一种敏感信息泄露检测方法及装置转让专利
申请号 : CN202111658014.9
文献号 : CN114006776B
文献日 : 2022-03-18
发明人 : 王卫新 , 赵林林 , 童兆丰 , 薛锋
申请人 : 北京微步在线科技有限公司
摘要 :
本申请实施例提供一种敏感信息泄露检测方法及装置,涉及数据安全技术领域,该敏感信息泄露检测方法包括:通过监听目标组织的网络流量出口,拦截所有应答数据;并判断所有应答数据与预设的特征数据库是否相匹配;如果是,则从应答数据中提取敏感信息以及与敏感信息相关联的访问情况信息;再判断访问情况信息与预设的云端情报库是否相匹配;如果是,则获取敏感信息的泄露路径,并输出包括泄露路径的告警提示信息,以提示敏感信息已被恶意访问,能够快速准确地进行敏感信息泄露检测,灵活性高,覆盖全面,能监控目标组织整个流量出口,同时还能够对敏感信息泄露情况进行路径追踪分析,及时维护数据安全。
权利要求 :
1.一种敏感信息泄露检测方法,其特征在于,包括:通过监听目标组织的网络流量出口,拦截所有应答数据;
判断所述所有应答数据与预设的特征数据库是否相匹配;
如果是,则从所述应答数据中提取敏感信息以及与所述敏感信息相关联的访问情况信息;
判断所述访问情况信息与预设的云端情报库是否相匹配;
如果是,则获取所述敏感信息的泄露路径,并输出包括所述泄露路径的告警提示信息,以提示所述敏感信息已被恶意访问;
所述访问情况信息包括所述敏感信息的暴露点信息、所述敏感信息的泄露方式、访问所述敏感信息的用户标识以及所述敏感信息的具体访问情况;
其中,所述暴露点信息包括暴露所述敏感信息的通信接口、通信服务和主机地址中的一种或者多种;
所述泄露方式包括静态资源泄露、数据内容泄露中的一种或者多种;
所述用户标识包括地址信息、地理位置信息中的一种或者多种;
所述具体访问情况包括访问时间、访问频次、访问统计值中的一种或者多种;
其中,所述获取所述敏感信息的泄露路径,包括:对所述敏感信息、所述暴露点信息、所述泄露方式、所述用户标识以及所述具体访问情况进行数据整合,得到所述敏感信息的泄露内容、泄露来源以及泄露去向;
根据所述泄露内容、所述泄露来源以及所述泄露去向生成泄露路径。
2.根据权利要求1所述的敏感信息泄露检测方法,其特征在于,所述通过监听目标组织的网络流量出口,拦截所有应答数据,包括:监听目标组织的网络流量出口,并拦截所述网络流量出口的所有出口流量;
对所述所有出口流量进行解析还原处理,得到解析还原数据;
获取所述解析还原数据中的所有应答数据。
3.根据权利要求1所述的敏感信息泄露检测方法,其特征在于,所述判断所述所有应答数据与预设的特征数据库是否相匹配,包括:判断是否能够获取到预先配置的匹配规则;
如果是,则获取所述预先配置的匹配规则以及预设的特征数据库对所述所有应答数据进行多模匹配,得到匹配结果;
根据所述匹配结果判断所述所有应答数据与所述匹配规则和/或所述特征数据库是否相匹配;
如果是,执行所述的从所述应答数据中提取所述敏感信息以及与所述敏感信息相关联的访问情况信息。
4.根据权利要求1所述的敏感信息泄露检测方法,其特征在于,所述方法还包括:当判断出所述访问情况信息与所述云端情报库不相匹配时,输出所述敏感信息存在泄露风险的风险提示信息。
5.一种敏感信息泄露检测装置,其特征在于,所述敏感信息泄露检测装置包括:拦截单元,用于通过监听目标组织的网络流量出口,拦截所有应答数据;
第一判断单元,用于判断所述所有应答数据与预设的特征数据库是否相匹配;
提取单元,用于当判断出所述所有应答数据与所述特征数据库相匹配时,从所述应答数据中提取敏感信息以及与所述敏感信息相关联的访问情况信息;
第二判断单元,用于判断所述访问情况信息与预设的云端情报库是否相匹配;
路径获取单元,用于当判断出所述访问情况信息与所述云端情报库相匹配时,获取所述敏感信息的泄露路径;
告警输出单元,用于输出包括所述泄露路径的告警提示信息,以提示所述敏感信息已被恶意访问;
所述访问情况信息包括所述敏感信息的暴露点信息、所述敏感信息的泄露方式、访问所述敏感信息的用户标识以及所述敏感信息的具体访问情况;
其中,所述暴露点信息包括暴露所述敏感信息的通信接口、通信服务和主机地址中的一种或者多种;
所述泄露方式包括静态资源泄露、数据内容泄露中的一种或者多种;
所述用户标识包括地址信息、地理位置信息中的一种或者多种;
所述具体访问情况包括访问时间、访问频次、访问统计值中的一种或者多种;
路径获取单元包括:
第六子单元,用于当判断出访问情况信息与云端情报库相匹配时,对敏感信息、暴露点信息、泄露方式、用户标识以及具体访问情况进行数据整合,得到敏感信息的泄露内容、泄露来源以及泄露去向;
第七子单元,用于根据泄露内容、泄露来源以及泄露去向生成泄露路径。
6.根据权利要求5所述的敏感信息泄露检测装置,其特征在于,所述拦截单元包括:第一子单元,用于监听目标组织的网络流量出口,并拦截所述网络流量出口的所有出口流量;
第二子单元,用于对所述所有出口流量进行解析还原处理,得到解析还原数据;
第三子单元,用于获取所述解析还原数据中的所有应答数据。
7.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至4中任一项所述的敏感信息泄露检测方法。
