[发明专利]用于使用业务样本来检测可疑数据泄漏的方法和系统

说明书

背景技术

可以通过使用数据丢失防护（DLP）解决方案来识别、监视和保护保密的或其他形式的敏感信息。还称为数据泄露防护解决方案的这些解决方案适用于移动中（in motion）（例如，电子邮件、即时消息、文件传输协议消息）、使用中（例如，CD、DVD、USB驱动）或静止（at rest）（例如，数据库、文件、网站）的数据。

在入侵防御系统（IPS）或入侵检测系统（IDS）中实现了很多DLP解决方案，该入侵防御系统（IPS）或入侵检测系统（IDS）通常部署在网络的边界，诸如防火墙或防火墙后。这对于在网络内传送的未加密的敏感信息来说可能产生开放的明显漏洞。

附图说明

通过参考附图，可以更好地理解本公开，并且将使得本公开的很多特征和优点对于本领域技术人员显而易见。

图1是根据本发明的实施例的网络系统的拓扑框图。

图2是根据本发明的实施例的用于使用业务样本对可疑数据丢失进行检测的过程流程图。

图3是根据本发明的实施例的用于处理业务样本的过程流程图。

图4图示了可以实现本发明的实施例的计算机系统。

具体实施方式

分组采样可以用于监视网络业务。通常，基于流的业务监视系统包括采样代理，该采样代理驻留在联网的设备上并且向数据采集器转发关于通过该设备的网络业务的信息。如本文使用的，联网的设备是被配置成生成业务样本的在网络中互连的网络基础设施设备、主机、打印机、服务器和其他计算系统。可以实现能够收集采样业务数据的各种网络管理协议。网络管理协议的示例可以包括但不限于，sFlow（在RFC 3176中进行了描述）、NetFlow和网际协议流信息导出（IPFIX）。如本文使用的，采样业务数据是构成通过联网设备的网络业务的分组的样本，并且该样本包括来自构成网络业务的分组的有效载荷数据。采样业务数据可以包括对交换流的基于分组的统计采样（例如，流采样器），并且还可以包括对网络接口统计的基于时间的采样（例如，计数器轮询）。如本文使用的，流被定义为在一个接口上接收到、进入交换/路由模块并且在另一接口上发送出的所有分组。

可以利用用于采样业务数据的框架来检测网络中的可疑数据丢失。包含未加密敏感数据的分组一进入网络，不论该网络是专用网络还是公共网络，就可能发生数据丢失。如本文使用的，未加密数据是解密的数据（例如，加密然后解密）和没有加密的数据。没有加密的数据包括明文，诸如使用超文本传输协议（HTTP）、简单邮件传输协议（SMTP）、简单网络管理协议（SNMP）版本1和2、Telnet等发送的分组。

本文描述了用于在包括多个联网设备的网络中检测可疑数据泄漏的方法和系统。从多个联网设备中的一个联网设备接收分组。确定分组包括采样业务数据。采样业务数据包括构成通过该联网设备的网络业务的分组的样本，并且该样本包括来自构成网络业务的分组的有效载荷数据。对采样业务数据的有效载荷数据进行分析。确定在采样业务数据的有效载荷数据中是否检测到敏感数据。

图1是根据本发明的实施例的网络系统100的拓扑框图。系统100包括数据采集器12、网络管理服务器5、局域网（LAN）14、网络设备16、网络设备18、主机20、服务器22和主机24。

数据采集器12耦合到LAN 14，并且被配置成从一个或多个采样代理接收采样业务数据报，并且对采样业务数据报进行分析。在另一实施例中，数据采集器12被集成到网络100中的另一设备中，诸如网络管理服务器100中。在数据采集器12和LAN 14之间的连接可以包括多个网络分段、传输技术和组件。

数据采集器12包括数据丢失检测器13，该数据丢失检测器13被配置成对采样业务数据报进行解码和分析，并且在多个数据源的采样业务数据报和/或各种网络设备或主机的采样实例中检测敏感数据。在另一实施例中，数据丢失检测器13是独立设备并且耦合到数据采集器12，或者被集成到网络100中的另一设备中，诸如网络管理服务器5中。