本發明涉及一種檢測準確度較高、非侵入式、易部署、覆蓋面廣的敏感數據檢測方法和系統，包括全流量采集平臺、IP分片處理、TCP會話流重組、應用層協議自識別、HTTP應用協議解析器和MYSQL應用協議解析器、結構化數據對象處理。統一流量采集平臺支持：采集物理交換機鏡像端口流量、虛擬化環境采集虛擬機交換機端口鏡像流量、docker環境sidecar采集容器鏡像流量；基于獲取的流量進行分析，構建完整會話流并提取應用請求和響應payload；對應用層請求和響應payload進行分析處理；識別結構化數據對象并作結構化處理；利用關鍵字檢測和正則匹配進行敏感數據的敏感內容檢測；記錄匹配內容及匹配結果和其在原文中的偏移量，有助于人工分析和調優。

技術領域

本發明涉及數據安全技術領域，具體涉及一種敏感數據發現與檢測的方法及系統。

背景技術

互聯網和大數據的蓬勃發展給數據安全和隱私保護帶來前所未有的挑戰。數據泄露往往帶來嚴重的后果。進行數據安全防護的首要前提是需要知道數據，尤其是敏感數據在各類業務系統及組件中的具體分布情況，從而進一步建立相對應的安全防護措施。故而需要一種敏感數據的發現與檢測裝置用于從海量數據中發現需要防護的敏感數據。

目前市面上的敏感數據發現與檢測裝置側重于數據防泄露，重點關注數據流出的方向，并且部署實施的成本較高，需要復雜的配置。尚且不能與數據分級分類進行聯動，形成有機整體。準確性低，誤報率高，數據發現的覆蓋面窄。

發明內容

針對現有技術的不足，本發明公開了一種敏感數據發現與檢測的方法及系統，用于解決目前市面上的敏感數據發現與檢測裝置側重于數據防泄露，重點關注數據流出的方向，并且部署實施的成本較高，需要復雜的配置。尚且不能與數據分級分類進行聯動，形成有機整體。準確性低，誤報率高，數據發現的覆蓋面窄的問題。

本發明通過以下技術方案予以實現：

第一方面，本發明公開一種敏感數據發現與檢測的方法，包括以下步驟：

S1采集物理交換機鏡像端口流量、虛擬化環境采集虛擬機交換機端口鏡像流量、docker環境sidecar采集容器鏡像流量；

S2基于獲取的流量進行分析，構建完整會話流并提取應用請求和響應payload；

S3對應用層請求和響應payload進行分析處理；

S4識別結構化數據對象并作結構化處理；

S5利用關鍵字檢測和正則匹配進行敏感數據的敏感內容檢測；

S6記錄匹配內容及匹配結果和其在原文中的偏移量，有助于人工分析和調優。

更進一步的，所述方法中，應用與應用、節點與節點的交互均通過網絡進行，并在數據鏈路層用MTU來限制所能傳輸的數據包大小，當發送的IP數據包的大小超過MTU時，IP層對數據進行分片處理，故而需要實現IP分片處理模塊用于重組分片的IP數據包。

更進一步的，所述方法中，通過序列號、檢驗和、確認應答信號、重發控制、連接管理、窗口控制、流量控制、擁塞控制機制在鏡像流量中實現TCP會話流重組，進而提取TCP協議的數據段用于應用層協議自識別和應用層協議解析。

更進一步的，所述方法中，利用HTTP協議層有限狀態機從鏡像流量中提取HTTP請求的Method、Header、URL、請求體、響應體信息；通過MYSQL協議層有限狀態機從鏡像流量中提取MYSQL請求的操作方法、SQL語句、請求體、響應體信息。

更進一步的，所述方法中，通過HTTP Header解析模塊，判別數據交換協議類型，進而調用相對應的交換協議解析引擎；

通過JSON交互協議的協議解析引擎，將JSON格式的請求、響應的payload轉換成結構化數據對象；