一种信息泄露攻击检测方法、装置、电子设备及存储介质与流程

1.本申请涉及网络安全技术领域，特别涉及一种信息泄露攻击检测方法、信息泄露攻击检测装置、电子设备及计算机可读存储介质。


背景技术：

2.信息泄露攻击是一种以获取业务系统信息(客户私人信息，业务管理信息，公司内部人员资料等)为目的的攻击方式，攻击者通过某些攻击途径获取目标关键信息，并利用目标关键信息实现其目的。为了对信息泄露攻击进行防护，需要先将其检出，相关技术通常为业务系统设置对应的特征规则，在检测到与特征规则匹配的数据流出时认为检测到信息泄露攻击。然而，业务系统的某些正常业务也需要输出与特征规则匹配的数据，这样就会导致出现大量误报情况，因此相关技术的误报情况严重。


技术实现要素：

3.有鉴于此，本申请的目的在于提供一种信息泄露攻击检测方法、信息泄露攻击检测装置、电子设备及计算机可读存储介质，降低信息泄露攻击检测的误报率。
4.为解决上述技术问题，本申请提供了一种信息泄露攻击检测方法，具体包括：
5.获取待检测流量，并判断所述待检测流量中是否存在目标数据；所述目标数据为预设敏感数据；
6.若存在所述目标数据，则对所述待检测流量进行异常网络行为检测，判断是否存在异常网络行为；
7.若存在所述异常网络行为，则确定检测到所述信息泄露攻击。
8.可选地，所述对所述待检测流量进行异常网络行为检测，判断是否存在异常网络行为，包括：
9.对所述待检测流量进行异常访问检测；
10.若检测到异常访问，则确定存在所述异常网络行为。
11.可选地，对所述待检测流量进行异常访问检测，包括：
12.确定所述目标数据对应的请求方，并获取所述请求方对应的访问参数；
13.判断所述访问参数是否处于预设区间；
14.若所述访问参数处于所述预设区间，则确定检测到所述异常访问。
15.可选地，所述获取所述请求方对应的访问参数，包括：
16.获取所述请求方对应的多个初始响应数据包；
17.基于所述初始响应数据包的内容对所述初始响应数据包进行去重处理，得到响应数据包；
18.利用所述响应数据包生成所述请求方对应的所述访问参数。
19.可选地，所述获取所述请求方对应的访问参数，包括：
20.确定所述目标数据对应的响应方；
21.计算所述请求方对所述响应方的访问频率，并将所述访问频率确定为所述访问参数。
22.可选地，所述获取所述请求方对应的访问参数，包括：
23.确定所述目标数据对应的响应方；
24.计算所述请求方对所述响应方的访问次数，并将所述访问次数确定为所述访问参数。
25.可选地，所述对所述待检测流量进行异常网络行为检测，判断是否存在异常网络行为，包括：
26.对所述待检测流量进行异常响应检测；
27.若检测到异常响应，则确定存在所述异常网络行为。
28.可选地，对所述待检测流量进行异常响应检测，包括：
29.确定所述目标数据所属的目标数据包，并获取所述目标数据包对应的目标数据数量；
30.判断所述目标数据数量是否大于预设数量阈值；
31.若大于所述预设数量阈值，则确定检测到所述异常响应。
32.可选地，所述判断所述待检测流量中是否存在目标数据，包括：
33.获取预设数据特征；
34.判断所述待检测流量中是否存在与所述预设数据特征相匹配的数据；
35.若存在与所述预设数据特征相匹配的部分，则确定存在所述目标数据，并将与所述预设数据特征相匹配的数据确定为所述目标数据。
36.本申请还提供了一种信息泄露攻击检测装置，包括：
37.目标数据判断模块，用于获取待检测流量，并判断所述待检测流量中是否存在目标数据；所述目标数据为预设敏感数据；
38.异常网络行为检测模块，用于若存在所述目标数据，则对所述待检测流量进行异常网络行为检测，判断是否存在异常网络行为；
39.检出模块，用于若存在所述异常网络行为，则确定检测到所述信息泄露攻击。
40.本申请还提供了一种电子设备，包括存储器和处理器，其中：
41.所述存储器，用于保存计算机程序；
42.所述处理器，用于执行所述计算机程序，以实现上述的信息泄露攻击检测方法。
43.本申请还提供了一种计算机可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现上述的信息泄露攻击检测方法。
44.本申请提供的信息泄露攻击检测方法，获取待检测流量，并判断待检测流量中是否存在目标数据；目标数据为预设敏感数据；若存在目标数据，则对待检测流量进行异常网络行为检测，判断是否存在异常网络行为；若存在异常网络行为，则确定检测到信息泄露攻击。
45.可见，该方法在获取待检测流量后，先判断其中是否存在目标数据，目标数据即为可能因遭受到信息泄露攻击而泄漏的数据，其本身为预设敏感数据。若存在，则为了准确判断是否由于遭受到信息泄露攻击造成了信息泄露，即准确判断是否检测到信息泄露攻击，进一步判断是否发生了异常网络行为。信息泄露攻击会导致大量目标数据被发送响应，这
种数据输出方式由异常网络行为引起，不可能出现在正常业务中，因此若检测到存在异常网络行为，则可以确定检测到信息泄露攻击。该方法在检测到目标数据后不会立即判定为检测到信息泄露攻击，而是进一步判断是否存在异常网络行为，在确定存在正常业务不会出现的异常网络行为后确定检测到信息泄露攻击，降低了信息泄露攻击的误报率，解决了相关技术误报情况严重的问题。
46.此外，本申请还提供了一种信息泄露攻击检测装置、电子设备及计算机可读存储介质，同样具有上述有益效果。
附图说明
47.为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
48.图1为本申请实施例提供的一种信息泄露攻击检测方法流程图；
49.图2为本申请实施例提供的一种异常响应检测过程流程图；
50.图3为本申请实施例提供的一种异常访问检测过程流程图；
51.图4为本申请实施例提供的一种目标数据检测过程流程图；
52.图5为本申请实施例提供的一种具体的信息泄露攻击检测过程流程图；
53.图6为本申请实施例提供的一种信息泄露攻击检测装置的结构示意图；
54.图7为本申请实施例提供的一种信息泄露攻击检测方法所适用的一种硬件组成框架示意图；
55.图8为本申请实施例提供的另一种信息泄露攻击检测方法所适用的一种硬件组成框架示意图。
具体实施方式
56.为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
57.信息泄露攻击为攻击者通过某些途径获取隐私信息的攻击方式，相关技术通常针对业务系统需要防止泄露的信息设置对应的检测规则，采用判断需要防止泄露的信息是否被输出的方式判断是否遭受信息泄露攻击，或者基于蜜罐思维，设置蜜罐信息，通过判断蜜罐信息是否被泄露的方式判断是否遭受信息泄露攻击。蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。然而，设置蜜罐信息的方式需要攻击者触碰蜜罐信息，若攻击过程不涉及蜜罐信息，则无法检测到攻击行为，导致漏报，且将蜜罐信息与真实业务信息共同存储，存在影响业务运行的风险。而设置检测规则的方式会对部分正常调取需要防止泄
露的信息的业务进行报错，导致误报较多。
58.为了解决相关技术的问题，本申请提出了一种信息泄露攻击检测方法。请参考图1，图1为本申请实施例提供的一种信息泄露攻击检测方法流程图。该方法包括：
59.s101：获取待检测流量。
60.待检测流量可以为任意设备对应的流量，该设备中保存有不应泄漏的信息或数据，例如用户个人数据、账户数据等，这些数据被设置为不应泄漏至外界的状态，可以被称为目标数据，具体可以由指定的服务器或计算机存储。待检测流量可以为执行本实施例中全部或部分步骤的电子设备直接获取到的网络流量，例如可以由保存目标数据的目标设备获取，即将目标设备获取到和发送出的全部数据包确定为待检测流量，并对其进行处理。在另一种实施方式中，待检测流量可以由其它设备获取，并发送至执行本实施例中全部或部分步骤的电子设备处进行信息泄露攻击检测，例如可以由对网络流量进行处理的路由器或网关获取，在获取后发送至专门用于检测信息泄露攻击的电子设备，可以理解的是，该电子设备在对信息泄露攻击进行检测的同时，还可以执行其他业务。
61.本实施例并不限定获取待检测流量的时机，例如可以实时获取待检测流量，即在检测到存在待检测流量时获取，或者可以在接收到获取指令时获取，获取指令的生成方式和规则不做限定。
62.s102：判断待检测流量中是否存在目标数据。
63.在获取待检测流量后，判断其中是否存在目标数据，目标数据即为需要防止被泄漏的数据，其本身为预设敏感数据，其具体内容可以根据需要进行设置，本实施例不做限定。本实施例并不限定判断是否存在目标数据的具体判断方式，可以参考相关技术。例如在一种可行的实施方式中，可以针对目标数据的格式生成对应的检测规则，利用检测规则对待检测流量中的数据进行匹配，若匹配到了符合检测规则的数据，则确定待检测流量中存在目标数据，且目标数据即为与检测规则对应的数据。本实施例并不限定一个待检测流量内目标数据的具体数量，即目标数据可以为一个或多个。
64.若检测到待检测流量中不存在目标数据，则可以执行s105步骤；若检测到待检测流量中存在目标数据，则说明有目标数据流出，但是无法确定其是否由于遭受到信息泄露攻击而流出，因此进行进一步检测，即执行s103步骤，以便确定是否遭受了信息泄露攻击。可以理解的是，相关技术在该步骤检测到存在目标数据流出后即认为遭受到信息泄露攻击，而部分正常业务同样会导致目标数据流出，在这种情况下就会造成误报。
65.s103：对待检测流量进行异常网络行为检测，判断是否存在异常网络行为。
66.在确定有目标数据流出后，可以对待检测流量进行异常网络行为检测。具体的，由于信息泄露攻击必然会导致大量目标数据在短时间内快速流出给同一个请求方，即存储有目标数据的设备会在短时间内向一个固定的请求方输出大量目标数据，而这种数据输出方式是正常业务中是不会出现的，因此可以从该角度进行异常网络行为检测。本实施例并不限定检测的具体方式，只要能够检测是否存在短时间内向固定的请求方发送大量目标数据即可。例如在一种实施方式中，可以判断一个或多个响应数据包内是否存在大量的目标数据，若存在则确定存在异常网络行为。在这种情况下，异常网络行为具体为异常响应。在另一种实施方式中，可以判断在短时间内是否存在一个固定的请求方采用非正常的访问方式(例如多次访问或高频率访问)获取目标数据，即是否向一个固定的请求方输出了大量的目
标数据，若是则确定存在异常网络行为。在这种情况下，异常网络行为具体为异常请求。异常网络行为的检测方式基于异常网络行为的特征确定，其可以与正常业务请求获取目标数据的响应方式进行区分，通过对异常网络行为进行检测，可以在确定有目标数据流出的情况下进一步检测是否遭受到信息泄露攻击。在检测到存在异常网络行为后，可以执行s104步骤，否则可以执行s105步骤。
67.s104：确定检测到信息泄露攻击。
68.若检测到异常网络行为，则说明目标数据以异常的方式被输出，这种情况在正常业务中不会出现，因此可以确定检测到了信息泄露攻击，即确定遭受到了信息泄露攻击。本实施例并不限定在确定检测到信息泄露攻击之后的后续操作的具体内容，例如可以为报警操作。
69.s105：预设操作。
70.若没有在待检测流量中检测到目标数据，或者在待检测流量中检测到了目标数据，但是待检测流量不存在异常网络行为。在这两种情况下，可以确定没有遭受信息泄露攻击，可以执行预设操作。预设操作的具体内容不做限定，例如可以为重新获取待检测流量的操作，即更新待检测流量，进而重新进行信息泄露攻击的检测。或者可以为无操作，即不进行任何操作。或者可以为检测结果输出操作。
71.应用本申请实施例提供的信息泄露攻击检测方法，在获取待检测流量后，先判断其中是否存在目标数据，目标数据即为可能因遭受到信息泄露攻击而泄漏的数据，其本身为预设敏感数据。若存在，则为了准确判断是否由于遭受到信息泄露攻击造成了信息泄露，即准确判断是否检测到信息泄露攻击，进一步判断是否发生了异常网络行为。信息泄露攻击会导致大量目标数据被发送响应，这种数据输出方式由异常网络行为引起，不可能出现在正常业务中，因此若检测到存在异常网络行为，则可以确定检测到信息泄露攻击。该方法在检测到目标数据后不会立即判定为检测到信息泄露攻击，而是进一步判断是否存在异常网络行为，在确定存在正常业务不会出现的异常网络行为后确定检测到信息泄露攻击，降低了信息泄露攻击的误报率，解决了相关技术误报情况严重的问题。
72.基于上述实施例，下面对上述实施例中各个步骤的执行过程进行具体的阐述。其中，为了准确地检测异常网络行为，对待检测流量进行异常网络行为检测，判断是否存在异常网络行为的步骤具体可以包括：
73.s1021：对待检测流量进行异常访问检测。
74.在本实施例中，异常访问为请求方采用非正常的访问方式获取目标数据。本实施例并不限定异常访问检测的具体检测过程，例如可以判断是否存在高频率访问或多次数访问。
75.s1022：若检测到异常访问，则确定存在异常网络行为。
76.在检测结束后，可以根据检测结果判定是否存在异常网络行为，若检测出异常访问，即可确定检测到异常网络行为。
77.相应的，对待检测流量进行异常网络行为检测，判断是否存在异常网络行为的步骤还可以包括：
78.s1023：对待检测流量进行异常响应检测。
79.异常网络行为包括异常访问和异常响应两类。其中，异常响应为服务器单次向外
输出了大量的目标数据，为了保证异常网络行为的检出能力，可以对待检测流量进程异常访问检测和异常响应检测共两种检测，两种检测可以并行执行，也可以串行执行，即s1021至s1022和s1023至s1024两个过程可以并行执行，也可以串行执行，本实施例对此不做限定。
80.s1024：若检测到异常响应，则确定存在异常网络行为。
81.在异常响应检测结束后，若检测到异常响应，则可以确定存在异常网络行为。
82.具体的，在一种实施方式中，可以对单个数据包中的目标数据的数量进行检测，进而判断是否存在异常响应。请参考图2，图2为本申请实施例提供的一种异常响应检测过程流程图，对待检测流量进行异常响应检测的步骤可以包括：
83.s201：确定目标数据所属的目标数据包，并获取目标数据包对应的目标数据数量。
84.由于异常响应为向固定的请求方发送大量目标数据，而单个数据包内的内容必然会发送给一个请求方。因此在确定存在目标数据后，确定目标数据所属的目标数据包，需要说明的是，若目标数据的数量为多个，则分别对各个目标数据执行本步骤，确定各个目标数据对应的目标数据包，并对该目标数据包执行本实施例中的后续步骤。在确定目标数据包后，对目标数据包中的目标数据进行检测，并统计目标数据包对应的目标数据数量。可以理解的是，目标数据仅能由存储有目标数据的设备提供，因此目标数据包均为响应数据包。响应数据包即为对请求方发送的请求数据包进行响应的数据包。
85.s202：判断目标数据数量是否大于预设数量阈值。
86.在获取目标数据数量后，判断其是否大于预设数量阈值，预设数量阈值的具体大小不做限定，其用于判断单次发送的目标数据数量是否属于“大量”这一情况。若目标数据数量大于预设数量阈值，则说明目标数据包内包括了大量的目标数据，在这种情况下可以执行s203步骤。若目标数量不大于预设数量阈值，则说明目标数据包内的目标数据较少，没有向固定的请求方发送大量目标数据，在这种情况下可以执行s204步骤。可以理解的是，预设数量阈值的具体大小与信息泄露攻击的检测准确率、误报率和漏报率相关，因此在一种可行的实施方式中，可以获取多个信息泄露攻击的响应数据包，确定其对应的目标数据数量，并确定各个目标数据数量所处的区间，将包含有最多目标数据数量的区间确定为目标区间，并取目标区间的中间值作为预设数量阈值，以便提高检测准确率，同时降低误报率和漏报率。
87.s203：确定存在异常响应。
88.在确定目标数据数量大于预设数据数量后，说明目标数据包内包括了大量的目标数据，通过该目标数据包向一个请求方发送了大量目标数据，造成了异常响应，因此确定存在异常响应。
89.s204：预设操作。
90.在确定目标数量不大于预设数量阈值，则说明目标数据包内的目标数据较少，因此该目标数据包没有构成异常响应，此时可以执行预设操作，预设操作的具体内容不做限定。可以理解的是，在存在多个目标数据包时，需要在确定所有目标数据包均没有构成异常响应时，才能够确定待检测流量不存在异常响应。
91.应用本申请实施例提供的信息泄露攻击检测方法，可以从单个响应数据包内的目标数据的数量的角度，准确判断是否向一个请求方发送大量目标数据，进而实现对异常响
应的准确检测。
92.进一步，基于上述实施例，本实施例将说明另一种异常访问检测方式。请参考图3，图3为本申请实施例提供的另一种异常访问检测过程流程图，具体包括：
93.s301：确定目标数据对应的请求方，并获取请求方对应的访问参数。
94.异常访问具体可以为在不触发异常响应的情况下为了获取大量目标数据的访问，异常访问的具体形式不做限定，可以根据实际情况进行设置，例如可以包括多次访问、高频率访问或在单位时间内多次或高频率访问等。请求方为目标数据的获取方，其通过发送请求获取目标数据。请求方可以由请求方信息表征，具体可以为请求方ip、请求方编号等。请求方ip即为目标数据对应的目的ip。本实施例并不限定确定请求方的具体方式，例如可以确定目标数据所属的目标数据包，并通过读取目标数据包中的信息确定请求方。在确定请求方后，获取请求方对应的访问参数。访问参数用于表征请求方用于获取目标数据的访问行为的情况。访问参数的数量可以为一个或多个，其具体内容不做限定。
95.具体的，在一种实施方式中，访问参数可以为访问频率，此时获取请求方对应的访问参数的步骤可以包括：
96.步骤11：确定目标数据对应的响应方。
97.在信息泄露攻击时，攻击方可能会频繁访问某一响应方，以便获取该响应方发送的目标数据，响应方为具体对请求进行响应的对象。在本实施例中，可以具有多个响应方，各个响应方具有不同的目标数据，响应方具体可以为业务系统，或者可以为业务系统中的业务地址。在一种实施方式中，可以根据目标数据所属的响应数据包确定其对应的响应方，即确定响应数据包对应的发送业务地址或发送业务系统，该发送业务地址或发送业务系统即为响应方。
98.步骤12：计算请求方对响应方的访问频率，并将访问频率确定为访问参数。
99.由于攻击方可能会频繁访问固定一个响应方，频繁得到响应方发送的响应数据，而正常业务中不会出现这种情况，因此可以计算请求方对响应方的访问频率，具体计算方式不做限定，例如可以统计请求方在预设时长内的访问次数，利用该访问次数计算访问频率，并将该访问频率确定为访问参数。
100.在另一种实施方式中，访问参数可以为访问次数，此时获取请求方对应的访问参数的步骤可以包括：
101.步骤21：确定目标数据对应的响应方。
102.确定响应方的具体方式和步骤可以参考上述说明，在此不再赘述。
103.步骤22：计算请求方对响应方的访问次数，并将访问次数确定为访问参数。
104.在信息泄露攻击时，攻击方可能会不频繁但多次访问某一响应方，以便获取该响应方发送的目标数据，因此可以计算请求方对响应方的访问次数，并将该次数确定为访问参数，以便从请求方是否多次访问这一角度对是否存在异常访问进行判断。
105.需要说明的时，步骤11至步骤12的访问参数确定方式和步骤21至步骤22的访问参数确定方式可以同时执行，或者可以单独执行。且上述两种确定方式为两种具体的确定方式，其他可以表征请求方访问行为的参数同样可以作为访问参数。
106.进一步，在一种情况中，请求方可能无法正常获取响应方发送的目标数据，因此请求方可能多次或高频率的访问响应方，响应方也可能多次或高频率地发送相同的目标数
据，这种情况并不是信息泄露攻击，而可能被误认为是信息泄露攻击，导致误报。为了避免此类误报，获取请求方对应的访问参数的步骤可以包括：
107.步骤31：获取请求方对应的多个初始响应数据包。
108.在本实施例中，初始响应数据包即为待检测流量中直接获取到的，与请求方相对应的响应数据包，其具体内容不做限定。
109.步骤32：基于初始响应数据包的内容对初始响应数据包进行去重处理，得到响应数据包。
110.初始响应数据包的内容即为初始响应数据包的数据内容，在得到初始响应数据包后提取其内容，并基于初始响应数据包的内容对其进行去重处理，即将若干个内容相同的初始响应数据包删除部分，仅保留其中一个，则剩下的初始响应数据包即为响应数据包。
111.步骤33：利用响应数据包生成请求方对应的访问参数。
112.在得到响应数据包后，利用响应数据包生成过访问参数。访问参数的具体生成方式可以参考上述说明。
113.应用本申请实施例提供的信息泄露攻击检测方法，可以从响应数据包的具体内容的角度对初始响应数据包进行筛选，信息泄露攻击目的在于获取大量内容不同的目标数据，即便其获取到大量内容相同的目标数据，也无法起到信息泄露攻击的效果，可以认为没有遭受到信息泄露攻击，因此可以将内容相同的目标数据删除，以便提高检测准确率，降低误报率。
114.s302：判断访问参数是否处于预设区间。
115.在获取访问参数后，可以判断其是否处于预设区间。需要说明的是，当访问参数的数量为多个时，可以分别为每个访问参数设置不同的预设区间，并用第一预设区间、第二预设区间等对其进行区分，各个不同的预设区间可以相同也可以不同。在访问参数为一个时，其处于预设区间，则可以执行s303步骤，否则执行s304步骤。在访问参数为多个时，任意一个访问参数处于预设区间，则可以执行s303步骤，全部访问参数均不处于预设区间，则可以执行s304步骤。
116.s303：确定存在异常访问。
117.若访问参数处于预设区间，则说明访问方为了获取目标数据的访问行为异常，异常的访问行为必然时为了不正当地获取目标数据，因此可以确定存在异常访问。
118.s304：确定不存在异常访问。
119.若访问参数不处于预设区间，则说明访问方的访问行为正常，因此可以确定不存在异常访问。
120.需要说明的是，本实施例中的技术方案与s201至s204中的技术方案可以分别执行，或者可以同时执行，例如先判断单个目标数据包内是否存在大量目标数据，在确定不存在时，进一步判断请求方的访问行为是否异常，例如是否高频率访问或多次访问。
121.应用本申请实施例提供的信息泄露攻击检测方法，可以从请求方的访问行为是否异常的角度对是否存在异常访问进行准确判断，进而实现对异常访问的准确检测。
122.进一步，基于上述实施例，本实施例将说明一种具体的目标数据检测方式。请参考图4，图4为本申请实施例提供的一种目标数据检测过程流程图，具体包括：
123.s401：获取预设数据特征。
124.预设数据特征为目标数据的具体特征，不同类别的目标数据对应的预设数据特征不同。例如当目标数据为身份证号时，其对应的预设数据特征可以为连续的18为数字或连续17位数字后加x字符，进一步的，预设数据特征还可以包括第7位到第10位的组合应当小于当前年份，第11位到第12位的组合小于12，第13位到第14位的组合小于31。或者当目标数据为手机号为，其对应的预设数据特征可以为连续的9位数字，进一步的，预设数据特征还可以包括第1位为1。或者当目标数据为密码信息时，由于密码信息通畅被md5算法加密，因此其对应的预设数据特征可以为长度为16或32的字符串，且字符串内的字符都处于一个预设范围。预设数据特征的具体生成方式本实施例不做限定，可以参考相关技术。可以理解的是，每一个预设数据特征越详细，则利用其进行匹配的步骤所需的时间越长，因此可以根据需要设置预设数据特征的具体内容。
125.s402：判断待检测流量中是否存在与预设数据特征相匹配的数据。
126.在获取预设数据特征后，利用其与待检测流量中的数据进行匹配，判断其中是否存在符合预设数据特征的数据。若存在，则可以执行s403步骤，否则可以执行s404步骤。
127.s403：确定存在目标数据，并将与预设数据特征相匹配的数据确定为目标数据。
128.在确定存在与预设数据特征相匹配的数据后，可以确定存在目标数据，且确定与该预设数据特征相匹配的数据即为目标数据。
129.s404：预设操作。
130.若不存在与预设数据特征相匹配的数据，则可以确定待检测数据中不存在目标数据。
131.应用本申请实施例提供的信息泄露攻击检测方法，可以利用预设数据特征对目标数据进行准确描述，进而对目标数据进行准确地检出。
132.请参考图5，图5为本申请实施例提供的一种具体的信息泄露攻击检测过程流程图。其中，预置信息特征库用于存储信息特征，即预设数据特征，在加载预置信息特征库后获取待见流量，对其进行信息特征匹配，并判断是否存在信息特征，即判断待检测流量中是否存在与信息特征相匹配的数据。若存在，则说明待检测流量中存在目标数据，则对单个数据包中命中特征的信息数量进行统计，即判断单个数据包中是否存在大量目标数据，若数量大于阈值，则可以确定发现信息泄露攻击事件，即完成对信息泄露攻击的检出。若数量不大与阈值，可以进一步利用行为特征检测引擎检测请求方的请求行为是否正常，具体的，可以判断是否存在某一个ip连续对同一页面发起请求，并得到对应的响应数据包，响应数据包中记录有不同的数据。若存在上述现象，则说明该ip的访问行为异常，因此确认发现信息泄露攻击事件，完成对信息泄露攻击的检出。
133.下面对本申请实施例提供的信息泄露攻击检测装置进行介绍，下文描述的信息泄露攻击检测装置与上文描述的信息泄露攻击检测方法可相互对应参照。
134.请参考图6，图6为本申请实施例提供的一种信息泄露攻击检测装置的结构示意图，包括：
135.目标数据判断模块110，用于获取待检测流量，并判断待检测流量中是否存在目标数据；所述目标数据为预设敏感数据；
136.异常网络行为检测模块120，用于若存在目标数据，则对待检测流量进行异常网络行为检测，判断是否存在异常网络行为；
137.检出模块130，用于若存在异常网络行为，则确定检测到信息泄露攻击。
138.应用本申请实施例提供的信息泄露攻击检测装置，在获取待检测流量后，先判断其中是否存在目标数据，目标数据即为可能因遭受到信息泄露攻击而泄漏的数据，其本身为预设敏感数据。若存在，则为了准确判断是否由于遭受到信息泄露攻击造成了信息泄露，即准确判断是否检测到信息泄露攻击，进一步判断是否发生了异常网络行为。信息泄露攻击会导致大量目标数据被发送响应，这种数据输出方式由异常网络行为引起，不可能出现在正常业务中，因此若检测到存在异常网络行为，则可以确定检测到信息泄露攻击。该装置在检测到目标数据后不会立即判定为检测到信息泄露攻击，而是进一步判断是否存在异常网络行为，在确定存在正常业务不会出现的异常网络行为后确定检测到信息泄露攻击，降低了信息泄露攻击的误报率，解决了相关技术误报情况严重的问题。
139.可选地，异常网络行为检测模块120，包括：
140.检测单元，用于对所述待检测流量进行异常访问检测和异常响应检测；
141.确定单元，用于若检测到异常访问或异常响应，则确定存在所述异常网络行为。
142.可选地，检测单元，包括：
143.目标数据数量获取子单元，用于确定目标数据所属的目标数据包，并获取目标数据包对应的目标数据数量；
144.数量阈值判断子单元，用于判断目标数据数量是否大于预设数量阈值；
145.第一异常确定子单元，用于若目标数据数量大于预设数量阈值，则确定检测到存在异常响应。
146.可选地，检测单元，包括：
147.访问参数获取子单元，用于确定目标数据对应的请求方，并获取请求方对应的访问参数；
148.预设区间判断子单元，用于判断访问参数是否处于预设区间；
149.第二异常确定子单元，用于若访问参数处于预设区间，则确定检测到异常访问。
150.可选地，访问参数获取子单元，包括：
151.初始获取子单元，用于获取请求方对应的多个初始响应数据包；
152.去重处理子单元，用于基于初始响应数据包的内容对初始响应数据包进行去重处理，得到响应数据包；
153.生成子单元，用于利用响应数据包生成请求方对应的访问参数。
154.可选地，访问参数获取子单元，包括：
155.第一确定子单元，用于确定目标数据对应的响应方；
156.频率计算子单元，用于计算请求方对响应方的访问频率，并将访问频率确定为访问参数。
157.可选地，访问参数获取子单元，包括：
158.第二确定子单元，用于确定目标数据对应的响应方；
159.次数计算子单元，用于计算请求方对响应方的访问次数，并将访问次数确定为访问参数。
160.可选地，目标数据判断模块110，包括：
161.特征获取单元，用于获取预设数据特征；
gate array，简称fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述实施例给出的信息泄露攻击检测方法。
173.当然，图7所示的电子设备100的结构并不构成对本申请实施例中电子设备的限定，在实际应用中电子设备100可以包括比图7所示的更多或更少的部件，或者组合某些部件。
174.可以理解的是，本申请实施例中并不对电子设备的数量进行限定，其可以是多个电子设备共同协作完成信息泄露攻击检测方法。在一种可能的实施方式中，请参考图8，图8为本申请实施例提供的另一种信息泄露攻击检测方法所适用的硬件组成框架示意图。由图8可知，该硬件组成框架可以包括：第一电子设备11和第二电子设备12，二者之间通过网络13连接。
175.在本申请实施例中，第一电子设备11与第二电子设备12的硬件结构可以参考图7中电子设备100。即可以理解为本实施例中具有两个电子设备100，两者进行数据交互，实现对信息泄露攻击检测进行检出的效果。进一步，本申请实施例中并不对网络13的形式进行限定，即，网络13可以是无线网络(如wifi、蓝牙等)，也可以是有线网络。
176.其中，第一电子设备11和第二电子设备12可以是同一种电子设备，如第一电子设备11和第二电子设备12均为服务器；也可以是不同类型的电子设备，例如，第一电子设备11可以是网关或路由器，第二电子设备12可以是服务器。在一种可能的实施方式中，可以利用计算能力强的服务器作为第二电子设备12来提高数据处理效率及可靠性。同时利用成本低，应用范围广的网关或路由器作为第一电子设备11，用于实现第二电子设备12与操作端(即待检测流量的发送端)之间的交互。该交互过程可以为：操作端发送待检测流量，由第一电子设备11对待检测流量进行目标数据的检测，在确定存在目标数据后，将待检测流量发送给第二电子设备12，以便第二电子设备12继续执行后续的步骤，直至得到是否检测到信息泄露攻击的检测结果。
177.下面对本申请实施例提供的计算机可读存储介质进行介绍，下文描述的计算机可读存储介质与上文描述的信息泄露攻击检测方法可相互对应参照。
178.本申请还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述的信息泄露攻击检测方法的步骤。
179.该计算机可读存储介质可以包括：u盘、移动硬盘、只读存储器(read
‑
only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
180.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
181.本领域技术人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是
这种实现不应该认为超出本申请的范围。
182.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd
‑
rom、或技术领域内所公知的任意其它形式的存储介质中。
183.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语包括、包含或者其他任何变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。
184.本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。