WO2023109524A1

WO2023109524A1 - 信息泄露监测方法及系统、电子设备

Info

Publication number: WO2023109524A1
Application number: PCT/CN2022/135997
Authority: WO
Inventors: 王滨; 周少鹏; 王旭; 张峰; 毕志城; 万里; 李俊; 王冲华; 赵海涛
Original assignee: 杭州海康威视数字技术股份有限公司
Priority date: 2021-12-17
Filing date: 2022-12-01
Publication date: 2023-06-22
Also published as: CN113938524A; CN113938524B

Abstract

本申请提供一种基于流量代理的物联网终端关键信息泄露监测方法及系统、电子设备、存储介质、以及计算机程序。该方法包括：接收物联网终端发送的代理请求，所述代理请求中包括所述物联网终端的协议相关信息，所述协议相关信息包括设备型号信息、服务类型信息以及数据包信息中的部分或全部；依据所述物联网终端的协议相关信息，确定所述物联网终端对应的目标协议；依据所述目标协议，以及全流量代理池中代理服务的使用状态和在线状态，为所述物联网终端分配目标代理服务，通过所述目标代理服务对所述物联网终端的流量进行关键信息监测。

Description

信息泄露监测方法及系统、电子设备

技术领域

本申请涉及信息安全技术领域，尤其涉及一种信息泄露监测方法及系统、电子设备、存储介质、以及计算机程序。

背景技术

随着人工智能、大数据等技术的深度应用，物联网已应用于航天、工业、社会治安等各个方面。物联网智能终端可以实时采集物理世界中各类感知数据，是连接物理世界和数字世界的关键节点。

物联网终端具有海量异构、资源受限、部署开放的特点，大多性能与智能化程度较低。与此同时，终端设备技术及协议体制多样，数据多域共享，其数据隐私与完整性安全已经成为限制物联网发展的关键问题之一，因此有效监测物联网终端关键信息泄露意义重大。

发明内容

有鉴于此，本申请提供一种基于流量代理的物联网终端关键信息泄露监测方法及系统、电子设备、存储介质、以及计算机程序。

具体地，本申请是通过如下技术方案实现的：

根据本申请实施例的第一方面，提供一种基于流量代理的物联网终端关键信息泄露监测方法，包括：接收物联网终端发送的代理请求，所述代理请求中包括所述物联网终端的协议相关信息，所述协议相关信息包括设备型号信息、服务类型信息以及数据包信息中的部分或全部；依据所述物联网终端的协议相关信息，确定所述物联网终端对应的目标协议；依据所述目标协议，以及全流量代理池中代理服务的使用状态和在线状态，为所述物联网终端分配目标代理服务；通过所述目标代理服务对所述物联网终端的流量进行关键信息监测；其中，所述全流量代理池包括对应不同协议的多个代理服务，所述目标代理服务为所述多个代理服务中的与所述目标协议对应、使用状态为空闲、在线状态为在线的代理服务。

根据本申请实施例的第二方面，提供一种基于流量代理的物联网终端关键信息泄露监测系统，包括：动态随域接入单元和代理服务；其中：所述动态随域接入单元用于接收物联网终端发送的代理请求，所述代理请求中包括所述物联网终端的协议相关信息，所述协议相关信息包括设备型号信息、服务类型信息以及数据包信息中的部分或全部；所述动态随域接入单元还用于依据所述物联网终端的协议相关信息，确定所述物联网终端对应的目标协议；所述动态随域接入单元还用于依据所述目标协议，以及全流量代理池中代理服务的使用状态和在线状态，为所述物联网终端分配目标代理服务；其中，所述全流量代理池包括对应不同协议的多个代理服务，所述目标代理服务为所述多个代理服务中的与所述目标协议对应、使用状态为空闲、在线状态为在线的代理服务；其中，在所述代理服务作为所述目标代理服务的情况下，所述动态随域接入单元还用于通过所述目标代理服务对所述物联网终端的流量进行关键信息监测。

根据本申请实施例的第三方面，提供一种电子设备，包括处理器和存储器，所述存储器存储有能够被所述处理器执行的机器可执行指令，所述处理器被配置为执行所述机器可执行指令以执行以下操作：接收物联网终端发送的代理请求，所述代理请求中包括所述物联网终端的协议相关信息，所述协议相关信息包括设备型号信息、服务类型信息以及数据包信息中的部分或全部；依据所述物联网终端的协议相关信息，确定所述物联网终端对应的目标协议；依据所述目标协议，以及全流量代理池中代理服务的使用状态和在线状态，为所述物联网终端分配目标代理服务；通过所述目标代理服务对所述物联网终端的流量进行关键信息监测；其中，所述全流量代理池包括对应不同协议的多个代理服务，所述目标代理服务为所述多个代理服务中的与所述目标协议对应、使用状态为空闲、且在线状态为在线的代理服务。

根据本申请实施例的第四方面，提供一种机器可读存储介质，所述机器可读存储介质内存储有机器可执行指令，所述机器可执行指令被处理器执行时实现根据第一方面所述的基于流量代理的物联网终端关键信息泄露监测方法。

根据本申请实施例的第五方面，提供一种计算机程序，存储于机器可读存储介质，当计算机程序被处理器执行时实现根据第一方面所述的基于流量代理的物联网终端关键信息泄露监测方法。

本申请实施例的基于流量代理的物联网终端关键信息泄露监测方法，通过构建全流量代理池，在接收到物联网终端发送的代理请求的情况下，可以依据代理请求中包括的物联网终端的设备信息、服务信息以及数据包信息，确定物联网终端对应的目标协议，进而，依据物联网终端对应的目标协议，以及全流量代理池中代理服务的使用状态和在线状态，为物联网终端分配与目标协议对应的、使用状态为空闲且在线状态为在线的目标代理服务，通过目标代理服务对物联网终端的流量进行关键信息监测，实现了基于流量代理的物联网终端关键信息监测，降低了物联网终端关键信息监测的部署条件，解决了针对多元异构智能终端代理服务匮乏的问题，并实现了轻量化数据采集和分析，提高了关键信息监测效率。

附图说明

图1为本申请一示例性实施例示出的一种基于流量代理的物联网终端关键信息泄露监测方法的流程示意图；

图2为本申请一示例性实施例示出的一种基于流量代理的物联网终端关键信息泄露监测系统的结构示意图；

图3为本申请一示例性实施例示出的一种电子设备的硬件结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。

为了使本领域技术人员更好地理解本申请实施例提供的技术方案，并使本申请实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本申请实施例中技术方案作进一步详细的说明。

目前，尚未有针对海量物联网终端关键信息泄漏监测的技术方案，而针对互联网关键信息监测的方案通常分为数据采集与识别两部分，数据采集依赖于在核心层或汇聚层交换机上设置端口镜像或者采用分光器，数据识别则依赖于业务标签。当前方案并不适合终端海量异构的物联网场景，存在许多问题：

1、采用交换机镜像分光方式进行原始数据采集，采集的是整个网络的全部数据，数据分析难度大，效率低；

2、交换机镜像分光方式对于设备硬件配置及性能要求极高，同时对于部署环境的要求也极高，无法适应物联网资源受限、部署开放的特点。

需要说明的是，本申请实施例提供的基于流量代理的物联网终端关键信息泄露监测方法可以应用于基于流量代理的物联网终端关键信息泄露监测系统(简称为关键信息监测系统)在一些示例中，该基于流量代理的物联网终端关键信息泄露监测方法可以由关键信息监测系统中的至少一个处理器调用并执行各个业务模块来实现。

请参见图1，为本申请实施例提供的一种基于流量代理的物联网终端关键信息泄露监测方法的流程示意图，如图1所示，该基于流量代理的物联网终端关键信息泄露监测方法可以包括以下步骤：

步骤S100、接收物联网终端发送的代理请求，该代理请求中包括该物联网终端的协议相关信息，该协议相关信息包括设备信息、服务信息以及数据包信息。

步骤S110、依据该物联网终端的协议相关信息，确定物联网终端对应的目标协议。

本申请实施例中，为了实现轻量化数据采集和分析，提高关键信息监测效率，可以依据物联网终端对应的协议，为物联网终端分配代理服务，通过为物联网终端分配的代理服务对物联网终端的流量进行关键信息监测。该关键信息指想要监测的目标信息，比如包含特殊字符、字段等任何感兴趣内容的信息，根据实际情况确定，在本公开中不作限制。

示例性的，物联网终端可以通过发送代理请求，请求关键信息监测系统为该物联网终端分配对应的代理服务。

示例性的，不同物联网终端需要的协议可能不同，例如，不同设备型号的物联网终端需要的协议可能不同，同一物联网终端的不同服务类型需要的协议也可能不同，不同协议的数据包结构也可能不同。

相应地，物联网终端发送的代理请求中可以包括协议相关信息。

示例性的，该协议相关信息可以包括用于标识物联网终端所需协议的信息，其可以包括设备型号信息、服务类型信息以及数据包信息中的部分或全部。在一些示例中，该设备型号信息可以包括设备名称、设备类型、设备型号等，例如，设备型号信息可以包括如下信息：设备名称：防爆鹰眼；设备类型：球机；设备型号：iDS-2DP9C8425-CX(T4/316L)。该服务类型信息可以指示互联网终端支持的服务的类型。该数据包信息可以包含数据结构格式以及基本数据单元信息，例如可以是一个基础HTTP协议包：HTTP/1.1 302 Found Server:nginx/1.21.6 Date:Fri,29 Jul 2022 03:36:30 GMT Content-Type:text/html；charset＝UTF-8 Content-Length:0 Connection:keep-alive。

示例性的，一个设备型号的物联网终端可能需要一种或多种协议。

物联网终端的一个服务类型可以对应一种协议。

物联网终端的一种数据包结构可以对应一种协议。

关键信息监测系统接收到物联网终端发送的代理请求时，可以依据该物联网终端发送的代理请求中包括的协议相关信息，确定该物联网终端对应的协议(本文中称为目标协议)。

例如，物联网终端发送的代理请求中可以包括物联网终端的设备型号、服务类型以及基本数据包；关键信息监测系统可以依据该物联网终端的设备型号、服务类型以及基本数据包的数据包结构确定该物联网终端对应的目标协议。

示例性的，一个协议的基本数据包可以是包括该协议的全部基本元素的数据包。

步骤S120、依据目标协议，以及全流量代理池中代理服务的使用状态和在线状态，为该物联网终端分配目标代理服务，通过目标代理服务对该物联网终端的流量进行关键信息监测；其中，全流量代理池包括对应不同协议的多个代理服务，目标代理服务为多个代理服务中的与目标协议对应、使用状态为空闲、且在线状态为在线的代理服务。

本申请实施例中，考虑到物联网终端具备海量异构的特点，不同物联网终端对协议的需求存在差异，为了避免针对多元异构物联网终端代理服务匮乏，可以构建针对物联网终端设备的全流量代理池，该全流量代理池可以包括对应不同协议的多个代理服务。

示例性的，全流量代理池可以包括常规网络协议代理服务和物联网专有协议代理服务。

示例性的，常规网络协议可以包括但不限于HTTP(Hyper Text Transfer Protocol，超文本传输协议)协议、HTTPs(Hyper Text Transfer Protocol over SecureSocket Layer，超文本传输安全协议)协议、FTP(File Transfer Protocol，文件传输协议)协议等。

物联网专有协议可以包括但不限于RTSP(Real Time Streaming Protocol，实时流传输协议)协议、MQTT(Message Queuing Telemetry Transport，消息队列遥测传输)协议、SIP(Session initialization Protocol，会话初始协议)协议等。

示例性的，关键信息监测系统可以对全流量代理池中代理服务的使用状态和在线状态进行监测。

示例性的，代理服务的使用状态可以包括占用或空闲。

示例性的，代理服务的在线状态可以包括在线或离线。

需要说明的是，本申请实施例中，代理服务的使用状态可以依据代理服务的分配模式确定。

例如，在代理服务的分配模式为一对一分配的情况下，即一个代理服务为一个物联网终端提供服务的情况下，若代理服务被分配给物联网终端，则代理服务的使用状态为占用；若代理服务未被分配给物联网终端，则代理服务的使用状态为空闲。

