一种数据泄漏行为的监测方法、装置、存储介质及设备与流程

1.本发明涉及数据安全技术领域，尤其涉及一种数据泄漏行为的监测方法、装置、存储介质及设备。


背景技术：

2.随着大数据时代到来，各行各业的数据量呈指数级增长，数据已经成为重要生产要素，具备较高的经济价值。与此同时，数据也已经基本融入到每个人的生活中，我们在生活中所产生的行为信息，以及我们的个人信息越来越多的以数据的形式而存在。
3.为了进一步保护数据安全，减小重要数据泄漏行为的发生率，目前，现有技术中，通过采集数据的方式，对用户的行为进行监测。当基于所采集的数据，发现行为异常时，则判断具有数据泄漏行为。然而，现有技术方案中，数据泄漏行为的预测准确率较低，导致正常行为被预测成数据泄漏行为，影响了业务的正常开展。并且，数据泄漏行为的预测时间较长，不能及时被发现，进而导致重要数据泄漏。因此，如何提高数据泄漏行为的预测准确率和预测效率，成为亟待解决的技术问题。


技术实现要素：

4.本发明提供了一种数据泄漏行为的监测方法、装置、存储介质及设备，以解决现有技术中，数据泄漏行为的预测准确率和预测效率较低的技术问题。
5.第一方面，提供了一种数据泄漏行为的监测方法，包括：获取目标用户的数据集及对应的业务场景；基于所述业务场景，获取所述业务场景对应的敏感数据识别规则；根据所述敏感数据识别规则，判断所述数据集中是否存在敏感数据；如果存在，从所述数据集中提取出一个或多个敏感数据信息；基于所述业务场景，获取所述业务场景对应的风险因子集，并根据所述风险因子集，判断所述数据集中是否存在风险因子；如果存在，则根据所述数据集和所述业务场景对应的风险因子集，生成一个或多个风险因子；根据所述敏感数据信息和所述风险因子，并基于所述业务场景，判断目标用户行为是否存在数据泄漏行为。
6.第二方面，提供了一种数据泄漏行为的监测装置，包括：第一获取模块：用于获取目标用户的数据集及对应的业务场景；第二获取模块：用于基于所述业务场景，获取所述业务场景对应的敏感数据识别规则；第一判断模块：用于根据所述敏感数据识别规则，判断所述数据集中是否存在敏感数据；提取模块：用于如果存在，从所述数据集中提取出一个或多个敏感数据信息；
第二判断模块：用于基于所述业务场景，获取所述业务场景对应的风险因子集，并根据所述风险因子集，判断所述数据集中是否存在风险因子；生成模块：用于如果存在，则根据所述数据集和所述业务场景对应的风险因子集，生成一个或多个风险因子；第三判断模块：用于根据所述敏感数据信息和所述风险因子，并基于所述业务场景，判断目标用户行为是否存在数据泄漏行为。
7.第三方面，提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述数据泄漏行为的监测方法的步骤。
8.第四方面，提供了一种计算机设备，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述数据泄漏行为的监测方法的步骤。
9.上述数据泄漏行为的监测方法、装置、存储介质及设备，首先，获取目标用户的数据集及对应的业务场景；其次，基于所述业务场景，获取所述业务场景对应的敏感数据识别规则；再次，根据所述敏感数据识别规则，判断所述数据集中是否存在敏感数据；如果存在，从所述数据集中提取出一个或多个敏感数据信息；同时，基于所述业务场景，获取所述业务场景对应的风险因子集，并根据所述风险因子集，判断所述数据集中是否存在风险因子；如果存在，则根据所述数据集和所述业务场景对应的风险因子集，生成一个或多个风险因子；最后，根据所述敏感数据信息和所述风险因子，并基于所述业务场景，判断目标用户行为是否存在数据泄漏行为。
10.本技术，不同的业务场景对应不同的敏感数据识别规则和风险因子集。并在行为监测时，根据业务场景对应的敏感数据识别规则和风险因子集，从采集的目标用户的数据集中提取生成敏感数据信息和风险因子。需要说明的是，不同的业务场景对应的敏感数据识别规则是不一样的。比如，在互联网医疗行业中，诸如医嘱单、检验报告、手术及麻醉记录等个人健康生理信息被分类为四级数据，属于数据级别比较高的敏感数据。然而，在电信行业，基本上不存在上述医嘱单、检验报告、手术及麻醉记录等个人健康生理信息的数据。相反，在电信行业，根据《电信和互联网大数据安全管控分类分级实施指南》，诸如用户通讯录、好友列表等联系人信息属于b1-2的类别。然而，上述用户通讯录、好友列表等联系人信息在医疗行业也基本上不会存在。
