数据泄露的检测方法及装置制造方法及图纸

本发明专利技术公开了一种数据泄露的检测方法及装置，获取终端在发送数据时的终端行为以及数据内容；判断所述终端行为是否为异常行为，并得到第一识别结果；确定所述数据内容是否包含敏感数据，并得到第二识别结果；根据所述第一识别结果和所述第二识别结果，确定所述终端的数据泄露分析结果。在进行终端发送数据分析时，从终端行为和数据内容两个方面进行了分析，相比于仅从数据内容方面分析，降低了泄露行为误报、漏报的概率，从而减少了终端的误报、漏报行为，即减少了终端检测数据泄露的无效分析行为，进而提高了终端识别数据泄露的准确度。度。度。

Data leakage detection method and device

【技术实现步骤摘要】
数据泄露的检测方法及装置


[0001]本专利技术涉及数据泄露检测领域，更具体的说，涉及一种数据泄露的检测方法及装置。

技术介绍

[0002]企业在运维过程中，会对企业的重要数据，如商业秘密、商业合同等内容进行重点保护。为了避免企业的重要数据的泄露，设置了终端数据防泄露系统，可以对用户发送数据的数据内容进行检测，检测发送的数据内容中是否存在一些敏感信息，如银行卡号、身份证号等等。但是仅从数据内容进行数据泄露检测，泄露行为误报、漏报概率较大，进而终端的数据泄露的无效分析行为较多，终端识别数据泄露的准确度较低。

技术实现思路

[0003]鉴于上述问题，本专利技术提供一种克服上述问题或者至少部分地解决上述问题的一种数据泄露的检测方法及装置。
[0004]一种数据泄露的检测方法，包括：
[0005]获取终端在发送数据时的终端行为以及数据内容；
[0006]判断所述终端行为是否为异常行为，并得到第一识别结果；
[0007]确定所述数据内容是否包含敏感数据，并得到第二识别结果；
[0008]根据所述第一识别结果和所述第二识别结果，确定所述终端的数据泄露分析结果。
[0009]可选地，判断所述终端行为是否为异常行为，并得到第一识别结果，包括：
[0010]获取行为分析维度，以及所述行为分析维度对应的参考基准数据；所述行为分析维度包括以下至少一种：数据发送方式、协议类型、数据文件类型、数据内容大小、数据接收对象和数据发送时间；
[0011]从所述终端行为中获取所述行为分析维度对应的实际数据；
[0012]对所述行为分析维度对应的实际数据以及所述参考基准数据进行比较，得到所述行为分析维度对应的偏离度；
[0013]依据所述行为分析维度对应的偏离度，确定所述终端行为对应的异常分值；
[0014]获取所述参考基准数据对应的参考基准分值范围；
[0015]若所述终端行为对应的异常分值未落入相应的参考基准分值范围内，则确定所述第一识别结果为异常行为；
[0016]若所述终端行为对应的异常分值落入相应的参考基准分值范围内，则确定所述第一识别结果为非异常行为。
[0017]可选地，所述行为分析维度对应的参考基准数据的生成过程包括：
[0018]获取所述终端在所述行为分析维度下的历史行为数据；所述历史行为数据为非异常行为数据；
[0019]对所述历史行为数据进行数据聚类操作，得到所述行为分析维度对应的参考基准数据；所述数据聚类操作包括数据统计、核密度算法或频繁项集算法。
[0020]可选地，确定所述数据内容是否包含敏感数据，并得到第二识别结果，包括：
[0021]获取内容审计规则；所述内容审计规则用于识别敏感数据；
[0022]依据所述内容审计规则，从所述数据内容中查找是否存在所述敏感数据；
[0023]若存在，则确定所述第二识别结果为发生数据内容泄露；
[0024]若不存在，则确定所述第二识别结果为未发生数据内容泄露。
[0025]可选地，根据所述第一识别结果和所述第二识别结果，确定所述终端的数据泄露分析结果，包括：
[0026]若所述第一识别结果为异常行为、且所述第二识别结果为发生数据内容泄露，则确定所述终端的数据泄露分析结果为数据泄露风险达到第一风险等级；
[0027]若所述第一识别结果为异常行为、且所述第二识别结果为未发生数据内容泄露，则确定所述终端的数据泄露分析结果为数据泄露风险达到第二风险等级；所述第一风险等级高于所述第二风险等级。
[0028]可选地，在所述确定所述终端的数据泄露分析结果为数据泄露风险到第二风险等级之后，还包括：
[0029]重新确定所述数据内容是否包含敏感数据，和/或，重新确定所述终端的数据泄露分析结果。
[0030]一种数据泄露的检测装置，包括：
[0031]数据获取模块，用于获取终端在发送数据时的终端行为以及数据内容；
[0032]判断模块，用于判断所述终端行为是否为异常行为，并得到第一识别结果；
[0033]确定模块，用于确定所述数据内容是否包含敏感数据，并得到第二识别结果；
[0034]泄露分析模块，用于根据所述第一识别结果和所述第二识别结果，确定所述终端的数据泄露分析结果。
[0035]可选地，所述判断模块包括：
[0036]数据获取子模块，用于获取行为分析维度，以及所述行为分析维度对应的参考基准数据；所述行为分析维度包括以下至少一种：数据发送方式、协议类型、数据文件类型、数据内容大小、数据接收对象和数据发送时间；
[0037]数据分析子模块，用于从所述终端行为中获取所述行为分析维度对应的实际数据；
[0038]比对子模块，用于对所述行为分析维度对应的实际数据以及所述参考基准数据进行比较，得到所述行为分析维度对应的偏离度；
[0039]分值确定子模块，用于依据所述行为分析维度对应的偏离度，确定所述终端行为对应的异常分值；
[0040]基准值获取子模块，用于获取所述参考基准数据对应的参考基准分值范围；
[0041]异常确定子模块，用于若所述终端行为对应的异常分值未落入相应的参考基准分值范围内，则确定所述第一识别结果为异常行为；若所述终端行为对应的异常分值落入相应的参考基准分值范围内，则确定所述第一识别结果为非异常行为。
[0042]一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述
存储介质所在设备执行上述的数据泄露的检测方法。
[0043]一种电子设备，包括至少一个处理器、以及与所述处理器连接的总线和至少一个存储器；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行上述的数据泄露的检测方法。
[0044]借由上述技术方案，本专利技术提供的一种数据泄露的检测方法及装置，在进行终端发送数据时，从终端行为和数据内容两个方面进行了分析，相比于仅从数据内容方面分析，降低了泄露行为误报、漏报的概率，从而减少了终端的误报、漏报行为，即减少了终端检测数据泄露的无效分析行为，进而提高了终端识别数据泄露的准确度。
[0045]上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。
附图说明
[0046]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本专利技术的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
[0047]图1示出了本专利技术实施例提供的一种终端应用的场景示意图；
[0048]图2示出了本专利技术实施例提供的一种数据泄露的检测方法的方法流程图；
[0049本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据泄露的检测方法，其特征在于，包括：获取终端在发送数据时的终端行为以及数据内容；判断所述终端行为是否为异常行为，并得到第一识别结果；确定所述数据内容是否包含敏感数据，并得到第二识别结果；根据所述第一识别结果和所述第二识别结果，确定所述终端的数据泄露分析结果。2.根据权利要求1所述的检测方法，其特征在于，判断所述终端行为是否为异常行为，并得到第一识别结果，包括：获取行为分析维度，以及所述行为分析维度对应的参考基准数据；所述行为分析维度包括以下至少一种：数据发送方式、协议类型、数据文件类型、数据内容大小、数据接收对象和数据发送时间；从所述终端行为中获取所述行为分析维度对应的实际数据；对所述行为分析维度对应的实际数据以及所述参考基准数据进行比较，得到所述行为分析维度对应的偏离度；依据所述行为分析维度对应的偏离度，确定所述终端行为对应的异常分值；获取所述参考基准数据对应的参考基准分值范围；若所述终端行为对应的异常分值未落入相应的参考基准分值范围内，则确定所述第一识别结果为异常行为；若所述终端行为对应的异常分值落入相应的参考基准分值范围内，则确定所述第一识别结果为非异常行为。3.根据权利要求2所述的检测方法，其特征在于，所述行为分析维度对应的参考基准数据的生成过程包括：获取所述终端在所述行为分析维度下的历史行为数据；所述历史行为数据为非异常行为数据；对所述历史行为数据进行数据聚类操作，得到所述行为分析维度对应的参考基准数据；所述数据聚类操作包括数据统计、核密度算法或频繁项集算法。4.根据权利要求3所述的检测方法，其特征在于，确定所述数据内容是否包含敏感数据，并得到第二识别结果，包括：获取内容审计规则；所述内容审计规则用于识别敏感数据；依据所述内容审计规则，从所述数据内容中查找是否存在所述敏感数据；若存在，则确定所述第二识别结果为发生数据内容泄露；若不存在，则确定所述第二识别结果为未发生数据内容泄露。5.根据权利要求4所述的检测方法，其特征在于，根据所述第一识别结果和所述第二识别结果，确定所述终端的数据泄露分析结果，包括：若所述第一识别结果为异常行为、且所述第二识别结果为发生数据内容泄露，则确定所述终端的数据泄露分析结果为数据泄露风险达到第一风险等级；若所述第一识别结果为异常行为、且...

【专利技术属性】
技术研发人员：郭卓越，
申请(专利权)人：北京国双科技有限公司，
类型：发明
国别省市：