阅读说明：本技术 数据泄露处理方法、装置、电子设备及存储介质 (Data leakage processing method and device, electronic equipment and storage medium ) 是由 张登超 于 2019-07-30 设计创作，主要内容包括：本发明实施例提供了一种数据泄露处理方法、装置、电子设备及存储介质,该方法可以包括：电子设备当监测到与预设监控参数匹配的目标数据时,获取该目标数据对应的目标外网地址；如果数据库中不存在该目标外网地址,该电子设备从地址关系映射表中查询该目标外网地址对应的内网地址；该电子设备确定该内网地址对应的用户信息,并根据该用户信息发出预警消息。采用本发明,可以对数据泄露点进行有效的溯源,进而降低数据泄露带来的风险。(The embodiment of the invention provides a data leakage processing method, a data leakage processing device, electronic equipment and a storage medium, wherein the method comprises the following steps: when monitoring target data matched with preset monitoring parameters, the electronic equipment acquires a target external network address corresponding to the target data; if the target external network address does not exist in the database, the electronic equipment queries an internal network address corresponding to the target external network address from an address relation mapping table; and the electronic equipment determines the user information corresponding to the intranet address and sends out early warning information according to the user information. By adopting the method and the device, the source of the data leakage point can be effectively traced, and the risk brought by data leakage is further reduced.)

数据泄露处理方法、装置、电子设备及存储介质

技术领域

本发明涉及信息安全技术领域，尤其涉及一种数据泄露处理方法、装置、电子设备及存储介质。

背景技术

数据泄露已然成为企业信息安全的首要问题。其中，数据泄露的方式也是多种多样。例如，企业员工主动进行数据泄露。当然，在一些场景下，也可能存在企业内部人员被动泄密，或由第三方引发泄密的情况。随着互联网、移动互联网技术的发展，依托于互联网、移动互联网产生的数据泄露事件也越来越多，这也导致越来越多的企业承受着数据泄露带来的风险。因此，如何对数据泄露点进行有效的溯源，进而降低数据泄露带来的风险成为研究的热点。

发明内容

本发明实施例提供了一种数据泄露处理方法、装置、电子设备及存储介质，可以对数据泄露点进行有效的溯源，进而降低数据泄露带来的风险。

第一方面，本发明实施例提供了一种数据泄露处理方法，包括：

电子设备当监测到与预设监控参数匹配的目标数据时，获取所述目标数据对应的目标外网地址；

如果数据库中不存在所述目标外网地址，所述电子设备从地址关系映射表中查询所述目标外网地址对应的内网地址；

所述电子设备确定所述内网地址对应的用户信息，并根据所述用户信息发出预警消息。

可选地，所述电子设备从地址关系映射表中查询所述目标外网地址对应的内网地址之前，所述方法还包括：

电子设备监控通过内网访问外网的访问请求，所述访问请求包括外网地址和内网地址；

所述电子设备根据所述访问请求包括的外网地址和内网地址建立地址关系映射表。

可选地，所述电子设备根据所述访问请求包括的外网地址和内网地址建立地址关系映射表，包括：

所述电子设备获取所述访问请求包括的外网地址中的参数；

所述电子设备建立所述访问请求包括的外网地址、内网地址以及所述参数之间的映射关系；

所述电子设备根据所述映射关系生成地址关系映射表。

可选地，所述电子设备从地址关系映射表中查询所述目标外网地址对应的内网地址，包括：

所述电子设备提取所述目标外网地址中包括的目标参数；

所述电子设备从地址关系映射表中查询所述目标参数对应的内网地址。

可选地，所述电子设备当监测到与预设监控参数匹配的目标数据时，获取所述目标数据对应的目标外网地址之前，所述方法还包括：

电子设备对预设的至少一个关键词和至少一个敏感载荷进行组合，以生成监控参数；

所述电子设备按照预设的监测规则，监测指定数据网站中与所述监控参数匹配的目标数据。

可选地，所述电子设备按照预设的监测规则，监测指定数据网站中与所述监控参数匹配的目标数据，包括：

所述电子设备利用指定数据网站对应的账号信息登录所述指定数据网站；

所述电子设备按照预设的监控周期监测所述指定数据网站中与所述监控参数匹配的目标数据。

可选地，所述方法还包括：

如果所述数据库中不存在所述目标外网地址，所述电子设备将所述目标数据以及所述目标外网地址存储到所述数据库中。

第二方面，本发明实施例提供了一种数据泄露处理装置，应用于电子设备，包括：

获取单元，用于当监测到与预设监控参数匹配的目标数据时，获取所述目标数据对应的目标外网地址；

查询单元，用于如果数据库中不存在所述目标外网地址，从地址关系映射表中查询所述目标外网地址对应的内网地址；

告警单元，用于确定所述内网地址对应的用户信息，并根据所述用户信息发出预警消息。

第三方面，本发明实施例提供了一种电子设备，包括处理器、存储器和输出设备，所述处理器、所述存储器和所述输出设备之间相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如第一方面所述的方法。

第四方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行以实现如第一方面所述的方法。

综上所述，电子设备可以当监测到与预设监控参数匹配的目标数据时，获取该目标数据对应的目标外网地址；如果数据库中不存在该目标外网地址，电子设备可以从地址关系映射表中查询该目标外网地址对应的内网地址，以确定该内网地址对应的用户信息，并根据该用户信息发出预警消息，从而实现对数据泄露点进行有效的溯源的功能，并可以对相应疑似数据泄露者或数据泄露者及时地进行预警，进而降低数据泄露带来的风险。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种数据泄露处理方法的流程示意图；

图2是本发明实施例提供的一种包括关键词和敏感载荷的界面的示意图；

图3是本发明实施例提供的另一种数据泄露处理方法的流程示意图；

图4是本发明实施例提供的一种数据泄露处理装置的结构示意图；

图5是本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。

请参阅图1，为本发明实施例提供的一种数据泄露处理方法的流程示意图。该方法可以应用于电子设备。该电子设备包括但不限于终端，如台式电脑、路由器、服务器等设备。在一个应用场景中，该电子设备中可以运行监控程序以实现本发明实施例提供的一种数据泄露处理方法。具体地，该方法可以包括以下步骤：

S101、电子设备当监测到与预设监控参数匹配的目标数据时，获取该目标数据对应的目标外网地址。

其中，该预设监控参数可以包括目标关键词keyword和/或目标敏感载荷payload。其中，目标关键词可以是指预设的至少一个关键词中的任一个或多个关键词。例如，该至少一个关键词可以为公司标识的不同表达形式，如为公司名称缩写的不同表达形式。由图2可以看出，该至少一个关键词可以包括：xyd、Xyd、XYD。目标敏感载荷可以是指预设的至少一个敏感载荷中的任一个或多个敏感载荷。在一个实施例中，该敏感载荷又可以称为有效载荷、有效负荷或有效负载。例如，该至少一个敏感载荷可以是敏感信息的不同表达形式，如为用户名英文的不同表达形式。由图2可以检出，该至少一个敏感载荷可以包括：USERNAME、PASSWORD、Username、Password、smtp、Smtp、Mysql、MYSQL、SMTP。在一个实施例中，该监控参数可以是对预设的至少一个关键词和至少一个敏感载荷进行组合后生成的。

其中，与预设监控参数匹配的目标数据，可以是指与预测监控参数匹配的任一个或多个数据，如代码数据。在一个实施例中，该目标数据可以包括该监控参数中任一个组合结果。该目标数据对应的外网地址可以是指该目标数据对应的外网网际协议(Internetprotocol，IP)地址和/或外网统一资源定位符(Uniform Resource Locator，URL)地址。

S102、如果数据库中不存在该目标外网地址，该电子设备从地址关系映射表中查询该目标外网地址对应的内网地址。

其中，电子设备可以查询数据库中是否存在该目标外网地址。若该数据库中不存在该目标外网地址，电子设备则可以从地址关系映射表中查询该目标外网地址对应的内网地址。在一个实施例中，该内网地址可以为内网IP地址。

在一个实施例中，该地址关系映射表可以是根据外网地址与内网地址建立的。

在一个实施例中，电子设备可以在从地址关系映射表中查询该目标外网地址对应的内网地址之前，监控通过内网访问外网的访问请求，该访问请求包括外网地址和内网地址；电子设备根据该访问请求包括的外网地址和内网地址建立地址关系映射表。

在一个实施例中，该访问请求可以携带HTTP请求(包括外网地址)和内网地址，如内网IP地址192.168.1.1->外网URL/IP地址，URL为https://xxx.com/abc/efg，IP为https://168.9.9.2/abc/efg。

在一个实施例中，该地址关系映射表可以仅包括外网地址与内网地址的对应关系。或，该地址关系映射表还可以包括参数与内网地址的对应关系。或，该地址关系映射表还可以包括外网地址、内网地址以及参数之间的映射关系。下面将对第三种情况的地址关系映射表的生成方式进行描述。

在一个实施例中，电子设备根据该访问请求包括的外网地址和内网地址建立地址关系映射表，包括：电子设备获取该访问请求包括的外网地址中的参数；建立该访问请求包括的外网地址、内网地址以及该参数之间的映射关系；电子设备根据该映射关系生成地址关系映射表。其中，该参数包括但不限于昵称参数、登录账号等用于标识用户身份的信息。在一个实施例中，该昵称参数可以为用户昵称。例如，参见表1，为本发明实施例提供的一中地址关系映射表。

表1

内网地址	外网地址	参数
			192.168.1.1	https://xxx.com/AAA/efg	AAA
192.168.1.2	https://168.9.9.2/BBB/efg	BBB
			…	…	…

例如，电子设备可以获取访问请求包括的外网URL：https://xxx.com/AAA/efg中的参数：AAA，并建立内网IP地址：192.168.1.1、外网URL：https://xxx.com/AAA/efg、以及参数：AAA之间的映射关系，并根据该映射关系生成如表1所示的地址关系映射表。

在一个实施例中，电子设备从地址关系映射表中查询该目标外网地址对应的内网地址，可以包括：电子设备提取该目标外网地址中包括的目标参数；从地址关系映射表中查询该目标参数对应的内网地址。例如，电子设备可以提取外网URL：https://xxx.com/AAA/efg中的目标参数：AAA；电子设备可以从表1中查询出目标参数：AAA对应的内网地址：192.168.1.1。

在一个实施例中，考虑到存在用户只是游客而不是泄密者的情况，此时可以确定用户对该目标外网地址的访问时间，并确定该目标外网地址对应的页面的更新时间，若访问时间与更新时间之间的时间间隔小于预设时间间隔(如0天)，则可以执行步骤S103。时间间隔太小，说明用户存在泄密的可能性，此时可以执行步骤S103以进行预警。

在一个实施例中，考虑到外网地址可能存在多个参数的情况，电子设备可以当该目标参数包括一个参数时，从地址关系映射表中查询该目标参数对应的内网地址。当该目标参数包括多个参数时，则可以从地址关系映射表中查询该多个参数中的指定参数。该指定参数是指在该目标外网地址中排序最靠前的参数。例如，该目标参数可以包括一个昵称参数或多个昵称参数，该指定参数可以是指在该目标外网地址中排序最靠前的昵称参数。

在一个实施例中，若该数据库中不存在该目标外网地址，电子设备则还可以将该目标外网地址存储到数据库中。或，电子设备还可以将该目标数据以及该目标外网地址存储到该数据中。后续在需要使用到该目标外网地址时，可以从该数据库中提取该目标外网地址。

在一个实施例中，若该数据库中存在该目标外网地址，电子设备则可以不执行存储操作，如可以丢弃该目标外网地址。采用该方式，可以避免外网地址重复存储的问题，从而减轻数据库的存储压力。

S103、该电子设备确定该内网地址对应的用户，并根据该用户信息发出预警消息。

为了减少数据泄露风险，电子设备可以确定该内网地址对应的用户信息，并根据该用户信息发出预警消息。其中，该预警消息包括但不限于以邮件、短信等形式进行发送。

在一个实施例中，电子设备可以根据预设的内网地址与用户信息之间的对应关系，确定查询到的内网地址对应的用户信息。其中，该用户信息包括但不限于姓名和联系方式等信息。该用户联系方式包括但不限于邮箱、电话号码、社交账号等联系方式。

在一个实施例中，电子设备根据该用户信息发出预警消息，可以包括：该电子设备根据该用户信息中的联系方式发出预警信息。例如，将该预警信息发送至用户信息中的邮箱上。

在一个实施例中，除了针对该用户发出预警信息，还可以在企业内部讨论平台等发送通报信息。

在一个实施例中，电子设备还可以对相关管理人员发送相应通知信息。

在一个应用场景中，若企业内部员工通过内网登录外网泄露数据(如登录外网无意间上传了公司敏感信息)时，电子设备可以通过执行步骤S101-步骤S103追踪出该企业内部员工，并向该企业内部员工进行预警。

