一种面向全生命周期的数据安全异常检测方法及系统技术方案

本发明专利技术公开了一种面向全生命周期的数据安全异常检测方法及系统，其中检测方法包括：统一数据模型构建：以任务为驱动，采集任务相关的全生命周期数据，抽取用户重点关注的相关数据，建立统一数据模型；数据行为分析：进行实时数据行为分析和历史数据行为分析，提取数据行为特征以建立特征库，建立多维动态数据行为基线并形成基线库，且不断更新；数据异常行为检测：基于特征库和基线库发现数据异常行为，先基于特征库检测已知的异常，再基于基线库的多维动态数据行为基线分析实际数据行为，当实际数据行为偏离多维动态数据行为基线时，判定为异常。本发明专利技术能够为数据异常行为检测提供一种全生命周期覆盖、精细管理、精准检测、易于实现的方案。现的方案。现的方案。

【技术实现步骤摘要】
一种面向全生命周期的数据安全异常检测方法及系统


[0001]本专利技术涉及数据异常行为
，尤其涉及一种面向全生命周期的数据安全异常检测方法及系统。

技术介绍

[0002]随着云计算和大数据技术的不断发展,各行业的数据量越来越大、数据集中度越来越高、数据跨域使用越来越频繁、数据业务场景越来越复杂、创新数据使用场景越来越多，数据资产面临各种内外部威胁，如病毒入侵、非法攻击、数据盗取、越权访问和违规操作等问题，因此，急需加强数据行为监控，以保障数据安全。数据异常行为检测是数据行为监控的重要内容，尤其是大数据环境下，在生产/采集、传输、存储、使用、共享和销毁的整个大数据生命周期进行异常行为精准检测与定位，是保障数据安全的重要手段。
[0003]目前，大数据环境下的数据异常行为检测研究尚不多，多数关注的是对数据资产所属机构内部人员数据行为的检测。传统的针对网络异常、用户行为异常等异常检测方法有基于特征库的异常行为检测、基于统计数据的异常行为检测和UEBA(用户实体行为分析)几种方法。
[0004](1)检测方法一：基于特征库的异常行为检测
[0005]基于特征库的检测是根据已知的异常行为特征对实际的数据行为进行分析。该方法的优点是分析效率高，能够快速高效的分析出已知的异常行为，对已知异常行为的误报率低，但是该方法分析的效果极大的依赖于特征库的完备性，因此，该方法无法分析未知的数据行为，无法检测出未知的异常攻击。
[0006](2)检测方法二：基于统计数据的异常行为检测
[0007]该方法利用实际行为与正常的行为的差异作为确定潜在问题的方法。系统从网络中和历史信息中收集数据，建立正常行为基线。当实际的行为与正常的行为基线的差异超过预先设定的阈值时，判定为异常，发生告警。该方法寻找与正常行为比较有偏差的地方，因此任何类型的异常行为，无论是已知的还是新生的，都因为它对数据的影响而被检测到。这种方法可以提高异常行为检测的准确率，有效减少异常行为漏报。但该方法由于需要对基线进行维护与更新，复杂度较高，效率较低。
[0008](3)检测方法三：UEBA(用户实体行为分析)方法
[0009]该方法作为应对内部威胁的全新技术手段，以用户上下文为核心实现驱动或关联数据、行为分析和异常检测等功能，重点聚焦于两点：特权账号盗用(异常用户)、合法的人做不合法的事(用户异常)，从而帮助企业或组织发现内部威胁。但该方法在大数据环境下仍然存在较为明显的不足，不能有效应对数据全生命周期的用户行为分析，也无法对外部攻击进行有效检测。

技术实现思路

[0010]为了解决大数据环境下数据异常行为精准检测的问题，以及数据生产/采集、传
输、存储、使用、共享和销毁等全生命周期统一监控的问题，本专利技术提出一种面向全生命周期的数据安全异常检测方法及系统，面向不同的任务场景，采用多维动态数据行为基线分析和特征库相结合的异常行为检测，为数据异常行为检测提供了一种全生命周期覆盖、精细管理、精准检测、易于实现的方案。
[0011]本专利技术采用的技术方案如下：
[0012]一种面向全生命周期的数据安全异常检测方法，包括：
[0013]统一数据模型构建：以任务为驱动，采集任务相关的全生命周期数据，抽取用户重点关注的相关数据，建立统一数据模型；
[0014]数据行为分析：进行实时数据行为分析和历史数据行为分析，提取数据行为特征以建立特征库，建立多维动态数据行为基线并形成基线库，且不断更新；
[0015]数据异常行为检测：基于特征库和基线库发现数据异常行为，先基于特征库检测已知的异常，再基于基线库的多维动态数据行为基线分析实际数据行为，当实际数据行为偏离多维动态数据行为基线时，判定为异常。
[0016]进一步地，所述统一数据模型构建包括：以任务为中心，通过任务方案或预案构建任务相关的逻辑拓扑，关注任务执行过程中所有参与的用户、数据资产，用户通过授予的权限访问相关的数据资产。
[0017]进一步地，所述任务执行过程中所有参与的用户包括：任务管理者、数据资产的所有者/管理者、数据资产的使用者、数据资产位于的大数据中心、数据中心运维人员以及外部攻击者；数据资产相关的信息包括：数据资产的分级分类信息、存储的位置、对外提供的方式。
[0018]进一步地，数据行为分析中，所述提取数据行为特征包括以下步骤：
[0019]S1.构建面向任务、用户和数据资产的数据行为特征框架；
[0020]S2.根据任务、用户和数据资产的上下文数据，利用包括机器学习的方式提取任务执行期间全生命周期的数据行为特征，更新数据行为特征框架；
[0021]S3.综合利用多种关联分析方法构建数据行为特征关联关系挖掘方法，对多维行为特征数据进行跨时间和空间的关联，发现数据行为特征之间隐蔽的关联关系模式。
[0022]进一步地，所述关联分析方法包括情景关联、时序关联、交叉关联和统计关联。
[0023]进一步地，所述数据行为特征关联关系挖掘方法包括以下步骤：
[0024]S301.以任务T1为输入，通过情景关联，获取任务T1相关的用户和数据资产以及多任务之间的关联关系特征，所述关联关系特征包括并行、串行和嵌套；
[0025]S302.基于任务的具体执行流程时序关联用户和数据资产；
[0026]S303.对数据资产的全生命周期按阶段进行关联，对数据的血缘关系、分级分类、用户权限等进行交叉关联；
[0027]S304.对用户的行为习惯进行统计关联分析；
[0028]S305.任务T1相关的信息关联挖掘结束后，对后续的任务重复执行步骤S301～S304，直至完成所有任务相关信息的关联关系挖掘。
[0029]进一步地，任务维度的数据行为特征包括：任务的时间特征、空间特征、数据资产特征和用户特征；
[0030]数据资产维度的数据行为特征包括：从全生命周期提取的数据资产的血缘关系、
数据文件的类型、数据提供方式、数据传输路径、数据存储方式、数据使用权限、数据共享内容和数据销毁方式，所述全生命周期包括生产/采集、传输、存储、使用、共享和销毁；
[0031]用户维度的数据行为特征包括：用户的操作习惯和操作轨迹。
[0032]进一步地，数据行为分析中，所述建立多维动态数据行为基线并形成基线库包括：基于任务、用户、数据资产的上下文数据，利用包括机器学习的方式动态构建面向任务、用户、数据资产的数据行为空间，建立任务驱动的正常行为基线库。
[0033]进一步地，面向任务层面，针对任务所需的数据资产、执行或配合完成任务的用户以及任务执行的逻辑进行挖掘，建立任务的正常行为基线；
[0034]在用户层面，建立单用户的正常行为基线，并在横向上挖掘同角色同职责用户之间关联性和在纵向上挖掘不同职责用户执行任务时的关联性；
[0035]在数据资产层面，建立针对单一数据资产的正常行为基线，基于数据血缘关系对数据全生命周期的异常本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向全生命周期的数据安全异常检测方法，其特征在于，包括：统一数据模型构建：以任务为驱动，采集任务相关的全生命周期数据，抽取用户重点关注的相关数据，建立统一数据模型；数据行为分析：进行实时数据行为分析和历史数据行为分析，提取数据行为特征以建立特征库，建立多维动态数据行为基线并形成基线库，且不断更新；数据异常行为检测：基于特征库和基线库发现数据异常行为，先基于特征库检测已知的异常，再基于基线库的多维动态数据行为基线分析实际数据行为，当实际数据行为偏离多维动态数据行为基线时，判定为异常。2.根据权利要求1所述的一种面向全生命周期的数据安全异常检测方法，其特征在于，所述统一数据模型构建包括：以任务为中心，通过任务方案或预案构建任务相关的逻辑拓扑，关注任务执行过程中所有参与的用户、数据资产，用户通过授予的权限访问相关的数据资产。3.根据权利要求2所述的一种面向全生命周期的数据安全异常检测方法，其特征在于，所述任务执行过程中所有参与的用户包括：任务管理者、数据资产的所有者/管理者、数据资产的使用者、数据资产位于的大数据中心、数据中心运维人员以及外部攻击者；数据资产相关的信息包括：数据资产的分级分类信息、存储的位置、对外提供的方式。4.根据权利要求1所述的一种面向全生命周期的数据安全异常检测方法，其特征在于，数据行为分析中，所述提取数据行为特征包括以下步骤：S1.构建面向任务、用户和数据资产的数据行为特征框架；S2.根据任务、用户和数据资产的上下文数据，利用包括机器学习的方式提取任务执行期间全生命周期的数据行为特征，更新数据行为特征框架；S3.综合利用多种关联分析方法构建数据行为特征关联关系挖掘方法，对多维行为特征数据进行跨时间和空间的关联，发现数据行为特征之间隐蔽的关联关系模式。5.根据权利要求4所述的一种面向全生命周期的数据安全异常检测方法，其特征在于，所述关联分析方法包括情景关联、时序关联、交叉关联和统计关联。6.根据权利要求5所述的一种面向全生命周期的数据安全异常检测方法，其特征在于，所述数据行为特征关联关系挖掘方法包括以下步骤：S301.以任务T1为输入，通过情景关联，获取任务T1相关的用户和数据资产以及多任务之间的关联关系特征，所述关联关系特征包括并行、串行和嵌套；S302.基于任务的具体执行流程时序关联用户和数据资产；S303.对数据资产的全生命周期...

【专利技术属性】
技术研发人员：牛作元，张锋军，李庆华，许杰，石凯，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：