11.由此可见，不同业务场景下，所产生的敏感数据存在差异，同时敏感数据的分级和/或分类也存在差异。如果不加以区分，一方面会导致敏感数据的提取效率较低，进而延长数据泄漏行为的预测时间。另一方面，由于不同业务场景下的数据分类分级标准不一样，导致数据重要性的衡量标准无法进行统一，进而导致一些重要的数据没有精准识别并提取，造成重要数据的泄漏行为。
12.与此同时，不同业务场景下，所产生的风险因子也存在差异。比如，在金融支付行业，如果发现用户在距离较远的两个城市登录的时间差低于一定阈值，则会产生账号登录异常的风险因子。然而，在其它服务行业，上述行为并不一定会成为风险因子。因此，本技术通过获取与业务场景紧密结合的敏感数据识别规则和风险因子集，进而能够生成精准的敏感数据信息和风险因子，再根据上述精准的敏感数据信息和风险因子，判断是否存在数据泄漏行为，能够提高数据泄漏行为预测的精准率和预测效率。
附图说明
13.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
14.图1是本发明一实施例中数据泄漏行为的监测方法的一应用环境示意图；图2是本发明一实施例中数据泄漏行为的监测方法的一流程示意图；图3是图2中步骤s20的一具体实施方式流程示意图；图4是图2中步骤s30的一具体实施方式流程示意图；图5是是图2中步骤s60的一具体实施方式流程示意图；图6是图2中步骤s70的一具体实施方式流程示意图；图7是本发明一实施例中数据泄漏行为的监测方法的一框架示意图；图8是本发明一实施例中数据泄漏行为的监测装置的一结构示意图；图9是本发明一实施例中计算机设备的一结构示意图。
具体实施方式
15.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
16.本发明实施例提供的数据泄漏行为的监测方法，可应用在如图1的应用环境中，其中，客户端通过本地网络与服务端进行通信。首先，通过客户端获取目标用户的数据集及对应的业务场景，并传输给服务端；然后，基于所述业务场景，在服务端获取所述业务场景对应的敏感数据识别规则，并根据所述敏感数据识别规则，判断所述数据集中是否存在敏感数据；如果存在，从所述数据集中提取出一个或多个敏感数据信息；其次，基于所述业务场景，在服务端获取所述业务场景对应的风险因子集，并根据所述风险因子集，判断所述数据集中是否存在风险因子；如果存在，则根据所述数据集和所述业务场景对应的风险因子集，生成一个或多个风险因子；最后，根据所述敏感数据信息和所述风险因子，并基于所述业务场景，判断目标用户行为是否存在数据泄漏行为。
17.本技术实施例中的数据泄漏行为的监测方法，通过获取与业务场景紧密结合的敏感数据识别规则和风险因子集，进而能够生成精准的敏感数据信息和风险因子，再根据上述精准的敏感数据信息和风险因子，判断是否存在数据泄漏行为，能够提高数据泄漏行为预测的精准率和预测效率。其中，客户端可以但不限于各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。服务端可以用独立的服务器或者是多个服务器组成的服务器集群来实现。下面通过具体的实施例对本发明进行详细的描述。
18.请参阅图2所示，图2是本发明一实施例中数据泄漏行为的监测方法的一流程示意图，包括如下步骤：s10：获取目标用户的数据集及对应的业务场景。
19.本技术实施例中，目标用户的数据集的采集获取可以在业务系统流量必须经过的
网络设备上创建数据流量镜像，或者在应用服务器、数据库服务器等业务系统的关键服务器上部署代理插件，获取业务相关流量数据、日志数据等源数据。同时，在采集获取上述源数据之后，还需要进行协议识别、解析和内容识别，并在内容识别后，对识别后的数据内容进行存储。比如，对数据库访问协议、超文本传输协议、邮件传输协议、文件传输协议中至少任一协议进行协议解析。同时，还需要对访问过程中的数据、文件等进行内容识别。
20.如此，当获取目标用户的数据集之后，就可以根据所获取的目标用户的数据集，确定对应的业务场景。比如，所获取的目标用户的数据集大部分是在线上问诊业务系统的服务器上获取的，则可以确定所述业务场景为线上问诊业务场景。再比如，所获取的目标用户的数据集大部分是在汽车租赁业务系统的服务器上获取的，则可以确定所述业务场景为汽车租赁业务场景。需要说明的是，本技术实施例中，所获取的目标用户的数据集均是经过目标用户同意之后，通过网络设备所获取的数据。
21.s20：基于所述业务场景，获取所述业务场景对应的敏感数据识别规则。
22.如上所述，由于不同业务场景下所产生的敏感数据不一样。因此，为了进一步提高敏感数据的识别提取效率和精准率，根据所述业务场景对应的敏感数据识别规则，对敏感数据进行识别提取。在一种实施方式中，请参阅图3所示，图3是图2中步骤s20的一具体实施方式流程示意图，包括如下步骤：s21: 基于所述业务场景确定所述业务场景对应的行业属性；s22: 根据所述行业属性，获取所述业务场景对应的敏感数据识别规则。
23.比如，上述线上问诊业务场景，则可以确定为医疗行业，进而获取医疗行业对应的敏感数据识别规则。比如，上述汽车租赁业务场景，则可以确定为汽车租赁行业，进而获取汽车租赁行业对应的敏感数据识别规则。
24.s30：根据所述敏感数据识别规则，判断所述数据集中是否存在敏感数据。
25.在一种实施方式中，所述敏感数据识别规则包括敏感数据的类别，请参阅图4所示，图4是图2中步骤s30的一具体实施方式流程示意图，包括如下步骤：s31：获取所述数据集中数据的类别；s32：判断所述数据集中数据的类别是否能与所述敏感数据的类别进行匹配；s33：如果能匹配，则判断所述数据集中存在敏感数据。
26.比如，在线上问诊业务场景下，获取所述数据集中数据的类别为检验报告的类别，则根据医疗行业对应的敏感数据识别规则，判断所述敏感数据识别规则中是否存在检验报告的类别，如果存在，则判断所述数据集中存在敏感数据。需要说明的是，不同业务场景下对应的敏感数据识别规则是不一样的。也就是，不同业务场景下对应的敏感数据的类别是不一样的。正如上文所言，在医疗行业，会存在医嘱单、检验报告、手术及麻醉记录等个人健康生理信息的敏感数据的类别。然而，在其它业务场景下，不一定会存在上述敏感数据的类别。如此，不同的业务场景对应不同的敏感数据识别规则，能够进一步提高敏感数据的识别效率和准确率。
27.s40：如果存在，从所述数据集中提取出一个或多个敏感数据信息。
28.如果目标用户想查阅检验报告，从一个业务服务器上下载一份图片格式的检验报告，当判断上述图片为敏感数据时，则提取出敏感数据信息。在一种实施方式中，所述敏感数据信息包括敏感数据的类别信息和/或级别信息。比如，敏感数据信息为检验报告的类别
和数据四级。需要说明的是，通过上述敏感数据的类别信息和/或级别信息，相对于通过图片内容，预测目标用户行为是否为数据泄漏行为，能够提高数据泄漏行为预测的效率。
29.s50：基于所述业务场景，获取所述业务场景对应的风险因子集，并根据所述风险因子集，判断所述数据集中是否存在风险因子。
30.如前所述，由于不同业务场景下的风险因子是不同的。为了进一步提高风险因子的识别和生成效率和准确率，获取所述业务场景对应的风险因子集。在一种实施方式中，所述业务场景对应的风险因子集的生成方法包括如下步骤：a1：根据所述业务场景，依次获取风险因子参数，其中，所述风险因子参数包括访问账号参数、访问频率参数、访问ip地址参数、传输数据参数中的一项或多项；a2：依次对所述访问账号参数、所述访问频率参数、所述访问ip地址参数、所述传输数据参数中的一项或多项风险因子参数进行配置，生成所述业务场景的风险因子集。
31.比如，汽车租赁的业务场景下，由于汽车租赁的业务都是在国内开展，需要对访问ip地址参数进行设置，生成入境访问的风险因子，判断是否存在入境访问的行为。需要说明的是，风险因子参数可以包括上千种，不同业务场景下，可以从上千种风险因子参数中选择所述业务场景匹配的风险因子参数进行配置，生成不同的风险因子。并且，在一些情形下，即使选择了相同类型的风险因子参数，但是对风险因子参数进行不同参数内容的配置后，所生成的风险因子也是不一样的。比如，同样是访问账号类型的参数，在第一种业务场景下，用户登录账号时的设备标识数量为是否超过2个；在第二种业务场景下，用户登录账号时的设备标识数量为是否超过6个。由于不同的业务场景所能承受的风险系数是不同的，因此，本技术实施例，通过对细颗粒度的风险因子参数进行配置，生成与业务场景紧密结合的风险因子集，进一步提高风险因子定义的准确率。
32.s60：如果存在，则根据所述数据集和所述业务场景对应的风险因子集，生成一个或多个风险因子。
33.在一种实施方式中，所述数据集包括行为数据、用户数据、业务数据中的一项或多项，请参阅图5所示，图5是图2中步骤s60的一具体实施方式流程示意图，包括如下步骤：s61：获取所述业务场景对应的风险因子集中一个或多个风险因子的数据参数内容；s62：根据所述行为数据、所述用户数据、所述业务数据中的一项或多项，依次判断是否能与所述风险因子的数据参数内容相互匹配；s63：如果能相互匹配，则生成一个或多个风险因子。
34.本技术实施例中，目标用户的行为数据是指能够表现用户行为的数据类型，比如，用户访问网址、数据库时，关于访问的行为数据；用户点击商品页面时，关于点击的行为数据；用户查看、下载、传输文件时，关于查看、下载、传输的行为数据等。目标用户的用户数据是指能够表现用户特征的数据类型，比如，用户的基本信息数据。目标用户的业务数据是指能够表现业务的数据类型，比如，用户访问数据库时，关于数据库名称的数据；用户查看、下载、传输文件时，关于文件内容的数据；用户访问数据库时，关于访问内容的数据等。
35.在一种汽车销售的业务场景下，公司会对新上线的汽车外观及内部结构图作为商业秘密进行保护，比如通过加密、访问控制、数据分类分级等多种技术手段进行数据保护，并存储在某服务器上。那么，在上述汽车销售的业务场景下，会存在商业秘密数据泄漏行为
的风险。对应的，所述业务场景对应的风险因子集中包括商业秘密数据泄漏行为的风险对应的一个或多个风险因子。比如，风险因子的参数为访问ip地址参数和传输数据参数。具体的参数内容为非内网ip地址，数据级别为两级以上的数据。在一种情形下，如果外部人员想窃取上述商业秘密，在窃取了登录密钥后，通过外网登录到服务器上并通过服务器获取被标记为商业秘密的数据类别的数据，则会生成外网访问敏感数据的风险因子。在其它情形下，关于数据泄漏行为的风险因子还可以包括过频访问、过量访问、异常时间访问、异地访问、跨境访问敏感数据等一个或多个风险因子。需要说明的是，关于过频访问、过量访问、异常时间访问、异地访问敏感数据等风险因子，在不同业务场景下，数据泄漏行为的判定规则是不一样的。比如，在医疗行业，访问个人健康生理信息类别的数据量达到1mb，就会被认定为过量访问敏感数据。然而，在汽车销售行业，访问个人汽车购买信息类别的数据量达到1gb，才会被认定为过量访问敏感数据。因此，需要结合业务场景，获取所述业务场景对应的风险因子及敏感数据识别规则，对数据泄漏行为进行判定，进一步提高数据泄漏行为预测的精准率。
36.s70：根据所述敏感数据信息和所述风险因子，并基于所述业务场景，判断目标用户行为是否存在数据泄漏行为。
37.在一种实施方式中，请参阅图6所示，图6是图2中步骤s70的一具体实施方式流程示意图，包括如下步骤：s71：获取所述业务场景的数据泄漏行为定义规则；s72：根据所述敏感数据信息和所述风险因子，并基于所述业务场景的数据泄漏行为定义规则，判断目标用户行为是否存在数据泄漏行为。
38.由于不同业务场景对应的数据泄漏行为是不一样的，因此，在一种情形下，可以通过所述业务场景的数据泄漏行为定义规则，判断是否存在数据泄漏行为。比如，上述汽车销售的业务场景下，会存在商业秘密数据泄漏行为。在一些普通商品销售的业务场景下，是不存在商业秘密数据泄漏行为。因此，本技术实施例，通过所述业务场景的数据泄漏行为定义规则，进行数据泄漏行为的预测，能够提高预测精准率。在另一种实施方式下，也可以训练所述业务场景对应的数据泄漏行为识别模型，通过数据泄漏行为识别模型，预测目标用户行为是否为数据泄漏行为。数据泄漏行为识别模型可以基于分类算法，通过采集历史用户的数据集进行训练得到。
39.如图7所示，图7是本发明一实施例中数据泄漏行为的监测方法的一框架示意图。需要说明的是，在不同业务场景下，不同的数据泄漏行为对应的风险因子和敏感数据信息是不一样的。当所述敏感数据信息和所述风险因子与任一数据泄漏行为对应的敏感数据信息和风险因子相匹配，则表明目标用户行为为数据泄漏行为。
40.在一种实施方式中，所述数据泄漏行为定义规则还包括数据泄漏行为风险级别的定义规则，在上述步骤s72之后，还包括如下步骤：b1：基于所述数据泄漏行为风险级别的定义规则，并根据所述敏感数据信息和所述风险因子，确定目标用户行为的风险级别；b2：根据所述目标用户行为的风险级别，对目标用户行为执行对应的风险控制。
41.不同的数据泄漏行为对应不同的风险级别，本技术实施例中，数据泄漏行为的风险级别可按风险严重程度进行分级，比如，l1至l5五个等级。当数据泄漏行为命中后，会主
动产生预警，预警分为高、中、低三种风险等级。当服务端接收到目标用户行为的风险级别后，根据所述目标用户行为的风险级别，对目标用户行为执行对应的风险控制。其中，所述风险控制可以为向客户端发出提醒、对目标用户传输的文件进行加密、停止目标用户的账号登录行为中的任意一种措施。
42.本技术实施例中的技术方案，不同的业务场景对应不同的敏感数据识别规则和风险因子集。并在行为监测时，根据业务场景对应的敏感数据识别规则和风险因子集，从采集的目标用户的数据集中提取生成敏感数据信息和风险因子。需要说明的是，不同的业务场景对应的敏感数据识别规则是不一样的。比如，在互联网医疗行业中，诸如医嘱单、检验报告、手术及麻醉记录等个人健康生理信息被分类为四级数据，属于数据级别比较高的敏感数据。然而，在电信行业，基本上不存在上述医嘱单、检验报告、手术及麻醉记录等个人健康生理信息的数据。相反，在电信行业，根据《电信和互联网大数据安全管控分类分级实施指南》，诸如用户通讯录、好友列表等联系人信息属于b1-2的类别。然而，上述用户通讯录、好友列表等联系人信息在医疗行业也基本上不会存在。
43.由此可见，不同业务场景下，所产生的敏感数据存在差异，同时敏感数据的分级和/或分类也存在差异。如果不加以区分，一方面会导致敏感数据的提取效率较低，进而延长数据泄漏行为的预测时间。另一方面，由于不同业务场景下的数据分类分级标准不一样，导致数据重要性的衡量标准无法进行统一，进而导致一些重要的数据没有精准识别并提取，造成重要数据的泄漏行为。
44.与此同时，不同业务场景下，所产生的风险因子也存在差异。比如，在金融支付行业，如果发现用户在距离较远的两个城市登录的时间差低于一定阈值，则会产生账号登录异常的风险因子。然而，在其它服务行业，上述行为并不一定会成为风险因子。因此，本技术实施例通过获取与业务场景紧密结合的敏感数据识别规则和风险因子集，进而能够生成精准的敏感数据信息和风险因子，再根据上述精准的敏感数据信息和风险因子，判断是否存在数据泄漏行为，能够提高数据泄漏行为预测的精准率和预测效率。
45.应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。此外，术语“包括”及其变体要被解读为“包括但不限于”的开放式术语。
46.在一实施例中，提供一种数据泄漏行为的监测装置，该数据泄漏行为的监测装置与上述实施例中数据泄漏行为的监测方法一一对应。如图8所示，该监测装置包括：第一获取模块401、第二获取模块402、第一判断模块403、提取模块404、第二判断模块405、生成模块406和第三判断模块407。各功能模块详细说明如下：第一获取模块401：用于获取目标用户的数据集及对应的业务场景。
47.第二获取模块402：用于基于所述业务场景，获取所述业务场景对应的敏感数据识别规则。
48.第一判断模块403：用于根据所述敏感数据识别规则，判断所述数据集中是否存在敏感数据。
49.提取模块404：用于如果存在，从所述数据集中提取出一个或多个敏感数据信息。
50.第二判断模块405：用于基于所述业务场景，获取所述业务场景对应的风险因子集，并根据所述风险因子集，判断所述数据集中是否存在风险因子。
