公共信息平台中的数据安全异常监测方法及系统的制作方法
【技术领域】
[0001] 本发明涉及数据安全领域,特别是指一种公共信息平台中的数据安全异常监测方 法及系统。
【背景技术】
[0002] 传统的防火墙等技术已经存在了二、三十年,虽然一直在改变,但本质和架构没 变,未来将无法适应大数据环境下的安全要求。随着云计算、大数据等应用模式的出现,安 全的架构也将发生巨大的变化。例如,用户都在使用智能设备,所有的数据都存到云端,所 有信息做到集中存储,如何保证这些信息的安全使用,这就要靠大数据分析,靠机器学习建 模。因此,以大数据的收集、处理与分析技术为驱动,帮助企业实时、自动侦测已经发生或即 将发生的数据安全存在的内部与外部安全威胁,提高安全事件处理的效率,最大限度的保 护企业信息资产安全是未来发展趋势。
[0003] 广东电网有限责任公司信息中心的邹洪、钱扬、陈锐忠等发明的"一种数据安全管 控方法及平台",它给出:根据数据类别和密级对数据进行划分(S1);根据数据划分结果对 数据的加密、身份认证、访问控制、安全审计以及跟踪与取证分配相应的安全防护工具并进 行安全防护(S2);收集安全防护工具产生的日志信息,并进行归一化处理,建立数据的全生 命周期的安全视图(S3)。
[0004] 该专利和方案具有很大的局限性,主要在于:(1)实用于针对特定单位、特定系统, 数据变化较小,数据属性、类别和密级容易定义的信息系统,进行安全管控;(2)划分数据类 别和密级的主要目的是进行安全保护,建立安全视图的主要方式是根据安全日志;(3)应用 加密等传统手段难以适用于开放的公共平台的数据安全保护中。
[0005] 企业希望借助移动、云计算和大数据等新兴技术,在新常态下谋求新的发展机遇。 但是,在企业希望获得快速发展的同时,一直被安全问题困扰,尤其是更加隐蔽的安全手段 (例如,APT攻击等),比病毒、木马等更具威胁性。传统的防火墙、杀毒软件、IDS所很难发现 这些安全威胁,特别是内部人员对核心资源的异常访问、异常窃取。在当今,很多业界同行 都意识到这个问题,开始思索新的解决方案。
[0006] 大数据时代的到来,让不少行业已经发现了自身数据的巨大内在价值:它们能揭 示传统手段所看不到的新变化趋势,如深入理解消费者行为、广告效果、业务趋势等,而在 企业IT市场却鲜有标杆案例。随着数据价值的日益提升,针对数据的安全事件也在呈快速 的上升趋势。仅在2014年,全球就发生了多起信息数据遭攻击与泄露事件,如JPMorgan 7600万用户受影响、美国家得宝5600万用户受影响、携程网用户信息泄露等,这些网络攻击 事件也人们更加清楚的认识到数据安全保护的重要意义。也有部分企业开始从事这方面的 研究,例如:广东电网有限责任公司信息中心的邹洪、钱扬、陈锐忠等发明的"一种数据安全 管控方法及平台"等,这些发明都只适用于特定的环境,很难适应公共信息平台中的数据安 全保护,主要体现在以下几个方面:
[0007] 1.采用加密等防范手段来保证开放平台的数据安全不可行,因为这不仅会带来极 大系统开销,影响用户的体验感,而且开放环境下用户密钥管理困难。因此,以监控代替加 密等传统手段是未来开放的大数据平台中保护数据安全的一种行之有效的手段;
[0008] 2.公共信息平台(例如,智慧城市信息处理平台等)中很难进行数据类别的识别, 因此应用现有方法很难将分类分级思想落实在公共信息平台中;
[0009] 3.在公共信息平台中,数据量非常大,且变化频繁,现有的算法难以实时响应; [0010] 4.现有的方法中,数据分类分级主要应用于数据的细粒度保护中,很少将其用于 数据的安全异常访问识别中;
[0011]当前,数据安全异常监测的主要方法是从日志中去分析异常,很少将数据的访问 行为、业务操作、日志等进行关联分析,难以准确识别APT等复杂攻击。
[0012] 数据是智慧城市信息处理平台等公共信息平台的核心资产,关键保护对象,本专 利采用异常行为监控方式,构建数据安全异常行为监控系统,防止数据的流失。需要解决以 下几个技术难题:
[0013] 1)在开放公共信息平台中,数据量非常大且是不断变化的,如何快速的识别用户 访问行为是否存在异常是非常困难的;
[0014] 2)在大数据环境中,有些数据的安全属性是显性的,有些数据的安全属性是隐性 的(例如,单个数据是非敏感的,但多个数据聚合在一起就变为敏感数据),如何识别并阻止 隐性敏感数据泄露也是大数据安全异常行为监控的一个难题;
[0015] 3)APT攻击的识别和防范都是当前信息安全的一个难题,如何应用大数据分析方 法识别针对数据的APT也是本专利需要解决的一个难题。
【发明内容】
[0016] 本发明提出一种公共信息平台中的数据安全异常监测方法及系统,能够对数据的 操作行为进行逐级分析,深度逐级挖掘其异常行为。
[0017] 本发明的技术方案是这样实现的:一种公共信息平台中的数据安全异常监测方法 及系统,包括负责数据采集的数据层、进行三级数据分析的分析层以及进行可视化展示及 威胁预测的展示层;所述数据层的数据采集为多源数据采集方法,具体包括a.旁路分流对 数据的操作行为,进行协议分析得到其行为数据b.获取系统日志、设备日志、应用日志和数 据库日志等;c .同时采集内网安全日志信息;所述分析层采取三级分析方式对数据进行不 同粒度的分析;所述展示层主要然后运用可视化技术,对安全威胁进行可视化展示,帮助决 策者直观了解系统的安全威胁趋势和动态,执行人员也可以通过多层下拉表单来了解具体 细节。
[0018] 作为优选,所述多源数据采集方法中,进行日志收集的设备为日志采集服务器,其 主要使用Syslog4j、JDBC接口进行收集,日志采集服务器还进行日志规范化处理、审计对象 管理、日志查询任务。
[0019] 作为优选,所述三级数据分析包括d.基于规则的流式数据异常检测方法,快速检 测访问行为是否存在异常;e.将操作数据进行关联分析,防止隐性敏感数据泄露;f.将历史 数据和当前数据进行深度融合,深度挖掘其是否存在APT等攻击方式。
[0020] 作为优选,所述步骤d中,采用基于流式数据快速聚类方法,分为快速计算、数据概 念漂移检测、聚类三个模块;快速计算模块首先进行数据流数据过滤,然后进行数据特征的 抽取,最后将数据快速聚类;数据概念漂移检测模块负责对数据进行概念漂移的分析和检 测,通过对快速计算层提供的中间数据进行相关计算,进而判断数据是否发生概念漂移,进 而触发聚类层的聚类操作并提供相应的数据参数;聚类模块,框架中处理聚类的一个核心 模块,其实被动式触发型聚类模块。只有在被触发时候,利用前面的中间的结果和相关的参 数信息进行精细化的正式聚类计算,并在执行聚类后返回合适的聚类结果。
[0021] 作为优选,所述步骤e中,将把相关数据进行深度融合分析,挖掘系统是否存在隐 含隐私泄露的情况发生,如果存在隐性敏感泄露路径,将该路径中的敏感数据进行匿名处 理,防止隐性敏感泄露;采取局部鞅差方法对隐性敏感的涌现进行发现,并通过定义有限停 时的随机过程,在有限的时间内解决大规模数据的隐性敏感甄别和控制优化问题,当检测 到系统存在隐性敏感信息泄露时,对隐性敏感信息进行匿名处理,防止再度泄露。
[0022] 作为优选,所述可视化展示,具体为通过对日志、操作行为等数据进行提取分析和 统计,对数据按照一定的算法原则进行图形元素的属性计算,然后将其显示,并结合用户的 参数调节,对显示模型效果可以进行各种调整,以便发现网络数据详尽的信息;可视化展示 子系统分为四个模块,分别为:数据提取统计模块、节点坐标计算模块、图形显示模块和参 数调整模块。
[0023]作为优选,所述数据统计模块的目的是对原始数据进行的初步统计分析,采用哈 希表进行存储,哈希表中关键字Key采用字符串形式,字符串由源IP、操作主体、证据链以及 操作时间四项组成,把这四项作为一个新建元素插入到哈希表中,每一个元素在将来的图 形化表示中都是一个节点,表示证据链之间的操作关系;Key对应的值表示该次连接通信活 动中的数据总量。
[0024]作为优选,所述节点坐标计算模块采用IP地址、行