CN117201206B - 防止网络数据泄漏的网络安全监管系统 - Google Patents

防止网络数据泄漏的网络安全监管系统 Download PDF

Info

Publication number
CN117201206B
CN117201206B CN202311475447.XA CN202311475447A CN117201206B CN 117201206 B CN117201206 B CN 117201206B CN 202311475447 A CN202311475447 A CN 202311475447A CN 117201206 B CN117201206 B CN 117201206B
Authority
CN
China
Prior art keywords
data
data stream
desensitization
risk
transmitted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311475447.XA
Other languages
English (en)
Other versions
CN117201206A (zh
Inventor
陈英杰
沈鹏
李盼
曹孟
冯云
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hebei Linghe Computer Information Technology Co ltd
Original Assignee
Hebei Linghe Computer Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hebei Linghe Computer Information Technology Co ltd filed Critical Hebei Linghe Computer Information Technology Co ltd
Priority to CN202311475447.XA priority Critical patent/CN117201206B/zh
Publication of CN117201206A publication Critical patent/CN117201206A/zh
Application granted granted Critical
Publication of CN117201206B publication Critical patent/CN117201206B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种防止网络数据泄漏的网络安全监管系统,涉及网络安全监管技术领域。本发明用于解决企业或组织内部的网络安全监管系统,并没有针对传输过程中不同类型的数据流,进行针对性采集、监测、分析,达到优化网络传输性能,防止数据泄漏、丢包的效果。通过对网页数据流、文本数据流和音视频数据流的共性常规数据信息和共性常规分标信息进行采集后,进行个性化的脱敏风险分析;对数据库访问数据流和传感器数据流的共性常规数据信息和共性常规分标信息进行采集后,进行个性化的脱敏风险分析;便于防泄漏监管模块针对性的监测和优化网络性能,同时针对具有泄漏、丢包或损坏风险的数据流采取多样化处理措施。

Description

防止网络数据泄漏的网络安全监管系统
技术领域
本发明属于网络安全监管技术领域,具体涉及防止网络数据泄漏的网络安全监管系统。
背景技术
随着互联网的迅速发展,网络数据泄漏事件频繁发生,给个人、组织和企业的数据安全造成了严重威胁。当前的网络安全解决方案往往侧重于网络入侵检测和防火墙等技术,但对于内部员工或恶意内部人员的数据泄漏行为监控和管理相对较弱。
现有技术中的数据防泄漏系统,包括流量采集终端,用于采集工业互联网的业务流量,并将业务流量中的工业相关数据上传至工业数据防泄漏平台;工业数据防泄漏平台,用于对流量采集终端上传的工业相关数据进行数据安全检测,得到异常数据,根据与异常数据的数据类别匹配的数据保护策略进行告警;展示管理终端,用于根据工业数据防泄漏平台发送的工业相关数据的数据安全检测结果,从多个维度生成与工业相关数据对应的安全状态视图并展示,实现对工业互联网数据进行安全监测,防止数据泄漏,提高工业数据的安全性。但是应用至企业或组织内部的网络安全监管系统,并没有针对传输过程中不同类型的数据流,进行针对性采集、监测、分析,达到优化网络传输性能,防止数据泄漏、丢包的效果。
发明内容
本发明的目的在于提供一种防止网络数据泄漏的网络安全监管系统,用于解决现有技术中应用至企业或组织内部的网络安全监管系统,并没有针对传输过程中不同类型的数据流,进行针对性采集、监测、分析,达到优化网络传输性能,防止数据泄漏、丢包的效果的技术问题。
为了实现上述目的,本发明采用了如下技术方案:
本发明提供一种防止网络数据泄漏的网络安全监管系统,包括:数据流分类模块、特征提取识别模块、脱敏风险分析模块、防泄漏监管模块和存储模块;
数据流分类模块用于将一个节点到另一个节点传输的不同类别的数据流划分为网页数据流、文本数据流、音视频数据流、数据库访问数据流和传感器数据流;
特征提取识别模块,用于采集单位时间内传输的网页数据流、文本数据流和音视频数据流的一级常规数据信息以及一级常规分标信息,并将其发送至脱敏风险分析模块;还用于采集单位时间内传输的数据库访问数据流和传感器数据流的二级常规数据信息以及二级常规分标信息,并将其发送至脱敏风险分析模块;
脱敏风险分析模块用于对单位时间内传输的网页数据流、文本数据流和音视频数据流的一级常规数据信息以及一级常规分标信息,进行一级脱敏风险分析生成一级脱敏风险因子,并将一级脱敏风险因子发送至防泄漏监管模块;还用于对单位时间内传输的数据库访问数据流和传感器数据流的二级常规数据信息以及二级常规分标信息,进行二级脱敏风险分析生成二级脱敏风险因子,并将二级脱敏风险因子发送至防泄漏监管模块。
作为本发明进一步改进的方案,所述一级常规数据信息包括单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包长度、数据包最大传输单位以及数据块大小;一级常规分标信息包括单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包源IP地址、数据包源端口号、数据包传输速率和数据包传输延迟;
所述二级常规数据信息包括单位时间内传输的数据库访问数据流和传感器数据流通过网络访问的用户账号,以及单位时间内传输的数据库访问数据流和传感器数据流传输通过的设备;二级常规分标信息包括单位时间内传输的数据库访问数据流和传感器数据流的丢包率以及吞吐量。
作为本发明进一步改进的方案,所述一级脱敏风险分析的具体过程如下:
S11,调取单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包源IP地址、数据包源端口号,将数据包源IP地址和数据包源端口号相同的数据流规整入网页数据流、文本数据流和音视频数据流的一级子文件包内;
S12,将一级子文件包单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包传输速率和数据包传输延迟,进行一级分标分析得到一级分标因子;将一级子文件包内的网页数据流、文本数据流和音视频数据流的数据包长度、数据包最大传输单位以及数据块大小经过一级数据分析得到一级数据因子;
S13,将一级子文件包单位时间内传输的网页数据流、文本数据流和音视频数据流的一级分标因子和一级数据因子,进行一级脱敏风险评判得到不同类型的脱敏风险信号,并将脱敏风险信号发送至防泄漏监管模块。
作为本发明进一步改进的方案,所述一级分标分析的过程如下:将一级子文件包单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包传输速率和数据包传输延迟,分别标记为YCi、YSi,i对应单位时间内先后不同时刻传输的数据流,分析得到不同数据流的一级分标因子YBi;其中,i=1,2,3...n,n为大于1的正整数;
一级数据分析的过程如下:将一级子文件包内的网页数据流、文本数据流和音视频数据流的数据包长度、数据包最大传输单位以及数据块大小,分别标记为YLi、YDi和YKi,i对应单位时间内先后不同时刻传输的数据流,分析得到不同数据流的一级数据因子YJi;其中,i=1,2,3...n,n为大于1的正整数。
作为本发明进一步改进的方案,所述一级脱敏风险评判的过程如下:将一级子文件包内的网页数据流、文本数据流和音视频数据流的一级分标因子和一级数据因子相乘,得到一级脱敏风险系数;将一级脱敏风险系数与其预设范围进行比较,当一级脱敏风险系数大于其预设范围的最大值时,生成高脱敏高风险信号并将其发送至防泄漏监管模块;当一级脱敏风险系数介于其预设范围内时,生成中脱敏中风险信号并将其发送至防泄漏监管模块;当一级脱敏风险系数小于其预设范围的最小值时,生成低脱敏低风险信号并将其发送至防泄漏监管模块。
作为本发明进一步改进的方案,所述二级脱敏风险分析的具体过程如下:
S21、调取单位时间内传输的数据库访问数据流和传感器数据流传输通过的设备,将通过网络访问的用户账号或传输通过的相同设备的数据流,规整入数据库访问数据流和传感器数据流的二级子文件包内;
S22、将二级子文件包单位时间内传输的数据库访问数据流和传感器数据流的丢包率和吞吐量,进行二级脱敏风险评判得到不同类型的脱敏风险信号,并将脱敏风险信号发送至防泄漏监管模块。
作为本发明进一步改进的方案,所述二级脱敏风险评判的过程如下:将二级子文件包单位时间内传输的数据库访问数据流和传感器数据流的丢包率和吞吐量,分别标记为EDo、ETo,o对应单位时间内先后不同时刻传输的数据流,分析得到不同数据流的二级脱敏风险系数EJo;其中,o=1,2,3...p,p为大于1的正整数;将二级脱敏风险系数与其预设范围进行比较,当二级脱敏风险系数大于其预设范围的最大值时,生成优先级脱敏信号;当二级脱敏风险系数介于其预设范围内时,生成普通级脱敏信号;当二级脱敏风险系数小于其预设范围的最小值时,生成滞后级脱敏信号。
作为本发明进一步改进的方案,所述防泄漏监管模块用于将高脱敏高风险信号对应的数据流进行脱敏算法处理,将中脱敏中风险信号对应的数据流进行流量控制处理,将低脱敏低风险信号对应的数据流发送至存储模块进行备份处理;还用于将优先级脱敏信号对应的数据流进行加密处理,将普通级脱敏信号对应的数据流进行脱敏算法处理,将滞后级脱敏信号对应的数据流发送至存储模块进行备份处理。
作为本发明进一步改进的方案,将一个节点到另一个节点传输的不同类别的数据流进行划分的具体过程如下:
S1,当用户通过浏览器访问网页,且浏览器与服务器之间传输的为HTML、CSS、JavaScript的网页相关数据时,划分为网页数据流;
S2,当在网络中传输的文件数据可通过文件传输协议或超文本传输协议时下载和上传时,划分为文本数据流;
S3,当在网络中传输的是音频、视频或语音通信数据时,划分为音视频数据流;
S4、当通过网络访问和传输的数据库查询和响应数据时,划分为数据库访问数据;
S5、通过物联网设备或传感器收集的实时数据划分为传感器数据流。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1、本发明的网络安全监管系统,通过将企业和组织内部一个节点到另一个节点传输的不同类别的数据流进行划分,对网页数据流、文本数据流和音视频数据流的共性常规数据信息和共性常规分标信息进行采集后,进行个性化的脱敏风险分析;对数据库访问数据流和传感器数据流的共性常规数据信息和共性常规分标信息进行采集后,进行个性化的脱敏风险分析;基于传输过程中的数据流进行共性化与个性化结合的数据采集、分析,产生针对性的一级脱敏风险因子和二级脱敏风险因子,便于防泄漏监管模块针对性的监测和优化网络性能,同时针对具有泄漏、丢包或损坏风险的数据流采取多样化处理措施。
2、本发明基于网页数据流、文本数据流和音视频数据流的机密性要求不高,可通过源IP地址以及源端口号锁定数据流的来源,归类至一级子文件包后,针对影响网络拥塞、数据丢失风险的多项数据进行一级分标分析,针对影响传输效率和传输性能的多项数据进行一级数据分析,再结合相乘得到的一级脱敏风险系数,以预设范围比较的方式得出反映脱敏风险等级的脱敏风险信号,便于针对一级子文件包内的网页数据流、文本数据流和音视频数据流进行针对性的脱敏降风险处理,降低数据流在传输过程中发生拥堵、泄漏的风险。
3、本发明通过对个性化的一级脱敏风险系数与预设范围比较产生的高脱敏高风险信号、中脱敏中风险信号或低脱敏低风险信号,进行针对性的脱敏算法处理、流量控制处理或加密处理;还通过对个性化的二级脱敏风险系数与预设范围比较产生的优先级脱敏信号、普通级脱敏信号或滞后级脱敏信号,进行针对性的加密处理、脱敏算法处理或备份处理;降低不同类型数据的泄漏拥堵、泄漏风险,保障传输性能,提高了网络数据监管的安全性和传输性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明防止网络数据泄漏的网络安全监管系统模块图;
图2示出了本发明防止网络数据泄漏的网络安全监管系统的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例1
参阅图1-图2所示,本实施例的一种防止网络数据泄漏的网络安全监管系统,包括:数据流分类模块、特征提取识别模块、脱敏风险分析模块、防泄漏监管模块和存储模块。该网络安全监管系统的应用场景为企业和组织的网络安全监控管理,针对不同类型的数据流进行分类、特征提取识别和脱敏风险分析,并提供及时的、针对性的响应和防御措施,避免企业和组织内部数据泄漏、丢包、损坏的状况发生。
数据流分类模块用于将一个节点到另一个节点传输的不同类别的数据流划分为网页数据流、文本数据流、音视频数据流、数据库访问数据流和传感器数据流。
特征提取识别模块,用于采集单位时间内传输的网页数据流、文本数据流和音视频数据流的一级常规数据信息以及一级常规分标信息,并将其发送至脱敏风险分析模块;还用于采集单位时间内传输的数据库访问数据流和传感器数据流的二级常规数据信息以及二级常规分标信息,并将其发送至脱敏风险分析模块。
本申请中提及的单位时间可根据企业和组织网络的数据流特性以及数据传输的需求来自主设定,优选半天或一天。
一级常规数据信息包括单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包长度、数据包最大传输单位以及数据块大小;一级常规分标信息包括单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包源IP地址、数据包源端口号、数据包传输速率和数据包传输延迟。
其中,数据包长度是指单个数据包中的有效数据部分的大小;它表示了数据包所携带的实际数据的长度,不包括数据包头部和其他控制信息的长度;数据包长度可以根据具体的协议和应用需求来定义和设置。
数据包最大传输单位是指在特定网络或链路中允许传输的数据包的最大大小,它是网络通信中限制数据包大小的一个参数;当数据包的大小超过最大传输单位时,需要对数据包进行分片和重组以适应网络传输。
数据块大小是指在数据处理和传输过程中进行分块处理的数据单元的大小;数据块可以是一次传输或处理的单位,其大小可以根据应用需求和系统性能进行定义和设置;数据块的大小通常是根据文件的大小、传输效率、存储系统的要求等因素来决定。
数据包长度和数据包最大传输单位关系到数据传输的效率和可靠性,而数据块大小则涉及到数据处理和存储的效率和性能。
数据包源IP地址是指数据包发送方的IP地址;IP地址是用于在网络中标识设备或主机的唯一地址,它是实现数据包在网络中正确传输和路由的基础。
数据包源端口号是指数据包发送方使用的端口号;在网络通信中,端口号用于标识不同的应用或进程;源端口号与源IP地址一起,构成了数据包的发送者信息。
数据包传输速率是指在网络通信中,数据包从发送方到接收方的传输速度;它通常以比特率或字节率表示,表示每秒传输的比特或字节数;传输速率取决于网络带宽、网络拥塞、传输协议和传输距离等因素。
数据包传输延迟是指从数据包离开发送方到达接收方之间的时间延迟;传输延迟包括发送延迟、传播延迟和排队延迟等。发送延迟是指数据包在发送方缓冲区等待传输的时间;传播延迟是指数据包在传输介质中传播的时间;排队延迟是指数据包在网络设备的排队等待时间。
二级常规数据信息包括单位时间内传输的数据库访问数据流和传感器数据流通过网络访问的用户账号,以及单位时间内传输的数据库访问数据流和传感器数据流传输通过的设备;二级常规分标信息包括单位时间内传输的数据库访问数据流和传感器数据流的丢包率以及吞吐量。
其中,丢包率是在数据传输过程中丢失的数据包占总发送数据包数量的比例;当数据包在传输过程中由于网络拥塞、错误传输或其他原因丢失时,就会导致丢包率的增加;丢包率的高低可以反映网络的可靠性和质量,较低的丢包率表示更可靠的数据传输。
吞吐量指在单位时间内成功传输的数据量,表示网络或链路的实际数据传输速率;吞吐量受到网络带宽、丢包率、延迟和传输协议等因素的影响;较高的吞吐量表示网络或链路具有更高的数据传输能力和效率。
脱敏风险分析模块用于对单位时间内传输的网页数据流、文本数据流和音视频数据流的一级常规数据信息以及一级常规分标信息,进行一级脱敏风险分析生成一级脱敏风险因子,并将一级脱敏风险因子发送至防泄漏监管模块;还用于对单位时间内传输的数据库访问数据流和传感器数据流的二级常规数据信息以及二级常规分标信息,进行二级脱敏风险分析生成二级脱敏风险因子,并将二级脱敏风险因子发送至防泄漏监管模块。
本实施例的防止网络数据泄漏的网络安全监管系统,通过将企业和组织内部一个节点到另一个节点传输的不同类别的数据流进行划分,对网页数据流、文本数据流和音视频数据流的共性常规数据信息和共性常规分标信息进行采集后,进行个性化的脱敏风险分析;对数据库访问数据流和传感器数据流的共性常规数据信息和共性常规分标信息进行采集后,进行个性化的脱敏风险分析;基于传输过程中的数据流进行共性化与个性化结合的数据采集、分析,产生针对性的一级脱敏风险因子和二级脱敏风险因子,便于防泄漏监管模块针对性的监测和优化网络性能,同时针对具有泄漏、丢包或损坏风险的数据流采取多样化处理措施。
实施例2
参阅图1-图2所示,本实施例的一种防止网络数据泄漏的网络安全监管系统,在实施例1的基础上进行方案展开和扩充,具体地:
数据流分类模块将一个节点到另一个节点传输的不同类别的数据流进行划分的具体过程如下:
S1,当用户通过浏览器访问网页,且浏览器与服务器之间传输的为HTML、CSS、JavaScript的网页相关数据时,划分为网页数据流;
S2,当在网络中传输的文件数据可通过文件传输协议或超文本传输协议时下载和上传时,划分为文本数据流;
S3,当在网络中传输的是音频、视频或语音通信数据时,划分为音视频数据流;
音频、视频或语音通信数据的识别标准通常基于协议、文件格式或数据结构等特征进行判断;例如:多用途Internet邮件扩展(MIME)类型是一种用于标识多媒体数据的标准。在网络通信中,音频和视频数据流可以通过MIME类型来进行识别;不同的文件格式具有不同的文件头标识,例如WAV音频文件具有特定的文件头标识符,MP4视频文件具有特定的文件头标识符等;实时传输协议(RTP)常用于音频和视频的实时传输,而实时传输控制协议(RTCP)用于控制和反馈;实时传输控制协议(RTCP)通常使用固定的端口号范围如UDP的5005端口,而VoIP通信可能使用特定的端口号如SIP协议使用UDP的5060端口;
S4、当通过网络访问和传输的数据库查询和响应数据时,划分为数据库访问数据;例如通过网络访问远程数据库或使用Web服务访问数据库的数据流;
S5、通过物联网设备或传感器收集的实时数据划分为传感器数据流;例如,温度、湿度、位置等传感器收集的实时数据。
一级脱敏风险分析的具体过程如下:
S11,调取单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包源IP地址、数据包源端口号,将数据包源IP地址和数据包源端口号相同的数据流规整入网页数据流、文本数据流和音视频数据流的一级子文件包内;
S12,将一级子文件包单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包传输速率和数据包传输延迟,进行一级分标分析得到一级分标因子;将一级子文件包内的网页数据流、文本数据流和音视频数据流的数据包长度、数据包最大传输单位以及数据块大小经过一级数据分析得到一级数据因子;
S13,将一级子文件包单位时间内传输的网页数据流、文本数据流和音视频数据流的一级分标因子和一级数据因子,进行一级脱敏风险评判得到不同类型的脱敏风险信号,并将脱敏风险信号发送至防泄漏监管模块。
一级分标分析的过程如下:将一级子文件包单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包传输速率和数据包传输延迟,分别标记为YCi、YSi,根据公式分析得到不同数据流的一级分标因子YBi;其中,i=1,2,3...n,n为大于1的正整数,i对应单位时间内先后不同时刻传输的数据流;α为修正因子且等于0.986,a1、a2均为预设权重系数,a1>a2>0且a1+a2=3.587;一级分标因子的表观值越大,说明一级子文件包单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包的数据传输效果越差,发行网络拥塞、数据丢失的风险越大;
一级数据分析的过程如下:将一级子文件包内的网页数据流、文本数据流和音视频数据流的数据包长度、数据包最大传输单位以及数据块大小,分别标记为YLi、YDi和YKi,i对应单位时间内先后不同时刻传输的数据流,根据公式
得到不同数据流的一级数据因子YJi;其中,i=1,2,3...n,n为大于1的正整数;β为修正因子且等于1.158,b1、b2、b3均为预设权重系数,b3>b2>b1>0且b1+b2+b3=4.257;一级数据因子的表观值越大,说明一级子文件包单位时间内传输的网页数据流、文本数据流和音视频数据流的传输效率和传输性能的影响风险越大;
一级脱敏风险评判的过程如下:将一级子文件包内的网页数据流、文本数据流和音视频数据流的一级分标因子和一级数据因子相乘,得到一级脱敏风险系数;将一级脱敏风险系数与其预设范围进行比较,当一级脱敏风险系数大于其预设范围的最大值时,生成高脱敏高风险信号并将其发送至防泄漏监管模块;当一级脱敏风险系数介于其预设范围内时,生成中脱敏中风险信号并将其发送至防泄漏监管模块;当一级脱敏风险系数小于其预设范围的最小值时,生成低脱敏低风险信号并将其发送至防泄漏监管模块。
数据脱敏是一种数据保护技术,用于在数据处理和存储过程中,对敏感数据进行部分或完全的去除、替换或加密,以保护数据的隐私和安全。数据脱敏的目的是防止敏感数据的泄露、滥用或不当使用,同时尽可能保留数据的可用性和有用性。
本申请首先考虑到网页数据流、文本数据流和音视频数据流的机密性要求不高,其次可通过源IP地址以及源端口号锁定数据流的来源,归类至一级子文件包后,针对影响网络拥塞、数据丢失风险的多项数据进行一级分标分析,针对影响传输效率和传输性能的多项数据进行一级数据分析,再结合相乘得到的一级脱敏风险系数,以预设范围比较的方式得出反映脱敏风险等级的脱敏风险信号,便于针对一级子文件包内的网页数据流、文本数据流和音视频数据流进行针对性的脱敏降风险处理,降低数据流在传输过程中发生拥堵、泄漏的风险。
二级脱敏风险分析的具体过程如下:
S21、调取单位时间内传输的数据库访问数据流和传感器数据流传输通过的设备,将通过网络访问的用户账号或传输通过的相同设备的数据流,规整入数据库访问数据流和传感器数据流的二级子文件包内;
S22、将二级子文件包单位时间内传输的数据库访问数据流和传感器数据流的丢包率和吞吐量,进行二级脱敏风险评判得到不同类型的脱敏风险信号,并将脱敏风险信号发送至防泄漏监管模块。
二级脱敏风险评判的过程如下:将二级子文件包单位时间内传输的数据库访问数据流和传感器数据流的丢包率和吞吐量,分别标记为EDo、ETo,o对应单位时间内先后不同时刻传输的数据流,根据公式得到不同数据流的二级脱敏风险系数EJo;其中,o=1,2,3...p,p为大于1的正整数;δ为修正因子且等于1.247,c1、c2均为预设权重系数,c1>c2>0且c1+c2=3.5268;将二级脱敏风险系数与其预设范围进行比较,当二级脱敏风险系数大于其预设范围的最大值时,生成优先级脱敏信号;当二级脱敏风险系数介于其预设范围内时,生成普通级脱敏信号;当二级脱敏风险系数小于其预设范围的最小值时,生成滞后级脱敏信号。
本申请中提及的预设权重系数用于均衡各项数据在公式计算中的占比权重,从而促进计算结果的准确性;系数的大小是为了将各个参数进行量化得到的一个具体的数值,便于后续比较,关于系数的大小,取决于样本数据的多少及本领域技术人员对每一组样本数据初步设定对应的权重因子系数;只要不影响参数与量化后数值的比例关系即可。
涉及到的公式均是采集大量数据去量纲后进行软件模拟得出且选取与真实值接近的一个公式,公式中的系数是由本领域技术人员根据实际情况进行设置。
实施例3
参阅图1-图2所示,本实施例的一种防止网络数据泄漏的网络安全监管系统,在实施例2的基础上进行方案扩充,具体地:
防泄漏监管模块用于将高脱敏高风险信号对应的数据流进行脱敏算法处理,将中脱敏中风险信号对应的数据流进行流量控制处理,将低脱敏低风险信号对应的数据流发送至存储模块进行备份处理;还用于将优先级脱敏信号对应的数据流进行加密处理,将普通级脱敏信号对应的数据流进行脱敏算法处理,将滞后级脱敏信号对应的数据流发送至存储模块进行备份处理。
其中,脱敏算法处理是使用算法将数据转换为不可逆的伪随机值,以保护数据的隐私;这种转换是可逆的,且只能通过使用相应的解密密钥进行还原。
流量控制处理是用于在网络中调整数据发送的速率,以避免网络拥塞和数据丢失;流量控制可以根据接收方的能力和网络条件来调整发送方的数据传输速率。
加密处理优先选择加密算法进行处理,需要选择适合的加密算法对数据进行加密,常见的加密算法包括对称加密算法如AES、DES,非对称加密算法如RSA、ECC以及哈希函数如SHA-256。
防泄漏监管模块通过对个性化的一级脱敏风险系数与预设范围比较产生的高脱敏高风险信号、中脱敏中风险信号、低脱敏低风险信号,进行针对性的脱敏算法处理、流量控制处理或加密处理;还通过对个性化的二级脱敏风险系数与预设范围比较产生的优先级脱敏信号、普通级脱敏信号、滞后级脱敏信号,进行针对性的加密处理、脱敏算法处理或备份处理;降低不同类型数据的泄漏拥堵、泄漏风险,保障传输性能,提高了网络数据监管的安全性和传输性能。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为的具体实施方式。显然,根据本说明书的内容,可做很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (8)

1.防止网络数据泄漏的网络安全监管系统,其特征在于,包括:数据流分类模块、特征提取识别模块、脱敏风险分析模块、防泄漏监管模块和存储模块;
数据流分类模块用于将一个节点到另一个节点传输的不同类别的数据流划分为网页数据流、文本数据流、音视频数据流、数据库访问数据流和传感器数据流;
特征提取识别模块,用于采集单位时间内传输的网页数据流、文本数据流和音视频数据流的一级常规数据信息以及一级常规分标信息,并将其发送至脱敏风险分析模块;还用于采集单位时间内传输的数据库访问数据流和传感器数据流的二级常规数据信息以及二级常规分标信息,并将其发送至脱敏风险分析模块;
脱敏风险分析模块用于对单位时间内传输的网页数据流、文本数据流和音视频数据流的一级常规数据信息以及一级常规分标信息,进行一级脱敏风险分析生成一级脱敏风险因子,并将一级脱敏风险因子发送至防泄漏监管模块;还用于对单位时间内传输的数据库访问数据流和传感器数据流的二级常规数据信息以及二级常规分标信息,进行二级脱敏风险分析生成二级脱敏风险因子,并将二级脱敏风险因子发送至防泄漏监管模块;
所述一级常规数据信息包括单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包长度、数据包最大传输单位以及数据块大小;一级常规分标信息包括单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包源IP地址、数据包源端口号、数据包传输速率和数据包传输延迟;
所述二级常规数据信息包括单位时间内传输的数据库访问数据流和传感器数据流通过网络访问的用户账号,以及单位时间内传输的数据库访问数据流和传感器数据流传输通过的设备;二级常规分标信息包括单位时间内传输的数据库访问数据流和传感器数据流的丢包率以及吞吐量。
2.根据权利要求1所述的防止网络数据泄漏的网络安全监管系统,其特征在于,所述一级脱敏风险分析的具体过程如下:
S11,调取单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包源IP地址、数据包源端口号,将数据包源IP地址和数据包源端口号相同的数据流规整入网页数据流、文本数据流和音视频数据流的一级子文件包内;
S12,将一级子文件包单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包传输速率和数据包传输延迟,进行一级分标分析得到一级分标因子;将一级子文件包内的网页数据流、文本数据流和音视频数据流的数据包长度、数据包最大传输单位以及数据块大小经过一级数据分析得到一级数据因子;
S13,将一级子文件包单位时间内传输的网页数据流、文本数据流和音视频数据流的一级分标因子和一级数据因子,进行一级脱敏风险评判得到不同类型的脱敏风险信号,并将脱敏风险信号发送至防泄漏监管模块。
3.根据权利要求2所述的防止网络数据泄漏的网络安全监管系统,其特征在于,所述一级分标分析的过程如下:将一级子文件包单位时间内传输的网页数据流、文本数据流和音视频数据流的数据包传输速率和数据包传输延迟,分别标记为YCi、YSi,i对应单位时间内先后不同时刻传输的数据流,分析得到不同数据流的一级分标因子YBi;其中,i=1,2,3...n,n为大于1的正整数;
一级数据分析的过程如下:将一级子文件包内的网页数据流、文本数据流和音视频数据流的数据包长度、数据包最大传输单位以及数据块大小,分别标记为YLi、YDi和YKi,i对应单位时间内先后不同时刻传输的数据流,分析得到不同数据流的一级数据因子YJi;其中,i=1,2,3...n,n为大于1的正整数。
4.根据权利要求2所述的防止网络数据泄漏的网络安全监管系统,其特征在于,所述一级脱敏风险评判的过程如下:将一级子文件包内的网页数据流、文本数据流和音视频数据流的一级分标因子和一级数据因子相乘,得到一级脱敏风险系数;将一级脱敏风险系数与其预设范围进行比较,当一级脱敏风险系数大于其预设范围的最大值时,生成高脱敏高风险信号并将其发送至防泄漏监管模块;当一级脱敏风险系数介于其预设范围内时,生成中脱敏中风险信号并将其发送至防泄漏监管模块;当一级脱敏风险系数小于其预设范围的最小值时,生成低脱敏低风险信号并将其发送至防泄漏监管模块。
5.根据权利要求1所述的防止网络数据泄漏的网络安全监管系统,其特征在于,所述二级脱敏风险分析的具体过程如下:
S21、调取单位时间内传输的数据库访问数据流和传感器数据流传输通过的设备,将通过网络访问的用户账号或传输通过的相同设备的数据流,规整入数据库访问数据流和传感器数据流的二级子文件包内;
S22、将二级子文件包单位时间内传输的数据库访问数据流和传感器数据流的丢包率和吞吐量,进行二级脱敏风险评判得到不同类型的脱敏风险信号,并将脱敏风险信号发送至防泄漏监管模块。
6.根据权利要求5所述的防止网络数据泄漏的网络安全监管系统,其特征在于,所述二级脱敏风险评判的过程如下:将二级子文件包单位时间内传输的数据库访问数据流和传感器数据流的丢包率和吞吐量,分别标记为EDo、ETo,o对应单位时间内先后不同时刻传输的数据流,分析得到不同数据流的二级脱敏风险系数EJo;其中,o=1,2,3...p,p为大于1的正整数;将二级脱敏风险系数与其预设范围进行比较,当二级脱敏风险系数大于其预设范围的最大值时,生成优先级脱敏信号;当二级脱敏风险系数介于其预设范围内时,生成普通级脱敏信号;当二级脱敏风险系数小于其预设范围的最小值时,生成滞后级脱敏信号。
7.根据权利要求1所述的防止网络数据泄漏的网络安全监管系统,其特征在于,所述防泄漏监管模块用于将高脱敏高风险信号对应的数据流进行脱敏算法处理,将中脱敏中风险信号对应的数据流进行流量控制处理,将低脱敏低风险信号对应的数据流发送至存储模块进行备份处理;还用于将优先级脱敏信号对应的数据流进行加密处理,将普通级脱敏信号对应的数据流进行脱敏算法处理,将滞后级脱敏信号对应的数据流发送至存储模块进行备份处理。
8.根据权利要求1所述的防止网络数据泄漏的网络安全监管系统,其特征在于,将一个节点到另一个节点传输的不同类别的数据流进行划分的具体过程如下:
S1,当用户通过浏览器访问网页,且浏览器与服务器之间传输的为HTML、CSS、JavaScript的网页相关数据时,划分为网页数据流;
S2,当在网络中传输的文件数据可通过文件传输协议或超文本传输协议时下载和上传时,划分为文本数据流;
S3,当在网络中传输的是音频、视频或语音通信数据时,划分为音视频数据流;
S4、当通过网络访问和传输的数据库查询和响应数据时,划分为数据库访问数据;
S5、通过物联网设备或传感器收集的实时数据划分为传感器数据流。
CN202311475447.XA 2023-11-08 2023-11-08 防止网络数据泄漏的网络安全监管系统 Active CN117201206B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311475447.XA CN117201206B (zh) 2023-11-08 2023-11-08 防止网络数据泄漏的网络安全监管系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311475447.XA CN117201206B (zh) 2023-11-08 2023-11-08 防止网络数据泄漏的网络安全监管系统

Publications (2)

Publication Number Publication Date
CN117201206A CN117201206A (zh) 2023-12-08
CN117201206B true CN117201206B (zh) 2024-01-09

Family

ID=88989191

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311475447.XA Active CN117201206B (zh) 2023-11-08 2023-11-08 防止网络数据泄漏的网络安全监管系统

Country Status (1)

Country Link
CN (1) CN117201206B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106529329A (zh) * 2016-10-11 2017-03-22 中国电子科技网络信息安全有限公司 一种用于大数据的脱敏系统及脱敏方法
CN107480549A (zh) * 2017-06-28 2017-12-15 银江股份有限公司 一种面向数据共享的敏感信息脱敏方法及系统
CN111859451A (zh) * 2020-07-23 2020-10-30 北京尚隐科技有限公司 多源多模态数据的处理系统及应用该系统的方法
CN112768022A (zh) * 2021-01-26 2021-05-07 杭州卓健信息科技有限公司 一种医疗数据流转用的系统及方法
CN113098892A (zh) * 2021-04-19 2021-07-09 恒安嘉新(北京)科技股份公司 基于工业互联网的数据防泄漏系统以及方法
WO2022183794A1 (zh) * 2021-03-03 2022-09-09 华为技术有限公司 一种流量处理方法、及防护系统
CN116506217A (zh) * 2023-06-20 2023-07-28 北京门石信息技术有限公司 业务数据流安全风险的分析方法、系统、存储介质及终端

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7797341B2 (en) * 2007-04-30 2010-09-14 Hewlett-Packard Development Company, L.P. Desensitizing database information

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106529329A (zh) * 2016-10-11 2017-03-22 中国电子科技网络信息安全有限公司 一种用于大数据的脱敏系统及脱敏方法
CN107480549A (zh) * 2017-06-28 2017-12-15 银江股份有限公司 一种面向数据共享的敏感信息脱敏方法及系统
CN111859451A (zh) * 2020-07-23 2020-10-30 北京尚隐科技有限公司 多源多模态数据的处理系统及应用该系统的方法
CN112768022A (zh) * 2021-01-26 2021-05-07 杭州卓健信息科技有限公司 一种医疗数据流转用的系统及方法
WO2022183794A1 (zh) * 2021-03-03 2022-09-09 华为技术有限公司 一种流量处理方法、及防护系统
CN113098892A (zh) * 2021-04-19 2021-07-09 恒安嘉新(北京)科技股份公司 基于工业互联网的数据防泄漏系统以及方法
CN116506217A (zh) * 2023-06-20 2023-07-28 北京门石信息技术有限公司 业务数据流安全风险的分析方法、系统、存储介质及终端

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于生成对抗网络的高端装备研制数据脱敏方法;向南;张雄涛;豆亚杰;徐向前;杨克巍;谭跃进;;系统工程与电子技术(第06期);全文 *

Also Published As

Publication number Publication date
CN117201206A (zh) 2023-12-08

Similar Documents

Publication Publication Date Title
US11057420B2 (en) Detection of malware and malicious applications
US8677473B2 (en) Network intrusion protection
US7804774B2 (en) Scalable filtering and policing mechanism for protecting user traffic in a network
CN111131137B (zh) 可疑封包检测装置及其可疑封包检测方法
US20070204060A1 (en) Network control apparatus and network control method
US11546372B2 (en) Method, system, and apparatus for monitoring network traffic and generating summary
EP2850781B1 (en) Methods, systems, and computer readable media for measuring detection accuracy of a security device using benign traffic
JP2006279930A (ja) 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
CA2545916A1 (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
US20150071085A1 (en) Network gateway for real-time inspection of data frames and identification of abnormal network behavior
WO2022183794A1 (zh) 一种流量处理方法、及防护系统
US10965620B2 (en) Multi-destination packet redaction
CN117201206B (zh) 防止网络数据泄漏的网络安全监管系统
JP5181134B2 (ja) パケット通信装置、パケット通信方法及びパケット通信プログラム
Yudha et al. Design of a snort-based IDS on the raspberry pi 3 model B+ applying TaZmen sniffer protocol and log alert integrity assurance with SHA-3
CN114465786B (zh) 一种加密网络流量的监控方法
KR100656348B1 (ko) 토큰 버켓을 이용한 대역폭 제어 방법 및 대역폭 제어 장치
TWI520548B (zh) Information System and Its Method of Confidential Data Based on Packet Analysis
Fu et al. Network storage covert channel detection based on data joint analysis
CN115021984B (zh) 一种网络安全检测方法、装置、电子设备及存储介质
CN107257327B (zh) 一种高并发ssl会话管理方法
WO2016041346A1 (zh) 一种控制网络数据流量的方法及装置
CN116471060A (zh) 基于随机森林回归算法的加密流量翻墙行为识别方法
Promyslov et al. Modeling Denial-of-Service Attacks Protection Controller Using Network Calculus
WO2020100061A1 (en) Method and device for monitoring data output by a server

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant