一种数据动态防泄漏与预警方法及系统技术方案

本发明专利技术公开了一种数据动态防泄漏与预警方法及系统，该方法包括以下步骤：将用户认证信息与用户生物特征图像进行绑定；用户行为数据整合，将用户行为识别结果、操作主体识别结果与主体行为识别结果进行整合，转换为用户行为特征数据；用户行为计算，使用用户行为特征数据作为输入，基于机器学习技术，以所述用户行为模型为参考，计算获得用户行为异常指数；用户行为预警，将所述用户行为异常指数与设定的预警阈值进行比较，如果大于预警阈值，向管理员产生预警信息。通过该发明专利技术的方案，可以在用户无感知的情况下对终端用户行为进行实时审计，识别潜在可疑用户行为并及时预警，健全整个数据防泄漏系统的管控手段。

A dynamic data leakage prevention and early warning method and system

The invention discloses a data dynamic prevention and early warning method and system leakage, the method comprises the following steps: user authentication feature information and user biological image binding; user behavior data integration, user behavior recognition results, the recognition results and the operation of the main body behavior recognition results are integrated into user behavior data; user behavior calculation, user behavior data as input, the machine learning technique based on the user behavior model, obtained the user behavior anomaly index; user behavior prediction, the user behavior anomaly index and warning threshold setting are compared, if greater than the threshold value of warning, generate early warning information to the administrator. By the invention, can carry out real-time audit of terminal user behavior in the user does not perceive the situation, identify potential suspicious user behavior and timely warning, the entire sound data leakage prevention system controls.

【技术实现步骤摘要】
一种数据动态防泄漏与预警方法及系统
本专利技术涉及数据安全领域中，一种针对数据防泄漏系统的终端用户行为实时审计与预警方法。
技术介绍
随着信息科学与互联网技术的飞跃发展，安全问题愈演愈烈，网络与信息安全已获得到前所未有的关注。其中，数据防泄漏系统作为数据安全的终端防护手段，适应需求变化，逐渐向智能化、实时化方向发展。对此，北京明朝万达科技股份有限公司提出一种针对数据防泄漏系统终端用户，实时审计其操作行为，及时预警可疑用户操作的方法。目前，数据防泄漏系统构建有传统日志审计模式与功能组件。终端在用户数据操作过程中产生相应的数据管控日志，周期性上传至系统服务器端进行简单处理与存储，并在后期根据管理需要进行日志展现。该方式仅能在安全事件发生后用于事后审计，系统无法在短时间内发现终端用户潜在的危险操作，从而及时预警并避免发生数据泄漏事件。同时，数据防泄漏系统依靠传统用户认证方式(例如口令认证、域认证等)进行终端用户管理操作(例如登录、注销等)，一旦用户正常登录，考虑操作便捷性等问题，一般不会进行二次认证。其他用户可能使用当前登录用户进行一些未授权操作。最后，很多微小数据泄漏事件都是智能手机拍照功能导致的。尽管泄漏的数据量较小，但后果往往都很严重。严格的个人智能手机管理措施可以避免绝大部分该类事件的发生，但也对数据防泄漏系统终端用户造成了较大不便，依然存在发生该类途径导致数据泄漏的可能性。传统的数据防泄漏终端基本无法防止该类用户行为。综上所述，现有数据防泄漏系统终端在三个方面存在不足，即日志审计的延时性、用户认证的简单性与用户外部拍摄行为的不可管控性。通过建立完善的终端用户管理制度并严格执行，可大大降低上述系统不足(特别是后两者)导致的数据泄露几率，但也对正常的用户操作造成严重干扰，影响工作效率，制约生产力的提高。现有数据防泄漏系统的日志审计与用户认证结构如图1所示。因此，迫切需要一种能实时进行用户行为(包括用户识别、行为识别)审计，并在终端用户行为出现异常时(例如登录用户变更操作主体等)及时预警的方案，在避免对操作效率造成影响的情况下，提高数据防泄漏系统的安全事件响应能力。本专利技术使用大规模用户行为日志实时分析、基于深度学习的操作主体识别与主体行为识别技术，在用户无感知的情况下对终端用户行为进行实时审计，识别潜在可疑用户行为并及时预警，健全整个数据防泄漏系统的管控手段。
技术实现思路
为解决上述技术问题，本专利技术提供了一种数据动态防泄漏与预警方法，该方法包括以下步骤：操作主体绑定，将用户认证信息与用户生物特征图像进行绑定；用户行为日志分析训练，对用户行为进行日志采集，通过机器学习技术训练获得该用户的用户行为模型，基于所述用户行为模型分析判断用户行为语义，得到用户行为识别结果；操作主体识别，利用机器学习技术识别用户生物特征图像，并与终端登录用户绑定的用户生物特征图像进行对比，识别是否为登录用户；主体行为识别，利用机器学习技术识别特征图像，并与指定的行为特征图像进行对比，识别操作主体是否有特定操作；用户行为数据整合，将用户行为识别结果、操作主体识别结果与主体行为识别结果进行整合，转换为用户行为特征数据；用户行为计算，使用用户行为特征数据作为输入，基于机器学习技术，以所述用户行为模型为参考，计算获得用户行为异常指数；用户行为预警，将所述用户行为异常指数与设定的预警阈值进行比较，如果大于预警阈值，向管理员产生预警信息。优选的，所述用户生物特征包括但不限于：人脸、虹膜。优选的，所述机器学习技术训练的数据包括：文件操作行为、网络操作行为、应用程序操作行为。优选的，所述主体行为识别结果包括：用户使用手机或其他视觉采集设备拍摄终端屏幕。优选的，与用户行为日志相关的数据包括：时间戳、终端信息、登录用户名、操作数据元信息、操作主体特征图像、主体行为特征图像。为解决上述技术问题，本专利技术提供了一种数据动态防泄漏及预警系统，该系统包括：用户行为识别模块，基于已有的用户行为模型分析判断用户行为语义，产生用户行为日志特征结果；操作主体识别模块，使用采集的操作主体生物特征与绑定的用户生物特征进行比对，产生操作主体特征结果；主体行为识别模块，使用采集的主体行为生物特征与已建立的危险行为特征进行比对，产生主体行为特征结果；用户行为异常计算模块，基于机器学习技术使用上述三个结果进行用户行为的异常指数计算；用户行为预警模块，基于异常指数计算结果，根据预先设定的预警策略，决定是否进行用户行为预警。优选的，该系统还包括：用户行为日志采集模块，接收终端发送的相关日志数据；优选的，该系统还包括：用户行为日志清洗模块，将接收的相关日志数据进行数据清洗，剔除不完整或不合规的日志数据；优选的，该系统还包括：用户行为日志分离模块，分离普通的日志数据、操作主体特征及主体行为特征。为解决上述技术问题，本专利技术提供了一种数据防泄漏用户行为实时审计与预警系统，该系统包括：多个用户终端及服务器；所述终端实现：日志采集、用户生物特征图像采集与用户行为特征图像采集，并将采集的数据上报给服务器；所述服务器，执行以下操作：用户行为日志分析训练，对用户行为进行日志采集，通过机器学习技术训练获得该用户的用户行为模型，基于所述用户行为模型分析判断用户行为语义，得到用户行为识别结果；操作主体识别，利用机器学习技术识别用户生物特征图像，并与终端登录用户绑定的用户生物特征图像进行对比，识别是否为登录用户；主体行为识别，利用机器学习技术识别行为特征图像，并与指定的行为特征图像进行对比，识别操作主体是否有特定操作；用户行为数据整合，将用户行为识别结果、操作主体识别结果与主体行为识别结果进行整合，转换为用户行为特征数据；用户行为计算，使用用户行为特征数据作为输入，基于机器学习技术，以所述用户行为模型为参考，计算获得用户行为异常指数；用户行为预警，将所述用户行为异常指数与设定的预警阈值进行比较，如果大于预警阈值，向管理员产生预警信息。为解决上述技术问题，本专利技术提供了一种用于数据防泄漏用户行为实时审计与预警系统的服务器，该服务器包括：处理器和计算机存储介质，该计算机存储介质存储有计算机指令，当该处理器执行所述计算机指令时，实现以下操作：接收数据，接收日志数据、用户生物特征图像与用户行为特征图像；用户行为日志分析训练，通过机器学习技术训练获得该用户的用户行为模型，基于所述用户行为模型分析判断用户行为语义，得到用户行为识别结果；操作主体识别，利用机器学习技术识别用户生物特征图像，并与终端登录用户绑定的用户生物特征图像进行对比，识别是否为登录用户；主体行为识别，利用机器学习技术识别行为特征图像，并与指定的行为特征图像进行对比，识别操作主体是否有特定操作；用户行为数据整合，将用户行为识别结果、操作主体识别结果与主体行为识别结果进行整合，转换为用户行为特征数据；用户行为计算，使用用户行为特征数据作为输入，基于机器学习技术，以所述用户行为模型为参考，计算获得用户行为异常指数；用户行为预警，将所述用户行为异常指数与设定的预警阈值进行比较，如果大于预警阈值，向管理员产生预警信息。采用本专利技术的技术方案，数据防泄漏系统终端仅需要使用摄像头进行操作主体与行为的视觉采集，在终端用户无感知的情况下，由服务器端进行大规模用户行为日志本文档来自技高网...

【技术保护点】
一种数据动态防泄漏与预警方法，该方法包括以下步骤：操作主体绑定，将用户认证信息与用户生物特征图像进行绑定；用户行为日志分析训练，对用户行为进行日志采集，通过机器学习技术训练获得该用户的用户行为模型，基于所述用户行为模型分析判断用户行为语义，得到用户行为识别结果；操作主体识别，利用机器学习技术识别用户生物特征图像，并与终端登录用户绑定的用户生物特征图像进行对比，识别是否为登录用户；主体行为识别，利用机器学习技术识别特征图像，并与指定的行为特征图像进行对比，识别操作主体是否有特定操作；用户行为数据整合，将用户行为识别结果、操作主体识别结果与主体行为识别结果进行整合，转换为用户行为特征数据；用户行为计算，使用用户行为特征数据作为输入，基于机器学习技术，以所述用户行为模型为参考，计算获得用户行为异常指数；用户行为预警，将所述用户行为异常指数与设定的预警阈值进行比较，如果大于预警阈值，向管理员产生预警信息。

【技术特征摘要】
1.一种数据动态防泄漏与预警方法，该方法包括以下步骤：操作主体绑定，将用户认证信息与用户生物特征图像进行绑定；用户行为日志分析训练，对用户行为进行日志采集，通过机器学习技术训练获得该用户的用户行为模型，基于所述用户行为模型分析判断用户行为语义，得到用户行为识别结果；操作主体识别，利用机器学习技术识别用户生物特征图像，并与终端登录用户绑定的用户生物特征图像进行对比，识别是否为登录用户；主体行为识别，利用机器学习技术识别特征图像，并与指定的行为特征图像进行对比，识别操作主体是否有特定操作；用户行为数据整合，将用户行为识别结果、操作主体识别结果与主体行为识别结果进行整合，转换为用户行为特征数据；用户行为计算，使用用户行为特征数据作为输入，基于机器学习技术，以所述用户行为模型为参考，计算获得用户行为异常指数；用户行为预警，将所述用户行为异常指数与设定的预警阈值进行比较，如果大于预警阈值，向管理员产生预警信息。2.根据权利要求1所述的方法，所述用户生物特征包括但不限于：人脸、虹膜。3.根据权利要求2所述的方法，所述机器学习技术训练的数据包括：文件操作行为、网络操作行为、应用程序操作行为。4.根据权利要求1所述的方法，所述主体行为识别结果包括：用户使用手机或其他视觉采集设备拍摄终端屏幕。5.根据权利要求1所述的方法，与用户行为相关的日志数据包括：时间戳、终端信息、登录用户名、操作数据元信息、操作主体特征图像、主体行为特征图像。6.一种数据动态防泄漏及预警系统，该系统包括：用户行为识别模块，基于已有的用户行为模型分析判断用户行为语义，产生用户行为日志特征结果；操作主体识别模块，使用采集的操作主体生物特征与绑定的用户生物特征进行比对，产生操作主体特征结果；主体行为识别模块，使用采集的主体行为生物特征与已建立的危险行为特征进行比对，产生主体行为特征结果；用户行为异常计算模块，基于机器学习技术使用上述三个结果进行用户行为的异常指数计算；用户行为预警模块，基于异常指数计算结果，根据预先设定的预警策略，决定是否进行用户行为预警。7.根据权利要求6所述的系统，该系统还包括：用户行为日志采集模块，接收终端发送的相关日志数据。8.根据权利要求7所述的系统，该系统还包括：用户行为日志清洗模块，将接收的相关日志数据进行数据清洗，剔除不完整或不合规的日...

【专利技术属性】
技术研发人员：李静华，喻波，王志海，王志华，秦凯，
申请(专利权)人：北京明朝万达科技股份有限公司，
类型：发明
国别省市：北京,11