一种基于深度内容解析的http协议数据防外泄方法及系统的利记博彩app

一种基于深度内容解析的http协议数据防外泄方法及系统的利记博彩app
【技术领域】
[0001]本发明涉及数据保护领域，特别涉及一种基于深度内容解析的HTTP协议数据防外泄方法及系统。
【背景技术】
[0002]在信息技术飞速发展的今天，企业对信息系统的依赖程度越来越高，信息系统的稳定、安全直接关系到企业的核心竞争力。
[0003]企业用户使用WEB浏览器进行包括收发邮件，在微博、天涯、贴吧等社交网络发帖等操作，使用网盘存储文件等方式会造成主动或被动的信息泄露，给企业带来巨大的经济损失。
[0004]WEB浏览器主要使用超文本传输协议(HyperText Transfer Protocol，HTTP)进行数据传输，目前网络边界处针对HTTP协议的敏感数据防外泄问题，主要有基于防火墙、网关、代理和旁路阻断这四大主流技术。
[0005]其中，防火墙和网关工作在网络层以下，仅有少数高级防火墙能够做到对应用层数据中的身份证号、银行账号等数据进行简单过滤，例如通过将高级防火墙部署在网络边界，检查应用层、传输层和网络层的协议特征，并针对特定应用程序和文件类型，对应用层数据中的身份证号、银行账号等数据进行简单匹配和过滤，但高级防火墙不具备对应用层协议的深度解析和匹配功能，无法对内容违规的邮件等进行阻断，而且只支持有限的应用，伸缩性差，用户难以配置，且对网络不透明。代理模式以牺牲速度为代价换取了更高的安全性能，但在网络吞吐量大时会成为网络的瓶颈，且需要设置相应的代理，影响用户体验，难于实施推广。旁路模式通过交换机端口镜像并联进网络，对TCP协议可以发送TCP_RESET报文进行阻断，但由于TCP_RESET报文的滞后性，很容易失去对网络的控制，从而导致被保护数据的泄露。

