有两条第一敏感操作记录,因此可以确定第一操作记录数量为2。进一步地,根据张三对应的第二敏感操作记录,可知张三所涉及的敏感操作表信息为TA,敏感操作列信息为TA.a和TA.b,因此能够确定在对输出数据的操作日志进行解析的过程中,张三对应的敏感表数量为1,敏感列数量为2,由于张三有两条第二敏感操作记录,因此可以确定第二操作记录数量为2。进一步地,将确定的扫描列数量2和敏感列数量2相除,得到张三对应的扫描列数量占比为1;将确定的扫描表数量1和敏感表数量1相除,得到张三对应的扫描表数量占比为1;将确定的第一操作记录数量2和第二操作记录数量2相除,得到张三对应的扫描记录占比1,由此能够确定张三对应的敏感特征为(1,1,1)。
104、基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为。
对于本发明实施例,为了基于敏感特征,判定内网用户是否存在数据泄露行为,步骤104具体包括:根据所述敏感特征,利用预设孤立森林算法计算所述目标操作对象对应的操作异常值;若所述操作异常值大于预设异常值,则确定所述目标操作对象存在数据泄露行为。进一步地,根据所述敏感特征,确定所述目标操作对象从每棵树的根节点到叶子节点的过程中所经历的边数;确定与所述目标操作对象落在同一叶子节点的目标样本及其对应的样本数量,基于所述样本数量,确定所述目标样本构建树木的路径长度;根据所述边数和所述目标样本构建树木的路径长度,计算所述目标操作对象在所述每棵树上的路径长度;根据所述目标操作对象在所述每棵树上的路径长度,计算所述目标操作对象对应的操作异常值。其中,预设异常值可以根据实际的业务需求进行设定,异常值越大,代表目标操作对象存在异常的可能性越大;异常值越小,代表目标操作对象存在异常的可能性越小。
具体地,在利用预设孤立森林算法计算目标操作对象对应的操作异常值之前,需要预先构建多棵孤立树,针对该构建过程,首先收集大量样本操作对象对应的样本敏感特征,将其作为样本数据,之后将收集的样本数据放入根节点,并随机指定一个维度,如指定扫描列数量占比,在当前根节点的样本数据中随机产生一个切割点,该切割点位于指定维度的最大值和最小值之间,如该切割点是扫描列数量占比等于0.6,通过该切割点产生了一个超平面,将当前的样本数据空间划分成了两个子空间,将扫描列数量占比小于0.6的样本数据放入当前根节点的左叶子节点,同时将扫描列数量占比大于或者等于0.6的样本数据放入当前根节点的右叶子节点,在左右叶子节点的基础上不断地进行递归,即不断地构造新的叶子节点,直至叶子节点中只有一个样本数据或者叶子节点已经达到限定高度,停止训练。由此按照上述方式,能够构建多棵孤立树,以便利用构建的多个孤立树计算目标操作对象对应的操作异常值。
进一步地,在构建完成孤立树后,令目标操作对象对应的敏感特征遍历每一棵孤立树,然后计算目标操作对象落在每棵树的第几层,即目标操作对象在每棵树上的路径长度,具体公式如下:
h(x)=e+C(n)
其中,x表示目标操作对象,h(x)表示目标操作对象在每棵树上的路径长度,e表示目标操作对象从每棵树的根节点到叶子节点的过程中所经历的边数,n表示与目标操作对象落在同一叶子节点的目标样本对应的样本数量,C(n)为一个修正值,其表示一棵用n个样本构建的孤立树的路径长度,具体计算公式如上所示,H(n-1)可用ln(n-1)+0.5772156649估算。
进一步地,在计算出目标操作对象在每棵树上的路径长度之后,计算目标操作对象对应的平均路径长度,之后基于该平均路径长度,计算目标操作对象对应的操作异常值,具体公式如下:
其中,E(h(x))表示目标操作对象在每棵树上的平均路径长度,Score(x)表示目标操作对象对应的操作异常值。由上述公式可知,目标操作对象对应的平均路径越短,其对应的操作异常值越接近1,表明目标操作对象越异常,即目标操作对象存在数据泄露行为的可能性越大;目标操作对象对应的平均路径越长,其对应的操作异常值越接近0,表明目标操作对象越正常,即目标操作对象存在数据泄露行为的可能性越小。例如,预设异常值为0.8,根据张三和李四分别对应的敏感特征,计算出张三对应的操作异常值为0.0012,李四对应的操作异常值为0.9521,由于李四的操作异常值大于预设异常值,因此李四存在数据泄露行为。
本发明实施例提供的一种数据泄露行为的检测方法,与目前采用DLP技术防止数据被泄露的方式相比,本发明当监听到数据库输出数据时,能够对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录,与此同时,获取所述输出数据对应的操作日志,基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录,并基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征,最终基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为。由此通过对输出数据的操作日志进行解析,获取目标操作对象对应的第二敏感操作记录,能够构建目标操作对象对应的敏感特征,通过该敏感特征对数据泄露行为进行检测,能够有效地识别出内网用户绕过DLP监控进行数据泄露的行为,提高了内网用户数据泄露行为的检测精度,进而能够有效防止数据库中的敏感信息被泄露。
进一步的,为了更好的说明上述数据泄露行为的检测过程,作为对上述实施例的细化和扩展,本发明实施例提供了另一种数据泄露行为的检测方法,如图2所示,所述方法包括:
201、当监听到数据库输出数据时,对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录。
对于本发明实施例,为了对内部用户的数据泄露行为进行检测,需要先通过DLP技术对数据库的输出数据进行检测,确定存在敏感操作的目标操作对象及其对应的第一敏感操作数据,具体过程与步骤101完全相同,在此不再赘述。
202、获取所述输出数据对应的操作日志,对所述操作日志进行解析,得到所述输出数据对应的数据操作记录。
对于本发明实施例,由于内部用户可能绕过DLP技术的检测进行数据泄露,因此需要对所有输出数据的操作日志进行解析,确定输出数据对应的数据操作记录,以便从数据操作记录中识别出第二敏感操作记录。具体地,通过解析输出数据对应的操作日志,得到操作该输出数据的操作对象及其对应的操作语句(Sql语句)、操作表信息、操作列信息和时间戳,进而根据该操作语句(Sql语句)、操作表信息、操作列信息和时间戳,能够生成输出数据对应的数据操作记录,该数据操作记录中既包括正常数据操作记录,也可能包括敏感数据操作记录,如表3所示。
表3
203、确定所述数据库中敏感数据对应的敏感列信息和敏感表信息,并根据所述敏感列信息和所述敏感表信息,确定所述数据操作记录中的第二敏感操作记录。
对于本发明实施例,在确定输出数据对应的数据操作记录之后,需要从所有数据操作记录中识别出第二敏感操作记录,以便将第二敏感操作记录和第一敏感操作记录相结合,构建目标操作对象对应的敏感特征。具体地,预先确定数据库中存在的所有敏感数据,并记录这些敏感数据对应的敏感列信息和敏感表信息,如表4所示,数据库中的敏感数据包括身份证、地址、邮箱、手机号等,记录这些敏感数据对应的敏感列信息和敏感表信息,以便利用这些敏感列信息和敏感表信息,识别数据操作记录中的第二敏感操作记录。
表4
| 敏感表信息 | 敏感列信息 | 敏感数据 |
| TA | TA.a | 身份证 |
| TA | TA.b | 地址 |
| TA | TA.c | 身份证 |
| TB | TB.a | 邮箱 |
| TB | TB.b | 手机号 |
进一步地,将该敏感列信息和敏感表信息与数据操作记录中的操作列信息和操作表信息进行匹配,根据匹配结果识别数据操作记录中的第二敏感操作记录,基于此,所述方法包括:判定所述数据操作记录中的任意一条操作记录对应的操作列信息和操作表信息是否与所述敏感列信息和所述敏感表信息相匹配;若与所述敏感列信息和所述敏感表信息相匹配,则确定所述任意一条操作记录为第二敏感操作记录,所述任意一条操作记录对应的操作对象为目标操作对象。
具体地,结合表3和表4,判断表3中每条操作记录对应的操作列信息和操作表信息是否与表4中的敏感列信息和敏感表信息相匹配,如果匹配,则确定该条操作记录为第二敏感操作记录,通过将表3和表4进行匹配可以发现表3中的前5条数据操作记录为第二敏感操作记录,目标操作对象包括张三和李四。
204、基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征。
对于本发明实施例,在确定第二敏感操作记录之后,结合第一敏感操作记录和第二敏感操作记录,构建目标操作对象对应的敏感特征。如表1和表2所示,根据李四对应的第一敏感操作记录,可知李四所涉及的敏感操作表信息为TB,敏感操作列信息为TB.a,因此能够确定在DLP检测过程中,李四被扫描出的表数量为1,即扫描表数量为1,同理能够确定李四被扫描出的列数量为1,即扫描列数量为1,此外,由于李四有一条第一敏感操作记录,因此可以确定第一操作记录数量为1。进一步地,根据李四对应的第二敏感操作记录,可知李四所涉及的敏感操作表信息为TB,敏感操作列信息为TB.a和TB.b,因此能够确定在对输出数据的操作日志进行解析的过程中,李四对应的敏感表数量为1,敏感列数量为2,由于李四有三条第二敏感操作记录,因此可以确定第二操作记录数量为3。进一步地,将确定的扫描列数量1和敏感列数量2相除,得到李四对应的扫描列数量占比为0.5;将确定的扫描表数量1和敏感表数量1相除,得到李四对应的扫描表数量占比为1;将确定的第一操作记录数量1和第二操作记录数量3相除,得到张三对应的扫描记录占比为0.33,由此能够确定李四对应的敏感特征为(0.5,1,0.33)。
需要说明的是,由于内网用户很可能通过加密技术绕过DLP检测进行数据泄露,因此很可能没有目标操作对象的第一敏感操作记录,而仅存在目标操作对象的第二敏感操作记录,例如,通过DLP检测没有获得王五的第一敏感操作记录,而通过对输出数据的操作日志进行解析,发现存在王五的第二敏感操作记录,在这种情况下,可以确定目标操作对象王五对应的扫描列数量占比、扫描表数量占比和扫描记录占比分别为0,即王五对应的敏感特征为(0,0,0)。
205、基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为。
对于本发明实施例,不仅可以利用预设孤立森林算法,判定目标操作对象是否存在数据泄露行为,还可以基于该敏感特征,利用预设多层感知器,判定目标操作对象是否存在数据泄露行为,基于此,步骤205具体包括:将所述敏感特征输入至预设多层感知器,分别得到目标操作对象存在数据泄漏行为的第一概率值和不存在数据泄漏行为的第二概率值;若所述第一概率值大于第二概率值,则判定所述目标操作对象存在数据泄露行为。
具体地,将目标操作对象对应的敏感特征通过预设多层感知器的输入层输入至隐藏层,通过该隐藏层输出的结果为:
f(W1x+b1)
其中,x为目标操作对象对应的敏感特征,W1为隐藏层的权重,也是预设多层感知器的连接系数,b1为隐藏层的偏置系数,f函数通常可以采用sigmoid函数或者tanh函数,如下所示:
sigmoid(x)=1/(1+e-x)
tanh(x)=(ex-e-x)/(ex+e-x)
进一步地,将隐藏层输出的结果输入至输出层,通过该输出层进行分类,得到的分类结果为:
soft max(W2f(W1x+b1)+b2)
其中,W2为输出层的权重系数,b2为输出层的偏置系数,通过预设多层感知器的输出层能够输出目标操作对象存在数据泄露行为的第一概率值和不存在数据泄露行为的第二概率值,如果第一概率值大于第二概率值,则确定目标操作对象存在数据泄露行为;如果第一概率值小于或者等于第二概率值,则确定目标操作对象不存在数据泄露行为。
本发明实施例提供的另一种数据泄露行为的检测方法,与目前采用DLP技术防止数据被泄露的方式相比,本方明当监听到数据库输出数据时,能够对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录,与此同时,获取所述输出数据对应的操作日志,基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录,并基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征,最终基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为。由此通过对输出数据的操作日志进行解析,获取目标操作对象对应的第二敏感操作记录,能够构建目标操作对象对应的敏感特征,通过该敏感特征对数据泄露行为进行检测,能够有效地识别出内网用户绕过DLP监控进行数据泄露的行为,提高了内网用户数据泄露行为的检测精度,进而能够有效防止数据库中的敏感信息被泄露。
进一步地,作为图1的具体实现,本发明实施例提供了一种数据泄露行为的检测装置,如图3所示,所述装置包括:第一确定单元31、第二确定单元32、构建单元33和判定单元34。
所述第一确定单元31,可以用于当监听到数据库输出数据时,对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录。
所述第二确定单元32,可以用于获取所述输出数据对应的操作日志,基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录。
所述构建单元33,可以用于基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征。
所述判定单元34,可以用于基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为。
在具体应用场景中,为了确定所述操作对象对应的第二敏感操作记录,所述第二确定单元32(如图4所示),包括:第一确定模块321和解析模块322。
所述第一确定模块321,可以用于确定所述数据库中敏感数据对应的敏感列信息和敏感表信息。
