本发明专利技术公开了一种基于终端代理的威胁监控及数据防泄漏方法与系统。所述方法通过在终端设备上部署代理软件,收集用户的行为数据,将收集到的数据发送到中央数据仓库,在数据仓库中,这些收集的信息被归类并摘要;处理后的数据,用作机器学习系统的输入,进行进一步的安全分析,以便监控用户的各种操作行为,在数据泄露发生前,就及时获知数据泄露风险,采取合适的行动,防止数据丢失。所述系统包括部署于各类终端设备上的代理软件、中央数据仓库、机器学习单元和配套的网络通信模块。本发明专利技术提供的方法和系统能够克服现有的DLP工具不能为企业提供全面可靠的威胁监控和数据防泄漏保障的问题。
【技术实现步骤摘要】
基于终端代理的威胁监控及数据防泄露方法与系统
本专利技术属于网络安全和机器学习
,具体涉及一种基于终端代理的威胁监控及数据防泄露方法与系统。
技术介绍
随着计算机网络特别是因特网的普及应用,网络已经成为人们生产和生活所依赖的重要基础设施。如此同时,网络安全的重要性也日益凸显,现如今网络安全已经成为决定网络应用范围能否极大拓展和网络应用价值能否极大地发挥的关键。在网络安全中,数据泄露或者丢失指的是,终端设备,比如工作站、笔记本电脑、服务器或者移动设备中的数据,未经授权就被泄露了出去。这类泄露,可能是被通过物理设备人为泄露了出去,也可能是在不知情的情况下,通过网络被各种应用程序偷偷地发送了出去。为了防止数据泄露,在企业中一些IT管控设备和信息安全的工具就应运而生,比如,通过监控手段防止机密数据被带出公司的数据泄密(泄露)防护(Dataleakageprevention,DLP)就是一种典型的企业信息安全工具,但是DLP只能检测到部分数据泄露的通道,比如:·邮件发送代码·邮件发送敏感信息,比如信号卡号,或者社会安全码·U盘拷贝源代码DLP不能覆盖的场景有:·打印设备·通过RDP协议发送数据·屏幕截图·网络共享所以DLP工具不能为企业提供全面可靠的威胁监控和数据防泄漏保障。然而,当前企业检测和防止数据泄露,主要使用DLP方案。DLP方案是基于规则来识别的,比如:·检测邮件的附件中,是否有之前嵌入的水印文件;·检测邮件内容中,是否有敏感词汇,比如:资金,税收等。此外,DLP仅仅适用于特定场景,比如通过邮件发送,或者通过U盘拷贝,适用的场景太少。仍然还有很多场景,是DLP无法覆盖到的,这些场景就给企业数据安全带来了极大的数据泄露风险。如果没有综合性的数据管理方案,即使使用再严格的,像DLP这样的工具,都不能防止数据被泄密,因为一些重要的数据,这些工具都是不识别的。因此,我们需要一种在客户端部署的系统,可以抓取到所有的数据泄露信息。
技术实现思路
为了克服现有的DLP工具不能为企业提供全面可靠的威胁监控和数据防泄漏保障的问题,本专利技术提供一种基于终端代理的威胁监控及数据防泄漏方法与系统。所述基于终端代理的威胁监控及数据防泄漏方法通过在终端设备(比如工作站,笔记本电脑,移动设备)上部署客户端,来监控潜在的内部数据泄露风险,可以在数据泄露发生前,就及时获知,并采取进一步行动,来防止数据的丢失。为实现上述目标,本专利技术采用以下技术方案:一种基于终端代理的威胁监控及数据防泄漏方法,所述方法通过在终端设备上部署客户端软件,即代理软件,用来收集用户的行为数据,监控用户的各种操作行为,检测潜在的内部数据泄露风险,以便在数据泄露发生前,就及时获知数据泄露风险,并采取合适的行动,来防止数据的丢失。所述代理被部署在不同的终端或客户机上。然后代理将从终端收集到的数据发送回中央数据仓库,在数据仓库中,这些收集到的信息被按照相同主机名或地址来做归类并摘要。处理后的数据,可以用作机器学习系统的输入,或者为SOC分析提供报告。所述终端代理,也会收集本终端相关信息,比如主机名,用户名,MAC地址等,所有这些信息都会被发送到中央数据仓库中,终端的信息在中央数据仓库中,被整合汇总,企业安全管理员就可以在数据泄露发生时,及时获知泄露场景,并适时采取行动,阻止数据丢失。一种基于终端代理的威胁监控及数据防泄漏系统,包括部署于各类终端设备上的代理软件、中央数据仓库、机器学习单元和配套的网络通信模块。所述代理软件被部署在不同的终端或客户机上。代理将从终端收集到的数据发送回中央数据仓库中。所述中央数据仓库用于汇集各代理软件所获取的用户属性数据和用户行为数据,在数据仓库中,这些收集到的信息被按照相同主机名或地址来做归类并摘要。处理后的数据,可以用作机器学习系统的输入,或者为SOC分析提供报告。所述机器学习单元,用于对用户行为数据进行模式识别和知识发现,以发掘大量杂乱无章的用户行为数据背后所蕴含的规律和趋势,以便指导代理软件更加精准高效地收集数据,指导SOC工作人员更加快速地定位威胁点和数据泄露隐患,快速做出反应。所述配套的网络通信模块,是系统工作的基础,起到连接各功能模块的作用,例如,将代理软件收集的数据及时传递到数据仓库,将数据仓库处理过的数据传递到机器学习模块和SOC等,以及反向传输的指令和数据。所述代理软件被部署到每一个用户的工作站上,它会收集有可能发生数据泄露的场景信息,比如电子邮件,聊天软件,U盘,打印设备等等,同样还有访问部署有代理软件的服务器的权利。代理软件也会部署到每一个服务器上,用来捕获服务器上的用户行为,包括网络共享服务、FTP文件传送服务、应用接入服务和用户权限改变服务等。如果企业中也有移动设备访问需求,只需要在移动设备上也部署代理软件即可,它会收集用户基于移动终端实施的在线备份信息、USB/蓝牙发送信息、电子邮件使用信息等。每一个终端代理软件所获取的信息都会传递给中央数据仓库,中央数据仓库能够将各终端代理软件收集的数据块组合起来,并且按照用户进行归类。所述终端代理软件,也会收集本终端相关信息,比如主机名、用户名、MAC地址等,所有这些信息都会被发送到中央数据仓库中,终端的信息在这个仓库中,被整合汇总,企业安全管理员就可以在数据泄露发生时,及时获知泄露场景,并适时采取行动,阻止数据丢失。根据终端设备类型和用途的不同,为各类终端设备量身定义完整的数据泄露活动表,以指导终端代理软件收集活动表中包含的与用户行为相关的信息,并及时发送到中心数据仓库。根据数据量的大小,代理软件可能会保存原始的数据,也可能只保存摘要结果。由于终端设备的存储能力有限,因此,对于数据量不大的情况,代理软件会完整保存原始的数据,而对于数据量很大的情况,代理软件可能只保存摘要结果。根据代理软件和服务器的连接方式不同,采取不同的数据发送策略。如果终端设备在企业网内部,代理软件就会将收集的信息,实时发送给中央数据仓库处理,相反地,如果终端设备处于离线状态,或者不在企业网内部,数据就会在终端设备缓存中被临时保存,当终端设备重新恢复在线后,就会将所有缓存的数据,一次性打包发送给中央数据仓库。本专利技术的优点和有益效果为:与现有的DLP技术相比,本专利技术通过在终端设备上部署代理软件,并根据终端设备类型和用途的不同,量身定制可能导致数据泄露的用户行为表,指导终端代理软件全面收集用户的行为数据和用户属性数据;在中心数据仓库中对数据进行归并和融合处理,将处理结果传送到机器学习模块进行深入分析,也同时传送到SOC供安全分析人员分析安全隐患,并及时作出相应的动作,消除威胁,防止数据泄露事故的发生。本专利技术客服了DLP仅适应于部分场景,不能覆盖其他大量用户行为的缺陷,全面收集用户各类行为数据并进行监控,因而能够为企业提供全面的威胁监控和数据泄露防范服务。同时,本专利技术通过机器学习技术和SOC的人工分析结果相结合,不断提高终端代理收集数据的准确性和效率,因而随着系统运行时间的增加,系统提供的服务质量也会不断提高。附图说明附图1是本专利技术所述的基于终端代理的威胁监控及数据防泄露系统的结构框图。附图2是本专利技术所述的基于终端代理的威胁监控及数据防泄露系统的代理部署结构框图。附图3是本专利技术所述的基于终端代理的威胁本文档来自技高网...
【技术保护点】
一种基于终端代理的威胁监控及数据防泄漏方法,其特征在于:所述方法通过在终端设备上部署代理软件,收集用户的行为数据;代理将从终端收集到的数据发送回中央数据仓库,在中央数据仓库中,这些收集到的信息被按照相同主机名或地址来做归类并摘要;处理后的数据,可以用作机器学习系统的输入,或者为SOC分析提供报告,进行进一步的安全分析,以便监控用户的各种操作行为,检测潜在的内部数据泄露风险,在数据泄露发生前,就及时采取合适的行动,防止数据丢失。
【技术特征摘要】
1.一种基于终端代理的威胁监控及数据防泄漏方法,其特征在于:所述方法通过在终端设备上部署代理软件,收集用户的行为数据;代理将从终端收集到的数据发送回中央数据仓库,在中央数据仓库中,这些收集到的信息被按照相同主机名或地址来做归类并摘要;处理后的数据,可以用作机器学习系统的输入,或者为SOC分析提供报告,进行进一步的安全分析,以便监控用户的各种操作行为,检测潜在的内部数据泄露风险,在数据泄露发生前,就及时采取合适的行动,防止数据丢失。2.根据权利要求1所述的一种基于终端代理的威胁监控及数据防泄漏方法,其特征在于:所述终端代理,也会收集本终端相关信息,比如主机名、用户名、MAC地址等,所有这些信息都会被发送到中央数据仓库中,终端的信息在数据仓库中,被整合汇总,企业安全管理员就可以在数据泄露发生时,及时获知泄露场景,并适时采取行动,阻止数据丢失。3.一种基于终端代理的威胁监控及数据防泄漏系统,其特征在于:所述系统包括部署于各类终端设备上的代理软件,中央数据仓库,机器学习单元和配套的网络通信模块;所述代理软件被部署在不同的终端或客户机上;代理将从终端收集到的数据发送回中央数据仓库;所述中央数据仓库用于汇集各代理软件所获取的用户属性数据和用户行为数据,在数据仓库中,这些收集到的信息被按照相同主机名或地址来做归类并摘要;处理后的数据,可以用作机器学习系统的输入,或者为SOC分析提供报告;所述机器学习单元,用于对用户行为数据进行模式识别和知识发现,以发掘大量杂乱无章的用户行为数据背后所蕴含的规律和趋势,指导代理软件更加精准高效地收集数据,指导SOC工作人员更加快速地定位威胁点和数据泄露隐患,快速做出反应;所述配套的网络通信模块,是系统工作的基础,起到连接各...
【专利技术属性】
技术研发人员:吴淑宁,冯望烟,张立钢,
申请(专利权)人:浙江中都信息技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。