[发明专利]一种基于深度内容解析的HTTP协议数据防外泄方法及系统

说明书

本发明公开了一种基于深度内容解析的HTTP协议数据防外泄方法及系统，涉及数据保护领域，所述方法包括：在网络边界串联接入用来阻断涉密数据的数据防外泄系统；利用所述数据防外泄系统，抓取外发报文，并确定所述外发报文的协议类型；当确定所述外发报文的协议类型是HTTP协议时，判断所述外发报文是否包含涉密数据；若判断所述外发报文包含涉密数据，则阻断所述涉密数据外泄。本发明实现网络边界HTTP协议敏感数据的有效阻断，提供对外发报文的深度解析和实时匹配功能，不会出现漏阻情况，有效保护企业数据资产安全，且对用户透明，不影响用户体验，容易被用户接受。

技术领域

本发明涉及数据保护领域，特别涉及一种基于深度内容解析的HTTP协议数据防外泄方法及系统。

背景技术

在信息技术飞速发展的今天，企业对信息系统的依赖程度越来越高，信息系统的稳定、安全直接关系到企业的核心竞争力。

企业用户使用WEB浏览器进行包括收发邮件，在微博、天涯、贴吧等社交网络发帖等操作，使用网盘存储文件等方式会造成主动或被动的信息泄露，给企业带来巨大的经济损失。

WEB浏览器主要使用超文本传输协议(HyperText Transfer Protocol，HTTP)进行数据传输，目前网络边界处针对HTTP协议的敏感数据防外泄问题，主要有基于防火墙、网关、代理和旁路阻断这四大主流技术。

其中，防火墙和网关工作在网络层以下，仅有少数高级防火墙能够做到对应用层数据中的身份证号、银行账号等数据进行简单过滤，例如通过将高级防火墙部署在网络边界，检查应用层、传输层和网络层的协议特征，并针对特定应用程序和文件类型，对应用层数据中的身份证号、银行账号等数据进行简单匹配和过滤，但高级防火墙不具备对应用层协议的深度解析和匹配功能，无法对内容违规的邮件等进行阻断，而且只支持有限的应用，伸缩性差，用户难以配置，且对网络不透明。代理模式以牺牲速度为代价换取了更高的安全性能，但在网络吞吐量大时会成为网络的瓶颈，且需要设置相应的代理，影响用户体验，难于实施推广。旁路模式通过交换机端口镜像并联进网络，对TCP协议可以发送TCP_RESET报文进行阻断，但由于TCP_RESET报文的滞后性，很容易失去对网络的控制，从而导致被保护数据的泄露。

发明内容

本发明的目的在于提供一种基于深度内容解析的HTTP协议数据防外泄方法及系统，能更好地解决HTTP协议数据外泄的问题。

根据本发明的一个方面，提供了一种基于深度内容解析的HTTP协议数据防外泄方法，包括：

在网络边界串联接入用来阻断涉密数据的数据防外泄系统；

利用所述数据防外泄系统，抓取外发报文，并确定所述外发报文的协议类型；

当确定所述外发报文的协议类型是HTTP协议时，判断所述外发报文是否包含涉密数据；

若判断所述外发报文包含涉密数据，则阻断所述涉密数据外泄。

优选地，所述确定所述外发报文的协议类型的步骤包括：

利用所述数据防外泄系统，获取所述外发报文的端口特征；

根据所述外发报文的端口特征和应用层协议特征，确定所述外发报文的协议类型。

优选地，所述判断所述外发报文是否包含涉密数据的步骤包括：

利用所述数据防外泄系统，确定HTTP会话的所述外发报文是否为关键报文；

当确定所述HTTP会话的外发报文是关键报文时，判断所述HTTP会话的四元组特征和/或顺序拼接后的应用层数据是否与预设阻断策略相匹配；

若匹配，则判断所述外发报文包含涉密数据。