在代理服务的分配模式为一对多分配的情况下，即一个代理服务可以为多个(即为N个，N≥2)物联网终端提供服务的情况下，若一个代理服务被分配给M(M＜N)个物联网终端，则代理服务的使用状态为空闲；若代理服务被分配给N个物联网终端，则代理服务的使用状态为占用。

示例性的，关键信息监测系统在确定了物联网终端对应的目标协议的情况下，可以依据该目标协议，以及全流量代理池中代理服务的使用状态和在线状态，为物联网终端分配与目标协议对应的、使用状态为空闲、以及在线状态为在线的代理服务(本文中称为目标代理服务)，通过目标代理服务对物联网终端的流量进行关键信息监测。

示例性的，关键信息监测系统在为物联网终端分配目标代理服务的情况下，可以将目标代理服务的相关信息，如IP地址，发送给该物联网终端，由该物联网终端接入目标代理服务，进而，目标代理服务可以对该物联网终端的流量进行转发，并对该物联网终端的流量进行关键信息监测。

可见，在图1所示方法流程中，通过构建全流量代理池，在接收到物联网终端发送的代理请求的情况下，可以依据代理请求中包括的物联网终端的设备信息、服务信息以及数据包信息，确定物联网终端对应的目标协议，进而，依据物联网终端对应的目标协议，以及全流量代理池中代理服务的使用状态和在线状态，为物联网终端分配与目标协议对应的、使用状态为空闲、以及在线状态为在线的目标代理服务，通过目标代理服务对物联网终端的流量进行关键信息监测，实现了基于流量代理的物联网终端关键信息监测，降低了物联网终端关键信息监测的部署条件，解决了针对多元异构智能终端代理服务匮乏的问题，并实现了轻量化数据采集和分析，提高了关键信息监测效率。

在一些实施例中，全流量代理池包括对应单个协议的代理服务，以及，对应多个协议的代理服务。

在目标协议包括多个不同协议的情况下，目标代理服务为对应的协议包括该多个不同协议的、使用状态为空闲、且在线状态为在线的代理服务。

示例性的，考虑到同一个物联网终端可能会需要使用多种协议，例如，对于视频监控前端，在取流时，其可能需要使用RTSP协议，在进行web页面配置时，其可能需要使用HTTP协议或HTTPS协议，若代理服务均对应单个协议，则对于这一类型的物联网终端，可能会需要分配多个代理服务，其流量转发及关键信息监测处理流程会相对复杂。

因而，为了简化流量转发及关键信息监测处理流程，全流量代理池中除了可以包括对应单个协议的代理服务之外，还可以包括对应多个协议的代理服务，即单个代理服务可以对针对多个不同协议的流量进行关键信息监测。

相应地，在目标协议包括多个不同协议的情况下，目标代理服务为对应的协议包括该多个不同协议的、使用状态为空闲、且在线状态为在线的代理服务。

举例来说，假设物联网终端A对应的目标协议包括协议1和协议2，代理服务a对应的协议包括协议1和协议2、使用状态为空闲、且在线状态为在线，则目标代理服务可以为代理服务a。

又举例来说，假设物联网终端A对应的目标协议包括协议1和协议2，代理服务b对应的协议包括协议1、协议2以及协议3、使用状态为空闲、且在线状态为在线，则目标代理服务可以为代理服务b。

需要说明的是，在目标协议包括多个不同协议的情况下，可以优先选择对应的协议与目标协议精准匹配的代理服务作为目标代理服务。

以上述示例为例，对于物联网终端A，在同时存在上述代理服务a和代理服务b的情况下，可以优先将代理服务a确定为目标代理服务。

在一些实施例中，代理请求中还可以包括设备标识信息；步骤S120中，为物联网终端分配目标代理服务之后，还可以包括：

依据物联网终端的设备标识信息，以及目标代理服务的标识信息，生成唯一性校验标识，以使目标代理服务在接收到物联网终端发送的流量时，依据该物联网终端的设备标识信息、目标代理服务的标识信息、以及唯一性校验标识，进行服务绑定唯一性校验，并在校验通过的情况下，对该流量进行关键信息监测。

示例性的，为了实现针对单一终端设备的轻量化数据采集和分析，为物联网终端分配的代理服务可以与物联网终端一对一绑定，该物联网终端之外的其它设备无法使用该代理服务。

相应地，关键信息监测系统为物联网终端分配目标代理服务之后，可以依据物联网终端的设备标识信息(如IP地址)以及目标代理服务的标识信息(如IP地址或编号(在全部代理服务统一编号的情况下))，生成唯一性校验标识，该唯一性校验标识可以用于对物联网终端与目标代理服务之间的绑定关系进行校验(可以称为服务绑定唯一性校验)。

关键信息监测系统可以将生成的唯一性校验标识保存至数据库，如代理服务中心数据库。

示例性的，对于任一唯一性校验标识，代理服务中心数据库中可以将代理服务的标识信息与唯一性校验标识关联存储。

当目标代理服务接收到物联网终端发送的流量时，可以依据物联网终端的设备标识信息、目标代理服务的标识信息、以及代理服务中心数据库中的唯一性校验标识，进行服务绑定唯一性校验。

示例性的，目标代理服务可以依据该物联网终端的设备标识信息，以及目标代理服务的标识信息，利用预设的唯一性校验标识生成算法，生成待校验的唯一性校验标识。

需要说明的是，目标代理服务依据该物联网终端的设备标识信息，以及目标代理服务的标识信息，生成待校验的唯一性校验标识，与关键信息监测系统依据物联网终端的设备标识信息，以及目标代理服务的标识信息，生成唯一性校验标识使用的算法相同。

目标代理服务可以比较待校验的唯一性校验标识和代理服务中心数据库中保存的唯一性校验标识，若二者相同，则确定校验通过；否则，确定校验不通过。

示例性的，目标代理服务在确定校验通过的情况下，可以对接收到的物联网终端的流量进行关键信息监测。

在一些实施例中，步骤S120中，目标代理服务对物联网终端的流量进行关键信息监测，可以包括：

依据目标协议的协议模板，对物联网终端的数据包进行切分；其中，协议模板包括协议数据包大小信息、协议数据结构信息、协议数据字段信息、协议数据字段特征集信息以及协议数据交互方式信息中的部分或全部；

依据物联网终端的切分后的数据进行关键信息监测。

示例性的，为了细化关键信息监测的数据粒度，目标代理服务接收到对应的物联网终端发送的流量时，可以对该流量的数据进行切分，并对切分后的数据进行关键信息监测。

示例性的，为了提高数据切分的合理性和准确性，可以预先设置对应不同协议的协议模板。

示例性的，协议模板可以包括但不限于协议数据包大小信息、协议数据结构信息、协议数据字段信息、协议数据字段特征集信息以及协议数据交互方式信息等信息中的部分或全部。

示例性的，数据包大小信息可以用于匹配验证长短固定的协议数据包。

由于某些协议字段存在固定的特征值，因此，可以依据协议数据字段特征集信息进行协议字段定位。

由于某些协议存在多种交互方式，比如HTTP协议中的GET、POST、PUT等，属于同一种协议的不同交互方式，基于协议数据交互方式信息可以进一步进行细粒度定位。

相应地，目标代理服务接收到对应的物联网终端的流量时，可以依据目标协议的协议模板，对物联网终端的数据包进行切分。

示例性的，目标代理服务对物联网终端的数据包进行切分时，可以尽量避免破坏数据结构的完整性，即尽量避免将单个字段切分为多个部分。

示例性的，目标代理服务对数据包进行切分之后，可以依据物联网终端的切分后的数据进行关键信息监测。

在一个示例中，上述对物联网终端的数据包进行切分，可以包括：

将物联网终端的数据包按照原子粒度进行切分，得到数据包对应的原子粒度数据；其中，原子粒度数据为位置-内容形式，原子粒度数据为数据包的最小单元。

示例性的，考虑到实际场景中，关键信息通常不会出现跨越数据包的最小单元的情况，即关键信息通常会包括在单个最小单元的内容中。

例如，以IP数据包为例，其最小单元为字段，IP数据包中的关键信息通常包括在单个字段中。

相应地，在对数据包进行切分时，可以依据协议模板将数据包切分为数据包的最小单元(本文中称为原子粒度数据)，以提高关键信息监测效率和准确性。

示例性的，数据包的原子粒度数据可以为位置-内容形式，位置用于记录该原子粒度数据在数据包中的位置，如包头的A字段，包体的B字段等；内容用于记录原子粒度数据的具体内容，从而，在进行关键信息检测时，可以依据内容部分进行检测，在检出关键信息时，可以依据位置部分快速定位出关键信息在数据包中的位置。

在一个示例中，步骤S120中，目标代理服务对物联网终端的流量进行关键信息监测之前，还可以包括：

依据无效流量特征库中的无效流量特征，对物联网终端的流量中的无效流量进行过滤。

示例性的，考虑到部分类型的流量中通常不会带有关键信息，例如，“.css”后缀的流量，其通常用于记载网络的样式信息、web界面的结构信息以及字体大小等，不会带有用户感兴趣的关键信息。

相应地，为了提高关键信息监测的效率，对于物联网终端的流量，在对其进行关键信息监测之前，可以先对接收到的物联网终端的流量中不会带有关键信息的流量(本文中称为无效流量)进行过滤。

示例性的，为了提高无效流量过滤的效率和准确性，可以预先配置无效流量特征库，该无效流量特征库用于保存无效流量的特征信息，如文本特征、后缀特征等。

相应地，目标代理服务接收到对应的物联网终端的流量时，可以依据无效流量特征库中的无效流量特征，对物联网终端的流量中的无效流量进行过滤，并对物联网终端的过滤后的流量进行关键信息监测。

在一些实施例中，步骤S120中，目标代理服务对物联网终端的流量进行关键信息监测，包括：

利用预设关键信息检测方式，对物联网终端的流量进行关键信息检测；

其中，预设关键信息检测方式包括以下至少两种检测方式：

基于特征集的关键信息检测方式、基于模式集的关键信息检测方式，以及基于机器学习模型集的关键信息检测方式。

示例性的，为了提高关键信息监测的准确性，对物联网终端的流量进行关键信息监测时，不再局限于业务标签的方式，而是可以通过多种检测方式相结合的方式进行。

示例性的，可以利用以下至少两种检测方式，对物联网终端的流量进行关键信息检测：

基于特征集的关键信息检测方式、基于模式集的关键信息检测方式、以及基于机器学习模型集的关键信息检测方式。

示例性的，特征集可以包括但不限于文本特征和/或符号特征，通过对物联网终端的流量中出现的与特征集中的特征匹配的内容进行检测，将其确定为关键信息。

示例性的，模式集可以包括但不限于正则表达式集和/或结构模式集，通过对物联网终端的流量中出现的与模式集中的正则表达式和/或结构模式匹配的内容进行检测，将其确定为关键信息。

示例性的，机器学习模型集包括用于进行关键信息检测的机器学习模型。

示例性的，利用机器学习模型进行关键信息进行检测时，可以结合上下文信息进行关键信息检测，其准确性更高。

例如，利用机器学习模型对流量数据中的手机号进行识别时，可以结合上下文将“手机：136***”中的11位数字识别为手机号，避免了将任务ID等长串数字误识别为手机号。

需要说明的是，利用机器学习模型进行关键信息检测的准确性比较高，但是其性能消耗也比较高；而利用特征集或模式集进行关键信息检测的准确性相对较低，但是其性能消耗也相对较低。在进行关键信息检测时，可以根据需求选择/组合不同的检测方式。

示例性的，在性能消耗允许的情况下，可以分别采用至少两种关键信息检测方式对物联网终端的流量进行检测，并对不同关键信息检测方式的检测结果进行融合。

在无法满足利用多种检测方式分别对物联网终端的流量进行关键信息检测的性能消耗要求的情况下，可以利用一种关键信息检测方式对其它关键信息检测方式的检测结果进行校验。

举例来说，在无法满足利用基于机器学习模型的关键信息检测方式对物联网终端的流量进行关键信息检测的性能消耗要求的情况下，可以利用基于特征集的关键信息的检测方式和/或基于模式集的关键信息检测方式，对物联网终端的流量进行关键信息检测，对于检测出的关键信息，可以依据关键信息在流量中的位置，获取关键信息的上下文信息，并利用基于机器学习模型的关键信息检测方式，对检出的关键信息进行校验。

又举例来说，在无法满足利用多种检测方式分别对物联网终端的流量进行关键信息检测的性能消耗要求的情况下，可以利用基于机器学习模型的关键信息检测方式对物联网终端的流量进行关键信息检测，对于检测出的关键信息，可以利用基于特征集的关键信息的检测方式和/或基于模式集的关键信息检测方式，对检测出的关键信息进行检测，得到更精确的关键信息(过滤掉无效的上下文信息)。在一些实施例中，步骤S120中，目标代理服务对物联网终端的流量进行关键信息监测之后，还包括：

在检测出关键信息的情况下，针对关键信息检测结果进行展示；

其中，关键信息检测结果包括以下之一或多个：

关键信息所属协议、关键信息所属数据包、关键信息在数据包中的位置信息、关键信息内容以及关键信息类型。

示例性的，目标代理服务对物联网终端的流量进行关键信息监测之后，在检测出关键信息的情况下，可以针对关键信息检测结果进行展示，以便相关人员可以更好地查看关键信息检测结果。

示例性的，关键信息检测结果包括以下之一或多个：

在一些实施例中，步骤S120中，目标代理服务对物联网终端的流量进行关键信息监测之后，还包括：

在检测出关键信息的情况下，针对关键信息检测结果进行预警。

示例性的，目标代理服务对物联网终端的流量进行关键信息监测之后，在检测出关键信息的情况下，可以针对关键信息检测结果进行预警。

例如，目标代理服务可以通过邮件或短信等方式进行针对关键信息检测结果的预警。

为了使本领域技术人员更好地理解本申请实施例提供的技术方案，下面结合具体实例对本申请实施例提供的技术方案进行说明。

本申请实施例中，可以构建全流量动态代理服务，分别包括全流量代理池与动态随域接入服务。

示例性的，全流量代理池可以包括常规网络协议代理服务(HTTP、HTTPS、FTP等子代理池)与物联网协议代理服务(RTSP、MQTT、SIP等子代理池)。

示例性的，动态随域接入模块可以为请求接入的物联网终端自动分配所需的代理服务并进行绑定，实现代理一对一无感式接入和数据采集。

示例性的，流量切分过滤服务可以基于多模匹配技术(即基于多模板库进行自动化匹配的技术)自动匹配流量协议类型并依据对应的协议模板对所采集的流量数据进行细粒度切分，切分至最小单元(即原子粒度数据)，并统一格式化为“位置-内容”形式，实现数据精细化切分定位。

示例性的，可以设置无效流量过滤模式，可依据流量特征、流量类型进行常规与自定义噪声流量(即无效流量)过滤。

示例性的，可以针对切分过滤后的格式化流量数据单元(“位置-内容”形式)进行关键信息检测，使用特征搜索、模式匹配以及机器学习模型检测原子粒度数据中的关键信息并关联其位置信息进行问题展示预警。

在该实施例中，基于流量代理的物联网终端关键信息泄露监测方案实现流程如下：

1、构建全流量代理池。

示例性的，构建常规网络协议代理池，包括HTTP、HTTPS、FTP等协议代理服务，以及，构建物联网协议代理池，包括RTSP、MQTT、SIP等协议代理服务。

示例性的，所有代理服务基于对应的常规网络协议及物联网协议，可以实现数据对接、数据中继、数据响应、数据存储、数据全生命周期钩子、数据唯一性校验、子服务资源使用状况上报、子服务在线状态上报等统一接口体系，为后续被测系统流量数据的动态接入、无感代理打下基础。

2、构建动态随域接入服务。

示例性的，动态随域接入服务包含代理请求响应、协议模式自主识别、代理资源动态监控、代理分配负载均衡、服务绑定唯一校验等。

示例性的，动态随域接入服务可以开启代理资源请求实时响应，监听接收所有被测目标(物联网终端)发起的代理请求。

示例性的，代理请求中可以包含被测目标的基本信息(即上述协议相关信息)，其包括但不限于IP地址、设备型号、服务类型、基本数据包等。针对所提交的基本信息，可通过设备型号匹配、服务类型匹配以及数据包结构匹配等方式自主识别被测目标所需要的代理协议。

示例性的，动态随域接入服务可以实时接收全流量代理池上传的资源使用状态与在线状态信息，并依据被测目标所需的代理协议(即上述目标协议)，以及全流量代理池的资源使用状态与在线状态信息，动态分配被测目标所需要的代理服务(即上述目标代理服务)，实现代理服务的动态接入与负载均衡。

示例性的，分配好代理服务后，可以依据被测目标的设备信息和所分配的代理服务的标识信息，生成唯一性校验标识，用于针对该被测目标与目标代理服务进行服务绑定唯一性校验，实现代理服务与被测目标的唯一性绑定，保证非被测目标无法使用该代理服务，保证数据的安全性与唯一性，大幅降低后续数据过滤难度。

3、构建协议模板库。

示例性的，基于常规网络协议(HTTP、HTTPS、FTP等协议)、物联网协议(rtsp、mqtt、sip等协议)的标准规则构建协议模板库，各个协议模板需要包含协议数据包大小信息、协议数据结构信息、协议数据字段信息、协议数据字段特征集信息、协议数据交互方式信息等内容，为下一步基于协议模板进行细粒度数据切分过滤打下基础。

4、构建无效流量特征库。

示例性的，可以依据实际业务需求与无效流量特性，构建无效流量特征库。

示例性的，无效流量特征库中的特征可以包括文本特征、后缀特征等。

示例性的，无效流量特征库中的特征可以支持自定义载入和删除。

5、构建流量切分过滤服务。

示例性的，可以依据无效流量特征库，从被测目标的流量中过滤掉特定的无效流量数据，减轻数据分析的压力。

针对过滤后的有效流量数据，可以依据协议模板库，使用多模匹配技术将流量数据与协议模板一一匹配对应，将流量数据根据协议模板的结构信息、字段信息等切分成原子粒度数据，并统一格式化为“位置-内容”形式。

6、构建关键信息检测服务。

示例性的，针对切分后的原子粒度数据进行关键数据检测。

示例性的，可以基于特征集(包括文本特征、符号特征等)、模式集(包括正则表达式、结构模式等)以及机器学习模型集等检测出关键字段、关键内容，并提取出具体的关键信息，然后将所提取的关键信息与所述关键信息在数据包中的位置信息关联，实现关键数据与位置信息强绑定，实现关键信息的原子化细粒度定位检出。

7、构建数据展示与问题预警服务。

示例性的，针对检测出的关键信息进行详细展示，包括关键信息所属协议、所属数据包、在数据包中的位置信息、关键信息内容、关键信息类型等。

示例性的，可以将关键信息检测结果形成详细的网页、pdf(Portable Document Format，可携带文档格式)等版本的检测报告。

示例性的，在检测出关键信息的情况下，可以触发邮件、短信等预警。

以上对本申请提供的方法进行了描述。下面对本申请提供的装置进行描述。

请参见图2，为本申请实施例提供的一种基于流量代理的物联网终端关键信息泄露监测系统的结构示意图，如图2所示，该基于流量代理的物联网终端关键信息泄露监测系统可以包括：动态随域接入单元210和代理服务220。

所述动态随域接入单元210用于接收物联网终端发送的代理请求，所述代理请求中包括所述物联网终端的协议相关信息，所述协议相关信息包括设备型号信息、服务类型信息以及数据包信息中的部分或全部；

所述动态随域接入单元210还用于依据所述物联网终端的协议相关信息，确定所述物联网终端对应的目标协议；

所述动态随域接入单元210还用于依据所述目标协议，以及全流量代理池中代理服务的使用状态和在线状态，为所述物联网终端分配目标代理服务；其中，所述全流量代理池包括对应不同协议的多个代理服务，所述目标代理服务为所述多个代理服务中的与所述目标协议对应、使用状态为空闲、且在线状态为在线的代理服务；

所述代理服务220在作为所述目标代理服务的情况下，所述动态随域接入单元210还用于通过所述目标代理服务对所述物联网终端的流量进行关键信息监测。

在一些实施例中，所述全流量代理池包括对应单个协议的代理服务，以及，对应多个协议的代理服务；

在所述目标协议包括多个不同协议的情况下，所述目标代理服务为对应的协议包括该多个不同协议的、使用状态为空闲、且在线状态为在线的代理服务。

在一些实施例中，所述代理请求中还包括设备标识信息；

所述动态随域接入单元210还用于依据所述物联网终端的设备标识信息，以及所述目标代理服务的标识信息，生成唯一性校验标识，以使所述代理服务220在作为所述目标代理服务，并接收到物联网终端发送的流量的情况下，依据该物联网终端的设备标识信息、所述目标代理服务的标识信息，以及所述唯一性校验标识，进行服务绑定唯一性校验，并在校验通过的情况下，对该流量进行关键信息监测。

在一些实施例中，所述动态随域接入单元210通过所述目标代理服务对所述物联网终端的流量进行关键信息监测，包括：通过所述目标代理服务依据所述目标协议的协议模板，对所述物联网终端的数据包进行切分以获得切分后的数据；其中，所述协议模板包括协议数据包大小信息、协议数据结构信息、协议数据字段信息、协议数据字段特征集信息以及协议数据交互方式信息中的部分或全部；通过所述目标代理服务依据所述物联网终端的切分后的数据进行关键信息监测。

在一些实施例中，通过所述目标代理服务对所述物联网终端的数据包进行切分，包括：

通过所述目标代理服务将所述物联网终端的数据包按照原子粒度切分，得到所述数据包对应的原子粒度数据；其中，所述原子粒度数据为位置-内容形式，所述原子粒度数据为数据包的最小单元。

在一些实施例中，在所述动态随域接入单元210通过所述目标代理服务对所述物联网终端的流量进行关键信息监测之前，通过所述目标代理服务依据无效流量特征库中的无效流量特征，对所述物联网终端的流量中的无效流量进行过滤。

在一些实施例中，所述动态随域接入单元210通过所述目标代理服务对所述物联网终端的流量进行关键信息监测，包括：通过所述目标代理服务利用预设关键信息检测方式，对所述物联网终端的流量进行关键信息检测；

其中，所述预设关键信息检测方式包括以下至少两种检测方式：

在一些实施例中，在所述动态随域接入单元210通过所述目标代理服务对所述物联网终端的流量进行关键信息监测之后，在检测出关键信息的情况下，通过所述目标代理服务针对关键信息检测结果进行展示，和/或，针对关键信息检测结果进行预警；

其中，所述关键信息检测结果包括以下之一或多个：

本申请实施例提供一种电子设备，包括处理器和存储器，其中，存储器存储有能够被所述处理器执行的机器可执行指令，处理器用于执行机器可执行指令，以实现上文描述的基于流量代理的物联网终端关键信息泄露监测方法。

请参见图3，为本申请实施例提供的一种电子设备的硬件结构示意图。该电子设备可包括处理器301、存储有机器可执行指令的存储器302。处理器301与存储器302可经由系统总线303通信。并且，通过读取并执行存储器302中与基于流量代理的物联网终端关键信息泄露监测逻辑对应的机器可执行指令，处理器301可执行上文描述的基于流量代理的物联网终端关键信息泄露监测方法。

本文中提到的存储器302可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(Radom Access Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

在一些实施例中，还提供了一种机器可读存储介质，如图3中的存储器302，该机器可读存储介质内存储有机器可执行指令，所述机器可执行指令被处理器执行时实现上文描述的基于流量代理的物联网终端关键信息泄露监测方法。例如，所述机器可读存储介质可以是ROM、RAM、CD-ROM、磁带、软盘和光数据存储设备等。

本申请实施例还提供了一种计算机程序，存储于机器可读存储介质，例如图3中的存储器302，并且当处理器执行该计算机程序时，促使处理器301执行上文中描述的基于流量代理的物联网终端关键信息泄露监测方法。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims

一种信息泄露监测方法，其特征在于，包括：

接收物联网终端发送的代理请求，所述代理请求中包括所述物联网终端的协议相关信息，所述协议相关信息包括设备型号信息、服务类型信息以及数据包信息中的部分或全部；

依据所述物联网终端的协议相关信息，确定所述物联网终端对应的目标协议；

依据所述目标协议，以及全流量代理池中代理服务的使用状态和在线状态，为所述物联网终端分配目标代理服务；

通过所述目标代理服务对所述物联网终端的流量进行关键信息监测；

其中，所述全流量代理池包括对应不同协议的多个代理服务，所述目标代理服务为所述多个代理服务中的与所述目标协议对应、使用状态为空闲、且在线状态为在线的代理服务。
根据权利要求1所述的方法，其特征在于，所述全流量代理池包括对应单个协议的代理服务，以及，对应多个协议的代理服务；

在所述目标协议包括多个不同协议的情况下，所述目标代理服务为对应的协议包括该多个不同协议的、使用状态为空闲、且在线状态为在线的代理服务。
根据权利要求1所述的方法，其特征在于，所述代理请求中还包括设备标识信息；

所述为所述物联网终端分配目标代理服务之后，还包括：

依据所述物联网终端的设备标识信息，以及所述目标代理服务的标识信息，生成唯一性校验标识，以使所述目标代理服务在接收到物联网终端发送的流量时，依据该物联网终端的设备标识信息、所述目标代理服务的标识信息、以及所述唯一性校验标识，进行服务绑定唯一性校验，并在校验通过的情况下，对该流量进行关键信息监测。
根据权利要求1所述的方法，其特征在于，所述通过所述目标代理服务对所述物联网终端的流量进行关键信息监测，包括：

通过所述目标代理服务依据所述目标协议的协议模板，对所述物联网终端的数据包进行切分以获得切分后的数据；其中，所述协议模板包括协议数据包大小信息、协议数据结构信息、协议数据字段信息、协议数据字段特征集信息以及协议数据交互方式信息中的部分或全部；

通过所述目标代理服务依据所述物联网终端的切分后的数据进行关键信息监测。
根据权利要求4所述的方法，其特征在于，所述通过所述目标代理服务对所述物联网终端的数据包进行切分，包括：

通过所述目标代理服务将所述物联网终端的数据包按照原子粒度切分，得到所述数据包对应的原子粒度数据；其中，所述原子粒度数据为位置-内容形式，所述原子粒度数据为数据包的最小单元。
根据权利要求1所述的方法，其特征在于，所述通过所述目标代理服务对所述物联网终端的流量进行关键信息监测之前，还包括：

通过所述目标代理服务依据无效流量特征库中的无效流量特征，对所述物联网终端的流量中的无效流量进行过滤。
根据权利要求1所述的方法，其特征在于，所述通过所述目标代理服务对所述物联网终端的流量进行关键信息监测，包括：

通过所述目标代理服务利用预设关键信息检测方式，对所述物联网终端的流量进行关键信息检测；

其中，所述预设关键信息检测方式包括以下至少两种检测方式：

基于特征集的关键信息检测方式、基于模式集的关键信息检测方式、以及基于机器学习模型集的关键信息检测方式。
根据权利要求1所述的方法，其特征在于，所述通过所述目标代理服务对所述物联网终端的流量进行关键信息监测之后，还包括：

在检测出关键信息的情况下，通过所述目标代理服务针对关键信息检测结果进行展示，和/或，针对关键信息检测结果进行预警；

其中，所述关键信息检测结果包括以下之一或多个：

关键信息所属协议、关键信息所属数据包、关键信息在数据包中的位置信息、关键信息内容以及关键信息类型。
一种信息泄露监测系统，其特征在于，包括：动态随域接入单元和代理服务；其中：

所述动态随域接入单元用于接收物联网终端发送的代理请求，所述代理请求中包括所述物联网终端的协议相关信息，所述协议相关信息包括设备型号信息、服务类型信息以及数据包信息中的部分或全部；

所述动态随域接入单元还用于依据所述物联网终端的协议相关信息，确定所述物联网终端对应的目标协议；

所述动态随域接入单元还用于依据所述目标协议，以及全流量代理池中代理服务的使用状态和在线状态，为所述物联网终端分配目标代理服务；其中，所述全流量代理池包括对应不同协议的多个代理服务，所述目标代理服务为所述多个代理服务中的与所述目标协议对应、使用状态为空闲、且在线状态为在线的代理服务；

其中，在所述代理服务作为所述目标代理服务的情况下，所述动态随域接入单元还用于通过所述目标代理服务对所述物联网终端的流量进行关键信息监测。
根据权利要求9所述的系统，其特征在于，所述全流量代理池包括对应单个协议的代理服务，以及，对应多个协议的代理服务；

在所述目标协议包括多个不同协议的情况下，所述目标代理服务为对应的协议包括该多个不同协议的、使用状态为空闲、且在线状态为在线的代理服务；

和/或，

所述代理请求中还包括设备标识信息；

所述动态随域接入单元还用于依据所述物联网终端的设备标识信息，以及所述目标代理服务的标识信息，生成唯一性校验标识，以使所述代理服务在作为所述目标代理服务，并接收到物联网终端发送的流量的情况下，依据该物联网终端的设备标识信息、所述目标代理服务的标识信息、以及所述唯一性校验标识，进行服务绑定唯一性校验，并在校验通过的情况下，对该流量进行关键信息监测；

和/或，

所述动态随域接入单元通过所述目标代理服务对所述物联网终端的流量进行关键信息监测，包括：通过所述目标代理服务依据所述目标协议的协议模板，对所述物联网终端的数据包进行切分以获得切分后的数据；其中，所述协议模板包括协议数据包大小信息、协议数据结构信息、协议数据字段信息、协议数据字段特征集信息以及协议数据交互方式信息中的部分或全部；通过所述目标代理服务依据所述物联网终端的切分后的数据进行关键信息监测；

其中，所述通过所述目标代理服务对所述物联网终端的数据包进行切分，包括：

通过所述目标代理服务将所述物联网终端的数据包按照原子粒度切分，得到所述数据包对应的原子粒度数据；其中，所述原子粒度数据为位置-内容形式，所述原子粒度数据为数据包的最小单元；

和/或，

在所述动态随域接入单元通过所述目标代理服务对所述物联网终端的流量进行关键信息监测之前，通过所述目标代理服务依据无效流量特征库中的无效流量特征，对所述物联网终端的流量中的无效流量进行过滤；

和/或，

所述动态随域接入单元通过所述目标代理服务对所述物联网终端的流量进行关键信息监测，包括：通过所述目标代理服务利用预设关键信息检测方式，对所述物联网终端的流量进行关键信息检测；

其中，所述预设关键信息检测方式包括以下至少两种检测方式：

基于特征集的关键信息检测方式、基于模式集的关键信息检测方式、以及基于机器学习模型集的关键信息检测方式；

和/或，

在所述动态随域接入单元通过所述目标代理服务对所述物联网终端的流量进行关键信息监测之后，在检测出关键信息的情况下，通过所述目标代理服务针对关键信息检测结果进行展示，和/或，针对关键信息检测结果进行预警；

其中，所述关键信息检测结果包括以下之一或多个：

关键信息所属协议、关键信息所属数据包、关键信息在数据包中的位置信息、关键信息内容以及关键信息类型。
一种电子设备，包括处理器和存储器，其特征在于，所述存储器存储有能够被所述处理器执行的机器可执行指令，所述处理器被配置为执行所述机器可执行指令以执行以下操作：

接收物联网终端发送的代理请求，所述代理请求中包括所述物联网终端的协议相关信息，所述协议相关信息包括设备型号信息、服务类型信息以及数据包信息中的部分或全部；

依据所述物联网终端的协议相关信息，确定所述物联网终端对应的目标协议；

依据所述目标协议，以及全流量代理池中代理服务的使用状态和在线状态，为所述物联网终端分配目标代理服务；

通过所述目标代理服务对所述物联网终端的流量进行关键信息监测；

其中，所述全流量代理池包括对应不同协议的多个代理服务，所述目标代理服务为所述多个代理服务中的与所述目标协议对应、使用状态为空闲、且在线状态为在线的代理服务。
根据权利要求11所述的电子设备，其特征在于，所述全流量代理池包括对应单个协议的代理服务，以及，对应多个协议的代理服务；

在所述目标协议包括多个不同协议的情况下，所述目标代理服务为对应的协议包括该多个不同协议的、使用状态为空闲、且在线状态为在线的代理服务。
根据权利要求11所述的电子设备，其特征在于，所述代理请求中还包括设备标识信息；所述处理器进一步被配置为执行所述机器可执行指令以执行以下操作：

依据所述物联网终端的设备标识信息，以及所述目标代理服务的标识信息，生成唯一性校验标识，以使所述目标代理服务在接收到物联网终端发送的流量时，依据该物联网终端的设备标识信息、所述目标代理服务的标识信息、以及所述唯一性校验标识，进行服务绑定唯一性校验，并在校验通过的情况下，对该流量进行关键信息监测。
根据权利要求11所述的电子设备，其特征在于，所述处理器进一步被配置为执行所述机器可执行指令以执行以下操作：

通过所述目标代理服务依据所述目标协议的协议模板，对所述物联网终端的数据包进行切分以获得切分后的数据；其中，所述协议模板包括协议数据包大小信息、协议数据结构信息、协议数据字段信息、协议数据字段特征集信息以及协议数据交互方式信息中的部分或全部；

通过所述目标代理服务依据所述物联网终端的切分后的数据进行关键信息监测。
根据权利要求14所述的电子设备，其特征在于，所述处理器进一步被配置为执行所述机器可执行指令以执行以下操作：

通过所述目标代理服务将所述物联网终端的数据包按照原子粒度切分，得到所述数据包对应的原子粒度数据；其中，所述原子粒度数据为位置-内容形式，所述原子粒度数据为数据包的最小单元。
根据权利要求11所述的电子设备，其特征在于，所述处理器进一步被配置为执行所述机器可执行指令以执行以下操作：

通过所述目标代理服务依据无效流量特征库中的无效流量特征，对所述物联网终端的流量中的无效流量进行过滤。
根据权利要求11所述的电子设备，其特征在于，所述处理器进一步被配置为执行所述机器可执行指令以执行以下操作：

通过所述目标代理服务利用预设关键信息检测方式，对所述物联网终端的流量进行关键信息检测；

其中，所述预设关键信息检测方式包括以下至少两种检测方式：

基于特征集的关键信息检测方式、基于模式集的关键信息检测方式、以及基于机器学习模型集的关键信息检测方式。
根据权利要求11所述的电子设备，其特征在于，所述处理器进一步被配置为执行所述机器可执行指令以执行以下操作：

在检测出关键信息的情况下，通过所述目标代理服务针对关键信息检测结果进行展示，和/或，针对关键信息检测结果进行预警；

其中，所述关键信息检测结果包括以下之一或多个：

关键信息所属协议、关键信息所属数据包、关键信息在数据包中的位置信息、关键信息内容以及关键信息类型。
一种机器可读存储介质，所述机器可读存储介质内存储有机器可执行指令，所述机器可执行指令被处理器执行时实现根据权利要求1至8中任一项所述的信息泄露监测方法。
一种计算机程序，存储于机器可读存储介质，当计算机程序被处理器执行时实现根据权利要求1至8中任一项所述的信息泄露监测方法。