所述解析模块322,可以用于对所述操作日志进行解析,得到所述输出数据对应的数据操作记录。
所述第一确定模块321,还可以用于根据所述敏感列信息和所述敏感表信息,确定所述数据操作记录中的第二敏感操作记录。
进一步地,所述数据操作记录中记录有操作对象及其对应的操作列信息和操作表信息,所述第一确定模块321,包括:判定子模块和第一确定子模块。
所述判定子模块,可以用于判定所述数据操作记录中的任意一条操作记录对应的操作列信息和操作表信息是否与所述敏感列信息和所述敏感表信息相匹配。
所述第一确定子模块,可以用于若与所述敏感列信息和所述敏感表信息相匹配,则确定所述任意一条操作记录为第二敏感操作记录,所述任意一条操作记录对应的操作对象为目标操作对象。
在具体应用场景中,为了构建所述目标操作对象对应的敏感特征,所述构建单元33(如图4所示),包括:第二确定模块331和第三确定模块332。
所述第二确定模块331,可以用于根据所述第一敏感操作记录和所述第二敏感操作记录,确定所述目标操作对象对应的扫描表数量占比、扫描列数量占比和扫描记录占比。
所述第三确定模块332,可以用于将所述扫描表数量占比、所述扫描列数量占比和所述扫描记录占比,确定为所述目标操作对象对应的敏感特征。
进一步地,为了确定所述目标操作对象对应的扫描表数量占比、扫描列数量占比和扫描记录占比,所述第二确定模块331具体可以用于确定所述第一敏感操作记录对应的扫描列数量、扫描表数量和第一操作记录数量,以及所述第二敏感操作记录对应的敏感列数量、敏感表数量和第二操作记录数量;根据所述扫描列数量和所述敏感列数量,确定所述目标操作对象对应的扫描列数量占比;根据所述扫描表数量和所述敏感表数量,确定所述目标操作对象对应的扫描表数量占比;根据所述第一操作记录数量和所述第二操作记录数量,确定所述目标操作对象对应的扫描记录占比。
在具体应用场景中,为了判定目标操作对象是否存在数据泄露行为,所述判定单元34(如图4所示),包括:计算模块341和第四确定模块342。
所述计算模块341,可以用于根据所述敏感特征,利用预设孤立森林算法计算所述目标操作对象对应的操作异常值。
所述第四确定模块342,可以用于若所述操作异常值大于预设异常值,则确定所述目标操作对象存在数据泄露行为。
进一步地,为了计算所述目标操作对象对应的操作异常值,所述计算模块341,包括:第二确定子模块和计算子模块。
所述第二确定子模块,可以用于根据所述敏感特征,确定所述目标操作对象从每棵树的根节点到叶子节点的过程中所经历的边数。
所述第二确定子模块,还可以用于确定与所述目标操作对象落在同一叶子节点的目标样本及其对应的样本数量,基于所述样本数量,确定所述目标样本构建树木的路径长度。
所述计算子模块,可以用于根据所述边数和所述目标样本构建树木的路径长度,计算所述目标操作对象在所述每棵树上的路径长度。
所述计算子模块,还可以用于根据所述目标操作对象在所述每棵树上的路径长度,计算所述目标操作对象对应的操作异常值。
需要说明的是,本发明实施例提供的一种数据泄露行为的检测装置所涉及各功能模块的其他相应描述,可以参考图1所示方法的对应描述,在此不再赘述。
基于上述如图1所示方法,相应的,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:当监听到数据库输出数据时,对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录;获取所述输出数据对应的操作日志,基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录;基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征;基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为。
基于上述如图1所示方法和如图3所示装置的实施例,本发明实施例还提供了一种计算机设备的实体结构图,如图5所示,该计算机设备包括:处理器41、存储器42、及存储在存储器42上并可在处理器41上运行的计算机程序,其中存储器42和处理器41均设置在总线43上。所述处理器41执行所述程序时实现以下步骤:当监听到数据库输出数据时,对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录;获取所述输出数据对应的操作日志,基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录;基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征;基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为。
