[发明专利]一种信息泄露路径分析方法和装置

说明书

技术领域

本发明属于计算机网络信息安全领域，特别是一种信息泄露路径分析方法和装置。背景技术

随着计算机应用及互联网技术的飞速发展，信息泄露问题也显得越来越突出。每年各企业和组织等机构因安全信息泄露事件导致的损失达上百亿元。同时，数百万的人们也正忍受着个人信息泄露造成的不便和痛苦。其中，个人信息泄露可导致隐私侵犯、身份假冒、垃圾邮件以及金融诈骗等各种问题。

为了应对信息泄露，目前也存在着各种各样的信息安全和防护系统。如信息泄露检测与预防（ILDP,Information Leak Detection and Prevention），也称数据丢失预防（DLP,Data Loss Prevention）。该ILDP系统利用集中管理框架，通过深入的内容检测识别、监控和保护使用中的数据（如终端行为）、运动中的数据（如网络行为）和静止的数据（如存储的数据），并检测和防止机密信息的非授权使用和传输。ILDP系统可分为基于网络的ILDP、基于主机的ILDP和数据识别。

又如，个人信息管理（PIM,Personal Information Management）应用以及个人信息泄露预防方法。其中，PIM应用主要用于方便记录、跟踪和管理一定类型的个人信息，如住址名册，重大历法日期，电子邮件及即时消息的存档等。PIM应用还能提供更全面的信息管理功能，包括合成和共享信息。个人信息的泄露主要发生在Web网站或钓鱼（phishing）网站、以及间谍软件（spyware）中注册的个人信息。防止这类个人信息泄露的方法的基本思想是：不将个人信息发送给危险的接收者。从用户终端经网络传输给服务器的每个网络包都会基于用户预定义的控制策略被检测，一旦检测到该网络包中包括用户的个人信息，该网络包将被丢弃。

上述各种信息安全和防护系统都是基于单一设备上的直接信息泄露的预防。但攻击者有可能远程窃取数据，通过网络方式的信息泄露目前还很难分析和控制。

发明内容

有鉴于此，本发明一方面提出了一种信息泄露路径分析方法，另一方面提出了一种信息泄露路径分析装置，以便实现多跳网元设备的信息泄露检测。

本发明所提出的一种信息泄露路径分析方法，包括：

确定网络系统中的至少一个待测网元，并依次将所述至少一个待测网元作为当前待测网元；

以当前待测网元为根节点，建立所述当前待测网元的网元连接拓扑树；

从所述根节点的下一级节点开始，根据预先确定的对应网络泄露路径的至少一种网络信息泄露类型，分别检测所述网元连接拓扑树中的各个分支中的各级节点，将当前待检测的分支中的节点作为当前分支的当前节点，分析当前分支的当前节点与其前面各级节点之间是否存在网络泄露路径，在当前分支的当前节点与其前面各级节点之间存在网络泄露路径时，标记出所述泄露路径，并在当前分支中存在下一级节点时，将所述下一级节点作为当前待检测的分支中的当前节点进行检测；否则，结束对当前分支的检测。本发明的上述方法采用故障树分析方法，以结果为导向，从可能发生泄露的网元遍历所有跟敏感信息相关的网元，可以追溯到导致敏感信息泄露的源头。

在本发明的一个实施方式中，所述预先确定的对应网络泄露路径的至少一种网络信息泄露类型包括下列网络泄露类型中的任意一种或任意组合：基于文件传输协议FTP的网络泄露、基于TFTP小文件传输协议的网络泄露、基于TELNET协议的网络泄露、基于超文本传输协议HTTP的网络泄露、基于简单网络管理协议SNMP的网络泄露和基于超文本传输安全协议HTTPS的网络泄露、基于简单邮件传输协议SMTP的网络泄露。

在本发明的一个实施方式中，该方法进一步包括：根据预先确定的对应直接泄露路径的至少一种基本信息泄露类型，检测所述根节点是否存在直接泄露路径，并标记出检测出的直接泄露路径。

在本发明的一个实施方式中，所述预先确定的对应直接泄露路径的至少一种基本信息泄露类型包括下列基本信息泄露类型中的任意一种或任意组合：计算机接口泄露、拷贝泄露和打印泄露。

所述预先确定的对应直接泄露路径的至少一种基本信息泄露类型包括计算机接口泄露时，所述根据预先确定的对应直接泄露路径的至少一种基本信息泄露类型，检测所述根节点是否存在直接泄露路径包括：根据所述计算机接口泄露包括的红外接口泄露、USB接口泄露、1394接口泄露和蓝牙接口泄露中的至少一种，检测所述根节点是否存在直接泄露路径。