一种数据泄露检测方法与流程

1.本技术涉及计算机网络技术领域，尤其是涉及一种数据泄露检测方法。


背景技术：

2.随着智能终端普及程度的提高和网络覆盖程度的增加，各种网络设备的应用广度以及使用规模也在不断扩大，网络设备与终端或者其它网络设备之间，可以借助网络进行互相访问。
3.目前网络访问的主要目的或者对象，均是围绕着各个网络中所对应的信息进行，例如通过解析被访问网络或设备的ip地址，访问被访问网络或设备从而访问或获取其内的信息。而当机密、敏感或受保护的信息暴露给未经授权访问的人时，就会发生数据泄露。由于互联网、大数据等新技术的爆发式发展，数据泄露事件频发，数据安全已经成为时下人们最为关注的问题。
4.传统技术中对于数据泄露，主要通过常规的dlp技术来防止数据泄露。dlp全称为data leakage prevention即数据泄露防护，是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略，其常规的技术手段有文档加密、数据库加密、硬盘加密、数据库防火墙等等。
5.如上所述，dlp技术是采用主动对数据或信息进行加密或者防护措施，其主要目的是防止数据泄露，而由于网络技术的飞速发展，目前的主动防止手段难以达到百分百的数据防止泄露效果，仍然会有部分机密、敏感或受保护的信息由于各种原因被泄露出去，造成数据泄露。数据泄露后，需要定位泄露数据，并对泄露数据的类型、泄露程度、泄露原因进行分析，但目前缺乏相应的对泄露后的泄露数据的检测手段或分析手段。
6.因此，为了解决上述问题，提供一种能够检测并分析泄露数据的数据泄露检测方法，是本领域技术人员亟待解决的问题。


技术实现要素：

7.为了实现在数据泄露后，能够检测到数据泄露，并对泄露数据的类型、泄露程度、泄露原因进行分析，本技术提供了一种数据泄露检测方法，包括以下步骤：获取当前检测设备的数据信息；根据检测规则，获取所述数据信息中的泄露数据；获取所述泄露数据的所有数据类型；根据各个所述数据类型，获取相对应的预设判定规则；根据所述预设判定规则，判定各个所述泄露数据的泄露程度；若其中任意一个所述泄露程度大于对应的第一泄露阈值，则判定所述当前检测设备为第一泄露等级并生成对应的预警信息；若其中任意一个所述泄露程度大于对应的第二泄露阈值，则判定所述当前检测设备为第二泄露等级并生成对应的报警信息；
根据预设分析方法，分析所述预警信息和/或所述报警信息，生成分析结果。
8.通过上述技术方案，采用获取当前检测设备的数据信息的泄露数据及预设判定规则的方式，判定泄露程度，并根据泄露程序与第一泄露阈值或第二泄露阈值之间的大小关系，判定为第一泄露等级或第二泄露等级，并分别生成预警信息和报警信息，以便结合预设分析方法进行分析，使得能够检测到数据泄露，并对泄露数据的类型、泄露程度、泄露原因进行分析。
9.可选的，所述获取当前检测设备的数据信息包括：获取检测引擎的引擎类型；根据引擎类型，获取相对应的扫描范围；根据所述扫描范围，获取处于所述扫描范围内的网络设备作为当前检测设备；判断所述当前检测设备是否存在未授权服务；若所述当前检测设备存在未授权服务，则获取对应的所述当前检测设备的数据信息。
10.通过上述技术方案，采用根据检测引擎的引擎类型获取扫描范围的方式，获取处于扫描范围内的当前检测设备，并获取存在未授权服务的当前检测设备的数据信息，从而能够根据不同引擎类型获取对应的未授权服务的当前检测设备，确保所获取的数据信息是从与当前检测引擎相匹配的存在未授权服务的当前检测设备上获取，提高获取效率或判定效率。
11.可选的，所述根据检测规则，获取所述数据信息中的泄露数据包括：获取与所述未授权服务相对应的检测规则；根据所述检测规则，获取所述数据信息中的泄露数据。
12.通过上述技术方案，采用与未授权服务相对应的检测规则来获取泄露数据，从而达到检测规则可以根据不同的未授权服务进行对应，实现根据不同的未授权服务获取相对应种类的泄露数据，提高获取效率或判定效率。
13.可选的，在所述根据所述预设判定规则，判定各个所述泄露数据的泄露程度之后还包括：若大于对应的所述第一泄露阈值的所述泄露程度的数量大于预设数量，则判定所述当前检测设备为所述第二泄露等级并生成对应的所述报警信息。
14.通过上述技术方案，采用若大于对应的第一泄露阈值的泄露程度的数量大于预设数量的方式，从而使得在满足第一泄露等级的数量过多的情况下，能够直接把当前检测设备判定为第二泄露等级，实现包括多个仅大于第一泄露阈值但均小于第二泄露阈值的泄露程度存在时，也能有效的判定为第二泄露等级的效果。
15.可选的，所述若其中任意一个所述泄露程度大于对应的第一泄露阈值，则判定所述当前检测设备为第一泄露等级并生成对应的预警信息包括：若其中任意一个所述泄露程度大于其对应的第一泄露阈值，则记录一次内部结果类型，并根据所述内部结果类型进行概率统计，得到概率统计结果；若所述概率统计结果大于所述概率统计预设值，则判定所述当前检测设备为第一泄露等级并生成对应的预警信息。
16.通过上述技术方案，采用任意一个泄露程度大于其对应的第一泄露阈值则记录一
次内部结果类型并进行概率统计的方式，将获取的概率统计结果大于概率统计预设值的当前检测设备判定为第一泄露等级，从而减少由于部分非泄露因素所造成的偶然误判的发生几率。
17.可选的，所述根据所述预设判定规则，判定各个所述泄露数据的泄露程度包括：提取所述泄露数据中的各个泄露因素；根据所述预设判定规则，获取所述泄露因素对应的泄露权重；根据所述泄露因素和所述泄露权重，确定各个所述泄露数据的所述泄露程度。
18.通过上述技术方案，采用获取与泄露因素对应的泄露权重的方式，将泄露因素与泄露权重作为确定泄露程度的同步因素，使得可以根据实际需要或实际情况对泄露权重进行调整，从而提高对于泄露程度判定的灵活度，以便切合各环境下各个泄露因素对泄露程度判定的可变化性。
19.可选的，在所述根据所述泄露因素和所述泄露权重，确定各个所述泄露数据的所述泄露程度之后还包括：获取第一阈值系数和第二阈值系数；根据所述泄露因素、所述泄露权重和所述第一阈值系数、所述第二阈值系数，获取所述第一泄露阈值和所述第二泄露阈值；其中，所述第二阈值系数大于所述第一阈值系数。
20.通过上述技术方案，采用设置并获取第一阈值系数和大于第一阈值系数的第二阈值系数的方式，从而能够根据同样的泄露因素、泄露权重的前提下，实现获取第一泄露阈值和大于第一泄露阈值的第二泄露阈值的目的，且能够根据第一阈值系数和第二阈值系数对第一泄露阈值和第二泄露阈值进行实时调整。
21.可选的，在所述根据所述预设判定规则，判定各个所述泄露数据的泄露程度之后还包括：获取所述泄露程度对应的所述当前检测设备的历史泄露记录；若所述当前检测设备的其中任意一个所述泄露程度大于对应的所述第一泄露阈值且存在所述历史泄露记录，则判定所述当前检测设备为第二泄露等级并生成对应的报警信息。
22.通过上述技术方案，采用获取历史泄露记录的方式，将存在历史泄露记录且泄露程度大于对应的第一泄露阈值的当前检测设备，直接判定为第二泄露等级，从而达到根据历史泄露记录提高泄露等级判定的效果，使得能够提高存在过历史泄露记录且当前仍存在一定泄露程度的当前检测设备的重视度。
23.可选的，在所述获取所述泄露程度对应的所述当前检测设备的历史泄露记录之后还包括：根据所述历史泄露记录对应的所述数据类型，优先判断对应的所述泄露数据是否大于对应的所述第一泄露阈值。
24.通过上述技术方案，采用优先判断历史泄露记录中的数据类型的方式，提高泄露程度的判定效率，以便能够相较更快的获取到当前检测设备的泄露情况。
25.可选的，所述若其中任意一个所述泄露程度大于对应的第一泄露阈值，则判定所述当前检测设备为第一泄露等级并生成对应的预警信息包括：
若其中任意一个所述泄露程度大于对应的所述第一泄露阈值，则将对应的所述数据类型作为调整种类；获取与所述调整种类相对应的调整方案；根据所述调整方案对对应的所述当前检测设备进行相应的调整操作；判断调整后的所述当前检测设备与所述调整种类相对应的所述数据信息中是否包括所述泄露数据；若存在所述泄露数据，则判定所述泄露数据的所述泄露程度；若其中任意一个所述泄露程度大于对应的所述第一泄露阈值，则判定所述当前检测设备为第一泄露等级并生成对应的预警信息；若其中任意一个所述泄露程度大于对应的所述第二泄露阈值，则将所述当前检测设备恢复至调整前的状态并返回初始步骤。
26.通过上述技术方案，采用与大于对应的第一泄露阈值的泄露数据的数据类型对应的调整方案，对调整后的调整种类相对应的数据信息中是否包括泄露数据进行判断，并根据判断结果再次判定泄露程度，从而能够对于大于对应的第一泄露阈值的泄露数据的实时调整，并能根据调整后的泄露程度执行相应的后续处理，在一定程度上提高对于泄露数据的实时处理效率。
27.综上所述，本技术采用获取当前检测设备的数据信息的泄露数据及预设判定规则的方式，判定泄露程度，并根据泄露程序与第一泄露阈值或第二泄露阈值之间的大小关系，判定为第一泄露等级或第二泄露等级，并分别生成预警信息和报警信息，以便结合预设分析方法进行分析，使得能够检测到数据泄露，并对泄露数据的类型、泄露程度、泄露原因进行分析，从而提供对泄露后的泄露数据的相应检测手段或分析手段。
附图说明
28.图1是本技术实施例的数据泄露检测方法的其中一种实施方式的流程示意图；图2是本技术实施例的数据泄露检测方法的其中一种实施方式的流程示意图；图3是本技术实施例的数据泄露检测方法的其中一种实施方式的流程示意图；图4是本技术实施例的数据泄露检测方法的其中一种实施方式的流程示意图；图5是本技术实施例的数据泄露检测方法的其中一种实施方式的流程示意图；图6是本技术实施例的数据泄露检测方法的其中一种实施方式的流程示意图；图7是本技术实施例的数据泄露检测方法的其中一种实施方式的流程示意图；图8是本技术实施例的数据泄露检测方法的其中一种实施方式的流程示意图；图9是本技术实施例的数据泄露检测方法的其中一种实施方式的流程示意图；图10是本技术实施例的数据泄露检测方法的其中一种实施方式的流程示意图。
具体实施方式
29.为了使本技术领域的人员更好地理解本技术中的技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护
的范围。
30.本技术实施例提供了一种数据泄露检测方法，如图1所示，包括以下步骤：s01.获取当前检测设备的数据信息；s02.根据检测规则，获取数据信息中的泄露数据；s03.获取泄露数据的所有数据类型；s04.根据各个数据类型，获取相对应的预设判定规则；s05.根据预设判定规则，判定各个泄露数据的泄露程度；s06.若其中任意一个泄露程度大于对应的第一泄露阈值，则判定当前检测设备为第一泄露等级并生成对应的预警信息；s07.若其中任意一个泄露程度大于对应的第二泄露阈值，则判定当前检测设备为第二泄露等级并生成对应的报警信息；s08.根据预设分析方法，分析预警信息和/或报警信息，生成分析结果。
31.在本实施例中，步骤s01中的当前检测设备，是当次数据泄露检测所对应的待检测设备，而获取的数据信息，是此当前检测设备的所有能够获取到的数据信息，包括正常数据以及可能存在的泄露数据。
32.步骤s02中的检测规则，是预先设置并存储应用与数据泄露检测的规则，根据此检测规则，对数据信息进行检测从而获取到所需的泄露规则。当然，在实际运用中，如果当前检测设备不存在泄露情况的话，那么步骤s02是无法获取到泄露数据的，此种情况下则直接终止步骤的执行，不再进行泄露数据的获取及后续步骤，可以选择结束本次数据泄露检测任务，或者选择另一台待检测设备作为当前检测设备。
33.步骤s03中的数据类型，是指泄露数据中的各种数据所对应的数据类型，例如在本实施例中包括证书信息、信息标题、资产域名以及设备ip。
34.步骤s04则是根据各个数据类型获取各自对应的预设判定规则，此判定规则也是预先设置并存储的规则，具体对应关系可以是每个数据类型各自对应单独的预设判定规则，也可以是多个数据类型组合所对应的预设判定规则。
35.步骤s05中的泄露程度，是根据数据类型对应的预设判定规则结合泄露数据进行判定，在本实施例中包括第一泄露等级和第二泄露等级，当然，如果当前检测设备不存在泄露情况，则泄露程度为零或者空，其对应的泄露等级为安全等级。
36.根据泄露程序及与预先设置好的第一泄露阈值和第二泄露阈值的判定结果，在本实施例中分两种情况进行后续处理，如步骤s05和步骤s06所示。
37.步骤s06是在一个或多个泄露程度大于第一泄露阈值的时候，则判定当前检测设备为第一泄露等级，同时生成对应的预警信息，在本实施例中，此预警信息包括当前检测设备的泄露数据、数据种类、证书信息、信息标题、资产域名以及设备ip、检测时间等信息，同时还可包括预警信息的接收目的ip，以便在需要时按照接收目的ip发送至接收目的地。
38.步骤s07是在一个或多个泄露程度大于第二泄露阈值的时候，则判定当前检测设备为第二泄露等级，同时生成对应的报警信息，在本实施例中，此报警信息包括当前检测设备的泄露数据、数据种类、证书信息、信息标题、资产域名以及设备ip、检测时间等信息，同时还可包括报警信息的接收目的ip，以便在需要时按照接收目的ip发送至接收目的地。
39.步骤s08是根据预设分析方法对预警信息和/或报警信息进行分析，预设分析方法
是预先设置并存储的对警告信息进行分析的分析方法，可以根据预警信息和报警信息进行单独的分析设定，也可以共用同一套分析设定，在本实施例中采用同一套分析设定的预设分析方法，当然，也可以选择仅分析报警信息不分析预警信息。而且，分析时将相应的当前检测设备的ip地址以及涉及数据泄露的用户名等信息与分析结果进行绑定，分析数据和该ip的资产情况关联，从而确认谁泄露了哪些数据，泄露了多少条，泄露的程度有多大等。
40.需要说明的是，在本实施例中，第一泄露阈值小于第二泄露阈值，且若没有任何泄露程度大于第一泄露阈值，则表明当前检测设备虽然存在泄露数据，但其不足以形成所预料的数据泄露风险，因此在本实施例中对于此种情况不做额外判定或者不生成额外的警告信息。而且，若没有大于第一泄露阈值，则一定不会大于第二泄露阈值，因此对于没有大于第一泄露阈值的泄露数据，可以选择存储入数据中心，以便后续再行查看或者处理。
41.另外，对于已经被判定为第一泄露等级的当前检测设备，还需不需要再结合第二泄露阈值进行判断，或者判断大于第二泄露阈值即为第二泄露等级后，还需不需要保留之前所判定得到的第一泄露等级，以及生成报警信息后，是否需要删除已经存在的预警信息，可以根据实际需要进行选择。在本实施例中，如果当前检测设备起初被判定为第一泄露等级并生成了预警信息，但是后续又被判定为第二泄露等级并生成了报警信息，则只保留第二泄露等级和报警信息，删除已经形成的第一泄露等级和预警信息。
42.而预警信息和报警信息由于所对应的泄露阈值不同，当然其各自代表的泄露风险等级也不相同，在实际运用中，接收方对于报警信息可以进行优先查看或优先处理，预警信息可以是仅查看不处理，或者处理完所有报警信息后再处理预警信息，具体的处理顺序和处理方式可根据实际需要进行选择，在此不再累述。
43.本实施方式提供的数据泄露检测方法，采用获取当前检测设备的数据信息的泄露数据及预设判定规则的方式，判定泄露程度，并根据泄露程序与第一泄露阈值或第二泄露阈值之间的大小关系，判定为第一泄露等级或第二泄露等级，并分别生成预警信息和报警信息，以便结合预设分析方法进行分析，使得能够检测到数据泄露，并对泄露数据的类型、泄露程度、泄露原因进行分析。
44.在本实施例的其中一种实施方式中，如图2所示，步骤s01即获取当前检测设备的数据信息包括：s11.获取检测引擎的引擎类型；s12.根据引擎类型，获取相对应的扫描范围；s13.根据扫描范围，获取处于扫描范围内的网络设备作为当前检测设备；s14.判断当前检测设备是否存在未授权服务；s15.若当前检测设备存在未授权服务，则获取对应的当前检测设备的数据信息。
45.其中，步骤s11的检测引擎可以为fofa pro、zoomeye、shodan中的任意一种，而不同的检测引擎其对应的扫描范围或者扫描方式也不相同，因此需要先判断并获取当前所使用或所需要的引擎类型。从而实现在步骤s12中获取相对应的扫描范围。
46.而步骤s13中处于扫描范围的网络设备则是当前所需要检测的设备，而位于扫描范围外的其它网络设备则不在本次检测的范畴之内，从而减少扫描及后续所需要获取或分析的范围。
47.步骤s14中的未授权服务，是指没有得到授权的服务或者应用，或者未得到许可的
网络端口或接口，由于一般数据泄露都是由于存在未授权的上述风险，因此为了提高扫描效率，可考虑将扫描范围进一步缩限至存在未授权服务的当前检测设备，从而在s15中只需要获取存在未授权服务的当前检测设备的数据信息，有效减少了所获取数据信息的数量，同时对于数据泄露检测效果的影响较小。
48.在本实施例中，未授权的服务可以为elasticsearch、mongodb、couchdb、solr等，当然，也可以包括其它类型，具体类型在此不再累述。而对于没有未授权服务的当前检测设备，在本实施例中不对其进行数据获取。
49.本实施方式提供的数据泄露检测方法，采用根据检测引擎的引擎类型获取扫描范围的方式，获取处于扫描范围内的当前检测设备，并获取存在未授权服务的当前检测设备的数据信息，从而能够根据不同引擎类型获取对应的未授权服务的当前检测设备，确保所获取的数据信息是从与当前检测引擎相匹配的存在未授权服务的当前检测设备上获取，提高获取效率或判定效率。
50.在本实施例的其中一种实施方式中，如图3所示，步骤s02即根据检测规则，获取数据信息中的泄露数据包括：s21.获取与未授权服务相对应的检测规则；s22.根据检测规则，获取数据信息中的泄露数据。
51.其中，步骤s21中的检测规则，是与未授权服务相对应的检测规则，两者之间可以是一一对应关系，也可以是一对多或者多对多的关系，具体采用何种类型或者数量多少，可以根据实际需要进行选择。
52.步骤s22中所获取的泄露数据，则是根据选择或获取的检测规则所得到的，其必然是符合所选检测规则的初始目的。
53.在实际运用中，可以根据不同的检测时期或者检测环境来进行，例如当前检测环境为采用window系统的网络应用环境，而检测时期是处于扫描范围所对应地区的数据泄露频发期，例如对应地区是欧美地区，则圣诞节期间会相对为数据泄露频发期，此时的检测规则为欧美地区圣诞节期间的windows环境所对应的检测规则，具体设置在此不再累述。
54.本实施方式提供的数据泄露检测方法，采用与未授权服务相对应的检测规则来获取泄露数据，从而达到检测规则可以根据不同的未授权服务进行对应，实现根据不同的未授权服务获取相对应种类的泄露数据，提高获取效率或判定效率。
55.在本实施例的其中一种实施方式中，如图4所示，在步骤s05即根据预设判定规则，判定各个泄露数据的泄露程度之后还包括：s31.若大于对应的第一泄露阈值的泄露程度的数量大于预设数量，则判定当前检测设备为第二泄露等级并生成对应的报警信息。
56.在实际运用中，某些情况下需要对已经产生预警信息的当前检测设备进行持续监控，如果大于对应的第一泄露阈值的泄露程度的数量大于预设数量，则直接判定对应的当前检测设备为第二泄露等级并生成报警信息。
57.需要说明的是步骤s05、步骤s06、步骤s31可以同步进行，也可以根据实际需要选择其执行顺序，或者根据当前结果选择是否执行其它步骤。例如当前检测设备已经达到步骤s31的对应情况，则不再继续执行步骤s05，也不会再执行步骤s06，即优先判断泄露程度是否大于对应的第一泄露阈值，发现后暂不将当前检测设备判定为第一泄露等级，而是继
续判断完所有泄露程度是否大于对应的第一泄露阈值并获取对应的数量，再判断是否要直接判定当前检测设备为第二泄露等级。而若数量没有大于预设数量，则继续判断这些泄露程度是否大于第二泄露阈值，再根据结果来选择判定当前检测设备为第一泄露等级还是第二泄露等级。
58.本实施方式提供的数据泄露检测方法，采用若大于对应的第一泄露阈值的泄露程度的数量大于预设数量的方式，从而使得在满足第一泄露等级的数量过多的情况下，能够直接把当前检测设备判定为第二泄露等级，实现包括多个仅大于第一泄露阈值但均小于第二泄露阈值的泄露程度存在时，也能有效的判定为第二泄露等级的效果。
59.在本实施例的其中一种实施方式中，如图5所示，步骤s06即若其中任意一个泄露程度大于对应的第一泄露阈值，则判定当前检测设备为第一泄露等级并生成对应的预警信息包括：s41.若其中任意一个泄露程度大于其对应的第一泄露阈值，则记录一次内部结果类型，并根据内部结果类型进行概率统计，得到概率统计结果；s42.若概率统计结果大于概率统计预设值，则判定当前检测设备为第一泄露等级并生成对应的预警信息。
60.在实际运用中，一次或者一个泄露程度大于其对应的第一泄露阈值还不能立即判定为第一泄露等级，还需要进行概率统计，例如，虽然一个泄露程度在本次检测中大于第一泄露等级，但有可能是偶然因素例如当前判断算法失误所造成，而在本次检测周期结束后，判断算法自身恢复了正常即实际泄露程度又没有大于第一泄露等级，则表明没有此数据信息没有生成预警信息的必要。
61.对于因外界因素或非故障因素，导致某一周期内泄露程度发生超过预第一泄露阈值，而在下一周期又恢复正常的这种情况，就不需要因偶尔的变化生成预警信息，因此可以将某一周期内，泄露程度大于其对应的第一泄露阈值，记录为一次内部结果类型，根据出现内部结果类型的次数进行概率统计，当概率统计结果达到某个临界值时，则说明不是偶然的外界因素或非故障因素导致内部结果类型，而是当前检测设备的泄露程度客观为第一泄露等级。
62.需要说明的是，对于第二泄露等级也可以采用上述的概率统计判断，其原理和原因与前述基本相同，在此不再累述。而若相应的概率统计结果没有大于概率统计预设值，则可以选择继续检测或者暂缓对当前检测设备的检测，隔一定周期后再返回重新检测此当前检测设备。
63.本实施方式提供的数据泄露检测方法，采用任意一个泄露程度大于其对应的第一泄露阈值则记录一次内部结果类型并进行概率统计的方式，将获取的概率统计结果大于概率统计预设值的当前检测设备判定为第一泄露等级，从而减少由于部分非泄露因素所造成的偶然误判的发生几率。
64.在本实施例的其中一种实施方式中，如图6所示，步骤s05即根据预设判定规则，判定各个泄露数据的泄露程度包括：s51.提取泄露数据中的各个泄露因素；s52.根据预设判定规则，获取泄露因素对应的泄露权重；s53.根据泄露因素和泄露权重，确定各个泄露数据的泄露程度。
65.其中，步骤s51中的泄露因素，是在泄露数据中的各个泄露种类或者信息种类，例如泄露数据中所包含的信息类型、泄露数量、被获取次数、涉及的ip数量等，而不同的泄露因素在不同情况下所代表的严重程度也不相同，因此在步骤s52中会根据预先设定并存储的预设判定规则，获取各个泄露因素所对应的泄露权重，然后在步骤s53中将两者结合，以便确定泄露程度。
66.例如，泄露数据中的泄露因素包括交易数据a1和用户名a2，泄露数量为b，被获取次数为c，涉及的ip数量为d，上述各自对应的泄露权重分别为sa1、sa2、sb、sc、sd，则此泄露数据的泄露程度为a1*sa1 a2*sa2 b*sb c*sc d*sd。当然，每个泄露数据中不一定包括所有的泄露因素和泄露权重，而预设判定规则会预先设定好所有的泄露因素及对应的泄露权重，以便需要时进行匹配或者选择。
67.本实施方式提供的数据泄露检测方法，采用获取与泄露因素对应的泄露权重的方式，将泄露因素与泄露权重作为确定泄露程度的同步因素，使得可以根据实际需要或实际情况对泄露权重进行调整，从而提高对于泄露程度判定的灵活度，以便切合各环境下各个泄露因素对泄露程度判定的可变化性。
68.在本实施例的其中一种实施方式中，如图7所示，在步骤s53即根据泄露因素和泄露权重，确定各个泄露数据的泄露程度之后还包括：s61.获取第一阈值系数和第二阈值系数；s62.根据泄露因素、泄露权重和第一阈值系数、第二阈值系数，获取第一泄露阈值和第二泄露阈值；其中，第二阈值系数大于第一阈值系数。
69.在实际运用中，第二阈值系数大于第一阈值系数，从而使得对于同一个泄露数据，其第一泄露阈值一定小于第二泄露阈值。同样以上述的泄露因素和泄露权重为例进行说明，泄露数据的泄露程度为a1*sa1 a2*sa2 b*sb c*sc d*sd，第一阈值系数为x1，第二阈值系数为x2，则第一泄露阈值为(a1*sa1 a2*sa2 b*sb c*sc d*sd)*x1，第二泄露阈值为(a1*sa1 a2*sa2 b*sb c*sc d*sd)*x2。
70.需要说明的是，第一阈值系数和第二阈值系数还可以根据其它因素或者原因进行预先设置，例如根据当前检测设备的不同网络应用环境，第一阈值系数和第二阈值系数可以预设不同的系数值，或者根据当前检测设备的数量或区域预设不同的系数值，其它情况不再进行额外描述，只要实现可以预先设置好各个不同的第一阈值系数和第二阈值系数，供所需进行选择即可。
71.本实施方式提供的数据泄露检测方法，采用设置并获取第一阈值系数和大于第一阈值系数的第二阈值系数的方式，从而能够根据同样的泄露因素、泄露权重的前提下，实现获取第一泄露阈值和大于第一泄露阈值的第二泄露阈值的目的，且能够根据第一阈值系数和第二阈值系数对第一泄露阈值和第二泄露阈值进行实时调整。
72.在本实施例的其中一种实施方式中，如图8所示，在步骤s05即根据预设判定规则，判定各个泄露数据的泄露程度之后还包括：s71.获取泄露程度对应的当前检测设备的历史泄露记录；s72.若当前检测设备的其中任意一个泄露程度大于对应的第一泄露阈值且存在历史泄露记录，则判定当前检测设备为第二泄露等级并生成对应的报警信息。
73.其中，步骤s71获取的历史泄露记录，是指从时间维度上处于本次检测周期的时间节点之前的历史检测周期中所有可能存在的泄露记录，此泄露记录可以根据预警信息或者报警信息形成。
74.若存在历史泄露信息，而当前检测周期中，同一个检测设备也存在泄露程度大于第一泄露阈值的情况，则说明当前检测设备的不仅存在造成历史泄露的未授权服务或者漏洞，而且本次检测仍然发生了符合第一泄露等级的数据泄露，因此将当前检测设备判定为属于需要重点关注的第二泄露等级。若不存在历史泄露等级，则按照之前的基本判定进行判定，不再进行额外的泄露等级更改。
75.本实施方式提供的数据泄露检测方法，采用获取历史泄露记录的方式，将存在历史泄露记录且泄露程度大于对应的第一泄露阈值的当前检测设备，直接判定为第二泄露等级，从而达到根据历史泄露记录提高泄露等级判定的效果，使得能够提高存在过历史泄露记录且当前仍存在一定泄露程度的当前检测设备的重视度。
76.在本实施例的其中一种实施方式中，如图9所示，在步骤s71即获取泄露程度对应的当前检测设备的历史泄露记录之后还包括：s81.根据历史泄露记录对应的数据类型，优先判断对应的泄露数据是否大于对应的第一泄露阈值。
77.在本实施例中，可以首先判定与历史泄露记录对应的数据种类的数量，若为一个，先优先判断与这个数据种类对应的泄露数据；若为多个，则根据对应的数据种类顺序表，依次判定与各个数据种类对应的泄露数据。执行完步骤s81判断完与历史泄露记录对应的数据种类后，再根据判断结果选择是否还要判断其它数据种类对应的泄露数据。
78.需要说明的是，判断泄露数据与第二泄露阈值的时候，也可以采用优先判断历史泄露记录对应的数据类型的方式，具体在此不再累述。
79.本实施方式提供的数据泄露检测方法，采用优先判断历史泄露记录中的数据类型的方式，提高泄露程度的判定效率，以便能够相较更快的获取到当前检测设备的泄露情况。
80.在本实施例的其中一种实施方式中，如图10所示，步骤s06即若其中任意一个泄露程度大于对应的第一泄露阈值，则判定当前检测设备为第一泄露等级并生成对应的预警信息包括：s91.若其中任意一个泄露程度大于对应的第一泄露阈值，则将对应的数据类型作为调整种类；s92.获取与调整种类相对应的调整方案；s93.根据调整方案对对应的当前检测设备进行相应的调整操作；s94.判断调整后的当前检测设备与调整种类相对应的数据信息中是否包括泄露数据；s95.若存在泄露数据，则判定泄露数据的泄露程度；s96.若其中任意一个泄露程度大于对应的第一泄露阈值，则判定当前检测设备为第一泄露等级并生成对应的预警信息；s97.若其中任意一个泄露程度大于对应的第二泄露阈值，则将当前检测设备恢复至调整前的状态并返回初始步骤。
81.其中，步骤s92中与调整种类相对应的调整方案，是根据各个不同的调整种类所预
设的处理方案，例如针对调整种类中的端口数据泄露的调整方案，可以是重启对应的数据端口，也可以是关闭对应的数据端口并启用其它代替端口，或者直接关闭此数据端口等。
82.在步骤s93采用相应的调整方案对当前检测设备进行处理后，步骤s84至步骤s97通过判断是否获取到当前检测设备与调整种类相对应的泄露数据，来判断是否将此当前检测设备判定为第一泄露等级或第二泄露等级。
83.其中，在判定为第二泄露等级时，说明调整方案对此泄露情况无法起到所需要的效果，为了避免造成其它不可预料的情况，需要将当前检测设备恢复至调整前的状态。
84.本实施方式提供的数据泄露检测方法，采用与大于对应的第一泄露阈值的泄露数据的数据类型对应的调整方案，对调整后的调整种类相对应的数据信息中是否包括泄露数据进行判断，并根据判断结果再次判定泄露程度，从而能够对于大于对应的第一泄露阈值的泄露数据的实时调整，并能根据调整后的泄露程度执行相应的后续处理，在一定程度上提高对于泄露数据的实时处理效率。
85.需要额外说明的是，本实施例的各个实施方式可以进行适应性的结合，即各个实施方式的步骤可以和其它实施方式的步骤进行各种结合，从而达到各个实施方式的流程或效果的集成，具体的结合方式在此不再累述。
86.另外，本技术采用数据泄露检测系统来实现以上的数据泄露检测方法，此系统主要包括网络空间检测模块、数据探测模块和内容分析模块，其中网络空间检测模块主要实现获取并发送需要探测的数据信息等相关的操作，数据探测模块则主要实现探测泄露数据、获取数据类型、预设判定规则等相关的操作，而内容分析模块则用于将获取的泄露数据进行判定，根据比对获取的结果类型生成对应的通知信息及分析结果，以及根据信息及结果进行相应处理等相关的操作。
87.当然，还可以包含其它模块，例如专用于存储各种数据的存储模块，或者将上述模块的部分功能划分出来形成单独模块，例如将内容分析模块中对检测进行预设的相应处理的功能，划分出来作为控制模块。
88.另外，各模块可以采用不同的对应软件或设备来实现，例如网络空间检测模块采用fofa pro、zoomeye、shodan等网络检测引擎，存储模块根据存储的数据类型不同，可划分为数据存储中心和数据泄露数据库，具体的类型在此不再累述。
89.应该理解的是，虽然附图的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且，附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，其执行顺序也不必然是依次进行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
90.还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些因素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下，由语句“包括一个
……”
限定的要素，并不排
除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
91.对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本技术。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本技术的精神或范围的情况下，在其它实施例中实现。因此，本技术将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。