通过本发明的技术方案,当监听到数据库输出数据时,能够对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录,与此同时,获取所述输出数据对应的操作日志,基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录,并基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征,最终基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为。由此通过对输出数据的操作日志进行解析,获取目标操作对象对应的第二敏感操作记录,能够构建目标操作对象对应的敏感特征,通过该敏感特征对数据泄露行为进行检测,能够有效地识别出内网用户绕过DLP监控进行数据泄露的行为,提高了内网用户数据泄露行为的检测精度,进而能够有效防止数据库中的敏感信息被泄露。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (9)
1.一种数据泄露行为的检测方法,其特征在于,包括:
当监听到数据库输出数据时,对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录,其中,所述第一敏感操作记录中记录有目标操作对象对应的敏感操作语句,敏感操作列信息和敏感操作表信息;
获取所述输出数据对应的操作日志,基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录;
基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征,其中,所述敏感特征包括扫描表数量占比、扫描列数量占比和扫描记录占比;
基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为;
所述基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录,包括:
确定所述数据库中敏感数据对应的敏感列信息和敏感表信息;
对所述操作日志进行解析,得到所述输出数据对应的数据操作记录;
根据所述敏感列信息和所述敏感表信息,确定所述数据操作记录中的第二敏感操作记录。
2.根据权利要求1所述的方法,其特征在于,所述数据操作记录中记录有操作对象及其对应的操作列信息和操作表信息,所述根据所述敏感列信息和所述敏感表信息,确定所述数据操作记录中的第二敏感操作记录,包括:
判定所述数据操作记录中的任意一条操作记录对应的操作列信息和操作表信息是否与所述敏感列信息和所述敏感表信息相匹配;
若与所述敏感列信息和所述敏感表信息相匹配,则确定所述任意一条操作记录为第二敏感操作记录,所述任意一条操作记录对应的操作对象为目标操作对象。
3.根据权利要求1所述的方法,其特征在于,所述基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征,包括:
根据所述第一敏感操作记录和所述第二敏感操作记录,确定所述目标操作对象对应的扫描表数量占比、扫描列数量占比和扫描记录占比;
将所述扫描表数量占比、所述扫描列数量占比和所述扫描记录占比,确定为所述目标操作对象对应的敏感特征。
4.根据权利要求3所述的方法,其特征在于,所述根据所述第一敏感操作记录和所述第二敏感操作记录,确定所述目标操作对象对应的扫描表数量占比、扫描列数量占比和扫描记录占比,包括:
确定所述第一敏感操作记录对应的扫描列数量、扫描表数量和第一操作记录数量,以及所述第二敏感操作记录对应的敏感列数量、敏感表数量和第二操作记录数量;
根据所述扫描列数量和所述敏感列数量,确定所述目标操作对象对应的扫描列数量占比;
根据所述扫描表数量和所述敏感表数量,确定所述目标操作对象对应的扫描表数量占比;
根据所述第一操作记录数量和所述第二操作记录数量,确定所述目标操作对象对应的扫描记录占比。
5.根据权利要求1所述的方法,其特征在于,所述基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为,包括:
根据所述敏感特征,利用预设孤立森林算法计算所述目标操作对象对应的操作异常值;
若所述操作异常值大于预设异常值,则确定所述目标操作对象存在数据泄露行为。
6.根据权利要求5所述的方法,其特征在于,所述根据所述敏感特征,利用预设孤立森林算法计算所述目标操作对象对应的操作异常值,包括:
根据所述敏感特征,确定所述目标操作对象从每棵树的根节点到叶子节点的过程中所经历的边数;
