CN114866276B - 异常传输文件的终端检测方法、装置、存储介质及设备 - Google Patents
异常传输文件的终端检测方法、装置、存储介质及设备 Download PDFInfo
- Publication number
- CN114866276B CN114866276B CN202210278249.3A CN202210278249A CN114866276B CN 114866276 B CN114866276 B CN 114866276B CN 202210278249 A CN202210278249 A CN 202210278249A CN 114866276 B CN114866276 B CN 114866276B
- Authority
- CN
- China
- Prior art keywords
- file
- terminal
- information
- behavior
- dimension
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 249
- 238000000034 method Methods 0.000 title claims abstract description 49
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 30
- 230000006399 behavior Effects 0.000 claims description 271
- 238000012546 transfer Methods 0.000 claims description 71
- 238000004458 analytical method Methods 0.000 claims description 53
- 230000000903 blocking effect Effects 0.000 claims description 35
- 238000004891 communication Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 2
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 239000000284 extract Substances 0.000 abstract 1
- 239000013598 vector Substances 0.000 description 13
- 238000004364 calculation method Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 1
- 238000000586 desensitisation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种异常传输文件的终端检测方法、装置、存储介质及计算机设备,该方法根据每个维度基线,提取行为日志在与每个维度基线相对应的维度下的文件传输行为信息,之后将每个文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果,如果其中至少一个比对结果为文件传输行为信息不符合对应的维度基线,则将终端确定为异常传输文件的终端,这样就能检测出来终端是否存在异常传输文件的情况,从而有利于个人、企业或政府部门发现内部或机密文件的威胁态势,进而降低违规传输内部或者机密文件而导致重要数据泄漏的风险,提高了数据的安全性,也避免了违规传输文件而对个人、企业或政府部门造成损失。
Description
技术领域
本发明涉及信息安全技术领域,具体而言涉及一种异常传输文件的终端检测方法、装置、存储介质及设备。
背景技术
随着互联网的高速发展及普及,互联网应用已经成为日常个人、企业或政府部门等获得信息和发布信息的主要手段。互联网所提供的共享信息给人们生活带来便捷,同时,也会因为违规传输内部或者机密文件而增加一些重要数据泄漏的风险。而数据泄漏不仅会威胁数据的安全性,也会给个人、企业或政府部门造成严重损失。
发明内容
有鉴于此,本发明实施例提供了一种异常传输文件的终端检测方法、装置、存储介质及设备,以解决数据泄漏不仅会威胁数据的安全性,也会给个人、企业或政府部门造成严重损失的问题。
第一方面,本发明实施例提供了一种异常传输文件的终端检测方法,所述方法包括:
获取终端的行为日志及至少一个维度基线;
根据每个所述维度基线,提取所述行为日志在与每个所述维度基线相对应的维度下的文件传输行为信息;
将每个所述文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果;
如果其中至少一个比对结果为所述文件传输行为信息不符合对应的维度基线,则将所述终端确定为异常传输文件的终端,如果所有比对结果均为所述文件传输行为信息符合对应的维度基线,则将所述终端确定为异常传输文件的终端。
在一种可能的实现方式中,所述文件传输行为信息包括文件传输时间及对应的文件传输数量、预设时间内文件传输数量、文件传输渠道及终端信息的至少一种;
所述至少一个维度基线包括文件传输时间基线、预设时间段内文件传输数量基线、文件传输渠道的规则基线及文件传输主体的规则基线中的至少一种。
在一种可能的实现方式中,在至少一个所述维度基线包括文件传输时间基线,所述文件传输行为信息包括文件传输时间的情况下,所述将每个所述文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果包括:
判断所述文件传输时间是否位于所述文件传输时间基线所显示的正常文件传输的时间段内;如果所述文件传输时间不位于所述文件传输时间基线所显示的正常文件传输的时间段内,则判断对应的文件传输数量是否大于或等于预设文件传输数量,若是,则所述比对结果为文件传输行为信息不符合对应的维度基线;若否,则所述比对结果为文件传输行为信息符合对应的维度基线;
如果所述文件传输时间位于所述文件传输时间基线所显示的正常文件传输的时间段内,则所述比对结果为文件传输行为信息符合对应的维度基线。
在一种可能的实现方式中,在至少一个所述维度基线包括预设时间段内文件传输数量基线,所述文件传输行为信息包括预设时间段内文件传输数量的情况下,所述将每个所述文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果包括:
判断所述预设时间段内文件传输数量是否大于或等于所述文件传输数量基线在所述预设时间段内所显示的传输文件数量,若是,则所述比对结果为文件传输行为信息不符合对应的维度基线;若否,则所述比对结果为文件传输行为信息符合对应的维度基线。
在一种可能的实现方式中,在至少一个所述维度基线包括所述文件传输渠道的规则基线,所述文件传输行为信息包括所述文件传输渠道的情况下,所述将每个所述文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果包括:
判断所述文件传输渠道是否为所述文件传输渠道的规则基线所显示的渠道,若是,则所述比对结果为文件传输行为信息符合对应的维度基线;若否,则所述比对结果为文件传输行为信息不符合对应的维度基线。
在一种可能的实现方式中,在至少一个所述维度基线包括所述文件传输主体的规则基线,所述文件传输行为信息包括所述终端信息的情况下,所述将每个所述文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果包括:
判断所述终端信息是否为所述文件传输主体的规则基线所显示的主体,若是,则所述比对结果为文件传输行为信息符合对应的维度基线;若否,则所述比对结果为文件传输行为信息不符合对应的维度基线。
在一种可能的实现方式中,所述如果其中至少一个比对结果为所述文件传输行为信息符合对应的维度基线,则将所述终端确定为异常传输文件的终端之后还包括:
对所述异常传输文件的终端进行标记,和/或发送告警信息。
在一种可能的实现方式中,所述如果其中至少一个比对结果为所述文件传输行为信息符合对应的维度基线,则将所述终端确定为异常传输文件的终端之后还包括:
接收阻断策略启动指令;
基于所述阻断策略启动指令,执行所述阻断策略。
在一种可能的实现方式中,所述获取终端上传的行为日志包括:
与终端建立局域网;
通过所述局域网接收终端上传的行为日志。
在一种可能的实现方式中,所述获取终端的行为日志及至少一个维度基线之后包括:
判断所述行为日志是否包含敏感信息,若是,则去除所述行为日志的敏感信息,以对所述行为日志进行脱敏。
在一种可能的实现方式中,所述判断所述行为日志是否包含敏感信息包括:
基于所述敏感信息对应的格式,构建预设正则表达式;
利用所述预设正则表达式分别判断所述行为日志中是否包含所述敏感信息。
在一种可能的实现方式中,对所述异常传输文件的终端进行标记,和/或发送告警信息之后还包括:
提取所述行为日志的所有关键信息;
基于所述行为日志的所有关键信息,判定所述行为日志对应的终端是否传输违规文件,若是,则对违规传输文件的终端执行阻断策略。
在一种可能的实现方式中,基于所述行为日志的所有关键信息,判定所述行为日志对应的终端是否传输违规文件包括:
判断所述行为日志的关键信息是否包含预设关键信息类型对应的关键信息,若是,则确定所述行为对应的终端传输违规文件;若否,则将每个所述关键信息与预设信息进行匹配,得到所述行为日志的所有关键信息的匹配结果,并基于所述行为日志的所有关键信息的匹配结果,判定所述行为日志对应的终端是否传输违规文件。
在一种可能的实现方式中,所述将每个所述关键信息与预设信息进行匹配,得到所述行为日志的所有关键信息的匹配结果包括:
接收上一级分析平台派发的匹配规则;
确定每个所述关键信息的类型;
基于每个所述关键信息的类型,确定相应的匹配规则;
将每个所述关键信息按照相应的匹配规则与预设信息进行匹配,得到所述行为日志的所有关键信息的匹配结果。
在一种可能的实现方式中,所述基于所述行为日志的所有关键信息的匹配结果,判定所述行为日志对应的终端是否传输违规文件包括:
判断所述行为日志的所有关键信息的匹配结果是否满足违规条件,若是,则确定所述行为日志对应的终端传输违规文件;若否,则确定所述行为日志对应的终端没有发现传输违规文件。
在一种可能的实现方式中,所述阻断策略包括向传输违规文件的终端发送重新启动操作系统的指令、向传输违规文件的终端发送阻断传输的指令、向传输违规文件的终端发送删除违规传输的文件的指令、向传输违规文件的终端发送隔离违规传输的文件的指令、向传输违规文件的终端发送加密违规传输的文件的指令、显示告警信息、向传输违规文件的终端发送禁止将违规传输的文件存储至移动设备的指令、向传输违规文件的终端发送禁止通过邮箱、蓝牙信道、网络硬盘和/或通讯软件发送违规传输的文件的指令中的至少一种。
在一种可能的实现方式中,所述基于所述行为日志的所有关键信息,判定所述行为日志对应的终端是否传输违规文件之后还包括:
将所述行为日志进行加密存储。
在一种可能的实现方式中,所述终端上传的行为日志为加密行为日志;所述获取终端的行为日志之后还包括:
对所述加密行为日志进行解密。
第二方面,本发明实施例提供了一种分析平台,包括:
获取模块,用于获取终端的行为日志及至少一个维度基线;
提取模块,用于根据每个所述维度基线,提取所述行为日志在与每个所述维度基线相对应的维度下的文件传输行为信息;
比对模块,用于将每个所述文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果;
判断模块,用于如果其中至少一个比对结果为所述文件传输行为信息不符合对应的维度基线,则将所述终端确定为异常传输文件的终端,如果所有比对结果均为所述文件传输行为信息符合对应的维度基线,则将所述终端确定为正常传输文件的终端。
第三方面,本发明实施例提供了一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行上述的异常传输文件终端的检测方法对应的操作。
第四方面,本发明实施例提供了一种计算机设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述的异常传输文件的终端检测方法对应的操作。
根据本发明实施例所提供的一种异常传输文件的终端检测方法、装置、存储介质及计算机设备,该方法首先获取终端的行为日志及至少一个维度基线,然后根据每个维度基线,提取行为日志在与每个维度基线相对应的维度下的文件传输行为信息,之后将每个文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果,如果其中至少一个比对结果为文件传输行为信息不符合对应的维度基线,则将终端确定为异常传输文件的终端,如果所有比对结果为文件传输行为信息符合对应的维度基线,则将终端确定为正常传输文件的终端,这样就能检测出来终端是否存在异常传输文件的情况,从而有利于个人、企业或政府部门发现内部或机密文件的威胁态势,进而降低违规传输内部或者机密文件而导致重要数据泄漏的风险,提高了数据的安全性,也避免了违规传输文件而对个人、企业或政府部门造成损失。
附图说明
本发明的下列附图在此作为本发明实施例的一部分用于理解本发明。附图中示出了本发明的实施例及其描述,用来解释本发明的原理。
附图中:
图1为根据本发明的一个可选实施例的异常传输文件的终端检测方法的流程图;
图2为根据本发明的一个可选实施例的步骤S103的流程图;
图3为根据本发明的另一个可选实施例的步骤S103的流程图;
图4为根据本发明的又一个可选实施例的步骤S103的流程图;
图5为根据本发明的又一个可选实施例的步骤S103的流程图;
图6为根据本发明的一个可选实施例的步骤S104之后的流程图;
图7为根据本发明的一个可选实施例的获取终端上传的行为日志的流程图;
图8为根据本发明的一个可选实施例的步骤S101之后的流程图;
图9为根据本发明的一个可选实施例的判断行为日志是否包含敏感信息的流程图;
图10为根据本发明的一个可选实施例的对异常传输文件的终端进行标记,和/或发送告警信息之后的流程图;
图11为根据本发明的一个可选实施例的步骤S1002的流程图;
图12为根据本发明的一个可选实施例的将每个关键信息与预设信息进行匹配,得到行为日志的所有关键信息的匹配结果的流程图;
图13根据本发明的一个可选实施例的基于行为日志的所有关键信息的匹配结果,判定行为日志对应的终端是否传输违规文件的流程图;
图14为根据本发明的一个可选实施例分析平台的结构示意图;
图15为根据本发明的一个可选实施例的计算机设备的结构示意图;
图16为根据本发明的一个可选实施例的异常传输文件的终端检测方法的应用场景。
具体实施方式
在下文的描述中,给出了大量具体的细节以便提供对本发明更为彻底的理解。然而,对于本领域技术人员而言显而易见的是,本发明可以无需一个或多个这些细节而得以实施。在其他的例子中,为了避免与本发明发生混淆,对于本领域公知的一些技术特征未进行描述。
应予以注意的是,这里所使用的术语仅是为了描述具体实施例,而非意图限制根据本发明的示例性实施例。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式。此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或附加一个或多个其他特征、整体、步骤、操作、元件、组件和/或它们的组合。
现在,将参照附图更详细地描述根据本发明的示例性实施例。然而,这些示例性实施例可以通过多种不同的形式来实施,并且不应当被解释为只限于这里所阐述的实施例。应当理解的是,提供这些实施例是为了使得本发明的公开彻底且完整,并且将这些示例性实施例的构思充分传达给本领域普通技术人员。
在本申请的一种异常传输文件的终端检测方法应用于分析平台,分析平台可以是一个实体的服务器,具体地,如图16所示多个分析平台形成多层次的级联分析平台系统,也就是由第一级分析平台至第N级别分析平台组成,其中,N为大于1的正整数,处于下级的分析平台可以通过网络与其所属的上级分析平台及下级分析平台进行交互,第一级分析平台还与各终端进行交互,进一步地,每一级分析平台的数量可由工作人员进行设置,例如,第一级分析平台的数量为大于一个,从而可以将第一级分析平台分别布置在不同地点,如不同的城市,城市X或城市Y,从而同时进行多区域的数据处理。在一些实施例中,分析平台还配置有本地数据中心、本地管控平台以及远程云服务管控平台,本地数据中心用于对该方法所涉及的数据进行存储,如行为日志、提取的关键信息、脱敏数据、以及各种数据的备份,本地管控平台及远程云服务管控平台用于管理员进行匹配规则的编辑、展示后续的提取的关键信息以及告警信息等。
网络可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。终端包括但不限于智能手机、平板电脑、笔记本电脑和台式电脑等等。行为日志包括但不限于操作系统的进程、文件及网络流量数据等,数据将存储于本地数据中心,并按照用户粒度进行汇聚。在本实施例中,将各终端(如终端A-终端D)的行为日志上传至分析平台进行统一的处理,可以降低各终端的数据处理的负担。
具体地,可以在终端安装终端软件传感器,终端软件传感器可以包括内核态驱动程序,也可以包括用户态服务框架,用户态服务框架可以处理一些轻量级的文件数据等,但是为了保障数据获取的完整度,同时避免获取的数据存在泄露的风险,可以优先选择内核态驱动程序,与此同时,终端软件传感器还可以同时包括用户态服务框架和内核态驱动程序,若终端软件传感器还可以同时包括用户态服务框架和内核态驱动程序,则获取行为日志的过程为,内核态驱动程序主要负责采集用户在终端进行操作所产生的行为日志,并实现完整性校验与自我保护,用户态服务框架主要负责接收由内核态驱动程序所采集的各行为日志,并对其进行解析、加密等操作。
下面对本申请的一种异常传输文件的终端的检测方法进行详细说明。
如图1所示,本发明实施例提供了一种异常传输文件的终端检测方法,该方法包括:
步骤S101:获取终端的行为日志及至少一个维度基线。
其中,维度基线包括但不限于文件传输时间基线、预设时间段内文件传输数量基线、文件传输渠道的规则基线及文件传输主体的规则基线中的至少一种。
维度基线可由历史的文件传输行为统计得到,例如文件传输时间基线就可由历史的文件传输时间及相应的传输文件数量统计得到,具体可由坐标系表示,横轴(x轴)表示文件传输时间,纵轴(y轴)表示文件传输数量。
在具体应用中,工作人员可根据实际需求配置维度基线的数量,也就是说可以配置上述维度基线中的一个,也可以配置两个或者两个以上的维度基线,从而提高后续判定的准确性。
步骤S102:根据每个维度基线,提取行为日志在与每个维度基线相对应的维度下的文件传输行为信息。
文件传输行为信息包括但不限于文件传输时间及对应的文件传输数量、预设时间内文件传输数量、文件传输渠道及终端信息的至少一种。
根据每个维度基线,提取相应的维度下的文件传输行为信息。示例性的,如果维度基线包括文件传输时间基线,则提取行为日志中的文件传输时间及对应的文件传输数量;如果维度基线包括预设时间段内文件传输数量基线、文件传输渠道的规则基线,则提取行为日志中的预设时间段内文件传输数量、文件传输渠道。
步骤S103:将每个文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果。
步骤S104:如果其中至少一个比对结果为文件传输行为信息不符合对应的维度基线,则将终端确定为异常传输文件的终端。
示例性的,假设维度基线包括预设时间段内文件传输数量基线、文件传输渠道的规则基线,文件传输行为信息包括预设时间段内文件传输数量、文件传输渠道,如果预设时间段内文件传输数量不符合预设时间段内文件传输数量基线,或者文件传输渠道不符合文件传输渠道的规则基线,或者预设时间段内文件传输数量不符合预设时间段内文件传输数量基线,并且文件传输渠道也不符合文件传输渠道的规则基线,均判定终端为异常传输文件的终端。
步骤S105:如果所有比对结果均为文件传输行为信息符合对应的维度基线,则将终端确定为正常传输文件的终端。
示例性的,假设维度基线包括预设时间段内文件传输数量基线、文件传输渠道的规则基线,文件传输行为信息包括预设时间段内文件传输数量、文件传输渠道,如果预设时间段内文件传输数量符合预设时间段内文件传输数量基线,并且文件传输渠道也符合文件传输渠道的规则基线,则判定终端为正常传输文件的终端。
在本实施例中,该方法能检测出来终端是否存在异常传输文件的情况,从而有利于个人、企业或政府部门发现内部或机密文件的威胁态势,进而降低违规传输内部或者机密文件而导致重要数据泄漏的风险,提高了数据的安全性,也避免了违规传输文件而对个人、企业或政府部门造成损失。
在一些实施例中,如图2所示,在至少一个维度基线包括文件传输时间基线,文件传输行为信息包括文件传输时间及对应的文件传输数量的情况下,步骤S103包括:
步骤S201:判断文件传输时间是否位于文件传输时间基线所显示的正常文件传输的时间段内,如果文件传输时间不位于文件传输时间基线所显示的正常文件传输的时间段内,则执行步骤S202;如果文件传输时间位于文件传输时间基线所显示的正常文件传输的时间段内,则执行步骤S203。
步骤S202:判断对应的文件传输数量是否大于或等于预设文件传输数量,若是,则执行步骤S2021;若否,则执行步骤S2022。
步骤S2021:比对结果为文件传输行为信息不符合对应的维度基线。
正常文件传输的时间段可由工作人员自行设置,一般正常文件传输的时间段通常为工作时间,例如正常文件传输的时间段为周一至周五的9:00-18:00。
示例性的,假设文件传输时间基线所显示的正常文件传输的时间段为周一至周五的9:00-18:00,预设文件传输数量为10个。如果文件传输时间为周日1:00且在该时间传输文件的数量为50个,这样该文件传输时间不位于文件传输时间基线所显示的正常文件传输的时间段内,并且传输文件的数量大于预设文件传输数量,就可以确定比对结果为文件传输行为信息不符合对应的维度基线。
步骤S2022:比对结果为文件传输行为信息符合对应的维度基线。
示例性的,假设文件传输时间基线所显示的正常文件传输的时间段为周一至周五的9:00-18:00,预设文件传输数量为10个。如果文件传输时间为周五20:00且在该时间传输文件的数量为2个,这样该文件传输时间不位于文件传输时间基线所显示的正常文件传输的时间段内,但是传输文件的数量小于预设文件传输数量,就可以确定比对结果为文件传输行为信息符合对应的维度基线,从而可以避免由于某些特殊情况需要传输一些文件而将比对结果误判为传输行为不符合对应的维度基线的情况发生,以提高比对结果的准确率。
步骤S203:比对结果为文件传输行为信息符合对应的维度基线。
示例性的,假设文件传输时间基线所显示的正常文件传输的时间段为周一至周五的9:00-18:00,如果文件传输时间为周五11:00,该文件传输时间位于文件传输时间基线所显示的正常文件传输的时间段内,这样无论文件传输数量是多少,都可确定比对结果为文件传输行为信息符合对应的维度基线。
在另一些实施例中,如图3所示,在至少一个维度基线包括预设时间段内文件传输数量基线,文件传输行为信息包括预设时间段内文件传输数量的情况下,步骤S103包括:
步骤S301:判断预设时间段内文件传输数量是否大于或等于文件传输数量基线在预设时间段内所显示的传输文件数量,若是,则执行步骤S302;若否,则执行步骤S303。
步骤S302:比对结果为文件传输行为信息不符合对应的维度基线。
步骤S303:比对结果为文件传输行为信息符合对应的维度基线。
预设时间段可由工作人员根据实际需求自行设置,本实施例对预设时间段不做严格限定。
示例性的,假设预设时间段为周一8:00至周三8:00,文件传输时间基线在该预设时间段所显示的传输文件数量为200,如果在该预设时间段内文件传输数量为300,则结果为文件传输行为信息不符合对应的维度基线。
而在另一个例子中,如图4所示,如果在该预设时间段内文件传输数量为100,则结果为文件传输行为信息符合对应的维度基线。
在又一些实施例中,在至少一个维度基线包括文件传输渠道的规则基线,文件传输行为信息包括文件传输渠道的情况下,步骤S103包括:
步骤S401:判断文件传输渠道是否为文件传输渠道的规则基线所显示的渠道,若是,则执行步骤S402;若否,则执行步骤S403。
步骤S402:比对结果为文件传输行为信息符合对应的维度基线。
步骤S403:比对结果为文件传输行为信息不符合对应的维度基线。
示例性的,假设文件传输渠道的规则基线所显示的渠道为邮件传输及蓝牙传输,如果文件传输渠道为邮件传输,则比对结果为文件传输行为信息符合对应的维度基线。
而在另一个例子中,如果文件传输渠道为网盘传输,则比对结果为文件传输行为信息不符合对应的维度基线。
在又一些实施例中,如图5所示,在至少一个维度基线包括文件传输主体的规则基线,文件传输行为信息包括文件传输主体的情况下,步骤S103包括:
步骤S501:判断终端信息是否为文件传输主体的规则基线所显示的主体,若是,则执行步骤S502;若否,则执行步骤S503。
步骤S502:比对结果为文件传输行为信息符合对应的维度基线。
步骤S503:比对结果为文件传输行为信息不符合对应的维度基线。
示例性的,假设文件传输主体的规则基线所显示的主体包括公司某财务部门的所有计算机的编号1001-1005,如果终端信息所包含的终端编号是1002,则确定比对结果为文件传输行为信息符合对应的维度基线。
在另一个例子中,如果终端信息所包含的终端编号是902,则确定比对结果为文件传输行为信息不符合对应的维度基线。
进一步地,在上述实施例中,步骤S104之后还包括:
对异常传输文件的终端进行标记,和/或发送告警信息。
在本实施例中,对异常传输文件的终端进行标记和/或发送告警信息,可使管理员重点对异常传输文件的终端进行排查,从而进一步鉴定该终端是否存在违规传输文件的行为。
进一步地,在上述实施例中,如图6所示,步骤S104之后还包括:
步骤S601:接收阻断策略启动指令。
阻断策略启动指令可以为人为触发,也可以为基于触发事件进行触发。
步骤S602:基于阻断策略启动指令,对异常文件传输的终端执行阻断策略。
其中,阻断策略包括向传输违规文件的终端发送重新启动操作系统的指令、向传输违规文件的终端发送阻断传输的指令、向传输违规文件的终端发送删除违规传输的文件的指令、向传输违规文件的终端发送隔离违规传输的文件的指令、向传输违规文件的终端发送加密违规传输的文件的指令、显示告警信息、向传输违规文件的终端发送禁止将违规传输的文件存储至移动设备的指令、向传输违规文件的终端发送禁止通过邮箱、蓝牙信道、网络硬盘和/或通讯软件发送违规传输的文件的指令中的至少一种。
在具体应用中,阻断策略可以包括上述阻断方式中的一种或者多种,在阻断策略包括多种阻断方式的情况下,可以增加阻断的有效性,从而确保能够有效地阻断违规文件的传输。
在本实施例中,对违规传输文件的终端执行阻断策略,从而避免违规传输文件的终端继续违规传输文件而造成更大的损失。
进一步地,在上述实施例中,如图7所示,步骤S101中的获取终端上传的行为日志包括:
步骤S701:与终端建立局域网。
在一个特定的区域内,将分析平台与终端相互联成一个计算机组,以构建分析平台与各终端的局域网。
步骤S702:通过局域网接收终端上传的行为日志。
分析平台通过局域网接收终端上传的行为日志,相比于通过互联网来接收各终端上传的行为日志,不仅省去了网络互联设备,降低成本,而且还降低了行为日志被窃取的风险,提高了数据的安全性。
进一步地,在上述实施例中,如图8所示,步骤S101之后包括:
步骤S801:判断行为日志是否包含敏感信息,若是,则步骤S802。
其中,敏感信息包括但不限于终端的用户信息(如计算机名称、账户名称、IP地址、MAC地址等)、传输文件路径中所包含的用户信息(如C:\Users\"User-Name"\...)、传输文件中包含的用户信息(如手机号、银行卡账号及身份证号码等)、网络数据报文中包含的用户信息(如cookie信息、密钥等)。
步骤S802:去除行为日志的敏感信息,以对行为日志进行脱敏。
在本实施例中,通过对行为日志进行脱敏处理,从而避免敏感信息泄露的风险,也避免了管理员通过查看行为日志而得到敏感信息,以提高用户的个人信息的安全性。
在具体应用中,如图9所示,判断行为日志是否包含敏感信息包括:
步骤S901:基于敏感信息对应的格式,构建预设正则表达式。
对于发明实施例,为了避免重复数据参与计算,在基于敏感信息对应的格式,构建预设正则表达式之前,方法还包括:确定行为日志的各字符;基于各字符在其对应的行为日志中的位置信息,确定各行为日志对应的特征向量;根据特征向量,计算各行为日志中任意两个行为日志之间的余弦相似度;若余弦相似度大于预设相似度,则将任意两个行为日志中的任意一个行为日志删除,得到去重后的各行为日志。
其中,位置信息具体可以为各字符在各行为日志中的位置顺序,例如,一个行为日志中的字符为“腾讯视频”,字符“腾”对应的位置信息为1,字符“讯”对应的位置信息为2,以此类推,能够确定各行为日志中各字符对应的位置信息。
具体地,首先通过Word2Vec等词嵌入方法将各行为日志中的各字符转化为字符向量,之后根据各字符对应的位置信息,对各字符进行编码,得到各字符对应的位置编码,具体可以根据如下公式确定各字符对应的位置编码,
其中,PE为各字符对应的位置编码,其维度与各字符对应的字符向量维度相同,pos表示各字符在其对应的行为日志中的位置,dmodel表示字符向量的维度,i表示字符向量的位置,上述公式表示在每个字符的字符向量的偶数位置添加sin变量,奇数位置添加cos变量,由此能够得到各字符对应的位置编码,之后将各字符对应的字符向量和位置编码相加,得到各行为日志对应的特征向量,之后计算各行为日志中任意两个行为日志之间的余弦相似度,具体计算公式如下:
其中,cos(θ)表示任意两个行为日志之间的余弦相似度,xi表示任意量个行为日志中的一个行为日志对应的特征向量,yi表示另一个行为日志对应的特征向量,n表示特征向量中的向量数量,由此按照上述计算公式能够计算各行为日志中任意两个行为日志之间的余弦相似度,并判断余弦相似度是否大于预设相似度,若大于预设相似度,则说明任意两个行为日志为相似数据,则将相似数据中的任意一个数据删除,得到去除重复数据后的各行为日志,之后分别判断去重后的各行为日志中是否包含敏感信息,具体判断去重后的各行为日志中是否包含敏感信息方法为,可以根据敏感信息中电话号、日期和身份证号等信息的特殊格式,构建相应的预设正则表达式,并利用该预设正则表达式,分别对各行为日志中的敏感信息进行标记提示,具体过程如,若敏感信息为日期,则可添加预设正则表达式如下:
/^[1-9]\d{3}-(0[1-9]|1[0-2])-(0[1-9]|[1-2][0-9]|3[0-1])$/
用于识别诸如2014-01-01等格式的日期,并对识别到的日期进行高亮提示或者添加下划线提示,方便用户根据标记提示信息在各行为日志中确定敏感信息。
步骤S902:利用预设正则表达式分别判断行为日志中是否包含敏感信息。
进一步地,如图10所示,上述实施例中对异常传输文件的终端进行标记,和/或发送告警信息之后还包括:
步骤S1001:提取行为日志的所有关键信息。
关键信息为与终端传输的文件或行为相关的信息,关键信息包括但不限于终端所传输文件的关键词,例如xxxx年度财报数据、职工工资条、现金流量表、未审计财务报表等;内部工程代号、芯片代号、自定义芯片引脚信息、内部源代码注释信息、内部编译路径、文件名、文件格式、文件属性与扩展名。
步骤S1002:基于行为日志的所有关键信息,判定行为日志对应的终端是否传输违规文件,若是,则执行步骤S1003。
步骤S1003:对违规传输文件终端执行阻断策略。
在终端传输违规文件的情况下,执行阻断策略,以阻止文件的传输,从而解决了文件的违规传输而造成的数据泄漏的问题,提高了数据的安全性,也避免了违规传输文件而对个人、企业或政府部门造成损失。
其中,阻断策略包括向传输违规文件的终端发送重新启动操作系统的指令、向传输违规文件的终端发送阻断传输的指令、向传输违规文件的终端发送删除违规传输的文件的指令、向传输违规文件的终端发送隔离违规传输的文件的指令、向传输违规文件的终端发送加密违规传输的文件的指令、显示告警信息、向传输违规文件的终端发送禁止将违规传输的文件存储至移动设备的指令、向传输违规文件的终端发送禁止通过邮箱、蓝牙信道、网络硬盘和/或通讯软件发送违规传输的文件的指令中的至少一种。
在具体应用中,阻断策略可以包括上述阻断方式中的一种或者多种,在阻断策略包括多种阻断方式的情况下,可以增加阻断的有效性,从而确保能够有效地阻断违规文件的传输。
进一步地,上述实施例中,如图11所示,步骤S1002包括:
步骤S1101:判断行为日志的关键信息是否包含预设关键信息类型对应的关键信息,若是,则执行步骤S1102;若否,则执行步骤S1103。
其中,预设关键信息类型可由工作人员自行设置,具体地,预设关键信息类型可以包括但不限于预设关键信息类型对应的关键信息、设计图纸(如芯片设计图纸等)、原始备份(如电影原始拷贝等)中的一种或多种,当然也可以包括其他类型,本实施例不做严格限定。
步骤S1102:确定行为对应的终端传输违规文件。
在本实施例中,先确定关键信息中是否包含预设关键信息类型对应的关键信息,在行为日志的关键信息中包含预设关键信息类型对应的关键信息的情况下,就可以直接确定相应的终端传输了违规文件,从而提高了工作效率。
步骤S1103:将每个关键信息与预设信息进行匹配,得到行为日志的所有关键信息的匹配结果,并基于行为日志的所有关键信息的匹配结果,判定行为日志对应的终端是否传输违规文件。
在关键信息不包含预设关键信息类型对应的关键信息的情况下,将行为日志所提取的关键信息逐一与预设信息进行匹配,从而得到行为日志的所有关键信息的匹配结果,然后基于行为日志的所有关键信息的匹配结果,判定行为日志对应的终端是否传输违规文件。
具体地,如图12所示,将每个关键信息与预设信息进行匹配,得到行为日志的所有关键信息的匹配结果包括:
步骤S1201:接收上一级分析平台派发的匹配规则。
步骤S1202:确定每个关键信息的类型。
根据每个关键信息所包含的内容确定关键信息的类型,例如,xxxx年度财报数据、职工工资条、现金流量表、未审计财务报表及文件名等,属于文字的类型;文件格式、文件属性与扩展名,属于文件格式、文件属性与扩展名的类型。
步骤S1203:基于每个关键信息的类型,确定相应的匹配规则。
针对不同类型的关键信息,确定相适配的匹配规则,这样就可以增加匹配速度以及匹配结果的准确性。示例性的,对于数字类型的关键信息,其相对应的匹配规则为数字匹配规则,对于文字类型的关键信息,其对应的匹配规则为正则表达式的匹配规则。
匹配规则可以由工作人员预先存储在分析平台内,匹配规则包括但不限于基于数字、固定字符串的匹配规则、基于通配符的匹配规则、基于关键词组的匹配规则、基于正则表达式的匹配规则、基于文件格式、属性与扩展名的匹配规则、基于脚本的匹配规则。
步骤S1204:将每个关键信息按照相应的匹配规则与预设信息进行匹配,得到行为日志的所有关键信息的匹配结果。
示例性的,如果关键信息为终端所传输的文件名,例如xxx年财务报表,其对应关键词组的匹配规则,则将关键信息与关键词组进行逐一匹配,最终确定该关键信息的匹配结果为财务报表。
具体地,如图13所示,基于行为日志的所有关键信息的匹配结果,判定行为日志对应的终端是否传输违规文件包括:
步骤S1301:判断行为日志的所有关键信息的匹配结果是否满足违规条件,若是,则执行步骤S1302;若否,则执行步骤S1303。
违规条件可以由工作人员根据实际情况进行设置。例如:违规条件为行为日志的关键信息中包括财务数据、职工工资条、现金流量表、未审计财务报表等关键字,则匹配结果为财务报表、职工工资条、现金流量表、未审计财务报表的关键信息满足违规条件。当然,为了提高准确性,违规条件也可以设置多个条件,例如行为日志的关键信息中包括财务数据、职工工资条、现金流量表、未审计财务报表等关键字并且每个关键字的匹配成功次数大于或等于预设次数。
步骤S1302:确定行为日志对应的终端传输违规文件。
步骤S1303:确定行为日志对应的终端没有发现传输违规文件。
进一步地,在上述实施例中,步骤S1103之后还包括:将行为日志进行加密存储。
将行为日志进行加密存储,从而提高行为日志存储的安全性,并且也能有效保护用户信息的隐私性。其中,加密方法可以采用现有的任意的加密方法,本实施例不做严格限定。
在一种可能的实现方式中,终端上传的行为日志为加密行为日志,从而避免在传输过程中,行为日志被其他设备所截获而导致行为日志外泄,提高了行为日志传输的安全性。相适应的,步骤S101的获取终端的行为日志之后还包括:对加密行为日志进行解密,以使后续步骤能够对行为日志进行处理分析。
第二方面,如图14所示,本发明实施例提供了一种分析平台,包括:
获取模块1401,用于获取终端的行为日志及至少一个维度基线;
提取模块1402,用于根据每个维度基线,提取行为日志在与每个维度基线相对应的维度下的文件传输行为信息;
比对模块1403,用于将每个文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果;
判断模块1404,用于如果其中至少一个比对结果为文件传输行为信息不符合对应的维度基线,则将终端确定为异常传输文件的终端,如果所有比对结果为文件传输行为信息均符合对应的维度基线,则将终端确定为正常传输文件的终端。
第三方面,本发明实施例提供了一种存储介质,存储介质中存储有至少一可执行指令,可执行指令使处理器执行上述的异常传输文件的终端检测方法对应的操作。
第四方面,本发明实施例提供了一种计算机设备,包括:处理器1502、存储器1506、通信接口1504和通信总线1508,处理器1502、存储器1506和通信接口1504通过通信总线完成相互间的通信;
存储器1506用于存放至少一可执行指令,可执行指令使处理器1502执行上述的异常传输文件的终端检测方法对应的操作。
本发明已经通过上述实施例进行了说明,但应当理解的是,上述实施例只是用于举例和说明的目的,而非意在将本发明限制于所描述的实施例范围内。此外本领域技术人员可以理解的是,本发明并不局限于上述实施例,根据本发明的教导还可以做出更多种的变型和修改,这些变型和修改均落在本发明所要求保护的范围以内。本发明的保护范围由附属的权利要求书及其等效范围所界定。
Claims (16)
1.一种异常传输文件的终端检测方法,应用于分析平台,多个分析平台形成多层次的级联分析平台系统,处于下级的分析平台通过网络与其所属的上级分析平台及下级分析平台进行交互,第一级分析平台还与各终端进行交互,第一级分析平台的数量为大于一个,将第一级分析平台分别布置在不同地点,以同时进行多区域的数据处理;分析平台配置有本地数据中心、本地管控平台以及远程云服务管控平台,本地数据中心用于对数据进行存储,本地管控平台及远程云服务管控平台用于管理员进行匹配规则的编辑、展示提取的关键信息以及告警信息,其特征在于,所述方法包括:
获取终端的行为日志及至少一个维度基线,其中,终端安装终端软件传感器,终端软件传感器包括内核态驱动程序,或用户态服务框架,或者内核态驱动程序及用户态服务框架;并且在终端软件传感器包括内核态驱动程序及用户态服务框架的情况下,内核态驱动程序用于收集用户在终端进行操作所产生的行为日志,并实现完整性校验与自我保护,用户态服务框架接收由内核态驱动程序所采集的各行为日志,并对其进行解析;
根据每个所述维度基线,提取所述行为日志在与每个所述维度基线相对应的维度下的文件传输行为信息;
将每个所述文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果;
如果其中至少一个比对结果为所述文件传输行为信息不符合对应的维度基线,则将所述终端确定为异常传输文件的终端,如果所有比对结果均为所述文件传输行为信息符合对应的维度基线,则将所述终端确定为正常传输文件的终端;
所述获取终端的行为日志及至少一个维度基线之后包括:
判断所述行为日志是否包含敏感信息,若是,则去除所述行为日志的敏感信息,以对所述行为日志进行脱敏;
所述如果其中至少一个比对结果为所述文件传输行为信息不符合对应的维度基线,则将所述终端确定为异常传输文件的终端之后还包括:
对所述异常传输文件的终端进行标记,和/或发送告警信息;
基于所述行为日志的所有关键信息,判断所述行为日志的关键信息是否包含预设关键信息类型对应的关键信息,若是,则确定所述行为日志对应的终端传输违规文件;若否,接收上一级分析平台派发的匹配规则;确定每个所述关键信息的类型;基于每个所述关键信息的类型,确定相应的匹配规则;将每个所述关键信息按照相应的匹配规则与预设信息进行匹配,得到所述行为日志的所有关键信息的匹配结果,并基于所述行为日志的所有关键信息的匹配结果,判定所述行为日志对应的终端是否传输违规文件;若是,则对违规传输文件的终端执行阻断策略;
所述如果其中至少一个比对结果为所述文件传输行为信息不符合对应的维度基线,则将所述终端确定为异常传输文件的终端之后还包括:
接收阻断策略启动指令;
基于所述阻断策略启动指令,执行所述阻断策略。
2.根据权利要求1所述的方法,其特征在于,所述文件传输行为信息包括文件传输时间及对应的文件传输数量、预设时间内文件传输数量、文件传输渠道及终端信息的至少一种;
所述至少一个维度基线包括文件传输时间基线、预设时间段内文件传输数量基线、文件传输渠道的规则基线及文件传输主体的规则基线中的至少一种。
3.根据权利要求2所述的方法,其特征在于,在至少一个所述维度基线包括文件传输时间基线,所述文件传输行为信息包括文件传输时间及对应的文件传输数量的情况下,所述将每个所述文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果包括:
判断所述文件传输时间是否位于所述文件传输时间基线所显示的正常文件传输的时间段内;如果所述文件传输时间不位于所述文件传输时间基线所显示的正常文件传输的时间段内,则判断对应的文件传输数量是否大于或等于预设文件传输数量,若是,则所述比对结果为文件传输行为信息不符合对应的维度基线;若否,则所述比对结果为文件传输行为信息符合对应的维度基线;
如果所述文件传输时间位于所述文件传输时间基线所显示的正常文件传输的时间段内,则所述比对结果为文件传输行为信息符合对应的维度基线。
4.根据权利要求2所述的方法,其特征在于,在至少一个所述维度基线包括预设时间段内文件传输数量基线,所述文件传输行为信息包括预设时间段内文件传输数量的情况下,所述将每个所述文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果包括:
判断所述预设时间段内文件传输数量是否大于或等于所述文件传输数量基线在预设时间段内所显示的传输文件数量,若是,则所述比对结果为文件传输行为信息不符合对应的维度基线;若否,则所述比对结果为文件传输行为信息符合对应的维度基线。
5.根据权利要求2所述的方法,其特征在于,在至少一个所述维度基线包括所述文件传输渠道的规则基线,所述文件传输行为信息包括所述文件传输渠道的情况下,所述将每个所述文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果包括:
判断所述文件传输渠道是否为所述文件传输渠道的规则基线所显示的渠道,若是,则所述比对结果为文件传输行为信息符合对应的维度基线;若否,则所述比对结果为文件传输行为信息不符合对应的维度基线。
6.根据权利要求2所述的方法,其特征在于,在至少一个所述维度基线包括所述终端信息的规则基线,所述文件传输行为信息包括所述终端信息的情况下,所述将每个所述文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果包括:
判断所述终端信息是否为所述文件传输主体的规则基线所显示的主体,若是,则所述比对结果为文件传输行为信息符合对应的维度基线;若否,则所述比对结果为文件传输行为信息不符合对应的维度基线。
7.根据权利要求1所述的方法,其特征在于,所述获取终端上传的行为日志包括:
与终端建立局域网;
通过所述局域网接收终端上传的行为日志。
8.根据权利要求1所述的方法,其特征在于,所述判断所述行为日志是否包含敏感信息包括:
基于所述敏感信息对应的格式,构建预设正则表达式;
利用所述预设正则表达式分别判断所述行为日志中是否包含所述敏感信息。
9.根据权利要求1所述的方法,其特征在于,所述基于所述行为日志的所有关键信息,判断所述行为日志的关键信息是否包含预设关键信息类型对应的关键信息之前还包括:
提取所述行为日志的所有关键信息。
10.根据权利要求1所述的方法,其特征在于,所述基于所述行为日志的所有关键信息的匹配结果,判定所述行为日志对应的终端是否传输违规文件包括:
判断所述行为日志的所有关键信息的匹配结果是否满足违规条件,若是,则确定所述行为日志对应的终端传输违规文件;若否,则确定所述行为日志对应的终端没有发现传输违规文件。
11.根据权利要求1或9所述的方法,其特征在于,所述阻断策略包括向传输违规文件的终端发送重新启动操作系统的指令、向传输违规文件的终端发送阻断传输的指令、向传输违规文件的终端发送删除违规传输的文件的指令、向传输违规文件的终端发送隔离违规传输的文件的指令、向传输违规文件的终端发送加密违规传输的文件的指令、显示告警信息、向传输违规文件的终端发送禁止将违规传输的文件存储至移动设备的指令、向传输违规文件的终端发送禁止通过邮箱、蓝牙信道、网络硬盘和/或通讯软件发送违规传输的文件的指令中的至少一种。
12.根据权利要求9所述的方法,其特征在于,所述基于所述行为日志的所有关键信息的匹配结果,判定所述行为日志对应的终端是否传输违规文件之后还包括:
将所述行为日志进行加密存储。
13.根据权利要求1所述的方法,其特征在于,所述终端上传的行为日志为加密行为日志;所述获取终端的行为日志之后还包括:
对所述加密行为日志进行解密。
14.一种分析平台,多个分析平台形成多层次的级联分析平台系统,处于下级的分析平台通过网络与其所属的上级分析平台及下级分析平台进行交互,第一级分析平台还与各终端进行交互,第一级分析平台的数量为大于一个,将第一级分析平台分别布置在不同地点,以同时进行多区域的数据处理;分析平台配置有本地数据中心、本地管控平台以及远程云服务管控平台,本地数据中心用于对数据进行存储,本地管控平台及远程云服务管控平台用于管理员进行匹配规则的编辑、展示提取的关键信息以及告警信息,其特征在于,包括:
获取模块,用于获取终端的行为日志及至少一个维度基线,其中,终端安装终端软件传感器,终端软件传感器包括内核态驱动程序,或用户态服务框架,或者内核态驱动程序及用户态服务框架;并且在终端软件传感器包括内核态驱动程序及用户态服务框架的情况下,内核态驱动程序用于收集用户在终端进行操作所产生的行为日志,并实现完整性校验与自我保护,用户态服务框架接收由内核态驱动程序所采集的各行为日志,并对其进行解析;
提取模块,用于根据每个所述维度基线,提取所述行为日志在与每个所述维度基线相对应的维度下的文件传输行为信息;
比对模块,用于将每个所述文件传输行为信息与对应的维度基线比对,得到每个维度的比对结果;
判断模块,用于如果其中至少一个比对结果为所述文件传输行为信息不符合对应的维度基线,则将所述终端确定为异常传输文件的终端,如果所有比对结果均为所述文件传输行为信息符合对应的维度基线,则将所述终端确定为正常传输文件的终端;
所述判断模块,还用于判断所述行为日志是否包含敏感信息,若是,则去除所述行为日志的敏感信息,以对所述行为日志进行脱敏;
所述判断模块,还用于对所述异常传输文件的终端进行标记,和/或发送告警信息;
基于所述行为日志的所有关键信息,判断所述行为日志的关键信息是否包含预设关键信息类型对应的关键信息,若是,则确定所述行为日志对应的终端传输违规文件;若否,接收上一级分析平台派发的匹配规则;确定每个所述关键信息的类型;基于每个所述关键信息的类型,确定相应的匹配规则;将每个所述关键信息按照相应的匹配规则与预设信息进行匹配,得到所述行为日志的所有关键信息的匹配结果,并基于所述行为日志的所有关键信息的匹配结果,判定所述行为日志对应的终端是否传输违规文件;若是,则对违规传输文件的终端执行阻断策略;
所述判断模块,还用于接收阻断策略启动指令;
基于所述阻断策略启动指令,执行所述阻断策略。
15.一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-13中任一项所述的异常传输文件的终端检测方法对应的操作。
16.一种计算机设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-13中任一项所述的异常传输文件的终端检测方法对应的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210278249.3A CN114866276B (zh) | 2022-03-21 | 2022-03-21 | 异常传输文件的终端检测方法、装置、存储介质及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210278249.3A CN114866276B (zh) | 2022-03-21 | 2022-03-21 | 异常传输文件的终端检测方法、装置、存储介质及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114866276A CN114866276A (zh) | 2022-08-05 |
| CN114866276B true CN114866276B (zh) | 2024-06-11 |
Family
ID=82627792
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210278249.3A Active CN114866276B (zh) | 2022-03-21 | 2022-03-21 | 异常传输文件的终端检测方法、装置、存储介质及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114866276B (zh) |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104216889A (zh) * | 2013-05-30 | 2014-12-17 | 北大方正集团有限公司 | 基于云服务的数据传播性分析预测方法及系统 |
| US9298914B1 (en) * | 2013-12-03 | 2016-03-29 | Symantec Corporation | Enterprise data access anomaly detection and flow tracking |
| CN106856478A (zh) * | 2016-12-29 | 2017-06-16 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN108268354A (zh) * | 2016-12-30 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 数据安全监控方法、后台服务器、终端及系统 |
| CN109040110A (zh) * | 2018-08-31 | 2018-12-18 | 新华三信息安全技术有限公司 | 一种外发行为检测方法及装置 |
| CN109164786A (zh) * | 2018-08-24 | 2019-01-08 | 杭州安恒信息技术股份有限公司 | 一种基于时间相关基线的异常行为检测方法、装置及设备 |
| CN110347547A (zh) * | 2019-05-27 | 2019-10-18 | 中国平安人寿保险股份有限公司 | 基于深度学习的日志异常检测方法、装置、终端及介质 |
| CN110879885A (zh) * | 2019-11-05 | 2020-03-13 | 西安交通大学 | 一种在线文件非法下载检测方法和装置 |
| CN111181736A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 数据传输方法、装置、系统、介质及程序产品 |
| CN111698168A (zh) * | 2020-05-20 | 2020-09-22 | 北京吉安金芯信息技术有限公司 | 消息处理方法、装置、存储介质及处理器 |
| CN111753332A (zh) * | 2020-06-29 | 2020-10-09 | 上海通联金融服务有限公司 | 基于敏感信息规则在日志写入阶段完成日志脱敏的方法 |
| WO2020233219A1 (zh) * | 2019-05-17 | 2020-11-26 | 深圳前海微众银行股份有限公司 | 异常问题的定位方法、装置、设备及计算机可读存储介质 |
| CN112116273A (zh) * | 2020-09-28 | 2020-12-22 | 中国建设银行股份有限公司 | 一种员工查询行为风险监测方法、装置、设备及存储介质 |
| CN112711770A (zh) * | 2019-10-25 | 2021-04-27 | 顺丰科技有限公司 | 敏感行为阻断方法、装置、终端及存储介质 |
| CN112804196A (zh) * | 2020-12-25 | 2021-05-14 | 北京明朝万达科技股份有限公司 | 日志数据的处理方法及装置 |
| CN113176978A (zh) * | 2021-04-30 | 2021-07-27 | 平安壹钱包电子商务有限公司 | 基于日志文件的监控方法、系统、设备及可读存储介质 |
| CN113609088A (zh) * | 2021-08-02 | 2021-11-05 | 天津五八到家货运服务有限公司 | 文件处理方法、装置及设备 |
| CN113765881A (zh) * | 2021-07-20 | 2021-12-07 | 奇安信科技集团股份有限公司 | 异常网络安全行为的检测方法、装置、电子设备及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170187737A1 (en) * | 2015-12-28 | 2017-06-29 | Le Holdings (Beijing) Co., Ltd. | Method and electronic device for processing user behavior data |
| CN109976239B (zh) * | 2019-04-29 | 2020-06-16 | 北京京航计算通讯研究所 | 工控系统终端安全防护系统 |
| CN112738016A (zh) * | 2020-11-16 | 2021-04-30 | 中国南方电网有限责任公司 | 一种面向威胁场景的智能化安全事件关联分析系统 |
| CN113311809A (zh) * | 2021-05-28 | 2021-08-27 | 苗叶 | 一种基于工业控制系统的安全运维指令阻断装置和方法 |
-
2022
- 2022-03-21 CN CN202210278249.3A patent/CN114866276B/zh active Active
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104216889A (zh) * | 2013-05-30 | 2014-12-17 | 北大方正集团有限公司 | 基于云服务的数据传播性分析预测方法及系统 |
| US9298914B1 (en) * | 2013-12-03 | 2016-03-29 | Symantec Corporation | Enterprise data access anomaly detection and flow tracking |
| CN106856478A (zh) * | 2016-12-29 | 2017-06-16 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN108268354A (zh) * | 2016-12-30 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 数据安全监控方法、后台服务器、终端及系统 |
| CN109164786A (zh) * | 2018-08-24 | 2019-01-08 | 杭州安恒信息技术股份有限公司 | 一种基于时间相关基线的异常行为检测方法、装置及设备 |
| CN109040110A (zh) * | 2018-08-31 | 2018-12-18 | 新华三信息安全技术有限公司 | 一种外发行为检测方法及装置 |
| WO2020233219A1 (zh) * | 2019-05-17 | 2020-11-26 | 深圳前海微众银行股份有限公司 | 异常问题的定位方法、装置、设备及计算机可读存储介质 |
| CN110347547A (zh) * | 2019-05-27 | 2019-10-18 | 中国平安人寿保险股份有限公司 | 基于深度学习的日志异常检测方法、装置、终端及介质 |
| CN112711770A (zh) * | 2019-10-25 | 2021-04-27 | 顺丰科技有限公司 | 敏感行为阻断方法、装置、终端及存储介质 |
| CN110879885A (zh) * | 2019-11-05 | 2020-03-13 | 西安交通大学 | 一种在线文件非法下载检测方法和装置 |
| CN111181736A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 数据传输方法、装置、系统、介质及程序产品 |
| CN111698168A (zh) * | 2020-05-20 | 2020-09-22 | 北京吉安金芯信息技术有限公司 | 消息处理方法、装置、存储介质及处理器 |
| CN111753332A (zh) * | 2020-06-29 | 2020-10-09 | 上海通联金融服务有限公司 | 基于敏感信息规则在日志写入阶段完成日志脱敏的方法 |
| CN112116273A (zh) * | 2020-09-28 | 2020-12-22 | 中国建设银行股份有限公司 | 一种员工查询行为风险监测方法、装置、设备及存储介质 |
| CN112804196A (zh) * | 2020-12-25 | 2021-05-14 | 北京明朝万达科技股份有限公司 | 日志数据的处理方法及装置 |
| CN113176978A (zh) * | 2021-04-30 | 2021-07-27 | 平安壹钱包电子商务有限公司 | 基于日志文件的监控方法、系统、设备及可读存储介质 |
| CN113765881A (zh) * | 2021-07-20 | 2021-12-07 | 奇安信科技集团股份有限公司 | 异常网络安全行为的检测方法、装置、电子设备及存储介质 |
| CN113609088A (zh) * | 2021-08-02 | 2021-11-05 | 天津五八到家货运服务有限公司 | 文件处理方法、装置及设备 |
Non-Patent Citations (1)
| Title |
|---|
| 基于上下文的网络监控模型研究与实现;朱;刘海涛;管海兵;;微型电脑应用;20090520(第05期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114866276A (zh) | 2022-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Cheng et al. | Enterprise data breach: causes, challenges, prevention, and future directions | |
| CN107577939B (zh) | 一种基于关键字技术的数据防泄漏方法 | |
| US9654510B1 (en) | Match signature recognition for detecting false positive incidents and improving post-incident remediation | |
| Hauer | Data and information leakage prevention within the scope of information security | |
| EP2223237B1 (en) | System and method for providing identity theft security | |
| CN112217835B (zh) | 报文数据的处理方法、装置、服务器和终端设备 | |
| US20090064326A1 (en) | Method and a system for advanced content security in computer networks | |
| US20110040983A1 (en) | System and method for providing identity theft security | |
| US20090205051A1 (en) | Systems and methods for securing data in electronic communications | |
| CN113177205A (zh) | 一种恶意应用检测系统及方法 | |
| CN116246745A (zh) | 一种基于医疗数据的高安全性存储数据库系统 | |
| Malderle et al. | Gathering and analyzing identity leaks for a proactive warning of affected users | |
| CN117459324B (zh) | Gpt模型的访问方法、设备及计算机可读存储介质 | |
| CN110826094A (zh) | 一种信息泄露监控方法以及装置 | |
| KR101349762B1 (ko) | 개인정보를 보호하고 관리하는 방법 | |
| CN114866276B (zh) | 异常传输文件的终端检测方法、装置、存储介质及设备 | |
| CN111859423A (zh) | 一种信息安全加密方法及装置 | |
| CN114626074B (zh) | 一种防护数据泄漏的方法、装置、存储介质及计算机设备 | |
| Savenkov et al. | Organizations Data Integrity Providing through Employee Behavioral Analysis Algorithms | |
| CN115600189A (zh) | 一种商用密码应用安全性评估系统 | |
| Polikarpova et al. | Development information system of cryptographic protection for enterprise local network | |
| Stallings | Data loss prevention as a privacy-enhancing technology | |
| Rahman et al. | Framework Analysis of IDFIF V2 in WhatsApp Investigation Process on Android Smartphones | |
| KR20100115451A (ko) | 기업의 정보 유출을 방지하는 보안방법 | |
| CN118484840B (zh) | 基于区块链技术的信创数据资产安全管理与溯源系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |