[发明专利]一种检测文件泄露行为的方法以及装置

说明书

本申请实施例提供一种检测文件泄露行为的方法以及装置，所述方法包括：实时检测日志数据，确认存在目标对象对目标文件的输出操作，其中，所述输出操作包括：上传、刻录或者拷贝；确认在所述输出操作之前的第一预设时段内，存在所述目标对象对所述目标文件的重命名操作；在根据集合相似度算法确认所述重命名操作属于高危操作时，则根据所述目标对象的历史操作习惯确认所述输出操作是否存在泄漏所述目标文件的行为。本申请实施例提供的检测内部文件泄露行为的方法的部署简单，维护方便，准确率高，能够实时、能有效地检测出内部合法用户对文件执行重命名操作后再输出相关文件这种场景中的内部文件泄露问题。

技术领域

本申请涉及文件安全检测领域，具体而言本申请实施例涉及一种检测文件泄露行为的方法以及装置。

背景技术

现有的防止文件(例如，内部文件)泄露的方法大多基于权限管控技术或数据加密技术，这样不仅需要大量的资源来管理内部文件和用户权限的对应关系，对用户现有业务流程也有影响。另外，加密技术的秘钥管理十分复杂，一旦秘钥丢失或加密后的数据损坏将造成原始数据无法恢复的后果。基于权限管控技术或数据加密技术方法的部署方式都十分复杂，无法解决已被授权的内部人员或具有合法凭证的外部人员，进行有意或无意的文件泄露问题。

因此如何提升内部文件泄露行为的检测效果成了亟待解决的技术问题。

发明内容

本申请实施例的目的在于提供一种检测文件泄露行为的方法以及装置，由于本申请实施例的技术方案对应的检测方法并不涉及文件内容检测，尽可能地保护到了用户隐私，且部署简单，维护方便，准确率高，能够实时、有效地检测出内部合法用户对文件执行重命名操作后再输出相关文件这种场景中的文件泄露问题，方便管理员及时发现并制止内部的文件泄露操作，从而保护企业的数据和信息安全。

第一方面，本申请的一些实施例提供一种检测文件泄露行为的方法，所述方法包括：实时检测日志数据，确认在第一时刻存在目标对象对目标文件的输出操作，其中，所述输出操作包括：上传、刻录或者拷贝；确认在所述第一时刻之前的预设时段内，存在所述目标对象对所述目标文件的重命名操作；在根据集合相似度算法确认所述重命名操作属于高危操作时，则根据所述目标对象的历史操作习惯确认所述输出操作是否存在泄漏所述目标文件的行为。

与现有技术的方法相比，本申请实施例提供的检测内部文件泄露行为的方法的部署简单，维护方便，准确率高，能够实时、能有效地检测出内部合法用户对文件执行重命名操作后再输出相关文件这种场景中的内部文件泄露问题，方便管理员及时发现并制止内部的文件泄露操作，从而保护企业的数据和信息安全。

在一些实施例中，所述根据集合相似度算法确认所述重命名操作属于高危操作，包括：获取所述重命名操作对应的重命名前后的文件名称的相似度值；当所述相似度值大于相似度阈值时，则确认所述重命名操作属于所述高危操作。

本申请的一些实施例通过判断重命名前后文件名称的相似性来确定重命名操作的危险程度，这种检测方法并不涉及文件内容检测，因此可以在确认重命名操作行为危险性的基础上还尽可能地保护到了用户隐私。

在一些实施例中，通过雅卡尔算法获取所述的相似度值。

本申请的一些实施例通过雅卡尔算法确认重命名前后的文件名称对应的字符串的相似度，计算量少提升了数据处理的速度。

在一些实施例中，所述根据所述目标对象的历史操作习惯确认所述输出操作是否存在泄漏所述目标文件的行为，包括：在统计时间段内，获取所述目标对象对所述目标文件执行的组合操作的操作频次，其中，组合操作包括依次执行的重命名操作和输出操作，所述统计时间段是根据预设时间窗口和所述第一时刻确定的；根据历史日志数据获取所述组合操作的操作频次阈值；根据所述组合操作的操作频次和所述操作频次阈值确认所述输出操作是否存在泄漏所述目标文件的行为。