确定与所述目标操作对象落在同一叶子节点的目标样本及其对应的样本数量,基于所述样本数量,确定所述目标样本构建树木的路径长度;
根据所述边数和所述目标样本构建树木的路径长度,计算所述目标操作对象在所述每棵树上的路径长度;
根据所述目标操作对象在所述每棵树上的路径长度,计算所述目标操作对象对应的操作异常值。
7.一种数据泄露行为的检测装置,其特征在于,包括:
第一确定单元,用于当监听到数据库输出数据时,对输出数据进行数据泄露扫描,确定针对所述输出数据进行敏感操作的目标操作对象及其对应的第一敏感操作记录,其中,所述第一敏感操作记录中记录有目标操作对象对应的敏感操作语句,敏感操作列信息和敏感操作表信息;
第二确定单元,用于获取所述输出数据对应的操作日志,基于所述操作日志确定所述目标操作对象对应的第二敏感操作记录;
构建单元,用于基于所述第一敏感操作记录和所述第二敏感操作记录,构建所述目标操作对象对应的敏感特征,其中,所述敏感特征包括扫描表数量占比、扫描列数量占比和扫描记录占比;
判定单元,用于基于所述敏感特征,判定所述目标操作对象是否存在数据泄露行为;
所述第二确定单元,包括:第一确定模块和解析模块;
所述第一确定模块,用于确定所述数据库中敏感数据对应的敏感列信息和敏感表信息;
所述解析模块,用于对所述操作日志进行解析,得到所述输出数据对应的数据操作记录;
所述第一确定模块,还用于根据所述敏感列信息和所述敏感表信息,确定所述数据操作记录中的第二敏感操作记录。
8.一种计算机设备,包括存储器、处理器及存储在存储器上并在处理器上运行的计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111015940.4A CN113704752B (zh) | 2021-08-31 | 2021-08-31 | 数据泄露行为的检测方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111015940.4A CN113704752B (zh) | 2021-08-31 | 2021-08-31 | 数据泄露行为的检测方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113704752A CN113704752A (zh) | 2021-11-26 |
| CN113704752B true CN113704752B (zh) | 2024-01-26 |
Family
ID=78658258
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111015940.4A Active CN113704752B (zh) | 2021-08-31 | 2021-08-31 | 数据泄露行为的检测方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113704752B (zh) |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103778377A (zh) * | 2014-01-28 | 2014-05-07 | 宇龙计算机通信科技(深圳)有限公司 | 一种终端及防止敏感信息泄露的方法 |
| CN104281808A (zh) * | 2014-09-25 | 2015-01-14 | 中国科学院信息工程研究所 | 一种通用的Android恶意行为检测方法 |
| CN107169361A (zh) * | 2017-06-15 | 2017-09-15 | 深信服科技股份有限公司 | 一种数据泄露的检测方法及系统 |
| CN107733902A (zh) * | 2017-10-23 | 2018-02-23 | 中国移动通信集团广东有限公司 | 一种目标数据扩散过程的监控方法及装置 |
| CN109948669A (zh) * | 2019-03-04 | 2019-06-28 | 腾讯科技(深圳)有限公司 | 一种异常数据检测方法及装置 |
| CN110377977A (zh) * | 2019-06-28 | 2019-10-25 | 南方电网科学研究院有限责任公司 | 敏感信息泄露的检测方法、装置及存储介质 |
| CN110798472A (zh) * | 2019-11-01 | 2020-02-14 | 杭州数梦工场科技有限公司 | 数据泄露检测方法与装置 |
| CN110990867A (zh) * | 2019-11-28 | 2020-04-10 | 上海观安信息技术股份有限公司 | 基于数据库的数据泄露检测模型的建模方法、装置,泄露检测方法、系统 |
| CN111913854A (zh) * | 2020-09-21 | 2020-11-10 | 安徽长泰信息安全服务有限公司 | 一种用于系统数据安全防护的综合日志审计系统告警方法 |
| CN112417391A (zh) * | 2020-10-28 | 2021-02-26 | 深圳市橡树黑卡网络科技有限公司 | 信息数据安全处理方法、装置、设备及存储介质 |
| CN112711770A (zh) * | 2019-10-25 | 2021-04-27 | 顺丰科技有限公司 | 敏感行为阻断方法、装置、终端及存储介质 |
| CN112965979A (zh) * | 2021-03-10 | 2021-06-15 | 中国民航信息网络股份有限公司 | 一种用户行为分析方法、装置及电子设备 |
| CN113032824A (zh) * | 2021-03-01 | 2021-06-25 | 上海观安信息技术股份有限公司 | 基于数据库流量日志的低频数据泄漏检测方法及系统 |
| CN113157854A (zh) * | 2021-01-22 | 2021-07-23 | 奇安信科技集团股份有限公司 | Api的敏感数据泄露检测方法及系统 |
| WO2021159642A1 (zh) * | 2020-02-11 | 2021-08-19 | 平安科技(深圳)有限公司 | 敏感信息的检测方法、装置、计算机设备和存储介质 |
-
2021
- 2021-08-31 CN CN202111015940.4A patent/CN113704752B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103778377A (zh) * | 2014-01-28 | 2014-05-07 | 宇龙计算机通信科技(深圳)有限公司 | 一种终端及防止敏感信息泄露的方法 |
| CN104281808A (zh) * | 2014-09-25 | 2015-01-14 | 中国科学院信息工程研究所 | 一种通用的Android恶意行为检测方法 |
| CN107169361A (zh) * | 2017-06-15 | 2017-09-15 | 深信服科技股份有限公司 | 一种数据泄露的检测方法及系统 |
| CN107733902A (zh) * | 2017-10-23 | 2018-02-23 | 中国移动通信集团广东有限公司 | 一种目标数据扩散过程的监控方法及装置 |
| CN109948669A (zh) * | 2019-03-04 | 2019-06-28 | 腾讯科技(深圳)有限公司 | 一种异常数据检测方法及装置 |
| CN110377977A (zh) * | 2019-06-28 | 2019-10-25 | 南方电网科学研究院有限责任公司 | 敏感信息泄露的检测方法、装置及存储介质 |
| CN112711770A (zh) * | 2019-10-25 | 2021-04-27 | 顺丰科技有限公司 | 敏感行为阻断方法、装置、终端及存储介质 |
| CN110798472A (zh) * | 2019-11-01 | 2020-02-14 | 杭州数梦工场科技有限公司 | 数据泄露检测方法与装置 |
| CN110990867A (zh) * | 2019-11-28 | 2020-04-10 | 上海观安信息技术股份有限公司 | 基于数据库的数据泄露检测模型的建模方法、装置,泄露检测方法、系统 |
| WO2021159642A1 (zh) * | 2020-02-11 | 2021-08-19 | 平安科技(深圳)有限公司 | 敏感信息的检测方法、装置、计算机设备和存储介质 |
| CN111913854A (zh) * | 2020-09-21 | 2020-11-10 | 安徽长泰信息安全服务有限公司 | 一种用于系统数据安全防护的综合日志审计系统告警方法 |
| CN112417391A (zh) * | 2020-10-28 | 2021-02-26 | 深圳市橡树黑卡网络科技有限公司 | 信息数据安全处理方法、装置、设备及存储介质 |
| CN113157854A (zh) * | 2021-01-22 | 2021-07-23 | 奇安信科技集团股份有限公司 | Api的敏感数据泄露检测方法及系统 |
| CN113032824A (zh) * | 2021-03-01 | 2021-06-25 | 上海观安信息技术股份有限公司 | 基于数据库流量日志的低频数据泄漏检测方法及系统 |