51.生成模块406：用于如果存在，则根据所述数据集和所述业务场景对应的风险因子集，生成一个或多个风险因子。
52.第三判断模块407：用于根据所述敏感数据信息和所述风险因子，并基于所述业务场景，判断目标用户行为是否存在数据泄漏行为。
53.本技术实施例中提供了一种可能的实现方式，上述第二获取模块402，还用于：基于所述业务场景确定所述业务场景对应的行业属性；根据所述行业属性，获取所述业务场景对应的敏感数据识别规则。
54.本技术实施例中提供了一种可能的实现方式，所述敏感数据识别规则包括敏感数据的类别，上述第一判断模块403，还用于：获取所述数据集中数据的类别；判断所述数据集中数据的类别是否能与所述敏感数据的类别进行匹配；如果能匹配，则判断所述数据集中存在敏感数据。
55.本技术实施例中提供了一种可能的实现方式，所述数据集包括行为数据、用户数据、业务数据中的一项或多项，上述生成模块406，还用于：获取所述业务场景对应的风险因子集中一个或多个风险因子的数据参数内容；根据所述行为数据、所述用户数据、所述业务数据中的一项或多项，依次判断是否能与所述风险因子的数据参数内容相互匹配；如果能相互匹配，则生成一个或多个风险因子。
56.本技术实施例中提供了一种可能的实现方式，上述第三判断模块407，还用于：获取所述业务场景的数据泄漏行为定义规则；根据所述敏感数据信息和所述风险因子，并基于所述业务场景的数据泄漏行为定义规则，判断目标用户行为是否存在数据泄漏行为。
57.本技术实施例中提供了一种可能的实现方式，所述数据泄漏行为定义规则还包括数据泄漏行为风险级别的定义规则，上述第三判断模块407，还用于：基于所述数据泄漏行为风险级别的定义规则，并根据所述敏感数据信息和所述风险因子，确定目标用户行为的风险级别；根据所述目标用户行为的风险级别，对目标用户行为执行对应的风险控制。
58.本技术实施例提供了一种数据泄漏行为的监测装置，首先，获取目标用户的数据集及对应的业务场景；其次，基于所述业务场景，获取所述业务场景对应的敏感数据识别规则；再次，根据所述敏感数据识别规则，判断所述数据集中是否存在敏感数据；如果存在，从所述数据集中提取出一个或多个敏感数据信息；同时，基于所述业务场景，获取所述业务场景对应的风险因子集，并根据所述风险因子集，判断所述数据集中是否存在风险因子；如果存在，则根据所述数据集和所述业务场景对应的风险因子集，生成一个或多个风险因子；最后，根据所述敏感数据信息和所述风险因子，并基于所述业务场景，判断目标用户行为是否存在数据泄漏行为。
59.本技术，不同的业务场景对应不同的敏感数据识别规则和风险因子集。并在行为监测时，根据业务场景对应的敏感数据识别规则和风险因子集，从采集的目标用户的数据集中提取生成敏感数据信息和风险因子。需要说明的是，不同的业务场景对应的敏感数据识别规则是不一样的。比如，在互联网医疗行业中，诸如医嘱单、检验报告、手术及麻醉记录
等个人健康生理信息被分类为四级数据，属于数据级别比较高的敏感数据。然而，在电信行业，基本上不存在上述医嘱单、检验报告、手术及麻醉记录等个人健康生理信息的数据。相反，在电信行业，根据《电信和互联网大数据安全管控分类分级实施指南》，诸如用户通讯录、好友列表等联系人信息属于b1-2的类别。然而，上述用户通讯录、好友列表等联系人信息在医疗行业也基本上不会存在。
60.由此可见，不同业务场景下，所产生的敏感数据存在差异，同时敏感数据的分级和/或分类也存在差异。如果不加以区分，一方面会导致敏感数据的提取效率较低，进而延长数据泄漏行为的预测时间。另一方面，由于不同业务场景下的数据分类分级标准不一样，导致数据重要性的衡量标准无法进行统一，进而导致一些重要的数据没有精准识别并提取，造成重要数据的泄漏行为。
61.与此同时，不同业务场景下，所产生的风险因子也存在差异。比如，在金融支付行业，如果发现用户在距离较远的两个城市登录的时间差低于一定阈值，则会产生账号登录异常的风险因子。然而，在其它服务行业，上述行为并不一定会成为风险因子。因此，本技术通过获取与业务场景紧密结合的敏感数据识别规则和风险因子集，进而能够生成精准的敏感数据信息和风险因子，再根据上述精准的敏感数据信息和风险因子，判断是否存在数据泄漏行为，能够提高数据泄漏行为预测的精准率和预测效率。
62.关于数据泄漏行为的监测装置的具体限定可以参见上文中数据泄漏行为的监测方法的限定，在此不再赘述。上述数据泄漏行为的监测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
63.在一个实施例中，提供了一种计算机设备，其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性和/或易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的客户端通过网络连接通信。该计算机程序被处理器执行时以实现一种数据泄漏行为的监测方法的功能或步骤。
64.在一个实施例中，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现以下步骤：获取目标用户的数据集及对应的业务场景；基于所述业务场景，获取所述业务场景对应的敏感数据识别规则；根据所述敏感数据识别规则，判断所述数据集中是否存在敏感数据；如果存在，从所述数据集中提取出一个或多个敏感数据信息；基于所述业务场景，获取所述业务场景对应的风险因子集，并根据所述风险因子集，判断所述数据集中是否存在风险因子；如果存在，则根据所述数据集和所述业务场景对应的风险因子集，生成一个或多个风险因子；根据所述敏感数据信息和所述风险因子，并基于所述业务场景，判断目标用户行
为是否存在数据泄漏行为。
65.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：获取目标用户的数据集及对应的业务场景；基于所述业务场景，获取所述业务场景对应的敏感数据识别规则；根据所述敏感数据识别规则，判断所述数据集中是否存在敏感数据；如果存在，从所述数据集中提取出一个或多个敏感数据信息；基于所述业务场景，获取所述业务场景对应的风险因子集，并根据所述风险因子集，判断所述数据集中是否存在风险因子；如果存在，则根据所述数据集和所述业务场景对应的风险因子集，生成一个或多个风险因子；根据所述敏感数据信息和所述风险因子，并基于所述业务场景，判断目标用户行为是否存在数据泄漏行为。
66.需要说明的是，上述关于计算机设备所能实现的功能或步骤，可对应参阅前述方法实施例中的相关描述，为避免重复，这里不再一一描述。
67.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器（rom）、可编程rom（prom）、电可编程rom（eprom）、电可擦除可编程rom（eeprom）或闪存。易失性存储器可包括随机存取存储器（ram）或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram（sram）、动态ram（dram）、同步dram（sdram）、双数据率sdram（ddrsdram）、增强型sdram（esdram）、同步链路（synchlink）dram（sldram）、存储器总线（rambus）直接ram（rdram）、直接存储器总线动态ram（drdram）、以及存储器总线动态ram（rdram）等。
68.所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。
69.以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。

技术特征：
1.一种数据泄漏行为的监测方法，其特征在于，包括：获取目标用户的数据集及对应的业务场景；基于所述业务场景，获取所述业务场景对应的敏感数据识别规则；根据所述敏感数据识别规则，判断所述数据集中是否存在敏感数据；如果存在，从所述数据集中提取出一个或多个敏感数据信息；基于所述业务场景，获取所述业务场景对应的风险因子集，并根据所述风险因子集，判断所述数据集中是否存在风险因子；如果存在，则根据所述数据集和所述业务场景对应的风险因子集，生成一个或多个风险因子；根据所述敏感数据信息和所述风险因子，并基于所述业务场景，判断目标用户行为是否存在数据泄漏行为。2.根据权利要求1所述的方法，其特征在于，所述基于所述业务场景，获取所述业务场景对应的敏感数据识别规则，包括：基于所述业务场景确定所述业务场景对应的行业属性；根据所述行业属性，获取所述业务场景对应的敏感数据识别规则。3.根据权利要求2所述的方法，其特征在于，所述敏感数据识别规则包括敏感数据的类别，所述根据所述敏感数据识别规则，判断所述数据集中是否存在敏感数据，包括：获取所述数据集中数据的类别；判断所述数据集中数据的类别是否能与所述敏感数据的类别进行匹配；如果能匹配，则判断所述数据集中存在敏感数据。4.根据权利要求1所述的方法，其特征在于，所述数据集包括行为数据、用户数据、业务数据中的一项或多项，所述根据所述数据集和所述业务场景对应的风险因子集，生成一个或多个风险因子，包括：获取所述业务场景对应的风险因子集中一个或多个风险因子的数据参数内容；根据所述行为数据、所述用户数据、所述业务数据中的一项或多项，依次判断是否能与所述风险因子的数据参数内容相互匹配；如果能相互匹配，则生成一个或多个风险因子。5.根据权利要求1所述的方法，其特征在于，所述根据所述敏感数据信息和所述风险因子，并基于所述业务场景，判断目标用户行为是否存在数据泄漏行为，包括：获取所述业务场景的数据泄漏行为定义规则；根据所述敏感数据信息和所述风险因子，并基于所述业务场景的数据泄漏行为定义规则，判断目标用户行为是否存在数据泄漏行为。6.根据权利要求5所述的方法，其特征在于，所述数据泄漏行为定义规则还包括数据泄漏行为风险级别的定义规则，所述根据所述敏感数据信息和所述风险因子，并基于所述业务场景的数据泄漏行为定义规则，判断目标用户行为是否存在数据泄漏行为之后，还包括：基于所述数据泄漏行为风险级别的定义规则，并根据所述敏感数据信息和所述风险因子，确定目标用户行为的风险级别；根据所述目标用户行为的风险级别，对目标用户行为执行对应的风险控制。7.根据权利要求1至6任一所述的方法，其特征在于，所述敏感数据信息包括敏感数据
的类别信息和/或级别信息。8.一种数据泄漏行为的监测装置，其特征在于，包括：第一获取模块：用于获取目标用户的数据集及对应的业务场景；第二获取模块：用于基于所述业务场景，获取所述业务场景对应的敏感数据识别规则；第一判断模块：用于根据所述敏感数据识别规则，判断所述数据集中是否存在敏感数据；提取模块：用于如果存在，从所述数据集中提取出一个或多个敏感数据信息；第二判断模块：用于基于所述业务场景，获取所述业务场景对应的风险因子集，并根据所述风险因子集，判断所述数据集中是否存在风险因子；生成模块：用于如果存在，则根据所述数据集和所述业务场景对应的风险因子集，生成一个或多个风险因子；第三判断模块：用于根据所述敏感数据信息和所述风险因子，并基于所述业务场景，判断目标用户行为是否存在数据泄漏行为。9.一种存储介质，其特征在于，所述存储介质中存储有计算机程序，其中，所述计算机程序被配置为运行时执行权利要求1至7中任一项所述的方法。10.一种电子设备，其特征在于，包括处理器和存储器，其中所述存储器中存储有计算机程序，所述处理器被配置为运行所述计算机程序以执行权利要求1至7中任一项所述的方法。

技术总结
本发明涉及数据安全技术领域，公开了一种数据泄漏行为的监测方法、装置、存储介质及设备，包括：获取目标用户的数据集及对应的业务场景；基于所述业务场景，先后获取所述业务场景对应的敏感数据识别规则和风险因子集；然后，根据所述敏感数据识别规则，判断所述数据集中是否存在敏感数据，并从所述数据集中提取出一个或多个敏感数据信息；同时，根据所述风险因子集，判断所述数据集中是否存在风险因子，并生成一个或多个风险因子；最后，根据所述敏感数据信息和所述风险因子，并基于所述业务场景，判断目标用户行为是否存在数据泄漏行为。通过该方法，能够提高数据泄漏行为的预测准确率和预测效率。准确率和预测效率。准确率和预测效率。


技术研发人员：魏飞展 王龙 张建军 李铭 胡绍勇
受保护的技术使用者：上海观安信息技术股份有限公司
技术研发日：2023.08.15
技术公布日：2023/9/20