【技术实现步骤摘要】
数据防泄密检测方法与设备
本专利技术属于网络信息安全
,尤其是涉及一种防止敏感数据泄露的检测方法及其设备。
技术介绍
随着网络技术的飞速发展和互联网的日益普及,网络已经走进日常工作和生活,特别是越来越多的企业、政府机关和组织构建了自己的信息网络系统,但是同时,网络攻击技术也在不断的发展,带来越来越多的网络安全隐患和问题。防火墙是目前安全市场上应用最广泛的产品,对于保护用户网络的安全具有非常重要的作用,但是随着网络应用的不断发展和网络结构的日趋复杂,它的局限性表现的越来越突出。防火墙可以保护处于它身后的网络不受外界的侵袭和干扰,但完全不能防止来自网络内部的袭击,许多攻击事实上都是来自网络内部,特别是对于那些对企业心怀不满或假意卧底的人员来说,防火墙实际上形同虚设,尤其是对于内部向外发送的数据中,除了正常数据外经常会夹杂敏感内容与涉密信息,一旦这些数据外泄将给企业和组织造成无法挽回的损失。因此,对网络内的外发数据包进行防泄密检测就显得尤为重要。对于内部外发安全威胁,目前有多种技术,包括采用对桌面计算机进行现场检查的方式,该方式耗费大量的人力和时间,且检查效果受检查人员的主观因素影响较大;又例如采用DLP(Dataleakageprevention,数据泄密防护)技术来解决该问题,具体检测时,根据设置的审计规则,由DLP设备对记录企业员工外发行为信息的日志进行审计,将违反审计规则的日志所表征的外发行为确定为异常外发行为,这是一种事后的审计,具有一定的时延,当确定外发异常时,行为可能早已结束,为时已晚。...
【技术保护点】
1.数据防泄密检测方法,其特征在于,包括:/n根据数据包类型将捕获的外发数据包重组后加入相应的检测队列;所述数据包类型包括特定访问、文件上传与邮件发送;/n获取预设的检测策略;/n从所述检测队列取数据包,提取不同类型数据包的类型特征与所述检测策略的类型特征库匹配,若匹配成功则阻断,否则进行下一步;/n对数据包进行重组与还原,提取关键字与所述检测策略的关键字特征库匹配,若匹配成功则阻断外发,否则放行并告警;所述关键字特征库包括主题关键字和/或正文关键字。/n
【技术特征摘要】
1.数据防泄密检测方法,其特征在于,包括:
根据数据包类型将捕获的外发数据包重组后加入相应的检测队列;所述数据包类型包括特定访问、文件上传与邮件发送;
获取预设的检测策略;
从所述检测队列取数据包,提取不同类型数据包的类型特征与所述检测策略的类型特征库匹配,若匹配成功则阻断,否则进行下一步;
对数据包进行重组与还原,提取关键字与所述检测策略的关键字特征库匹配,若匹配成功则阻断外发,否则放行并告警;所述关键字特征库包括主题关键字和/或正文关键字。
2.根据权利要求1所述的检测方法,其特征在于,若所述数据包类型为特定访问,建立包括特定url、host、主题标识的类型特征库;所述特定访问包括论坛访问;
则具体检测过程包括:提取外发数据包中的url、host、主题标识至少一个,与所述类型特征库进行匹配,若匹配成功则阻断,否则将数据包写入第一队列进行关键字匹配。
3.根据权利要求2所述的检测方法,其特征在于,所述特定访问的关键字匹配过程包括:
从所述第一队列取出数据包,还原出外发内容,写入第二队列;
从所述第二队列提取主题关键字与所述关键字特征库进行匹配,若匹配成功则阻断外发并告警、保存该文件;若匹配不成功则提取正文关键字与所述关键字特征库进行匹配,若匹配成功则阻断外发并告警、保存该文件,否则放行并告警、删除该文件。
4.根据权利要求1所述的检测方法,其特征在于,若所述数据包类型为文件上传,建立包括视频文件、文本文件、图片文件、音频文件、应用程序文件、压缩文件和数据库文件的类型特征库;
则具体检测过程包括:判断外发数据包的文件类型,与所述类型特征库进行匹配,若匹配成功则阻断,否则提取文件的关键字与所述关键字特征库进行匹配,若匹配成功则阻断,否则将数据包写入第一队列进行关键字匹配。
5.根据权利要求4所述的检测方法,其特征在于,建立文件类型与文件后缀关联表,通过检测文件后缀,与所述关联表进行匹配,确定外发文件的类型;
若数据包的文件上传采用http协议,则:排除三次握手数据包,判断数据包是否为前10个数据包,若否则结束,若是则重组前5个数据包,检测文件后缀是否与所述预设关联表匹配,若匹配则阻断并清空连接,若不匹配则将数据包写入第一队列进行关键字匹配。
6.根据权利要求5所述的检测方法,其特征在于,所述文件上传的关键字匹配过程包括:
从所述第一队列取出数据包,还原文件,并将文件信息写入第二队列;
从所述第二队...
【专利技术属性】
技术研发人员:刘亚轩,何建锋,陈宏伟,
申请(专利权)人:西安交大捷普网络科技有限公司,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。