本發(fā)明公開(kāi)了基于用戶(hù)行為和文檔內(nèi)容的數(shù)據(jù)防泄漏分析方法及系統(tǒng)，該方法包括以下步驟：分別獲取用戶(hù)預(yù)定長(zhǎng)時(shí)間段和預(yù)定短時(shí)間段的外發(fā)郵件行為相關(guān)數(shù)據(jù)，經(jīng)過(guò)數(shù)據(jù)平均、歸一化處理，分別得到該用戶(hù)的長(zhǎng)期行為數(shù)據(jù)向量和短期行為數(shù)據(jù)向量；根據(jù)所述用戶(hù)長(zhǎng)期行為數(shù)據(jù)向量和短期行為數(shù)據(jù)向量間的向量間距離與預(yù)定向量距離閾值的比較結(jié)果，確定用戶(hù)外發(fā)郵件行為是否存在異常；對(duì)于存在異常行為的用戶(hù)外發(fā)郵件，提取郵件內(nèi)容文檔，并判定文檔的主題類(lèi)別；根據(jù)文檔主題類(lèi)別選定與該類(lèi)別關(guān)聯(lián)的文本精確匹配策略規(guī)則，確定文檔中是否存在敏感數(shù)據(jù)。通過(guò)本發(fā)明的技術(shù)方案，可以明顯提高敏感數(shù)據(jù)外泄事件判斷的準(zhǔn)確程度，有效降低僅通過(guò)內(nèi)容匹配進(jìn)行判斷的誤報(bào)率。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域，具體涉及基于用戶(hù)行為和文檔內(nèi)容的數(shù)據(jù)防泄漏分析方法及系統(tǒng)。

背景技術(shù)

企業(yè)數(shù)據(jù)防泄漏系統(tǒng)的主要功能是防止企業(yè)員工外發(fā)敏感數(shù)據(jù)。因此，準(zhǔn)確判斷員工外發(fā)的數(shù)據(jù)是否敏感，是數(shù)據(jù)防泄漏系統(tǒng)的關(guān)鍵。傳統(tǒng)的手段是通過(guò)精確匹配的手段，例如關(guān)鍵詞或正則表達(dá)式的命中次數(shù)來(lái)實(shí)現(xiàn)，往往容易產(chǎn)生很多誤報(bào)。因此數(shù)據(jù)防泄漏系統(tǒng)迫切需要考慮更多的因素，來(lái)判定企業(yè)員工的外發(fā)數(shù)據(jù)行為是否安全事件。

對(duì)比文獻(xiàn)1

公開(kāi)號(hào)：105357217A，發(fā)明名稱(chēng)：基于用戶(hù)行為分析的數(shù)據(jù)盜取風(fēng)險(xiǎn)評(píng)估方法和系統(tǒng)

該現(xiàn)有技術(shù)通過(guò)對(duì)內(nèi)網(wǎng)終端用戶(hù)的網(wǎng)絡(luò)行為進(jìn)行分析，發(fā)現(xiàn)存在風(fēng)險(xiǎn)操作的潛在終端，保護(hù)數(shù)據(jù)安全，提高內(nèi)部網(wǎng)絡(luò)的安全性。

該現(xiàn)有技術(shù)通過(guò)獲取終端用戶(hù)的操作行為對(duì)；根據(jù)所述操作行為對(duì)，獲取危險(xiǎn)操作行為對(duì)和危險(xiǎn)操作行為對(duì)數(shù)，計(jì)算第一危險(xiǎn)性系數(shù)；根據(jù)所述危險(xiǎn)操作行為對(duì)，獲取訪(fǎng)問(wèn)網(wǎng)站行為業(yè)務(wù)類(lèi)型與注冊(cè)業(yè)務(wù)類(lèi)型的匹配數(shù)和不匹配數(shù)，計(jì)算第二危險(xiǎn)性系數(shù)；根據(jù)拷貝行為，獲取危險(xiǎn)拷貝行為和危險(xiǎn)拷貝文件數(shù)，計(jì)算第三危險(xiǎn)性系數(shù)和第四危險(xiǎn)性系數(shù)；根據(jù)所述第一危險(xiǎn)性系數(shù)、第二危險(xiǎn)性系數(shù)、第三危險(xiǎn)性系數(shù)和第四危險(xiǎn)性系數(shù)，采用預(yù)設(shè)的風(fēng)險(xiǎn)評(píng)估模型計(jì)算終端危險(xiǎn)性系數(shù)。

上述現(xiàn)有技術(shù)根據(jù)終端的操作對(duì)計(jì)算危險(xiǎn)系數(shù)，包括：攔截網(wǎng)絡(luò)數(shù)據(jù)流；對(duì)所述網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行協(xié)議解析得到字符流；獲取預(yù)設(shè)的與程序語(yǔ)言對(duì)應(yīng)的檢測(cè)字符串和/或語(yǔ)法分析庫(kù)函數(shù)；根據(jù)所述檢測(cè)字符串和/或語(yǔ)法分析庫(kù)函數(shù)判斷所述解析得到的字符流是否包含源碼，若是，則阻斷所述網(wǎng)絡(luò)數(shù)據(jù)流。

上述專(zhuān)利文獻(xiàn)存在以下缺點(diǎn)：

(1)通過(guò)用戶(hù)在終端上的操作對(duì)來(lái)進(jìn)行風(fēng)險(xiǎn)評(píng)估，依據(jù)風(fēng)險(xiǎn)評(píng)估后的值，進(jìn)行危險(xiǎn)性的判定，不考慮數(shù)據(jù)本身的內(nèi)容，容易產(chǎn)生很大的誤報(bào)率。

(2)真實(shí)的終端操作行為的異常，未必等價(jià)于數(shù)據(jù)盜取的安全事件。操作行為的異常，涉及到操作者的情緒、工作的臨時(shí)變動(dòng)等多重因素，因此不結(jié)合其他因素融合考慮，實(shí)用性必定不好。

發(fā)明內(nèi)容

為解決上述技術(shù)問(wèn)題，本發(fā)明提供了基于用戶(hù)行為和文檔內(nèi)容的數(shù)據(jù)防泄漏分析方法，其特征在于，該方法包括以下步驟：

1)分別獲取用戶(hù)預(yù)定長(zhǎng)時(shí)間段和預(yù)定短時(shí)間段的外發(fā)郵件行為相關(guān)數(shù)據(jù)，經(jīng)過(guò)數(shù)據(jù)平均、歸一化處理，分別得到該用戶(hù)的長(zhǎng)期行為數(shù)據(jù)向量和短期行為數(shù)據(jù)向量；

2)計(jì)算所述用戶(hù)長(zhǎng)期行為數(shù)據(jù)向量和短期行為數(shù)據(jù)向量間的向量間距離，根據(jù)計(jì)算得到的該向量間距離與預(yù)定向量距離閾值的比較結(jié)果，確定用戶(hù)外發(fā)郵件行為是否存在異常，如果存在異常，跳轉(zhuǎn)到步驟3)，否則跳轉(zhuǎn)到步驟5；

3)對(duì)于存在異常行為的用戶(hù)外發(fā)郵件，提取郵件內(nèi)容文檔，并判定文檔的主題類(lèi)別；

4)根據(jù)文檔主題類(lèi)別選定與該類(lèi)別關(guān)聯(lián)的文本精確匹配策略規(guī)則，并采用該匹配策略規(guī)則確定文檔中是否存在敏感數(shù)據(jù)；

5)結(jié)束。