【发明内容】

[0006]本发明的目的在于提供一种基于深度内容解析的HTTP协议数据防外泄方法及系统，能更好地解决HTTP协议数据外泄的问题。
[0007]根据本发明的一个方面，提供了一种基于深度内容解析的HTTP协议数据防外泄方法，包括:
[0008]在网络边界串联接入用来阻断涉密数据的数据防外泄系统；
[0009]利用所述数据防外泄系统，抓取外发报文，并确定所述外发报文的协议类型；
[0010]当确定所述外发报文的协议类型是HTTP协议时，判断所述外发报文是否包含涉密数据；
[0011]若判断所述外发报文包含涉密数据，则阻断所述涉密数据外泄。
[0012]优选地，所述确定所述外发报文的协议类型的步骤包括:
[0013]利用所述数据防外泄系统，获取所述外发报文的端口特征；
[0014]根据所述外发报文的端口特征和应用层协议特征，确定所述外发报文的协议类型。
[0015]优选地，所述判断所述外发报文是否包含涉密数据的步骤包括:
[0016]利用所述数据防外泄系统，确定HTTP会话的所述外发报文是否为关键报文；
[0017]当确定所述HTTP会话的外发报文是关键报文时，判断所述HTTP会话的四元组特征和/或顺序拼接后的应用层数据是否与预设阻断策略相匹配；
[0018]若匹配，则判断所述外发报文包含涉密数据。
[0019]优选地，所述确定所述HTTP会话的所述外发报文是否为关键报文的步骤包括:
[0020]利用所述数据防外泄系统，从所述HTTP会话报头获取HTTP会话实体正文的长度信息;
[0021]将前序报文的应用层数据与当前报文的应用层数据进行顺序拼接，得到拼接后的HTTP会话实体正文长度；
[0022]若拼接后的HTTP会话实体正文长度与从所述HTTP会话报头获取HTTP会话实体正文的长度信息相匹配，则将所述当前报文确定为关键报文。
[0023]优选地，通过阻止所述关键报文，阻断所述涉密数据外泄。
[0024]根据本发明的另一方面，提供了一种基于深度内容解析的HTTP协议数据防外泄系统，所述数据防外泄系统串联接入网络边界，包括:
[0025]HTTP外发报文获取装置，用于抓取外发报文，并确定所述外发报文的协议类型；
[0026]HTTP涉密数据确定装置，用于在确定所述外发报文的协议类型是HTTP协议时，判断所述外发报文是否包含涉密数据；
[0027]HTTP涉密数据阻断装置，用于在判断所述外发报文包含涉密数据时，阻断所述涉密数据外泄。
[0028]优选地，所述HTTP外发报文获取装置获取所述外发报文的端口特征，并根据所述外发报文的端口特征和应用层协议特征，确定所述外发报文的协议类型。
[0029]优选地，所述HTTP涉密数据确定装置在确定HTTP会话的所述外发报文是关键报文时，判断所述HTTP会话的四元组特征和/或顺序拼接后的应用层数据是否与预设阻断策略相匹配，若匹配，则判断所述外发报文包含涉密数据。
[0030]优选地，所述HTTP涉密数据确定装置从所述HTTP会话报头获取HTTP会话实体正文的长度信息，并将前序报文的应用层数据与当前报文的应用层数据进行拼接，得到拼接后的会话实体正文长度，若拼接后的HTTP会话实体正文长度与从所述HTTP会话报头获取HTTP会话实体正文的长度信息相匹配，则将所述当前报文确定为关键报文。
[0031]优选地，所述HTTP涉密数据阻断装置通过阻止所述关键报文，阻断所述涉密数据外泄。
[0032]与现有技术相比较，本发明的有益效果在于:
[0033]1、本发明针对HTTP协议报文特点，对WEB浏览器外发的关键报文进行有效拦截，不会出现漏阻情况，且对用户透明，用户体验好；
[0034]2、本发明通过阻断HTTP关键报文的方式，破坏TCP会话，使服务器端由于会话不完整而无法重组报文，达到保护企业内部数据的目的；
[0035]3、本发明不仅解决了在网络边界处，传统数据阻断方法存在的阻断效果差的问题，还解决了传统数据阻断方法存在的支持应用少，处理能力低等问题。
【附图说明】
[0036]图1是本发明提供的基于深度内容解析的HTTP协议数据防外泄方法流程图；
[0037]图2是本发明提供的基于深度内容解析的HTTP协议数据防外泄系统框图；
[0038]图3是本发明实施例提供的基于深度内容解析的HTTP协议数据防外泄系统的网络架构图；
[0039]图4是本发明实施例提供的基于深度内容解析的HTTP协议数据防外泄系统框图；
[0040]图5是图4所示系统的工作流程图。
【具体实施方式】
[0041]以下结合附图对本发明的优选实施例进行详细说明，应当理解，以下所说明的优选实施例仅用于说明和解释本发明，并不用于限定本发明。
[0042]图1是本发明提供的基于深度内容解析的HTTP协议数据防外泄方法流程图，如图1所示，步骤包括:
[0043]步骤SlOl:在网络边界串联接入用来阻断涉密数据的数据防外泄系统。
[0044]步骤S102:利用数据防外泄系统，抓取外发报文，并确定外发报文的协议类型。
[0045]具体地说，利用数据防外泄系统，获取外发报文的端口特征(例如端口号)，并根据外发报文的端口特征和应用层协议特征，确定外发报文的协议类型是否为HTTP协议。
[0046]步骤S103:当确定外发报文的协议类型是HTTP协议时，判断外发报文是否包含涉密数据。
[0047]具体地说，利用数据防外泄系统，确定HTTP会话的外发报文是否为关键报文，当确定HTTP会话的外发报文是关键报文时，进一步判断当前会话的四元组特征(即源和目的IP地址、源和目的端口号)和/或顺序拼接后的应用层数据是否与预设阻断策略相匹配，若匹配，则判断外发报文包含涉密数据。其中，预设阻断策略为预先在管理平台设置的包括HTTP内容防外泄敏感关键词、正则规则、例外条件等规则。
[0048]进一步地，数据防外泄系统将前序报文的应用层数据与当前报文的应用层数据进行顺序拼接，得到拼接后的HTTP会话实体正文长度，然后将拼接后的HTTP会话实体正文长度与在前获取的长度信息进行匹配，若两者相等，则说明当前报文为外发数据的关键报文。
[0049]其中，在前获取的长度信息是HTTP会话实体正文长度信息，从外发报文重组后得到的HTTP会话报头中获取。
[0050]进一步地，数据防外泄系统根据报文的顺序号将前序报文的应用层数据与当前报文的应用层数据进行拼接之后，若当前报文为关键报文，则通过对拼接后的应用层数据依次进行解析和匹配处理，确定外发数据中是否包含敏感数据信息，即涉密数据信息，从而在确定外发数据中包含敏感数据信息时，通过阻断关键报文，阻断敏感数据信息外泄。其中，前序报文是指报文的顺序号在当前报文之前的报文。
[0051 ]步骤S104:若判断外发报文包含涉密数据，则通过阻止关键报文，阻断涉密数据外泄。
[0052]图2是本发明提供的基于深度内容解析的HTTP协议数据防外泄系统框图，如图2所示，数据防外泄系统串联接入网络边界，包括:
[0053]HTTP外发报文获取装置用于抓取外发报文，并确定外发报文的协议类型。具体地说，HTTP外发报文获取装置获取外发报文的端口特征，并根据外发报文的端口特征和应用层协议特征，确定外发报文的协议类型是否为HTTP协议。
[0054]HTTP涉密数据确定装置用于在确定外发报文的协议类型是HTTP协议时，判断外发报文是否包含涉密数据。具体地说，HTTP涉密数据确定装置将前序报文的应用层数据与当前报文的应用层数据进行拼接，得到拼接后的HTTP会话实体正文长度，若拼接后的HTTP会话实体正文长度与在前获取的长度信息匹配，即长度相等，则说明当前报文为外发数据的关键报文，此时对当前会话的四元组特征(源和目的IP地址、源和目的端口号)和/或顺序拼接后的应用层数据进行解析，然后与预设阻断策略相匹配，若匹配，则判断外发报文包含涉密数据。
[0055]HTTP涉密数据阻断装置用于在判断外发报文包含涉密数据时，通过阻止关键报文，阻断涉密数据外泄。
[0056]图3是本发明实施例提供的基于深度内容解析的HTTP协议数据防外泄系统的网络架构图，如图3所示，HTTP阻断服务器通过双网卡串联接入网络边界，数据防外泄系统部署在HTTP服务器上，即数据防外泄系统通过双网卡串联接入网络边界。图4是本发明实施例提供的基