一种企业网络安全管理云服务平台系统及其实现方法与流程

本发明涉及企业网络的安全防护技术领域，特别涉及一种服务于企业的企业网络安全管理云服务平台系统及其实现方法。

背景技术：

当前的中小型企业由于技术力量和资金的限制，很难再企业内部建立起一套完善的网络信息安全保障系统来管理企业网络，那么由第三方利用云技术提供网络安全服务是一个有发展前景的技术平台和商业模式。

一般来说中小型企业的网络安全管理系统主要关注数据泄露、入侵检测、内部人员的行为审计等网络信息安全事项，同时企业所有者也十分期待能够实时掌握在线网络资产的实时运行状况。由于很多威胁来源于企业内部人为因素，如何用经济有效的方法规避掉内部人员威胁，防范企业面临的安全风险是所有企业，特别是中小型企业面临的重要课题。

由第三方利用云技术为这样的企业解决方案提供了可行的企业网络信息安全服务平台。企业只需部署相对隐蔽的装置就能够将企业网络的实时网络交易数据解析出来并发送至云平台做进一步分析、判定、报告以及采取必要的防范措施。这样，一个云平台可以管理多个企业的网络信息安全，这对中小企业来讲是非常实际有效的安全管理解决方案。

技术实现要素：

为此，本发明提供了一种企业网络安全管理云服务平台系统，用于解决企业网络的信息安全隐患，通过对企业网络上传输的数据进行分析，发现、识别企业网上所有在线的设备，获得动态的企业在线资产数据，并根据这些网络传输数据确定在线设备的正常行为模式，一旦在网络传输指令中发现异常，比如数据输出、违规访问、异常的介质存储等违背正常行为模式的事件，立即存档并生成告警信息并采取响应的防范隔离措施。

为达到上述目的，本发明公开了基于网络流量分析的中小企业安全管理服务云平台的实现方法，包括根据企业网上设备发送接收的数据包自动识别当前企业网络上连接的所有设备和设备类型，提供带有运行状态的动态资产管理；根据网络流量分析提取企业网络上每台设备的正常行为模式作为基准；基于行为基准对的网络流量分析，与预装的员工行为准则的比对实现企业网络上员工行为审计；基于设备正常行为模式对的网络流量分析，实现对企业网的入侵监测；基于设备正常行为模式对的网络流量分析，对企业网络上的每台设备数据交换记录的分析和跟踪，获得每一台设备的历史数据用于监控潜在的数据泄露；根据需要实施隔离威胁等举措并发送告警信息。实现方法需要再本地网络采集和处理网络流量提取通信协议数据信息，并通过私有加密信道转发至云平台；利用云平台分析接收到的企业网络在线设备的网络交易数据，根据所述网络交易数据的ip地址、数据包类型、以及数据类型等深度解析信息生成访问记录、事件记录和系统记录，并在此基础上产生历史数据；结合对在线设备的聚类分析结果和历史数据，发现识别企业网络上的设备，形成在线设备资产识别的基础数据；利用机器学习算法对采集的信息对设备进行分类和识别、根据当前记录和历史数据确定每一台设备的行为模式基准，检测异常行为以及完成对异常行为的后处理；在云平台预装员工行为准则，将当前与用户相关的记录比对，完成对用户行为审计，并生成用户行为档案；利用历史数据、在线设备资料和在线设备正常行为模式对当前记录进行分析，确定是否出现数据泄露和入侵行为，产生相应的告警和报告。本发明的优点和有益效果：该方法无需对现有的企业设备作任何修改，不需要在企业设备上加装代理软件，是一种积极的安全措施，能够对企业网络上在线设备数量和类型一目了然，对在线设备的运行进行实时跟踪，自动识别在线设备的正常行为模式，并感知异常状况的发生。

基于企业安全管理云服务的实现方法，进一步提出一种企业安全管理服务云平台系统，由云平台、和分布在一个或多个企业网络中的本地安全监视系统共同组成。其中，企业网络的交换机需要设置一个镜像端口，所有企业网络的网络交易数据均映射到所述镜像端口上，本地安全监视系统与所述镜像端口连接，从而获得所有在线设备发送和接收的网络交易数据。

