专利名称:用于使用业务样本来检测可疑数据泄漏的方法和系统的制作方法
用于使用业务样本来检测可疑数据泄漏的方法和系统
背景技术:
可以通过使用数据丢失防护(DLP)解决方案来识别、监视和保护保密的或其他形式的敏感信息。还称为数据泄露防护解决方案的这些解决方案适用于移动中(in motion)(例如,电子邮件、即时消息、文件传输协议消息)、使用中(例如,⑶、DVD、USB驱动)或静止(at rest)(例如,数据库、文件、网站)的数据。在入侵防御系统(IPS)或入侵检测系统(IDS)中实现了很多DLP解决方案,该入侵防御系统(IPS)或入侵检测系统(IDS)通常部署在网络的边界,诸如防火墙或防火墙后。这对于在网络内传送的未加密的敏感信息来说可能产生开放的明显漏洞。
通过参考附图,可以更好地理解本公开,并且将使得本公开的很多特征和优点对于本领域技术人员显而易见。图1是根据本发明的实施例的网络系统的拓扑框图。图2是根据本发明的实施例的用于使用业务样本对可疑数据丢失进行检测的过程流程图。图3是根据本发明的实施例的用于处理业务样本的过程流程图。图4图示了可以实现本发明的实施例的计算机系统。
具体实施例方式分组采样可以用于监视网络业务。通常,基于流的业务监视系统包括采样代理,该采样代理驻留在联网的设备上并且向数据采集器转发关于通过该设备的网络业务的信息。如本文使用的,联网的设备是被配置成生成业务样本的在网络中互连的网络基础设施设备、主机、打印机、服务器和其他计算系统。可以实现能够收集采样业务数据的各种网络管理协议。网络管理协议的示例可以包括但不限于,sFlow (在RFC 3176中进行了描述)、NetFlow和网际协议流信息导出(IPFIX)。如本文使用的,采样业务数据是构成通过联网设备的网络业务的分组的样本,并且该样本包括来自构成网络业务的分组的有效载荷数据。采样业务数据可以包括对交换流的基于分组的统计采样(例如,流采样器),并且还可以包括对网络接口统计的基于时间的采样(例如,计数器轮询)。如本文使用的,流被定义为在一个接口上接收到、进入交换/路由模块并且在另一接口上发送出的所有分组。可以利用用于采样业务数据的框架来检测网络中的可疑数据丢失。包含未加密敏感数据的分组一进入网络,不论该网络是专用网络还是公共网络,就可能发生数据丢失。如本文使用的,未加密数据是解密的数据(例如,加密然后解密)和没有加密的数据。没有加密的数据包括明文,诸如使用超文本传输协议(HTTP )、简单邮件传输协议(SMTP )、简单网络管理协议(SNMP)版本I和2、Telnet等发送的分组。本文描述了用于在包括多个联网设备的网络中检测可疑数据泄漏的方法和系统。从多个联网设备中的一个联网设备接收分组。确定分组包括采样业务数据。采样业务数据包括构成通过该联网设备的网络业务的分组的样本,并且该样本包括来自构成网络业务的分组的有效载荷数据。对采样业务数据的有效载荷数据进行分析。确定在采样业务数据的有效载荷数据中是否检测到敏感数据。图1是根据本发明的实施例的网络系统100的拓扑框图。系统100包括数据采集器12、网络管理服务器5、局域网(LAN)14、网络设备16、网络设备18、主机20、服务器22和主机24。数据采集器12耦合到LAN 14,并且被配置成从一个或多个采样代理接收采样业务数据报,并且对采样业务数据报进行分析。在另一实施例中,数据采集器12被集成到网络100中的另一设备中,诸如网络管理服务器100中。在数据采集器12和LAN 14之间的连接可以包括多个网络分段、传输技术和组件。数据采集器12包括数据丢失检测器13,该数据丢失检测器13被配置成对采样业务数据报进行解码和分析,并且在多个数据源的采样业务数据报和/或各种网络设备或主机的采样实例中检测敏感数据。在另一实施例中,数据丢失检测器13是独立设备并且耦合到数据采集器12,或者被集成到网络100中的另一设备中,诸如网络管理服务器5中。如本文使用的,数据源是可以进行业务测量的网络设备或主机设备内的位置。例如,数据源包括接口、虚拟接口、网络设备内的物理实体(例如,底板、VLAN、天线、以太网连接)和其他数据源。每个数据源可以访问流过该设备的网络业务的子集。在一个实施例中,针对设备上的每个物理接口定义数据源,从而确保经过该网络设备的每个分组被观察到。如本文使用的,采样代理实例是对通过数据源的业务的分组进行1:N采样的过程。采样代理实例可以以采样业务数据的形式向数据采集器12发送报头内容以及全部或部分采样分组有效载荷。可以存在与单个数据源相关联的一个或多个采样代理实例。每个采样代理实例独立于其他实例进行操作。数据丢失检测器13对采样业务数据进行解码,并且处理包含在采样业务数据中的采样分组有效载荷。针对敏感数据来对采样分组有效载荷进行分析。如本文使用的,敏感数据可以包括可识别个人的信息(例如,姓名、地址、电话号码、社保号码、生日、电子邮件地址、登录信息、密码、身份证号码等)、财务数据(例如,支付卡行业信息、信用卡信息、授权码、与财务卡相关联的个人标识号、客户和雇员可识别个人的信息、银行账户信息、财务报表、账单信息等)、个人健康信息(例如,患者姓名、患者标识符、诊断和程序码、保险信息、医疗账单信息等)、软件密钥、以及在支付卡行业数据安全标准(PCI DSS)、健康保险便利及责任法案(HIPAA)、家庭教育权利和隐私法案(FERPA)、金融服务现代化法案(GLBA)、萨班斯法案(SOX)和其他隐私标准下相关的其他数据。网络管理服务器5被配置成计划、部署、管理和/或监视网络,诸如网络100。此夕卜,网络管理服务器5被配置成生成包括用于流采样器和计数器轮询器的配置的一个或多个配置,并且对用于流采样、规定例如流采样器的大小等的联网设备进行配置。网络管理服务器5还可以被配置成从一个或多个采样代理接收采样业务数据报,并且分析业务采样业务数据报。网络管理服务器5经由LAN 14操作地耦合到网络设备16和网络设备18。在网络管理服务器5以及网络设备16和18之间的连接可以包括多个网络分段、传输技术和组件。LAN 14通过诸如网络交换机的多个网络基础设施设备和/或诸如网桥(bridge)的其他网络设备来实现。LAN 14可以是LAN,由路由器、以太网交换机或具有多个端口的交换机阵列实现的LAN分段。LAN 14可以包括多个子网,包括各种虚拟LAN (VLAN)0网络设备16-18经由LAN 14操作地耦合到网络管理服务器5。在网络设备16_18和LAN 14之间的连接可以包括多个网络分段、传输技术和组件。网络设备16操作地耦合到主机20。在网络设备16和主机20之间的连接可以包括多个网络分段、传输技术和组件。网络设备18操作地耦合到服务器22和主机24。在网络设备18和服务器22、以及网络设备18和主机24之间的连接可以包括多个网络分段、传输技术和组件。网络设备16-18是被配置成例如根据采样配置来接收和转发网络分组并且转发采样业务数据报的联网设备。网络设备可以包括诸如交换机或路由器的网络装置。网络设备16-18可以是由诸如无线控制器的中央设备控制的诸如无线接入点的设备组。在另一实施例中,网络设备16-18可以位于远程网络中。网络设备16-18中的每一个包括采样代理。通常,采样代理被嵌入在网络设备中,并且被配置成提供用于配置网络设备内的采样实例的接口。