本發(fā)明屬于網(wǎng)絡安全和機器學習技術(shù)領(lǐng)域,具體涉及一種基于終端代理的威脅監(jiān)控及數(shù)據(jù)防泄露方法與系統(tǒng)。
背景技術(shù):
隨著計算機網(wǎng)絡特別是因特網(wǎng)的普及應用,網(wǎng)絡已經(jīng)成為人們生產(chǎn)和生活所依賴的重要基礎設施。如此同時,網(wǎng)絡安全的重要性也日益凸顯,現(xiàn)如今網(wǎng)絡安全已經(jīng)成為決定網(wǎng)絡應用范圍能否極大拓展和網(wǎng)絡應用價值能否極大地發(fā)揮的關(guān)鍵。
在網(wǎng)絡安全中,數(shù)據(jù)泄露或者丟失指的是,終端設備,比如工作站、筆記本電腦、服務器或者移動設備中的數(shù)據(jù),未經(jīng)授權(quán)就被泄露了出去。這類泄露,可能是被通過物理設備人為泄露了出去,也可能是在不知情的情況下,通過網(wǎng)絡被各種應用程序偷偷地發(fā)送了出去。為了防止數(shù)據(jù)泄露,在企業(yè)中一些IT管控設備和信息安全的工具就應運而生,比如,通過監(jiān)控手段防止機密數(shù)據(jù)被帶出公司的數(shù)據(jù)泄密(泄露)防護(Data leakage prevention,DLP)就是一種典型的企業(yè)信息安全工具,但是DLP只能檢測到部分數(shù)據(jù)泄露的通道,比如:
·郵件發(fā)送代碼
·郵件發(fā)送敏感信息,比如信號卡號,或者社會安全碼
·U盤拷貝源代碼
DLP不能覆蓋的場景有:
·打印設備
·通過RDP協(xié)議發(fā)送數(shù)據(jù)
·屏幕截圖
·網(wǎng)絡共享
所以DLP工具不能為企業(yè)提供全面可靠的威脅監(jiān)控和數(shù)據(jù)防泄漏保障。然而,當前企業(yè)檢測和防止數(shù)據(jù)泄露,主要使用DLP方案。DLP方案是基于規(guī)則來識別的,比如:
·檢測郵件的附件中,是否有之前嵌入的水印文件;
·檢測郵件內(nèi)容中,是否有敏感詞匯,比如:資金,稅收等。
此外,DLP僅僅適用于特定場景,比如通過郵件發(fā)送,或者通過U盤拷貝,適用的場景太少。仍然還有很多場景,是DLP無法覆蓋到的,這些場景就給企業(yè)數(shù)據(jù)安全帶來了極大的數(shù)據(jù)泄露風險。
如果沒有綜合性的數(shù)據(jù)管理方案,即使使用再嚴格的,像DLP這樣的工具,都不能防止數(shù)據(jù)被泄密,因為一些重要的數(shù)據(jù),這些工具都是不識別的。因此,我們需要一種在客戶端部署的系統(tǒng),可以抓取到所有的數(shù)據(jù)泄露信息。
技術(shù)實現(xiàn)要素:
為了克服現(xiàn)有的DLP工具不能為企業(yè)提供全面可靠的威脅監(jiān)控和數(shù)據(jù)防泄漏保障的問題,本發(fā)明提供一種基于終端代理的威脅監(jiān)控及數(shù)據(jù)防泄漏方法與系統(tǒng)。所述基于終端代理的威脅監(jiān)控及數(shù)據(jù)防泄漏方法通過在終端設備(比如工作站,筆記本電腦,移動設備)上部署客戶端,來監(jiān)控潛在的內(nèi)部數(shù)據(jù)泄露風險,可以在數(shù)據(jù)泄露發(fā)生前,就及時獲知,并采取進一步行動,來防止數(shù)據(jù)的丟失。
為實現(xiàn)上述目標,本發(fā)明采用以下技術(shù)方案:
一種基于終端代理的威脅監(jiān)控及數(shù)據(jù)防泄漏方法,所述方法通過在終端設備上部署客戶端軟件,即代理軟件,用來收集用戶的行為數(shù)據(jù),監(jiān)控用戶的各種操作行為,檢測潛在的內(nèi)部數(shù)據(jù)泄露風險,以便在數(shù)據(jù)泄露發(fā)生前,就及時獲知數(shù)據(jù)泄露風險,并采取合適的行動,來防止數(shù)據(jù)的丟失。
