一种基于关联分析的数据泄露检测系统及方法技术方案

本发明专利技术公开了一种数据泄露检测系统及方法，包括检测平台、数据库、内部终端、用户终端及探针单元，内部终端通过互联网与数据库、用户终端呈通信连接，若干个探针单元分别设置在数据库与内部终端之间数据流向上、内部终端与用户终端之间数据流向上，检测平台采用集群服务器，集群服务器包括若干个处理服务器，单个处理服务器只针对

【技术实现步骤摘要】
一种基于关联分析的数据泄露检测系统及方法


[0001]本专利技术涉及一种数据泄露检测系统及方法，具体为一种基于关联分析的数据泄露检测系统及方法，属于数据安全


技术介绍

[0002]在当今互联网时代，越来越多的企业将业务数据迁移到互联网上，越来越多的资产信息化，从而大大提高了企业的生产效率和管理水平。但互联网化和信息化一方面提高了企业的生产效率和管理水平，一方面在数据库中以二进制数据存储的企业重要数据也为被某些不怀好意的攻击者偷取并泄露敏感数据文件创造了机会。其中，泄露者通过各种方式偷取数据并泄露出去，例如，企业外部的黑客群体、企业内部的员工甚至管理员等等。因此，保障企业存储数据的安全已是企业管理者的当务之急。
[0003]如授权公告号为CN112583827A，授权公告日为20210330的一种数据泄露检测方法及装置。该方法包括：获取多个目标DNS请求，并获得每一目标DNS请求中的源IP地址、二级域名及二级域名的子域名；将获得的多个子域名分成多个分组，其中，同一分组内的子域名具有相同的源IP地址以及二级域名，每一分组对应局域网内的一个主机；对同一分组内的子域名进行拼接，以获得待检测字符串；根据每一分组的待检测字符串构造对应的特征向量；利用异常检测模型分别对每一分组的特征向量进行异常检测，以根据每一分组的检测结果确定局域网内存在数据泄露的主机。
[0004]上述以及在现有技术中的虽然可以对数据泄露进行检测，但无法对数据泄露的方向进行追踪，导致后续处理泄露数据时较为不便，无法精确找到泄露数据的位置，因此，亟需设计一种基于关联分析的数据泄露检测系统及方法解决上述问题。

技术实现思路

[0005]本专利技术的目的是提供一种基于关联分析的数据泄露检测系统及方法，以解决现有技术中的上述不足之处。
[0006]为了实现上述目的，本专利技术提供如下技术方案：一种基于关联分析的数据泄露检测系统，包括检测平台、数据库、内部终端、用户终端及探针单元，所述内部终端通过互联网与数据库、用户终端呈通信连接，若干个所述探针单元分别设置在数据库与内部终端之间数据流向上、内部终端与用户终端之间数据流向上，所述检测平台采用集群服务器，所述集群服务器包括若干个处理服务器，单个所述处理服务器只针对
‑
个探测单元进行处理，所述检测平台包括分析单元、接收单元、存储单元及追踪单元，且分析单元、接收单元、存储单元及追踪单元均安装在集群服务器上，所述接收单元可以通过网络接收探针单元采集的数据，所述分析单元用于对接收单元接收的数据进行识别、分析对比处理，所述存储单元用于存储分析单元分析对比的结果，所述追踪单元可以对数据库输出的数据传输过程进行追踪记录。
[0007]进一步地，所述探针单元经过检测平台检测后的数据会存入数据库内部，且单独
存储一个数据库子集中。
[0008]进一步地，所述探针单元包括数据库探针、内部终端探针，所述数据库探针设置在数据库数据输入输出前端，所述内部终端探针设置在内部终端数据传输接口处。
[0009]进一步地，所述探针单元基于污点分析技术建立，且可以得到数据流向上的数据信息。
[0010]进一步地，所述接收单元采用物联网技术建立，且接收单元具有软件杀毒功能。
[0011]进一步地，所述分析单元利用程序图表示技术和机器学习分类模型进行数据泄露风险检测服务，且分析单元会利用分析算法和对比算法对接收单元接收的数据进行分析对比处理。
[0012]进一步地，所述存储单元有两个存储区域，且其中一个为问题数据存储区，另一个所述存储区域为正常数据存储区。
[0013]进一步地，所述追踪单元基于网络数据追踪技术建立，且具有日志记录功能。
[0014]进一步地，所述内部终端为企业内部运行用计算机设备，所述用户终端为客户登录用计算机设备。
[0015]一种基于关联分析的数据泄露检测方法，包括以下步骤：S1.通过算法建立检测程序，而后将程序安装在设立好的集群服务器上，使得检测平台建立，之后通过互联网与数据库、内部终端、用户终端及探针单元关联在一起；S2.在用户终端、内部终端调用数据库内部的数据时，检测平台利用探针单元采集数据流向中的数据，并通过追踪单元对数据进行追踪；S3.检测平台上的接收单元会接收探针单元采集的数据，而后分析单元会先对数据进行识别，确定数据的类型，而后再通过与存储单元存储的数据进行分析对比，判断数据是否泄露；S4.当数据泄露时，检测平台会通过追踪单元查到到数据泄露时间及过程，而后向内部终端发送泄露数据的相关信息，使得企业人员及时处理泄露的数据，而且此时存储单元会存储泄露数据的数据泄露时间及过程，以此构成一个问题数据存储区，以便于后续数据库传输数据时及时发现数据是否泄露，同时检测平台会通过对泄露数据的分析对比对数据库中与泄露数据关联的数据进行重点防护。
[0016]在上述技术方案中，本专利技术提供的一种基于关联分析的数据泄露检测系统及方法，（1）本专利技术所设计的检测平台，在数据从数据库中传输出去时，检测平台中的追踪单元可以对数据传输过程进行追踪记录，使得数据发送泄露时，企业可以快速找到数据泄露位置，而且还可以对泄露途径进行截断，避免后续数据持续泄露；（2）本专利技术所设计的分析单元，分析单元利用程序图表示技术和机器学习分类模型进行数据泄露风险检测服务，可以减轻进而减轻检测平台检测数据的工作量，而且分析单元会利用分析算法和对比算法对接收单元接收的数据进行分析对比处理，而后检测平台会提高对数据库中存在的与泄露的数据相关的数据防护强度；（3）本专利技术所设计的集群服务器，集群服务器包括若干个处理服务器，而单个处理服务器只针对少数个个探测单元进行处理，降低单个处理服务器的工作量，使得处理服务器在运行时不会产生卡顿，提高检测平台运行流畅性。
附图说明
[0017]图1为本专利技术的系统流程图；图2为本专利技术的方法流程图。
[0018]图中：100、检测平台；200、数据库；300、内部终端；400、用户终端；500、探针单元。
具体实施方式
[0019]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0020]请参阅图1
‑
2所示，一种基于关联分析的数据泄露检测系统，一种基于关联分析的数据泄露检测系统包括检测平台100、数据库200、内部终端300、用户终端400及探针单元500，内部终端300通过互联网与数据库200、用户终端400呈通信连接，若干个探针单元500分别设置在数据库200与内部终端300之间数据流向上、内部终端300与用户终端400之间数据流向上，检测平台100采用集群服务器，集群服务器包括若干个处理服务器，单个处理服务器只针对500
‑
8个探测单元500进行处本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于关联分析的数据泄露检测系统及方法，包括检测平台（100）、数据库（200）、内部终端（300）、用户终端（400）及探针单元（500），其特征在于：所述内部终端（300）通过互联网与数据库（200）、用户终端（400）呈通信连接，若干个所述探针单元（500）分别设置在数据库（200）与内部终端（300）之间数据流向上、内部终端（300）与用户终端（400）之间数据流向上，所述检测平台（100）采用集群服务器，所述集群服务器包括若干个处理服务器，单个所述处理服务器只针对5
‑
8个探测单元（500）进行处理，所述检测平台（100）包括分析单元、接收单元、存储单元及追踪单元，且分析单元、接收单元、存储单元及追踪单元均安装在集群服务器上，所述接收单元可以通过网络接收探针单元（500）采集的数据，所述分析单元用于对接收单元接收的数据进行识别、分析对比处理，所述存储单元用于存储分析单元分析对比的结果，所述追踪单元可以对数据库（200）输出的数据传输过程进行追踪记录。2.根据权利要求1所述的一种基于关联分析的数据泄露检测系统及方法，其特征在于，所述探针单元（500）经过检测平台（100）检测后的数据会存入数据库（200）内部，且单独存储一个数据库（200）子集中。3.根据权利要求1所述的一种基于关联分析的数据泄露检测系统及方法，其特征在于，所述探针单元（500）包括数据库探针、内部终端探针，所述数据库探针设置在数据库（200）数据输入输出前端，所述内部终端探针设置在内部终端（300）数据传输接口处。4.根据权利要求1所述的一种基于关联分析的数据泄露检测系统及方法，其特征在于，所述探针单元（500）基于污点分析技术建立，且可以得到数据流向上的数据信息。5.根据权利要求1所述的一种基于关联分析的数据泄露检测系统及方法，其特征在于，所述接收单元采用物联网技术建立，且接收单元具有软件杀毒功能。6.根据权利要求1所述的一种基于关联分析的数据泄露检...

【专利技术属性】
技术研发人员：李海青，杨云骢，宿磊磊，尚文举，
申请(专利权)人：山东空天网安科技发展有限公司，
类型：发明
国别省市：