可见，图1所示的实施例中，电子设备可以当监测到与预设监控参数匹配的目标数据时，获取该目标数据对应的目标外网地址；如果数据库中不存在该目标外网地址，电子设备可以从地址关系映射表中查询该目标外网地址对应的内网地址，以确定该内网地址对应的用户信息，并根据该用户信息发出预警消息，从而实现对数据泄露点，尤其对企业内部员工泄露的数据进行有效的溯源的功能，并可以对相应疑似数据泄露者或数据泄露者及时地进行预警，进而降低数据泄露带来的风险。

请参阅图3，为本发明实施例提供的另一种数据泄露处理方法的流程示意图。该方法可以应用于电子设备。该电子设备包括但不限于终端、路由器、服务器等设备。在一个应用场景中，该电子设备中可以运行监控程序以实现本发明实施例提供的一种数据泄露处理方法。具体地，该方法可以包括以下步骤：

S301、电子设备对预设的至少一个关键词和至少一个敏感载荷进行组合，以生成监控参数。

本发明实施例中，电子设备可以对预设的至少一个关键词和至少一个敏感载荷进行组合，以生成监控参数。通过对预设的至少一个关键词和至少一个敏感载荷进行组合可以得到多个组合结果。该监控参数可以包括该多个组合结果中的任一个或多个组合结果。

S302、该电子设备按照预设的监测规则，监测指定数据网站中的与该监控参数匹配的目标数据。

本发明实施例中，电子设备可以按照预设的监测规则，监测指定数据网站中与该监控参数匹配的目标数据。例如，该指定数据网站可以为代码托管网站等网站。该目标数据可以包括该监控参数中任一组合结果。

在一个实施例中，电子设备按照预设的监测规则，监测指定数据网站中与该监控参数匹配的目标数据，包括：电子设备利用指定数据网站对应的账号信息登录该指定数据网站；电子设备按照预设的监控周期监测该指定数据网站中与该监控参数匹配的目标数据。其中，该账号信息可以包括设置的账户名和密码。该预设的监控周期可以为每分钟、每小时或每天等等监控周期。

在一个实施例中，电子设备监测该指定数据网站中与该监控参数匹配的目标数据的过程，可以是指从该指定数据网站中搜索出与该监控参数匹配的目标数据的过程。

S303、电子设备当监测到与预设监控参数匹配的目标数据时，获取该目标数据对应的目标外网地址。

S304、如果数据库中不存在该目标外网地址，该电子设备从地址关系映射表中查询该目标外网地址对应的内网地址。

S305、该电子设备确定该内网地址对应的用户信息，并根据该用户信息发出预警消息。

其中，步骤S303-S305可参见图1实施例，本发明实施例在此不做赘述。

可见，图3所示的实施例中，电子设备可以当监测到与预设监控参数匹配的目标数据时，获取该目标数据对应的目标外网地址；如果数据库中不存在该目标外网地址，电子设备可以从地址关系映射表中查询该目标外网地址对应的内网地址，以确定该内网地址对应的用户信息，并根据该用户信息发出预警消息，从而实现对数据泄露点进行有效的溯源的功能，并可以对相应疑似数据泄露者或数据泄露者及时地进行预警，进而降低数据泄露带来的风险。

请参阅图4，为本发明实施例提供的一种数据泄露处理装置的结构示意图。该数据泄露处理装置可以应用于电子设备。该电子设备包括但不限于终端、路由器、服务器等设备。具体地，该数据泄露处理装置可以包括：

获取单元401，用于当监测到与预设监控参数匹配的目标数据时，获取该目标数据对应的目标外网地址；

查询单元402，用于如果数据库中不存在该目标外网地址，从地址关系映射表中查询该目标外网地址对应的内网地址；

告警单元403，用于确定该内网地址对应的用户，并针对该用户发出预警消息。

在一个实施例中，该数据泄露处理装置还可以包括处理单元404。

在一个实施例中，处理单元404，用于在从地址关系映射表中查询该目标外网地址对应的内网地址之前，监控通过内网访问外网的访问请求，该访问请求包括外网地址和内网地址；根据该访问请求包括的外网地址和内网地址建立地址关系映射表。

在一个实施例中，处理单元404，具体用于获取该访问请求包括的外网地址中的参数；建立该访问请求包括的外网地址、内网地址以及该参数之间的映射关系；根据该映射关系生成地址关系映射表。

在一个实施例中，查询单元402，具体用于提取该目标外网地址中包括的目标参数；从地址关系映射表中查询该目标参数对应的内网地址。

在一个实施例中，处理单元404，还用于在当监测到与预设监控参数匹配的目标数据时，获取该目标数据对应的目标外网地址之前，对预设的至少一个关键词和至少一个敏感载荷进行组合，以生成监控参数；按照预设的监测规则，监测指定数据网站中与该监控参数匹配的目标数据。

在一个实施例中，处理单元404按照预设的监测规则，监测指定数据网站中与该监控参数匹配的目标数据，具体为利用指定数据网站对应的账号信息登录该指定数据网站；按照预设的监控周期监测该指定数据网站中与该监控参数匹配的目标数据。

在一个实施例中，处理单元404，还用于如果该数据库中不存在该目标外网地址，将该目标数据以及该目标外网地址存储到该数据库中。

可见，图4所示的实施例中，电子设备可以当监测到与预设监控参数匹配的目标数据时，获取该目标数据对应的目标外网地址；如果数据库中不存在该目标外网地址，电子设备可以从地址关系映射表中查询该目标外网地址对应的内网地址，以确定该内网地址对应的用户信息，并根据该用户信息发出预警消息，从而实现对数据泄露点进行有效的溯源的功能，并可以对相应疑似数据泄露者或数据泄露者及时地进行预警，进而降低数据泄露带来的风险。

请参阅图5，是本发明实施例提供的一种电子设备的结构示意图。如图5所示的本实施例中的电子设备可以包括：一个或多个处理器501；一个或多个输入设备502，一个或多个输出设备503和存储器504。在一个实施例中，该一个或多个输入设备502是可选的设备。其中，上述处理器501、输入设备502、输出设备503和存储器504通过总线或其他方式连接。存储器504用于存储计算机程序，该计算机程序包括程序指令，处理器501用于执行该存储器504存储的程序指令。

在一个实施例中，该处理器501可以是中央处理单元(Central Processing Unit，CPU)，该处理器还可以是其他通用处理器，即微处理器或者任何常规的处理器。该存储器504可以包括只读存储器和随机存取存储器，并向处理器501提供指令和数据。因此，在此对于处理器501和存储器504不作限定。

在本发明实施例中，由处理器501加载并执行计算机存储介质中存放的一条或一条以上指令，以实现上述相应实施例中的方法的相应步骤；具体实现中，计算机存储介质中的至少一条指令由处理器501加载并执行如下步骤：

当监测到与预设监控参数匹配的目标数据时，获取该目标数据对应的目标外网地址；

如果数据库中不存在该目标外网地址，从地址关系映射表中查询该目标外网地址对应的内网地址；

确定该内网地址对应的用户信息，并通过输出设备503根据该用户信息发出预警消息。

在一个实施例中，从地址关系映射表中查询该目标外网地址对应的内网地址之前，该至少一条指令由处理器501加载并还用于执行：

监控通过内网访问外网的访问请求，该访问请求包括外网地址和内网地址；

根据该访问请求包括的外网地址和内网地址建立地址关系映射表。

在一个实施例中，在根据该访问请求包括的外网地址和内网地址建立地址关系映射表时，该至少一条指令由处理器501加载并具体用于执行：

获取该访问请求包括的外网地址中的参数；

建立该访问请求包括的外网地址、内网地址以及该参数之间的映射关系；

根据该映射关系生成地址关系映射表。

在一个实施例中，在从地址关系映射表中查询该目标外网地址对应的内网地址时，该至少一条指令由处理器501加载并具体用于执行：

提取该目标外网地址中包括的目标参数；

从地址关系映射表中查询该目标参数对应的内网地址。

在一个实施例中，当监测到与预设监控参数匹配的目标数据时，获取该目标数据对应的目标外网地址之前，该至少一条指令由处理器501加载并具体用于执行：

对预设的至少一个关键词和至少一个敏感载荷进行组合，以生成监控参数；

按照预设的监测规则，监测指定数据网站中与该监控参数匹配的目标数据。

在一个实施例中，按照预设的监测规则，监测指定数据网站中与该监控参数匹配的目标数据时，该至少一条指令由处理器501加载并具体用于执行：

利用指定数据网站对应的账号信息登录该指定数据网站；

按照预设的监控周期监测该指定数据网站中与该监控参数匹配的目标数据。

在一个实施例中，该至少一条指令由处理器501加载并还用于执行：

如果该数据库中不存在该目标外网地址，将该目标数据以及该目标外网地址存储到该数据库中。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，所述程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random AccessMemory，RAM)等。

以上所揭露的仅为本发明的部分实施例而已，当然不能以此来限定本发明之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。