[发明专利]一种基于DPI的敏感文件流转监控方法

权利要求书

1.一种基于DPI的敏感文件流转监控方法，其特征在于，包括如下步骤：

步骤S10，建立敏感数据字典库，所述敏感数据是反映企业经营内容和客户信息的数据；

步骤S20，通过DPI设备还原通信流量数据中的数据库操作语句，并根据敏感数据字典库识别数据库操作语句中的敏感数据，并更新敏感数据字典库；

步骤S30，通过DPI设备的操作日志，所述操作日志包括有数据库导出到文本的导出操作，识别敏感数据的导出操作，并相应建立敏感文件特征库；

步骤S40，根据敏感文件特征库，分析敏感文件在文件管控区域内的流转过程，当判断出敏感文件从文件管控区域内流出时进行告警；

步骤S10所述的敏感数据字典库包括有敏感表名称和敏感字段名称；

所述敏感数据字典库还根据敏感表和敏感字段的关键字的词频进行分级；所述分级方法是先对敏感表和敏感字段的关键字进行提取，然后采用词频TF-IDF算法，对敏感字典进行分级；所述敏感数据字典库包括两级字典，第一级为包括有高频、英文单词和带有明确语义的英文缩写的高频字典、第二级为包括有低频、拼音缩写组合和数字的全部字典；

步骤S20所述的识别是首先通过与敏感数据字典比配，判断数据库操作语句中，是否存在的复制行为；然后，判断数据库操作语句中是否为敏感数据，如果是则将该数据库操作语句存入敏感数据字典库；

步骤S20所述的数据库操作语句与敏感数据字典进行比配，首先是对数据库操作语句进行一次匹配，再对匹配成功的敏感表名进行二次匹配，所述二次匹配为全匹配或是细粒度的正则匹配；根据第一次判断结果，符合程度高的数据进入步骤S20后续的处理流程，对符合程度低的数据进行二次判断；

步骤S20所述的分析操作行为，具体为：检查是否有敏感表、敏感字段的数据被复制到新的表中，将新的表名与原有字典进行比较、分级并存入敏感数据字典；

所述步骤S30还包括有：对敏感操作的对象进行敏感数据的校验，当判定为敏感数据时，将敏感文件的特征信息存入敏感文件特征库；

所述敏感文件的特征信息包括文件名、文件大小、文件MD5值和网络地址；

步骤S40所述分析敏感文件在文件管控区域内的流转过程，具体为：通过DPI设备对流转过程的流量进行还原，从而获取流量中的文件特征；流转过程包括FTP协议和HTTP协议的文件传送；

所述步骤S40对敏感文件流出的判断，是通过对符合敏感文件识别标示的信息进行网络地址的比较进行的，具体为：先比较目的地址是否在合规区域内，如果不在合规区域内，再对源地址进行比较，如果源地址在合规区域内，则判断为合规区域流向非合规区域的敏感文件，并产生高级别告警；如果源地址在合规区域外，则产生低级别告警，并从目的地址主机对文件进行二次核查；如果目的地址和源地址都在合规区域内，则不产生告警。