本申请公开了一种大规模敏感数据泄露的检测方法、装置、设备及介质,涉及计算机领域,应用于预设的检测模型,检测模型对不同安全域之间的数据进行检测,不同安全域间部署双单向网闸,包括:监测是否存在第一及第二日志;第一日志与敏感字对应,第二日志为双单向网闸出口的流量满足流量阈值时产生的日志;如果监测到第一及第二日志,并且第一日志先于第二日志产生,则获取IDS流量探针返回的协议信息;IDS流量探针预先部署在不同安全域之间;基于协议信息及第一日志判断是否产生大规模敏感数据泄露。相较于传统的单一的基于IDS流量探针的检测模型,本申请在不同安全域之间部署双单向网闸,保证经过该网闸的数据均要被监测,提高检测精度。测精度。测精度。
【技术实现步骤摘要】
一种大规模敏感数据泄露的检测方法、装置、设备及介质
[0001]本专利技术涉及计算机
,特别涉及一种大规模敏感数据泄露的检测方法、装置、设备及介质。
技术介绍
[0002]当下时代互联网业务快速发展,但数据保护治理的理念经常被人们所轻视,企业及个人的隐私数据经常泄露,造成经济的损失。在数据泄露的过程中,企业和个人往往无法及时察觉,且追踪溯源的过程,过度依赖人工分析,自动化能力不足。针对于特种行业(如军队、银行、政企等)的数据更要进行严格规范的保护机制。
[0003]目前大部分数据泄露检测方法都是基于IDS(Intrusion Detection Systems,入侵检测系统)流量日志进行分析,通过解析返回包中的报文,来判定数据是否存在被窃取的可能性行为。此种检测方法,消耗大量的服务器资源对海量探针日志数据进行分析,服务器资源消耗过大,且误报率较高。
[0004]为此,如何提高数据泄露的检测精度是本领域亟待解决的问题。
技术实现思路
[0005]有鉴于此,本专利技术的目的在于提供一种大规模敏感数据泄露的检测方法、装置、设备及介质,能够提高数据泄露的检测精度,其具体方案如下:
[0006]第一方面,本申请公开了一种大规模敏感数据泄露的检测方法,应用于预设的检测模型,所述检测模型用于对不同安全域之间传输的数据进行大规模敏感数据检测,所述不同安全域之间预先部署双单向网闸,包括:
[0007]监测是否存在第一日志以及第二日志;其中,所述第一日志为与预设的敏感关键字对应的日志,所述第二日志为所述双单向网闸出口的流量满足预设的流量阈值时产生的日志;
[0008]如果监测到所述第一日志以及所述第二日志,并且监测到所述第一日志先于所述第二日志产生,则获取IDS流量探针返回的数据包中的协议信息;其中,所述IDS流量探针预先部署在所述不同安全域之间;
[0009]基于所述协议信息以及所述第一日志判断是否产生大规模敏感数据泄露。
[0010]可选的,所述大规模敏感数据泄露的检测方法,其特征在于,还包括:
[0011]当通过所述双单向网闸监测到与所述预设的敏感关键字对应的数据包,则产生所述第一日志;
[0012]当所述双单向网闸出口的流量满足预设的流量阈值,则产生所述第二日志。
[0013]可选的,所述基于所述协议信息以及所述第一日志判断是否产生大规模敏感数据泄露,包括:
[0014]将所述协议信息与所述第一日志的日志内容进行比对,若比对一致,则判定产生大规模敏感数据泄露。
[0015]可选的,所述若比对一致,则判定产生大规模敏感数据泄露之后,还包括:
[0016]对所述第一日志以及所述第二日志进行分析,并根据分析结果确定出相应的网络攻击行为,然后进行告警提示。
[0017]可选的,所述根据分析结果确定出相应的网络攻击行为,然后进行告警提示,包括:
[0018]根据分析结果确定出相应的网络攻击行为,然后输出告警信息。
[0019]可选的,所述如果监测到所述第一日志以及所述第二日志,并且监测到所述第一日志先于所述第二日志产生,则获取IDS流量探针返回的数据包中的协议信息,包括:
[0020]如果监测到所述第一日志以及所述第二日志,并且监测到所述第一日志先于所述第二日志产生,则在所述预设的单位时间检测窗口内,获取IDS流量探针返回的数据包中的协议信息。
[0021]可选的,所述大规模敏感数据泄露的检测方法,其特征在于,还包括:
[0022]对所述预设的单位时间检测窗口以外的数据进行丢弃。
[0023]第二方面,本申请公开了一种大规模敏感数据泄露的检测装置,应用于预设的检测模型,所述检测模型用于对不同安全域之间传输的数据进行大规模敏感数据检测,所述不同安全域之间预先部署双单向网闸,包括:
[0024]日志监测模块,用于监测是否存在第一日志以及第二日志;其中,所述第一日志为与预设的敏感关键字对应的日志,所述第二日志为所述双单向网闸出口的流量满足预设的流量阈值时产生的日志;
[0025]协议信息获取模块,用于如果监测到所述第一日志以及所述第二日志,并且监测到所述第一日志先于所述第二日志产生,则获取IDS流量探针返回的数据包中的协议信息;其中,所述IDS流量探针预先部署在所述不同安全域之间;
[0026]判定模块,用于基于所述协议信息以及所述第一日志判断是否产生大规模敏感数据泄露。
[0027]第三方面,本申请公开了一种电子设备,包括:
[0028]存储器,用于保存计算机程序;
[0029]处理器,用于执行所述计算机程序,以实现前述公开的大规模敏感数据泄露的检测方法。
[0030]第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的大规模敏感数据泄露的检测方法。
[0031]可见,本申请提出一种大规模敏感数据泄露的检测方法,应用于预设的检测模型,所述检测模型用于对不同安全域之间传输的数据进行大规模敏感数据检测,所述不同安全域之间预先部署双单向网闸,包括:监测是否存在第一日志以及第二日志;其中,所述第一日志为与预设的敏感关键字对应的日志,所述第二日志为所述双单向网闸出口的流量满足预设的流量阈值时产生的日志;如果监测到所述第一日志以及所述第二日志,并且监测到所述第一日志先于所述第二日志产生,则获取IDS流量探针返回的数据包中的协议信息;其中,所述IDS流量探针预先部署在所述不同安全域之间;基于所述协议信息以及所述第一日志判断是否产生大规模敏感数据泄露。如此一来,相较于传统的单一的基于IDS流量探针的检测模型,本申请在不同安全域之间增加了双单向网闸,保证经过该网闸的数据均要被监
测,提高检测精度。
附图说明
[0032]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0033]图1为本申请公开的一种大规模敏感数据泄露的检测方法流程图;
[0034]图2为本申请公开的一种双单向网闸数据交互流程图;
[0035]图3为本申请公开的一种配置检测模型的示意图;
[0036]图4为本申请公开的一种具体的基于检测模型模拟的网络攻击场景图;
[0037]图5为本申请公开的一种大规模敏感数据泄露的检测装置结构示意图;
[0038]图6为本申请公开的一种电子设备结构图。
具体实施方式
[0039]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种大规模敏感数据泄露的检测方法,其特征在于,应用于预设的检测模型,所述检测模型用于对不同安全域之间传输的数据进行大规模敏感数据检测,所述不同安全域之间预先部署双单向网闸,包括:监测是否存在第一日志以及第二日志;其中,所述第一日志为与预设的敏感关键字对应的日志,所述第二日志为所述双单向网闸出口的流量满足预设的流量阈值时产生的日志;如果监测到所述第一日志以及所述第二日志,并且监测到所述第一日志先于所述第二日志产生,则获取IDS流量探针返回的数据包中的协议信息;其中,所述IDS流量探针预先部署在所述不同安全域之间;基于所述协议信息以及所述第一日志判断是否产生大规模敏感数据泄露。2.根据权利要求1所述的大规模敏感数据泄露的检测方法,其特征在于,还包括:当通过所述双单向网闸监测到与所述预设的敏感关键字对应的数据包,则产生所述第一日志;当所述双单向网闸出口的流量满足预设的流量阈值,则产生所述第二日志。3.根据权利要求1所述的大规模敏感数据泄露的检测方法,其特征在于,所述基于所述协议信息以及所述第一日志判断是否产生大规模敏感数据泄露,包括:将所述协议信息与所述第一日志的日志内容进行比对,若比对一致,则判定产生大规模敏感数据泄露。4.根据权利要求1所述的大规模敏感数据泄露的检测方法,其特征在于,所述若比对一致,则判定产生大规模敏感数据泄露之后,还包括:对所述第一日志以及所述第二日志进行分析,并根据分析结果确定出相应的网络攻击行为,然后进行告警提示。5.根据权利要求4所述的大规模敏感数据泄露的检测方法,其特征在于,所述根据分析结果确定出相应的网络攻击行为,然后进行告警提示,包括:根据分析结果确定出相应的网络攻击行为,然后输出告警信息。6.根据权利要求1...
【专利技术属性】
技术研发人员:白亚坤,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。