CN115017519A - 数据加密合规性检测方法及装置 - Google Patents
数据加密合规性检测方法及装置 Download PDFInfo
- Publication number
- CN115017519A CN115017519A CN202110239018.7A CN202110239018A CN115017519A CN 115017519 A CN115017519 A CN 115017519A CN 202110239018 A CN202110239018 A CN 202110239018A CN 115017519 A CN115017519 A CN 115017519A
- Authority
- CN
- China
- Prior art keywords
- data
- encryption
- compliance
- protocol
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种数据加密合规性检测方法及装置,方法包括:对数据共享流量采集镜像获取原始流量数据包,并对原始流量数据包进行解析确定数据传输协议;根据数据传输协议和预设加密合规规则库,对数据进行加密合规性检测。所述装置用于执行上述方法。本发明提供的数据加密合规性检测方法及装置,能够对企业网络中数据共享过程各类数据传输协议进行实时准确的识别,并基于识别出的数据传输协议和预设加密合规规则库对各类数据加密算法进行实时准确的识别,实施简单,对性能的需求较低,能够帮助企业发现相关的加密合规性问题,有效保证企业数据共享传输安全。
Description
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种数据加密合规性检测方法及装置。
背景技术
现有技术常常采用如下方案针对加密数据进行合规性检测:
方案一:通过在业务上线前的安全性检测,针对业务接口是否使用加密协议,或用户名密码等重要数据是否采用加密措施进行人工检测。
方案二:基于随机森林、SVM、K-means等分类算法实现对加密数据流采用的加密以及加密算法进行检测。
现有技术方案存在下列缺点:
无法实现数据传输过程中的实时检测,问题发现不及时,且自动化程度不高;仅能对在协议层进行加密的数据流采用的加密算法进行识别,无法对在应用层对数据进行部分加密场景的加密算法识别;仅能对特定几种加密算法做有效识别,无法全面覆盖各种主流类型加密算法;需要大量的数据流进行统计分析,且利用机器学习分类算法导致实现复杂度较高,对性能的需求也较大,容易出现性能瓶颈,无法有效满足企业内海量流量场景需求。
发明内容
本发明提供的数据加密合规性检测方法及装置,用于克服现有技术中存在的上述问题,能够对企业网络中数据共享过程各类数据传输协议进行实时准确的识别,并基于识别出的数据传输协议和预设加密合规规则库对各类数据加密算法进行实时准确的识别,实施简单,对性能的需求较低,能够帮助企业发现相关的加密合规性问题,有效保证企业数据共享传输安全。
本发明提供的一种数据加密合规性检测方法,包括:
对数据共享流量采集镜像获取原始流量数据包,并对所述原始流量数据包进行解析确定数据传输协议;
根据所述数据传输协议和预设加密合规规则库,对数据进行加密合规性检测。
根据本发明提供的一种数据加密合规性检测方法,所述对所述原始流量数据包进行解析确定数据传输协议,包括:
对所述原始流量数据包进行解析,获取所述原始流量数据包中认证阶段数据包中的字符集合和端口应用层协议格式;
将所述原始流量数据包中认证阶段数据包中的字符集合和端口应用层协议格式,与采用加密协议流量特征库中预设数据传输协议对数据进行加密后的认证阶段数据包中的字符集合和端口应用层协议格式进行匹配,以确定所述数据传输协议;
其中,所述预设数据传输协议包括非加密协议和加密协议。
根据本发明提供的一种数据加密合规性检测方法,所述根据所述数据传输协议和预设加密合规规则库,对数据进行加密合规性检测,包括:
若所述数据传输协议为加密协议,则根据所述预设加密合规规则库中数据共享传输协议合规策略对所述数据传输协议进行加密合规性检测;
若所述数据传输协议为非加密传输协议,则对所述数据加密算法进行识别,并根据所述预设加密合规规则库中数据共享传输加密算法合规策略对数据加密算法进行加密合规性检测。
根据本发明提供的一种数据加密合规性检测方法,所述根据所述预设加密合规规则库中数据共享传输协议合规策略对所述数据传输协议进行加密合规性检测,包括:
将所述数据传输协议的协议类型和版本信息与所述数据共享传输协议合规策略的规则约定协议类型和规则约定版本信息进行比对,若所述协议类型和所述版本信息与所述规则约定协议类型和所述规则约定版本信息对应一致,则确定所述数据传输协议合规。
根据本发明提供的一种数据加密合规性检测方法,所述对所述数据加密算法进行识别,包括:
按列对所述原始流量数据包中应用层数据进行提取,并基于预设敏感字段识别规则库逐一对所述应用层数据中每列数据进行敏感数据识别,以确定所述应用层数据中的非敏感数据列和敏感数据列;
根据所述非敏感数据列的字符分布特征和数据长度特征对所述非敏感数据列的所述数据加密算法进行识别;以及
根据所述预设加密合规规则库中敏感数据加密传输合规策略对所述敏感数据列的所述数据加密算法进行识别;
其中,所述非敏感数据列为所述应用层数据中包括的敏感数据类型总数小于预设阈值的列;
所述敏感数据列为所述应用层数据中包括的敏感数据类型总数大于预设阈值的列。
根据本发明提供的一种数据加密合规性检测方法,所述根据所述非敏感数据列的字符分布特征和数据长度特征对所述非敏感数据列的所述数据加密算法进行识别,包括:
获取所述非敏感数据列包含的第一字符集合,并与预设编码算法字符集合进行比对,若所述第一字符集合属于所述预设编码算法字符集合的子集,则将所述非敏感数据列中数据逐一进行字符分布特征统计,并将非敏感数据列字符分布特征与预设编码算法字符分布特征进行匹配;
若匹配成功,则对所述非敏感数据列中数据逐一进行数据长度特征统计,并将非敏感数据列数据长度特征与预设编码算法数据长度特征、预设加密算法数据长度特征及秘钥长度特征进行匹配,以对所述非敏感数据列中所述数据加密算法进行识别;
其中,所述字符分布特征包括数字个数、字母类型、字母个数和特殊字符个数。
根据本发明提供的一种数据加密合规性检测方法,所述根据所述预设加密合规规则库中数据共享传输加密算法合规策略对数据加密算法进行加密合规性检测,包括:
将所述数据加密算法与所述数据共享传输加密算法合规策略的规则约定加密算法和规则约定秘钥长度进行比对,若所述加密算法和所述秘钥长度与所述规则约定加密算法和所述规则约定秘钥长度对应一致,则确定所述数据加密算法合规;
其中,所述数据加密算法包括所述数据的加密算法和秘钥长度。
本发明还提供一种数据加密合规性检测装置,传输协议确定模块和数据加密检测模块;
所述传输协议确定模块,用于对数据共享流量采集镜像获取原始流量数据包,并对所述原始流量数据包进行解析确定数据传输协议;
所述数据加密检测模块,用于根据所述数据传输协议和预设加密合规规则库,对数据进行加密合规性检测。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述数据加密合规性检测方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述数据加密合规性检测方法的步骤。
本发明提供的数据加密合规性检测方法及装置,能够对企业网络中数据共享过程各类数据传输协议进行实时准确的识别,并基于识别出的数据传输协议和预设加密合规规则库对各类数据加密算法进行实时准确的识别,实施简单,对性能的需求较低,能够帮助企业发现相关的加密合规性问题,有效保证企业数据共享传输安全。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的数据加密合规性检测方法的流程示意图;
图2是应用本发明提供的数据加密合规性检测方法的数据加密合规性检测系统的结构示意图;
图3是本发明提供的数据加密合规性检测装置的结构示意图;
图4是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提出的方案可以用于企业各业务间或对外有大量的数据共享传输需求,敏感数据需要加密传输以保证安全性,但加密机制由各业务方自行控制实现,加密的安全性无法得到保证,需要技术手段来对数据传输时的加密安全性做实时的检测的场景。
本发明涉及到的对数据加密合规性检测主要包括以下三类合规性问题:
1、需采用加密协议传输的数据未采用加密协议或加密协议版本与要求不一致。
2、未采用加密协议,但包含了敏感数据的传输行为,未采用加密算法对敏感数据进行加密。
3、数据采用了加密措施,但加密算法类型和选取的秘钥长度(加密强度)与要求不一致。
图1是本发明提供的数据加密合规性检测方法的流程示意图,如图1所示,方法包括:
S1、对数据共享流量采集镜像获取原始流量数据包,并对原始流量数据包进行解析确定数据传输协议;
S2、根据数据传输协议和预设加密合规规则库,对数据进行加密合规性检测。
需要说明的是,上述方法的执行主体可以是计算机设备。
下面以计算机设备部署如图2所示的数据加密合规性检测系统来实现本发明提供的数据加密合规性检测方法为例进行说明,如图2所示,计算机设备中部署有:流量采集模块210、流量解析模块211、加密协议识别模块212、敏感数据识别模块213、加密算法识别模块214、加密合规性分析模块215以及规则策略管理模块216。
可选地,利用流量采集模块210对数据共享流量采集镜像得到原始流量数据包,具体地,可以通过流量探针对关键网络交换机节点的数据共享流量进行镜像,实现对原始流量数据包的实时采集,如,通过分布式部署流量探针对多个关键网络交换机节点的数据共享流量进行镜像采集,并通过流量解析模块211对得到的原始流量数据包进行解析确定数据传输协议。
需要说明的是,本发明提供的数据加密合规性检测方法通过对数据流转时的关键网络链路上交换机流量进行旁路镜像,对镜像报文做深度解析获取原始流量数据包,业务方无感知,对现网业务无影响。
根据数据传输协议和加密合规性分析模块215中预设加密合规规则库,对数据进行加密合规性检测。
本发明提供的数据加密合规性检测方法还可以通过分光器对数据共享流量采集来获取原始流量数据包,具体地,将分光器串接在网络设备之间,采用分光技术将关键网络交换机节点线路上的流量复制一份,得到原始流量数据包。
通过对数据共享流量进行镜像采集解析,在数据流中提取加密协议特征、加密数据字符分布、加密数据长度特征等信息,对加密协议、加密算法等加密要素进行识别,并通过将识别结果与预设加密合规规则库进行对比分析,实现对网络中流转数据的加密情况以及加密的合规情况的检测,使企业能够实时掌握企业敏感数据在对内外部共享时存在的加密安全隐患,及时发现风险点,防止敏感数据被违规泄露,保证数据的保密性和完整性,同时采用旁路镜像部署方式,无需对业务做任何改造,且实施容易,能够迅速在企业中进行部署使用,协助企业迅速建立加密合规性检测技术手段。
本发明所提供的预设加密合规性规则库,能够对主流加密协议如https、ssh/sftp以及主流加密算法,包括对称加密算法、非对称加密算法、哈希算法、流式加密算法进行识别,能够对具体的加密算法,如DES、AES、RSA、SHA-1等算法进行识别,并能进一步对加密算法采用的秘钥长度进行识别,从而可以实现全面的加密安全性的评估。
本发明提供的数据加密合规性检测方法,能够对企业网络中数据共享过程各类数据传输协议进行实时准确的识别,并基于识别出的数据传输协议和预设加密合规规则库对各类数据加密算法进行实时准确的识别,实施简单,对性能的需求较低,能够帮助企业发现相关的加密合规性问题,有效保证企业数据共享传输安全。
进一步地,在一个实施例中,步骤S1中对原始流量数据包进行解析确定数据传输协议可以具体包括:
S11、对原始流量数据包进行解析,获取原始流量数据包中认证阶段数据包中的字符集合和端口应用层协议格式;
S12、将原始流量数据包中认证阶段数据包中的字符集合和端口应用层协议格式,与采用加密协议流量特征库中预设数据传输协议对数据进行加密后的认证阶段数据包中的字符集合和端口应用层协议格式进行匹配,以确定数据传输协议;
其中,预设数据传输协议包括非加密协议和加密协议。
可选地,利用流量解析模块对原始流量数据包进行解析,得到原始流量数据包中认证阶段数据包中的关键字符集合和端口应用层协议格式,通过加密协议识别模块212并按照规则管理模块中加密协议识别规则将原始流量数据包中认证阶段数据包中的字符集合和端口应用层协议格式与采用加密协议流量特征库中预设数据传输协议对数据进行加密后的认证阶段数据包中的字符集合和端口应用层协议格式进行匹配,识别数据传输协议的类型和版本。
本发明中加密协议识别模块212中的加密协议流量特征库中预设数据传输协议包括有非加密协议和加密协议,其中,非加密协议包括FTP、MYSQL、ORACLE、HTTP等协议,加密协议包括HTTPS、SSH、SFTP等协议。
本发明提供的数据加密合规性检测方法,在数据流中提取加密协议特征,通过采用加密协议流量特征库中预设数据传输协议对数据进行加密后的加密协议特征进行匹配,实现了对数据传输过程中数据加密协议合规性的检测,能够及时发现风险点,防止数据被违规泄露,从而确保了数据传输的保密性和完整性。
进一步地,在一个实施例中,步骤S2中可以具体包括:
S21、若数据传输协议为加密协议,则根据预设加密合规规则库中数据共享传输协议合规策略对数据传输协议进行加密合规性检测;
S22、若数据传输协议为非加密传输协议,则对数据加密算法进行识别,并根据预设加密合规规则库中数据共享传输加密算法合规策略对数据加密算法进行加密合规性检测。
可选地,根据加密协议识别模块212识别出来的数据传输协议的协议类型(加密协议识别)及版本信息(协议版本识别),若确定数据传输协议为预设加密协议流量特征库中包括的加密协议的一种,将进入加密合规性分析模块215,并根据加密合规性分析模块215中预设加密合规规则库中数据共享传输协议合规策略对数据传输协议进行加密合规性检测。
若确定数据传输协议为预设加密协议流量特征库中包括的非加密协议的一种,则进入应用层数据提取和解析模块,对数据共享流量中应用层数据采用的加密算法进行识别,并根据加密合规性分析模块215中预设加密合规规则库中数据共享传输加密算法合规策略对数据加密算法进行加密合规性检测。
本发明提供的数据加密合规性检测方法,能够对主流加密协议如HTTPS、SSH、SFTP以及加密算法进行识别,并通过将识别结果与预设加密合规规则库进行对比分析,实现对网络中流转数据的加密情况以及加密的合规情况的检测,使得企业能够实时掌握数据在对内外部共享时存在的加密安全隐患,及时发现风险点,防止数据被违规泄露,保证数据的保密性和完整性。
进一步地,在一个实施例中,步骤S22中根据预设加密合规规则库中数据共享传输协议合规策略对数据传输协议进行加密合规性检测,可以具体包括:
S221、将数据传输协议的协议类型和版本信息与数据共享传输协议合规策略的规则约定协议类型和规则约定版本信息进行比对,若协议类型和版本信息与规则约定协议类型和规则约定版本信息对应一致,则确定数据传输协议合规。
可选地,将数据传输协议的协议类型和版本信息与加密合规性分析模块215中的数据共享传输协议合规策略的规则约定协议类型和规则约定版本信息进行比对,若协议类型和版本信息与规则约定协议类型和规则约定版本信息对应一致,则确定数据传输协议合规。
具体地,本发明中,加密合规性分析模块215中包含了一个预设加密合规规则库,预设加密合规规则库中包含两种规则,第一种规则约定了以网络传输通道为单位的加密合规规则,例如一个传输通道可以约定为需采用SSLv3,或数据需采用AES加密,且秘钥长度需大于等于192。第二种规则约定了各类敏感数据应采取的加密措施,例如用户密码应该采取MD5算法加密。通过将前述步骤识别的数据传输协议的协议类型、协议版本信息与数据共享传输协议合规策略进行匹配,则可以有效发现企业中数据传输过程中的各类加密合规性问题:
数据共享传输协议合规策略:将识别得到数据传输协议的协议类型及版本信息与预设加密合规规则库对应通道上的规则进行比对,若与规则约定协议类型及规则约定版本信息一致或无协议约定,则确定数据传输协议合规,反之则确定数据传输协议不合规。
本发明提供的数据加密合规性检测方法,能够实现对企业网络中数据共享各类传输协议,协议版本进行实时准确的识别,并能够帮助企业发现相关的加密合规性问题,有效保证企业数据共享传输安全。
进一步地,在一个实施例中,步骤S22中对数据加密算法进行识别,可以具体包括:
S222、按列对原始流量数据包中应用层数据进行提取,并基于预设敏感字段识别规则库逐一对应用层数据中每列数据进行敏感数据识别,以确定应用层数据中的非敏感数据列和敏感数据列;
S223、根据非敏感数据列的字符分布特征和数据长度特征对非敏感数据列的数据加密算法进行识别;以及
S224、根据预设加密合规规则库中敏感数据加密传输合规策略对敏感数据列的数据加密算法进行识别;
其中,非敏感数据列为应用层数据中包括的敏感数据类型总数小于预设阈值的列;
敏感数据列为应用层数据中包括的敏感数据类型总数大于预设阈值的列。
可选地,在确定数据传输协议为非加密协议类型后,将进入应用层数据提取和解析模块,对数据共享流量中应用层数据采用的加密算法进行识别,具体地:按列对原始流量数据包中应用层数据进行提取,并基于敏感数据识别模块213中敏感数据识别规则中的预设敏感字段识别规则库逐一对应用层数据中每列数据进行敏感数据识别,以将应用层数据中划分为非敏感数据列和敏感数据列。
应用层数据提取和解析模块:将非加密协议的应用层数据按照应用层数据格式,对数据包中应用层数据进行提取,当流量较大时,可以通过配置采样比,对数据包和数据包中包含的内容进行采样提取。需要说明的是,本发明主要针对结构化的数据进行检测,例如csv格式文件、mysql表记录、hive大数据组件表记录等,这些结构化的数据广泛存在于企业中,也是共享需求主要涉及的数据内容。本发明利用结构化数据的特征对结构化数据及数据加密算法的识别进行了针对性优化,有效提升了检测的准确率。
将对应用层数据解析和提取模块提取的数据按照结构化数据的格式,按列逐一对每列进行敏感数据的识别,得到每一列的敏感数据类型(当然也可能为非敏感数据或无法判断的加密数据)。
结构化数据一般由多列数据组成,单列数据由相同类型的多条记录组成,这些列中可能为敏感数据,例如姓名、手机号等,也可能是非敏感数据,企业一般仅需要关注敏感数据部分,对敏感数据列采取加密措施即可保证数据的安全性。通过优先识别敏感数据字段,可以有效提高加密算法识别的效率和准确性(被识别为敏感数据的列无需再做加密识别)。
应用层数据解析和提取模块,还可以用于将提取出的数据记录进行缓存(每个网络会话的数据会独立缓存并独立进行后续的识别动作),当某个网络会话上缓存的会话数据量达到阈值(该阈值可以根据实际数据识别准确率来调整,在能保证数据识别准确率的情况下,该阈值可降低,反之则需要增大,例如设定选定100条记录)时,将会进行一次数据识别动作,具体的数据识别包含字段分割标识库、敏感字段识别规则库等几个关键子模块,相应的包含了字段分割、敏感字段识别等关键识别流程,具体的识别流程如下:
字段分割:对于csv等格式数据,按照特定的分隔符(如“逗号”)对数据进行按列分割,分割后得到一个二维数组。
敏感字段识别:对前述步骤得到的二维数组进行以列为单位的字段类型识别,以第一列为例,分别将该列中的每个数据与预设敏感字段识别规则库进行匹配,分别得到该列中每个数据匹配上的字段类型(可能为一个或多个),然后对该列中出现的每种字段类型数量进行统计,得到每种类型出现总数,出现总数达到预设阈值,则认为该列包含了此类敏感数据,也即该列为敏感数据列,最终得到二维数组中每一列包含的敏感数据类型,反之(出现总数小于预设阈值)则认为该列为非敏感数据列。
本发明中采用的预设敏感字段识别规则库包括正则、关键字、字典等多种识别规则或以上规则的组合。
基于加密算法识别模块214并按照规则策略管理模块216中加密算法识别规则,根据非敏感数据列的字符分布特征和数据长度特征对非敏感数据列的采用的数据加密算法进行识别,具体地:
(1)在字符分布特征方面,为了便于存储和传输方便,数据在加密后会进一步对得到的二进制密文进行特定的编码,典型的如BASE64编码和HEX编码(或该两种编码的变种和企业自定义编码),不管采用何种编码,编码后的数据都由约定的字符集合组成,例如HEX编码后的数据由字母0-F这16个字符组成(也可能为小写0-f),BASE64编码后的数据由”A-Z“、”a-z“、”0-9“、”+“、”/“、“=”这64种字符组成。通过对加密数据包含的字符进行统计分析,可以有效发现加密数据在字符分布上的特征,进而确定数据所采用的加密算法。
(2)在数据长度特征方面,加密算法在对数据进行加密时是以分组/块为单位进行(对于最后不满足分组长度的块将会采用补齐算法进行补齐),并且一种加密算法可能会提供多种可选的分组长度。
例如3DES的分组长度为64bit,AES的分组长度可为128/192/256bit三种长度、SHA-160(SHA-1)分组长度为512bit。通常秘钥长度越长加密的强度越大,越难被破解,相应的安全性也就越高。明文数据以分组为单位进行加密后,数据整体的长度将会是分组长度的倍数(密文分组和明文分组的长度可能相同,例如对称和非对称加密算法,也可能不同,例如散列算法SHA-160(SHA-1)明文分组为512bit,密文为固定长度为160bit)。同时,因为数据加密后会进一步对其进行编码,编码算法同样以分组为单位进行,并且同样存在补位的过程。因此最终输出的密文长度会结合加密算法分组长度和编码分组长度来计算,密文将在长度上具有明显的特征。
以3DES算法为例,最终HBASE64编码后的分组长度的最大约数是32bit且总长度>=96bit(相应的字符个数最大约数是4个且总数>=12),HEX编码后的分组长度的最大约数是128bit(相应字符个数最大约数是16个)。通过数据加密后的数据长度特征,便可以确定数据所采用的加密算法。
根据预设加密合规规则库中敏感数据加密传输合规策略对敏感数据列的数据加密算法进行识别,具体地:
敏感数据加密传输合规策略:若网络通道中识别到了敏感数据(能识别为敏感数据说明未采用任何加密措施),且预设加密合规规则库中暂无此网络通道的合规规则,则会与前文中提到的预设加密合规规则库的第二种规则进行匹配,得到敏感数据列所采用的数据加密算法,且规定若无此类敏感数据的加密合规规则,则确定数据加密算法合规;反之则确定数据加密算法不合规。
本发明提供的数据加密合规性检测方法,通过加密协议识别和提取出的应用层数据内容加密算法的识别,适配多种加密场景,并且通过多个维度的识别,支持识别各类加密算法,能更加全面的发现加密安全性问题,结合了敏感数据识别和加密算法识别两种措施,在提高检测准确率的同时,能够更加全面的发现敏感数据加密合规安全风险。
进一步地,在一个实施例中,步骤S223可以具体包括:
S2231、获取非敏感数据列包含的第一字符集合,并与预设编码算法字符集合进行比对,若第一字符集合属于预设编码算法字符集合的子集,则将非敏感数据列中数据逐一进行字符分布特征统计,并将非敏感数据列字符分布特征与预设编码算法字符分布特征进行匹配;
若匹配成功,则对非敏感数据列中数据逐一进行数据长度特征统计,并将非敏感数据列数据长度特征与预设编码算法数据长度特征、预设加密算法数据长度特征及秘钥长度特征进行匹配,以对非敏感数据列中数据加密算法进行识别;
其中,字符分布特征包括数字个数、字母类型、字母个数和特殊字符个数。
可选地,统计非敏感数据列中整列数据包含的字符,并将出现的字符集合S与预设的每种编码算法字符集合T进行比较,若S为T的子集,则T对应的编码则列为候选编码,若S不是任何T的子集,则识别过程结束,本列为非加密数据。
将整列中数据逐一单独进行字符统计,得到数字个数、字母类型、(小写字母和大写字母)、字母个数(小写字母个数和大写字母个数)、特殊字符个数等几个统计结果。并将几个统计结果与候选编码算法字符集合分布特征进行比对,并统计整列中数据与每种候选编码算法的匹配率,并筛选掉匹配率低于设定阈值的编码算法。若不满足任意编码算法的匹配率则识别过程结束,且确定本列为非加密数据。
具体地,本发明主要利用如下特征对数据加密算法进行识别:
单个数据包含的字符在预设编码算法约定的字符集合内;
单个数据需满足字符统计特征(包括数字个数、小写字母个数、大写字母个数、特殊字符个数等);
单个数据长度满足预设加密算法和预设编码算法后的长度约定(包括长度大于阈值,长度为特定值的倍数,长度为固定值等);
整列数据需全都满足预设编码算法字符集合;
整列数据中满足字符分布特征的数据比例需满足一定阈值;
整列数据需全部满足预设加密算法和预设编码算法后的长度约定。
例如满足BASE64编码字符分布特征可以设定为至少包含一个小写字母、一个大写字母、一个数字,需同时满足以上三个条件。HEX编码字符统计特征为全为小写字母、全为大写字母,需满足2个条件之一。
将整列数据逐一单独进行数据长度统计,得到非敏感数据列数据长度特征,并将非敏感数据列数据长度特征与预设加密算法数据长度特征、秘钥长度特征及上一步得到的候选编码算法数据长度特征进行比对(整列中每个数据长度都需匹配成功),得到匹配成功的候选加密算法、秘钥长度和编码算法。
本发明提供的数据加密合规性检测方法,针对结构化数据做了识别优化,利用单个数据和整列数据在字符集合、字符统计、数据长度等多个维度的特征,实现对结构化数据的加密算法的有效检测,有效提高加密算法检测的效率和准确率,并且利用字符分布和数据长度等特征来识别,算法复杂度较低,能够有效解决海量场景下的性能瓶颈问题。
进一步地,在一个实施例中,步骤S22中根据预设加密合规规则库中数据共享传输加密算法合规策略对数据加密算法进行加密合规性检测,可以具体包括:
S225、将数据加密算法与数据共享传输加密算法合规策略的规则约定加密算法和规则约定秘钥长度进行比对,若加密算法和秘钥长度与规则约定加密算法和规则约定秘钥长度对应一致,则确定数据加密算法合规;
其中,数据加密算法包括数据的加密算法和秘钥长度。
可选地,将识别得到的数据加密算法和秘钥长度与预设加密合规性规则库中数据共享传输加密算法合规策略中的对应传输通道上的规则进行比对,若与规则约定加密算法和规则约定秘钥长度一致或无加密算法及秘钥长度约定,则确定数据加密算法合规;反之则确定数据加密算法不合规。
本发明提供的数据加密合规性检测方法,通过预设加密合规性规则库约定的每个数据传输通道上需要采取的加密算法和秘钥长度(加密强度)对数据加密合规性进行检测,通过将检测结果与预设加密合规性规则库比对,可有效发现和定位加密合规性的问题。
下面对本发明提供的数据加密合规性检测装置进行描述,下文描述的数据加密合规性检测装置与上文描述的数据加密合规性检测方法可相互对应参照。
图3是本发明提供的数据加密合规性检测装置的结构示意图,如图3所示,包括:传输协议确定模块310和数据加密检测模块311;
传输协议确定模块310,用于对数据共享流量采集镜像获取原始流量数据包,并对原始流量数据包进行解析确定数据传输协议;
数据加密检测模块311,用于根据数据传输协议和预设加密合规规则库,对数据进行加密合规性检测。
本发明提供的数据加密合规性检测装置,能够对企业网络中数据共享过程各类数据传输协议进行实时准确的识别,并基于识别出的数据传输协议和预设加密合规规则库对各类数据加密算法进行实时准确的识别,实施简单,对性能的需求较低,能够帮助企业发现相关的加密合规性问题,有效保证企业数据共享传输安全。
图4是本发明提供的一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)410、通信接口(communication interface)411、存储器(memory)412和总线(bus)413,其中,处理器410,通信接口411,存储器412通过总线413完成相互间的通信。处理器410可以调用存储器412中的逻辑指令,以执行如下方法:
对数据共享流量采集镜像获取原始流量数据包,并对原始流量数据包进行解析确定数据传输协议;
根据数据传输协议和预设加密合规规则库,对数据进行加密合规性检测。
此外,上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机电源屏(可以是个人计算机,服务器,或者网络电源屏等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
进一步地,本发明公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的数据加密合规性检测方法,例如包括:
对数据共享流量采集镜像获取原始流量数据包,并对原始流量数据包进行解析确定数据传输协议;
根据数据传输协议和预设加密合规规则库,对数据进行加密合规性检测。
另一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的数据加密合规性检测方法,例如包括:
对数据共享流量采集镜像获取原始流量数据包,并对原始流量数据包进行解析确定数据传输协议;
根据数据传输协议和预设加密合规规则库,对数据进行加密合规性检测。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机电源屏(可以是个人计算机,服务器,或者网络电源屏等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种数据加密合规性检测方法,其特征在于,包括:
对数据共享流量采集镜像获取原始流量数据包,并对所述原始流量数据包进行解析确定数据传输协议;
根据所述数据传输协议和预设加密合规规则库,对数据进行加密合规性检测。
2.根据权利要求1所述的数据加密合规性检测方法,其特征在于,所述对所述原始流量数据包进行解析确定数据传输协议,包括:
对所述原始流量数据包进行解析,获取所述原始流量数据包中认证阶段数据包中的字符集合和端口应用层协议格式;
将所述原始流量数据包中认证阶段数据包中的字符集合和端口应用层协议格式,与采用加密协议流量特征库中预设数据传输协议对数据进行加密后的认证阶段数据包中的字符集合和端口应用层协议格式进行匹配,以确定所述数据传输协议;
其中,所述预设数据传输协议包括非加密协议和加密协议。
3.根据权利要求1所述的数据加密合规性检测方法,其特征在于,所述根据所述数据传输协议和预设加密合规规则库,对数据进行加密合规性检测,包括:
若所述数据传输协议为加密协议,则根据所述预设加密合规规则库中数据共享传输协议合规策略对所述数据传输协议进行加密合规性检测;
若所述数据传输协议为非加密传输协议,则对所述数据加密算法进行识别,并根据所述预设加密合规规则库中数据共享传输加密算法合规策略对数据加密算法进行加密合规性检测。
4.根据权利要求3所述的数据加密合规性检测方法,其特征在于,所述根据所述预设加密合规规则库中数据共享传输协议合规策略对所述数据传输协议进行加密合规性检测,包括:
将所述数据传输协议的协议类型和版本信息,与所述数据共享传输协议合规策略的规则约定协议类型和规则约定版本信息进行比对,若所述协议类型和所述版本信息与所述规则约定协议类型和所述规则约定版本信息对应一致,则确定所述数据传输协议合规。
5.根据权利要求3所述的数据加密合规性检测方法,其特征在于,所述对所述数据加密算法进行识别,包括:
按列对所述原始流量数据包中应用层数据进行提取,并基于预设敏感字段识别规则库逐一对所述应用层数据中每列数据进行敏感数据识别,以确定所述应用层数据中的非敏感数据列和敏感数据列;
根据所述非敏感数据列的字符分布特征和数据长度特征对所述非敏感数据列的所述数据加密算法进行识别;以及
根据所述预设加密合规规则库中敏感数据加密传输合规策略对所述敏感数据列的所述数据加密算法进行识别;
其中,所述非敏感数据列为所述应用层数据中包括的敏感数据类型总数小于预设阈值的列;
所述敏感数据列为所述应用层数据中包括的敏感数据类型总数大于预设阈值的列。
6.根据权利要求5所述的数据加密合规性检测方法,其特征在于,所述根据所述非敏感数据列的字符分布特征和数据长度特征对所述非敏感数据列的所述数据加密算法进行识别,包括:
获取所述非敏感数据列包含的第一字符集合,并与预设编码算法字符集合进行比对,若所述第一字符集合属于所述预设编码算法字符集合的子集,则将所述非敏感数据列中数据逐一进行字符分布特征统计,并将非敏感数据列字符分布特征与预设编码算法字符分布特征进行匹配;
若匹配成功,则对所述非敏感数据列中数据逐一进行数据长度特征统计,并将非敏感数据列数据长度特征与预设编码算法数据长度特征、预设加密算法数据长度特征及秘钥长度特征进行匹配,以对所述非敏感数据列中所述数据加密算法进行识别;
其中,所述字符分布特征包括数字个数、字母类型、字母个数和特殊字符个数。
7.根据权利要求3所述的数据加密合规性检测方法,其特征在于,所述根据所述预设加密合规规则库中数据共享传输加密算法合规策略对数据加密算法进行加密合规性检测,包括:
将所述数据加密算法与所述数据共享传输加密算法合规策略的规则约定加密算法和规则约定秘钥长度进行比对,若所述加密算法和所述秘钥长度与所述规则约定加密算法和所述规则约定秘钥长度对应一致,则确定所述数据加密算法合规;
其中,所述数据加密算法包括所述数据的加密算法和秘钥长度。
8.一种数据加密合规性检测装置,其特征在于,包括:传输协议确定模块和数据加密检测模块;
所述传输协议确定模块,用于对数据共享流量采集镜像获取原始流量数据包,并对所述原始流量数据包进行解析确定数据传输协议;
所述数据加密检测模块,用于根据所述数据传输协议和预设加密合规规则库,对数据进行加密合规性检测。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述数据加密合规性检测方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述数据加密合规性检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110239018.7A CN115017519A (zh) | 2021-03-04 | 2021-03-04 | 数据加密合规性检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110239018.7A CN115017519A (zh) | 2021-03-04 | 2021-03-04 | 数据加密合规性检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115017519A true CN115017519A (zh) | 2022-09-06 |
Family
ID=83064697
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110239018.7A Pending CN115017519A (zh) | 2021-03-04 | 2021-03-04 | 数据加密合规性检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115017519A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116112228A (zh) * | 2022-12-28 | 2023-05-12 | 北京明朝万达科技股份有限公司 | 一种https数据包发送方法、装置、电子设备及可读介质 |
| CN116501803A (zh) * | 2023-06-21 | 2023-07-28 | 广州信安数据有限公司 | 基于数据通道的数据流通系统、方法和存储介质 |
| CN117592091A (zh) * | 2024-01-19 | 2024-02-23 | 石家庄学院 | 一种计算机信息防窃取方法及系统 |
-
2021
- 2021-03-04 CN CN202110239018.7A patent/CN115017519A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116112228A (zh) * | 2022-12-28 | 2023-05-12 | 北京明朝万达科技股份有限公司 | 一种https数据包发送方法、装置、电子设备及可读介质 |
| CN116501803A (zh) * | 2023-06-21 | 2023-07-28 | 广州信安数据有限公司 | 基于数据通道的数据流通系统、方法和存储介质 |
| CN116501803B (zh) * | 2023-06-21 | 2023-09-19 | 广州信安数据有限公司 | 基于数据通道的数据流通系统、方法和存储介质 |
| CN117592091A (zh) * | 2024-01-19 | 2024-02-23 | 石家庄学院 | 一种计算机信息防窃取方法及系统 |
| CN117592091B (zh) * | 2024-01-19 | 2024-03-29 | 石家庄学院 | 一种计算机信息防窃取方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Casino et al. | HEDGE: efficient traffic classification of encrypted and compressed packets | |
| CN115017519A (zh) | 数据加密合规性检测方法及装置 | |
| CN112104570B (zh) | 流量分类方法、装置、计算机设备和存储介质 | |
| Bossert et al. | Towards automated protocol reverse engineering using semantic information | |
| US9781109B2 (en) | Method, terminal device, and network device for improving information security | |
| US20240089301A1 (en) | Method and system for capture of visited links from encrypted and non-encrypted network traffic | |
| Kheshaifaty et al. | Preventing multiple accessing attacks via efficient integration of captcha crypto hash functions | |
| CN113542253A (zh) | 一种网络流量检测方法、装置、设备及介质 | |
| CN108549824B (zh) | 一种数据脱敏方法及装置 | |
| CN112437060B (zh) | 一种数据传输方法、装置、计算机设备及存储介质 | |
| CN113111951A (zh) | 数据处理方法以及装置 | |
| CN117240625B (zh) | 一种涉及防篡改的数据处理方法、装置及电子设备 | |
| CN108965324A (zh) | 一种短信验证码防刷方法、终端、服务器、设备及介质 | |
| CN115766258A (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| Liang et al. | FECC: DNS tunnel detection model based on CNN and clustering | |
| CN113918977A (zh) | 基于物联网和大数据分析的用户信息传输装置 | |
| Böttinger et al. | Detecting fingerprinted data in TLS traffic | |
| US20220345292A1 (en) | Method and device for encryption of video stream, communication equipment, and storage medium | |
| WO2023059501A1 (en) | Statistically private oblivious transfer from cdh | |
| Salami et al. | Collaborative integrity verification for blockchain-based cloud forensic readiness data protection | |
| Wang et al. | Deep learning based on byte sample entropy for VPN encrypted traffic identification | |
| Boonyopakorn | Applying Data Analytics to Findings of User Behaviour Usage in Network Systems | |
| CN116668085B (zh) | 基于lightGBM的流量多进程入侵检测方法及系统 | |
| CN116049877B (zh) | 一种隐私数据识别和脱敏的方法、系统、设备及存储介质 | |
| CN114374519B (zh) | 一种数据传输的方法、系统及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |