CN114626074B - 一种防护数据泄漏的方法、装置、存储介质及计算机设备 - Google Patents

一种防护数据泄漏的方法、装置、存储介质及计算机设备 Download PDF

Info

Publication number
CN114626074B
CN114626074B CN202210141795.2A CN202210141795A CN114626074B CN 114626074 B CN114626074 B CN 114626074B CN 202210141795 A CN202210141795 A CN 202210141795A CN 114626074 B CN114626074 B CN 114626074B
Authority
CN
China
Prior art keywords
behavior log
key information
terminal
information
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210141795.2A
Other languages
English (en)
Other versions
CN114626074A (zh
Inventor
王宇
段定龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Serval Technology Co ltd
Original Assignee
Hangzhou Serval Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Serval Technology Co ltd filed Critical Hangzhou Serval Technology Co ltd
Priority to CN202210141795.2A priority Critical patent/CN114626074B/zh
Publication of CN114626074A publication Critical patent/CN114626074A/zh
Application granted granted Critical
Publication of CN114626074B publication Critical patent/CN114626074B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例公开了一种防护数据泄漏的方法、装置、存储介质及计算机设备,该方法通过基于终端的行为日志提取关键信息,然后根据提取的关键信息来判定终端是否传输违规文件,并在终端传输违规文件的情况下,执行阻断策略,以阻止文件的传输,从而解决了文件的违规传输而造成的数据泄漏的问题,提高了数据的安全性,也避免了违规传输文件而对个人、企业或政府部门造成损失。

Description

一种防护数据泄漏的方法、装置、存储介质及计算机设备
技术领域
本发明涉及信息安全技术领域,具体而言涉及一种防护数据泄漏的方法、装置、存储介质及计算机设备。
背景技术
随着互联网的高速发展及普及,互联网应用已经成为日常个人、企业或政府部门等获得信息和发布信息的主要手段。互联网所提供的共享信息给人们生活带来便捷,同时,也增加了一些重要数据泄漏的风险。而数据泄漏不仅会威胁数据的安全性,也会给个人、企业或政府部门造成严重损失。
发明内容
有鉴于此,本发明实施例提供了一种防护数据泄漏的方法、装置、存储介质及计算机设备,以解决数据泄漏不仅会威胁数据的安全性,也会给个人、企业或政府部门造成严重损失的问题。
第一方面,本发明实施例提供了一种防护数据泄漏的方法,应用于分析平台,所述方法包括:
接收各终端上传的行为日志;
提取每个所述行为日志的所有关键信息;
基于每个所述行为日志的所有关键信息,判定所述行为日志对应的终端是否传输违规文件,若是,则执行阻断策略。
在一种可能的实现方式中,所述接收各终端上传的行为日志之后还包括:
判断每个所述行为日志是否包含敏感信息,若是,则去除每个所述行为日志的敏感信息,以对所述行为日志进行脱敏。
在一种可能的实现方式中,所述判断每个所述行为日志是否包含敏感信息包括:
基于所述敏感信息对应的格式,构建预设正则表达式;
利用所述预设正则表达式分别判断每个所述行为日志中是否包含所述敏感信息。在一种可能的实现方式中,所述接收各终端上传的行为日志包括:
与各终端建立局域网;
通过所述局域网接收各终端上传的行为日志。
在一种可能的实现方式中,基于每个所述行为日志的所有关键信息,判定所述行为日志对应的终端是否传输违规文件包括:
判断每个所述行为日志的关键信息是否包含预设关键信息类型对应的关键信息,若是,则确定所述行为对应的终端传输违规文件;若否,将每个所述关键信息与预设信息进行匹配,得到每个所述行为日志的所有关键信息的匹配结果,并基于每个所述行为日志的所有关键信息的匹配结果,判定所述行为日志对应的终端是否传输违规文件。
在一种可能的实现方式中,所述将每个所述关键信息与预设信息进行匹配,得到每个所述行为日志的所有关键信息的匹配结果包括:
接收上一级分析平台派发的匹配规则;确定每个所述关键信息的类型;
基于每个所述关键信息的类型,确定相应的匹配规则;
将每个所述关键信息按照相应的匹配规则与预设信息进行匹配,得到每个所述行为日志的所有关键信息的匹配结果。
在一种可能的实现方式中,所述基于每个所述行为日志的所有关键信息的匹配结果,判定所述行为日志对应的终端是否传输违规文件包括:
判断每个所述行为日志的所有关键信息的匹配结果是否满足违规条件,若是,则确定所述行为日志对应的终端传输违规文件;若否,则确定所述行为日志对应的终端没有发现传输违规文件。
在一种可能的实现方式中,所述阻断策略包括向传输违规文件的终端发送重新启动操作系统的指令、向传输违规文件的终端发送阻断传输的指令、向传输违规文件的终端发送删除违规传输的文件的指令、向传输违规文件的终端发送隔离违规传输的文件的指令、显示告警信息、向传输违规文件的终端发送禁止将违规传输的文件存储至移动设备的指令、向传输违规文件的终端发送禁止刻录违规传输的文件至光盘的指令、向传输违规文件的终端发送禁止打印违规传输的文件的指令、向传输违规文件的终端发送禁止通过邮箱、蓝牙信道、网络硬盘和/或通讯软件发送违规传输的文件的指令中的至少一种。
在一种可能的实现方式中,所述基于每个所述行为日志的所有关键信息,判定所述行为日志对应的终端是否传输违规文件之后还包括:
将所述行为日志进行加密存储。
在一种可能的实现方式中,所述各终端上传的行为日志为加密行为日志;所述接收各终端上传的行为日志之后还包括:
对所述加密行为日志进行解密。
第二方面,本发明实施例提供了一种防护数据泄漏的方法,应用于终端,所述方法包括:
获取终端的行为日志;
提取所述行为日志的所有关键信息;
基于所述行为日志的所有关键信息,判定所述终端是否传输违规文件,若是,则执行阻断策略。
在一种可能的实现方式中,所述获取终端的行为日志之后还包括:
判断每个所述行为日志是否包含敏感信息,若是,则去除每个所述行为日志的敏感信息,以对所述行为日志进行脱敏。
在一种可能的实现方式中,所述判断每个所述行为日志是否包含敏感信息包括:
基于所述敏感信息对应的格式,构建预设正则表达式;
利用所述预设正则表达式分别判断每个所述行为日志中是否包含所述敏感信息。
在一种可能的实现方式中,基于所述行为日志的所有关键信息,判定所述终端是否传输违规文件包括:
判断每个所述行为日志的关键信息是否包含预设关键信息类型对应的关键信息,若是,则确定所述行为对应的终端传输违规文件;若否,则将每个所述关键信息与预设信息进行匹配,得到所述行为日志的所有关键信息的匹配结果,并基于所述行为日志的所有关键信息的匹配结果,判定所述终端是否传输违规文件。
在一种可能的实现方式中,所述将每个所述关键信息与预设信息进行匹配,得到所述行为日志的所有关键信息的匹配结果包括:
获取预制的匹配规则;
确定每个所述关键信息的类型;
基于每个所述关键信息的类型,确定相应的匹配规则;
将每个所述关键信息按照相应的匹配规则与预设信息进行匹配,得到所述行为日志的所有关键信息的匹配结果。
在一种可能的实现方式中,所述基于所述行为日志的所有关键信息的匹配结果,判定所述终端是否传输违规文件包括:
判断所述行为日志的所有关键信息的匹配结果是否满足违规条件,若是,则确定所述终端传输违规文件;若否,则确定所述终端没有发现传输违规文件。
在一种可能的实现方式中,所述阻断策略包括重新启动操作系统、阻断文件的传输、删除违规传输的文件、隔离违规传输的文件、显示告警信息、禁止将违规传输的文件存储至移动设备、禁止通过邮箱、禁止刻录违规传输的文件至光盘、禁止打印违规传输的文件、禁止通过邮箱、蓝牙信道、网络硬盘和/或通讯软件发送违规传输的文件中的至少一种。
第三方面,本发明实施例提供了一种防护数据泄漏的分析平台,包括:
接收模块,用于接收各终端上传的行为日志;
第一提取模块,用于提取每个所述行为日志的所有关键信息;
第一判定模块,用于基于每个所述行为日志的所有关键信息,判定所述行为日志对应的终端是否传输违规文件,若是,则执行阻断策略。
第四方面,本发明实施例提供了一种防护数据泄漏的终端,包括:
获取模块,获取终端的行为日志;
第二提取模块,用于提取所述行为日志的所有关键信息;
第二判定模块,用于基于所述行为日志的所有关键信息,判定所述终端是否传输违规文件,若是,则执行阻断策略。
第五方面,本发明实施例提供了一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行上述的防护数据泄漏的方法对应的操作。
第六方面,本发明实施例提供了一种计算机设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述的防护数据泄漏的方法对应的操作。
根据本发明实施例所提供的一种防护数据泄漏的方法、装置、存储介质及计算机设备,该方法通过基于终端的行为日志提取关键信息,然后根据提取的关键信息来判定终端是否传输违规文件,并在终端传输违规文件的情况下,执行阻断策略,以阻止文件的传输,从而解决了文件的违规传输而造成的数据泄漏的问题,提高了数据的安全性,也避免了违规传输文件而对个人、企业或政府部门造成损失。
附图说明
本发明的下列附图在此作为本发明实施例的一部分用于理解本发明。附图中示出了本发明的实施例及其描述,用来解释本发明的原理。
附图中:
图1为根据本发明的一个可选实施例的防护数据泄漏的方法的流程图;
图2为根据本发明的一个可选实施例的步骤S101之后的流程图;
图3为根据本发明的一个可选实施例的步骤S201的流程图;
图4为根据本发明的一个可选实施例的步骤S101的流程图;
图5为根据本发明的一个可选实施例的步骤S103的流程图;
图6为将每个关键信息与预设信息进行匹配,得到每个行为日志的所有关键信息的匹配结果步骤的流程图;
图7为基于每个行为日志的所有关键信息的匹配结果,判定行为日志对应的终端是否传输违规文件步骤的流程图;
图8为根据本发明的另一个可选实施例的防护数据泄漏的方法的流程图;
图9为根据本发明的一个可选实施例的步骤S801之后的流程图;
图10为根据本发明的一个可选实施例的步骤S901的流程图;
图11为根据本发明的一个可选实施例的步骤S803的流程图;
图12为将每个关键信息与预设信息进行匹配,得到每个行为日志的所有关键信息的匹配结果步骤的流程图;
图13为基于每个行为日志的所有关键信息的匹配结果,判定行为日志对应的终端是否传输违规文件步骤的流程图;
图14为根据本发明的一个可选实施例的防护数据泄漏的分析平台的结构示意图;
图15为根据本发明的一个可选实施例的防护数据泄漏的终端的结构示意图;
图16为根据本发明的一个可选实施例的电子设备的结构示意图;
图17为根据本发明的一可选实施例的防护数据泄漏系统的结构图。
具体实施方式
在下文的描述中,给出了大量具体的细节以便提供对本发明更为彻底的理解。然而,对于本领域技术人员而言显而易见的是,本发明可以无需一个或多个这些细节而得以实施。在其他的例子中,为了避免与本发明发生混淆,对于本领域公知的一些技术特征未进行描述。
应予以注意的是,这里所使用的术语仅是为了描述具体实施例,而非意图限制根据本发明的示例性实施例。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式。此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或附加一个或多个其他特征、整体、步骤、操作、元件、组件和/或它们的组合。
现在,将参照附图更详细地描述根据本发明的示例性实施例。然而,这些示例性实施例可以通过多种不同的形式来实施,并且不应当被解释为只限于这里所阐述的实施例。应当理解的是,提供这些实施例是为了使得本发明的公开彻底且完整,并且将这些示例性实施例的构思充分传达给本领域普通技术人员。
第一方面,如图1所示,本发明实施例提供了一种防护数据泄漏的方法,应用于分析平台,包括:
步骤S101:接收各终端上传的行为日志。
分析平台可以是一个实体的服务器,具体地,如图17所示多个分析平台形成多层次的连级分析平台系统,也就是由第一级分析平台至第N级别分析平台组成,其中,N为大于1的正整数,处于下级的分析平台可以通过网络与其所属的上级分析平台及下级分析平台进行交互,第一级分析平台还与各终端进行交互,进一步地,每一级分析平台的数量可由工作人员进行设置,例如,第一级分析平台的数量为大于一个,从而可以将第一级分析平台分别布置在不同地点,如不同的城市,从而同时进行多区域的数据处理。在一些实施例中,分析平台还配置有本地数据中心、本地管控平台以及远程云服务管控平台,本地数据中心用于对该方法所涉及的数据进行存储,如行为日志、提取的关键信息、脱敏数据、以及各种数据的备份,本地管控平台及远程云服务管控平台用于管理员进行匹配规则的编辑、展示后续的提取的关键信息以及告警信息等。
网络可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。终端包括但不限于智能手机、平板电脑、笔记本电脑和台式电脑等等。行为日志包括但不限于操作系统的进程、文件及网络流量数据等,数据将存储于本地数据中心,并按照用户粒度进行汇聚。在本实施例中,将各终端的行为日志上传至分析平台进行统一的处理,可以降低各终端的数据处理的负担。
具体地,可以在终端安装终端软件传感器,终端软件传感器可以包括内核态驱动程序,也可以包括用户态服务框架,用户态服务框架可以处理一些轻量级的文件数据等,但是为了保障数据获取的完整度,同时避免获取的数据存在泄露的风险,可以优先选择内核态驱动程序,与此同时,终端软件传感器还可以同时包括用户态服务框架和内核态驱动程序,若终端软件传感器还可以同时包括用户态服务框架和内核态驱动程序,则获取行为日志的过程为,内核态驱动程序主要负责采集用户在终端进行操作所产生的行为日志,并实现完整性校验与自我保护,用户态服务框架主要负责接收由内核态驱动程序所采集的各行为日志,并对其进行解析、加密等操作。
步骤S102:提取每个行为日志的所有关键信息。
关键信息为与终端传输的文件或行为相关的信息,关键信息包括但不限于于终端所传输文件的关键词,例如xxxx年度财报数据、职工工资条、现金流量表、未审计财务报表等;内部工程代号、芯片代号、自定义芯片引脚信息、内部源代码注释信息、内部编译路径、文件名、文件格式、文件属性与扩展名。
步骤S103:基于每个行为日志的所有关键信息,判定行为日志对应的终端是否传输违规文件,若是,则执行步骤S104。
步骤S104:执行阻断策略。
在终端传输违规文件的情况下,执行阻断策略,以阻止文件的传输,从而解决了文件的违规传输而造成的数据泄漏的问题,提高了数据的安全性,也避免了违规传输文件而对个人、企业或政府部门造成损失。
具体地,在上述实施例中,如图2所示,步骤S101之后还包括:
步骤S201:判断每个行为日志是否包含敏感信息,若是,则执行步骤S202。
其中,敏感信息包括但不限于终端的用户信息(如计算机名称、账户名称、IP地址、MAC地址等)、传输文件路径中所包含的用户信息(如C:\Users\"User-Name"\...)、传输文件中包含的用户信息(如手机号、银行卡账号及身份证号码等)、网络数据报文中包含的用户信息(如cookie信息、密钥等)。
步骤S202:去除每个行为日志的敏感信息,以对行为日志进行脱敏。
在本实施例中,通过对每个行为日志进行脱敏处理,从而避免敏感信息泄露的风险,也避免了管理员通过查看行为日志而得到敏感信息,以提高用户的个人信息的安全性。
在具体应用中,如图3所示,判断每个行为日志是否包含敏感信息具体包括:
步骤S301:基于敏感信息对应的格式,构建预设正则表达式。
对于发明实施例,为了避免重复数据参与计算,在基于敏感信息对应的格式,构建预设正则表达式之前,方法还包括:确定每个行为日志的各字符;基于各字符在其对应的行为日志中的位置信息,确定各行为日志对应的特征向量;根据特征向量,计算各行为日志中任意两个行为日志之间的余弦相似度;若余弦相似度大于预设相似度,则将任意两个行为日志中的任意一个行为日志删除,得到去重后的各行为日志。
其中,位置信息具体可以为各字符在各行为日志中的位置顺序,例如,一个行为日志中的字符为“腾讯视频”,字符“腾”对应的位置信息为1,字符“讯”对应的位置信息为2,以此类推,能够确定各行为日志中各字符对应的位置信息。
具体地,首先通过Word2Vec等词嵌入方法将各行为日志中的各字符转化为字符向量,之后根据各字符对应的位置信息,对各字符进行编码,得到各字符对应的位置编码,具体可以根据如下公式确定各字符对应的位置编码,
Figure BDA0003506659710000081
Figure BDA0003506659710000082
其中,PE为各字符对应的位置编码,其维度与各字符对应的字符向量维度相同,pos表示各字符在其对应的行为日志中的位置,dmodel表示字符向量的维度,i表示字符向量的位置,上述公式表示在每个字符的字符向量的偶数位置添加sin变量,奇数位置添加cos变量,由此能够得到各字符对应的位置编码,之后将各字符对应的字符向量和位置编码相加,得到各行为日志对应的特征向量,之后计算各行为日志中任意两个行为日志之间的余弦相似度,具体计算公式如下:
Figure BDA0003506659710000083
其中,cos(θ)表示任意两个行为日志之间的余弦相似度,xi表示任意量个行为日志中的一个行为日志对应的特征向量,yi表示另一个行为日志对应的特征向量,n表示特征向量中的向量数量,由此按照上述计算公式能够计算各行为日志中任意两个行为日志之间的余弦相似度,并判断余弦相似度是否大于预设相似度,若大于预设相似度,则说明任意两个行为日志为相似数据,则将相似数据中的任意一个数据删除,得到去除重复数据后的各行为日志,之后分别判断去重后的各行为日志中是否包含敏感信息,具体判断去重后的各行为日志中是否包含敏感信息方法为,可以根据敏感信息中电话号、日期和身份证号等信息的特殊格式,构建相应的预设正则表达式,并利用该预设正则表达式,分别对各行为日志中的敏感信息进行标记提示,具体过程如,若敏感信息为日期,则可添加预设正则表达式如下:
/^[1-9]\d{3}-(0[1-9]|1[0-2])-(0[1-9]|[1-2][0-9]|3[0-1])$/
用于识别诸如2014-01-01等格式的日期,并对识别到的日期进行高亮提示或者添加下划线提示,方便用户根据标记提示信息在各行为日志中确定敏感信息。
步骤S302:利用预设正则表达式分别判断每个行为日志中是否包含敏感信息。
进一步地,在上述实施例中,如图4所示,步骤S101包括:
步骤S401:与各终端建立局域网。
在一个特定的区域内,将分析平台与各终端相互联成一个计算机组,以构建分析平台与各终端的局域网。
步骤S402:通过局域网接收各终端上传的行为日志。
分析平台通过局域网接收各终端上传的行为日志,相比于通过互联网来接收各终端上传的行为日志,不仅省去了网络互联设备,降低成本,而且还降低了行为日志被窃取的风险,提高了数据的安全性。具体地,在上述实施例中,如图5所示,步骤S103具体包括:
步骤S501:判断每个行为日志的关键信息是否包含预设关键信息类型对应的关键信息,若是,则执行步骤S502,若否,则执行步骤S503。
其中,预设关键信息类型可由工作人员自行设置,具体地,预设关键信息类型可以包括但不限于源代码、设计图纸(如芯片设计图纸等)、原始备份(如电影原始拷贝等)中的一种或多种,当然也可以包括其他类型,本实施例不做严格限定。
步骤S502:确定行为对应的终端传输违规文件。
在本实施例中,先确定关键信息中是否包含预设关键信息类型对应的关键信息,在行为日志的关键信息中包含预设关键信息类型对应的关键信息的情况下,就可以直接确定相应的终端传输了违规文件,从而提高了工作效率。
步骤S503:将每个关键信息与预设信息进行匹配,得到每个行为日志的所有关键信息的匹配结果,并基于每个行为日志的所有关键信息的匹配结果,判定行为日志对应的终端是否传输违规文件。
在关键信息不包含预设关键信息类型对应的关键信息的情况下,将每个行为日志所提取的关键信息逐一与预设信息进行匹配,从而得到每个行为日志的所有关键信息的匹配结果,然后基于每个行为日志的所有关键信息的匹配结果,判定行为日志对应的终端是否传输违规文件。
具体地,如图6所示,将每个关键信息与预设信息进行匹配,得到每个行为日志的所有关键信息的匹配结果具体地包括:
步骤S601:接收上一级分析平台派发的匹配规则。
步骤S602:确定每个关键信息的类型。
根据每个关键信息所包含的内容确定关键信息的类型,例xxxx年度财报数据、职工工资条、现金流量表、未审计财务报表及文件名等,属于文字的类型;文件格式、文件属性与扩展名,属于文件格式、文件属性与扩展名的类型。
步骤S603:基于每个关键信息的类型,确定相应的匹配规则。
针对不同类型的关键信息,确定相适配的匹配规则,这样就可以增加匹配速度以及匹配结果的准确性。示例性的,对于数字类型的关键信息,其相对应的匹配规则为数字匹配规则,对于文字类型的关键信息,其对应的匹配规则为正则表达式的匹配规则。
匹配规则可以由工作人员预先存储在分析平台内,匹配规则包括但不限于基于数字、固定字符串的匹配规则、基于通配符的匹配规则、基于关键词组的匹配规则、基于正则表达式的匹配规则、基于文件格式、属性与扩展名的匹配规则、基于脚本的匹配规则。
步骤S604:将每个关键信息按照相应的匹配规则与预设信息进行匹配,得到每个行为日志的所有关键信息的匹配结果。
示例性的,如果关键信息为终端所传输的文件名,例如xxx年财务报表,其对应关键词组的匹配规则,则将关键信息与关键词组进行逐一匹配,最终确定该关键信息的匹配结果为财务报表。
具体地,如图7所示,基于每个行为日志的所有关键信息的匹配结果,判定行为日志对应的终端是否传输违规文件包括如下步骤:
步骤S701:判断每个行为日志的所有关键信息的匹配结果是否满足违规条件,若是,则执行步骤S702;若否,则执行步骤S703。
违规条件可以由工作人员根据实际情况进行设置。例如:违规条件为行为日志的关键信息中包括财务数据、职工工资条、现金流量表、未审计财务报表等关键字,则匹配结果为财务报表、职工工资条、现金流量表、未审计财务报表的关键信息满足违规条件。当然,为了提高准确性,违规条件也可以设置多个条件,例如行为日志的关键信息中包括财务数据、职工工资条、现金流量表、未审计财务报表等关键字并且每个关键字的匹配成功次数大于或等于预设次数。
步骤S702:确定行为日志对应的终端传输违规文件。
步骤S703:确定行为日志对应的终端没有发现传输违规文件。
进一步地,阻断策略包括向传输违规文件的终端发送重新启动操作系统的指令、向传输违规文件的终端发送阻断传输的指令、向传输违规文件的终端发送删除违规传输的文件的指令、向传输违规文件的终端发送隔离违规传输的文件的指令、显示告警信息、向传输违规文件的终端发送禁止将违规传输的文件存储至移动设备的指令、向传输违规文件的终端发送禁止刻录违规传输的文件至光盘的指令、向传输违规文件的终端发送禁止打印违规传输的文件的指令、向传输违规文件的终端发送禁止通过邮箱、蓝牙信道、网络硬盘和/或通讯软件发送违规传输的文件的指令中的至少一种。
在具体应用中,阻断策略可以包括上述阻断方式中的一种或者多种,在阻断策略包括多种阻断方式的情况下,可以增加阻断的有效性,从而确保能够有效地阻断违规文件的传输。
进一步地,在上述实施例中,步骤S103之后还包括:将行为日志进行加密存储。
将行为日志进行加密存储,从而提高行为日志存储的安全性,并且也能有效保护用户信息的隐私性。其中,加密方法可以采用现有的任意的加密方法,本实施例不做严格限定。
进一步地,各终端上传的行为日志为加密行为日志,从而避免在传输过程中,行为日志被其他设备所截获而导致行为日志外泄,提高了行为日志传输的安全性。相适应的,在步骤S101之后还包括:对加密行为日志进行解密,以使后续步骤能够对行为日志进行处理分析。
第二方面,如图8所示,本发明实施例提供了一种防护数据泄漏的方法,应用于终端,方法包括:
步骤S801:获取终端的行为日志。
在本实施例中,该方法直接应用在终端中,从而免去了传输行为日志的过程,从而提高了行为日志的获取速度,进而提高了整个方法的处理速度。
步骤S802:提取行为日志的所有关键信息。
步骤S803:基于行为日志的所有关键信息,判定终端是否传输违规文件,若是,则执行步骤S804。
步骤S804:执行阻断策略。
步骤S802-S804可参见上述实施例中的步骤S102-S104,在此不再赘述。
具体地,在上述实施例中,如图9所示,步骤S101之后还包括:
步骤S901:判断每个行为日志是否包含敏感信息,若是,则执行步骤S902。
步骤S902:去除每个行为日志的敏感信息,以对行为日志进行脱敏。
步骤S901-S902可参见上述实施例中的步骤S201-S202,在此不再赘述。
在具体应用中,如图10所示,判断每个行为日志是否包含敏感信息具体包括:
步骤S1001:基于敏感信息对应的格式,构建预设正则表达式。
步骤S1002:利用预设正则表达式分别判断每个行为日志中是否包含敏感信息。
步骤S1001-S1002可参见上述实施例中的步骤S301-S302,在此不再赘述。
进一步地,在上述实施例中,如图11所示,步骤S803具体包括:
步骤S1101:判断每个行为日志的关键信息是否包含预设关键信息类型对应的关键信息,若是,则执行步骤S1102,若否,则执行步骤S1103。
步骤S1102:确定行为对应的终端传输违规文件。
步骤S1103:将每个关键信息与预设信息进行匹配,得到每个行为日志的所有关键信息的匹配结果,并基于每个行为日志的所有关键信息的匹配结果,判定行为日志对应的终端是否传输违规文件。
步骤S1101-S1103可参见上述实施例中的步骤S501-S503,在此不再赘述。
具体地,如图12所示,将每个关键信息与预设信息进行匹配,得到每个行为日志的所有关键信息的匹配结果包括如下步骤:
步骤S1201:获取预制的匹配规则。
其中,在终端内预先存储匹配规则,从而可以减少数据交互的过程,从而提高匹配速度及效率。
步骤S1202:确定每个关键信息的类型。
步骤S1203:基于每个关键信息的类型,确定相应的匹配规则。
步骤S1204:将每个关键信息与预设信息进行匹配,得到行为日志的所有关键信息的匹配结果。
步骤S1201-S1204可参见上述实施例中的步骤S601-S602,在此不再赘述。
具体地,如图13所示,基于每个行为日志的所有关键信息的匹配结果,判定行为日志对应的终端是否传输违规文件具体包括:
步骤S1301:判断行为日志的所有关键信息的匹配结果是否满足违规条件,若是,则执行步骤S1302;若否,则执行步骤S1303。
步骤S1302:确定终端传输违规文件。
步骤S1303:确定终端所传输没有发现传输违规文件。
步骤S1301-S1303可参见上述实施例中的步骤S701-S703,在此不再赘述。
在一种可能的实现方式中,阻断策略包括重新启动操作系统、阻断文件的传输、删除违规传输的文件、隔离违规传输的文件、显示告警信息、禁止将违规传输的文件存储至移动设备、禁止刻录违规传输的文件至光盘、禁止打印违规传输的文件、禁止通过邮箱、蓝牙信道、网络硬盘和/或通讯软件发送违规传输的文件中的至少一种。
在具体应用中,阻断策略可以包括上述阻断方式中的一种或者多种,在阻断策略包括多种阻断方式的情况下,可以增加阻断的有效性,从而确保能够有效地阻断违规文件的传输。
第三方面,如图14所示,本发明实施例提供了一种防护数据泄漏的分析平台,包括:
接收模块1401,用于接收各终端上传的行为日志;
第一提取模块1402,用于提取每个行为日志的所有关键信息;
第一判定模块1403,用于基于每个行为日志的所有关键信息,判定行为日志对应的终端是否传输违规文件,若是,则执行阻断策略。
第四方面,如图15所示,本发明实施例提供了一种防护数据泄漏的终端,包括:
获取模块1501,获取终端的行为日志;
第二提取模块1502,用于提取行为日志的所有关键信息;
第二判定模块1503,用于基于行为日志的所有关键信息,判定终端是否传输违规文件,若是,则执行阻断策略。
第五方面,本发明实施例提供了一种存储介质,存储介质中存储有至少一可执行指令,可执行指令使处理器执行上述的防护数据泄漏的方法对应的操作。
第六方面,图16示出了根据本发明一个实施例提供的一种计算机设备的结构示意图,本发明具体实施例并不对计算机设备的具体实现做限定。
如图16所示,该计算机设备可以包括:处理器(Processor)1602、通信接口(Communications Interface)1604、存储器(Memory)1606、以及通信总线1608。
其中:处理器1602、通信接口1604、以及存储器1606通过通信总线1608完成相互间的通信。
通信接口1604,用于与其它设备比如客户端或其它服务器等的网元通信。
处理器1602,用于执行程序1610,具体可以执行上述防护数据泄漏的方法实施例中的相关步骤。
具体地,程序1610可以包括程序代码,该程序代码包括计算机操作指令。
处理器1602可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。计算机设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器1606,用于存放程序1610。存储器1606可能包含高速RAM存储器,也可能还包括非易失性存储器(Non-volatile Memory),例如至少一个磁盘存储器。
本发明已经通过上述实施例进行了说明,但应当理解的是,上述实施例只是用于举例和说明的目的,而非意在将本发明限制于所描述的实施例范围内。此外本领域技术人员可以理解的是,本发明并不局限于上述实施例,根据本发明的教导还可以做出更多种的变型和修改,这些变型和修改均落在本发明所要求保护的范围以内。本发明的保护范围由附属的权利要求书及其等效范围所界定。

Claims (13)

1.一种防护数据泄漏的方法,应用于分析平台,多个分析平台形成多层次的连级分析平台系统,处于下级的分析平台可以通过网络与其所属的上级分析平台及下级分析平台进行交互,第一级分析平台还与各终端进行交互,第一级分析平台的数量为大于一个,将第一级分析平台分别布置在不同地点,以同时进行多区域的数据处理;分析平台配置有本地数据中心、本地管控平台以及远程云服务管控平台,本地数据中心用于对数据进行存储,本地管控平台及远程云服务管控平台用于管理员进行匹配规则的编辑、展示提取的关键信息以及告警信息,其特征在于,所述方法包括:
接收各终端上传的行为日志;其中,终端安装终端软件传感器,终端软件传感器包括内核态驱动程序,或用户态服务框架,或者内核态驱动程序及用户态服务框架;并且在终端软件传感器包括内核态驱动程序及用户态服务框架的情况下,内核态驱动程序用于收集用户在终端进行操作所产生的行为日志,并实现完整性校验与自我保护,用户态服务框架接收由内核态驱动程序所采集的各行为日志,并对其进行解析;
提取每个所述行为日志的所有关键信息;
基于每个所述行为日志的所有关键信息,判定所述行为日志对应的终端是否传输违规文件,若是,则执行阻断策略;
所述接收各终端上传的行为日志之后还包括:
判断每个所述行为日志是否包含敏感信息,若是,则去除每个所述行为日志的敏感信息,以对所述行为日志进行脱敏;
所述判断每个所述行为日志是否包含敏感信息包括:
基于所述敏感信息对应的格式,构建预设正则表达式;
利用所述预设正则表达式分别判断每个所述行为日志中是否包含所述敏感信息;
基于每个所述行为日志的所有关键信息,判定所述行为日志对应的终端是否传输违规文件包括:
判断每个所述行为日志的关键信息是否包含预设关键信息类型对应的关键信息,若是,则确定所述行为日志对应的终端传输违规文件;若否,则将每个所述关键信息与预设信息进行匹配,得到每个所述行为日志的所有关键信息的匹配结果,并基于每个所述行为日志的所有关键信息的匹配结果,判定所述行为日志对应的终端是否传输违规文件;
所述将每个所述关键信息与预设信息进行匹配,得到每个所述行为日志的所有关键信息的匹配结果包括:
接收上一级分析平台派发的匹配规则;
确定每个所述关键信息的类型;
基于每个所述关键信息的类型,确定相应的匹配规则;
将每个所述关键信息按照相应的匹配规则与预设信息进行匹配,得到每个所述行为日志的所有关键信息的匹配结果。
2.根据权利要求1所述的方法,其特征在于,所述接收各终端上传的行为日志包括:
与各终端建立局域网;
通过所述局域网接收各终端上传的行为日志。
3.根据权利要求1所述的方法,其特征在于,所述基于每个所述行为日志的所有关键信息的匹配结果,判定所述行为日志对应的终端是否传输违规文件包括:
判断每个所述行为日志的所有关键信息的匹配结果是否满足违规条件,若是,则确定所述行为日志对应的终端传输违规文件;若否,则确定所述行为日志对应的终端没有发现传输违规文件。
4.根据权利要求1所述的方法,其特征在于,所述阻断策略包括向传输违规文件的终端发送重新启动操作系统的指令、向传输违规文件的终端发送阻断传输的指令、向传输违规文件的终端发送删除违规传输的文件的指令、向传输违规文件的终端发送隔离违规传输的文件的指令、显示告警信息、向传输违规文件的终端发送禁止将违规传输的文件存储至移动设备的指令、向传输违规文件的终端发送禁止刻录违规传输的文件至光盘的指令、向传输违规文件的终端发送禁止打印违规传输的文件的指令、向传输违规文件的终端发送禁止通过邮箱、蓝牙信道、网络硬盘和/或通讯软件发送违规传输的文件的指令中的至少一种。
5.根据权利要求1所述的方法,其特征在于,所述基于每个所述行为日志的所有关键信息,判定所述行为日志对应的终端是否传输违规文件之后还包括:
将所述行为日志进行加密存储。
6.根据权利要求1所述的方法,其特征在于,所述各终端上传的行为日志为加密行为日志;所述接收各终端上传的行为日志之后还包括:
对所述加密行为日志进行解密。
7.一种防护数据泄漏的方法,应用于终端,其特征在于,所述方法包括:
获取终端的行为日志;其中,终端安装终端软件传感器,终端软件传感器包括内核态驱动程序,或用户态服务框架,或者内核态驱动程序及用户态服务框架;并且在终端软件传感器包括内核态驱动程序及用户态服务框架的情况下,内核态驱动程序用于收集用户在终端进行操作所产生的行为日志,并实现完整性校验与自我保护,用户态服务框架接收由内核态驱动程序所采集的各行为日志,并对其进行解析;
提取所述行为日志的所有关键信息;
基于所述行为日志的所有关键信息,判定所述终端是否传输违规文件,若是,则执行阻断策略;
所述获取终端的行为日志之后还包括:
判断每个所述行为日志是否包含敏感信息,若是,则去除每个所述行为日志的敏感信息,以对所述行为日志进行脱敏;
所述判断每个所述行为日志是否包含敏感信息包括:
基于所述敏感信息对应的格式,构建预设正则表达式;
利用所述预设正则表达式分别判断每个所述行为日志中是否包含所述敏感信息;
基于所述行为日志的所有关键信息,判定所述终端是否传输违规文件包括:
判断每个所述行为日志的关键信息是否包含预设关键信息类型对应的关键信息,若是,则确定所述行为日志对应的终端传输违规文件;若否,则将每个所述关键信息与预设信息进行匹配,得到所述行为日志的所有关键信息的匹配结果,并基于所述行为日志的所有关键信息的匹配结果,判定所述终端是否传输违规文件;
所述将每个所述关键信息与预设信息进行匹配,得到所述行为日志的所有关键信息的匹配结果包括:
获取预制的匹配规则;
确定每个所述关键信息的类型;
基于每个所述关键信息的类型,确定相应的匹配规则;
将每个所述关键信息按照相应的匹配规则与预设信息进行匹配,得到所述行为日志的所有关键信息的匹配结果。
8.根据权利要求7所述的方法,其特征在于,所述基于所述行为日志的所有关键信息的匹配结果,判定所述终端是否传输违规文件包括:
判断所述行为日志的所有关键信息的匹配结果是否满足违规条件,若是,则确定所述终端传输违规文件;若否,则确定所述终端没有发现传输违规文件。
9.根据权利要求7所述的方法,其特征在于,所述阻断策略包括重新启动操作系统、阻断文件的传输、删除违规传输的文件、隔离违规传输的文件、显示告警信息、禁止将违规传输的文件存储至移动设备、禁止刻录违规传输的文件至光盘、禁止打印违规传输的文件、禁止通过邮箱、蓝牙信道、网络硬盘和/或通讯软件发送违规传输的文件中的至少一种。
10.一种防护数据泄漏的分析平台,其特征在于,多个分析平台形成多层次的连级分析平台系统,处于下级的分析平台可以通过网络与其所属的上级分析平台及下级分析平台进行交互,第一级分析平台还与各终端进行交互,第一级分析平台的数量为大于一个,将第一级分析平台分别布置在不同地点,以同时进行多区域的数据处理;分析平台配置有本地数据中心、本地管控平台以及远程云服务管控平台,本地数据中心用于对数据进行存储,本地管控平台及远程云服务管控平台用于管理员进行匹配规则的编辑、展示提取的关键信息以及告警信息,所述分析平台包括:
接收模块,用于接收各终端上传的行为日志;其中,终端安装终端软件传感器,终端软件传感器包括内核态驱动程序,或用户态服务框架,或者内核态驱动程序及用户态服务框架;并且在终端软件传感器包括内核态驱动程序及用户态服务框架的情况下,内核态驱动程序用于收集用户在终端进行操作所产生的行为日志,并实现完整性校验与自我保护,用户态服务框架接收由内核态驱动程序所采集的各行为日志,并对其进行解析;
第一提取模块,用于提取每个所述行为日志的所有关键信息;
第一判定模块,用于基于每个所述行为日志的所有关键信息,判定所述行为日志对应的终端是否传输违规文件,若是,则执行阻断策略;
所述第一判定模块,还用于判断每个所述行为日志是否包含敏感信息,若是,则去除每个所述行为日志的敏感信息,以对所述行为日志进行脱敏;
所述第一判定模块,还具体用于基于所述敏感信息对应的格式,构建预设正则表达式;
利用所述预设正则表达式分别判断每个所述行为日志中是否包含所述敏感信息;
所述第一判定模块,还具体用于判断每个所述行为日志的关键信息是否包含预设关键信息类型对应的关键信息,若是,则确定所述行为日志对应的终端传输违规文件;若否,则将每个所述关键信息与预设信息进行匹配,得到每个所述行为日志的所有关键信息的匹配结果,并基于每个所述行为日志的所有关键信息的匹配结果,判定所述行为日志对应的终端是否传输违规文件;
所述第一判定模块,还具体用于接收上一级分析平台派发的匹配规则;
确定每个所述关键信息的类型;
基于每个所述关键信息的类型,确定相应的匹配规则;
将每个所述关键信息按照相应的匹配规则与预设信息进行匹配,得到每个所述行为日志的所有关键信息的匹配结果。
11.一种防护数据泄漏的终端,其特征在于,包括:
获取模块,获取终端的行为日志;其中,终端安装终端软件传感器,终端软件传感器包括内核态驱动程序,或用户态服务框架,或者内核态驱动程序及用户态服务框架;并且在终端软件传感器包括内核态驱动程序及用户态服务框架的情况下,内核态驱动程序用于收集用户在终端进行操作所产生的行为日志,并实现完整性校验与自我保护,用户态服务框架接收由内核态驱动程序所采集的各行为日志,并对其进行解析;
第二提取模块,用于提取所述行为日志的所有关键信息;
第二判定模块,用于基于所述行为日志的所有关键信息,判定所述终端是否传输违规文件,若是,则执行阻断策略;
所述第二判定模块,还用于判断每个所述行为日志是否包含敏感信息,若是,则去除每个所述行为日志的敏感信息,以对所述行为日志进行脱敏;
所述第二判定模块,还具体用于基于所述敏感信息对应的格式,构建预设正则表达式;
利用所述预设正则表达式分别判断每个所述行为日志中是否包含所述敏感信息;
所述第二判定模块,还具体用于判断每个所述行为日志的关键信息是否包含预设关键信息类型对应的关键信息,若是,则确定所述行为日志对应的终端传输违规文件;若否,则将每个所述关键信息与预设信息进行匹配,得到所述行为日志的所有关键信息的匹配结果,并基于所述行为日志的所有关键信息的匹配结果,判定所述终端是否传输违规文件;
所述第二判定模块,还具体用于获取预制的匹配规则;
确定每个所述关键信息的类型;
基于每个所述关键信息的类型,确定相应的匹配规则;
将每个所述关键信息按照相应的匹配规则与预设信息进行匹配,得到所述行为日志的所有关键信息的匹配结果。
12.一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-6中任一项或如权利要求7-9中任一项所述的防护数据泄漏的方法对应的操作。
13.一种计算机设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-6中任一项或如权利要求7-9中任一项所述的防护数据泄漏的方法对应的操作。
CN202210141795.2A 2022-02-16 2022-02-16 一种防护数据泄漏的方法、装置、存储介质及计算机设备 Active CN114626074B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210141795.2A CN114626074B (zh) 2022-02-16 2022-02-16 一种防护数据泄漏的方法、装置、存储介质及计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210141795.2A CN114626074B (zh) 2022-02-16 2022-02-16 一种防护数据泄漏的方法、装置、存储介质及计算机设备

Publications (2)

Publication Number Publication Date
CN114626074A CN114626074A (zh) 2022-06-14
CN114626074B true CN114626074B (zh) 2023-07-14

Family

ID=81898827

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210141795.2A Active CN114626074B (zh) 2022-02-16 2022-02-16 一种防护数据泄漏的方法、装置、存储介质及计算机设备

Country Status (1)

Country Link
CN (1) CN114626074B (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8881259B2 (en) * 2012-12-18 2014-11-04 Verizon Patent And Licensing Inc. Network security system with customizable rule-based analytics engine for identifying application layer violations
CN112711770A (zh) * 2019-10-25 2021-04-27 顺丰科技有限公司 敏感行为阻断方法、装置、终端及存储介质
CN111753332A (zh) * 2020-06-29 2020-10-09 上海通联金融服务有限公司 基于敏感信息规则在日志写入阶段完成日志脱敏的方法
CN112685771A (zh) * 2020-12-28 2021-04-20 平安普惠企业管理有限公司 日志脱敏方法、装置、设备及存储介质
CN113486400A (zh) * 2021-07-16 2021-10-08 北京明朝万达科技股份有限公司 一种数据防泄漏方法、装置、电子设备及可读存储介质

Also Published As

Publication number Publication date
CN114626074A (zh) 2022-06-14

Similar Documents

Publication Publication Date Title
US9654510B1 (en) Match signature recognition for detecting false positive incidents and improving post-incident remediation
ES2965917T3 (es) Detección de debilidad de seguridad e infiltración y reparación en contenido de sitio web ofuscado
US11206280B2 (en) Cyber security threat management
Weber The digital future–A challenge for privacy?
US8146135B2 (en) Establishing and enforcing security and privacy policies in web-based applications
CN112217835B (zh) 报文数据的处理方法、装置、服务器和终端设备
Li et al. A study on the service and trend of Fintech security based on text-mining: Focused on the data of Korean online news
US10958657B2 (en) Utilizing transport layer security (TLS) fingerprints to determine agents and operating systems
CN112685771A (zh) 日志脱敏方法、装置、设备及存储介质
Makura et al. Proactive forensics: Keystroke logging from the cloud as potential digital evidence for forensic readiness purposes
US20160301693A1 (en) System and method for identifying and protecting sensitive data using client file digital fingerprint
CN113177205A (zh) 一种恶意应用检测系统及方法
CN117459324B (zh) Gpt模型的访问方法、设备及计算机可读存储介质
Holmes et al. A framework for live host-based Bitcoin wallet forensics and triage
Paulson Assessing data phishing risks associated with unencrypted apps on smartphones with non-parametric test and random forest model: Insights from Kuwait phishing scam calls
KR101349762B1 (ko) 개인정보를 보호하고 관리하는 방법
US9904662B2 (en) Real-time agreement analysis
CN114626074B (zh) 一种防护数据泄漏的方法、装置、存储介质及计算机设备
CN114866276B (zh) 异常传输文件的终端检测方法、装置、存储介质及设备
CN114553519B (zh) 网页加密方法、装置、电子设备及存储介质
CN118484840B (zh) 基于区块链技术的信创数据资产安全管理与溯源系统
CN112328652B (zh) 基于手机取证电子数据的涉毒情报挖掘方法
CN116781375A (zh) 敏感信息检测方法、装置、电子设备及介质
Cheng et al. Characterizing the Security Threats of Disposable Phone Numbers
CN116846601A (zh) 一种日志加密方法、装置、电子设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant