多媒体数据泄露溯源检测方法、装置及设备制造方法及图纸

本申请提供一种多媒体数据泄露溯源检测方法、装置及设备，该方法可以包括：从所有多媒体数据流中确定出泄露数据流和所述泄露数据流对应的关联数据流；确定所述泄露数据流对应的目标泄露路径，基于背景流量图和目标泄露路径生成数据流转图谱；其中，背景流量图包括内网各主机之间的拓扑关系，目标泄露路径包括关联数据流和泄露数据流经过的多个候选主机；其中，在背景流量图标记多个候选主机，并在背景流量图标记每个候选主机对应的节点属性，得到数据流转图谱；将数据流转图谱输入给已训练的图异常检测模型，得到每个候选主机对应的异常分数，基于每个候选主机对应的异常分数确定异常主机。通过本申请方案，能够实现更精准的异常主机溯源。常主机溯源。常主机溯源。

【技术实现步骤摘要】
多媒体数据泄露溯源检测方法、装置及设备


[0001]本申请涉及网络安全
，尤其是涉及一种多媒体数据泄露溯源检测方法、装置及设备。

技术介绍

[0002]物联网设备包括IPC（Internet Protocol Camera，网络摄像机）、DVR（Digital Video Recorder，硬盘录像机）和NVR（Network Video Recorder，网络录像机）等，随着物联网技术的快速发展，网络中的物联网设备越来越多，物联网设备的数据泄露也越来越多，物联网设备的多媒体数据（如语音、图片、视频等）的信息量非常丰富，一旦多媒体数据发生泄露，会造成大量隐私数据的泄露。
[0003]在多媒体数据发生泄露时，需要及时检测出哪个物联网设备发生多媒体数据泄露，继而对这个物联网设备进行安全管理（如升级安全类软件、设备关机等），避免多媒体数据再次泄露。但是，应该如何检测哪个物联网设备发生多媒体数据泄露，在相关技术中并没有有效的检测方式，无法准确检测哪个物联网设备发生多媒体数据泄露，继而导致多媒体数据的泄露无法避免。

技术实现思路

[0004]有鉴于此，本申请提供一种多媒体数据泄露溯源检测方法、装置及设备，能够准确检测哪个物联网设备发生多媒体数据泄露，保证数据的安全性。
[0005]一方面，本申请提供一种多媒体数据泄露溯源检测方法，所述方法包括：从所有多媒体数据流中确定出泄露数据流和泄露数据流对应的关联数据流，泄露数据流是从内网主机到外网的数据流，关联数据流是从内网主机到内网主机的数据流，泄露数据流的流量特征与关联数据流的流量特征满足相似度条件；确定所述泄露数据流对应的目标泄露路径，并基于背景流量图和所述目标泄露路径生成数据流转图谱；其中，所述背景流量图包括内网各主机之间的拓扑关系，所述目标泄露路径包括所述关联数据流和所述泄露数据流经过的多个候选主机；其中，在所述背景流量图标记所述多个候选主机，并在所述背景流量图标记每个候选主机对应的节点属性，得到所述数据流转图谱；将所述数据流转图谱输入给已训练的图异常检测模型，得到每个候选主机对应的异常分数，基于每个候选主机对应的异常分数确定异常主机。
[0006]另一方面，本申请提供一种多媒体数据泄露溯源检测装置，所述装置包括：确定模块，用于从所有多媒体数据流中确定出泄露数据流和所述泄露数据流对应的关联数据流；其中，所述泄露数据流是从内网主机到外网的数据流，所述关联数据流是从内网主机到内网主机的数据流，且所述泄露数据流的流量特征与所述关联数据流的流量特征满足相似度条件；生成模块，用于确定所述泄露数据流对应的目标泄露路径，基于背景流量图和所
述目标泄露路径生成数据流转图谱；其中，所述背景流量图包括内网各主机之间的拓扑关系，所述目标泄露路径包括所述关联数据流和所述泄露数据流经过的多个候选主机；其中，在所述背景流量图标记所述多个候选主机，并在所述背景流量图标记每个候选主机对应的节点属性，得到所述数据流转图谱；处理模块，用于将数据流转图谱输入给已训练的图异常检测模型，得到每个候选主机对应的异常分数，基于每个候选主机对应的异常分数确定异常主机。
[0007]另一方面，本申请提供一种电子设备，包括：处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令；其中，处理器用于执行机器可执行指令，以实现上述的多媒体数据泄露溯源检测方法。
[0008]另一方面，本申请提供一种机器可读存储介质，所述机器可读存储介质存储有能够被处理器执行的机器可执行指令；其中，所述处理器用于执行所述机器可执行指令，以实现上述的多媒体数据泄露溯源检测方法。
[0009]另一方面，本申请提供一种计算机程序，所述计算机程序存储于机器可读存储介质，当处理器执行所述机器可读存储介质中的所述计算机程序时，促使所述处理器实现上述的多媒体数据泄露溯源检测方法。
[0010]由以上技术方案可见，本申请实施例中，基于泄露数据流和泄露数据流对应的关联数据流确定目标泄露路径，并基于背景流量图和目标泄露路径生成数据流转图谱，继而基于数据流转图谱确定异常主机（如异常物联网设备），即通过数据流转图谱进行异常主机的检测，从而实现更精准的异常主机溯源。通过将与数据泄露事件关联的数据传输事件聚合，绘制数据流转图谱，并检测目标泄露路径上的异常主机，从而能够定位整个目标泄露路径上的异常主机。
附图说明
[0011]为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本申请实施例的这些附图获得其他的附图。
[0012]图1是本申请一种实施方式中的多媒体数据泄露溯源检测方法的流程图；图2是本申请一种实施方式中的应用场景示意图；图3是本申请另一种实施方式中的应用场景示意图；图4是本申请一种实施方式中的多媒体数据泄露溯源检测方法的流程图；图5A
‑
图5C是本申请一种实施方式中的数据流转图谱的示意图；图6是本申请一种实施方式中的多媒体数据泄露溯源检测装置的结构图；图7是本申请一种实施方式中的电子设备的硬件结构图。
具体实施方式
[0013]在本申请实施例使用的术语仅仅是出于描述特定实施例的目的，而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一
个或多个相关联的列出项目的任何或所有可能组合。
[0014]应当理解，尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0015]本申请实施例中提出一种多媒体数据泄露溯源检测方法，可以应用于任意类型的设备，参见图1所示，为该方法的流程示意图，该方法可以包括：步骤101、从所有多媒体数据流中确定出泄露数据流和该泄露数据流对应的关联数据流。其中，该泄露数据流可以是从内网主机到外网（即外网设备）的数据流，该关联数据流可以是从一个内网主机到另一个内网主机的数据流，该泄露数据流的流量特征与该关联数据流的流量特征满足相似度条件。
[0016]步骤102、确定该泄露数据流对应的目标泄露路径，并基于背景流量图和该目标泄露路径生成数据流转图谱。其中，该背景流量图可以包括内网各主机之间的拓扑关系，该目标泄露路径可以包括关联数据流和泄露数据流经过的多个候选主机。其中，可以在该背景流量图标记多个候选主机，并在该背景流量图标记每个候选主机对应的节点属性，得到该数据流转图谱。
[0本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种多媒体数据泄露溯源检测方法，其特征在于，所述方法包括：从所有多媒体数据流中确定出泄露数据流和泄露数据流对应的关联数据流，泄露数据流是从内网主机到外网的数据流，关联数据流是从内网主机到内网主机的数据流，泄露数据流的流量特征与关联数据流的流量特征满足相似度条件；确定所述泄露数据流对应的目标泄露路径，并基于背景流量图和所述目标泄露路径生成数据流转图谱；其中，所述背景流量图包括内网各主机之间的拓扑关系，所述目标泄露路径包括所述关联数据流和所述泄露数据流经过的多个候选主机；其中，在所述背景流量图标记所述多个候选主机，并在所述背景流量图标记每个候选主机对应的节点属性，得到所述数据流转图谱；将所述数据流转图谱输入给已训练的图异常检测模型，得到每个候选主机对应的异常分数，基于每个候选主机对应的异常分数确定异常主机。2.根据权利要求1所述的方法，其特征在于，所述从所有多媒体数据流中确定出泄露数据流和泄露数据流对应的关联数据流之前，所述方法还包括：针对已获取的每个第一网络流量，确定所述第一网络流量对应的第二网络流量，所述第二网络流量的目的地址与所述第一网络流量的源地址相同，且所述第二网络流量的源地址与所述第一网络流量的目的地址相同；若所述第一网络流量对应的字节数与所述第二网络流量对应的字节数的差值的绝对值大于第一阈值，则将所述第一网络流量确定为多媒体数据流。3.根据权利要求1所述的方法，其特征在于，所述从所有多媒体数据流中确定出泄露数据流，包括：针对每个多媒体数据流，若该多媒体数据流的源地址位于已配置的地址段，所述地址段包括内网所有主机的地址，且该多媒体数据流的目的地址不位于所述地址段，则确定该多媒体数据流是泄露数据流；若该多媒体数据流的源地址位于所述地址段，且该多媒体数据流的目的地址位于所述地址段，则确定该多媒体数据流是候选数据流。4.根据权利要求3所述的方法，其特征在于，所述从所有多媒体数据流中确定出泄露数据流对应的关联数据流，包括：针对每个泄露数据流，基于该泄露数据流的流量特征和各候选数据流的流量特征，从所有候选数据流中选取该泄露数据流对应的关联数据流；其中，流量特征包括获取时间和字节数；该关联数据流的获取时间与该泄露数据流的获取时间的差值的绝对值小于第二阈值，且该关联数据流的字节数与该泄露数据流的字节数的差值的绝对值小于第三阈值。5.根据权利要求4所述的方法，其特征在于，所述基于该泄露数据流的流量特征和各候选数据流的流量特征，从所有候选数据流中选取该泄露数据流对应的关联数据流，包括：计算该泄露数据流的流量特征与各候选数据流的流量特征之间的相似度；基于所述相似度，采用聚类算法确定以该泄露数据流为聚类中心的聚类集合，所述聚类集合包括该泄露数据流对应的关联数据流，且该泄露数据流的流量特征与关联数据流的流量特征之间的相似度满足相似度条件；
其中，若所述相似度为欧式距离，则满足相似度条件是指：该泄露数据流的流量特征与关联数据流的流量特征之间的欧式距离小于预设距离阈值。6.根据权利要求1所述的方法，其特征在于，所述确定所述泄露数据流对应的目标泄露路径，包括：从所述泄露数据流对应的所有关联数据流中选取目标关联数据流；其中，所述目标关联数据流的获取时间早于所述泄露数据流的获取时间；基于所述泄露数据流的源地址、目标关联数据流的源地址和目的地址确定数据流排列顺序；前一个目标关联数据流的目的地址是后一个目标关联数据流的源地址，最后一个目标关联数据流的目的地址是所述泄露数据流的源地址；基于所述数据流排列顺序确定所述泄露数据流对应的目标泄露路径。7.根据权利要求1所述的方法，其特征在于，所述将所述数据流转图谱输入给已训练的图异常检测模型，得到每个候选主机对应的异常分数，包括：若所述异常检测模型包括编码器和解码器，则将所述数据流转图谱输入给所述编码器，通过所述编码器将所述数据流转图谱转换为隐层特征；将所述隐层特征输入给所述解码器，通过所述解码器基于所述隐层特征对所述数据流转图谱的邻接矩阵和特征矩阵进行重建，得到邻接重建矩阵和特征重建矩阵；其中，所述邻接矩阵表示所述数据流转图谱的拓扑结构，所述特征矩阵表示所述数据流转图谱内的每个候选主机的节点属性；基于所述邻接重建矩阵与所述邻接矩阵的差值、所述特征重建矩阵与所述特征矩阵的差值，确定每个候选主机对应的异常分数。8.一种多媒体数据泄露溯源检测装置，其特征在于，所述装置包...

【专利技术属性】
技术研发人员：王滨，王晶晶，管晓宏，何承润，王星，王伟，李超豪，张峰，李志强，夏松，
申请(专利权)人：杭州海康威视数字技术股份有限公司，
类型：发明
国别省市：