本地安全监视系统获得所在企业网络数据后，依照截获数据的通信网络端口判断网络数据使用的通信协议，并根据通信协议对网络数据进行数据包解析，并将解析后的元数据通过私有加密信道发送给云服务平台。

云服务平台对接收到的元数据进行聚类分析，云平台的访问记录管理系统、事件记录管理系统和系统记录管理系统依据元数据中的源ip地址、目的ip地址、数据包类型、数据类型生成访问记录、事件记录和管理记录，并在此基础上分别生成各自的历史纪录。

云平台中资产管理系统依据接收到的元数据，确定对应特定ip地址的设备类型和配置，发现全部安全监视系统所在企业网络的在线设备的数量和类型；在企业网络上的安全监视系统持续将解析后的元数据发送给云服务平台，云服务平台的资产管理系统根据元数据的分类和配置、源ip地址、目的ip地址、数据包类型、数据类型跟踪设备的行为，利用机器学习的算法对设备行为进行行为模式识别，进而分析确定对应设备的正常行为模式；并将所有设备行为归档。当云服务平台发现在线设备的当前事件记录不符合对应的在线设备正常行为模式时，确定该设备发生异常行为，云服务平台对异常行为进行风险评估后生成报警记录，并根据风险程度对异常设备实施隔离。资产管理系统可以定时或按照要求生成在线资产报告。

云平台的员工行为管理系统，该系统预装员工行为准则，所述员工行为准则包括但不限于访问权限、输出数据权限、接收数据权限、安全操作、以及存储媒介使用权限等。员工行为管理系统从网络交易数据中获得与用户行为相关的访问记录、系统记录和事件记录与员工行为准则比较，若不符合员工行为准则，执行告警和报告等后处理操作，以期达到对员工行为审计的目的。

云平台的数据泄露检测系统利用历史数据和所述在线设备的正常行为模式对企业网内所述在线设备可能受到的入侵进行实时管理和处理。当前事件不符合设备异常或用户的异常行为，但符合以下条件之一的，归类为数据泄露异常：包括但不限于系统输出异常、存储介质使用异常，访问路径异常等。

云平台的入侵检测系统利用历史数据和所述在线设备的正常行为模式对企业网内所述在线设备可能受到的入侵进行实时管理和处理。当前事件不符合设备异常或用户的异常行为，但符合以下条件之一的，归类为入侵异常：包括但不限于所述设备系统输入行为异常、所述设备系统访问记录异常、所述设备系统异常等。

本发明的优点和有益效果：该方法无需对现有的企业设备作任何修改，不需要在企业设备上加装代理软件，是一种积极的安全措施，能够对企业网络上在线设备数量和类型一目了然，实现在线设备资产管理；对在线设备的运行进行实时跟踪，自动识别在线设备的正常行为模式，并以此为依据及时发现外界对企业网络的入侵和内部数据泄露的异常状况。同时，实现对员工进行行为审计。

