[发明专利]一种敏感数据发现与检测的方法及系统

说明书

本发明涉及一种检测准确度较高、非侵入式、易部署、覆盖面广的敏感数据检测方法和系统，包括全流量采集平台、IP分片处理、TCP会话流重组、应用层协议自识别、HTTP应用协议解析器和MYSQL应用协议解析器、结构化数据对象处理。统一流量采集平台支持：采集物理交换机镜像端口流量、虚拟化环境采集虚拟机交换机端口镜像流量、docker环境sidecar采集容器镜像流量；基于获取的流量进行分析，构建完整会话流并提取应用请求和响应payload；对应用层请求和响应payload进行分析处理；识别结构化数据对象并作结构化处理；利用关键字检测和正则匹配进行敏感数据的敏感内容检测；记录匹配内容及匹配结果和其在原文中的偏移量，有助于人工分析和调优。

技术领域

本发明涉及数据安全技术领域，具体涉及一种敏感数据发现与检测的方法及系统。

背景技术

互联网和大数据的蓬勃发展给数据安全和隐私保护带来前所未有的挑战。数据泄露往往带来严重的后果。进行数据安全防护的首要前提是需要知道数据，尤其是敏感数据在各类业务系统及组件中的具体分布情况，从而进一步建立相对应的安全防护措施。故而需要一种敏感数据的发现与检测装置用于从海量数据中发现需要防护的敏感数据。

目前市面上的敏感数据发现与检测装置侧重于数据防泄露，重点关注数据流出的方向，并且部署实施的成本较高，需要复杂的配置。尚且不能与数据分级分类进行联动，形成有机整体。准确性低，误报率高，数据发现的覆盖面窄。

发明内容

针对现有技术的不足，本发明公开了一种敏感数据发现与检测的方法及系统，用于解决目前市面上的敏感数据发现与检测装置侧重于数据防泄露，重点关注数据流出的方向，并且部署实施的成本较高，需要复杂的配置。尚且不能与数据分级分类进行联动，形成有机整体。准确性低，误报率高，数据发现的覆盖面窄的问题。

本发明通过以下技术方案予以实现：

第一方面，本发明公开一种敏感数据发现与检测的方法，包括以下步骤：

S1采集物理交换机镜像端口流量、虚拟化环境采集虚拟机交换机端口镜像流量、docker环境sidecar采集容器镜像流量；

S2基于获取的流量进行分析，构建完整会话流并提取应用请求和响应payload；

S3对应用层请求和响应payload进行分析处理；

S4识别结构化数据对象并作结构化处理；

S5利用关键字检测和正则匹配进行敏感数据的敏感内容检测；

S6记录匹配内容及匹配结果和其在原文中的偏移量，有助于人工分析和调优。

更进一步的，所述方法中，应用与应用、节点与节点的交互均通过网络进行，并在数据链路层用MTU来限制所能传输的数据包大小，当发送的IP数据包的大小超过MTU时，IP层对数据进行分片处理，故而需要实现IP分片处理模块用于重组分片的IP数据包。

更进一步的，所述方法中，通过序列号、检验和、确认应答信号、重发控制、连接管理、窗口控制、流量控制、拥塞控制机制在镜像流量中实现TCP会话流重组，进而提取TCP协议的数据段用于应用层协议自识别和应用层协议解析。

更进一步的，所述方法中，利用HTTP协议层有限状态机从镜像流量中提取HTTP请求的Method、Header、URL、请求体、响应体信息；通过MYSQL协议层有限状态机从镜像流量中提取MYSQL请求的操作方法、SQL语句、请求体、响应体信息。

更进一步的，所述方法中，通过HTTP Header解析模块，判别数据交换协议类型，进而调用相对应的交换协议解析引擎；

通过JSON交互协议的协议解析引擎，将JSON格式的请求、响应的payload转换成结构化数据对象；