[发明专利]数据泄露检测方法、系统、装置及存储介质

说明书

本发明公开了一种数据泄露检测方法、系统、装置及存储介质，通过检测装置识别当前网络中存在的数据服务器，对所述数据服务器中预设关键流量传输节点的访问流量进行检测，获得各访问流量对应的会话；追踪并记录各会话的流量行为，生成历史流量日志；将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征；获取所述目标特征的类别，根据所述目标特征的类别确定对应的数据泄露判断策略；根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁，可以对异常行为特征进行针对性的处理，提高了对数据泄露判断的精准度，并且有效防止了数据加密攻击行为，不需要变更已有业务，部署及维护更加方便。

技术领域

本发明涉及数据安全领域，尤其涉及一种数据泄露检测方法、系统、装置及存储介质。

背景技术

随着计算机技术的快速发展，企业向电子化转型，极大的方便了人们的生活，同时也带来了许多的安全问题。当成功入侵计算机后，黑客可以以远程显示协议(RemoteDisplay Protocol，RDP)、安全外壳协议(Secure Shell，SSH)、文件传输协议(FileTransfer Protocol，FTP)、服务器信息块(Server Message Block，SMB)等协议将转移数据文件，进行数据贩卖、欺诈、商业竞争等恶意活动，使企业面临巨大的经济损失。

当前数据文件泄漏检测方案主要有以下两种：

1)基于内容特征识别数据文件的数据泄漏检测方案，用户通过预定义或自定义的数据关键字特征，在数据文件传输过程中对数据内容进行匹配，若匹配上则进行告警或拦截。这种方案的缺点在于无法应对加密型文件，当攻击者使用RDP、SSH等加密协议或直接对文件进行加密后传输，系统将无法检测，同时存在大量的漏判和误判行为，系统准确度的核心在于关键字特征集是否完备以及精准。

2)基于用户操作行为分析的数据泄漏检测方案，该方案需要在终端侧安装特定的检测分析装置，对用户的操作行为进行审计分析。首先，对于终端侧安装软件会影响业务的稳定性，修改系统的配置、对进程行为进行劫持、软件自身的故障等行为都会加大系统的不稳定性，同时增加系统开销。其次，当终端数量多时，检测系统的可维护性就很差，部署也比较困难。

发明内容

本发明的主要目的在于提供一种数据泄露检测方法、系统、装置及存储介质，旨在解决现有技术中数据泄露检测系统存在大量的漏判和误判行为，并且稳定性差、开销大及部署困难的技术问题。

为实现上述目的，本发明提供一种数据泄露检测方法，所述数据泄露检测方法包括以下步骤：

检测装置识别当前网络中存在的数据服务器，对所述数据服务器中预设关键流量传输节点的访问流量进行检测，获得各访问流量对应的会话；

追踪并记录各会话的流量行为，生成历史流量日志；

将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征；

获取所述目标特征的类别，根据所述目标特征的类别确定对应的数据泄露判断策略；

根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁。

优选地，所述追踪并记录各会话的流量行为，生成历史流量日志，具体包括：

获取各会话对应的IP信息、端口信息及协议信息，根据所述IP信息、所述端口信息及所述协议信息追踪各会话的流量行为；

记录各会话的流量行为，并根据各会话的流量行为生成历史流量日志。

优选地，所述获取所述目标特征的类别，根据所述目标特征的类别确定对应的数据泄露判断策略，具体包括：

获取所述目标特征的类别；