所述代理被部署在不同的終端或客戶機上。然后代理將從終端收集到的數(shù)據(jù)發(fā)送回中央數(shù)據(jù)倉庫,在數(shù)據(jù)倉庫中,這些收集到的信息被按照相同主機名或地址來做歸類并摘要。處理后的數(shù)據(jù),可以用作機器學習系統(tǒng)的輸入,或者為SOC分析提供報告。
所述終端代理,也會收集本終端相關(guān)信息,比如主機名,用戶名,MAC地址等,所有這些信息都會被發(fā)送到中央數(shù)據(jù)倉庫中,終端的信息在中央數(shù)據(jù)倉庫中,被整合匯總,企業(yè)安全管理員就可以在數(shù)據(jù)泄露發(fā)生時,及時獲知泄露場景,并適時采取行動,阻止數(shù)據(jù)丟失。
一種基于終端代理的威脅監(jiān)控及數(shù)據(jù)防泄漏系統(tǒng),包括部署于各類終端設備上的代理軟件、中央數(shù)據(jù)倉庫、機器學習單元和配套的網(wǎng)絡通信模塊。
所述代理軟件被部署在不同的終端或客戶機上。代理將從終端收集到的數(shù)據(jù)發(fā)送回中央數(shù)據(jù)倉庫中。所述中央數(shù)據(jù)倉庫用于匯集各代理軟件所獲取的用戶屬性數(shù)據(jù)和用戶行為數(shù)據(jù),在數(shù)據(jù)倉庫中,這些收集到的信息被按照相同主機名或地址來做歸類并摘要。處理后的數(shù)據(jù),可以用作機器學習系統(tǒng)的輸入,或者為SOC分析提供報告。所述機器學習單元,用于對用戶行為數(shù)據(jù)進行模式識別和知識發(fā)現(xiàn),以發(fā)掘大量雜亂無章的用戶行為數(shù)據(jù)背后所蘊含的規(guī)律和趨勢,以便指導代理軟件更加精準高效地收集數(shù)據(jù),指導SOC工作人員更加快速地定位威脅點和數(shù)據(jù)泄露隱患,快速做出反應。所述配套的網(wǎng)絡通信模塊,是系統(tǒng)工作的基礎,起到連接各功能模塊的作用,例如,將代理軟件收集的數(shù)據(jù)及時傳遞到數(shù)據(jù)倉庫,將數(shù)據(jù)倉庫處理過的數(shù)據(jù)傳遞到機器學習模塊和SOC等,以及反向傳輸?shù)闹噶詈蛿?shù)據(jù)。
所述代理軟件被部署到每一個用戶的工作站上,它會收集有可能發(fā)生數(shù)據(jù)泄露的場景信息,比如電子郵件,聊天軟件,U盤,打印設備等等,同樣還有訪問部署有代理軟件的服務器的權(quán)利。代理軟件也會部署到每一個服務器上,用來捕獲服務器上的用戶行為,包括網(wǎng)絡共享服務、FTP文件傳送服務、應用接入服務和用戶權(quán)限改變服務等。如果企業(yè)中也有移動設備訪問需求,只需要在移動設備上也部署代理軟件即可,它會收集用戶基于移動終端實施的在線備份信息、USB/藍牙發(fā)送信息、電子郵件使用信息等。每一個終端代理軟件所獲取的信息都會傳遞給中央數(shù)據(jù)倉庫,中央數(shù)據(jù)倉庫能夠?qū)⒏鹘K端代理軟件收集的數(shù)據(jù)塊組合起來,并且按照用戶進行歸類。
所述終端代理軟件,也會收集本終端相關(guān)信息,比如主機名、用戶名、MAC地址等,所有這些信息都會被發(fā)送到中央數(shù)據(jù)倉庫中,終端的信息在這個倉庫中,被整合匯總,企業(yè)安全管理員就可以在數(shù)據(jù)泄露發(fā)生時,及時獲知泄露場景,并適時采取行動,阻止數(shù)據(jù)丟失。
根據(jù)終端設備類型和用途的不同,為各類終端設備量身定義完整的數(shù)據(jù)泄露活動表,以指導終端代理軟件收集活動表中包含的與用戶行為相關(guān)的信息,并及時發(fā)送到中心數(shù)據(jù)倉庫。
根據(jù)數(shù)據(jù)量的大小,代理軟件可能會保存原始的數(shù)據(jù),也可能只保存摘要結(jié)果。由于終端設備的存儲能力有限,因此,對于數(shù)據(jù)量不大的情況,代理軟件會完整保存原始的數(shù)據(jù),而對于數(shù)據(jù)量很大的情況,代理軟件可能只保存摘要結(jié)果。
根據(jù)代理軟件和服務器的連接方式不同,采取不同的數(shù)據(jù)發(fā)送策略。如果終端設備在企業(yè)網(wǎng)內(nèi)部,代理軟件就會將收集的信息,實時發(fā)送給中央數(shù)據(jù)倉庫處理,相反地,如果終端設備處于離線狀態(tài),或者不在企業(yè)網(wǎng)內(nèi)部,數(shù)據(jù)就會在終端設備緩存中被臨時保存,當終端設備重新恢復在線后,就會將所有緩存的數(shù)據(jù),一次性打包發(fā)送給中央數(shù)據(jù)倉庫。
本發(fā)明的優(yōu)點和有益效果為:與現(xiàn)有的DLP技術(shù)相比,本發(fā)明通過在終端設備上部署代理軟件,并根據(jù)終端設備類型和用途的不同,量身定制可能導致數(shù)據(jù)泄露的用戶行為表,指導終端代理軟件全面收集用戶的行為數(shù)據(jù)和用戶屬性數(shù)據(jù);在中心數(shù)據(jù)倉庫中對數(shù)據(jù)進行歸并和融合處理,將處理結(jié)果傳送到機器學習模塊進行深入分析,也同時傳送到SOC供安全分析人員分析安全隱患,并及時作出相應的動作,消除威脅,防止數(shù)據(jù)泄露事故的發(fā)生。本發(fā)明客服了DLP僅適應于部分場景,不能覆蓋其他大量用戶行為的缺陷,全面收集用戶各類行為數(shù)據(jù)并進行監(jiān)控,因而能夠為企業(yè)提供全面的威脅監(jiān)控和數(shù)據(jù)泄露防范服務。同時,本發(fā)明通過機器學習技術(shù)和SOC的人工分析結(jié)果相結(jié)合,不斷提高終端代理收集數(shù)據(jù)的準確性和效率,因而隨著系統(tǒng)運行時間的增加,系統(tǒng)提供的服務質(zhì)量也會不斷提高。
附圖說明
附圖1是本發(fā)明所述的基于終端代理的威脅監(jiān)控及數(shù)據(jù)防泄露系統(tǒng)的結(jié)構(gòu)框圖。
附圖2是本發(fā)明所述的基于終端代理的威脅監(jiān)控及數(shù)據(jù)防泄露系統(tǒng)的代理部署結(jié)構(gòu)框圖。
附圖3是本發(fā)明所述的基于終端代理的威脅監(jiān)控及數(shù)據(jù)防泄露系統(tǒng)的代理對數(shù)據(jù)的存儲與發(fā)送方式示意圖。
具體實施方式
下面結(jié)合實施例對本發(fā)明作進一步說明。
實施例
一種基于終端代理的威脅監(jiān)控及數(shù)據(jù)防泄漏方法,所述方法通過在終端設備上部署客戶端軟件,即代理軟件,收集用戶的行為數(shù)據(jù),監(jiān)控用戶的各種操作行為,檢測潛在的內(nèi)部數(shù)據(jù)泄露風險,以便在數(shù)據(jù)泄露發(fā)生前,就及時獲知數(shù)據(jù)泄露風險,并采取合適的行動,來防止數(shù)據(jù)的丟失。
所述代理被部署在不同的終端或客戶機上。代理將從終端收集到的數(shù)據(jù)發(fā)送回中央數(shù)據(jù)倉庫,在數(shù)據(jù)倉庫中,這些收集到的信息被按照相同主機名或地址來做歸類并摘要。處理后的數(shù)據(jù),用作機器學習系統(tǒng)的輸入,同時為SOC分析提供報告。
所述終端代理,也會收集本終端相關(guān)信息,比如主機名、用戶名和MAC地址等,所有這些信息都會被發(fā)送到中央數(shù)據(jù)倉庫中,終端的信息在這個倉庫中,被整合匯總,企業(yè)安全管理員就可以在數(shù)據(jù)泄露發(fā)生時,及時獲知泄露場景,并適時采取行動,阻止數(shù)據(jù)丟失。
參見附圖1,一種基于終端代理的威脅監(jiān)控及數(shù)據(jù)防泄漏系統(tǒng),包括部署于各類終端設備上的代理軟件、中央數(shù)據(jù)倉庫、機器學習單元和配套的網(wǎng)絡通信模塊。
所述代理軟件被部署在不同的終端或客戶機上。代理將從終端收集到的數(shù)據(jù)發(fā)送到中央數(shù)據(jù)倉庫中。所述數(shù)據(jù)倉庫用于匯集各代理軟件所獲取的用戶屬性數(shù)據(jù)和用戶行為數(shù)據(jù),在數(shù)據(jù)倉庫中,這些收集到的信息被按照相同主機名或地址來做歸類并摘要。處理后的數(shù)據(jù),用作機器學習系統(tǒng)的輸入,同時為SOC分析提供報告。所述機器學習單元,用于對用戶行為數(shù)據(jù)進行模式識別和知識發(fā)現(xiàn),發(fā)掘大量雜亂無章的用戶行為數(shù)據(jù)背后所蘊含的規(guī)律和趨勢,以便指導代理軟件更加精準高效地收集數(shù)據(jù),指導SOC工作人員更加快速地定位威脅點和數(shù)據(jù)泄露隱患,快速做出反應。所述配套的網(wǎng)絡通信模塊,是系統(tǒng)工作的基礎,起到連接各功能模塊的作用,例如,將代理軟件收集的數(shù)據(jù)及時傳遞到數(shù)據(jù)倉庫,將數(shù)據(jù)倉庫處理過的數(shù)據(jù)傳遞到機器學習模塊和SOC等,以及反向傳輸?shù)闹噶詈蛿?shù)據(jù)。
參見附圖2,所述代理軟件被部署到每一個用戶的工作站上,它會收集有可能發(fā)生數(shù)據(jù)泄露的場景信息,比如電子郵件、聊天軟件、U盤、打印設備等等,同樣還有訪問部署有代理軟件的服務器的權(quán)利。代理軟件也會部署到每一個服務器上,用來捕獲服務器上的用戶行為,包括網(wǎng)絡共享服務、FTP文件傳送服務、應用接入服務和用戶權(quán)限改變服務等。如果企業(yè)中也有移動設備訪問需求,只需要在移動設備上也部署代理軟件即可,它會收集用戶基于移動終端實施的在線備份信息、USB/藍牙發(fā)送信息、電子郵件使用信息等。每一個終端代理軟件所獲取的信息都會傳遞給中央數(shù)據(jù)倉庫,中央數(shù)據(jù)倉庫能夠?qū)⒏鹘K端代理軟件收集的數(shù)據(jù)塊組合起來,并且按照用戶進行歸類。
所述終端代理軟件,也會收集本終端相關(guān)信息,比如主機名、用戶名、MAC地址等,所有這些信息都會被發(fā)送到中央數(shù)據(jù)倉庫中,終端的信息在這個倉庫中,被整合匯總,企業(yè)安全管理員就可以在數(shù)據(jù)泄露發(fā)生時,及時獲知泄露場景,并適時采取行動,阻止數(shù)據(jù)丟失。
根據(jù)終端設備類型和用途的不同,為各類終端設備量身定義完整的數(shù)據(jù)泄露活動表,以指導終端代理軟件收集活動表中包含的與用戶行為相關(guān)的信息,并及時發(fā)送到中心數(shù)據(jù)倉庫。
參見附圖3,根據(jù)數(shù)據(jù)量的大小,代理軟件可能會保存原始的數(shù)據(jù),也可能只保存數(shù)據(jù)的摘要結(jié)果。由于終端設備的存儲能力有限,因此,在數(shù)據(jù)量不大的情況下,代理軟件會完整保存原始的數(shù)據(jù),而在數(shù)據(jù)量很大的情況下,代理軟件可能只保存數(shù)據(jù)的摘要結(jié)果。
參見附圖3,根據(jù)代理軟件和服務器的連接方式不同,采取不同的數(shù)據(jù)發(fā)送策略。如果終端設備在企業(yè)網(wǎng)內(nèi)部,代理軟件就會將收集的信息,實時發(fā)送給中央數(shù)據(jù)倉庫處理,相反地,如果終端設備處于離線狀態(tài),或者不在企業(yè)網(wǎng)內(nèi)部,數(shù)據(jù)就會在終端設備緩存中被臨時保存,當終端設備重新恢復在線后,就會將所有緩存的數(shù)據(jù),一次性打包發(fā)送給中央數(shù)據(jù)倉庫。
最后應說明的是:顯然,上述實施例僅僅是為清楚地說明本發(fā)明所作的舉例,而并非對實施方式的限定。對于所屬領(lǐng)域的普通技術(shù)人員來說,在上述說明的基礎上還可以做出其它不同形式的變化或變動。這里無需也無法對所有的實施方式予以窮舉。而由此所引伸出的顯而易見的變化或變動仍處于本發(fā)明的保護范圍之中。