CN113992453A - 一种防止数据外泄的阻断方法、装置及存储介质 - Google Patents
一种防止数据外泄的阻断方法、装置及存储介质 Download PDFInfo
- Publication number
- CN113992453A CN113992453A CN202111627730.0A CN202111627730A CN113992453A CN 113992453 A CN113992453 A CN 113992453A CN 202111627730 A CN202111627730 A CN 202111627730A CN 113992453 A CN113992453 A CN 113992453A
- Authority
- CN
- China
- Prior art keywords
- sub
- message
- messages
- blocking
- detection result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Abstract
本发明涉及网络信息安全技术领域,本发明公开了一种防止数据外泄的阻断方法、装置及存储介质。该阻断方法包括获取报文集;该报文集包括N个子报文,该N为大于等于1的整数,从而可以放行该N个子报文中的非目标子报文,并拦截该N个子报文中的目标子报文;后续可以基于该N个子报文确定检测结果;若该检测结果为存在敏感信息,则删除该目标子报文;否则,放行该目标子报文。本发明提供的该阻断方法能够在降低设备成本的基础上,提高数据由内网传至外网的效率。
Description
技术领域
本发明涉及网络信息安全技术领域,特别涉及一种防止数据外泄的阻断方法、装置及存储介质。
背景技术
数据泄露防护(Data leakage prevention, DLP)又称为“数据丢失防护”(DataLoss prevention, DLP),有时也称为“信息泄漏防护”(Information leakageprevention, ILP)。数据泄露防护(DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。
在数据泄漏防护市场上,阻断产品主要采用基于代理的旁路模式实现内容检测阻断,强制用户通过代理方式访问网络,需要设置相应的代理来阻断超文本传输协议(HyperText Transfer Protocol,HTTP)或简单邮件传输协议(Simple Mail Transfer Protocol,SMTP),虽然可以达到一定的阻断效果,但采用该种方式需要改变了整个网络的架构,增加设备成本,且还存在延迟大和用户使用体验差等问题,难于实施推广。
发明内容
本发明要解决的是上述现有技术中阻断方法存在设备成本高、延迟大的技术问题。
为解决上述技术问题,本申请于一方面公开了一种防止数据外泄的阻断方法,应用于阻断设备,该方法包括以下步骤:
获取报文集;该报文集包括N个子报文,该N为大于等于1的整数;
放行该N个子报文中的非目标子报文;
拦截该N个子报文中的目标子报文;
基于该N个子报文确定检测结果;
若该检测结果为存在敏感信息,则删除该目标子报文;否则,放行该目标子报文;
该阻断设备以串行连接的方式接入到待防护网络的出口。
可选的,该目标子报文为该N个子报文在传递过程中传递的最后一个子报文;
该基于该N个子报文确定检测结果,包括:
对该N个子报文进行重组、解析操作,得到目标文件;
获取预设检测策略;
基于该预设检测策略对该目标文件进行检测,得到该检测结果。
可选的,该预设检测策略包括关键字检测策略;
该关键字检测策略为:
若该目标文件中存在预设关键字,且该预设关键字的个数大于等于预设阈值,则确定该目标文件的检测结果为存在敏感信息;否则,确定该检测结果为不存在敏感信息。
可选的,该基于该预设检测策略对该目标文件进行检测,得到该检测结果之后,还包括:
若该检测结果为存在敏感信息,则生成阻断通知信息;
将该阻断通知信息发送给该报文集对应的发送端和接收端。
可选的,该获取报文集;该报文集包括N个子报文,该N为大于等于1的整数,包括:
获取数据包;
对该数据包进行分片处理,得到报文集;该报文集包括N个子报文,该N为大于等于1的整数。
可选的,该放行该N个子报文中的非目标子报文包括:
获取该报文集的协议类型;
若该协议类型属于第一预设协议类型集,缓存该报文集,并放行该N个子报文中的非目标子报文。
可选的,该获取该报文集的协议类型之后,还包括:
若该协议类型属于第二预设协议类型集,则放行该报文集。
本申请于另一方面还公开了一种防止数据外泄的阻断装置,设置于阻断设备中,该阻断设备以串行连接的方式接入到待防护网络的出口,包括:
获取模块,用于获取报文集;该报文集包括N个子报文,该N为大于等于1的整数;
放行模块,用于放行该N个子报文中的非目标子报文;
拦截模块,用于拦截该N个子报文中的目标子报文;
确定模块,用于基于该N个子报文确定检测结果;
判断模块,用于若该检测结果为存在敏感信息,则删除该目标子报文;否则,放行该目标子报文。
本申请于另一方面还公开了一种电子设备,其包括处理器和存储器,该存储器中存储有至少一条指令、至少一段程序、代码集或指令集,该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现上述的阻断方法。
本申请于另一方面还公开了一种计算机存储介质,该计算机存储介质中存储有至少一条指令或至少一段程序,该至少一条指令或至少一段程序由处理器加载并执行以实现上述的阻断方法。
采用上述技术方案,本申请提供的阻断方法具有如下有益效果:
本申请提供的该阻断方法由于是基于阻断设备实现的,该阻断设备可以以串行连接的方式接入到待防护网络的出口,从而降低了设备成本。
且当阻断设备抓取到数据包,通过该数据包分片得到的报文集中的非目标子报文,使其直接到接收端,拦截目标子报文,使该数据包不能够在接收端进行重组操作,此时,再通过对整个数据包进行敏感信息检测,如果存在敏感信息,则删除目标子报文,否则,就可以放行该目标子报文,由于之前的非目标子报文已经传输过去,这里只有传输目标子报文即可,极大地节省了传输效率,降低了对系统资源的消耗,提高了阻断检测的效率。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一种可选的应用场景图;
图2为本申请第一种可选的阻断方法的流程示意图;
图3为本申请第二种可选的阻断方法的流程示意图;
图4为本申请第三种可选的阻断方法的流程示意图;
图5为本申请一种可选的阻断系统的结构图;
图6为本申请一种可选的阻断装置的结构示意图;
图7为本申请一种可选的阻断方法的服务器的硬件结构框图。
以下对附图作补充说明:
10-阻断系统;101-阻断设备;102-中心管理平台;20-待防护网络;30-接收端。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
如图1所示,图1为本申请一种可选的应用场景图。该场景包括待防护网络20、接收端30和防止数据外泄的阻断系统10,该阻断系统10包括阻断设备101;所述阻断设备101以串行连接的方式接入到待防护网络20的出口;该阻断设备101用于获取报文集;该报文集包括N个子报文,该N为大于等于1的整数,从而可以放行该N个子报文中的非目标子报文,并拦截该N个子报文中的目标子报文;后续可以基于该N个子报文确定检测结果;若该检测结果为存在敏感信息,则删除该目标子报文;否则,放行该目标子报文,从而可以在降低设备成本的基础上,提高数据由内网传至外网的效率。
而现有技术中设置的旁路代理的方式,该旁路代理的方式需要通过代理器来对会话进行获取,并将获取到的内容发送给对应的检测设备进行检测,检测设备会将得到的检测结果发送给代理器,从而代理器再对会话进行发送或者拦截,从而造成客户端上网或者信息发送的延迟大,且这种代理器成本高,且用户采用该种方式上网还必须对电脑进行设置,增加了用户的操作复杂度。
可选的,本申请提供的该阻断方法用于对外发文件的内容的检测,能协助企业将内容识别技术应用到跨整个业务范围的安全部署中,并提供相应措施保证数据安全、防止数据丢失,使企业能够更好的针对自身独特的IT环境保护其敏感信息,串行阻断执行设备的安全性也在受控状态内。
可选的,该接收端可以是服务器或者终端。
可选的,该待防护网络包括服务器和终端。
可选的,终端可以是台式电脑,笔记本电脑、手机、平板电脑,数字助理、智能可穿戴设备等类型的实体设备;其中,智能可穿戴设备可以包括智能手环、智能手表、智能眼镜、智能头盔等。
该终端可以包括通过数据总线相连的显示屏、存储设备和处理器。所述显示屏用于待监控设备的虚拟图像以及待监控设备中各个子设备之间的连接关系,该显示屏可以是手机或者平板电脑的触摸屏等。存储设备用于存储拍摄装置的程序代码和数据资料等,该存储设备可以是终端的内存,也可以是智能媒体卡(smart media card)、安全数字卡(secure digital card)、快闪存储器卡(flash card)等储存设备。所述处理器可以是单核或多核处理器。
以下介绍本申请一种阻断方法的具体实施例,图2为本申请第一种可选的阻断方法的流程示意图,本说明书提供了如实施例或流程图的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或服务器产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图2所示,该方法可以包括:
本申请于一方面公开了一种防止数据外泄的阻断方法,应用于阻断设备,该方法包括以下步骤:
S201:获取报文集;该报文集包括N个子报文,该N为大于等于1的整数。
在本实施例中,该阻断设备以串行连接的方式接入到待防护网络的出口。
可选的,在步骤S201之前,该阻断方法还包括:确定待抓取网卡信息,基于所述待抓取网卡信息对指定网卡的输出数据包进行抓取。
于一种可行的实施例中,步骤S201可以具体阐述为:获取数据包,并对该数据包进行分片处理,得到报文集;该报文集包括N个子报文,该N为大于等于1的整数。于另一种可选的实施方式中,该步骤S201还可以是直接获取对数据包进行分片处理后的报文集;提高了该阻断方法应用的灵活性。
可选的,该阻断设备在抓取内网向外发送的数据包时,可以采用直接将网卡的数据映射到用户态,不经过操作系统内核;也就是说,可以将网卡在内核态的数据映射到用户态的缓存区中,例如存储数据的地址列表,从而不需要将内核态的数据完整地拷贝到用户态的缓存区,减少了数据拷贝的次数,与现有技术中,网卡接收数据包后经过内核函数处理,然后逐层(TCP/IP)上传,一直到应用层接口socket相比,具有获取数据效率高和资源占用小的优点。
可选的,每个子报文均包括报头、子报文长度以及分片标识的信息,从而后续可以基于子报文长度或者分片标识来判断该子报文是否为最后一个报文。
S202:放行该N个子报文中的非目标子报文。
可选的,步骤S202可以具体阐述为:放行N-1个子报文,以进一步提高上网速度。可选的,N还可以等于4、5或者6等,该非目标子报文的数据也可是N-2个,N-3个等。
于一种可行的实施例中,为了避免公司的信息外泄,提高公司内部信息的保密的严密性,该阻断方法可以是对于所有网络出口传出的数据均进行拦截判断,即为上述步骤202以及下文S203-S205;于另一种可行的实施例中,参阅图3,图3为本申请第二种可选的阻断方法的流程示意图。为了提高用户在使用内网进行信息查询或者发送文件于外网的速度,步骤S202可以具体阐述为:获取该报文集的协议类型,若该协议类型属于第一预设协议类型集,缓存该报文集,并放行该N个子报文中的非目标子报文;若该协议类型属于第二预设协议类型集,则放行该报文集。
可选的,该第一预设协议类型集包括超文本传输协议(Hyper Text TransferProtocol,HTTP)、简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)和文件传输协议(File Transfer Protocol,FTP)等应用层协议,其对应的应用例如:谷歌,搜狗、QQ等;第二预设协议类型集主要包括网络管理协议。
S203:拦截该N个子报文中的目标子报文。
可选的,该目标子报文为该N个子报文在传递过程中传递的最后一个子报文,对应地当分片标识FM=0,即可确定该子报文为目标子报文。
S204:基于该N个子报文确定检测结果。
于一种可行的实施例中,参阅图4,图4为本申请第三种可选的阻断方法的流程示意图。步骤S204可以具体表示为:
S2041:对该N个子报文进行重组、解析操作,得到目标文件。
由于现有技术中常常抓取到的数据为word或者excel等格式文件,具有解析过程复杂,效率低的缺点,为了提高检测效率,可选的,步骤S2041可以具体阐述为:对所述N个子报文进行重组操作,得到初始文件,对所述初始文件进行格式转换操作,得到所述目标文件;例如,将word格式的数据转换为text格式。
可选的,从图3可以看出,在对不同协议的报文信息进行提取时,可以采用并行处理的方式进行,从而提高了数据处理的效率。
可选的,对于HTTP协议的文件,由于其协议比较复杂,为了提高处理效率,则可以采用两个子模块协同工作,从而实现对基于HTTP报文信息生成对应的文件;可选的,该阻断设备包括第一处理子模块和第二处理子模块,第一处理子模块用于对HTTP报文信息进行提取操作,当其提取操作完成后,会生成相应的通知给第二处理子模块,并将提取操作完成的相应文件放置缓存块中,以使第二处理子模块从该缓存块中提取上述文件,并进行进一步的文件提取操作,以生成待转换文件,同理,当第二处理子模块提取了上述文件后也会生成相应的应答发送给第一处理子模块,以使二者可以协同,上述两个子模块交互的信息集合即为图3中的信号池。
S2042:获取预设检测策略。
于一种可行的实施例中,该预设检测策略包括关键字检测策略;该关键字检测策略为:若该目标文件中存在预设关键字,且该预设关键字的个数大于等于预设阈值,则确定该目标文件的检测结果为存在敏感信息;否则,确定该检测结果为不存在敏感信息。
可选的,该关键字包括多种类型,例如文件内容的关键字、文件编辑者的名字或者文件发送者身份。
可选的,可以依据正则表达式、指纹和数据标识符等方式对目标文件的内容进行检测。例如,采用正则表达式的方式可以检测如下类型字段“中汽***”,采用指纹的方式可以是通过将现存的保密文件(每个保密文件设置一个指纹码)与目标文件进行匹配,若匹配出的相似度为80%及以上,即可认为该目标文件为该保密文件,即检测结果为存在敏感信息,具体的匹配方式即为上述文件内容的关键字的匹配方式;该数据标识符的检测策略主要是为了识别出身份证号或者手机号等数据信息,其可以应用于对这些信息需要严密保护的公司,例如银行、证券公司等,通过该数据标识符的检测策略可以直接将识别到的数据为身份证和手机号的文件确定为存在敏感信息。
可选的,为了进一步提高检测效率;该预设检测策略还包括文件格式检测策略;例如,当传输的文件为cad格式时,直接可以判定该数据包为存在敏感信息。
需要说明的是,本申请可以选择上述的一种或者多种策略对目标文件进行检测。
S2043:基于该预设检测策略对该目标文件进行检测,得到该检测结果。
S205:若该检测结果为存在敏感信息,则删除该目标子报文;否则,放行该目标子报文。从而阻断了该报文集在接收端的重组,使得接收端不能接收到目标文件。
为了避免基于接收端的请求,使得发送端不断发送存在敏感信息的文件,增加了系统资源的消耗;于另一种可行的实施例中,步骤S2043之后,该阻断方法还包括:若该检测结果为存在敏感信息,则生成阻断通知信息, 将该阻断通知信息发送给该报文集对应的发送端和接收端。
可选的,参阅图5,图5为本申请一种可选的阻断系统的结构图。该阻断系统还包括中心管理平台102,该能够集中管理阻断设备,能够定制并下预设检测策略;并对阻断设备上报的阻断事件进行审计、分类、告警等操作。其中,审计可以为对阻断事件的准确性进行进一步判断,分类可以是对检测结果的分类,本申请实施例中可以根据需要对检测结果进行敏感等级划分,当等级越高,则该目标文件的敏感性越高,当中心管理平台102接收到不同等级的阻断事件,则可以基于该阻断事件等级的不同,将该阻断事件发送给对应的人员,该人员是基于公司的组织架构设置的;可选的,该人员可以是中层领导、高层领导和保密科室的审计人员。
从图5可以进一步看出,公司的内网可以分为敏感网络和非敏感网络,该敏感网络即为待防护网络;对于敏感网络,通过在其网络的出口串连上阻断设备,从而可以实现对其的传输的数据的检测和防护,而对于非敏感网络,则不需要对其进行管控。
可选的,为了进一步提高该阻断方法的应用灵活性,还可以将该敏感网路分为多个子网络,可以基于网卡信息对子网络进行区分,后续可以通过预设的待抓取网卡信息对对应的子网络的数据包进行防护。
参阅图6,图6为本申请一种可选的阻断装置的结构示意图。本申请于另一方面还公开了一种防止数据外泄的阻断装置,设置于阻断设备中,该阻断设备以串行连接的方式接入到待防护网络的出口,包括:
获取模块601,用于获取报文集;该报文集包括N个子报文,该N为大于等于1的整数;
放行模块602,用于放行该N个子报文中的非目标子报文;
拦截模块603,用于拦截该N个子报文中的目标子报文;
确定模块604,用于基于该N个子报文确定检测结果;
判断模块605,用于若该检测结果为存在敏感信息,则删除该目标子报文;否则,放行该目标子报文。
于一种可行的实施例中,该目标子报文为该N个子报文在传递过程中传递的最后一个子报文;
该装置包括:
确定模块,用于对该N个子报文进行重组、解析操作,得到目标文件,获取预设检测策略,基于该预设检测策略对该目标文件进行检测,得到该检测结果。
于一种可行的实施例中,该预设检测策略包括关键字检测策略;
该关键字检测策略为:
若该目标文件中存在预设关键字,且该预设关键字的个数大于等于预设阈值,则确定该目标文件的检测结果为存在敏感信息;否则,确定该检测结果为不存在敏感信息。
于一种可行的实施例中,该装置还包括:
阻断通知信息生成模块,用于若该检测结果为存在敏感信息,则生成阻断通知信息;
发送模块,用于将该阻断通知信息发送给该报文集对应的发送端和接收端。
于一种可行的实施例中,该获取模块包括:
获取子模块,用于获取数据包;
分片子模块,用于对该数据包进行分片处理,得到报文集;该报文集包括N个子报文,该N为大于等于1的整数。
于一种可行的实施例中,放行模块包括:
协议类型获取模块,用于获取该报文集的协议类型;
放行子模块,用于若该协议类型属于第一预设协议类型集,缓存该报文集,并放行该N个子报文中的非目标子报文。
于一种可行的实施例中,放行子模块,还用于若该协议类型属于第二预设协议类型集,则放行该报文集。
本申请实施例所提供的方法实施例可以在计算机终端、服务器或者类似的运算装置中执行。以运行在服务器上为例,图7是本申请一种可选的阻断方法的服务器的硬件结构框图。如图7所示,该服务器700可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(Central Processing Units,CPU)710(中央处理器710可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器730,一个或一个以上存储应用程序723或数据722的存储介质720(例如一个或一个以上海量存储设备)。其中,存储器730和存储介质720可以是短暂存储或持久存储。存储在存储介质720的程序可以包括一个或一个以上模块,每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器710可以设置为与存储介质720通信,在服务器700上执行存储介质720中的一系列指令操作。服务器700还可以包括一个或一个以上电源760,一个或一个以上有线或无线网络接口750,一个或一个以上输入输出接口740,和/或,一个或一个以上操作系统721,例如Windows ServerTM,Mac OS XTM,UnixTM, LinuxTM,FreeBSDTM等等。
输入输出接口740可以用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器700的通信供应商提供的无线网络。在一个实例中,输入输出接口740包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,输入输出接口740可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
本领域普通技术人员可以理解,图7所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,服务器700还可包括比图7中所示更多或者更少的组件,或者具有与图7所示不同的配置。
本申请的实施例还提供了一种电子设备,该电子设备包括处理器和存储器,存储器中存储有至少一条指令、至少一段程序、代码集或指令集,该至少一条指令、该至少一段程序、该代码集或该指令集由处理器加载并执行以实现如上述的阻断方法。
可选的,在本实施例中,上述存储介质可以位于计算机网络的多个网络服务器中的至少一个网络服务器。可选的,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
由上述本申请提供的阻断方法、装置及存储介质的实施例可见,本申请中获取报文集;该报文集包括N个子报文,该N为大于等于1的整数,从而可以放行该N个子报文中的非目标子报文,并拦截该N个子报文中的目标子报文;后续可以基于该N个子报文确定检测结果;若该检测结果为存在敏感信息,则删除该目标子报文;否则,放行该目标子报文。如此,可以在降低设备成本的基础上,提高数据由内网传至外网的效率。
需要说明的是:上述本申请实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本申请的较佳实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种防止数据外泄的阻断方法,其特征在于,应用于阻断设备,包括以下步骤:
获取报文集;所述报文集包括N个子报文,所述N为大于等于1的整数;
放行所述N个子报文中的非目标子报文;
拦截所述N个子报文中的目标子报文;
基于所述N个子报文确定检测结果;
若所述检测结果为存在敏感信息,则删除所述目标子报文;否则,放行所述目标子报文;
所述阻断设备以串行连接的方式接入到待防护网络的出口。
2.根据权利要求1所述的阻断方法,其特征在于,所述目标子报文为所述N个子报文在传递过程中传递的最后一个子报文;
所述基于所述N个子报文确定检测结果,包括:
对所述N个子报文进行重组、解析操作,得到目标文件;
获取预设检测策略;
基于所述预设检测策略对所述目标文件进行检测,得到所述检测结果。
3.根据权利要求2所述的阻断方法,其特征在于,所述预设检测策略包括关键字检测策略;
所述关键字检测策略为:
若所述目标文件中存在预设关键字,且所述预设关键字的个数大于等于预设阈值,则确定所述目标文件的检测结果为存在敏感信息;否则,确定所述检测结果为不存在敏感信息。
4.根据权利要求2所述的阻断方法,其特征在于,所述基于所述预设检测策略对所述目标文件进行检测,得到所述检测结果之后,还包括:
若所述检测结果为存在敏感信息,则生成阻断通知信息;
将所述阻断通知信息发送给所述报文集对应的发送端和接收端。
5.根据权利要求1所述的阻断方法,其特征在于,所述获取报文集;所述报文集包括N个子报文,所述N为大于等于1的整数,包括:
获取数据包;
对所述数据包进行分片处理,得到报文集;所述报文集包括N个子报文,所述N为大于等于1的整数。
6.根据权利要求1所述的阻断方法,其特征在于,所述放行所述N个子报文中的非目标子报文,包括:
获取所述报文集的协议类型;
若所述协议类型属于第一预设协议类型集,缓存所述报文集,并放行所述N个子报文中的非目标子报文。
7.根据权利要求6所述的阻断方法,其特征在于,所述获取所述报文集的协议类型之后,还包括:
若所述协议类型属于第二预设协议类型集,则放行所述报文集。
8.一种防止数据外泄的阻断装置,其特征在于,设置于阻断设备中,所述阻断设备以串行连接的方式接入到待防护网络的出口,包括:
获取模块,用于获取报文集;所述报文集包括N个子报文,所述N为大于等于1的整数;
放行模块,用于放行所述N个子报文中的非目标子报文;
拦截模块,用于拦截所述N个子报文中的目标子报文;
确定模块,用于基于所述N个子报文确定检测结果;
判断模块,用于若所述检测结果为存在敏感信息,则删除所述目标子报文;否则,放行所述目标子报文。
9.一种电子设备,所述电子设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1-7任一所述的阻断方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行以实现如权利要求1-7任一项所述的阻断方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111627730.0A CN113992453A (zh) | 2021-12-29 | 2021-12-29 | 一种防止数据外泄的阻断方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111627730.0A CN113992453A (zh) | 2021-12-29 | 2021-12-29 | 一种防止数据外泄的阻断方法、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113992453A true CN113992453A (zh) | 2022-01-28 |
Family
ID=79734847
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111627730.0A Pending CN113992453A (zh) | 2021-12-29 | 2021-12-29 | 一种防止数据外泄的阻断方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992453A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117240603A (zh) * | 2023-11-10 | 2023-12-15 | 紫光恒越技术有限公司 | 数据传输方法、系统、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105656937A (zh) * | 2016-03-11 | 2016-06-08 | 北京中测安华科技有限公司 | 一种基于深度内容解析的http协议数据防外泄方法及系统 |
| CN105656765A (zh) * | 2016-03-11 | 2016-06-08 | 北京中测安华科技有限公司 | 一种基于深度内容解析的smtp协议数据防外泄方法及系统 |
| CN113037551A (zh) * | 2021-03-08 | 2021-06-25 | 中国移动通信集团广西有限公司 | 一种基于流量切片的涉敏业务快速识别定位方法 |
| US11068611B1 (en) * | 2018-07-31 | 2021-07-20 | Ca, Inc. | Systems and methods for preventing data loss from data containers |
-
2021
- 2021-12-29 CN CN202111627730.0A patent/CN113992453A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105656937A (zh) * | 2016-03-11 | 2016-06-08 | 北京中测安华科技有限公司 | 一种基于深度内容解析的http协议数据防外泄方法及系统 |
| CN105656765A (zh) * | 2016-03-11 | 2016-06-08 | 北京中测安华科技有限公司 | 一种基于深度内容解析的smtp协议数据防外泄方法及系统 |
| US11068611B1 (en) * | 2018-07-31 | 2021-07-20 | Ca, Inc. | Systems and methods for preventing data loss from data containers |
| CN113037551A (zh) * | 2021-03-08 | 2021-06-25 | 中国移动通信集团广西有限公司 | 一种基于流量切片的涉敏业务快速识别定位方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117240603A (zh) * | 2023-11-10 | 2023-12-15 | 紫光恒越技术有限公司 | 数据传输方法、系统、装置、电子设备及存储介质 |
| CN117240603B (zh) * | 2023-11-10 | 2024-02-06 | 紫光恒越技术有限公司 | 数据传输方法、系统、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10218740B1 (en) | Fuzzy hash of behavioral results | |
| Arora et al. | Minimizing network traffic features for android mobile malware detection | |
| US10192052B1 (en) | System, apparatus and method for classifying a file as malicious using static scanning | |
| US8775333B1 (en) | Systems and methods for generating a threat classifier to determine a malicious process | |
| US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
| US8805995B1 (en) | Capturing data relating to a threat | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| CN110365674B (zh) | 一种预测网络攻击面的方法、服务器和系统 | |
| EP2863611A1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| US20240007498A1 (en) | Apparatus for providing mail security service using hierarchical architecture based on security level and operation method therefor | |
| CN111371778B (zh) | 攻击团伙的识别方法、装置、计算设备以及介质 | |
| US11374946B2 (en) | Inline malware detection | |
| CN112165455A (zh) | 数据访问控制方法、装置、计算机设备和存储介质 | |
| JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| CN110381047B (zh) | 一种网络攻击面追踪的方法、服务器和系统 | |
| US11568416B2 (en) | Cryptocurrency transaction pattern based threat intelligence | |
| CN114490280A (zh) | 一种日志处理方法、装置、设备及介质 | |
| CN113992453A (zh) | 一种防止数据外泄的阻断方法、装置及存储介质 | |
| US7971054B1 (en) | Method of and system for real-time form and content classification of data streams for filtering applications | |
| CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
| US9146704B1 (en) | Document fingerprinting for mobile phones | |
| CN115552401A (zh) | 一种快应用检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220128 |
|
| RJ01 | Rejection of invention patent application after publication |