[发明专利]一种协同数据防泄漏方法及系统

说明书

本发明公开了一种协同数据防泄漏方法及系统，该方法包括以下步骤：采集主机产生的网络流量数据，结合数据防泄漏策略，建立并训练敏感数据模型；终端捕获主机产生的网络流量数据并将其重定向发送至最优接入节点；接入节点根据该网络流量数据决定是否与目标地址建立加密通信链路；接入节点根据当前检测节点运行状态与其他参考数据选择合适的检测节点并下发检测任务；检测节点结合检测策略与所述敏感数据模型实时识别敏感数据并反馈至接入节点；接入节点结合反馈结果与管控策略决定是否对该网络流量数据进行管控。通过本发明的技术方案，能够识别并及时管控敏感外传数据，提高数据防泄漏系统对数据的安全防护能力。

技术领域

本发明涉及数据安全领域，具体涉及泄漏系统网关与终端协同完成主机加密网络流量分析与检测的方法及系统。

背景技术

伴随计算机科学的高速发展，互联网技术的应用范围越来越广泛，信息系统互联带给各行各业的效益也日渐明显。但随之而来的数据泄露问题对信息与互联的广泛开展形成了障碍。数据防泄漏系统作为数据全生命周期的安全防护措施也面临众多挑战。其中，信息系统中主机侧利用加密网络流量通信，躲避数据防泄漏系统的检测与发现，已成为主动数据泄露的一种有效方式。对此，北京明朝万达科技股份有限公司提出一种基于数据防泄漏系统网关与终端协同，对主机侧产生的加密网络流量进行主动分析与检测的方法。

目前，数据防泄漏系统普遍具备网关与终端两种部署模式，也有部分系统已应用混合部署模式。终端在主机侧形成面向主机、较为全面的数据防泄漏功能，包括移动设备管控、网络流量管控、进程管控等；网关在网络流量出口处对流入流出数据进行管控，避免数据通过网络外泄。

分析传统数据防泄漏系统，可以发现：

网关侧一般只能拦截、分析并检测明文传输的网络流量，主机侧产生的加密流量受加密通信证书或秘钥获取等技术限制，网关侧无法有效获得应用层信息(包括协议与传输内容等)，导致出现数据通过加密网络流量泄露的场景。

另一方面，数据防泄漏终端可通过成熟技术拦截并获取主机侧传输网络流量(明文或加密)并进行内容分析。但受限于深入内容分析与检测对主机正常运行可能造成的性能影响，当前防泄漏终端仅进行非常初步的分析操作。

同时，混合部署模式(包括网关与终端)仅是将网关与终端简单组合在一起进行部署，网关与终端在设计时未视为整体，未进行有效联动，从而协同达到数据防泄漏的目的。现有数据防泄漏系统的运行模式如图1所示。

综上所述，现有数据防泄漏系统在加密网络流量分析与检测方面存在不足，即网关参与度低(无法有效分析加密网络流量)、终端分析力低(无法深入分析加密流量内容)与协同性差(网关与终端未能有效联动完成加密流量的数据防泄漏)。其中，终端分析力可通过应用高效的数据分析算法实现，但在高网络流量的场景下可能占用较多主机系统资源，对正常用户操作造成干扰，影响工作效率，制约生产力。同时，该方式扩展性较差，对资源的使用效率很低。

因此，迫切需要提高数据防泄漏系统网关与终端的协同能力，通过终端在主机侧拦截、捕获并转发加密网络流量，网关侧分析、检测管控与转发的形式，在不大幅降低主机侧正常使用性能的前提下，提高对网络流量尤其是加密网络流量的内容分析与检测能力，从而提高数据防泄漏系统的网络防护能力。

本发明使用加密网络流量捕获、高并发低延时流量重定向与基于机器学习的分布式流量内容分析技术，在用户低感知的情况下对主机侧传输的网络流量数据进行协同分析与检测，识别并及时管控敏感外传数据，提高数据防泄漏系统对数据的安全防护能力。

发明内容

为解决上述技术问题，本发明提供了一种协同数据防泄漏方法，该方法包括以下步骤：

1)采集主机产生的网络流量数据，结合数据防泄漏策略，建立并训练敏感数据模型；

2)终端捕获主机产生的网络流量数据并将其重定向发送至最优接入节点；