采样配置可以与网络管理协议和/或采样标准相关联,诸如但不限于与sFlow、Netflow等相关联。这些标准中的每一个以可能彼此不同的标准的特定格式来产生样本业务数据。采样代理被配置成使用两种采样形式:对网络业务的基于分组的统计采样(例如,流采样器)、以及且对网络接口统计的基于时间的采样(例如,计数器轮询器)。例如,采样代理采样N个分组中的I个,其中N可以由制造商来设置或者由用户(例如,网络管理员)来配置。在网络设备中所采用的特定的采样协议可以取决于网络设备的品牌或型号。例如,交换机可以采用sFlow标准。可以通过网络管理服务器5和/或数据采集器12来集中地配置采样代理。该配置可以是基于命令线的配置和/或基于简单网络管理协议(SNMP)的配置。在其他实施例中,采样代理可以被嵌入在诸如主机设备16-18的主机设备中或者独立探测器(probe)中。采样代理被配置成生成采样业务数据并且向数据采集器12提供采样业务数据。采样业务数据可以是包括数据报的分组或者是包括从网络分组获得的业务信息(例如,流采样器、计数器轮询器等)的其他数据单元。进行采样部分地涉及从网络分组中提取一些部分,并且将这些部分包括在采样业务数据中。采样代理可以访问网络分组的有效载荷中的未加密原始数据,并且有效载荷数据或其部分被添加到采样业务数据报作为流采样器。可以例如通过数据丢失检测器13来对加密数据进行采样,但是不可进行解码。特别地,在存在加密数据的情况下,即使没有对其进行解码,也仍然可以对各种报头(例如,以太网、IP和UDP或TCP报头)进行采样。例如,在使用网际协议安全(IPsec)协议的情况下,可以对以太网和IP报头进行采样。在一个实施例中,主机20、主机24和/或服务器22是联网设备,并且被配置成根据采样配置来接收网络分组并且转发采样业务数据报。此外,主机20、主机24和/或服务器22可以包括被配置成生成采样业务数据报并且向数据采集器12提供采样业务数据报的米样代理。在操作中,网络分组在整个网络100内流动,其间采样代理建立采样业务数据报。基于该配置,抽取由诸如网络设备16的网络管理设备所转发的N个分组中的I个。对于要被采样的每个网络分组,采样代理通过将网络分组中的未加密有效载荷数据复制到采样业务数据报中来建立采样业务数据报。然后,可以从其中嵌入了采样代理的网络管理设备向诸如数据采集器12的业务样本采集器发送采样业务数据报。数据采集器12可以向数据丢失检测器13转发或者以其他方式提供采样业务数据报用于进一步的分析。可以由网络管理服务器5为在该网络管理服务器5的权限和控制下的那些联网设备设定配置或者由诸如直接访问联网设备的管理员之类的其他实体来为所述联网设备设置该配置。数据丢失检测器13分析采样业务数据报并且确定其中是否检测到敏感数据。响应于检测到敏感数据,可以采取补救动作以例如保护敏感数据免于进一步散播。本发明还可以适用于其他网络拓扑和环境。网络100可以是能够使用各种商业上可用的协议中的任何一个来支持数据通信的本领域技术人员所熟悉的任何类型的网络,各种商业上可用的协议包括但不限于TCP/IP、SNA、IPX、AppleTalk等。仅举例来说,网络100可以是局域网(LAN),诸如以太网网络、令牌环网络和/或类似的网络;广域网;虚拟网络,包括但不限于虚拟专用网络(VPN);因特网;内联网;外联网;公共电话交换网络(PSTN);红外网络;无线网络(例如,在IEEE 802.11协议族、本领域中公知的蓝牙协议和/或任何其他无线协议中的任何一个下进行操作的网络);和/或这些网络和/或其他网络的任何组合。图2是根据本发明的实施例的用于使用业务样本来检测可疑数据丢失的过程流程图200。所描绘的过程流程200可以通过执行一个或多个可执行指令的序列来执行。在另一实施例中,由数据丢失检测器的组件、例如专用集成电路(ASIC)的硬件逻辑的布置等来执行过程流程200。在一个实施例中,能够进行采样的设备(例如,支持sFlow的设备)以预定采样率来随机地对网络分组进行采样,该预定采样率已经例如由网络管理服务器或者由设备制造商进行了设置。支持采样的设备上的采样代理生成采样业务数据,并且向数据采集器提供所述采样业务数据。在一个实施例中,采样代理采用sFlow版本5.0标准,如sFlow组织公布并且被因特网工程任务组确认为RFC-3176。在一个示例中,采样业务数据作为UDP分组被接收到指定主机和数据采集器上的端口。默认端口是6343。UDP有效载荷包含sFlow数据报。每个数据报提供关于sFlow版本、源发代理的IP地址、序列号、包含了多少样本并且根据RFC 3176中描述的sFlow标准通常是高到10个流样本的信息。流样本包括来自采样分组的未加密有效载荷数据。从网络分组中采样的字节的数目可完全根据sFlow标准来配置。通常,默认采样128个字节,但是可以对其进行调整以捕捉更多或更少。在一个示例中,在128个采样字节中,14个字节是以太网报头,20个字节来自IP报头,并且20个字节来自TCP报头,其余的74的字节来自网络分组的有效载荷。当网络分组是UDP分组(而不是TCP分组)时,128个采样字节中的86个字节来自网络分组的有效载荷。在一个实施例中,各种采样代理以分组的形式向例如数据采集器和/或数据丢失检测器提供采样业务数据。在步骤210处,对接收到的分组进行解码。在解码中,将格式应用于数据,使得数据可读取以用于进一步的处理。通常,使用各种标准文本格式来编码原始流采样器,包括但不限于US-ASCI1、ISO 8859-1、Unicode UTF-8等。可以使用一个或多个标准文本格式或者适用于网络于其中操作、源设备所位于的区域的其他格式来在接收到的分组上执行字符集解码。在步骤220处,确定接收到的分组是否是采样业务数据。在解码之后,检查分组的报头,并且如果确定该分组是采样业务数据,则处理继续到步骤225。否则,如果接收到的分组不是采样业务数据,则处理结束。在步骤225处,剥去接收到的分组的报头,在采样业务数据中使有效载荷数据与采样分组相隔离。例如,使用sFlow网络管理协议,接收到的分组可以是包括以太网报头、TCP/IP报头、UDP报头和sFlow数据报的sFlow分组。sFlow数据报包括报头部分和分组数据部分。sFlow数据报的分组数据部分包括多个sFlow样本。每个sFlow样本包括报头部分和数据部分。sFlow样本的数据部分包括来自由采样代理采样的网络分组(B卩,采样分组)的有效载荷数据。可以丢弃所有的报头,从而隔离采样分组的有效载荷数据。在步骤230处对采样业务数据中的有效载荷数据进行分析。具体地,对包括在采样业务数据中的采样分组的隔离的有效载荷数据的内容进行分析。与用于检测数据泄漏的基于流的技术不同,对在采样业务数据中的内容的分析依赖于检测可疑数据丢失。如前所述,采样分组数据的有效载荷部分包含采样网络分组的报头和有效载荷。经由例如深度分组检查技术对(如包含在采样业务数据中的)采样网络分组的有效载荷进行处理。关于图3进一步描述处理过程。可以向诸如检查插件的检查模块提供构成(如包含在采样业务数据中的)采样网络分组的有效载荷的解码串,该检查模块基于检测策略来识别网络中的敏感数据。用于信用卡匹配的检测策略识别到,主要的信用卡公司使用对诸如Visa、MasterCard或Discover的每个品牌的卡独特的标准编号序列。检测策略可以使用正则表达式或其他技术来检测这些信用卡公司中的一个的匹配号码模式。此外,可以使用作为校验和的Luhn算法来验证信用卡号或其他标识号,诸如国际移动设备标识αΜΕΙ)号、国家供应商标识号、加拿大社保号码等。用于社保号码匹配的检测策略可以使用识别包含在文件和其他数据中的社保号码的正则表达式。此外,以对保健信息和财务信息的检测为重点的策略可以采用类似的正则表达式匹配技术,正如本领域的技术人员所公知的。还可以采用诸如数字指纹(例如,诸如安全散列算法I和安全散列算法2的散列)的其他检测技术。在步骤235处,确定是否检测到敏感数据。如果没有检测到敏感数据,则处理结束。另一方面,如果确实检测到敏感数据,则处理继续到步骤240,其中响应于该检测而执行补救动作。补救动作可以由网络设备、数据丢失检测器或诸如网络管理服务器的其他实体来执行。在一个实施例中,在匹配到明确的模式的情况下,可以触发事件并且生成警报。该警报可以使得补救动作发生。例如,警报可以被发送到网络管理服务器,该网络管理服务器然后执行补救动作。补救动作可以采用多种形式,诸如终止或修改进行中的进程、执行程序或应用以针对威胁或侵犯进行补救、将关于可疑数据丢失的数据记录在事件表中、终止连接、在交换机上阻塞数据所源于的端口等。其他补救动作可以包括向网络管理员、系统日志服务器、事件采集器或网络管理服务器通知可疑数据丢失。响应于该通知,这些实体中的一个或多个可以采取附加的补救动作。在检测到指示可疑数据丢失(例如,检测到敏感数据)的事件时,可以例如在事件表(一个或多个)中登记(log)和跟踪那些事件。在一个实施例中,登记唯一的事件而不跟踪相关事件。基于可配置的登记策略,事件可以被认为与另一事件相关(例如,重复事件、以其他方式共享共同属性)。例如,一个登记策略指示涉及同时或几乎同时检测到的相同类型的卡(例如,Visa、MasterCard、American Express等)和/或相同卡号的泄漏是相关的。在检测到相关事件的情况下,登记单个事件来表示所有的相关或重复事件。重复和/或相关事件的消除使得在大量警报情况下网络管理员或执行进一步补救动作的系统超载最小。可以报告唯一事件的每个记录用于附加的补救动作。例如,向网络管理服务器提供警告、警报或其他消息来以特定于事件的配置文件所规定的方式自动阻止数据丢失的威胁。可以使用多级散列表来实现这些事件的高效登记和查找,该多级散列表可以被实现为多个散列表。例如,可以使用源地址散列、然后是目的地地址散列、然后是泄漏类型散列、然后是有效载荷散列来实现登记。在第一级处,一个散列表使用包含可疑泄漏的采样网络分组的源IP地址作为第一级密钥。在第二级处,另一散列表使用采样网络分组的目的地IP地址作为第二级密钥。第三级使用泄漏类型作为第三级密钥。如本文使用的,泄漏类型是表示可疑泄漏的类型(例如,MasterCard、JCB卡、Visa、American Express、社保号码等)的值,并且有效载荷是被怀疑为针对给定泄漏类型而泄漏的信息的列表(例如,信用卡号、社保号、密码等)。散列表中的每个记录包括识别包含可疑泄漏的采样网络分组中使用的(一个或多个)协议(例如,TCP、UDP、ICMP等)的列表或另一个散列表(例如,目的地地址)以及包含疑被泄露的敏感数据(例如,信用卡号、个人标识号等)的列表或另一个散列表。提供敏感数据以例如允许网络管理员确认泄漏报告的准确性,并且采取动作以在信息落入未授权的实体手中之前解决可能的泄漏。图3是根据本发明的实施例的用于处理业务样本的过程流程图300。所描绘的过程流程300可以通过执行一个或多个可执行指令序列来执行。在另一实施例中,通过数据丢失检测器的组件、检查模块、例如专用集成电路(ASIC)的硬件逻辑的布置等来执行过程流程300。在步骤305处,例如通过使用正则表达式和其他技术检测信用卡公司的匹配号码模式来确定在采样业务数据中是否检测到信用卡号(CCN)或信用卡(CC)跟踪数据。如本文使用的,CC跟踪数据包括客户姓名、信用卡号、过期日期、卡安全码、借记卡情况下的PIN码以及通常编码在卡背面上的磁条内的其他信息。可以如前所述使用例如Luhn算法然后是用于确定卡的类型的小型正则表达式来对CCN和/或CC跟踪数据进行验证,如果有的话。在检测到CCN或CC跟踪数据的情况下,在步骤310处对CCN和/或CC进行分类。可以识别卡的类型(例如,Visa、MasterCard、American Express等)。例如,可以将事件登记在多级散列表中的过程期间使用该分类数据。在步骤312处,确定检测到敏感数据。如果在步骤305处没有检测到信用卡号或信用卡跟踪数据,则处理继续到步骤315,其中通过例如使用正则表达式或其他技术检测匹配号码模式的方式来确定在采样业务数据中是否检测到社保号(SSN)候选。例如,在该阶段候选SSN的检测在可识别个人的信息、财务数据和个人健康信息的不同类型之间进行区分,诸如使9位的SSN与9位的PIN进行区分。一旦检测到SSN候选,在步骤317处进行验证。具体地,使用由数据丢失检测器、数据采集器或网络管理服务器保持的有效和/或无效代码的列表来验证候选SSN的结构。首先,生成有效和/或无效代码的列表。所述代码指示有效的社保代码。该信息可以由政府机关或被授权发布社保号的其他实体来提供。具体地,社保行政部门维护可公开访问的提供最新信息的网站。可以通过参考由授权实体提供的信息来生成初始有效和/或有效列表。其次,有效和/或无效代码的列表被自动更新以反映授权实体所提供的最新的信息。数据丢失检测器、数据采集器或网络管理服务器周期性地(例如,每月、每周、每天、每小时等)进行连接,并且访问社保行政部门的网站。该网站包括最新的社保验证数据按年和按月的列表。例如,通过确定该网站是否在网站上列出了当年当月(当天)来确定有效和/或无效代码的列表是否包含最近的信息。如果在列表上不存在当月,则还没有进行更新。如果存在当月,则对应于当月的文件被获取并且解析成例如列,每个列表示地区号码和组号码中的一个。如果在获取的文件中存在列表中不存在的地区和/或组号码,则添加那些号码。可以执行附加的处理以基于所获取的文件中的信息来确定无效代码。如前所述,对候选SSN的结构进行验证。9位U.S.SSN的前三个数字构成地区号码。通常,地区号码通过地理位置来分配。将该候选SSN的这前三个数字与有效代码和/或无效代码的列表中的地区号码进行比较。还可以对SSN候选的中间两个数字进行验证。中间两个数字指示组号码。通常,一组组号码与分配给地理位置的每个地区号码相对应。将该中间两个数字与有效和/或无效代码的列表中的中间数字进行比较。包含除了在列表中找到的那些之外的地区号码和组号码的任何SSN候选可以被认为是无效的。此外,还可以对SSN候选的最后四个数字进行验证。通常,最后四个数字构成序列号,所述最后四个数字在每个地区和组的组合内以升序进行分配。可以通过政府机关网站来周期性地(例如,每月)提供SSN发布列表。过程可以访问由政府机关网站提供的该信息,更新有效/无效列表,并且基于该信息,可以确定SSN候选的最后四个数字是否有效。政府机关可以频繁地(B卩,每月)更新组代码和序列号。对政府机关网站的访问和更新的定时和频率可以与政府机关所提供的更新的定时相对应。可以执行SSN验证的其他方法。如果SSN候选没有被验证,则在步骤320处确定没有检测到敏感数据。否则,如果SSN候选被验证,则在步骤325处确定检测到敏感数据。在步骤315处没有检测到SSN候选的情况下,在步骤330处确定是否检测到其他敏感数据。可以执行敏感数据检测的已知方法。如果在采样业务数据中没有发现,则在步骤337处确定没有检测到敏感数据。否则,在步骤335处确定检测到敏感数据。图4图示了可以实现本发明的实施例的计算机系统。系统400可以用于实现上述计算机系统中的任何一个。计算机系统400被示出为包括可以经由总线424电气耦合的硬件元件。硬件元件可以包括一个或多个中央处理单元(CPU) 402、一个或多个输入设备404(例如,鼠标、键盘等)以及一个或多个输出设备406 (例如,显示设备、打印机等)。计算机系统400还可以包括一个或多个存储设备408。举例来说,存储设备(一个或多个)408可以包括诸如磁盘驱动、光存储设备、固态存储设备之类的可以是可编程、可闪速更新等的设备,固态存储设备诸如随机存取存储器(“RAM”)和/或只读存储器(“ROM”)。计算机系统400可以另外包括计算机可读存储介质读取器412、通信系统414 (例如,调制解调器、网卡(无线或有线)、红外通信设备等)以及可以包括如上所述的RAM和ROM设备的工作存储器418。在一些实施例中,计算机系统400还可以包括处理加速单元416,其可以包括数字信号处理器(DSP )、专用处理器等。计算机可读存储介质读取器412可以进一步连接到计算机可读存储介质410,一起(并且在一个实施例中结合一个或多个存储设备408)总体表示用于临时和/或更永久地包含、存储、传送和检索计算机可读信息的远程、本地、固定和/或可移除的存储设备以及存储介质。通信系统414可以允许与网络和/或以上关于系统400所描述的任何其他计算机来交换数据。计算机系统400还可以包括被示出为当前位于工作存储器418内的软件元素,包括操作系统420和/或其他代码422,诸如应用程序(可以是客户端应用、Web浏览器、中间层应用、RDBMS等)。应当认识到,计算机系统400的替代实施例可以具有根据上述的很多变体。例如,还可能使用定制硬件和/或可能以硬件、软件(包括诸如小程序的可移植软件)或二者来实现的特定元素。此外,可以采用到诸如网络输入/输出设备的其他计算设备的连接。因此,在说明性而不是限定性的意义上来考虑本说明书和附图。然而,明显的是,在不背离如权利要求书中所阐述的本发明的广泛精神和范围的情况下,可以对本发明进行各种修改和改变。在本说明书中(包括任何所附权利要求、摘要和附图)所公开的每个特征可以用用作相同、等价或类似目的的替代特征来替换,除非另外明确说明。因此,除非另外明确说明,否则所公开的每个特征是一般的一系列等价或类似特征的一个示例。本发明不限于任何前述实施例的细节。本发明扩展为在本说明书(包括所附权利要求、摘要和附图)中所公开的特征的任何新颖的一个或任何新颖的组合,或者扩展为这样公开的任何方法或过程的步骤的任何新颖的一个或任何新颖的组合。权利要求书不应当被理解为仅涵盖前述实施例,而是还涵盖落入权利要求书的范围内的任何实施例。
权利要求
1.一种在包括多个联网设备的网络中检测可疑数据泄漏的方法,所述方法包括: 从所述多个联网设备中的一个联网设备接收分组; 确定所述分组包括采样业务数据,所述采样业务数据包括构成通过所述联网设备的网络业务的分组的样本,所述样本包括来自构成网络业务的分组的有效载荷数据; 对所述采样业务数据的所述有效载荷数据进行分析; 由数据丢失检测器基于所述分析来确定在所述采样业务数据的所述有效载荷数据中是否检测到敏感数据;以及 响应于确定检测到敏感数据而执行补救动作。
2.根据权利要求1所述的方法,其中,对所述有效载荷数据进行分析包括: 确定在所述有效载荷数据中是否检测到信用卡号或信用卡跟踪数据;以及 确定在所述有效载荷数据中是否检测到包括社保候选的号码。
3.根据权利要求2所述的方法,其中,对所述有效载荷数据进行分析进一步包括: 在检测到社保候选的情况下,对作为社保号码的号码进行验证; 在所述验证成功的情况下,确定检测到敏感数据;以及 在所述验证不成功的情况下,确定没有检测到敏感数据。
4.根据权利要求1所述的方法,其中,所述补救动作包括生成警报。
5.根据权利要求1所述的方法,进一步包括:将敏感数据的所述检测登记在事件表中。
6.一种在包括多个联网设备的网 络中检测可疑数据泄漏的方法,所述方法包括: 访问由被授权发布社保号码的实体提供的验证数据; 由数据丢失检测器基于所述验证数据来更新有效社保代码的列表; 从所述多个联网设备中的一个联网设备接收分组; 确定所述分组包括采样业务数据,所述采样业务数据包括构成通过所述联网设备的网络业务的分组的样本,所述样本包括来自构成网络业务的分组的有效载荷数据; 确定在所述有效载荷数据中是否检测到包括社保候选的号码; 基于所述有效社保代码的列表来验证所述号码的多个数字;以及 在所述多个数字被验证的情况下,确定检测到敏感数据。
7.根据权利要求6所述的方法,进一步包括:响应于确定检测到敏感数据而执行补救动作。
8.根据权利要求7所述的方法,其中,所述补救动作包括生成警报。
9.根据权利要求6所述的方法,进一步包括:将敏感数据的所述检测登记在事件表中。
10.根据权利要求6所述的方法,其中,所述多个数字包括地区号码、组号码和序列号。
11.一种用于在包括多个联网设备的网络中检测可疑数据泄漏的系统,所述系统包括: 数据采集器,所述数据采集器被配置成从所述多个联网设备中的一个联网设备的采样代理接收采样业务数据报,所述采样业务数据报包括构成通过所述联网设备的网络业务的分组的样本,所述样本包括来自所述分组的有效载荷数据;以及 数据丢失检测器,所述数据丢失检测器耦合到所述数据采集器,所述数据丢失检测器被配置成对所述采样业务数据报进行解码,分析所述采样业务数据报的所述有效载荷数据,并且确定在所述采样业务数据报的所述有效载荷数据中是否检测到敏感数据。
12.根据权利要求11所述的系统,其中,所述数据采集器进一步被配置成响应于确定检测到敏感数据而执行补救动作。
13.根据权利要求12所述的系统,其中,所述补救动作包括生成警报。
14.根据权利要求11所述的系统,其中,所述数据采集器进一步被配置成将敏感数据的检测登记在事件表中。
15.根据权利要求11所述的系统,其中,所述数据丢失检测器被配置成通过下述方式来分析所述有效载荷数据: 确定在所述有效载荷数据中是否检测到信用卡号或信用卡跟踪数据;以及 确定在所述有效载荷数据中 是否检测到包括社保候选的号码。
全文摘要
本文描述了用于在包括多个联网设备的网络中检测可疑数据泄漏的方法和系统。从多个联网设备中的一个联网设备接收分组。确定所述分组包括采样业务数据。所述采样业务数据包括构成通过所述联网设备的网络业务的分组的样本,并且该样本包括来自构成网络业务的分组的有效载荷数据。对所述采样业务数据的有效载荷数据进行分析。确定在采样业务数据的有效载荷数据中是否检测到敏感数据。
文档编号H04L12/26GK103155487SQ201080069860
公开日2013年6月12日 申请日期2010年10月26日 优先权日2010年10月26日
发明者M.R.T.霍尔, R.J.J.库尔恩斯特拉 申请人:惠普发展公司,有限责任合伙企业