(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111658014.9 (22)申请日 2021.12.31 (65)同一申请的已公布的文献号 申请公布号 CN 114006776 A (43)申请公布日 2022.02.01 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 王卫新　赵林林　童兆丰　薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 于彬 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/2455(2019.01)(56)对比文件 CN 107908959 A,2018.04.13 CN 110414222 A,2019.1 1.05 CN 104778415 A,2015.07.15 CN 1071693 61 A,2017.09.15 US 201828 8051 A1,2018.10.04 审查员 高凯 (54)发明名称 一种敏感信息泄 露检测方法及装置 (57)摘要 本申请实施例提供一种敏感信息泄露检测 方法及装置， 涉及数据安全技术领域， 该敏感信 息泄露检测方法包括： 通过监听目标组织的网络 流量出口， 拦截所有应答数据； 并判断所有应答 数据与预设的特征数据库是否相匹配； 如果是， 则从应答数据中提取敏感信息以及与敏感信息 相关联的访问情况信息； 再判断访问情况信息与 预设的云端情报库是否相匹配； 如果是， 则获取 敏感信息的泄露路径， 并输出包括泄露路径的告 警提示信息， 以提示敏感信息已被恶意访问， 能 够快速准确地进行敏感信息泄露检测， 灵活性 高， 覆盖全面， 能监控目标组织整个流量出口， 同 时还能够对敏感信息泄露情况进行路径追踪分 析， 及时维护数据安全。 权利要求书2页 说明书10页 附图2页 CN 114006776 B 2022.03.18 CN 114006776 B 1.一种敏感信息泄 露检测方法， 其特 征在于， 包括： 通过监听目标组织的网络流 量出口， 拦截所有应答数据； 判断所述所有应答数据与预设的特 征数据库是否相匹配； 如果是， 则从所述应答数据中提取敏感信 息以及与所述敏感信 息相关联的访问情况信 息； 判断所述访问情况信息与预设的云端情 报库是否相匹配； 如果是， 则获取所述敏感信息的泄露路径， 并输出包括所述泄露路径的告警提示信 息， 以提示所述敏感信息已被恶意访问； 所述访问情况信息包括所述敏感信息的暴露点信息、 所述敏感信息的泄露方式、 访 问 所述敏感信息的用户标识以及所述敏感信息的具体访问情况； 其中， 所述暴露点信息包括暴露所述敏感信息的通信接口、 通信服务和主机地址中的 一种或者多种； 所述泄露方式包括静态资源泄 露、 数据内容泄 露中的一种或者多种； 所述用户标识包括 地址信息、 地理位置信息中的一种或者多种； 所述具体访问情况包括访问时间、 访问频次、 访问统计值中的一种或者多种； 其中， 所述获取 所述敏感信息的泄 露路径， 包括： 对所述敏感信 息、 所述暴露点信息、 所述泄露方式、 所述用户标识以及所述具体访问情 况进行数据整合， 得到所述敏感信息的泄 露内容、 泄 露来源以及泄 露去向； 根据所述泄 露内容、 所述泄 露来源以及所述泄 露去向生成泄 露路径。 2.根据权利要求1所述的敏感信 息泄露检测方法， 其特征在于， 所述通过监 听目标组织 的网络流 量出口， 拦截所有应答数据， 包括： 监听目标组织的网络流 量出口， 并拦截所述网络流 量出口的所有出口流 量； 对所述所有出口流 量进行解析还原处 理， 得到解析还原数据； 获取所述解析还原数据中的所有应答数据。 3.根据权利要求1所述的敏感信 息泄露检测方法， 其特征在于， 所述判断所述所有应答 数据与预设的特 征数据库是否相匹配， 包括： 判断是否能够获取到预 先配置的匹配规则； 如果是， 则获取所述预先配置的匹配规则以及预设的特征数据库对所述所有应答数据 进行多模匹配， 得到匹配结果； 根据所述匹配结果判断所述所有应答数据与所述匹配规则和/或所述特征数据库 是否 相匹配； 如果是， 执行所述的从所述应答数据中提取所述敏感信 息以及与所述敏感信 息相关联 的访问情况信息 。 4.根据权利要求1所述的敏感信息泄 露检测方法， 其特 征在于， 所述方法还 包括： 当判断出所述访问情况信 息与所述云端情报库不相匹配时， 输出所述敏感信 息存在泄 露风险的风险提 示信息。 5.一种敏感信息泄 露检测装置， 其特 征在于， 所述敏感信息泄 露检测装置包括： 拦截单元， 用于通过监听目标组织的网络流 量出口， 拦截所有应答数据； 第一判断单 元， 用于判断所述所有应答数据与预设的特 征数据库是否相匹配；权　利　要　求　书 1/2 页 2 CN 114006776 B 2提取单元， 用于当判断出所述所有应答数据与所述特征数据库相匹配时， 从所述应答 数据中提取 敏感信息以及与所述敏感信息相关联的访问情况信息； 第二判断单 元， 用于判断所述访问情况信息与预设的云端情 报库是否相匹配； 路径获取单元， 用于当判断出所述访 问情况信息与所述云端情报库相匹配时， 获取所 述敏感信息的泄 露路径； 告警输出单元， 用于输出包括所述泄露路径的告警提示信息， 以提示所述敏感信息已 被恶意访问； 所述访问情况信息包括所述敏感信息的暴露点信息、 所述敏感信息的泄露方式、 访 问 所述敏感信息的用户标识以及所述敏感信息的具体访问情况； 其中， 所述暴露点信息包括暴露所述敏感信息的通信接口、 通信服务和主机地址中的 一种或者多种； 所述泄露方式包括静态资源泄 露、 数据内容泄 露中的一种或者多种； 所述用户标识包括 地址信息、 地理位置信息中的一种或者多种； 所述具体访问情况包括访问时间、 访问频次、 访问统计值中的一种或者多种； 路径获取 单元包括： 第六子单元， 用于当判断出访问情况信 息与云端情报库相匹配时， 对敏感信息、 暴露点 信息、 泄露方式、 用户标识以及具体访问情况进行数据整合， 得到敏感信息的泄露内容、 泄 露来源以及泄 露去向； 第七子单 元， 用于根据泄 露内容、 泄 露来源以及泄 露去向生成泄 露路径。 6.根据权利要求5所述的敏感信息泄 露检测装置， 其特 征在于， 所述 拦截单元包括： 第一子单元， 用于监听目标组织的网络流量出口， 并拦截所述网络流量出口的所有出 口流量； 第二子单 元， 用于对所述所有出口流 量进行解析还原处 理， 得到解析还原数据； 第三子单 元， 用于获取 所述解析还原数据中的所有应答数据。 7.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至4中 任一项所述的敏感信息泄 露检测方法。 8.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所述 计算机程序指 令被一处理器读取并运行时， 执行权利要求 1至4任一项 所述的敏感信息泄露 检测方法。权　利　要　求　书 2/2 页 3 CN 114006776 B 3