附图说明

图1是本发明一个具体实施例方法的网络拓扑示意图

图2是本发明安全监视系统具体实施例的组成示意图

图3是本发明中基于网络流量分析的访问记录管理系统具体实施例的组成示意图

图4是本发明中基于网络流量分析的系统记录管理系统具体实施例的组成示意图

图5是本发明中基于网络流量分析的事件记录管理系统具体实施例的组成示意图

图6是本发明中基于网络流量分析的资产管理系统具体实施例的组成示意图

图7是基于网络流量分析的资产管理系统具体实施例的一个工作流程

图8是本发明中基于网络流量分析的员工行为审计系统具体实施例的组成示意图

图9是基于网络流量分析的员工行为审计系统具体实施例的一个工作流程

图10是本发明中基于网络流量分析的入侵检测审计系统具体实施例的组成示意图

图11是基于网络流量分析的入侵检测系统具体实施例的一个工作流程

图12是本发明中基于网络流量分析的数据泄露检测系统具体实施例的组成示意图

图13是基于网络流量分析的数据泄露检测系统具体实施例的一个工作流程

附图标记：

10企业网络

100安全监视系统

110数据捕获模块

120数据分析模块

130通信模块

140数据存储模块

150网络交换机

170-1，170-2，……，170-n有线连接的企业网络在线设备

190-1，190-2，……，190-m无线连接的企业网络在线设备

20安全管理云

210基于网络流量分析的访问记录管理系统

212数据流分析模块

214访问记录管理模块

216访问数据记录存储

220基于网络流量分析的系统记录管理系统

222数据流分析模块

224系统记录管理模块

226系统数据记录存储

230基于网络流量分析的事件记录管理系统

232数据流分析模块

234事件记录管理模块

236事件数据记录存储

240基于网络流量分析的资产管理系统

242分类模块

244设备资料分析模块

246在线设备历史数据存储

248在线设备资料存储

249异常检测处理模块

250基于网络流量分析的员工行为检测系统

252预装用户行为准则

254用户行为分析模块

256用户行为历史数据存储

258用户档案存储

259异常检测处理模块

260基于网络流量分析的入侵检测系统

262记录识别模块

264历史数据存储

266在线设备资料存储

268正常行为模式

269异常检测处理模块

270基于网络流量分析的数据泄露检测系统

272记录分析模块

274历史数据存储

276在线设备资料存储

278正常行为模式

279异常检测处理模块

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。

企业网络的安全管理云服务平台方案的基本原理是：若干有线连接的设备和若干无线连接的设备，连同网络交换机共同构建成一个企业网络，网络交换机完成所在网络的网络数据交换，通过对网络交换机的设置将包括有线连接和无线连接的所有的网络通信映射到一个端口，将安全监视系统连接到该镜像端口，安全管理云服务平台通过vpn和企业网本地安全检视系统相连，为了提供企业员工的行为审计，安全管理云服务平台应预装员工行为准则。

安全监视系统根据网络通信的tcp端口判断该数据包所使用的网络通信协议，安全监视系统根据网络通信协议对采集的网络数据进行深度包解析，得到包括数据源地址和目的地址、数据包类型、数据类型等信息，例如，当企业网络使用http通信协议时，安全监视设备在获得了网络交易数据的源ip地址、目的ip地址后，根据tcp/udp端口是80来确定上层是http服务，根据不同服务的不同参数，对http消息或http协议数据单元(pdu)进行解析，并将这些解析后的信息通过加密通道发送至云服务平台进行进一步的分析和处理。

当安全云服务平台接收到已经分解的元数据进行进一步的分析，每一个数据交换都生成一个记录，针对相同ip地址的记录就形成了该ip地址对应在线设备的历史纪录，通过对同一ip地址的数据作进一步的数据包和数据类型的分析，安全云服务平台得到该ip地址对应的在线设备的配置信息，最终确定该ip地址对应的在线设备类型和具体配置。通过这个方法，安全云服务平台可以确定所有在线设备的类型和配置，能够自动或在得到指令后生成动态的资产报告。

在了解了在线设备类型和配置的前提下，安全云服务平台根据累积的历史记录，设备的配置资料和已知的网络通信协议通过机器学习的算法建立和更新在线设备的正常行为模式，并存储在数据库中，当安全云服务平台接收到安全监视系统获得的网络交易数据分析后得到事件记录，若该事件记录与现有的正常行为模式和预装的员工行为准则不相符时，包括但不限于越权访问、向未知主机发送数据、恶意代码传播等等。安全云服务平台记录该异常信息，并分析异常信息的类型，自动生成告警信息，在风险评估后采取响应的保护措施，包括但不限于隔离相关设备、锁定相关用户登录账户等。

图1是本发明一个安全管理云服务平台实施例的网络拓扑图，在一个企业网络10中，包括网络交换机150，与150有线连接的在线设备170-1，170-2，……，170-n,与150无线连接的在线设备190-1，190-2，……，190-m，网络交换机150与互联网30相连使企业网获得与外部网络的联系；在企业网络交换机150上配置一个镜像端口，该端口和安全监视系统100相连，通过企业网络10的交换机150的镜像端口，安全监视系统100能够获得该企业网络中所有在线设备的发送和接收的数据，并将获得的网络数据进行分析，并发送到安全管理云服务平台，安全监视系统可以是一个独立的硬件上运行的软件，也可以在企业网络的一台在线设备上运行，安全监视系统通过vpn与安全管理云平台20相连，将企业网络上采集的网络数据进行初步解析后发送到安全管理云平台20做进一步的分析和处理。