| CN112965979A (zh) * | 2021-03-10 | 2021-06-15 | 中国民航信息网络股份有限公司 | 一种用户行为分析方法、装置及电子设备 |
Non-Patent Citations (2)
| Title |
|---|
| Privacy-Preserving Detection of Sensitive Data Exposur;Xiaoku Shu 等;IEEE Transactions on Information Forensics and Security;第10卷(第5期);1092-1103 * |
| 用静态信息流分析检测Android应用中的日志隐患;彭智俊;小型微型计算机系统;第34卷(第06期);1276-1281 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113704752A (zh) | 2021-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114172701B (zh) | 基于知识图谱的apt攻击检测方法及装置 | |
| US11256683B2 (en) | Method and apparatus for integrating multi-data source user information | |
| NL2002694C2 (en) | Method and system for alert classification in a computer network. | |
| US20150172303A1 (en) | Malware Detection and Identification | |
| US11170113B2 (en) | Management of security vulnerabilities | |
| CN111865982B (zh) | 基于态势感知告警的威胁评估系统及方法 | |
| KR101444308B1 (ko) | 정보 유출 조기 경보 시스템 | |
| CN108647106B (zh) | 应用异常处理方法、存储介质及计算机设备 | |
| CN113032824B (zh) | 基于数据库流量日志的低频数据泄漏检测方法及系统 | |
| US9558346B1 (en) | Information processing systems with security-related feedback | |
| US20130304690A1 (en) | Reducing false positives in data validation using statistical heuristics | |
| CN115314255B (zh) | 攻击结果的检测方法、装置、计算机设备和存储介质 | |
| CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
| Aydin et al. | Using attribute-based feature selection approaches and machine learning algorithms for detecting fraudulent website URLs | |
| CN111371757B (zh) | 恶意通信检测方法、装置、计算机设备和存储介质 | |
| KR102318991B1 (ko) | 유사도 기반의 악성코드 진단 방법 및 장치 | |
| Anand et al. | Mitigating Cyber-Security Risks using Cyber-Analytics | |
| CN113704752B (zh) | 数据泄露行为的检测方法、装置、计算机设备及存储介质 | |
| CN111885011B (zh) | 一种业务数据网络安全分析挖掘的方法及系统 | |
| CN111104670B (zh) | 一种apt攻击的识别和防护方法 | |
| CN111694804B (zh) | 故障排查方法及装置 | |
| CN107203720B (zh) | 风险值计算方法及装置 | |
| CN106446687B (zh) | 恶意样本的检测方法及装置 | |
| CN115242436A (zh) | 一种基于命令行特征的恶意流量检测方法及系统 | |
| CN111404903B (zh) | 一种日志处理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |