本發(fā)明涉及計(jì)算機(jī)數(shù)據(jù)安全技術(shù)領(lǐng)域，具體涉及一種基于DPI的敏感文件流轉(zhuǎn)監(jiān)控方法。

背景技術(shù)：

隨著信息化建設(shè)的快速發(fā)展，企業(yè)的大量數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫、文件中，這些數(shù)據(jù)庫和文件包含了大量與企業(yè)經(jīng)營、客戶數(shù)據(jù)相關(guān)的敏感數(shù)據(jù)。傳統(tǒng)路由器雖然能夠?qū)?shù)據(jù)報(bào)文進(jìn)行各種控制，但是其缺乏對數(shù)據(jù)報(bào)文的識(shí)別及處理能力。深度報(bào)文檢測設(shè)備(DPI，Deep Packet Inspection)是具備業(yè)務(wù)數(shù)據(jù)流識(shí)別、業(yè)務(wù)數(shù)據(jù)流控制能力的網(wǎng)絡(luò)設(shè)備，其工作在OSI(open system interconnect，開放系統(tǒng)互連)模型傳輸層到應(yīng)用層，具有高數(shù)據(jù)流處理能力，能夠?qū)W(wǎng)絡(luò)所承載的業(yè)務(wù)進(jìn)行識(shí)別和流量管理，可部署在網(wǎng)絡(luò)骨干網(wǎng)、城域網(wǎng)和企業(yè)網(wǎng)內(nèi)部。

目前DPI設(shè)備的應(yīng)用技術(shù)中，缺少對企業(yè)能夠通過對這些敏感信息的監(jiān)控應(yīng)用，使得企業(yè)數(shù)據(jù)存在敏感信息泄漏的風(fēng)險(xiǎn)。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于針對上述現(xiàn)有技術(shù)中存在的問題，提出一種基于DPI的敏感文件流轉(zhuǎn)監(jiān)控方法及系統(tǒng)，通過敏感數(shù)據(jù)字典庫與DPI設(shè)備通信數(shù)據(jù)的比對，以及DPI設(shè)備對敏感數(shù)據(jù)流轉(zhuǎn)監(jiān)控，實(shí)現(xiàn)降低企業(yè)數(shù)據(jù)敏感信息泄露風(fēng)險(xiǎn)的作用。

為達(dá)到上述發(fā)明的目的，本發(fā)明通過以下技術(shù)方案實(shí)現(xiàn)：

一種基于DPI的敏感文件流轉(zhuǎn)監(jiān)控方法，包括如下步驟：

步驟S10，建立敏感數(shù)據(jù)字典庫，所述敏感數(shù)據(jù)是反映企業(yè)經(jīng)營內(nèi)容和客戶信息的數(shù)據(jù)；

步驟S20，通過DPI設(shè)備還原通信流量數(shù)據(jù)中的數(shù)據(jù)庫操作語句，并根據(jù)敏感數(shù)據(jù)字典庫識(shí)別數(shù)據(jù)庫操作語句中的敏感數(shù)據(jù)，并更新敏感數(shù)據(jù)字典庫；

步驟S30，通過DPI設(shè)備的操作日志，所述操作日志包括有數(shù)據(jù)庫導(dǎo)出到文本的導(dǎo)出操作，識(shí)別敏感數(shù)據(jù)的導(dǎo)出操作，并相應(yīng)建立敏感文件特征庫；

步驟S40，根據(jù)敏感文件特征庫，分析敏感文件在文件管控區(qū)域內(nèi)的流轉(zhuǎn)過程，當(dāng)判斷出敏感文件從文件管控區(qū)域內(nèi)流出時(shí)進(jìn)行告警。

進(jìn)一步，步驟S10所述的敏感數(shù)據(jù)字典庫包括有敏感表名稱和敏感字段名稱。

進(jìn)一步，所述敏感數(shù)據(jù)字典庫還根據(jù)敏感表和敏感字段的關(guān)鍵字的詞頻進(jìn)行分級(jí)；所述分級(jí)方法是先對敏感表和敏感字段的關(guān)鍵字進(jìn)行提取，然后采用詞頻TF-IDF算法，對敏感字典進(jìn)行分級(jí)；所述敏感數(shù)據(jù)字典庫包括兩級(jí)字典，第一級(jí)為包括有高頻、英文單詞和帶有明確語義的英文縮寫的高頻字典、第二級(jí)為包括有低頻、拼音縮寫組合和數(shù)字的全部字典。

進(jìn)一步，步驟S20所述的識(shí)別是首先通過與敏感數(shù)據(jù)字典比配，判斷數(shù)據(jù)庫操作語句中，是否存在的復(fù)制行為；然后，判斷數(shù)據(jù)庫操作語句中是否為敏感數(shù)據(jù)，如果是則將該數(shù)據(jù)庫操作語句存入敏感數(shù)據(jù)字典庫。

進(jìn)一步，步驟S20所述的數(shù)據(jù)庫操作語句與敏感數(shù)據(jù)字典進(jìn)行比配，首先是對數(shù)據(jù)庫操作語句進(jìn)行一次匹配，再對匹配成功的敏感表名進(jìn)行二次匹配，所述二次匹配為全匹配或是細(xì)粒度的正則匹配；根據(jù)第一次判斷結(jié)果，符合程度高的數(shù)據(jù)進(jìn)入步驟S20后續(xù)的處理流程，對符合程度低的數(shù)據(jù)進(jìn)行二次判斷。

進(jìn)一步，步驟S20所述的分析操作行為，具體為：檢查是否有敏感表、敏感字段的數(shù)據(jù)被復(fù)制到新的表中，將新的表名與原有字典進(jìn)行比較、分級(jí)并存入敏感數(shù)據(jù)字典。

進(jìn)一步，所述步驟S30還包括有：對敏感操作的對象進(jìn)行敏感數(shù)據(jù)的校驗(yàn)，當(dāng)判定為敏感數(shù)據(jù)時(shí)，將敏感文件的特征信息存入敏感文件特征庫。

進(jìn)一步，所述敏感文件的特征信息包括文件名、文件大小、文件MD5值和網(wǎng)絡(luò)地址。

進(jìn)一步，步驟S40所述分析敏感文件在文件管控區(qū)域內(nèi)的流轉(zhuǎn)過程，具體為：通過DPI設(shè)備對流轉(zhuǎn)過程的流量進(jìn)行還原，從而獲取流量中的文件特征；流轉(zhuǎn)過程包括FTP協(xié)議和HTTP協(xié)議的文件傳送。

進(jìn)一步，所述步驟S40對敏感文件流出的判斷，是通過對符合敏感文件識(shí)別標(biāo)示的信息進(jìn)行網(wǎng)絡(luò)地址的比較進(jìn)行的，具體為：先比較目的地址是否在合規(guī)區(qū)域內(nèi)，如果不在合規(guī)區(qū)域內(nèi)，再對源地址進(jìn)行比較，如果源地址在合規(guī)區(qū)域內(nèi)，則判斷為合規(guī)區(qū)域流向非合規(guī)區(qū)域的敏感文件，并產(chǎn)生高級(jí)別告警；如果源地址在合規(guī)區(qū)域外，則產(chǎn)生低級(jí)別告警，并從目的地址主機(jī)對文件進(jìn)行二次核查；如果目的地址和源地址都在合規(guī)區(qū)域內(nèi)，則不產(chǎn)生告警。

采用本發(fā)明實(shí)施例的基于DPI的敏感文件流轉(zhuǎn)監(jiān)控方法及系統(tǒng)，將DPI設(shè)備部署到文件管控區(qū)域，通過數(shù)據(jù)庫流量的協(xié)議還原技術(shù)、FTP/HTTP應(yīng)用流量的協(xié)議還原技術(shù)實(shí)現(xiàn)數(shù)據(jù)庫、文件的流轉(zhuǎn)監(jiān)控，實(shí)現(xiàn)及時(shí)發(fā)現(xiàn)泄漏的敏感信息，提高企業(yè)的數(shù)據(jù)安全防范能力。

附圖說明

圖1為本發(fā)明的一種基于DPI的敏感文件流轉(zhuǎn)監(jiān)控方法的步驟框圖。

圖2為本發(fā)明實(shí)施例的敏感數(shù)據(jù)識(shí)別分析流程圖。

圖3為本發(fā)明實(shí)施例的敏感文件流轉(zhuǎn)監(jiān)控流程圖。

具體實(shí)施方式

下面結(jié)合附圖和實(shí)施例對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部實(shí)施例。

請參閱圖1至圖3，圖1為本發(fā)明的基于DPI的敏感文件流轉(zhuǎn)監(jiān)控方法的步驟框圖，圖2和圖3分別為本發(fā)明的敏感數(shù)據(jù)識(shí)別分析流程圖和敏感文件流轉(zhuǎn)監(jiān)控流程圖。

本發(fā)明實(shí)施例的一種基于DPI的敏感文件流轉(zhuǎn)監(jiān)控方法，包括如下步驟：

步驟S10：建立敏感數(shù)據(jù)字典庫。具體地，包括以下兩個(gè)步驟：(1)通過人工梳理確認(rèn)敏感表、字段的基礎(chǔ)庫，然后根據(jù)英文單詞識(shí)別算法和詞頻TF-IDF算法，所述詞頻(termfrequency-TF)指的是某一個(gè)給定的詞語在該文件中出現(xiàn)的頻率，對敏感數(shù)據(jù)進(jìn)行判斷順序的分級(jí)，第一級(jí)為高頻字典，包括有高頻、英文單詞和帶有明確語義的英文縮寫；第二級(jí)全部字典為低頻、拼音縮寫組合和數(shù)字；(2)從步驟S20中獲取的新識(shí)別敏感表名和敏感字段名，存入敏感數(shù)據(jù)字典中，并在固定時(shí)間周期內(nèi)，重新對敏感數(shù)據(jù)的判斷順序進(jìn)行分級(jí)。

步驟S20：敏感數(shù)據(jù)識(shí)別。參看圖2，通過DPI設(shè)備還原通信流量數(shù)據(jù)中的數(shù)據(jù)庫操作語句后，首先識(shí)別數(shù)據(jù)庫操作語句中，通過分析數(shù)據(jù)庫操作語句的操作行為及識(shí)別新增的敏感數(shù)據(jù)表名和字段名，識(shí)別出存在的復(fù)制行為，比如根據(jù)原始表創(chuàng)建新表，更改表結(jié)構(gòu)并插入原始表數(shù)據(jù)等；然后，判斷數(shù)據(jù)庫操作語句中是否為敏感數(shù)據(jù)，如果是則將該數(shù)據(jù)庫操作語句存入敏感數(shù)據(jù)字典庫。對于數(shù)據(jù)庫操作語句的比配，首先是對數(shù)據(jù)庫操作語句進(jìn)行一次匹配，再對匹配成功的敏感表名進(jìn)行二次匹配，所述二次匹配為全匹配或是細(xì)粒度的正則匹配；根據(jù)第一次判斷結(jié)果，符合程度高的數(shù)據(jù)進(jìn)入步驟S20后續(xù)的處理流程，對符合程度低的數(shù)據(jù)進(jìn)行二次判斷。

步驟S30：敏感文件識(shí)別。參看圖3，首先，通過DPI設(shè)備的操作日志，識(shí)別數(shù)據(jù)庫操作語句的導(dǎo)出操作，操作日志包括：Linux命令行工具，遠(yuǎn)程SSH客戶端工具，PLSQL數(shù)據(jù)庫連接工具，Windows系統(tǒng)的操作日志；然后，識(shí)別導(dǎo)出數(shù)據(jù)是否來自敏感表和敏感字段；最后將文件的特征信息如文件名、文件大小、文件MD5值存入敏感文件特征庫。

步驟S40：敏感數(shù)據(jù)流轉(zhuǎn)監(jiān)控。參看圖3，具體地，包括以下步驟：步驟S41，對FTP協(xié)議進(jìn)行協(xié)議還原，將流量中的文件信息與敏感文件特征庫中存儲(chǔ)的敏感文件信息進(jìn)行比較；步驟S42，對FTP的源地址和目的地址進(jìn)行校驗(yàn)，對目的地址屬于非合規(guī)區(qū)域的行為產(chǎn)生高級(jí)別告警，對源地址和目的地址都屬于非合規(guī)區(qū)域的行為產(chǎn)生低級(jí)別告警?；蛘?，包括步驟S43，對HTTP協(xié)議還原，對還原后的數(shù)據(jù)進(jìn)行初步篩選，對HTTP的HEADER請求中的非文件上傳頁面進(jìn)行過濾，然后再將上傳頁面提交過程中的文件信息與敏感文件特征庫進(jìn)行比較；步驟S44對HTTP的發(fā)送對象，如用戶名、郵箱地址等信息進(jìn)行校驗(yàn)。對非合規(guī)區(qū)域的用戶和郵箱地址產(chǎn)生高級(jí)別告警。

至此，基于DPI的敏感文件流轉(zhuǎn)監(jiān)控流程結(jié)束。

上述實(shí)施例僅用以說明本發(fā)明而并非限制本發(fā)明所描述的技術(shù)方案；因此，盡管本說明書參照上述的各個(gè)實(shí)施例對本發(fā)明已進(jìn)行了詳細(xì)的說明，但是，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解，仍然可以對本發(fā)明進(jìn)行修改或者等同替換；而一切不脫離本發(fā)明的精神和范圍的技術(shù)方案及其改進(jìn)，其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。