图2描述了本发明中一个安全监视系统100实施例的功能组成，安全监视系统100的主要功能有从交换机150的镜像端口获得所有设备发送和接收的网络数据的数据捕获功能110；基于传输端口获得通信息协议对网络数据进行分析的数据分析功能120；将初步分析的元数据通过vpn发送到安全管理云服务平台的通信功能130；以及本地的存储140。

图3描述了本发明中基于网络流量分析的访问记录管理系统210的一个实施例，访问记录管理系统210包括了安全监视系统100、数据流分析模块212、访问记录管理模块214和访问记录模块216。其中，安全监视系统100用于捕获在线设备发送和接收的网络数据，其中在线设备包括有线连接的在线设备170-1，170-2，……，170-n或无线连接的在线设备190-1，190-2，……,190-m，并根据捕获到的数据包使用的通信协议对网络数据进行初步的解析，然后将分解后的数据通过vpn发送到数据流分析模块212做进一步的分析和处理；数据流分析模块212对从安全监控系统100得到的初步分解后的数据进行进一步的解析，例如分析数据包的报头来确定网络交易数据中发送和接收地址，包括但不限于ip地址、mac地址、访问应用的地址等；访问记录管理模块214利用数据流分析模块212的分析结果通过创建和更新在线设备的访问记录；访问记录数据存储模块216存储访问记录数据用于在线设备管理和用户行为管理。存储在数据存储模块216的访问记录生成和更新访问记录的历史数据。

图4描述了本发明中基于网络流量分析的系统记录管理系统220的一个实施例，访问记录管理系统220包括了安全监视系统100、数据流分析模块222、系统记录管理模块224和系统记录模块226。其中，安全监视系统100用于捕获在线设备发送和接收的网络数据，其中在线设备包括有线连接的在线设备170-1，170-2，……，170-n或无线连接的在线设备190-1，190-2，……,190-m，并根据捕获到的数据包使用的通信协议对网络数据进行初步的解析，然后将分解后的数据通过vpn发送到数据流分析模块222做进一步的分析和处理；数据流分析模块222对从安全监控系统100得到的初步分解后的数据进行进一步深度包解析，例如分析数据有效载荷来确定用户登录/登出信息、应用在在线设备上的执行情况，软件或硬件损坏信息等系统记录；系统记录管理模块224利用数据流分析模块222的分析结果通过创建和更新在线设备的系统记录；系统记录数据存储模块226存储系统记录数据用于在线设备管理和用户行为管理，存储在数据存储模块226的系统记录生成和更新系统记录的历史数据。

图5描述了本发明中基于网络流量分析的事件记录管理系统230的一个实施例的组成，访问记录管理系统230包括了安全监视系统100、数据流分析模块232、事件记录管理模块234和事件记录模块236。其中，安全监视系统100用于捕获在线设备发送和接收的网络数据，其中在线设备包括有线连接的在线设备170-1，170-2，……，170-n或无线连接的在线设备190-1，190-2，……,190-m，并根据捕获到的数据包使用的通信协议对网络数据进行初步的解析，然后将分解后的数据通过vpn发送到数据流分析模块232做进一步的分析和处理；数据流分析模块232对从安全监控系统100得到的初步分解后的数据进行进一步深度包解析，例如分析数据有效载荷来确定用户登录/登出信息、应用在在线设备上的执行情况，软件或硬件损坏信息等系统记录；系统记录管理模块234利用数据流分析模块232的分析结果通过创建和更新在线设备的事件记录；事件记录数据存储模块236存储事件记录数据提示在线设备的正在发生和已经发生的事件，存储在数据存储模块236的事件记录生成和更新事件记录的历史数据。

本发明关于资产管理系统的一个实施例的系统组成在图6中显示，基于网络流量分析的资产管理系统240是对企业网络在线设备的动态管理的系统，包括了在线设备分类模块242，在线设备历史数据模块246，设备分析模块244，在线设备资料存储模块248和设备异常检测模块249。其中在线设备的历史数据模块246存储了在线设备相关的历史数据，并实时更新，历史数据包括了分别由来源于访问记录管理系统210、系统记录管理系统220、和事件记录管理系统230的访问记录、系统记录和事件记录的历史数据；在线设备分类模块242是利用运行中的在线设备的网络数据中的信息建立在线设备详细配置信息的模块，例如通过对网络交易数据的深度包解析获得在线设备的信息包括但不限于设备类型、属性、功能、操作系统和正在执行的应用，正在使用在线设备的用户等。当出现新的在线设备，在线设备分类模块242能够通过网络数据获得的信息生成新的设备资料。在线设备分类模块242可以通过特定的接口接受管理员对分类元素的人工输入；设备分析模块244根据在线设备历史数据生成的配置资料，在一个特定的实施例中，设备分析模块244能够根据历史数据的事件记录生成在线设备的配置资料，体现在线设备的操作状态，在另一个特定的实施例中，设备分析模块244能够根据历史数据的访问记录生成在线设备的配置资料，体现在线设备与其它本地设备或外部设备交互的情况，或者在另一个特定的实施例中，设备分析模块244能够根据历史数据的事件记录生成在线设备的配置资料，体现在线设备的标识和正在执行的应用；在线设备历史数据模块246就为设备分析模块244提供了历史数据，并且线设备历史数据模块246中的历史数据是实时更新，包括了事件记录、访问记录和系统记录的历史数据；在线设备资料存储模块248存储了表明在线设备的配置的资料数据，包括在线设备异常行为的数据；异常检测模块249实时确定在线设备异常行为，异常检测模块249判断的主要依据是在线设备的历史数据和在线设备的配置资料，异常检测模块249可以根据在线设备的历史数据，并且比较当前发生的事件和在线设备的行为基准来判断在线设备是否出现异常行为，例如当前事件表明一个从没有出现的设备，并且该设备与一个未知外部主机建立了ftp连接输出数据，如果在线设备的历史数据的行为基准中都不存在这种操作，或在线设备存储资料中没有该设备的信息，异常检测模块249就可以认定这是一个异常行为。

图7是基于网络流量分析的资产管理系统240的一个具体实施例工作流程，如步骤701，安全监视系统100捕获在线设备发送和接受的网络数据包；如步骤702，设备资料分析模块244对网络数据进行深度解析获得该数据相关的在线设备的数据，对于特定的实现来说深度解析内容包括但不限于以下信息：数据包的源地址、目的地址、数据包类型、数据类型或数据包中的数据；如步骤703，在线设备历史数据模块246从步骤702获得的信息中为相关的在线设备建立/更新历史纪录，在线设备的历史记录可以包括访问记录、系统记录、事件记录或它们的任意组合内容；如步骤704，根据步骤702中获得的在线设备的历史数据，在线设备资料模块248创建或更新设备的配置资料；如步骤705，异常检测模块249根据在线设备的历史数据和配置信息判断当前网络数据是否为在线设备的异常行为，如果不是则返回步骤701，对下一个捕获到的网络数据进行分析，如果判断结果是异常行为，执行步骤707；如步骤707，在线设备资料模块248更新在线设备的配置资料标识出异常行为，异常行为检测处理模块249对异常行为进行分类并产生告警信息，然后返回步骤701。

本发明关于员工行为审计系统的一个实施例的系统组成在图8中显示，基于网络流量分析的员工行为审计系统250是对企业网络中用户行为管理的系统，包括了预装用户行为准则模块252，用户行为分析模块254，用户行为历史数据模块266，用户行为历史数据模块268，用户异常行为检测处理模块259。其中用户行为历史数据模块268存储了用户行为相关的历史数据，并实时更新，历史数据包括了分别由来源于访问记录管理系统210、系统记录管理系统220、和事件记录管理系统230的访问记录、系统记录和事件记录的历史数据；预装的用户行为准则模块252是预先根据企业需求定义的员工行为准则，包括但不限于访问权限、输出数据权限、接收数据权限、安全操作、以及存储媒介使用权限等。当用户行为分析模块254从网络交易数据中获得用户登录信息时，通过网络数据获得该用户相关的行为信息，在一个特定的实施例中，设备分析模块254能够根据历史数据的事件记录生成/更新用户的档案资料，例如用户的登录和登出、访问记录、数据传输记录等；用户行为历史数据模块256根据用户行为分析模块254提供的记录生成/更新用户行为的历史数据，并且用户行为数据的历史数据模块256中的历史数据是实时更新，包括了事件记录、访问记录和系统记录的历史数据；用户档案存储模块258存储了用户档案信息，包括用户异常行为的信息；异常检测处理模块259实时确定当前网络数据中显示的用户异常行为，异常检测处理模块259判断的主要依据是预装的用户行为准则252的内容和用户档案资料模块258提供的信息，异常检测处理模块259可以根据用户行为的历史数据，并且比较预装的用户行为准则来判断该用户行为是否为异常行为，例如当前事件表明用户访问了没有授权的设备，异常检测处理模块259就可以认定这是一个异常用户行为，并根据风险程度进行处理，例如发出告警、暂停用户账户使用等措施。

图9是基于网络流量分析的员工行为审计系统250的一个具体实施例的工作流程，如步骤901，安全监视系统100捕获在线设备发送和接受的网络数据包；如步骤902，用户行为分析模块254对网络数据进行深度解析获得该数据相关的当前用户数据，对于特定的实现来说深度解析内容包括但不限于以下信息：数据包的源地址、目的地址、数据包类型、数据类型、数据包中的数据、用户登录/登出信息等；如步骤903，用户行为历史数据模块256从步骤902获得的信息中为相关的当前用户建立/更新历史纪录，当前用户的历史记录可以包括访问记录、系统记录、事件记录或它们的任意组合内容；如步骤904，根据步骤902中获得的当前用户的历史数据，当前用户档案模块258创建或更新当前用户的档案；如步骤905，异常检测模块259根据预装用户行为准则模块252的信息和用户档案信息判断当前网络数据是否为当前用户的异常行为，如果不是则返回步骤901，对下一个捕获到的网络数据进行分析，如果判断结果是异常行为，执行步骤907；如步骤907，当前用户档案模块258更新当前用户档案资料并标识出异常行为，异常行为检测处理模块259对根据风险程度进行处理，例如发出告警、暂停用户账户使用等措施，然后返回步骤901。

本发明关于入侵检测系统的一个实施例的系统组成在图10中显示。基于网络流量分析的入侵检测系统260是一个企业网络中在线设备的安全管理系统，包括了事件记录识别模块262，历史数据存储模块264，在线设备资料数据模块266，正常行为模式模块268和异常检测处理模块269。其中，事件记录识别模块262对安全监视系统100采集到的网络交易数据进行分析，对网络交易数据进行深度包解析后对其中与系统入侵相关的数据提取出来，例如与未知的命令服务器的连接，对程序片段在内网的传播等，事件记录识别模块262具有机器学习的能力，对以往异常记录的学习提高对事件记录识别的效率；历史数据存储模块264包括了分别由来源于访问记录管理系统210、系统记录管理系统220、和事件记录管理系统230的访问记录、系统记录和事件记录的历史数据，并且实时更新历史数据；在线设备资料数据模块266的信息来源于资产管理系统240中的在线设备资料模块248；正常行为模式模块268是根据历史数据模块264和在线设备资料数据模块266通过机器学习的算法获得在线设备的正常行为模式；异常行为检测处理模块269，根据事件记录识别模块262提供的与入侵相关联的事件记录和正常行为模式模块268的行为基准实时确定当前网络数据中事件记录是否为入侵行为，例如当前网络数据包括了未知命令服务器对企业网络中的在线设备发布的指令，或在线设备向内网中的其它设备传播未知程序等，异常行为检测处理模块269就可以认定这是一个入侵异常，并根据风险程度进行处理，告警及隔离相关在线设备。

图11是一个基于网络流量分析的入侵检测系统260具体实施例的工作流程，如步骤1101，安全监视系统100捕获在线设备发送和接受的网络数据包；如步骤1102，事件记录识别模块262对网络数据进行深度解析获得该数据与潜在入侵威胁相关的信息，对于特定的实现来说深度解析内容包括但不限于以下信息：数据包的源地址、目的地址、数据包类型、数据类型或数据包中的数据、外部未知主机的指令、对内网设备不必要的访问等等；如步骤1103，在线设备配置模块266从步骤1102获得的信息中为相关的在线设备建立/更新在线设备配置信息；如步骤1104，根据历史数据模块264的数据以及在线设备配置资料，正常行为模式模块268创建或更新设备的正常行为模式；如步骤1105，异常检测处理模块269根据步骤1102获得的与潜在入侵威胁相关的信息和正常行为模式模块268的信息判断当前网络数据是否含有入侵的异常行为，如果不是则返回步骤1101，对下一个捕获到的网络数据进行分析，如果判断结果是异常行为，执行步骤1107；如步骤1107，在线设备资料模块266更新在线设备的配置资料标识出异常行为，异常行为检测处理模块269对异常行为进行分类并产生告警信息，并根据风险程度进行处理，告警及隔离相关在线设备，然后返回步骤1101。

本发明一个关于数据泄露检测系统实施例的系统组成在图12中显示。基于网络流量分析的数据泄露检测系统270是另一个企业网络中在线设备的安全管理系统，包括了记录分析模块272，历史数据存储模块274，在线设备资料数据模块276，正常行为模式模块278和异常检测处理模块279。其中，记录分析模块272对安全监视系统100采集到的网络交易数据进行分析，对网络交易数据进行深度包解析后对其中与数据泄露相关的数据分析出来，例如与未知的主机数据连接，与非业务关联的在线设备的数据传输，网络交易数据中包屏幕拷贝或记录键盘操作的命令等，记录分析模块272具有机器学习的能力，对以往异常记录的学习提高对访问记录、系统记录、事件记录识别的效率；历史数据存储模块274包括了分别由来源于访问记录管理系统210、系统记录管理系统220、和事件记录管理系统230的访问记录、系统记录和事件记录的历史数据，并且实时更新历史数据；在线设备资料数据模块276的信息来源于资产管理系统240中的在线设备资料模块248；正常行为模式模块278是根据历史数据模块274和在线设备资料数据模块276通过机器学习的算法获得在线设备的正常行为模式；异常行为检测处理模块279根据记录分析模块272提供的与数据泄露相关联的记录和正常行为模式模块278的行为基准实时确定当前网络数据中事件记录是否为数据泄露行为，例如与未知的主机数据连接，与非业务关联的在线设备的数据传输，网络交易数据中包屏幕拷贝或记录键盘操作的命令等，异常行为检测处理模块279就可以认定这是一个数据泄露异常，并根据风险程度进行处理，包括但不限于告警及隔离相关在线设备等措施。

图13是一个基于网络流量分析的数据泄露检测系统270具体实施例的工作流程，如步骤1301，安全监视系统100捕获在线设备发送和接受的网络数据包；如步骤1302，记录分析模块272对网络数据进行深度解析获得该数据与潜在数据泄露威胁相关的信息，对于特定的实现来说深度解析内容包括但不限于以下信息：数据包的源地址、目的地址、数据包类型、数据类型或数据包中的数据、与外部未知主机的数据连接和文件发送、对内网设备不必要的访问等等；如步骤1303，在线设备配置模块276从步骤1302获得的信息中为相关的在线设备建立/更新在线设备配置信息；如步骤1104，根据历史数据模块274的历史数据以及在线设备配置资料，正常行为模式模块278创建或更新设备的正常行为模式；如步骤1305，异常检测处理模块279根据步骤1302获得的与潜在数据泄露威胁相关的信息和正常行为模式模块278的信息判断当前网络数据是否含有数据泄露的异常行为，如果不是则返回步骤1301，对下一个捕获到的网络数据进行分析，如果判断结果是异常行为，执行步骤1307；如步骤1307，在线设备资料模块276更新在线设备的配置资料标识出异常行为，异常行为检测处理模块279对异常行为进行分类并产生告警信息，并根据风险程度进行处理，告警及隔离相关在线设备，然后返回步骤1301。

应该注意的是，上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。