本發(fā)明公開了一種協(xié)同數(shù)據(jù)防泄漏方法及系統(tǒng)，該方法包括以下步驟：采集主機產(chǎn)生的網(wǎng)絡流量數(shù)據(jù)，結(jié)合數(shù)據(jù)防泄漏策略，建立并訓練敏感數(shù)據(jù)模型；終端捕獲主機產(chǎn)生的網(wǎng)絡流量數(shù)據(jù)并將其重定向發(fā)送至最優(yōu)接入節(jié)點；接入節(jié)點根據(jù)該網(wǎng)絡流量數(shù)據(jù)決定是否與目標地址建立加密通信鏈路；接入節(jié)點根據(jù)當前檢測節(jié)點運行狀態(tài)與其他參考數(shù)據(jù)選擇合適的檢測節(jié)點并下發(fā)檢測任務；檢測節(jié)點結(jié)合檢測策略與所述敏感數(shù)據(jù)模型實時識別敏感數(shù)據(jù)并反饋至接入節(jié)點；接入節(jié)點結(jié)合反饋結(jié)果與管控策略決定是否對該網(wǎng)絡流量數(shù)據(jù)進行管控。通過本發(fā)明的技術方案，能夠識別并及時管控敏感外傳數(shù)據(jù)，提高數(shù)據(jù)防泄漏系統(tǒng)對數(shù)據(jù)的安全防護能力。

技術領域

本發(fā)明涉及數(shù)據(jù)安全領域，具體涉及泄漏系統(tǒng)網(wǎng)關與終端協(xié)同完成主機加密網(wǎng)絡流量分析與檢測的方法及系統(tǒng)。

背景技術

伴隨計算機科學的高速發(fā)展，互聯(lián)網(wǎng)技術的應用范圍越來越廣泛，信息系統(tǒng)互聯(lián)帶給各行各業(yè)的效益也日漸明顯。但隨之而來的數(shù)據(jù)泄露問題對信息與互聯(lián)的廣泛開展形成了障礙。數(shù)據(jù)防泄漏系統(tǒng)作為數(shù)據(jù)全生命周期的安全防護措施也面臨眾多挑戰(zhàn)。其中，信息系統(tǒng)中主機側(cè)利用加密網(wǎng)絡流量通信，躲避數(shù)據(jù)防泄漏系統(tǒng)的檢測與發(fā)現(xiàn)，已成為主動數(shù)據(jù)泄露的一種有效方式。對此，北京明朝萬達科技股份有限公司提出一種基于數(shù)據(jù)防泄漏系統(tǒng)網(wǎng)關與終端協(xié)同，對主機側(cè)產(chǎn)生的加密網(wǎng)絡流量進行主動分析與檢測的方法。

目前，數(shù)據(jù)防泄漏系統(tǒng)普遍具備網(wǎng)關與終端兩種部署模式，也有部分系統(tǒng)已應用混合部署模式。終端在主機側(cè)形成面向主機、較為全面的數(shù)據(jù)防泄漏功能，包括移動設備管控、網(wǎng)絡流量管控、進程管控等；網(wǎng)關在網(wǎng)絡流量出口處對流入流出數(shù)據(jù)進行管控，避免數(shù)據(jù)通過網(wǎng)絡外泄。

分析傳統(tǒng)數(shù)據(jù)防泄漏系統(tǒng)，可以發(fā)現(xiàn)：

網(wǎng)關側(cè)一般只能攔截、分析并檢測明文傳輸?shù)木W(wǎng)絡流量，主機側(cè)產(chǎn)生的加密流量受加密通信證書或秘鑰獲取等技術限制，網(wǎng)關側(cè)無法有效獲得應用層信息(包括協(xié)議與傳輸內(nèi)容等)，導致出現(xiàn)數(shù)據(jù)通過加密網(wǎng)絡流量泄露的場景。

另一方面，數(shù)據(jù)防泄漏終端可通過成熟技術攔截并獲取主機側(cè)傳輸網(wǎng)絡流量(明文或加密)并進行內(nèi)容分析。但受限于深入內(nèi)容分析與檢測對主機正常運行可能造成的性能影響，當前防泄漏終端僅進行非常初步的分析操作。

同時，混合部署模式(包括網(wǎng)關與終端)僅是將網(wǎng)關與終端簡單組合在一起進行部署，網(wǎng)關與終端在設計時未視為整體，未進行有效聯(lián)動，從而協(xié)同達到數(shù)據(jù)防泄漏的目的。現(xiàn)有數(shù)據(jù)防泄漏系統(tǒng)的運行模式如圖1所示。

綜上所述，現(xiàn)有數(shù)據(jù)防泄漏系統(tǒng)在加密網(wǎng)絡流量分析與檢測方面存在不足，即網(wǎng)關參與度低(無法有效分析加密網(wǎng)絡流量)、終端分析力低(無法深入分析加密流量內(nèi)容)與協(xié)同性差(網(wǎng)關與終端未能有效聯(lián)動完成加密流量的數(shù)據(jù)防泄漏)。其中，終端分析力可通過應用高效的數(shù)據(jù)分析算法實現(xiàn)，但在高網(wǎng)絡流量的場景下可能占用較多主機系統(tǒng)資源，對正常用戶操作造成干擾，影響工作效率，制約生產(chǎn)力。同時，該方式擴展性較差，對資源的使用效率很低。

因此，迫切需要提高數(shù)據(jù)防泄漏系統(tǒng)網(wǎng)關與終端的協(xié)同能力，通過終端在主機側(cè)攔截、捕獲并轉(zhuǎn)發(fā)加密網(wǎng)絡流量，網(wǎng)關側(cè)分析、檢測管控與轉(zhuǎn)發(fā)的形式，在不大幅降低主機側(cè)正常使用性能的前提下，提高對網(wǎng)絡流量尤其是加密網(wǎng)絡流量的內(nèi)容分析與檢測能力，從而提高數(shù)據(jù)防泄漏系統(tǒng)的網(wǎng)絡防護能力。

本發(fā)明使用加密網(wǎng)絡流量捕獲、高并發(fā)低延時流量重定向與基于機器學習的分布式流量內(nèi)容分析技術，在用戶低感知的情況下對主機側(cè)傳輸?shù)木W(wǎng)絡流量數(shù)據(jù)進行協(xié)同分析與檢測，識別并及時管控敏感外傳數(shù)據(jù)，提高數(shù)據(jù)防泄漏系統(tǒng)對數(shù)據(jù)的安全防護能力。

發(fā)明內(nèi)容

為解決上述技術問題，本發(fā)明提供了一種協(xié)同數(shù)據(jù)防泄漏方法，該方法包括以下步驟：

1)采集主機產(chǎn)生的網(wǎng)絡流量數(shù)據(jù)，結(jié)合數(shù)據(jù)防泄漏策略，建立并訓練敏感數(shù)據(jù)模型；

2)終端捕獲主機產(chǎn)生的網(wǎng)絡流量數(shù)據(jù)并將其重定向發(fā)送至最優(yōu)接入節(jié)點；