[发明专利]一种基于DPI的敏感文件流转监控方法

说明书

本发明公开的一种基于DPI的敏感文件流转监控方法，包括：建立敏感数据字典库，所述敏感数据是反映企业经营内容和客户信息的数据；通过DPI设备还原通信流量数据中的数据库操作语句，并根据敏感数据字典库识别数据库操作语句中的敏感数据，并更新敏感数据字典库；通过DPI设备的操作日志，所述操作日志包括有数据库导出到文本的导出操作，识别敏感数据的导出操作，并相应建立敏感文件特征库；根据敏感文件特征库，分析敏感文件在文件管控区域内的流转过程，当判断出敏感文件从文件管控区域内流出时进行告警。本发明的监控方法，通过数据库流量的协议还原技术，实现数据库、文件的流转监控，及时发现泄漏的敏感信息，提高企业的数据安全防范能力。

技术领域

本发明涉及计算机数据安全技术领域，具体涉及一种基于DPI的敏感文件流转监控方法。

背景技术

随着信息化建设的快速发展，企业的大量数据存储在数据库、文件中，这些数据库和文件包含了大量与企业经营、客户数据相关的敏感数据。传统路由器虽然能够对数据报文进行各种控制，但是其缺乏对数据报文的识别及处理能力。深度报文检测设备(DPI，DeepPacket Inspection)是具备业务数据流识别、业务数据流控制能力的网络设备，其工作在OSI(open system interconnect，开放系统互连)模型传输层到应用层，具有高数据流处理能力，能够对网络所承载的业务进行识别和流量管理，可部署在网络骨干网、城域网和企业网内部。

目前DPI设备的应用技术中，缺少对企业能够通过对这些敏感信息的监控应用，使得企业数据存在敏感信息泄漏的风险。

发明内容

本发明的目的在于针对上述现有技术中存在的问题，提出一种基于DPI的敏感文件流转监控方法及系统，通过敏感数据字典库与DPI设备通信数据的比对，以及DPI设备对敏感数据流转监控，实现降低企业数据敏感信息泄露风险的作用。

为达到上述发明的目的，本发明通过以下技术方案实现：

一种基于DPI的敏感文件流转监控方法，包括如下步骤：

步骤S10，建立敏感数据字典库，所述敏感数据是反映企业经营内容和客户信息的数据；

步骤S20，通过DPI设备还原通信流量数据中的数据库操作语句，并根据敏感数据字典库识别数据库操作语句中的敏感数据，并更新敏感数据字典库；

步骤S30，通过DPI设备的操作日志，所述操作日志包括有数据库导出到文本的导出操作，识别敏感数据的导出操作，并相应建立敏感文件特征库；

步骤S40，根据敏感文件特征库，分析敏感文件在文件管控区域内的流转过程，当判断出敏感文件从文件管控区域内流出时进行告警。

进一步，步骤S10所述的敏感数据字典库包括有敏感表名称和敏感字段名称。

进一步，所述敏感数据字典库还根据敏感表和敏感字段的关键字的词频进行分级；所述分级方法是先对敏感表和敏感字段的关键字进行提取，然后采用词频TF-IDF算法，对敏感字典进行分级；所述敏感数据字典库包括两级字典，第一级为包括有高频、英文单词和带有明确语义的英文缩写的高频字典、第二级为包括有低频、拼音缩写组合和数字的全部字典。

进一步，步骤S20所述的识别是首先通过与敏感数据字典比配，判断数据库操作语句中，是否存在的复制行为；然后，判断数据库操作语句中是否为敏感数据，如果是则将该数据库操作语句存入敏感数据字典库。

进一步，步骤S20所述的数据库操作语句与敏感数据字典进行比配，首先是对数据库操作语句进行一次匹配，再对匹配成功的敏感表名进行二次匹配，所述二次匹配为全匹配或是细粒度的正则匹配；根据第一次判断结果，符合程度高的数据进入步骤S20后续的处理流程，对符合程度低的数据进行二次判断。