本發(fā)明涉及敏感信息泄露檢測領(lǐng)域。具體涉及到通過對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲、分析以及還原等來發(fā)現(xiàn)敏感信息泄露的方法。本發(fā)明提出了一種數(shù)據(jù)驅(qū)動的敏感信息泄露檢測框架，該框架主要由五部分組成：信息收集模塊、文本提取模塊、指紋生成模塊、指紋數(shù)據(jù)庫、文本分析模塊。信息收集模塊首先對網(wǎng)絡(luò)出入口上的數(shù)據(jù)包進(jìn)行捕獲，之后還原出數(shù)據(jù)包中的原始文件，然后文本提取模塊對這些文件進(jìn)行文本內(nèi)容的提取，指紋生成模塊生成相應(yīng)文件的指紋信息，最后文本分析模塊會把生成的指紋信息與指紋數(shù)據(jù)庫中的敏感信息的指紋進(jìn)行文本相似性計算，從而判斷是否出現(xiàn)了敏感信息泄露。其結(jié)構(gòu)如圖1所示。該框架可以快速地檢測出敏感信息泄露并及時做出響應(yīng)。

技術(shù)領(lǐng)域

本發(fā)明涉及敏感信息泄露檢測領(lǐng)域。具體涉及到通過對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲、分析以及還原等來發(fā)現(xiàn)敏感信息泄露的方法。

背景技術(shù)

敏感信息在其創(chuàng)建、存儲、傳輸、使用、銷毀等生命周期的各個階段時刻都遭受著泄露的風(fēng)險，存在很多值得深入研究的問題。隨著互聯(lián)網(wǎng)的迅速發(fā)展，敏感信息面臨更多的網(wǎng)絡(luò)威脅。在網(wǎng)絡(luò)和信息設(shè)施層，專用網(wǎng)、公眾網(wǎng)、計算和存儲設(shè)施均面臨著大量的攻擊威脅，一旦網(wǎng)絡(luò)和基礎(chǔ)設(shè)施被攻擊劫持將可能導(dǎo)致敏感信息泄露。此外高速網(wǎng)絡(luò)帶寬的急劇增長也對敏感信息泄露的檢測帶來了巨大的困難。

目前用于檢測敏感信息泄露的技術(shù)主要使用靜態(tài)分析和動態(tài)分析這兩種方式，靜態(tài)分析大部分用于離線檢測應(yīng)用程序所存在的漏洞，不能對應(yīng)用程序的執(zhí)行狀態(tài)進(jìn)行實(shí)時監(jiān)控，因而無法對應(yīng)用程序發(fā)生的敏感信息泄露進(jìn)行檢測。同時，為了使靜態(tài)分析的結(jié)果足夠準(zhǔn)確，需要事先進(jìn)行大量的先驗(yàn)測試。動態(tài)分析主要采用動態(tài)污點(diǎn)跟蹤技術(shù)對敏感信息泄露進(jìn)行檢測。這種方式可以輔助靜態(tài)分析進(jìn)行離線檢測，同時能夠?qū)崟r檢測，但該方式存在運(yùn)行效率低下、復(fù)雜度高等問題。傳統(tǒng)的檢測敏感信息泄露的方法主要場景是針對于應(yīng)用程序的，通過靜態(tài)或動態(tài)的分析方法來發(fā)現(xiàn)應(yīng)用程序所存在的潛在漏洞，從而修復(fù)漏洞來避免敏感信息泄露，能夠?qū)崟r跟蹤敏感數(shù)據(jù)的很少。另外在如今的高速網(wǎng)絡(luò)環(huán)境下，存在大量的網(wǎng)絡(luò)數(shù)據(jù)，傳統(tǒng)的檢測方法并不能對數(shù)據(jù)進(jìn)行及時的檢測，一般采取對相應(yīng)的數(shù)據(jù)進(jìn)行存儲后轉(zhuǎn)為離線檢測，這會嚴(yán)重影響檢測的時效性。

在網(wǎng)絡(luò)信息安全領(lǐng)域，入侵檢測技術(shù)作為其中的關(guān)鍵技術(shù)之一，可以有效地防止敏感信息發(fā)生泄露問題。入侵檢測技術(shù)主要分為基于主機(jī)的入侵檢測和基于網(wǎng)絡(luò)的入侵檢測兩大類。目前大多數(shù)的入侵檢測產(chǎn)品都屬于基于網(wǎng)絡(luò)的入侵檢測，該類型的入侵檢測系統(tǒng)的數(shù)據(jù)來源是網(wǎng)絡(luò)中的實(shí)時數(shù)據(jù)包。該系統(tǒng)可以放置在網(wǎng)絡(luò)中的任意節(jié)點(diǎn)上，選擇不同的放置位置可適應(yīng)不同的網(wǎng)絡(luò)結(jié)構(gòu)，可以實(shí)時監(jiān)控網(wǎng)絡(luò)流量，檢查網(wǎng)絡(luò)狀態(tài)和其他可疑活動。在這種類型的入侵檢測系統(tǒng)中，通常將某臺主機(jī)的網(wǎng)卡模式設(shè)置為混雜模式，監(jiān)聽并檢測本網(wǎng)段內(nèi)的所有流過的網(wǎng)絡(luò)數(shù)據(jù)包。該類型的入侵檢測系統(tǒng)能夠保護(hù)整個網(wǎng)段內(nèi)的所有主機(jī)。它實(shí)時地監(jiān)測本網(wǎng)段中的各種數(shù)據(jù)包，對通過本網(wǎng)段的所有數(shù)據(jù)包進(jìn)行特征提取與分析，比較數(shù)據(jù)包內(nèi)容與規(guī)則庫里的規(guī)則是否相匹配。若二者相匹配，該入侵檢測系統(tǒng)就判定發(fā)生了入侵，同時依照默認(rèn)設(shè)置發(fā)出警報并采取響應(yīng)措施。但入侵檢測技術(shù)嚴(yán)重依賴于規(guī)則庫的更新，由于規(guī)則庫里的規(guī)則并不能應(yīng)對所有的情況，針對某種新型的入侵攻擊會出現(xiàn)入侵檢測失敗的問題，同時該技術(shù)并不能有效地防止敏感信息內(nèi)部泄露的問題。

發(fā)明內(nèi)容

本發(fā)明針對傳統(tǒng)檢測敏感信息泄露的方法存在的實(shí)時性與運(yùn)行效率低下的問題，以及現(xiàn)有方法的缺點(diǎn)，提出了一種數(shù)據(jù)驅(qū)動的敏感信息泄露檢測框架。該框架可以對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行實(shí)時的監(jiān)控與分析，并且可以對敏感信息的泄露立即響應(yīng)，提高了檢測的效率；同時對高速網(wǎng)絡(luò)環(huán)境下的敏感信息泄露檢測有了很好的支持，充分地解決在這個過程中容易出現(xiàn)的丟包、數(shù)據(jù)包處理速度慢以及不能及時判斷響應(yīng)等問題。具體內(nèi)容如下：

1.框架簡介