专利 涉密文件泄露检测方法、系统、设备及介质

(19)国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202211342789.X (22)申请日 2022.10.31 (71)申请人中国电力科学研究院有限公司地址 100192 北京市海淀区清河小营东路 15号 (72)发明人张梦迪　朱朝阳　申连腾　张庚　余刚刚　李宇曜　刘琼　曹靖怡　姜琳　唐琴　白旭东　吕建章　廖斌　张洪军　 (74)专利代理机构北京中巡通大知识产权代理有限公司 1 1703 专利代理师齐书田 (51)Int.Cl. G06F 21/62(2013.01) H04L 9/40(2022.01)H04L 67/1396(2022.01) (54)发明名称涉密文件泄露检测方法、系统、设备及介质 (57)摘要本发明属于保密检查和数据防泄漏技术领域，公开了一种涉密文件泄露检测方法、系统、设备及介质，依据专家评价机制，可综合不同专家的领域知识，考虑各类行为证据和不同周期下的证据进行可信度分配。融合可信度后得出泄密事件和泄密途径排序，计算确定性后与阈值比较判断是否泄密，可以降低漏检率。通过证据区间讨论可区分结果的 “不确定”和“不知道”，提高了泄密类型的检测精度。权利要求书4页说明书9页附图4页 CN 115470524 A 2022.12.13 CN 115470524 A 1.涉密文件泄露检测方法，其特征在于，包括：扫描文件系统，确定并标记涉密文件；在数据传输的多个探测节点采集不同周期的证据信息，所述证据信息表示对涉密文件的行为；将全部探测节点的证据信息进行分组，形成不同组合，每个组合为一种泄密途径；以泄密途径为依据，获得单周期内各专家在单个探测节点涉密证据可信度分配并融合，得到第一融合可信度分配；依据第一融合可信度分配，在单周期内进行多探测节点的可信度分配并融合，得到第二融合可信度分配；根据第二融合可信度分配计算总融合可信度分配；将总融合可信度分配按照从大到小进行排序，取前若干个作为可能的泄密方式；根据可能的泄密方式确定泄密命题的信任度区间，并通过信任度区间计算确定性；所述泄密命题为检测到系统内有涉密文件泄露行为；将确定性与预先设定的阈值进行比较，若有一个及以上确定性大于阈值，则判断员工操作为泄密行为，否则员工操作不为泄密行为。 2.根据权利要求1所述的涉密文件泄露检测方法，其特征在于，所述确定并标记涉密文件，具体为：通过识别涉密文件的密标标签、文件头及文本比对的方法确定并标记涉密文件。 3.根据权利要求1所述的涉密文件泄露检测方法，其特征在于，所述在数据传输的多个探测节点采集不同周期的证据信息，具体为：在数据传输的多个节点布置探针，通过探针收集证据信息；所述探测节点包括网络流量位置、文件系统位置及外接存储设备位置；所述证据信息包括以下行为：数据下载、修改文件后缀、 U盘拷贝敏感内容、嵌套文件、多层压缩以及外发文件；每个周期至少包括一个或多个完整的行为。 4.根据权利要求1所述的涉密文件泄露检测方法，其特征在于，所述泄密途径组成识别框架U：式中，e1为泄密途径1， e2为泄密途径2，以此类推， ek为泄密途径 k，，K为泄密途径的总数，各泄密途径为互斥关系；式中，T为在识别框架中生成的所有泄密途径的幂集合，表示实际可能发生的泄密事件集合，表示空集，每个泄密事件记为Am，，M’为泄密事件的总数；专家n在每个周期内对泄密事件Am的可信度进行赋值，，N为专家的数量；在同一测量周期内，；权　利　要　求　书 1/4 页 2 CN 115470524 A 2式中，表示同周期内专家n确定的对 Am的可信度， s表示探测节点。 5.根据权利要求4所述的涉密文件泄露检测方法，其特征在于，所述第一融合可信度分配的计算公式为：其中，式中，c1为第一归一化因子；为第一融合可信度分配，表示在探测节点s上融合所有专家确定的测量周期 j对Am的可信度，，S为探测节点数量，，J 为周期数量；为在探测节点 s上，专家n确定的测量周期 j对Am的可信度。 6.根据权利要求5所述的涉密文件泄露检测方法，其特征在于，所述第二融合可信度分配的计算公式如下：其中，式中，为第二融合可信度分配，表示在测量周期 j中融合各探测节点后 Am的可信度，c2为第二归一化因子。 7.根据权利要求6所述的涉密文件泄露检测方法，其特征在于，所述总融合可信度分配的计算公式如下：其中，式中，为总融合可信度分配，表示各周期融合后泄密途径 Am的可信度， c3为第三归一化因子。 8.根据权利要求6所述的涉密文件泄露检测方法，其特征在于，所述泄密命题的信任度区间为[Bel(Am) ,Pl(Am)]；其中，权　利　要　求　书 2/4 页 3 CN 115470524 A 3

专利 涉密文件泄露检测方法、系统、设备及介质

专利涉密文件泄露检测方法、系统、设备及介质