8.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至4任一项所述的敏感信息泄露检测方法。
说明书 :
一种敏感信息泄露检测方法及装置
技术领域
[0001] 本申请涉及数据安全技术领域,具体而言,涉及一种敏感信息泄露检测方法及装置。
背景技术
[0002] 随着互联网技术的发展,在互联网上进行用户信息的访问和存储已经成为一种常见的方式。在用户浏览网页的过程中,客户端与服务器进行请求,并接收服务器的返回内
容,由于处理不当,涉及用户隐私或者需要保密的敏感信息很容易被泄露。现有的敏感信息
泄露检测方法,通常在客户端发起请求后,服务端进行数据返回,后端模块根据关键字匹配
判断返回内是否有敏感信息,当有敏感信息匹配命中后,根据匹配信息进行告警。
容,由于处理不当,涉及用户隐私或者需要保密的敏感信息很容易被泄露。现有的敏感信息
泄露检测方法,通常在客户端发起请求后,服务端进行数据返回,后端模块根据关键字匹配
判断返回内是否有敏感信息,当有敏感信息匹配命中后,根据匹配信息进行告警。
[0003] 对于敏感信息泄露检测方法,还有其他一些方法,如对比文件1:CN201710452471.X 一种数据泄露的检测方法及系统,利用探针采集数据库到互联网的数
据流向上的数据,然后对数据进行汇总并对汇总的数据执行敏感数据指纹特征匹配操作,
若匹配成功,则敏感数据已泄露至互联网。该方法能够在无法完全避免发生数据泄露的情
况下,以一种改造量较小的、更全面的、更直观的数据泄露的检测方法。对比文件2:定义敏
感信息及确定其所存储的设备;然后根据定义的敏感数据,制定和管理敏感信息访问/外访
策略;再对敏感数据所存储的设备进行网络流量数据采集及预处理;根据的敏感信息访问
策略对采集处理后的流量数据进行非法访问/外访识别,找出敏感信息的异常访问发起程
序和异常外访接收程序;针对获得的非法访问/接收程序进行敏感信息泄露责任认定,确定
非法访问帐户和相关人员信息。通过敏感数据访问流量的分析,从可能造成数据泄露的过
程进行主动分析和控制,实现对任何未知攻击产生的客户敏感信息泄露进行识别控制和责
任认定。
据流向上的数据,然后对数据进行汇总并对汇总的数据执行敏感数据指纹特征匹配操作,
若匹配成功,则敏感数据已泄露至互联网。该方法能够在无法完全避免发生数据泄露的情
况下,以一种改造量较小的、更全面的、更直观的数据泄露的检测方法。对比文件2:定义敏
感信息及确定其所存储的设备;然后根据定义的敏感数据,制定和管理敏感信息访问/外访
策略;再对敏感数据所存储的设备进行网络流量数据采集及预处理;根据的敏感信息访问
策略对采集处理后的流量数据进行非法访问/外访识别,找出敏感信息的异常访问发起程
序和异常外访接收程序;针对获得的非法访问/接收程序进行敏感信息泄露责任认定,确定
非法访问帐户和相关人员信息。通过敏感数据访问流量的分析,从可能造成数据泄露的过
程进行主动分析和控制,实现对任何未知攻击产生的客户敏感信息泄露进行识别控制和责
任认定。
[0004] 然而在实践中发现,由于关键字匹配机制简单且存在语言差异,导致检测准确性低,灵活性低,同时无法对敏感信息泄露情况进行追踪分析。同时,对于对比文件1在通过指
纹特征匹配方法检测敏感数据是否泄露时,无法追踪分析该敏感数据的泄露路径,不能给
予准确告警提示;对于对比文件2,只能确定出敏感信息的异常访问发起程序和异常外访接
收程序,也就是只能确定异常访问发起源头,并不能追踪分析敏感信息的泄露路径,从而无
法及时维护数据安全。可见,现有技术灵活性低、准确性低,且无法对敏感信息泄露路径进
行追踪分析,从而无法及时维护数据安全。
纹特征匹配方法检测敏感数据是否泄露时,无法追踪分析该敏感数据的泄露路径,不能给
予准确告警提示;对于对比文件2,只能确定出敏感信息的异常访问发起程序和异常外访接
收程序,也就是只能确定异常访问发起源头,并不能追踪分析敏感信息的泄露路径,从而无
法及时维护数据安全。可见,现有技术灵活性低、准确性低,且无法对敏感信息泄露路径进
行追踪分析,从而无法及时维护数据安全。
发明内容
[0005] 本申请实施例的目的在于提供一种敏感信息泄露检测方法及装置,能够快速准确地进行敏感信息泄露检测,灵活性高,覆盖全面,能监控目标组织整个流量出口,同时还能
够对敏感信息泄露情况进行路径追踪分析,及时维护数据安全。
够对敏感信息泄露情况进行路径追踪分析,及时维护数据安全。
[0006] 本申请实施例第一方面提供了一种敏感信息泄露检测方法,包括:
[0007] 通过监听目标组织的网络流量出口,拦截所有应答数据;
[0008] 判断所述所有应答数据与预设的特征数据库是否相匹配;
[0009] 如果是,则从所述应答数据中提取敏感信息以及与所述敏感信息相关联的访问情况信息;
[0010] 判断所述访问情况信息与预设的云端情报库是否相匹配;
[0011] 如果是,则获取所述敏感信息的泄露路径,并输出包括所述泄露路径的告警提示信息,以提示所述敏感信息已被恶意访问。
[0012] 在上述实现过程中,通过监听目标组织的网络流量出口,拦截所有应答数据;并判断所有应答数据与预设的特征数据库是否相匹配;如果是,则从应答数据中提取敏感信息
以及与敏感信息相关联的访问情况信息;再判断访问情况信息与预设的云端情报库是否相
匹配;如果是,则获取敏感信息的泄露路径,并输出包括泄露路径的告警提示信息,以提示
敏感信息已被恶意访问,能够快速准确地进行敏感信息泄露检测,灵活性高,覆盖全面,能
监控目标组织整个流量出口,同时还能够对敏感信息泄露情况进行路径追踪分析,及时维
护数据安全。
以及与敏感信息相关联的访问情况信息;再判断访问情况信息与预设的云端情报库是否相
匹配;如果是,则获取敏感信息的泄露路径,并输出包括泄露路径的告警提示信息,以提示
敏感信息已被恶意访问,能够快速准确地进行敏感信息泄露检测,灵活性高,覆盖全面,能
监控目标组织整个流量出口,同时还能够对敏感信息泄露情况进行路径追踪分析,及时维
护数据安全。
[0013] 进一步地,所述通过监听目标组织的网络流量出口,拦截所有应答数据,包括:
[0014] 监听目标组织的网络流量出口,并拦截所述网络流量出口的所有出口流量;
[0015] 对所述所有出口流量进行解析还原处理,得到解析还原数据;
[0016] 获取所述解析还原数据中的所有应答数据。
[0017] 进一步地,所述判断所述所有应答数据与预设的特征数据库是否相匹配,包括:
[0018] 判断是否能够获取到预先配置的匹配规则;
[0019] 如果是,则获取所述预先配置的匹配规则以及预设的特征数据库对所述所有应答数据进行多模匹配,得到匹配结果;
[0020] 根据所述匹配结果判断所述所有应答数据与所述匹配规则和/或所述特征数据库是否相匹配;
[0021] 如果是,执行所述的从所述应答数据中提取所述敏感信息以及与所述敏感信息相关联的访问情况信息。
[0022] 进一步地,所述访问情况信息包括所述敏感信息的暴露点信息、所述敏感信息的泄露方式、访问所述敏感信息的用户标识以及所述敏感信息的具体访问情况;
[0023] 其中,所述暴露点信息包括暴露所述敏感信息的通信接口、通信服务和主机地址中的一种或者多种;
[0024] 所述泄露方式包括静态资源泄露、数据内容泄露中的一种或者多种;
[0025] 所述用户标识包括地址信息、地理位置信息中的一种或者多种;
[0026] 所述具体访问情况包括访问时间、访问频次、访问统计值中的一种或者多种。
[0027] 进一步地,所述获取所述敏感信息的泄露路径,包括:
[0028] 对所述敏感信息、所述暴露点信息、所述泄露方式、所述用户标识以及所述具体访问情况进行数据整合,得到所述敏感信息的泄露内容、泄露来源以及泄露去向;
[0029] 根据所述泄露内容、所述泄露来源以及所述泄露去向生成泄露路径。
[0030] 进一步地,所述方法还包括:
[0031] 当判断出所述访问情况信息与所述云端情报库不相匹配时,输出所述敏感信息存在泄露风险的风险提示信息。
[0032] 本申请实施例第二方面提供了一种敏感信息泄露检测装置,所述敏感信息泄露检测装置包括:
[0033] 拦截单元,用于通过监听目标组织的网络流量出口,拦截所有应答数据;
[0034] 第一判断单元,用于判断所述所有应答数据与预设的特征数据库是否相匹配;
[0035] 提取单元,用于当判断出所述所有应答数据与所述特征数据库相匹配时,从所述应答数据中提取敏感信息以及与所述敏感信息相关联的访问情况信息;
[0036] 第二判断单元,用于判断所述访问情况信息与预设的云端情报库是否相匹配;
[0037] 路径获取单元,用于当判断出所述访问情况信息与所述云端情报库相匹配时,获取所述敏感信息的泄露路径;
[0038] 告警输出单元,用于输出包括所述泄露路径的告警提示信息,以提示所述敏感信息已被恶意访问。
[0039] 在上述实现过程中,拦截单元先通过监听目标组织的网络流量出口,拦截所有应答数据;然后第一判断单元判断所有应答数据与预设的特征数据库是否相匹配;如果是,提
取单元则从应答数据中提取敏感信息以及与敏感信息相关联的访问情况信息;第二判断单
元再判断访问情况信息与预设的云端情报库是否相匹配;如果是,路径获取单元则获取敏
感信息的泄露路径,最后告警输出单元输出包括泄露路径的告警提示信息,以提示敏感信
息已被恶意访问,能够快速准确地进行敏感信息泄露检测,灵活性高,覆盖全面,能监控目
标组织整个流量出口,同时还能够对敏感信息泄露情况进行路径追踪分析,及时维护数据
安全。
取单元则从应答数据中提取敏感信息以及与敏感信息相关联的访问情况信息;第二判断单
元再判断访问情况信息与预设的云端情报库是否相匹配;如果是,路径获取单元则获取敏
感信息的泄露路径,最后告警输出单元输出包括泄露路径的告警提示信息,以提示敏感信
息已被恶意访问,能够快速准确地进行敏感信息泄露检测,灵活性高,覆盖全面,能监控目
标组织整个流量出口,同时还能够对敏感信息泄露情况进行路径追踪分析,及时维护数据
安全。
[0040] 进一步地,所述拦截单元包括:
[0041] 第一子单元,用于监听目标组织的网络流量出口,并拦截所述网络流量出口的所有出口流量;
[0042] 第二子单元,用于对所述所有出口流量进行解析还原处理,得到解析还原数据;
[0043] 第三子单元,用于获取所述解析还原数据中的所有应答数据。
[0044] 本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实
施例第一方面中任一项所述的敏感信息泄露检测方法。
施例第一方面中任一项所述的敏感信息泄露检测方法。
[0045] 本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项
所述的敏感信息泄露检测方法。
所述的敏感信息泄露检测方法。
附图说明
[0046] 为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看
作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他相关的附图。
作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他相关的附图。
[0047] 图1为本申请实施例提供的一种敏感信息泄露检测方法的流程示意图;
[0048] 图2为本申请实施例提供的一种敏感信息泄露检测装置的结构示意图;
[0049] 图3为本申请实施例提供的一种访问行为匹配结果的展示示意图。
具体实施方式
[0050] 下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
[0051] 应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的
描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
[0052] 实施例1
[0053] 请参看图1,图1为本申请实施例提供了一种敏感信息泄露检测方法的流程示意图。其中,该敏感信息泄露检测方法包括:
[0054] S101、通过监听目标组织的网络流量出口,拦截所有应答数据。
[0055] 本申请实施例中,该方法的执行主体可以为敏感信息泄露检测装置,具体的,该敏感信息泄露检测装置具体可以为计算机、服务器等设备,也可以为运行于上述客户端的软
件装置等,对此本实施例中不作任何限定。
件装置等,对此本实施例中不作任何限定。
[0056] 本申请实施例中,拦截的所有应答数据为服务端返回给目标组织内所有客户端的响应数据。具体地,目标组织可以为公司、企业、学校等,对此本申请实施例不作限定。
[0057] 本申请实施例中,目标组织内客户端的数量可以为一个或者多个,对此本申请实施例不作限定。
[0058] 作为一种可选的实施方式,通过监听目标组织的网络流量出口,拦截所有应答数据,包括:
[0059] 监听目标组织的网络流量出口,并拦截所述网络流量出口的所有出口流量;
[0060] 对所有出口流量进行解析还原处理,得到解析还原数据;
[0061] 获取解析还原数据中的所有应答数据。
[0062] 在上述实施方式中,监听目标组织的网络流量出口,拦截的是服务端返回给该目标组织内所有客户端的所有出口流量,以便于后续与预设的特征数据库进行匹配。举例来
说,能够检测目标组织内各个客户端、系统的敏感信息泄露。
说,能够检测目标组织内各个客户端、系统的敏感信息泄露。
[0063] 在上述实施方式中,可以采用Sensor流量计对所有出口流量进行解析,将流量还原成请求数据和应答数据,其中,解析还原数据包括请求数据和应答数据。
[0064] 在上述实施方式中,当客户端与服务端之间是基于HTTP协议进行的通信时,则请求数据为HTTP请求,应答数据为HTTP应答。其中, HTTP (HyperTextTransferProtocol,超
文本传输协议)是一种用于分布式、协作式和超媒体信息系统的应用层协议。
文本传输协议)是一种用于分布式、协作式和超媒体信息系统的应用层协议。
[0065] S102、判断是否能够获取到预先配置的匹配规则,如果是,执行步骤S103以及步骤S105;如果否,执行步骤S104 步骤S105。
~
~
[0066] 本申请实施例中,预先配置的匹配规则可以包括用户预先自定义配置的匹配规则,具体地,该匹配规则具体可以为关键字匹配规则等,对此本申请实施例不作限定。
[0067] S103、获取预先配置的匹配规则以及预设的特征数据库对所有应答数据进行多模匹配,得到匹配结果,并执行步骤S105。
[0068] 作为一种可选的实施方式,当检测到存在预先配置的匹配规则时,则需要根据预先配置的匹配规则以及预设的特征数据库对所有应答数据进行多模匹配,包括:
[0069] 将所有应答数据与预先配置的匹配规则进行匹配,得到第一结果;
[0070] 同时,将所有应答数据与预设的特征数据库进行匹配,得到第二结果;
[0071] 汇总第一结果和第二结果,得到匹配结果。
[0072] 在上述实施方式,也可以自定义匹配规则,如针对公司机密内容进行关键字提取,再进行内容匹配。通过获取预先配置的匹配规则,能够实现自定义的个性化隐私信息匹配,
提升匹配精度。
提升匹配精度。
[0073] 本申请实施例中,在进行匹配的过程中,使用预设的特征数据库,特征数据库包括海量特征,特征数量具体可达50W条左右,具体地,包括用户隐私特征、组织机密特征等,对
此本申请实施例不作限定。
此本申请实施例不作限定。
[0074] 本申请实施例中,用户隐私特征包括身份证号特征、手机号特征、邮件特征、银行卡账号特征等,其中,身份证号特征举例如下:
[0075] \b(1[1‑5]|2[1‑3]|3[1‑7]|4[1‑6]|5[0‑4]|6[1‑5]|71|81|82)[0‑9]{4}(19|20)[1‑9]{2}((0[1‑9])|(1[0‑2]))(([0‑2][1‑9])|10|20|30|31)\d{3}[0‑9Xx]\b
[0076] 邮件特征举例如下:
[0077] (i)\b[A‑Z0‑9+_.‑]+@[A‑Z0‑9.‑]+((\.com)|(\.com\.cn)|(.net)|(\.net\.cn)|(\.org)|(\.gov\.cn)|(\.cn)|(\.org\.cn))\b
[0078] 手机号特征举例如下:
[0079] !pcre: \b130\d{8}\b
[0080] 130
[0081] 上述仅示出身份证号特征、手机号特征、邮件特征的其中一种特征表示举例,在实际应用中,对于特征的表示方法本申请实施例不作任何限定。
[0082] 在步骤S103之后,还包括以下步骤:
[0083] S104、获取预设的特征数据库对所有应答数据进行多模匹配,得到匹配结果,并执行步骤S105。
[0084] 本申请实施例中,实施步骤S103和步骤S104,能够针对应答数据进行快速匹配,其中,可以采用基于Aho‑Corasick自动机的匹配方法进行匹配。
[0085] 本申请实施例中,匹配算法可以采用AC自动机匹配算法进行多模匹配。其中,AC自动机主要依托于字典树,在文本串较大、目标字符串众多的情况下能够高效精准匹配。
[0086] S105、根据匹配结果判断所有应答数据与匹配规则和/或特征数据库是否相匹配,如果是,执行步骤S106 步骤S107;如果否,结束本流程。
~
~
[0087] S106、从应答数据中提取敏感信息以及与敏感信息相关联的访问情况信息。
[0088] 本申请实施例中,实施上述步骤S102 步骤S106,能够判断所有应答数据与预设的~
特征数据库是否相匹配。
特征数据库是否相匹配。
[0089] 本申请实施例中,当匹配成功时,针对匹配结果从应答数据中提取敏感信息的访问情况信息,访问情况信息包括但不限于敏感信息的暴露点信息、敏感信息的泄露方式、访
问敏感信息的用户标识以及敏感信息的具体访问情况等,对此本申请实施例不作限定。
问敏感信息的用户标识以及敏感信息的具体访问情况等,对此本申请实施例不作限定。
[0090] 本申请实施例中,暴露点信息包括暴露敏感信息的通信接口、通信服务和主机地址等中的一种或者多种,对此本申请实施例不作限定。
[0091] 本申请实施例中,泄露方式包括静态资源泄露、数据内容泄露中的一种或者多种,对此本申请实施例不作限定。
[0092] 本申请实施例中,用户标识包括地址信息、地理位置信息中的一种或者多种,对此本申请实施例不作限定。
[0093] 本申请实施例中,具体访问情况包括访问时间、访问频次、访问统计值(如QPM值等)中的一种或者多种,其中,QPM值包括但不限于每分钟查询率、每分钟处理的查询请求数
等,对此本申请实施例不作限定。
等,对此本申请实施例不作限定。
[0094] 本申请实施例中,可以根据需求预先配置匹配规则,并且匹配海量特征库,优化匹配算法,进行精确匹配,有利于提高匹配的灵活性和精确度。
[0095] S107、判断访问情况信息与预设的云端情报库是否相匹配,如果是,执行步骤S108步骤S110;如果否,执行步骤S111。
~
~
[0096] 本申请实施例中,当判断出访问情况信息与云端情报库相匹配时,表示该敏感信息已被恶意访问,当判断出访问情况信息与云端情报库不相匹配时,表示该敏感信息没有
被恶意访问,但是存在泄露风险。
被恶意访问,但是存在泄露风险。
[0097] S108、对敏感信息、暴露点信息、泄露方式、用户标识以及具体访问情况进行数据整合,得到敏感信息的泄露内容、泄露来源以及泄露去向。
[0098] S109、根据泄露内容、泄露来源以及泄露去向生成泄露路径。
[0099] 本申请实施例中,实施上述步骤S108 步骤S109,能够获取敏感信息的泄露路径。~
[0100] S110、输出包括泄露路径的告警提示信息,以提示敏感信息已被恶意访问,并结束本流程。
[0101] 本申请实施例中,先提取敏感信息的访问情况信息与云端情报库进行匹配。当匹配成功时,则确定该敏感信息已被恶意访问,可以将泄露内容、泄露来源及去向整合为泄露
路径并生成告警发送给信息所有者。
路径并生成告警发送给信息所有者。
[0102] 本申请实施例中, 还可以确定该敏感信息的信息所有者,将该告警提示信息发送给信息所有者,从而及时告警。
[0103] S111、输出敏感信息存在泄露风险的风险提示信息。
[0104] 本申请实施例中,当判断出访问情况信息与云端情报库不相匹配时,则该信息存在泄露风险,输出敏感信息存在泄露风险的风险提示信息以提醒信息所有者处理。
[0105] 本申请实施例中, 还可以确定该敏感信息的信息所有者,将该风险提示信息发送给信息所有者,从而及时提醒,避免敏感信息泄露。
[0106] 本申请实施例中,当确定敏感信息被泄露时,可以获取相应的访问情况信息进行记录,能确定具体敏感信息的访问情况,能获取完整的敏感信息的泄露情况及泄露路径,例
如是哪个接口、哪个主机、哪种方式泄露了什么信息。
如是哪个接口、哪个主机、哪种方式泄露了什么信息。
[0107] 本申请实施例中,该方法基于流量还原请求以及特征匹配进行敏感信息监测,举例如下:
[0108] 第一步,在客户端模拟请求接口。设置访问地址为:http://www.xxxxxxxxxxx.cn/xxxxx.html,访问IP为内部访问地址和外部访问地址。
[0109] 第二步,在服务端模拟数据返回的流量(以下内容均为测试生成数据):
[0110] {"bizfamilyinfos":[{"id":1234123 ,"familynumber": H80YsQtJhIr4W3vsqkGk","name":"测试用户","certificationnumber": "
123412341234123232","mobile":"12312341234","ensuremode": "applytype_001", "
approvestate": "family_apply", "datavalid": "check_003", "regstreet": "
110100000", "biznum": "FEkux32VEka8gd0aKMZp", "biztype": "BIZ001","regnum":"
GX010000000","resultnum":"GX010000000","belongarea":"110107","sysnumber": "b
2Vr5gJnnb3nKiBPZ3N9m4n3P8CklGMTLgAnBHFh","BIZNODE": "biznode003", "IBIZTYPE":
"biztype003", "CCSTATE": null, "PDFSTATE": null, "BANKPDFFILE": null, "
WARNINGFLAG": null, "CCREPORT": "no" }, { "id": 1234123, "familynumber": "
Oh804Sb8TB0rppkhzYr7", "name": "测试用户2","certificationnumber":"
123121233333000","mobile":"12311222233"}]}
123412341234123232","mobile":"12312341234","ensuremode": "applytype_001", "
approvestate": "family_apply", "datavalid": "check_003", "regstreet": "
110100000", "biznum": "FEkux32VEka8gd0aKMZp", "biztype": "BIZ001","regnum":"
GX010000000","resultnum":"GX010000000","belongarea":"110107","sysnumber": "b
2Vr5gJnnb3nKiBPZ3N9m4n3P8CklGMTLgAnBHFh","BIZNODE": "biznode003", "IBIZTYPE":
"biztype003", "CCSTATE": null, "PDFSTATE": null, "BANKPDFFILE": null, "
WARNINGFLAG": null, "CCREPORT": "no" }, { "id": 1234123, "familynumber": "
Oh804Sb8TB0rppkhzYr7", "name": "测试用户2","certificationnumber":"
123121233333000","mobile":"12311222233"}]}
[0111] 第三步,通过Sensor还原该流量为请求数据和应答数据。
[0112] 第四步,对应答数据进行匹配:包括通过AC自动机进行特征库匹配;并提取匹配的内容,获取访问情况信息,并进行告警。
[0113] 第五步,根据上述流量举例得到的匹配结果中,包括敏感内容的匹配结果以及其对应访问行为的匹配结果,敏感内容举例如下表一所示,访问行为匹配结果如图3所示。
[0114] 表一
[0115] 敏感内容类型 敏感内容身份证 123412341234123232
手机 12312341234,12311222233
银行卡 123121233333000
手机 12312341234,12311222233
银行卡 123121233333000
[0116] 第六步,进行云端匹配,先提取敏感信息的访问情况信息,并将提取到的访问情况信息与云端情报库进行匹配。若匹配成功,判断该信息已被恶意访问,将泄露内容、泄露来
源及去向整合为泄露路径并生成告警发送给信息所有者。若未匹配到,则该信息存在泄露
风险,需提醒信息所有者处理。
源及去向整合为泄露路径并生成告警发送给信息所有者。若未匹配到,则该信息存在泄露
风险,需提醒信息所有者处理。
[0117] 本申请实施例中,实施该方法能够通过更灵活的方式对不同平台进行敏感信息监测,不需手动对业务代码进行接入。
[0118] 本申请实施例中,该方法通过对流量进行解析还原,并针对应答数据进行敏感信息进行高效匹配,能有效匹配出身份证、银行卡、手机号、邮箱以及客户自定义的敏感信息
展示情况。且能够提取不同环境与主机对此系列信息的访问记录,有效分析出敏感信息是
否泄露到公网,被非内部人员使用,判断该敏感信息是否已被恶意访问。并及时将泄露情况
通知给所有者处理。
展示情况。且能够提取不同环境与主机对此系列信息的访问记录,有效分析出敏感信息是
否泄露到公网,被非内部人员使用,判断该敏感信息是否已被恶意访问。并及时将泄露情况
通知给所有者处理。
[0119] 可见,实施本实施例所描述的敏感信息泄露检测方法,能够快速准确地进行敏感信息泄露检测,灵活性高,覆盖全面,能监控目标组织整个流量出口,同时还能够对敏感信
息泄露情况进行路径追踪分析,及时维护数据安全。
息泄露情况进行路径追踪分析,及时维护数据安全。
[0120] 实施例2
[0121] 请参看图2,图2为本申请实施例提供的一种敏感信息泄露检测装置的结构示意图。如图2所示,该敏感信息泄露检测装置包括:
[0122] 拦截单元210,用于通过监听目标组织的网络流量出口,拦截所有应答数据;
[0123] 第一判断单元220,用于判断所有应答数据与预设的特征数据库是否相匹配;
[0124] 提取单元230,用于当判断出所有应答数据与特征数据库相匹配时,从应答数据中提取敏感信息以及与敏感信息相关联的访问情况信息;
[0125] 第二判断单元240,用于判断访问情况信息与预设的云端情报库是否相匹配;
[0126] 路径获取单元250,用于当判断出访问情况信息与云端情报库相匹配时,获取敏感信息的泄露路径;
[0127] 告警输出单元260,用于输出包括泄露路径的告警提示信息,以提示敏感信息已被恶意访问。
[0128] 作为一种可选的实施方式,拦截单元210包括:
[0129] 第一子单元211,用于监听目标组织的网络流量出口,并拦截所述网络流量出口的所有出口流量;
[0130] 第二子单元212,用于对所有出口流量进行解析还原处理,得到解析还原数据;
[0131] 第三子单元213,用于获取解析还原数据中的所有应答数据。
[0132] 作为一种可选的实施方式,第一判断单元220包括:
[0133] 第四子单元221,用于判断是否能够获取到预先配置的匹配规则;如果是,则获取预先配置的匹配规则以及预设的特征数据库对所有应答数据进行多模匹配,得到匹配结
果;
果;
[0134] 第五子单元222,用于根据匹配结果判断所有应答数据与匹配规则和/或特征数据库是否相匹配;如果是,执行的从应答数据中提取敏感信息以及与敏感信息相关联的访问
情况信息。
情况信息。
[0135] 本申请实施例中,访问情况信息包括但不限于敏感信息的暴露点信息、敏感信息的泄露方式、访问敏感信息的用户标识以及敏感信息的具体访问情况等,对此本申请实施
例不作限定。
例不作限定。
[0136] 本申请实施例中,暴露点信息包括暴露敏感信息的通信接口、通信服务和主机地址等中的一种或者多种,对此本申请实施例不作限定。
[0137] 本申请实施例中,泄露方式包括静态资源泄露、数据内容泄露中的一种或者多种,对此本申请实施例不作限定。
[0138] 本申请实施例中,用户标识包括地址信息、地理位置信息中的一种或者多种,对此本申请实施例不作限定。
[0139] 本申请实施例中,具体访问情况包括访问时间、访问频次、访问统计值(如QPM值等)中的一种或者多种,其中,QPM值包括但不限于每分钟查询率、每分钟处理的查询请求数
等,对此本申请实施例不作限定。
等,对此本申请实施例不作限定。
[0140] 作为一种可选的实施方式,路径获取单元250包括:
[0141] 第六子单元251,用于当判断出访问情况信息与云端情报库相匹配时,对敏感信息、暴露点信息、泄露方式、用户标识以及具体访问情况进行数据整合,得到敏感信息的泄
露内容、泄露来源以及泄露去向;
露内容、泄露来源以及泄露去向;
[0142] 第七子单元251,用于根据泄露内容、泄露来源以及泄露去向生成泄露路径。
[0143] 作为一种可选的实施方式,该告警输出单元260,还用于当判断出访问情况信息与云端情报库不相匹配时,输出敏感信息存在泄露风险的风险提示信息。
[0144] 本申请实施例中,对于敏感信息泄露检测装置的解释说明可以参照实施例1中的描述,对此本实施例中不再多加赘述。
[0145] 可见,实施本实施例所描述的敏感信息泄露检测装置,能够快速准确地进行敏感信息泄露检测,灵活性高,覆盖全面,能监控目标组织整个流量出口,同时还能够对敏感信
息泄露情况进行路径追踪分析,及时维护数据安全。
息泄露情况进行路径追踪分析,及时维护数据安全。
[0146] 本申请实施例提供了一种电子设备,包括存储器以及处理器,存储器用于存储计算机程序,处理器运行计算机程序以使电子设备执行本申请实施例1中的敏感信息泄露检
测方法。
测方法。
[0147] 本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例1中的敏感信息泄露检测方
法。
法。
[0148] 在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图
显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、
功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一
部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执
行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于
附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也
可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每
个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基
于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、
功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一
部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执
行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于
附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也
可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每
个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基
于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
[0149] 另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
[0150] 所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对
现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算
机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人
计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而
前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read‑Only Memory)、随机存取存储
器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算
机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人
计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而
前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read‑Only Memory)、随机存取存储
器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0151] 以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的
任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和
字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图
中不需要对其进行进一步定义和解释。
任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和
字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图
中不需要对其进行进一步定义和解释。
[0152] 以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵
盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
[0153] 需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存
在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖
非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要
素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖
非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要
素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。