一种数据泄露的检测方法及系统技术方案

本申请公开了一种数据泄露的检测方法，包括：利用探针采集数据库到互联网的数据流向上的数据；其中，探针设置在所述数据流上；对数据进行汇总，并对汇总的数据执行敏感数据指纹特征匹配操作，若匹配成功，则敏感数据已泄露至互联网。该方法能够在无法完全避免发生数据泄露的情况下，以一种改造量较小的、更全面的、更直观的数据泄露的检测方法，能够查询到被泄露的具体数据文件以及追查泄露源头并对泄露源头进行后续的追责。本申请同时还公开了一种数据泄露的检测系统，具有上述有益效果。

Method and system for detecting data leakage

The invention discloses a data leakage detection method, including: data flow using probe collects data on the database to the Internet; among them, probes are arranged in the data stream; summarize data, and carry out sensitive data fingerprint feature matching operation on the aggregated data, if the matching is successful, it is sensitive to data have been leaked to the internet. This method can not completely avoid the occurrence of data leakage in the case, with a detection method of transformation is smaller, more comprehensive, more intuitive data leakage, to inquire into the specific data files leaked and trace the leak source and subsequent responsibility for disclosure of the source. The utility model also discloses a data leakage detection system, which has the beneficial effects.

【技术实现步骤摘要】
一种数据泄露的检测方法及系统
本申请涉及数据检测
，特别涉及一种数据泄露的检测方法及系统。
技术介绍
在当今互联网时代，越来越多的企业将业务数据迁移到互联网上，越来越多的资产信息化，从而大大提高了企业的生产效率和管理水平。对于已经高度依赖信息系统的企业而言，以二进制数据存在的资产已然成为了最重要的企业资产，其中，这些数据往往存储于数据库中。话分两头，互联网化和信息化一方面提高了企业的生产效率和管理水平，一方面在数据库中以二进制数据存储的企业重要数据也为被某些不怀好意的攻击者偷取并泄露敏感数据文件创造了机会。其中，泄露者通过各种方式偷取数据并泄露出去，例如，企业外部的黑客群体、企业内部的员工甚至管理员等等。因此，保障企业存储数据的安全已是企业管理者的当务之急。在现有技术中，主要通过数据库加密和数据库防火墙等方式来保护数据，前者主要方式是对存储在数据库中的企业数据进行加密，在使用时再进行解密，但是需要在企业内各终端安装插件，会影响性能和稳定性，且存在加密后无法正常解密或解密后文件异常等问题，且如果业务上由对外的需求，则会造成诸多不便之处；后者主要方式是在企业内网外围建一堵墙，只让有权限的人通过这堵墙，但是无法防范来自企业内部的泄露。那么，如何在无法完全避免发生数据泄露的情况下，提供一种改造量较小的、更全面的、更直观的数据泄露的检测机制，是本领域技术人员亟待解决的问题。
技术实现思路
本申请的目的是提供一种数据泄露的检测方法及系统，能够在无法完全避免发生数据泄露的情况下，以一种改造量较小的、更全面的、更直观的数据泄露的检测方法，能够查询到被泄露的具体数据文件以及追查泄露源头并对泄露源头进行后续的追责。为解决上述技术问题，本申请提供一种数据泄露的检测方法，该方法包括：利用探针采集数据库到互联网的数据流向上的数据；其中，所述探针设置在所述数据流向上；对所述数据进行汇总，并对汇总的所述数据执行敏感数据指纹特征匹配操作，若匹配成功，则所述敏感数据已泄露至所述互联网。可选的，利用探针采集数据库到互联网的数据流向上的数据；其中，所述探针设置在所述数据流向上，包括：利用数据库探针采集数据库协议流量；其中，所述数据库探针设置在所述数据库的前端；利用互联网出口探针采集内网用户的外发信息；其中，所述互联网出口探针设置在所述互联网的出口处。可选的，对汇总的所述数据执行敏感数据指纹特征匹配操作，包括：审计所述数据库协议流量中的SQL命令返回内容；分别识别所述SQL命令返回内容和所述外发信息中各字段的内容属性，得到第一内容属性和第二内容属性；分别识别所述第一内容属性和所述第二内容属性的信息类型，相应得到第一敏感数据文件和第二敏感数据文件；利用特征算法分别提取所述第一敏感数据文件和所述第二敏感数据文件的特征值，相应得到第一指纹特征库和第二指纹特征库；对所述第一指纹特征库与所述第二指纹特征库执行匹配操作。可选的，本方案还包括：利用业务系统探针采集对业务系统的访问流量，并根据所述访问流量进行访问操作源头的分析；其中，所述业务系统探针设置在所述业务系统的前端。可选的，本方案还包括：对所述第一敏感数据文件的泄露行为进行预警和记录，得到第一日志文件；上报审计所述SQL命令返回内容的结果，得到第二日志文件；上报所述外发信息，得到第三日志文件；上报所述访问流量的分析结果，得到第四日志文件；当所述第一日志文件、所述第二日志文件、所述第三日志文件以及所述第四日志文件的体积占磁盘总体积的比例超过预设比例时，通过预设路径通知管理员。可选的，本方案还包括：将所述第一日志文件与所述第四日志文件进行关联，得到所述第一敏感数据文件的整体流向。本申请还提供了一种数据泄露的检测系统，该系统包括：探针单元，用于利用探针采集数据库到互联网的数据流向上的数据；其中，所述探针设置在所述数据流向上；汇总匹配单元，用于对所述数据进行汇总，并对汇总的所述数据执行敏感数据指纹特征匹配操作，若匹配成功，则所述敏感数据已经泄露至所述互联网。可选的，所述探针单元包括：数据库探针子单元，用于利用数据库探针采集数据库协议流量；其中，所述数据库探针设置在所述数据库的前端；互联网出口探针子单元，用于利用互联网出口探针采集内网用户的外发信息；其中，所述互联网出口探针设置在所述互联网的出口处。可选的，所述汇总匹配单元包括：审计子单元，用于审计所述数据库协议流量中的SQL命令返回内容；内容属性识别子单元，用于分别识别所述SQL命令返回内容和所述外发信息中各字段的内容属性，得到第一内容属性和第二内容属性；信息类型识别子单元，用于分别识别所述第一内容属性和所述第二内容属性的信息类型，相应得到第一敏感数据文件和第二敏感数据文件；特征提取子单元，用于利用特征算法分别提取所述第一敏感数据文件和所述第二敏感数据文件的特征值，相应得到第一指纹特征库和第二指纹特征库；匹配子单元，用于对所述第一指纹特征库与所述第二指纹特征库执行匹配操作。可选的，所述探针单元，还包括：业务系统探针子单元，用于利用业务系统探针采集对业务系统的访问流量，并根据所述访问流量进行访问操作源头的分析；其中，所述业务系统探针设置在所述业务系统的前端。可选的，本方案还包括：第一上报单元，用于对所述第一敏感数据文件的泄露行为进行预警和记录，得到第一日志文件；第二上报单元，用于上报审计所述SQL命令返回内容的结果，得到第二日志文件；第三上报单元，用于上报所述外发信息，得到第三日志文件；第四上报单元，用于上报所述访问流量的分析结果，得到第四日志文件；磁盘预警单元，用于当所述第一日志文件、所述第二日志文件、所述第三日志文件以及所述第四日志文件的体积占磁盘总体积的比例超过预设比例时，通过预设路径通知管理员。可选的，本方案还包括：关联单元，用于将所述第一日志文件与所述第四日志文件进行关联，得到所述第一敏感数据文件的整体流向。本申请所提供的一种数据泄露的检测方法，通过利用探针采集数据库到互联网的数据流向上的数据；其中，所述探针设置在所述数据流向上；对所述数据进行汇总，并对汇总的所述数据执行敏感数据指纹特征匹配操作，若匹配成功，则所述敏感数据已泄露至所述互联网。显然，本申请所提供的技术方案，通过设置在数据流向上的探针采集到的数据进行一系列比对分析，并根据分析结果判断是否有内网的数据文件被泄露至公网，能够在无法完全避免发生数据泄露的情况下，以一种改造量较小的、更全面的、更直观的数据泄露的检测方法，能够查询到被泄露的具体数据文件以及追查泄露源头并对泄露源头进行后续的追责。本申请同时还提供了一种数据泄露的检测系统，具有上述有益效果，在此不再赘述。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其它的附图。图1为本申请实施例所提供的一种数据泄露的检测方法的流程图；图2为本申请实施例所提供的另一种数据泄露的检测方法的流程图；图3为本申请实施例所提供的又一种数据泄露的检测方法的流程图；图4为本申请实施例所提供的再一种数据泄露的检测方法的流程图；图5为本申请实施例所提本文档来自技高网...

【技术保护点】
一种数据泄露的检测方法，其特征在于，包括：利用探针采集数据库到互联网的数据流向上的数据；其中，所述探针设置在所述数据流向上；对所述数据进行汇总，并对汇总的所述数据执行敏感数据指纹特征匹配操作，若匹配成功，则所述敏感数据已泄露至所述互联网。

【技术特征摘要】
1.一种数据泄露的检测方法，其特征在于，包括：利用探针采集数据库到互联网的数据流向上的数据；其中，所述探针设置在所述数据流向上；对所述数据进行汇总，并对汇总的所述数据执行敏感数据指纹特征匹配操作，若匹配成功，则所述敏感数据已泄露至所述互联网。2.根据权利要求1所述的检测方法，其特征在于，利用探针采集数据库到互联网的数据流向上的数据，包括：利用数据库探针采集数据库协议流量；其中，所述数据库探针设置在所述数据库的前端；利用互联网出口探针采集内网用户的外发信息；其中，所述互联网出口探针设置在所述互联网的出口处。3.根据权利要求2所述的检测方法，其特征在于，对汇总的所述数据执行敏感数据指纹特征匹配操作，包括：审计所述数据库协议流量中的SQL命令返回内容；分别识别所述SQL命令返回内容和所述外发信息中各字段的内容属性，得到第一内容属性和第二内容属性；分别识别所述第一内容属性和所述第二内容属性的信息类型，相应得到第一敏感数据文件和第二敏感数据文件；利用特征算法分别提取所述第一敏感数据文件和所述第二敏感数据文件的特征值，相应得到第一指纹特征库和第二指纹特征库；对所述第一指纹特征库与所述第二指纹特征库执行匹配操作。4.根据权利要求3所述的检测方法，其特征在于，还包括：利用业务系统探针采集对业务系统的访问流量，并根据所述访问流量进行访问操作源头的分析；其中，所述业务系统探针设置在所述业务系统的前端。5.根据权利要求3或4所述的检测方法，其特征在于，还包括：对所述第一敏感数据文件的泄露行为进行预警和记录，得到第一日志文件；上报审计所述SQL命令返回内容的结果，得到第二日志文件；上报所述外发信息，得到第三日志文件；上报所述访问流量的分析结果，得到第四日志文件；当所述第一日志文件、所述第二日志文件、所述第三日志文件以及所述第四日志文件的体积占磁盘总体积的比例超过预设比例时，通过预设路径通知管理员。6.根据权利要求5所述的检测方法，其特征在于，还包括：将所述第一日志文件与所述第四日志文件进行关联，得到所述第一敏感数据文件的整体流向。7.一种数据泄露的检测系统，其特征在于，包括：探针单元，用于利用探针采集数据库到互联网的数据流向上的数据；其中，所述探针设置在所述数据...

【专利技术属性】
技术研发人员：陆明友，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44